Mecanismos de proteccion de logs
Páginas: 6 (1419 palabras)
Publicado: 20 de agosto de 2013
Mecanismos de protección de logs
Estrategias para la administración de logs.
Una estación como servidor de logs.
Estaciones de una red configuradas para enviar sus log a un servidor especifico.
Rotación de los archivos de log.
Comprobación de integridad sobre los archivos renombrados (Archivos rotados).
Escenarios
Se pueden presentar dos escenarios principales:
Un único servidor centralpara la administración de Logs.
Al tener un único y común servidor de logs se establece también un único punto de falla o ataque. El sistema por completo dependería de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor pondría en duda la validez de los logs y la utilización de estos como evidencia en una investigación formal
Diferentes servidores quealmacenan los logs de acuerdo a una clasificación de los mismos.
Tener un servidor para grupos de fuentes de logs, si el servidor de logs de los servidores con sistema operativo Windows NT falla, seguirá estando disponible el servidor de los de las maquinas Unix y desde luego los servidores de los demás dispositivos. Una forma de aumentar la disponibilidad es tener una replica de los logs en otrosservidores de logs, alta redundancia.
Rotación de logs.
Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor centralizado de logs. La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, en este caso en el servidor de logs, y además controlar el número de archivos de logs que estaránexpuestos a un posible daño por parte de un intruso.
Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time protocol NTP.
Protección de logs.
Para lograr que los Logs sean confiables y válidos en determinadas situaciones comoevidencia, se debe tomar medidas que protejan la exactitud, autenticidad y accesibilidad de los archivos
Exactitud.
Registrar todo en los archivos Logs: Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.
Manteniendo el tiempo real: Sincronizando las maquinas con un fuente de tiempo externa, como servidores NTP.
Usar múltiples sensores: Combinando logs devarios dispositivos, se aumenta el valor dado a cada uno.
Autenticidad. Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados.
Movimiento de Logs: se debe cambiar la localización de los archivos en si, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.
Firmas,Encripción y Checksums: La única forma de estar absolutamente seguro que un archivo no ha sido modificado es firmar y encriptar el archivo de log usando PGP o algún otro esquema de llave-publica de encripción.
Trabajar con copias: Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original.
Asegurar la integridad del sistema: Sedebe auditar permanentemente todos los cambios que se produzcan en el sistema.
Documentación de procesos: Establecer un proceso significa crear un documento que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia. Además, cualquier scripts que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentariosexplicando lo que exactamente se esta realizando.
Accesibilidad o Control de Acceso: Una vez el archive de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.
Restringir el acceso a archivos: Un archivo de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él. Pero luego que esto se produce el archivo se...
Estrategias para la administración de logs.
Una estación como servidor de logs.
Estaciones de una red configuradas para enviar sus log a un servidor especifico.
Rotación de los archivos de log.
Comprobación de integridad sobre los archivos renombrados (Archivos rotados).
Escenarios
Se pueden presentar dos escenarios principales:
Un único servidor centralpara la administración de Logs.
Al tener un único y común servidor de logs se establece también un único punto de falla o ataque. El sistema por completo dependería de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor pondría en duda la validez de los logs y la utilización de estos como evidencia en una investigación formal
Diferentes servidores quealmacenan los logs de acuerdo a una clasificación de los mismos.
Tener un servidor para grupos de fuentes de logs, si el servidor de logs de los servidores con sistema operativo Windows NT falla, seguirá estando disponible el servidor de los de las maquinas Unix y desde luego los servidores de los demás dispositivos. Una forma de aumentar la disponibilidad es tener una replica de los logs en otrosservidores de logs, alta redundancia.
Rotación de logs.
Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor centralizado de logs. La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, en este caso en el servidor de logs, y además controlar el número de archivos de logs que estaránexpuestos a un posible daño por parte de un intruso.
Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time protocol NTP.
Protección de logs.
Para lograr que los Logs sean confiables y válidos en determinadas situaciones comoevidencia, se debe tomar medidas que protejan la exactitud, autenticidad y accesibilidad de los archivos
Exactitud.
Registrar todo en los archivos Logs: Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.
Manteniendo el tiempo real: Sincronizando las maquinas con un fuente de tiempo externa, como servidores NTP.
Usar múltiples sensores: Combinando logs devarios dispositivos, se aumenta el valor dado a cada uno.
Autenticidad. Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados.
Movimiento de Logs: se debe cambiar la localización de los archivos en si, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.
Firmas,Encripción y Checksums: La única forma de estar absolutamente seguro que un archivo no ha sido modificado es firmar y encriptar el archivo de log usando PGP o algún otro esquema de llave-publica de encripción.
Trabajar con copias: Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original.
Asegurar la integridad del sistema: Sedebe auditar permanentemente todos los cambios que se produzcan en el sistema.
Documentación de procesos: Establecer un proceso significa crear un documento que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia. Además, cualquier scripts que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentariosexplicando lo que exactamente se esta realizando.
Accesibilidad o Control de Acceso: Una vez el archive de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.
Restringir el acceso a archivos: Un archivo de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él. Pero luego que esto se produce el archivo se...
Leer documento completo
Regístrate para leer el documento completo.