Hoy terminamos la aventura del "sniffing". Cerramos el tema con las técnicas de detección.
En primer lugar se analizan las técnicas de detección de interfaces en modo "promisc", aspecto directamente relacionado con el "sniffing" en medio compartido. Señalar que muchas de las técnicas de "sniffing" en medio conmutado no requieren este cambio en el interface de red. En concreto, se estudian las técnicas etherping test, ARP test, DNS test y test ICMP ping de latencia. Además, se presentan algunas herramientas relacionadas, como CPM (Check Promiscuos Mode), NEPED (Network Promiscuos Ethernet Detector), Antisniff, SnifDet o NAST.
En un segundo punto se repasan las técnicas contra el "sniffing" en medio conmutado.: detectores (a nivel de host y, o, red), filtrado, port security, cifrado, formación del usuario, etc.
En este punto, y tomando como partida una pregunta planteada por un alumno, iniciamos un pequeño módulo dedicado al servicio de "logs" centralizados. En uno de los apartados de la práctica 1 se pide que la información de "log" de vuestra máquina virtual se envíe a otra. Un alumno pregunta, ¿esto es para que los del otro equipo sepan lo que le pasa a mi máquina?. Saber hacer las cosas está bien, para saber además cuando se deben hacer, la utilidad de las mismas, etc., está mucho mejor. Como es habitual, casi nunca encontraremos dos implementaciones iguales, que siempre dependerán del entorno de trabajo, entre otros muchos factores. Por lo tanto, iniciamos una pequeña pero nueva aventura por el apasionante mundo de los servidores de "log".
En primer lugar se incluyen varias ideas relacionadas.:
- Sin información de lo que acontece en los sistemas estamos ciegos. En este punto no debemos olvidarnos de una toma de decisión desde el punto de vista que "la ignorancia muchas veces es la felicidad".
- La facilidad que nos proporciona para "correr", por ejemplo, IDSs de host sobre toda la información centralizada.
- Facilita las alertas en "tiempo real"
- Las posibilidades de auditoría, trazas antes ataques y como herramienta para una análisis forense. Se mejora considerablemente el seguimiento y correlación de eventos con varios equipos involucrados.
- Dificulta el borrado de información de "log" después una intrusión en un sistema.
- Para tareas de análisis de "performance", "tunning" y administración.
- Facilita el proceso de "backup" de la información de log.
- Servicio habitualmente vinculado al puerto 514, que puede ir tanto en UDP como en TCP.
- Necesidad de usar servidores redundantes de log con una adecuada ubicación que incremente la disponibilidad del servicio.
- Todo servidor debe hacer "log", máquinas linux-unix, máquinas windows, activos de red, etc., etc. En muchas ocasiones nosotros no seleccionamos las plataformas con las que tenemos que trabajar y es nuestra función administrar y securizar todas por igual.
- Necesidad de securizar los servidores de "log", entre otras, incluyéndolos en un segmento de red "seguro", con detección y filtrado en el acceso a segmento y, o, host, con un sistema operativo "seguro" (parcheado, capado, únicamente puerto 514) y "hardenizado" (toma traducción) [incorporar herramientas y, o, parches para fortalecer la seguridad del sistema].
- Necesidad de sincronización de relojes mediante, por ejemplo, NTP (Network Time Protocol).
En cuanto al subsistema de log, se muestras y describen los distintos niveles (EMERG, ALERT, CRIT, ERR, WARNING, NOTICE, INFO, DEBUG), así como los subsistemas generadores (AUTHPRIV, CRON, DAEMON, KERNEL, LOCAL0..9, LPR, MAIL, NEWS, SYSLOG, USER, etc.)
Analizadas las ventajas e implicaciones, incluimos una sección práctica basada en la herramientas syslog-ng, que incluye.:
- daemons y ficheros de configuración básicos
- formato y opciones del fichero de configuración /etc/syslog-ng.conf (options, source, filter, destination, log)
En este apartado finaliza la aventura de hoy. Nos quedan por delante 2 apasionantes horas en el laboratorio de prácticas dedicadas a la resolución de todo tipo de problemas prácticos. Señalar que es hora de dar por terminada la práctica 1 e iniciar los trabajos de la 2, por lo que se invita a todos los alumnos a que vayan pensando en defenderla.
Sed buenos, o al menos intentarlo