Seguretat informtica

36

Tallafocs i monitoratge de xarxes

2. Tallafocs

Hi ha molts mecanismes per gestionar la seguretat en les xarxes. Un daquests mecanismes consisteix a utilitzar els tallafocs, que permeten definir visibilitats entre els equips que componen la xarxa. Daltra banda, mitjanant programari especfic es pot conixer lestat de la xarxa i els intents dintrusi que shi poden produir. En cas que finalment sarribi a produir la intrusi, caldr tenir a punt un procediment dacci per evitar mals majors com la destrucci de pistes o que es torni a produir el problema.

2.1. Utilitzaci deines de control del monitoratge en xarxes

Per a un monitoratge i un control complets de la xarxa i els sistemes que integra, cal fer servir un conjunt deines diferents que permeti tenir-ne una visi segons les necessitats de cada moment: no s el mateix intentar veure el patr que ha seguit un atacant per intentar descobrir els serveis de xarxa que trobar un atac de denegaci de servei en la xarxa.

2.1.1. Alertes del funcionament de la xarxa i els sistemes que integra

Una primera eina imprescindible per controlar les xarxes s un sistema que avisa quan hi ha algun problema, sia per un mal funcionament del sistema o per un atac extern. Per tal que resulti una eina efica, cal configurar-la amb cura. Daquesta manera, sevitaran les notificacions errnies (falsos positius), la falta de notificaci (falsos negatius) i les notificacions massives (la fallada dun sistema fa saltar les notificacions de tota la resta). En general, aquest sistema davisos hauria de permetre, almenys, els tres nivells segents: Correcte: el sistema opera dins els parmetres normals. Avs: el sistema sha desviat dels parmetres normals i aix pot comportar un problema en el servei. Alerta: el sistema es troba degradat o inoperatiu. Per evitar les notificacions massives hi ha dos escenaris possibles: 1) Si un element que deixa passar les comprovacions o les realitza per si mateix deixs de respondre, senviarien les notificacions no noms de lelement que ha deixat de funcionar, sin de tots els elements de qu el

Seguretat informtica

37

Tallafocs i monitoratge de xarxes

servidor de monitoratge perd la visibilitat. Per evitar aquest cas, simplementen dependncies entres les comprovacions, de manera que abans denviar una notificaci, cal verificar que lelement de qu depn funciona adequadament. Per tant, si falla un element determinat, noms envia la notificaci daquest element i no pas de tots els altres elements que en depenen. 2) Si un equip satura, tots els serveis que estiguin en aquest equip deixen de respondre. Per poder enviar una modificaci que indiqui que el servidor est apagat i que no tots els serveis han deixat de respondre, normalment es defineix una comprovaci que, si falla, notifica que tot lequip est apagat i no envia les notificacions de tots els serveis que cont.

Figura 5. Nagios en funcionament

El Nagios s una eina de codi lliure que permet monitorar serveis.

Seguretat informtica

38

Tallafocs i monitoratge de xarxes

2.1.2. Grfics de lestat de la xarxa i els sistemes al llarg del temps

Un atac acostuma a generar un trnsit inusual en la xarxa. Per tant, s important mantenir un registre per tal de comparar lestat actual amb lanterior. No t gaire sentit elaborar grfics amb les dades binries (estat correcte / estat alerta). Tanmateix, pot ser molt til elaborar-ne un que mostri dades com el trnsit, les sessions concurrents o la crrega del sistema.

Una eina de codi lliure molt utilitzada per fer grfics, tant de trnsit com daltres tipus de dades, s el Cacti.

Figura 6. Grfics amb el Cacti

2.1.3. Detall de lestat de la xarxa a linstant

En cas que hi hagi algun problema en la xarxa, pot resultar molt til disposar duna eina que permeti veure qu hi passa en un moment determinat. s important disposar duna eina que agrupi les dades i les mostri de manera que amb una ullada puguem veure com funciona la xarxa, quin tipus de dades hi ha, quin ns lorigen i quina ns la destinaci. Si les dades estan agrupades, s fcil deduir si hi ha cap problema i, en cas que nhi hagi algun, identificar-lo per mitigar-lo.

Ntop s una eina de codi lliure que fa aquesta anlisi instantnia de lestat de la xarxa.

Seguretat informtica

39

Tallafocs i monitoratge de xarxes

Figura 7. Estat de la xarxa amb Ntop

2.1.4. Gesti i anlisi de registres

Els registres (logs) que deixen les aplicacions sn la millor font dinformaci a lhora de detectar un atac i prendre mesures per evitar-lo. Per detectar la manipulaci dels registres, es pot fer servir un sistema que sencarregui de recollir totes les dades. A aquest sistema es pot afegir la data de recepci per poder correlacionar les dades, emmagatzemar-les i signar-les electrnicament per tal de detectar si salteren.

Hi ha moltes maneres de centralitzar els registres de les aplicacions, per en sistemes UNIX se sol utilitzar el dimoni Syslog.

Els passos que se segueixen per configurar un sistema demmagatzematge de registres amb Syslog sn els segents: 1) Es configura un dimoni de Syslog a escala local perqu rebi els registres de les aplicacions i en conservi una cpia local durant un perode de temps determinat. Daquesta manera, es poden consultar directament des del sistema mateix. 2) Es configura un dimoni de Syslog en un sistema remot que accepti dades i les emmagatzemi ordenades per data.

Seguretat informtica

40

Tallafocs i monitoratge de xarxes

3) El dimoni de Syslog del sistema en qu hi ha laplicaci va enviant una cpia dels registres al dimoni de Syslog remot. 4) Quan els registres es troben en el sistema remot, es fa una signatura electrnica per poder detectar si salteren.

Anlisi de registres
Quan les dades ja estan emmagatzemades, shi poden aplicar eines que permetin agregar-les a un informe sobre lestat del programari o el sistema. Per exemple, mitjanant laplicaci LogWatch, les dades dun sistema Linux es poden agrupar. Daquesta manera, es pot enviar un informe sobre lactivitat a ladministrador de sistemes. Tamb hi ha programari de carcter ms especfic, com lAWStats, que permet analitzar els registres de servidors web. Amb aquest programa es poden extreure dades molt importants si latacant no ha pogut alterar el sistema demmagatzematge de registres.
Figura 8. Una llista derrors 404 amb lAWStats pot oferir molta informaci LAWStats s un programari danlisi de registres dactivitat de servidors web, correu i FTP.

Activitat a investigar
En general, el que cal buscar en els registres sn les anomalies, ja que s molt complicat fer encaixar lactivitat que es genera en fer un atac amb el

Seguretat informtica

41

Tallafocs i monitoratge de xarxes

funcionament normal del sistema. Quan busquem anomalies, tamb es detecten falsos positius, activitat legtima que sembla illcita. Aix doncs, conv actuar amb cautela per no treure conclusions precipitades. Per exemple, en el cas danalitzar els registres dun servidor web, es podria comenar a analitzar lactivitat buscant els punts segents: Els fitxers ms consultats: entre els fitxers ms populars s possible trobar contingut illcit si el servidor web sest fent servir per distribuir-lo. Evoluci del trnsit: en cas que hi hagi un increment sobtat del trnsit de dades, seria factible que es tracts dun intent de denegaci de servei o b que shi hagus introdut algun contingut fraudulent. Aix doncs, per poder valorar qu passa en el servidor web, caldria estimar levoluci de bytes enviats, les consultes per unitat de temps i els totals de consultes per IP. Consultes a fitxers que no existeixen (404): s possible que, per tal de comprometre un servidor web, shagi dintentar diverses vegades. Algun daquests intents pot generar lerror 404 (not found), que queda registrat en els registres del servidor web. Si els errors 404 es comproven peridicament, s possible tenir una idea del tipus datacs que pateix el servidor web en qesti per prendre mesures.

2.1.5. IDS/IPS
La sigla IDS correspon a intrusion detection-system. Es tracta dun sistema que detecta intrusions o intents dintrusi i en notifica, per no els evita. Daltra banda, la sigla IPS correspon a intrusion prevention-system. El sistema, quan detecta un intent dintrusi, es pot configurar per bloquejar-lo o b pot afegir el sistema originant a una llista negra per evitar latac que ha detectat i intents futurs. Hi ha diversos tipus dIDS/IPS de carcter general: IDS/IPS de xarxa: basa la detecci dintrusions en lanlisi dels paquets que circulen per la xarxa. Un exemple de codi obert (open source) seria lSnort. IDS/IPS de sistema: basa la detecci dintrusions en lanlisi del conjunt del sistema. Un exemple de codi obert podria ser el Tripwire. Tamb es poden implementar sistemes IDS/IPS ms especialitzats que, com a contrapartida, consumeixen ms recursos: IDS/IPS basat en el protocol: el sistema entn el protocol pensat per detectar i evitar que sen faci un mal s. Fora que es compleixi adequadament.
Els principals fabricants de sistemes IDS/IPS sn els segents: TippingPoint, Radware, IntruShield, CISCO, Fortinet i Juniper.

Seguretat informtica

42

Tallafocs i monitoratge de xarxes

IDS/IPS basat en la lgica de laplicaci: entn el protocol de comunicaci i va ms enll. El sistema ha dentendre la lgica de laplicaci per fer que es compleixi. s el sistema ms especfic i, per tant, cal que sadapti amb molta cura a lentorn en qu es desplega.

Configuraci dun IDS/IPS

Un sistema IDS/IPS es pot desplegar en maneres de funcionament diferents: Encaminament (routing): safegeix com un punt ms de salt entre lorigen i la destinaci del paquet. Com que per encaminar els paquets el sistema ha de tenir una IP, el fa ms vulnerable als atacs. Passarella (bridge): el sistema IDS/IPS es configura per analitzar els paquets, per de manera que no esdevingui un salt ms en la transmissi. Daquesta manera, lIDS/IPS s ms complicat de detectar i no s possible accedir-hi directament, ja que no t una IP en el segment de xarxa pel qual passen els paquets. Port de cpia (network tap o port mirroring/spanning): lIDS veu tot el que circula per un port determinat des dun port diferent. Aix fa que, malgrat que pot informar sobre tot el que veu, no hi pugui intervenir, ja que no es tracta de trnsit real, sin duna cpia. Pot ser molt til per provar lIDS/IPS abans de passar-lo a producci o b per deixar-lo noms en mode avs (IDS).

Installaci dun IDS de xarxa

LSnort s un dels sistemes de detecci dintrusions de codi lliure ms populars. A continuaci, es veur com installar-lo i configurar-lo mitjanant el conjunt de regles lliures anomenades Emerging Threads. En aquest apartat es detallen els passos generals per fer una installaci del sistema IDS Snort en qualsevol sistema Linux. El mtode dinstallaci pot tenir petites variacions al llarg del temps, de manera que sempre conv comprovar la documentaci del sistema abans de comenar.

Un port de cpia cont el mateix trnsit que passa pel port dorigen.

# # # # # # # # # # #

wget http://dl.snort.org/snort-current/snort-2.8.5.1.tar.gz tar xzf snort-2.8.5.1.tar.gz cd snort-2.8.5.1 wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz tar xzf emerging.rules.tar.gz ./configure --prefix=/usr/local/ --exec-prefix=/usr/local/ --enable-dynamicplugin --with-mysql make all install mkdir -p /usr/local/etc/snort/rules mkdir -p /var/log/snort cp -pr /usr/local/src/snort-2.8.5.1/rules/* /usr/local/etc/snort/rules/ cp -pr /usr/local/src/snort-2.8.5.1/etc/* /usr/local/etc/snort/

Seguretat informtica

43

Tallafocs i monitoratge de xarxes

A continuaci, caldr crear una base de dades MySQL per emmagatzemar les alertes.

mysql> create database snort; Query OK, 1 row affected (0.00 sec) mysql> GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, ALTER, EXECUTE, CREATE ROUTINE, ALTER ROUTINE, USAGE on snort.* to snort@localhost identified by 'snortsecret'; Query OK, 0 rows affected (0.02 sec)

Seguidament, shaur demplenar la base de dades amb la definici de les taules que hi ha en el directori schemas del codi font de lSnort.
# cd /usr/local/src/snort-2.8.5.1/schemas/ # cat create_mysql | mysql snort -u root p

Tot seguit, caldr configurar lSnort adequadament. Per ser prctics, es pot fer servir la plantilla que proporciona la distribuci de lSnort, per primer caldr eliminar-ne unes quantes parts amb lexpressi regular segent:
# cd /usr/local/etc/snort/ sed 's@^\(include.*ules\)$@#\1@' i /usr/local/etc/snort/snort.conf

Per adequar la configuraci de lSnort, cal editar el fitxer snort.conf amb algun editor de text i configurar-hi els parmetres segents: HOME_NET: indica a lSnort les xarxes que sintenten protegir. Les xarxes hi apareixen separades per comes. EXTERNAL_NET: indica a quines xarxes externes estem connectats. Normalment es fa servir la inversa de la variable HOME_NET. output: indica on semmagatzemen els registres i els parmetres per fer-ho. En cas de fer servir una base de dades MySQL, cal especificarhi el nom dusuari, la contrasenya, el servidor de bases de dades i el nom de la base de dades. include: permet indicar un fitxer auxiliar de configuraci. Per exemple, pot servir per incloure cmodament totes les regles de la distribuci Emerging Threads.

Emerging Threads es distribueix sota llicncia BSD.

var HOME_NET [192.168.1.0/32,10.0.0.0/8] var EXTERNAL_NET !$HOME_NET var RULE_PATH rules output database: log, mysql, user=snort password=snortsecret dbname=snort host=localhost include $RULE_PATH/emerging.conf

Seguretat informtica

44

Tallafocs i monitoratge de xarxes

BASE (basic analysis and security engine)

BASE s una interfcie web que permet agrupar les dades de les alertes i generar-ne informes fcilment. A continuaci, es veur com installar-la.
# mkdir /var/www/admin/snortbase/htdocs -p # mkdir /var/www/admin/snortbase/logs -p # mkdir /var/www/admin/adodb -p # cd /var/www/admin/adodb # wget http://downloads.sourceforge.net/project/adodb/adodb-php5-only/adodb-510-for-php5/ adodb510.tgz?use_mirror=ovh # tar xzf adodb510.tgz # mv adodb5/* . # rmdir adodb5 # cd /var/www/admin/snortbase/htdocs # wget http://downloads.sourceforge.net/project/secureideas/BASE/base-1.4.4/base1.4.4.tar.gz?use_mirror=ovh # tar xzf base-1.4.4.tar.gz # mv base-1.4.4/* . # rmdir base-1.4.4 # chmod 757 /var/www/admin/snortbase/htdocs/

Amb el codi font de BASE descomprimit caldr configurar un virtual host en un servidor web que disposi de PHP. En el cas de lApache, per exemple, la configuraci seria la segent:
<VirtualHost *:80> ServerAdmin webmaster@exemple.com DocumentRoot "/var/www/admin/snortbase/htdocs" ServerName snort.exemple.com DirectoryIndex index.php <Directory /var/www/admin/snortbase/htdocs> Options FollowSymLinks AllowOverride None Order deny,allow Allow from all </Directory> ErrorLog "| /usr/local/sbin/cronolog -S /var/www/admin/snortbase/logs/current.error.log /var/www/ admin/snortbase/logs/%Y/%m/%d/error.log" CustomLog "| /usr/local/sbin/cronolog -S /var/www/admin/snortbase/logs/current.custom.log /var/www/ admin/snortbase/logs/%Y/%m/%d/custom.log" combined </VirtualHost>

Un cop el servidor web ha llegit la configuraci nova, cal accedir amb el navegador a ladrea en qu es troba la BASE per continuar la installaci. Les dades que demana sn les segents: Seleccionar lidioma i indicar la posici en el sistema de fitxer de lADODB. A lexemple sha installat a /var/www/admin/adodb. Introduir les dades de connexi al MySQL que shan definit en els passos anteriors. Opcionalment, permet definir una contrasenya daccs a la BASE.

Seguretat informtica

45

Tallafocs i monitoratge de xarxes

Per generar grfics amb la BASE, sha de disposar dun conjunt de mduls PEAR. Per installar-los, farem servir les ordres segents:
pear install Image_Color pear install Image_Canvas-alpha pear install Image_Graph-alpha

Finalment, caldr aixecar el dimoni Snort per comenar a recollir informaci. Per fer-ho, utilitzarem lordre segent:
/usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -D

2.1.6. Atacs comuns

Amb el conjunt deines IDS/IPS s possible detectar els diferents atacs que pot patir una xarxa. Els ms comuns sn els que es detallen a continuaci: Correu brossa. Actualment els virus, els cavalls de Troia i altres programes maliciosos (malware), un cop tenen el sistema infectat acostumen a enviar correu brossa. Per detectar aquest problema de seguretat, caldr buscar sistemes que estiguin generant trnsit amb destinaci al port 25 daltres sistemes dInternet. Denegacions de servei (DoS). Es tracta dun problema de seguretat que busca deshabilitar un servei determinat. Hi ha moltes maneres de causar una denegaci de servei. La ms coneguda, perqu s la ms complicada daturar, s llanar una gran quantitat de connexions simultnies. Aix fa que els recursos del servidor sesgotin o b que, simplement, el trnsit legtim es redueixi com a conseqncia del trnsit de latac. Tot i aix, aquesta no s lnica manera de provocar una denegaci de servei. Per exemple, un paquet manipulat de manera especial pot fer que un dimoni produeixi un error intern i, consegentment, el servei sapagui. Si el dimoni en qesti no disposa dun sistema darrencada automtic, es produeix una denegaci de servei fins que un operador del sistema hi interv. P2P/Programari piratejat. Actualment, en cas dintrusi en un servidor, el ms com s que shi installi programari per enviar correu brossa. Anteriorment, els sistemes infectats se solien fer servir per distribuir programari piratejat (warez). En aquests casos, el trnsit dFTP o de protocols P2P sol incrementar. Aix doncs, per detectar aquest tipus dincident, cal revisar lincrement daquests protocols mitjanant un IDS/IPS o b un sistema danlisi del trnsit. Pesca. Un altre efecte dels virus s la installaci de programari per robar informaci. Un cop installat, aquest atac pot ser complicat de detectar: cal analitzar els canvis en el sistema de fitxers, analitzar els
El warez s un programari amb drets dautor que es distribueix illcitament. Malware

Malware s el conjunt de programari malicis. Shi inclouen els virus, els cucs, els cavalls de Troia, les eines dintrusi (rootkits) i el programari de publicitat (adware), entre altres.

Seguretat informtica

46

Tallafocs i monitoratge de xarxes

fitxers de registre de tots els dimonis o b fer captures del trnsit de la xarxa. En cas que la pesca faci servir un nom de domini diferent del nom propi del sistema, es podria analitzar el trnsit HTTP buscant la capalera Host per detectar-lo. Si utilitzem tcpdump en Linux, ho podrem fer mitjanant les ordres segents:
# tcpdump -nni eth0 -s 0 -w /tmp/captura 'port 80'

Si tingussim una mostra prou gran del trnsit, les peticions web es podrien analitzar mitjanant lordre segent:

Lordre strings extreu les cadenes de text dun fitxer binari.

strings /tmp/exemple | grep Host: | awk '{ print $NF }' | sort | uniq -c | sort n

Distribuci de virus
Per poder fer els atacs que shan descrit ms amunt, s imprescindible propagar, mnimament, el programa malicis. Daquesta manera, en general, un equip infectat, independentment de la resta daccions que se li poden fer emprendre, es converteix en un altre punt de propagaci daquest programa. s imprescindible, doncs, analitzar peridicament els equips per buscar-hi virus i altres tipus de programes maliciosos.

En el cas de Linux, es pot fer servir lantivirus de codi lliure ClamAV per analitzar els sistemes.

2.2. Tallafocs en equips i servidors: installaci, configuraci i utilitzaci

Un tallafoc (firewall) s un sistema dissenyat per controlar laccs a les xarxes i els sistemes. Aquest dispositiu pot funcionar com a element de xarxa i gestionar els permisos daccs entre xarxes diferents i els nivells de confiana o b com a aplicaci en els amfitrions (hosts) per protegir tant les connexions entrants com sortints del sistema, concretament de la resta de la xarxa.

2.2.1. mbit de la protecci del tallafoc

Es pot fer una primera classificaci dels tallafocs segons el que han de protegir: Tallafocs de xarxa: es tracta dun element en la xarxa que regula les connexions entre els diferents segments de la xarxa. A part de les possibles connexions cap al tallafoc mateix, la funci principal que t s filtrar el trnsit que hi passa.

Els fabricants principals de tallafocs sn Juniper, CISCO, CheckPoint, Fortinet i Stonesoft.

Seguretat informtica

47

Tallafocs i monitoratge de xarxes

Tallafocs personals (o de sistema): sinstalla com una altra aplicaci del sistema i la funci que t s filtrar el trnsit que shi dirigeix, tant connexions entrants (connexions que provenen daltres sistemes) com connexions sortints (connexions que soriginen en el mateix sistema), que poden ser causades per altres aplicacions. Preferentment, shauria daplicar un tallafoc de xarxa en lloc dinstallar un tallafoc de sistema a cada mquina. Els motius, que sn diversos, sn els segents: Es permet centralitzar la poltica de seguretat: un canvi dadreament global o dun amfitri implicaria accedir a tots els sistemes per reconfigurar els tallafocs. Si es desactiva el tallafoc dun sistema, sevita que tingui accs a la informaci que circula per la xarxa.

2.2.2. Base del filtratge

Tamb podem diferenciar els tallafocs en funci de les dades que fan servir per decidir si permeten o deneguen un determinat paquet: Tallafocs de filtratge de paquets sense estat (stateless): les dades que fan servir sn, estrictament, les que cont el paquet. Normalment, les dades que sutilitzen sn lorigen, la destinaci, el protocol i, si el protocol de transport ho suporta, el port dorigen i el de destinaci. Tallafocs de filtratge de paquets amb estat (stateful): no noms es basa en les dades que proporciona el paquet, sin que tamb mant una taula interna destat. Daquesta manera, permet identificar si un determinat paquet inicia una connexi nova, si s duna connexi existent o si s un paquet invlid. Aix permet evitar atacs que injecten paquets amb un origen invlid (passarien per un tallafoc sense estat) i provoquen denegacions de servei, per sense que estiguin relacionats amb cap connexi. Tallafocs a escala daplicaci (proxy): aquesta classe de tallafocs no es limita a inspeccionar els paquets que passen per la xarxa, sin que entn el protocol daplicaci. Aix permet que aquests tallafocs detectin si sintenta fer servir el protocol dalguna manera que pugui provocar algun tipus de comportament no desitjat o, fins i tot, filtrar segons el contingut. Evidentment, inspeccionar amb ms profunditat el trnsit que circula implica un cost ms gran.

Seguretat informtica

48

Tallafocs i monitoratge de xarxes

2.2.3. Poltica per defecte de restriccions

s possible configurar tots els tallafocs per tal que tinguin dues intencions, denegar noms un part del trnsit o b permetren noms una part: Poltica restrictiva: denega tot el trnsit, tret del que se li indica (equival a una llista blanca). Poltica permissiva: permet tot el trnsit, tret del que se li indica (equival a una llista negra). Aparentment, el mats s molt subtil, per implica una gran diferncia. Si simplementa una poltica restrictiva, el que es necessita saber s qu circula lcitament per la xarxa per permetre aquest trnsit. En canvi, si simplementa una poltica permissiva, el que es necessita saber s quin trnsit no volem que circuli per la xarxa. Segons lentorn, pot interessar ms una poltica per defecte o laltra. Preferentment, per, shauria de fer servir la poltica restrictiva, perqu com que noms deixa circular el trnsit perms, sevita la possibilitat dhaver oblidat algun trnsit potencialment perills pel sistema. A continuaci, es mostren uns quants exemples daplicaci daquestes poltiques. Sn els segents: Si disposem dun tallafoc i de dos servidors que noms tenen un servidor SMTP, el ms adequat seria aplicar-hi una poltica restrictiva i permetre, noms, el trnsit amb destinaci al port 25. La poltica permissiva podria ser adequada en cas de tenir un entorn de confiana en qu, considerant la quantitat de trfic que shi genera, no es vol penalitzar lintercanvi de paquets, per s restringir alguns ports administratius a un segment determinat de la xarxa.

2.2.4. Diferncia entre filtratge per rang o per adrea

El filtratge dels paquets es pot fer tant per rang (segment de xarxa) com per IP (sistema). En general, els sistemes shaurien de separar en diferents segments segons la funci que fan. Preferentment, tamb caldria especificar la visibilitat per a cada segment en el tallafoc. Si, per algun motiu, es vol introduir una regla per a un sistema especfic, cal valorar, abans de fer-ho, si aquest sistema s prou diferent per tenir un segment independent.

Seguretat informtica

49

Tallafocs i monitoratge de xarxes

2.2.5. Tipus de bloqueig

Els tallafocs tamb es poden classificar segons la poltica que segueixen en bloquejar una transmissi. La divisi s la segent: Descarta (DROP): descarta el paquet completament sense notificar-ho a qui lha enviat. Rebutja (REJECT): descarta el paquet i ho notifica a qui lha enviat. s ms recomanable fer servir una poltica per defecte de descartar, ja que sevita que un possible atacant esbrini si el tallafoc ha passat el paquet o lha filtrat. Tot i aix, per facilitar ladministraci de xarxes, s interessant fer servir la poltica de rebutjar en les xarxes internes, ja que ajuda a diagnosticar problemes de connectivitat.

Comparaci entre descartar i rebutjar

Un atacant podria intentar esbrinar si un dimoni escolta o no un port UDP. El protocol de transport UDP no estableix cap connexi. Per tant, a lhora de fer un escaneig de ports UDP, sespera rebre un paquet ICMP de tipus 3 (unreachable). Si no es rep, se suposa que el port s obert. Podem comprovar-ho mitjanant leina nc i tcpdump. Primer de tot, des duna consola Linux, cal executar el tcpdump i limitarne la sortida al port UDP/53 o missatges ICMP:

# tcpdump -nni eth0 'udp port 53 or icmp' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

A continuaci, en una altra consola amb lnc (netcat), es pot fer la prova en qualsevol servidor dInternet. Podrem comprovar que, en cas que tinguin una poltica de rebutjar o b no tinguin cap tallafoc, no ens sortir cap missatge.
# nc -uz giktal.systemadmin.es 53

Tanmateix, en la consola del tpcdump veurem una sortida similar a la segent:

10:04:24.542583 10:04:24.542614 10:04:24.542783 10:04:24.542785

IP IP IP IP

10.10.1.59.34084 > 10.10.17.159.53: [|domain] 10.10.1.59.34084 > 10.10.17.159.53: [|domain] 10.10.1.15 > 10.10.1.59: ICMP 10.10.17.159 udp port 53 unreachable, length 37 10.10.1.15 > 10.10.1.59: ICMP 10.10.17.159 udp port 53 unreachable, length 37

Seguretat informtica

50

Tallafocs i monitoratge de xarxes

En cas que el servidor s que tingui habilitat el DNS o b tingui la poltica de descartar el paquet en el tallafoc, lnc mostrar el missatge segent:

# nc -uz giktal.systemadmin.es 53 Connection to giktal.systemadmin.es 53 port [udp/domain] succeeded!

En la terminal del tcpdump es veuran diversos enviaments sense cap resposta:

10:09:22.117146 10:09:22.117577 10:09:23.117871 10:09:24.118217 10:09:25.118552 IP IP IP IP IP 10.10.1.59.48166 10.10.1.59.48166 10.10.1.59.48166 10.10.1.59.48166 10.10.1.59.48166 > > > > > 84.88.0.3.53: 84.88.0.3.53: 84.88.0.3.53: 84.88.0.3.53: 84.88.0.3.53: [|domain] [|domain] [|domain] [|domain] [|domain]

En resum, es pot veure que si senvia un paquet UDP a un sistema, poden passar dues coses: Si retorna un paquet ICMP: el port UDP est filtrat amb una poltica de rebutjar o b no hi ha cap dimoni que escolti en el port. Si no retorna res: el port UDP est filtrat amb una poltica de descartar o b hi ha un dimoni que escolta en aquest port. Per diferenciar si s un filtratge o si, realment, sarriba en un port en qu hi ha un procs que escolta, el comportament del sistema es pot verificar amb la resta de ports UDP.

2.2.6. Configuraci del tallafoc

Com en el cas de lIDS/IPS, hi ha dues maneres diferents de configurar un tallafoc. Passarella (bridge): com en el cas dun IDS/IPS, el tallafoc s transparent a la xarxa. No disposa duna adrea i, per tant, no shi pot accedir directament per mitj de les xarxes que protegeix. La installaci del tallafoc consisteix a recollir els paquets duna interfcie i, sense modificar-los, injectar-los en una altra interfcie de xarxa segons les regles de filtratge. Encaminament (routing): es tracta del mtode ms com. Es configura el tallafoc de manera que actu com a porta denlla (gateway) de les xarxes que protegeix. Aix, totes les connexions que sestableixen entre xarxes diferents hi han de passar. Si es tracta dun IDS, configurar-lo en un port de cpia t sentit. Tanmateix, en un tallafoc noms tindria sentit en cas de voler fer una prova per verificar-ne la configuraci abans daplicar-la al tallafoc real.

Seguretat informtica

51

Tallafocs i monitoratge de xarxes

2.2.7. Altres caracterstiques dels tallafocs

Hi ha altres caracterstiques que, tot i no ser prpies dels tallafocs, es troben en la majoria. NAT/PAT. El NAT (traductor dadreces de xarxa, network address translator) s un sistema de traducci de ladreament. Quan el paquet arriba al tallafoc, ladreament es tradueix a un altre adreament diferent. Normalment es fa servir per comunicar un conjunt de sistemes (normalment amb adreament privat amb la resta dInternet fent servir una sola IP pblica). Aix doncs, tota una xarxa queda amagada rere una IP. Segons ladrea que es modifica, es parla dSNAT (modificar ladrea origen) o b de DNAT (modificar ladrea destinaci). El terme PAT (port address translation) implica no noms una redefinici de ladreament, sin tamb del port. VPN. El VPN (xarxa privada virtual, virtual private network) s una xarxa implementada sobre una capa de programari (que normalment xifra el trnsit). A la vegada, la capa de programari est implementada sobre una altra capa ja existent de xarxa. Aix permet crear xarxes sobre xarxes que ja existeixen. Normalment es fa servir per connectar a la xarxa interna des dun punt remot per mitj de la xarxa pblica dInternet. Hi ha targetes amb unitats de procs especialitzades a fer el xifratge. Per tant, en general, no ho fa la unitat de procs del tallafoc, sin una targeta amb una unitat de procs especialitzada a fer aquesta operaci. IDS/IPS. Tot i que no s la funci que fa, un tallafoc tamb pot actuar com a IDS/IPS. Normalment, per afegir-hi aquesta crrega extra, safegeix una altra targeta al sistema. Daquesta manera, saconsegueix que reparteixi la crrega de la feina extra que ha de fer en inspeccionar els paquets per cercar-hi signatures.
Ladreament privat es defineix en lRFC-1918 i sn les xarxes 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16.

2.2.8. Limitacions dels tallafocs

Els tallafocs sn una eina imprescindible per garantir la seguretat en les xarxes. De totes maneres, no sn infranquejables i tenen limitacions com les segents: No protegeixen derrors de seguretat dels serveis a qu permet el trnsit. Per exemple, si a causa de lentrada duna cadena manipulada de manera especial a un formulari web, saccedeix a dades confidencials, el tallafoc no ser capa de detectar-ho. No protegeix datacs entre equips connectats en el mateix segment perqu el trnsit no passa pel tallafoc.

Seguretat informtica

52

Tallafocs i monitoratge de xarxes

s possible encapsular trnsit dins altres protocols (ICMP, DNS, etc.), cosa que permet crear tnels que comuniquen dos extrems per mitj dun tallafoc. Si sobre un port en el tallafoc, no s possible assegurar que el protocol que a priori hauria de circular per aquest port sigui, forosament, el protocol que hi passa en realitat. Per detectar aquesta situaci, seria necessari inspeccionar els paquets.

2.2.9. Sistema tallafoc de Linux: iptables/netfilter

Les iptables sn una eina que permet configurar les regles de filtratge del tallafoc que implementa el Kernel Linux. Lentorn que implementa efectivament les regles de filtratge sanomena netfilter. Per fer-ho, utilitza lligams (hooks) en el sistema de procs dun paquet. Com que tots dos estan tan relacionats, sovint, per fer referncia a aquest conjunt, sutilitza simplement el terme iptables. Per poder fer operacions amb les iptables s necessari tenir privilegis dadministraci del sistema, o fent servir lusuari primari (root user) o fent servir permisos donats per ladministrador de lequip mitjanant sudo.

Taules
El mode de funcionament de les iptables agrupa les regles de filtratge de paquets en taules segons la funci i el punt de processament: filter (taula per defecte): defineix la poltica que defineix com un paquet, generat per un procs local del sistema, entra en un procs (entrada, INPUT), passa pel sistema (avanament, FORWARD) o en surt (sortida, OUTPUT). En els lligams que t en com amb la resta de les taules, aquesta s la taula menys prioritria. nat: defineix com es modifiquen i es redirigeixen els paquets quan es crea una nova connexi, segons si surten del sistema des dun procs local (OUTPUT), entren per la interfcie de xarxa (PREROUTING) o estan a punt de sortir per la interfcie de xarxa (POSTROUTING). mangle: defineix com es modifica un paquet que entra per la interfcie de xarxa (PREROUTING), travessa el sistema (FORWARD) i est a punt de sortir per la targeta de xarxa (POSTROUTING) o b entra (INPUT) o surt (OUTPUT) dun procs local del sistema. En els lligams que t en com amb la taula nat, aquesta taula t ms prioritat. raw: aquesta taula t ms prioritat que la resta. Defineix dos lligams amb ms prioritat que la resta de taules. I aix abans que sapliqui el

Seguretat informtica

53

Tallafocs i monitoratge de xarxes

mdul conntrack. Es fa servir, doncs, per afegir regles sense estat. Els paquets que entren per una interfcie de xarxa (PREROUTING) o que surten (OUTPUT) dun procs local, es poden filtrar amb aquesta taula.

Cadenes (chains)
Hi ha dos tipus de cadenes o chains: les que estan predefinides i les que crea lusuari. Pel que fa a les predefinides, nhi ha una per cada lligam i taula. Per exemple, en la taula filter hi ha tres cadenes predefinides: INPUT, OUTPUT i FORWARD. Per evitar repetir regles en cada cadena predefinida, lusuari en pot crear de prpies i les pot agrupar com convingui. Mitjanant lopci N es pot crear una regla nova:
iptables -N exemple

A continuaci, aquesta cadena es pot afegir a la resta de cadenes per tal que quan un paquet passi per algun dels lligams, tamb passi per aquesta cadena nova:
iptables A INPUT t nat j exemple

Ordre de processament dun paquet

Tal com es pot veure en la taula 1, lordre que seguiria un paquet per aquestes taules i lligams depn de lorigen i la destinaci que tingui.
Taula 1. Lligams depenent de lorigen i la destinaci Origen i destinaci Ordre 1. mangle (PREROUTING) Duna interfcie de xarxa a un procs local 2. nat (PREROUTING) 3. mangle (INPUT) 4. filter (INPUT) 1. mangle (OUTPUT) 2. nat (OUTPUT) Dun procs local a una interfcie de xarxa 3. filter (OUTPUT) 4. mangle (POSTROUTING) 5. nat (POSTROUTING) 1. mangle (OUTPUT) Dun procs local a un altre procs local 2. nat (OUTPUT) 3. filter (OUTPUT) 1. mangle (PREROUTING) 2. nat (PREROUTING) El paquet no va dirigit al sistema, sin que el travessa 3. mangle (FORWARD) 4. filter (FORWARD) 5. mangle (POSTROUTING) 6. nat (POSTROUTING)

Seguretat informtica

54

Tallafocs i monitoratge de xarxes

Un paquet parteix dun lligam i va travessant seqencialment les regles de cada cadena fins que passa el segent: Una regla concorda i fa una crida a alguna acci (target). Es crida a lacci RETURN explcitament mitjanant j RETURN o b implcitament en no haver-hi ms regles en la cadena.

Accions (targets)
Les accions per defecte sn les segents: ACCEPT: permet el pas del paquet. DROP: descarta el paquet. QUEUE: passa el paquet a lespai dusuari perqu una aplicaci el processi. Si no hi ha cap aplicaci, es descarta. RETURN: acaba el processament de la cadena i torna a la cadena anterior. s til per deixar de processar una cadena si ja sabem que no coincidir amb les regles segents. Per exemple, si veiem que s un paquet UDP i les regles de la cadena sn totes per a TCP. A ms a ms, una acci molt utilitzada, tot i que s un mdul independent, s REJECT, que en lloc de descartar el paquet, el rebutja i envia un paquet ICMP com a resposta.

Opcions generals per aplicar un filtre

Per filtrar el paquet hi ha moltes opcions disponibles, tant opcions que estan incloses per defecte en les iptables com altres que estan desenvolupades com a mduls. A continuaci, sexposen les ms comunes: -s (IP origen) / -d (IP destinaci): permet especificar tant la IP dorigen coma la IP de destinaci. Si una opci no sespecifica, se suposa que sindica una IP qualsevol. -i (interfcie dentrada) / -o (interfcie de sortida): pot set tant una interfcie fsica com un tnel o una passarella. A ms, permet especificar expressions regulars per indicar totes les interfcies dun tipus concret. -p (protocol): permet separar entre trnsit TCP, UDP i ICMP o tots els trnsits (mitjanant all).

Seguretat informtica

55

Tallafocs i monitoratge de xarxes

-sport / -dport: permet especificar tant el port dorigen (sport) com el port de destinaci (dport) si el protocol de transport deixa utilitzar ports. Passa el mateix que amb les IP dorigen i de destinaci: si no sespecifica, se suposa que pot ser qualsevol. --state: en totes les taules, excepte la RAW, es pot fer servir lestat de la connexi. Els estats possibles sn els segents: INVALID: el paquet no sha pogut identificar amb cap connexi ja existent. Independentment de possibles atacs, s possible que es produeixi aquest estat si hi ha poca memria per mantenir la taula destats de les connexions. NEW: el paquet ha establert una connexi nova. ESTABLISHED: el paquet pertany a una connexi ja establerta. RELATED: el paquet s una connexi nova, per est relacionada amb una connexi que ja est establerta. Un exemple podria ser la connexi de dades dFTP o b un paquet ICMP.

Poltica per defecte de la cadena

Amb el parmetre P es pot definir la poltica per defecte duna cadena. Per exemple, per definir com a poltica per defecte que la cadena INPUT sigui descartar, la de FORWARD rebutjar i la dOUT acceptar shaurien dexecutar les ordres segents:
iptables P INPUT DROP iptables P FORWARD REJECT iptables P OUTPUT ACCEPT

Exemples de regles
En una poltica de filtratge restrictiva. Per permetre tots els paquets UDP des duna xarxa (10.0.0.0/8) cap a un equip que els escolti en el port 138, caldria aplicar la regla segent:
iptables -A INPUT -s 10.0.0.0/8 -p udp --dport 138 -j ACCEPT

Daltra banda, en una poltica permissiva, per rebutjar un determinat paquet per port destinaci, independentment del protocol, caldria aplicar la regla segent:
iptables A INPUT --dport 53 j REJECT

Seguretat informtica

56

Tallafocs i monitoratge de xarxes

En una porta denlla, per fer nat sortint per una interfcie de xarxa amb IP esttica, es pot fer mitjanant lacci SNAT:
iptables t nat A POSTROUTING o eth1 j SNAT

En cas de disposar duna IP dinmica, cal afegir la lgica encarregada del cas qu la IP canvia (el temps durant el qual la interfcie no est disponible i el mateix canvi dIP). Lacci MASQUERADE sencarrega de gestionar-ho a un cost de procs per petici ms gran.
Figura 9. Exemple regles amb FWBuilder

Interfcies grfiques per a tallafocs

Hi ha una gran quantitat dinterfcies grfiques que permeten gestionar tant iptables com altres sistemes tallafoc. Generalment, cada distribuci inclou la seva prpia interfcie grfica per al tallafoc. Generalment, aquesta interfcie est pensada per habilitar i desactivar conjunts de regles predefinides. Per fer configuracions ms complexes, cal fer servir la lnia dordres o programari especfic, que s molt ms complex. Un exemple dinterfcies grfiques per a configuracions complexes s lFwbuilder, que, a ms de permetre configurar iptables, permet configurar encaminadors CISCO, Firewalls CISCO PIX i diferents tallafocs de sistemes BSD: ipfilter, pf i ipfw.

Seguretat informtica

57

Tallafocs i monitoratge de xarxes

Figura 10. Configurador del tallafoc de MacOSX Server

2.3. Interpretaci i utilitzaci com a ajuda de documentaci tcnica

Per considerar un sistema en producci primer caldria que el sistema passi pels entorns de proves, preproducci i producci. A ms, cal generar documentaci per poder fer el procs repetible, els procediments associats al servei segons sigui necessari i un sistema de monitoratge perqu les fallades del servei siguin detectades.

2.3.1. Installaci i posada en marxa dun sistema

Des del punt de vista de la seguretat, un sistema hauria de passar per tres fases abans de posar-se en funcionament. Aquestes fases han de correspondre a lestat de la installaci del sistema per evitar que una mala configuraci dun sistema de proves pugui ser la porta dentrada dun intrs. 1) Entorn de proves. Primer de tot, caldria que es poss en un entorn adequat per poder fer les primeres proves de funcionament del sistema. Conv que aquest entorn estigui al ms allat possible, ja que, en una fase inicial de proves, no es pot esperar que els serveis estiguin configurats correctament ni que els usuaris no hagin de fer servir contrasenyes fortes.

Cal evitar que un entorn de proves estigui exposat a atacs externs per mitj de la publicaci de serveis.

Seguretat informtica

58

Tallafocs i monitoratge de xarxes

2) Entorn de preproducci. En una segona fase, el sistema ja est configurat com si estigus a punt de posar-se en producci. En aquesta fase, s possible que personal extern de lorganitzaci hagi de poder accedir al sistema per ferhi unes primeres proves abans de validar-lo i passar-lo a producci. Aix doncs, caldria poder tenir el sistema amb els serveis definitius, ja configurats correctament, publicats, per amb laccs limitat. Un cop el sistema est validat com a correcte, la documentaci del sistema, els procediments per operar-hi i les degudes mesures de seguretat aplicades, es pot passar a lentorn de producci. 3) Entorn de producci. Un cop superades les fases anteriors, el sistema est llest per posar-se en funcionament. Aix el far ms sensible a atacs, ja que tindr menys restriccions daccs. En aquest punt, shi ha de limitar laccs i els registres shan de controlar de manera peridica per verificarne el funcionament sense incidncies.

Un entorn de producci ha destar documentat i monitorat correctament. Igualment, ha de tenir les poltiques de seguretat adequades.

2.3.2. Documentaci del sistema

Per tal dinstallar el sistema correctament, cal consultar la documentaci del producte mateix. Sol estar en angls. s molt normal fer cerques amb cercadors per trobar configuracions predefinides. Daquesta manera, no sha de comenar de zero. Tot i que la informaci que es pot trobar a Internet pot ser molt til, sempre cal comprovar-la i contrastar-la. s possible que les dades que es trobin continguin problemes de seguretat accidentals o intencionats. Si sn intencionats, latacant espera que alg faci servir les dades i, desprs, aprofita la mala configuraci per accedir al sistema. Durant el procs, cal documentar-ho tot, per especialment les fonts que utilitzem. Si emmagatzemem les dades en un sistema de gesti del coneixement, evitarem haver de repetir tot lesfor que hem fet per posar el sistema en funcionament. Daquesta manera, podrem repetir el procs seguint la documentaci que hem generat prviament.

Langls sha convertit en la llengua ms utilitzada per a la documentaci tcnica.

MediaWiki s un programari de codi lliure que pot funcionar com a sistema gestor del coneixement.

Seguretat informtica

59

Tallafocs i monitoratge de xarxes

Figura 11. MediaWiki, sistema de gesti del coneixement

2.3.3. Procediments del sistema

Un cop el sistema sha installat correctament, tamb cal documentar com cal operar-lo per mantenir-lo en funcionament. A continuaci, sexposen uns quants procediments bsics que permeten operar qualsevol sistema. 1) Arrencada. Un dels procediments ms importants s saber com cal arrencar un servei determinat. Alguns sistemes poden ser tan simples que noms faci falta prmer el bot darrencada per fer-los funcionar. Tanmateix, en altres sistemes, el procediment pot ser ms complex. Per exemple, per arrencar un clster compost per un conjunt de balanceigs de crrega, un conjunt de servidors web i un conjunt de servidors de bases de dades, primer shaurien darrencar les bases de dades, desprs els servidors web i finalment els balancejos. Si es fes a linrevs, les primeres capes saturarien les segones, que encara no estarien preparades, i larrencada podria fallar o trigar molt ms temps. 2) Comprovaci del funcionament. Un cop arrencat el sistema, cal poder validar que funciona correctament. Sha de comprovar que els components funcionen separadament i conjuntament. Per exemple, es pot comprovar separadament el funcionament dun servidor web i el de la base de dades, per no es pot estar segur que funcionen en conjunt si no es fa una petici a la base de dades amb el servidor web.

No es pot considerar que un sistema complex funciona correctament noms pel bon funcionament, separadament, de les parts que lintegren, ja que el programari que fa interactuar aquests components tamb pot fallar.

Seguretat informtica

60

Tallafocs i monitoratge de xarxes

3) Comprovaci de la configuraci. En loperaci de qualsevol servei, el ms normal s que shagin daplicar canvis en la configuraci o que calgui afegir-hi entrades a mesura que passi el temps. Per aix, cal saber com verificar la configuraci abans daplicar-la. Aplicar una configuraci sense cap verificaci (error doperaci) sol ser una de les causes de caiguda en dels serveis. Per aix s important tenir ben documentats els passos que shan de seguir per modificar-ne les configuracions i la manera adequada de verificar-hi els canvis. 4) Aturada. Laturada dun servei, com larrencada, pot ser molt simple en la majoria dels casos, per, quan lentorn s complex, pot ser ms complicat. Seguim lexemple del clster: si primer sapaga la base de dades i els servidors web continuen rebent peticions, aquestes peticions inacabables els poden saturar perqu no hi ha base de dades. Aix doncs, en un entorn com aquest, el ms adequat seria redirigir primer les peticions a un altre entorn en els balanceig de crrega, apagar els servidors web i, finalment, les bases de dades.

2.3.4. Monitoratge del sistema

s important que un sistema estigui monitorat constantment abans que passi a producci. Daquesta manera, les fallades es detectaran quan es produeixin i es podran solucionar al ms aviat possible.

El monitoratge dels serveis s important per assegurar que es troben dins els parmetres del nivell de servei establert (SLA: acord de nivell de servei, service level agreement).

Disponibilitat del sistema

La disponibilitat del sistema es calcula mitjanant el percentatge del temps durant el qual el servei ha estat disponible. En cas de clcul anual, per als percentatges de disponibilitat que es mostren a continuaci, el temps daturada seria el segent: 99%: 87 hores anuals (7 hores mensuals) daturada 99,9%: 8 hores anuals (43 minuts mensuals) daturada 99,99%: 52 minuts anuals (4 minuts mensuals) daturada 99,999%: 5 minuts anuals (26 segons mensuals) daturada 99,9999%: 30 segons anuals daturada

Seguretat informtica

61

Tallafocs i monitoratge de xarxes

Supervisi i monitors reactius

Per millorar la disponibilitat del sistema, s una prctica fora comuna disposar dun programari que supervisi els dimonis que hi pugui haver, sia en un clster o noms en un node.

Daemontools s un programari de codi lliure que reinicia automticament els dimonis si shan aturat.

Aquest tipus de supervisi dels dimonis acostuma a reduir considerablement el temps de caiguda dels serveis, ja que, en alguns casos, el problema se soluciona quan, simplement, el dimoni es torna a aixecar. Si el problema no s simplement un dimoni que t un error intern i satura, sin que es tracta dun procs que, tot i estar actiu, ha deixat de respondre, cal tenir un monitor configurat amb una acci definida que ha de dur a terme en cas que passi.

MONIT s un programari de codi lliure dedicat a la gesti de processos i sistemes de fitxers que permet fer tasques de manteniment de manera automtica: permet configurar monitors reactius.

2.4. Realitzaci dinformes dincidncies de seguretat

Quan hi ha un incident de seguretat, primer cal notificar lincident als responsables dels sistemes involucrats i procedir amb cautela. Una de les tendncies ms comunes s entrar als equips involucrats i comenar a buscar-hi sense saber exactament qu passa. Daquesta manera, es poden destruir pistes que poden ajudar a entendre qu ha passat. Per tant, el primer que sha de fer s conservar la calma i seguir els punts segents: Sha dinformar del possible incident de seguretat al responsable corresponent. Cal esbrinar si es tracta realment dun incident de seguretat. Moltes vegades, un mal funcionament dun sistema pot ser degut a una sobrecrrega legtima o a una mala programaci.

Seguretat informtica

62

Tallafocs i monitoratge de xarxes

Si realment s un incident, cal obtenir tota la informaci possible per si pot servir de prova. Sha dintentar contenir lincident per evitar que es propagui, sempre sha dintentar reduir els danys que es pugin produir. Si s necessari, pot arribar a ser imprescindible bloquejar laccs a lequip o conjunt dequips involucrats. Cal aplicar un pla per reduir o eliminar el risc que lincident es torni a produir. Finalment, cal documentar tant lincident com el procs i la metodologia seguida. Per tal delaborar un informe complet sobre lincident, cal que tingui els punts segents: 1) Descripci. El document ha de comenar amb una introducci sobre lincident i un conjunt de dades bsiques. Sn les segents: Breu descripci de lincident a manera de ttol. Personal implicat. Data i hora de linici de lincident. Data i hora en qu es dna per finalitzat lincident. Nivell dafectaci: es poden tenir diferents nivells amb diferents criteris, per aix depn de lorganitzaci. De manera genrica, es poden fer servir els nivells segents: Greu: implica un problema de seguretat que ha causat danys en els sistemes afectats. Per tant, cal resoldrel al ms aviat possible i de manera ininterrompuda. Per exemple, si la base de dades principal de lentitat queda fora de lnia, far falta que hi hagi una implicaci total per resoldre-ho. Moderada: implica un problema que noms ha degradat el servei o ha afectat parts no crtiques. Aix sol indicar que la resoluci sha de dur a terme durant la jornada laboral segent. Per exemple, si arran dun atac de denegaci de servei un sistema intern queda aturat, es pot resoldre quan la jornada laboral es reprengui. Lleu: implica un problema que sha detectat, per no ha tingut cap impacte en els sistemes. Sol demanar un temps de resoluci ms llarg, per exemple, durant la setmana segent a la detecci. Quan apareix un error de programaci en algun programari que sutilitza i, per aix, cal aplicar els pedaos adients durant els dies segents.

Seguretat informtica

63

Tallafocs i monitoratge de xarxes

Figura 12. Els pics de trnsit poden ser tant atacs com enllaos daltres webs

2) Resum. A continuaci de la descripci, cal fer un resum breu del problema, lafectaci, les causes i la soluci perqu no es repeteixi. Mitjanant aquest resum, una persona no tcnica hauria de ser capa dentendre qu ha passat i quines mesures shan pres per evitar el mateix incident en un futur. 3) Anlisi. Lanlisi de lincident ha de ser el cos del document i shi ha de poder seguir, pas a pas, qu ha passat i com sha solucionat. Per aix cal dividir aquesta anlisi en tres parts diferenciades. Sn les segents: a) Procediment i metodologia. s important definir com sha actuat envers lincident per tal de poder entendre, posteriorment, les decisions que shan pres durant lactuaci. Tot i que el resultat pot ser el mateix, el mtode utilitzat pot invalidar les conclusions. Per exemple, si no sha comprovat la integritat dun fitxer de registre, aquest fitxer pot haver estat alterat. Un cop recollides les dades, cal poder verificar la validesa de totes les dades recollides.

Per poder estar segurs que les dades que mostra el sistema sn reals, conv tenir el conjunt deines que siguin necessries compilades estticament (sense llibreries del sistema que hagin pogut ser manipulades). Aquests fitxers shan de transmetre al sistema duna manera que impedeixi que es puguin modificar, per exemple, mitjanant un CD-ROM. Amb aquests fitxers danlisi cal anar escrivint els resultats en un sistema remot que tingui un sistema de comprovaci, per exemple, lMD5 o lSHA1. Per conservar lestat del sistema adequadament, s til obtenir la informaci segent: Hora del sistema: permet identificar lhora real dels registres. Si el sistema tingus una hora diferent de la real, els fitxers de registre tamb la tindrien modificada. Taules amb informaci voltil: per exemple, pot ser interessant obtenir la taula ARP i la taula dencaminament del sistema. Connexions de xarxa: si latacant est connectat al sistema o envia ordres asincrnicament (sense mantenir una connexi activa) pot ser important tenir el conjunt de connexions actives i pendents.
La taula ARP cont les adreces fsiques dels equips als que el sistema est directament connectat.

MD5 i SHA1 sn dos algorismes que generen un nmero de longitud fixa, que permet detectar si un fitxer ha estat modificat respecte del moment de generaci.

Seguretat informtica

64

Tallafocs i monitoratge de xarxes

A continuaci, caldria obtenir una cpia de totes les dades que puguin tenir alguna pista, com les dades i les metadades en disc. Convindria obtenir aquesta informaci mitjanant una imatge completa del disc. Seguidament, es poden investigar els processos del sistema. Aix doncs, primer de tot cal esbrinar els mduls que t carregats per si nhi ha algun que pugui interferir en lanlisi. A continuaci, pot ser til verificar els processos actius, quins fitxers tenen oberts i quines crides al sistema estan fent. Mitjanant totes aquestes dades, es pot obtenir una imatge bastant clara de lestat dun sistema. b) Documentaci. Durant la resoluci dun incident, el ms normal s consultar documentaci sobre el tema en qesti, ja que s impossible tenir totes les dades al cap per poder actuar. Conv, doncs, apuntar tota la documentaci, tant interna com externa. En cas que sigui documentaci interna, s especialment recomanable identificar quina sha fet servir per, desprs, poder-la corregir o adequar si s necessari. Contrriament, si sha fet servir documentaci externa, posteriorment es podr contrastar la informaci per veure si sha procedit adequadament i generar, desprs, documentaci interna per poder actuar ms rpidament i no haver de dependre de tercers. c) Incidncies detectades. Finalment, cal destacar la incidncia o conjunt dincidncies detectades. Quan sinvestiga un incident determinat, no s estrany detectar altres possibles punts daccs al sistema.
Figura 13. Web infectada

El sistema de fitxers proc de Linux pot ajudar a fer una anlisi dels processos actius.

4) Pla dacci. Un cop sha ents el problema, conv prendre mesures per evitar que es repeteixi en un futur. En determinar un pla dacci, s possible trobar diverses situacions. A continuaci, se nexposen unes quantes.

Seguretat informtica

65

Tallafocs i monitoratge de xarxes

Una mala configuraci. Si el problema ha estat una configuraci deficient, caldr verificar tota la configuraci del servei implicat, ja que shi podrien detectar altres problemes de configuraci. Un error (bug) sense cap peda disponible. Si el problema detectat s un error en la programaci del servei que necessita un peda que encara no ha estat disponible, convindr considerar diverses opcions: Si s possible desactivar el servei fins que se solucioni el problema, es pot deixar desactivat per evitar futures intrusions mentre els desenvolupadors corregeixen el problema. En cas contrari, si el servei no es pot desactivar, caldr veure si s possible mitigar el risc mitjanant alguna tcnica. Generalment, sutilitza una gbia mitjanant el chroot per evitar que una fallada en un servei afecti tot el sistema. Un error amb un peda disponible. s possible que un cop investigat un incident, es detecti que cal aplicar un peda al sistema per corregir la porta dentrada que sha fet servir per atacar-lo. En aquest cas, cal deixar especificat el peda que shi ha daplicar per comprovar-lo en un entorn de proves abans daplicar-lo al sistema de producci. Un mal s dels serveis de xarxa. Tamb s possible que es tracti dun mal s dels serveis publicats. Per tant, en aquest cas convindr veure si s possible establir una poltica ds mxim del recurs per evitar que, en un futur, el mal s del recurs per part dun usuari provoqui la fallada del sistema per a tots els usuaris. En alguns casos, s possible que el problema no sigui un mal s de la xarxa ni un abs per part de lusuari, sin que el protocol mateix permeti comportaments no desitjats. Un exemple molt clar s el protocol SMTP i el problema del correu no desitjat. Lentrega dun correu electrnic es basa en els dominis que t el servidor destinaci i no hi ha manera de comprovar lautenticitat de lemissor. Per larquitectura del correu electrnic, un servidor qualsevol no es pot saber a priori si s un intermediari legtim o un servidor que envia correu no desitjat. El problema se sol mitigar mitjanant llistes de servidors coneguts que envien correu no desitjat i un sistema de puntuacions heurstiques. 5) Annexos. Finalment, en els annexos es fan constar totes les dades que es creguin rellevants per entendre linforme, com parts dels registres o ordres que shan executat que puguin ser tils de cara a una anlisi posterior.

El chroot permet allar un servei de la resta del sistema.

Seguretat informtica

66

Tallafocs i monitoratge de xarxes

Sol ser til incloure-hi el registre complet de la sessi, perqu la resta de personal implicat en la resoluci de la incidncia la pugui veure.

Un gui (script en angls) s una eina present en la majoria de distribucions Linux que permet enregistrar una sessi de consola.