Professional Documents
Culture Documents
Tallafocs
Tallafocs
36
2. Tallafocs
Hi ha molts mecanismes per gestionar la seguretat en les xarxes. Un daquests mecanismes consisteix a utilitzar els tallafocs, que permeten definir visibilitats entre els equips que componen la xarxa. Daltra banda, mitjanant programari especfic es pot conixer lestat de la xarxa i els intents dintrusi que shi poden produir. En cas que finalment sarribi a produir la intrusi, caldr tenir a punt un procediment dacci per evitar mals majors com la destrucci de pistes o que es torni a produir el problema.
Seguretat informtica
37
servidor de monitoratge perd la visibilitat. Per evitar aquest cas, simplementen dependncies entres les comprovacions, de manera que abans denviar una notificaci, cal verificar que lelement de qu depn funciona adequadament. Per tant, si falla un element determinat, noms envia la notificaci daquest element i no pas de tots els altres elements que en depenen. 2) Si un equip satura, tots els serveis que estiguin en aquest equip deixen de respondre. Per poder enviar una modificaci que indiqui que el servidor est apagat i que no tots els serveis han deixat de respondre, normalment es defineix una comprovaci que, si falla, notifica que tot lequip est apagat i no envia les notificacions de tots els serveis que cont.
Seguretat informtica
38
Una eina de codi lliure molt utilitzada per fer grfics, tant de trnsit com daltres tipus de dades, s el Cacti.
Ntop s una eina de codi lliure que fa aquesta anlisi instantnia de lestat de la xarxa.
Seguretat informtica
39
Hi ha moltes maneres de centralitzar els registres de les aplicacions, per en sistemes UNIX se sol utilitzar el dimoni Syslog.
Els passos que se segueixen per configurar un sistema demmagatzematge de registres amb Syslog sn els segents: 1) Es configura un dimoni de Syslog a escala local perqu rebi els registres de les aplicacions i en conservi una cpia local durant un perode de temps determinat. Daquesta manera, es poden consultar directament des del sistema mateix. 2) Es configura un dimoni de Syslog en un sistema remot que accepti dades i les emmagatzemi ordenades per data.
Seguretat informtica
40
3) El dimoni de Syslog del sistema en qu hi ha laplicaci va enviant una cpia dels registres al dimoni de Syslog remot. 4) Quan els registres es troben en el sistema remot, es fa una signatura electrnica per poder detectar si salteren.
Anlisi de registres
Quan les dades ja estan emmagatzemades, shi poden aplicar eines que permetin agregar-les a un informe sobre lestat del programari o el sistema. Per exemple, mitjanant laplicaci LogWatch, les dades dun sistema Linux es poden agrupar. Daquesta manera, es pot enviar un informe sobre lactivitat a ladministrador de sistemes. Tamb hi ha programari de carcter ms especfic, com lAWStats, que permet analitzar els registres de servidors web. Amb aquest programa es poden extreure dades molt importants si latacant no ha pogut alterar el sistema demmagatzematge de registres.
Figura 8. Una llista derrors 404 amb lAWStats pot oferir molta informaci LAWStats s un programari danlisi de registres dactivitat de servidors web, correu i FTP.
Activitat a investigar
En general, el que cal buscar en els registres sn les anomalies, ja que s molt complicat fer encaixar lactivitat que es genera en fer un atac amb el
Seguretat informtica
41
funcionament normal del sistema. Quan busquem anomalies, tamb es detecten falsos positius, activitat legtima que sembla illcita. Aix doncs, conv actuar amb cautela per no treure conclusions precipitades. Per exemple, en el cas danalitzar els registres dun servidor web, es podria comenar a analitzar lactivitat buscant els punts segents: Els fitxers ms consultats: entre els fitxers ms populars s possible trobar contingut illcit si el servidor web sest fent servir per distribuir-lo. Evoluci del trnsit: en cas que hi hagi un increment sobtat del trnsit de dades, seria factible que es tracts dun intent de denegaci de servei o b que shi hagus introdut algun contingut fraudulent. Aix doncs, per poder valorar qu passa en el servidor web, caldria estimar levoluci de bytes enviats, les consultes per unitat de temps i els totals de consultes per IP. Consultes a fitxers que no existeixen (404): s possible que, per tal de comprometre un servidor web, shagi dintentar diverses vegades. Algun daquests intents pot generar lerror 404 (not found), que queda registrat en els registres del servidor web. Si els errors 404 es comproven peridicament, s possible tenir una idea del tipus datacs que pateix el servidor web en qesti per prendre mesures.
2.1.5. IDS/IPS
La sigla IDS correspon a intrusion detection-system. Es tracta dun sistema que detecta intrusions o intents dintrusi i en notifica, per no els evita. Daltra banda, la sigla IPS correspon a intrusion prevention-system. El sistema, quan detecta un intent dintrusi, es pot configurar per bloquejar-lo o b pot afegir el sistema originant a una llista negra per evitar latac que ha detectat i intents futurs. Hi ha diversos tipus dIDS/IPS de carcter general: IDS/IPS de xarxa: basa la detecci dintrusions en lanlisi dels paquets que circulen per la xarxa. Un exemple de codi obert (open source) seria lSnort. IDS/IPS de sistema: basa la detecci dintrusions en lanlisi del conjunt del sistema. Un exemple de codi obert podria ser el Tripwire. Tamb es poden implementar sistemes IDS/IPS ms especialitzats que, com a contrapartida, consumeixen ms recursos: IDS/IPS basat en el protocol: el sistema entn el protocol pensat per detectar i evitar que sen faci un mal s. Fora que es compleixi adequadament.
Els principals fabricants de sistemes IDS/IPS sn els segents: TippingPoint, Radware, IntruShield, CISCO, Fortinet i Juniper.
Seguretat informtica
42
IDS/IPS basat en la lgica de laplicaci: entn el protocol de comunicaci i va ms enll. El sistema ha dentendre la lgica de laplicaci per fer que es compleixi. s el sistema ms especfic i, per tant, cal que sadapti amb molta cura a lentorn en qu es desplega.
Un port de cpia cont el mateix trnsit que passa pel port dorigen.
# # # # # # # # # # #
wget http://dl.snort.org/snort-current/snort-2.8.5.1.tar.gz tar xzf snort-2.8.5.1.tar.gz cd snort-2.8.5.1 wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz tar xzf emerging.rules.tar.gz ./configure --prefix=/usr/local/ --exec-prefix=/usr/local/ --enable-dynamicplugin --with-mysql make all install mkdir -p /usr/local/etc/snort/rules mkdir -p /var/log/snort cp -pr /usr/local/src/snort-2.8.5.1/rules/* /usr/local/etc/snort/rules/ cp -pr /usr/local/src/snort-2.8.5.1/etc/* /usr/local/etc/snort/
Seguretat informtica
43
A continuaci, caldr crear una base de dades MySQL per emmagatzemar les alertes.
mysql> create database snort; Query OK, 1 row affected (0.00 sec) mysql> GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, ALTER, EXECUTE, CREATE ROUTINE, ALTER ROUTINE, USAGE on snort.* to snort@localhost identified by 'snortsecret'; Query OK, 0 rows affected (0.02 sec)
Seguidament, shaur demplenar la base de dades amb la definici de les taules que hi ha en el directori schemas del codi font de lSnort.
# cd /usr/local/src/snort-2.8.5.1/schemas/ # cat create_mysql | mysql snort -u root p
Tot seguit, caldr configurar lSnort adequadament. Per ser prctics, es pot fer servir la plantilla que proporciona la distribuci de lSnort, per primer caldr eliminar-ne unes quantes parts amb lexpressi regular segent:
# cd /usr/local/etc/snort/ sed 's@^\(include.*ules\)$@#\1@' i /usr/local/etc/snort/snort.conf
Per adequar la configuraci de lSnort, cal editar el fitxer snort.conf amb algun editor de text i configurar-hi els parmetres segents: HOME_NET: indica a lSnort les xarxes que sintenten protegir. Les xarxes hi apareixen separades per comes. EXTERNAL_NET: indica a quines xarxes externes estem connectats. Normalment es fa servir la inversa de la variable HOME_NET. output: indica on semmagatzemen els registres i els parmetres per fer-ho. En cas de fer servir una base de dades MySQL, cal especificarhi el nom dusuari, la contrasenya, el servidor de bases de dades i el nom de la base de dades. include: permet indicar un fitxer auxiliar de configuraci. Per exemple, pot servir per incloure cmodament totes les regles de la distribuci Emerging Threads.
var HOME_NET [192.168.1.0/32,10.0.0.0/8] var EXTERNAL_NET !$HOME_NET var RULE_PATH rules output database: log, mysql, user=snort password=snortsecret dbname=snort host=localhost include $RULE_PATH/emerging.conf
Seguretat informtica
44
Amb el codi font de BASE descomprimit caldr configurar un virtual host en un servidor web que disposi de PHP. En el cas de lApache, per exemple, la configuraci seria la segent:
<VirtualHost *:80> ServerAdmin webmaster@exemple.com DocumentRoot "/var/www/admin/snortbase/htdocs" ServerName snort.exemple.com DirectoryIndex index.php <Directory /var/www/admin/snortbase/htdocs> Options FollowSymLinks AllowOverride None Order deny,allow Allow from all </Directory> ErrorLog "| /usr/local/sbin/cronolog -S /var/www/admin/snortbase/logs/current.error.log /var/www/ admin/snortbase/logs/%Y/%m/%d/error.log" CustomLog "| /usr/local/sbin/cronolog -S /var/www/admin/snortbase/logs/current.custom.log /var/www/ admin/snortbase/logs/%Y/%m/%d/custom.log" combined </VirtualHost>
Un cop el servidor web ha llegit la configuraci nova, cal accedir amb el navegador a ladrea en qu es troba la BASE per continuar la installaci. Les dades que demana sn les segents: Seleccionar lidioma i indicar la posici en el sistema de fitxer de lADODB. A lexemple sha installat a /var/www/admin/adodb. Introduir les dades de connexi al MySQL que shan definit en els passos anteriors. Opcionalment, permet definir una contrasenya daccs a la BASE.
Seguretat informtica
45
Per generar grfics amb la BASE, sha de disposar dun conjunt de mduls PEAR. Per installar-los, farem servir les ordres segents:
pear install Image_Color pear install Image_Canvas-alpha pear install Image_Graph-alpha
Finalment, caldr aixecar el dimoni Snort per comenar a recollir informaci. Per fer-ho, utilitzarem lordre segent:
/usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -D
Malware s el conjunt de programari malicis. Shi inclouen els virus, els cucs, els cavalls de Troia, les eines dintrusi (rootkits) i el programari de publicitat (adware), entre altres.
Seguretat informtica
46
fitxers de registre de tots els dimonis o b fer captures del trnsit de la xarxa. En cas que la pesca faci servir un nom de domini diferent del nom propi del sistema, es podria analitzar el trnsit HTTP buscant la capalera Host per detectar-lo. Si utilitzem tcpdump en Linux, ho podrem fer mitjanant les ordres segents:
# tcpdump -nni eth0 -s 0 -w /tmp/captura 'port 80'
Si tingussim una mostra prou gran del trnsit, les peticions web es podrien analitzar mitjanant lordre segent:
strings /tmp/exemple | grep Host: | awk '{ print $NF }' | sort | uniq -c | sort n
Distribuci de virus
Per poder fer els atacs que shan descrit ms amunt, s imprescindible propagar, mnimament, el programa malicis. Daquesta manera, en general, un equip infectat, independentment de la resta daccions que se li poden fer emprendre, es converteix en un altre punt de propagaci daquest programa. s imprescindible, doncs, analitzar peridicament els equips per buscar-hi virus i altres tipus de programes maliciosos.
En el cas de Linux, es pot fer servir lantivirus de codi lliure ClamAV per analitzar els sistemes.
Seguretat informtica
47
Tallafocs personals (o de sistema): sinstalla com una altra aplicaci del sistema i la funci que t s filtrar el trnsit que shi dirigeix, tant connexions entrants (connexions que provenen daltres sistemes) com connexions sortints (connexions que soriginen en el mateix sistema), que poden ser causades per altres aplicacions. Preferentment, shauria daplicar un tallafoc de xarxa en lloc dinstallar un tallafoc de sistema a cada mquina. Els motius, que sn diversos, sn els segents: Es permet centralitzar la poltica de seguretat: un canvi dadreament global o dun amfitri implicaria accedir a tots els sistemes per reconfigurar els tallafocs. Si es desactiva el tallafoc dun sistema, sevita que tingui accs a la informaci que circula per la xarxa.
Seguretat informtica
48
Seguretat informtica
49
# tcpdump -nni eth0 'udp port 53 or icmp' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
A continuaci, en una altra consola amb lnc (netcat), es pot fer la prova en qualsevol servidor dInternet. Podrem comprovar que, en cas que tinguin una poltica de rebutjar o b no tinguin cap tallafoc, no ens sortir cap missatge.
# nc -uz giktal.systemadmin.es 53
IP IP IP IP
10.10.1.59.34084 > 10.10.17.159.53: [|domain] 10.10.1.59.34084 > 10.10.17.159.53: [|domain] 10.10.1.15 > 10.10.1.59: ICMP 10.10.17.159 udp port 53 unreachable, length 37 10.10.1.15 > 10.10.1.59: ICMP 10.10.17.159 udp port 53 unreachable, length 37
Seguretat informtica
50
En cas que el servidor s que tingui habilitat el DNS o b tingui la poltica de descartar el paquet en el tallafoc, lnc mostrar el missatge segent:
En resum, es pot veure que si senvia un paquet UDP a un sistema, poden passar dues coses: Si retorna un paquet ICMP: el port UDP est filtrat amb una poltica de rebutjar o b no hi ha cap dimoni que escolti en el port. Si no retorna res: el port UDP est filtrat amb una poltica de descartar o b hi ha un dimoni que escolta en aquest port. Per diferenciar si s un filtratge o si, realment, sarriba en un port en qu hi ha un procs que escolta, el comportament del sistema es pot verificar amb la resta de ports UDP.
Seguretat informtica
51
Seguretat informtica
52
s possible encapsular trnsit dins altres protocols (ICMP, DNS, etc.), cosa que permet crear tnels que comuniquen dos extrems per mitj dun tallafoc. Si sobre un port en el tallafoc, no s possible assegurar que el protocol que a priori hauria de circular per aquest port sigui, forosament, el protocol que hi passa en realitat. Per detectar aquesta situaci, seria necessari inspeccionar els paquets.
Taules
El mode de funcionament de les iptables agrupa les regles de filtratge de paquets en taules segons la funci i el punt de processament: filter (taula per defecte): defineix la poltica que defineix com un paquet, generat per un procs local del sistema, entra en un procs (entrada, INPUT), passa pel sistema (avanament, FORWARD) o en surt (sortida, OUTPUT). En els lligams que t en com amb la resta de les taules, aquesta s la taula menys prioritria. nat: defineix com es modifiquen i es redirigeixen els paquets quan es crea una nova connexi, segons si surten del sistema des dun procs local (OUTPUT), entren per la interfcie de xarxa (PREROUTING) o estan a punt de sortir per la interfcie de xarxa (POSTROUTING). mangle: defineix com es modifica un paquet que entra per la interfcie de xarxa (PREROUTING), travessa el sistema (FORWARD) i est a punt de sortir per la targeta de xarxa (POSTROUTING) o b entra (INPUT) o surt (OUTPUT) dun procs local del sistema. En els lligams que t en com amb la taula nat, aquesta taula t ms prioritat. raw: aquesta taula t ms prioritat que la resta. Defineix dos lligams amb ms prioritat que la resta de taules. I aix abans que sapliqui el
Seguretat informtica
53
mdul conntrack. Es fa servir, doncs, per afegir regles sense estat. Els paquets que entren per una interfcie de xarxa (PREROUTING) o que surten (OUTPUT) dun procs local, es poden filtrar amb aquesta taula.
Cadenes (chains)
Hi ha dos tipus de cadenes o chains: les que estan predefinides i les que crea lusuari. Pel que fa a les predefinides, nhi ha una per cada lligam i taula. Per exemple, en la taula filter hi ha tres cadenes predefinides: INPUT, OUTPUT i FORWARD. Per evitar repetir regles en cada cadena predefinida, lusuari en pot crear de prpies i les pot agrupar com convingui. Mitjanant lopci N es pot crear una regla nova:
iptables -N exemple
A continuaci, aquesta cadena es pot afegir a la resta de cadenes per tal que quan un paquet passi per algun dels lligams, tamb passi per aquesta cadena nova:
iptables A INPUT t nat j exemple
Seguretat informtica
54
Un paquet parteix dun lligam i va travessant seqencialment les regles de cada cadena fins que passa el segent: Una regla concorda i fa una crida a alguna acci (target). Es crida a lacci RETURN explcitament mitjanant j RETURN o b implcitament en no haver-hi ms regles en la cadena.
Accions (targets)
Les accions per defecte sn les segents: ACCEPT: permet el pas del paquet. DROP: descarta el paquet. QUEUE: passa el paquet a lespai dusuari perqu una aplicaci el processi. Si no hi ha cap aplicaci, es descarta. RETURN: acaba el processament de la cadena i torna a la cadena anterior. s til per deixar de processar una cadena si ja sabem que no coincidir amb les regles segents. Per exemple, si veiem que s un paquet UDP i les regles de la cadena sn totes per a TCP. A ms a ms, una acci molt utilitzada, tot i que s un mdul independent, s REJECT, que en lloc de descartar el paquet, el rebutja i envia un paquet ICMP com a resposta.
Seguretat informtica
55
-sport / -dport: permet especificar tant el port dorigen (sport) com el port de destinaci (dport) si el protocol de transport deixa utilitzar ports. Passa el mateix que amb les IP dorigen i de destinaci: si no sespecifica, se suposa que pot ser qualsevol. --state: en totes les taules, excepte la RAW, es pot fer servir lestat de la connexi. Els estats possibles sn els segents: INVALID: el paquet no sha pogut identificar amb cap connexi ja existent. Independentment de possibles atacs, s possible que es produeixi aquest estat si hi ha poca memria per mantenir la taula destats de les connexions. NEW: el paquet ha establert una connexi nova. ESTABLISHED: el paquet pertany a una connexi ja establerta. RELATED: el paquet s una connexi nova, per est relacionada amb una connexi que ja est establerta. Un exemple podria ser la connexi de dades dFTP o b un paquet ICMP.
Exemples de regles
En una poltica de filtratge restrictiva. Per permetre tots els paquets UDP des duna xarxa (10.0.0.0/8) cap a un equip que els escolti en el port 138, caldria aplicar la regla segent:
iptables -A INPUT -s 10.0.0.0/8 -p udp --dport 138 -j ACCEPT
Daltra banda, en una poltica permissiva, per rebutjar un determinat paquet per port destinaci, independentment del protocol, caldria aplicar la regla segent:
iptables A INPUT --dport 53 j REJECT
Seguretat informtica
56
En una porta denlla, per fer nat sortint per una interfcie de xarxa amb IP esttica, es pot fer mitjanant lacci SNAT:
iptables t nat A POSTROUTING o eth1 j SNAT
En cas de disposar duna IP dinmica, cal afegir la lgica encarregada del cas qu la IP canvia (el temps durant el qual la interfcie no est disponible i el mateix canvi dIP). Lacci MASQUERADE sencarrega de gestionar-ho a un cost de procs per petici ms gran.
Figura 9. Exemple regles amb FWBuilder
Seguretat informtica
57
Cal evitar que un entorn de proves estigui exposat a atacs externs per mitj de la publicaci de serveis.
Seguretat informtica
58
2) Entorn de preproducci. En una segona fase, el sistema ja est configurat com si estigus a punt de posar-se en producci. En aquesta fase, s possible que personal extern de lorganitzaci hagi de poder accedir al sistema per ferhi unes primeres proves abans de validar-lo i passar-lo a producci. Aix doncs, caldria poder tenir el sistema amb els serveis definitius, ja configurats correctament, publicats, per amb laccs limitat. Un cop el sistema est validat com a correcte, la documentaci del sistema, els procediments per operar-hi i les degudes mesures de seguretat aplicades, es pot passar a lentorn de producci. 3) Entorn de producci. Un cop superades les fases anteriors, el sistema est llest per posar-se en funcionament. Aix el far ms sensible a atacs, ja que tindr menys restriccions daccs. En aquest punt, shi ha de limitar laccs i els registres shan de controlar de manera peridica per verificarne el funcionament sense incidncies.
Un entorn de producci ha destar documentat i monitorat correctament. Igualment, ha de tenir les poltiques de seguretat adequades.
MediaWiki s un programari de codi lliure que pot funcionar com a sistema gestor del coneixement.
Seguretat informtica
59
No es pot considerar que un sistema complex funciona correctament noms pel bon funcionament, separadament, de les parts que lintegren, ja que el programari que fa interactuar aquests components tamb pot fallar.
Seguretat informtica
60
3) Comprovaci de la configuraci. En loperaci de qualsevol servei, el ms normal s que shagin daplicar canvis en la configuraci o que calgui afegir-hi entrades a mesura que passi el temps. Per aix, cal saber com verificar la configuraci abans daplicar-la. Aplicar una configuraci sense cap verificaci (error doperaci) sol ser una de les causes de caiguda en dels serveis. Per aix s important tenir ben documentats els passos que shan de seguir per modificar-ne les configuracions i la manera adequada de verificar-hi els canvis. 4) Aturada. Laturada dun servei, com larrencada, pot ser molt simple en la majoria dels casos, per, quan lentorn s complex, pot ser ms complicat. Seguim lexemple del clster: si primer sapaga la base de dades i els servidors web continuen rebent peticions, aquestes peticions inacabables els poden saturar perqu no hi ha base de dades. Aix doncs, en un entorn com aquest, el ms adequat seria redirigir primer les peticions a un altre entorn en els balanceig de crrega, apagar els servidors web i, finalment, les bases de dades.
El monitoratge dels serveis s important per assegurar que es troben dins els parmetres del nivell de servei establert (SLA: acord de nivell de servei, service level agreement).
Seguretat informtica
61
Daemontools s un programari de codi lliure que reinicia automticament els dimonis si shan aturat.
Aquest tipus de supervisi dels dimonis acostuma a reduir considerablement el temps de caiguda dels serveis, ja que, en alguns casos, el problema se soluciona quan, simplement, el dimoni es torna a aixecar. Si el problema no s simplement un dimoni que t un error intern i satura, sin que es tracta dun procs que, tot i estar actiu, ha deixat de respondre, cal tenir un monitor configurat amb una acci definida que ha de dur a terme en cas que passi.
MONIT s un programari de codi lliure dedicat a la gesti de processos i sistemes de fitxers que permet fer tasques de manteniment de manera automtica: permet configurar monitors reactius.
Seguretat informtica
62
Si realment s un incident, cal obtenir tota la informaci possible per si pot servir de prova. Sha dintentar contenir lincident per evitar que es propagui, sempre sha dintentar reduir els danys que es pugin produir. Si s necessari, pot arribar a ser imprescindible bloquejar laccs a lequip o conjunt dequips involucrats. Cal aplicar un pla per reduir o eliminar el risc que lincident es torni a produir. Finalment, cal documentar tant lincident com el procs i la metodologia seguida. Per tal delaborar un informe complet sobre lincident, cal que tingui els punts segents: 1) Descripci. El document ha de comenar amb una introducci sobre lincident i un conjunt de dades bsiques. Sn les segents: Breu descripci de lincident a manera de ttol. Personal implicat. Data i hora de linici de lincident. Data i hora en qu es dna per finalitzat lincident. Nivell dafectaci: es poden tenir diferents nivells amb diferents criteris, per aix depn de lorganitzaci. De manera genrica, es poden fer servir els nivells segents: Greu: implica un problema de seguretat que ha causat danys en els sistemes afectats. Per tant, cal resoldrel al ms aviat possible i de manera ininterrompuda. Per exemple, si la base de dades principal de lentitat queda fora de lnia, far falta que hi hagi una implicaci total per resoldre-ho. Moderada: implica un problema que noms ha degradat el servei o ha afectat parts no crtiques. Aix sol indicar que la resoluci sha de dur a terme durant la jornada laboral segent. Per exemple, si arran dun atac de denegaci de servei un sistema intern queda aturat, es pot resoldre quan la jornada laboral es reprengui. Lleu: implica un problema que sha detectat, per no ha tingut cap impacte en els sistemes. Sol demanar un temps de resoluci ms llarg, per exemple, durant la setmana segent a la detecci. Quan apareix un error de programaci en algun programari que sutilitza i, per aix, cal aplicar els pedaos adients durant els dies segents.
Seguretat informtica
63
Figura 12. Els pics de trnsit poden ser tant atacs com enllaos daltres webs
2) Resum. A continuaci de la descripci, cal fer un resum breu del problema, lafectaci, les causes i la soluci perqu no es repeteixi. Mitjanant aquest resum, una persona no tcnica hauria de ser capa dentendre qu ha passat i quines mesures shan pres per evitar el mateix incident en un futur. 3) Anlisi. Lanlisi de lincident ha de ser el cos del document i shi ha de poder seguir, pas a pas, qu ha passat i com sha solucionat. Per aix cal dividir aquesta anlisi en tres parts diferenciades. Sn les segents: a) Procediment i metodologia. s important definir com sha actuat envers lincident per tal de poder entendre, posteriorment, les decisions que shan pres durant lactuaci. Tot i que el resultat pot ser el mateix, el mtode utilitzat pot invalidar les conclusions. Per exemple, si no sha comprovat la integritat dun fitxer de registre, aquest fitxer pot haver estat alterat. Un cop recollides les dades, cal poder verificar la validesa de totes les dades recollides.
Per poder estar segurs que les dades que mostra el sistema sn reals, conv tenir el conjunt deines que siguin necessries compilades estticament (sense llibreries del sistema que hagin pogut ser manipulades). Aquests fitxers shan de transmetre al sistema duna manera que impedeixi que es puguin modificar, per exemple, mitjanant un CD-ROM. Amb aquests fitxers danlisi cal anar escrivint els resultats en un sistema remot que tingui un sistema de comprovaci, per exemple, lMD5 o lSHA1. Per conservar lestat del sistema adequadament, s til obtenir la informaci segent: Hora del sistema: permet identificar lhora real dels registres. Si el sistema tingus una hora diferent de la real, els fitxers de registre tamb la tindrien modificada. Taules amb informaci voltil: per exemple, pot ser interessant obtenir la taula ARP i la taula dencaminament del sistema. Connexions de xarxa: si latacant est connectat al sistema o envia ordres asincrnicament (sense mantenir una connexi activa) pot ser important tenir el conjunt de connexions actives i pendents.
La taula ARP cont les adreces fsiques dels equips als que el sistema est directament connectat.
MD5 i SHA1 sn dos algorismes que generen un nmero de longitud fixa, que permet detectar si un fitxer ha estat modificat respecte del moment de generaci.
Seguretat informtica
64
A continuaci, caldria obtenir una cpia de totes les dades que puguin tenir alguna pista, com les dades i les metadades en disc. Convindria obtenir aquesta informaci mitjanant una imatge completa del disc. Seguidament, es poden investigar els processos del sistema. Aix doncs, primer de tot cal esbrinar els mduls que t carregats per si nhi ha algun que pugui interferir en lanlisi. A continuaci, pot ser til verificar els processos actius, quins fitxers tenen oberts i quines crides al sistema estan fent. Mitjanant totes aquestes dades, es pot obtenir una imatge bastant clara de lestat dun sistema. b) Documentaci. Durant la resoluci dun incident, el ms normal s consultar documentaci sobre el tema en qesti, ja que s impossible tenir totes les dades al cap per poder actuar. Conv, doncs, apuntar tota la documentaci, tant interna com externa. En cas que sigui documentaci interna, s especialment recomanable identificar quina sha fet servir per, desprs, poder-la corregir o adequar si s necessari. Contrriament, si sha fet servir documentaci externa, posteriorment es podr contrastar la informaci per veure si sha procedit adequadament i generar, desprs, documentaci interna per poder actuar ms rpidament i no haver de dependre de tercers. c) Incidncies detectades. Finalment, cal destacar la incidncia o conjunt dincidncies detectades. Quan sinvestiga un incident determinat, no s estrany detectar altres possibles punts daccs al sistema.
Figura 13. Web infectada
El sistema de fitxers proc de Linux pot ajudar a fer una anlisi dels processos actius.
4) Pla dacci. Un cop sha ents el problema, conv prendre mesures per evitar que es repeteixi en un futur. En determinar un pla dacci, s possible trobar diverses situacions. A continuaci, se nexposen unes quantes.
Seguretat informtica
65
Una mala configuraci. Si el problema ha estat una configuraci deficient, caldr verificar tota la configuraci del servei implicat, ja que shi podrien detectar altres problemes de configuraci. Un error (bug) sense cap peda disponible. Si el problema detectat s un error en la programaci del servei que necessita un peda que encara no ha estat disponible, convindr considerar diverses opcions: Si s possible desactivar el servei fins que se solucioni el problema, es pot deixar desactivat per evitar futures intrusions mentre els desenvolupadors corregeixen el problema. En cas contrari, si el servei no es pot desactivar, caldr veure si s possible mitigar el risc mitjanant alguna tcnica. Generalment, sutilitza una gbia mitjanant el chroot per evitar que una fallada en un servei afecti tot el sistema. Un error amb un peda disponible. s possible que un cop investigat un incident, es detecti que cal aplicar un peda al sistema per corregir la porta dentrada que sha fet servir per atacar-lo. En aquest cas, cal deixar especificat el peda que shi ha daplicar per comprovar-lo en un entorn de proves abans daplicar-lo al sistema de producci. Un mal s dels serveis de xarxa. Tamb s possible que es tracti dun mal s dels serveis publicats. Per tant, en aquest cas convindr veure si s possible establir una poltica ds mxim del recurs per evitar que, en un futur, el mal s del recurs per part dun usuari provoqui la fallada del sistema per a tots els usuaris. En alguns casos, s possible que el problema no sigui un mal s de la xarxa ni un abs per part de lusuari, sin que el protocol mateix permeti comportaments no desitjats. Un exemple molt clar s el protocol SMTP i el problema del correu no desitjat. Lentrega dun correu electrnic es basa en els dominis que t el servidor destinaci i no hi ha manera de comprovar lautenticitat de lemissor. Per larquitectura del correu electrnic, un servidor qualsevol no es pot saber a priori si s un intermediari legtim o un servidor que envia correu no desitjat. El problema se sol mitigar mitjanant llistes de servidors coneguts que envien correu no desitjat i un sistema de puntuacions heurstiques. 5) Annexos. Finalment, en els annexos es fan constar totes les dades que es creguin rellevants per entendre linforme, com parts dels registres o ordres que shan executat que puguin ser tils de cara a una anlisi posterior.
Seguretat informtica
66
Sol ser til incloure-hi el registre complet de la sessi, perqu la resta de personal implicat en la resoluci de la incidncia la pugui veure.
Un gui (script en angls) s una eina present en la majoria de distribucions Linux que permet enregistrar una sessi de consola.