Chapter 3 Hedging Bets with Stochastic Optimization
A.6 Temoa Code Style Guide
Base de Datos MySQL
Socket de Comunicación puerto 514
Almacen de información Comunicación con los
Clientes Interfaz de usuario Php-syslog-ng Usuario Reportes de eventos Rotación de eventos Switch Ap1 Windows Seguridad Windows Sistema Windows Aplicación Linux otros Linux Mail Linux Kerner
Diagrama 2. Estructura lógica del syslog-ng
En el diagrama de estructura lógica del servidor syslog-ng se muestra el tratamiento que le dan a los eventos de seguridad desde que son recibidos hasta el momento en que interactúan con los administradores de la red. El syslog abre un socket de comunicación y queda a la escucha de los mensajes de los clientes por el puerto 514 (que es el que se implementó pero se puede utilizar cualquier otro). Estos eventos recibidos son almacenados en un buffer temporal y luego pasan la base de datos donde son procesados. En la base de datos los eventos se van distribuyendo según las reglas de filtrado utilizada en la configuración quedando
los eventos agrupados por categoría. En el diagrama de la estructura lógica se muestran como quedaran distribuidos los eventos de cada dispositivo. La interfaz de usuario permite a los administradores de la red de forma interactiva y de modo gráfico visualizar los eventos de seguridad exportados por clientes y los propios eventos internos de servidor. Estos eventos como una estrategia de seguridad deberán ser rotados internamente el servidor o rotados a otro servidor para que no lleguen a tener una dirección fija y no se pueda realizar un ataque a dichos eventos de seguridad.
Conclusiones
Se logró hacer una recolección de los eventos de seguridad de cada dispositivo en los que se estaba desperdiciando gran cantidad de información útil.
Se pudo transportar los logs por un canal seguro, estos fueron filtrados y almacenados en una base de datos dentro de un servidor centra el cual está fuera del alcance de cualquier intruso permitiendo esto que los logs o eventos de seguridad puedan conservar su carácter de evidencia digital para poder ser llevados a corte siempre que se presente un delito informático.
Con este trabajo se logro un sistema adicional para la supervisión y gestión de seguridad de la intranet de la UCLV.
Recomendaciones
Se recomienda hacer un estudio especializado de todos los eventos generados por los dispositivos de redes así como realizar una mejor clasificación y selección de los eventos a enviar, que mejore el sistema desarrollado en este trabajo de diploma y que se implemente un sistema de interfaz Web lo más sofisticado posible que sea capar de dar mejores alertas y reportes a los administradores de la red de una forma interactiva.
Referencia Bibliográfica
ADVENTNET (2008) Manage Engine Eventlog Analyzer 5.Disponible en:
www.germinus.com/sala_prensa/articulos/Correlacion%20Eventos%20Seguridad.p df Consultado 10/01/2008.
AL, J. B. E. (2008) Security Log Management.Disponible en: www.books.google.com Consultado 16/01/2008.
AL, T. A. L. E. (2001) The Parctice of System and Network Administration.Disponible en: www.gbv.de/du/services/agi/EAD90DB277873B9CC125704C0022FA4B/FLMA117
829. Consultado 2008.
ALTALEF, N. (2008) Syslog Centralizado con Deteción de Eventos.Disponible en: http://www.informaticahabana.com/evento_virtual/files/SWL24.pdf
Consultado 2008.
BALABIT (2007) Distributed Syslog Architcrures with Premium Edition. Disponible en: www.balabit.com Consultado 4/02/2008
BALABIT (2008a) Centralized System Logging in Heterogeneous Enviroments. Disponible en:www.balibit.com Consultado 2008.
BALABIT (2008b) Syslog-ng Premium Edition.Disponible en:
www.germinus.com/sala_prensa/articulos/Correlacion%20Eventos%20 Consultado 2008.
BAUER, M. D. (2005) Linux Server Security.Disponible en:
www.amazon.com/Linux-Server-Security-Michael-Bauer/dp/0596006705 Consultado 12/02/2008.
COMER, D. E. (2005) Redes Globales de Información con TCP/IP, La Havana, Felix Varela.Consultado 19/02/2008.
CRESPO, J. (2004) Correlacion de eventos de seguridad. Disponible en:
www.germinus.com/sala_prensa/articulos/Correlacion%20Eventos%20Seguridad.p df Consultado 2008.
EARLS, M. (2002) Centralized syslog-ng to mysql database″.Disponible en: http://vermeer.org/docs/1. Consultado 1/03/2008.
FOSTER, J. C. (2003) Snort Intrusion Detection.Disponible en: www.informit.com/content/downloads/perens/0131407333.pdf GFI (2007) GFI EventManager 7.1Disponible en:
http://www.gfi.com Consultado 2008.
HEALY, J. (2008) Centralized Logging and Analysis.Disponible en:
http://web.suffieldacademy.org/ils/netadmin/docs/software/syslog/syslog.pdf Consultado 2008.
JEFFREY, W. (2006) Computer Segurity Log Management.Disponible en: http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
Consultado 25/04/2008.
LIMA, D. (2005) How To Install JFFNMS on Debien GNU Linux 3.1.Disponible en: www.jffnms.org/docs/howto-install-jffnms-on-debian-gnu-linux-v3.pdf
LONVICK, C. (2001) The BSD syslog Protocol″.Disponible en: www.faqs.org/rfcs/rfc3164.html Consultado 2008.
server-1610047 Consultado 26/04/2008.
MERA, Y. R. G. (2007) Implementación de un Servidor Syslog Centralizado en la Red Corporativa de ETECSA. Dpto de Telecomunicaciones UCLV.Consultado 2008.
MERCADO, P. S. (2008) Control de Logs.Disponible en:
www.uam.es/departamentos/ciencias/quimica/psm/documentacion/control-de- logs.pdf Consultado 27/04/2008.
MICROSYSTEMS, S. (2006) System Management Service.Disponible en: www.sun.com/hdocs/feedback Consultado 4/05/2008.
MÚNERA, A. S. (2007) Centalización de registros de eventos. Disponible en: http://pegasus.javeriana.edu.co/~regisegu/Docs/articulo.pdf
Consultado 10/05/2008.
NTSYSLOG (2007).Disponible en: http://ntsyslog.sourceforge.net. Consultado 2008.
PACKARD, H. (2007) Distributed Systems Administration Utilities.Disponible en: http://docs.hp.com/es/T2786-90216/T2786-90216.pdf Consultado 2008.
RICH, A. (2004) Creating a Centralized Secure Log Server with syslog-ng and Stunnel. Disponible en:
http://www.sun.com/bigadmin/features/articles/syslog_ng.html?biga=15. Consultado 2008.
ROESCH, M. (2003) Snort ReleaseDisponible en:
www.snort.org/docs/SnortUsersManual.pdf Consultado 2008.
SÚAREZ, J. A. (2008) Análisis de ficheros de logs en GNU/Linux.Disponible en: www.iberprensa.com/todolinux/articulos/TL65_42-46%20Taller_Log.pdf Consultado 2008.
TEAM, I. C. E. R. (2004) Implementation of Central Logging Server using Syslog-ng. Disponible en:www.cert-in.org.in/knowledgebase/guidelines/CISG-2004-03.pdf
Consultado 2008.
TELESYN, A. (2006) AT-S62.Disponible en:
www.alliedtelesyn.es/support/software/default.aspx?cid=1&pid=205 Consultado 3/06/2008.
WAJIH-UR, R. (2003) Introduction to Syslog Protocol″. Disponible en: http://www.monitorware.com/Common/en/Articles/syslog-described.php. Consultado 2008.
GLOSARIO DE TÉRMINOS
BEEP: Block Extensible Exchange Protocol (Protocolo Extensible de Intercambio de Bloque)
FIFO: First In First Out (Primero que entra, primero que sale)) FTP: File Transfer Protocol (Protocolo de Transferencia de Fichero)
FQDN: Fully Qualified Domain Name (Nombre de Dominio Totalmente Calificado) IP: Internet Protocol (Protocolo de Internet)
NTP: Network Time Protocol
Pipe: Tubería (Tipo de archivo que une la salida estándar de un fichero o aplicación con la entrada estándar de otro fichero o aplicación en Linux) Syslog-ng: Syslog New Generation (Syslog de Nueva Generación) SSL: Secure Socket Layer (Capa de Conexión Segura)
TCP: Transmission Control Protocol (Protocolo de Control de Transmisión) UDP: User Datagram Protocol (Protocolo de Datagrama de Usuario)
DNS Sistema de nombres de Dominio IDS Intrusion Detection System
Anexo 1
RFC 3164 El Protocolo de syslog BSD Agosto 2001
Switch (Dispositivo)
(Repetidor )
Servidor Central Syslog -ng (colector)
Servidor Central Syslog-ng (colector)
` (Dispositivo)
Servidor Central Syslog -ng (colector)
`
dispositivo Repetidor
Repetidor
Servidor Central Syslog-ng (colector)
Switch (Dispositivo)
(Repetidor )
Servidor Central Syslog-ng (colector)
(Repetidor )
Anexo 2
options {
create dirs (no); dns cache (yes) ; use fqdn (no); keep hostname (yes); long_hostnames (on); use_dns (no);
};
source localhost { # mensajes internos del sistema file (“/proc/kmsg”);
unix-stream (“/dev/log”); internal ();
};
source s_udp { # fuentes de clientes windows, switch
udp() };
source s_tcp {
tcp(ip(“10.12.57.3”) port (514); }; # Cliente linux # Destinos
destination d_switch {file(“/var/log/allswitch/log_switch.log”);};
destination d_clientewindows { file(“/var/log/windows/log_wind.log”);}; destination d_clientelinux {file(“/var/log/linux//log_linux.log”);};
destination authlog { file("/var/log/auth.log"); }; destination syslog { file("/var/log/syslog"); }; destination cron { file("/var/log/cron.log"); };
destination daemon { file("/var/log/daemon.log"); }; destination kern { file("/var/log/kern.log"); };
destination lpr { file("/var/log/lpr.log"); }; destination user { file("/var/log/user.log"); }; destination uucp { file("/var/log/uucp.log"); }; destination ppp { file("/var/log/ppp.log"); }; destination mail { file("/var/log/mail.log"); }; destination mailinfo { file("/var/log/mail.info"); }; destination mailwarn { file("/var/log/mail.warn"); }; destination mailerr { file("/var/log/mail.err"); }; destination local0 { file("/var/log/local0.log"); }; destination local1 { file("/var/log/local1.log"); }; destination all { file("/var/log/all.log"); };
destination newscrit { file("/var/log/news/news.crit"); }; destination newserr { file("/var/log/news/news.err"); };
destination newsnotice { file("/var/log/news/news.notice"); }; destination debug { file("/var/log/debug"); };
destination messages { file("/var/log/messages"); }; destination console { usertty("root"); };
destination console_all { file("/dev/tty12"); };
# Filtros
filter f_eléct {host(“10.12.57.254”) port (514); }; filter f_agropec {host(“10.12.0.140”) port (514); }; filter f_rapie {host(“10.12.0.100”) port (514); }; filter f_x900 {host(“10.12.0.254”) port (514); };
filter f_clientewindow {host(“10.12.57.40”) port (514); }; filter f_clientelinux {host(“10.12.57.3”) port (514); }; filter f_auth { facility(auth); };
filter f_authpriv { facility(auth, authpriv); };
filter f_syslog { not facility(authpriv, mail) and not match(ppp.*LCP); }; filter f_cron { facility(cron); };
filter f_daemon { facility(daemon); }; filter f_kern { facility(kern); };
filter f_lpr { facility(lpr); };
filter f_mail { facility(mail) and not match (imapd); }; filter f_user { facility(user); };
filter f_uucp { facility(cron); }; filter f_ppp { program(ppp); }; filter f_news { facility(news); };
filter f_debug { not facility(auth, authpriv, news, mail) and not match(ppp.*LCP); }; filter f_messages { level(info..warn)
and not facility(auth, authpriv, mail, news); }; filter f_emergency { level(emerg); };
filter f_info { level(info); }; filter f_notice { level(notice); }; filter f_warn { level(warn); }; filter f_crit { level(crit); }; filter f_err { level(err); };
# Output
log { source (s_udp); filter(f_eléct); filter(f_agropec); filter(f_rapie); filter(f_x900); destination(d_allswitch); };
log { source(s_udp); filter(f_clientewindows); destination(d_clientewindows); }; log { source(s_tcp); filter(f_clientelinux); destination(d_clientelinux); };
log { source(localhost); filter(f_authpriv); destination(authlog); }; log { source(localhost); filter(f_syslog); destination(syslog); }; log { source(localhost); filter(f_cron); destination(cron); };
log { source(localhost); filter(f_daemon); destination(daemon); }; log { source(localhost); filter(f_kern); destination(kern); };
log { source(localhost); filter(f_lpr); destination(lpr); }; log { source(localhost); filter(f_mail); destination(mail); }; log { source(localhost); filter(f_user); destination(user); };
log { source(localhost); filter(f_mail); filter(f_warn); destination(mailwarn); }; log { source(localhost); filter(f_mail); filter(f_err); destination(mailerr); }; log { source(localhost); filter(f_news); filter(f_crit); destination(newscrit); }; log { source(localhost); filter(f_news); filter(f_err); destination(newserr); };
log { source(localhost); filter(f_news); filter(f_notice); destination(newsnotice); }; log { source(localhost); filter(f_debug); destination(debug); };
log { source(localhost); filter(f_messages); destination(messages); }; log { source(localhost); filter(f_emergency); destination(console); }; log { source(localhost); filter(f_ppp); destination(ppp); };
log { source(localhost); destination(console_all); }; log { source(localhost); destination(all); };