Mar 27 2011

Ceguera tecnológica

chmeee

“¿No te has dado cuenta al pasar por la terraza de que la noche estaba seca y fría? ¿No sabes lo que eso significa? No lo sabes, claro. Pues eso quiere decir que ahora están brillando las estrellas con todo su esplendor, y que los videntes gozan de la maravilla de su presencia. Esos mundos lejanísimos están ahí (Se ha acercado al ventanal y toca los cristales.) tras los cristales, al alcance de nuestra vista…, ¡si la tuviéramos!” — En la ardiente oscuridad. Antonio Buero Vallejo

Ciego. Así es como me siento cuando no sé qué es lo que está pasando en los sistemas de información y en las redes de comunicación. Toda es información está ahí, “al alcance de nuestra vista…, ¡si la tuviéramos!“.

El problema es que, actualmente, en muchas organizaciones no hay medios implantados para  conocer qué pasando en nuestra infraestructura. Algunas de las razones para no tener medios implantados son:

  • No se han configurado registros de actividad
  • No se han centralizado registros de actividad
  • Se supone que la cantidad de almacenamiento requerido es alta
  • Se supone que no hay recursos suficientes para analizar los registros
  • No se sabe qué buscar en los registros de actividad
  • No se sabe qué hacer con los registros de actividad

Como todo en la vida, uno de los principales problemas es intentar saberlo todo antes de siquiera empezar. Está claro que es un problema difícil que hay que ir resolviendo poco a poco e ir adaptando a las necesidades y limitaciones de cada uno.

Como punto de partida, lo mejor es empezar a centralizar aquellos eventos que puedan ser de interés inmediato, por ejemplo, accesos o errores. e ir viendo qué está ocurriendo. Posteriormente, ampliarlo en función de las necesidades que vayan surgiendo.

La ventaja de ir conociendo, al menos, algunos datos de lo que pasa en los sistemas o redes es que provoca dudas y preguntas que nos llevan a investigar y, por ende, adquirir un conocimiento mucho más completo de nuestra infraestructura.

Y ése es el segundo aspecto de la ceguera: no conocemos nuestra infraestructura. Pensad si sabríais responder a las siguientes preguntas:

  • ¿Qué software requiere mi infraestructura?
  • ¿Qué tráfico es el mínimo necesario?
  • ¿Qué puertos debo tener abiertos?
  • ¿Qué cambios ha habido recientemente?
  • ¿Qué procesos automáticos se ejecutan periódicamente?

Y eso sin considerar otros aspectos como información, aplicaciones, ficheros, copias, replicaciones, etc.

Algunas herramientas interesantes contra la ceguera (no pretende ser muy completa) son las siguientes:

Registros/eventos

  • OSSEC: un HIDS muy completo y, además, software libre.
  • Splunk: el favorito de los niños, el Google de tus logs y mucho más. Puedes usar una versión limitada gratis.
  • Sentinel: recientemente han anunciado una versión limitada también gratuita.
  • Loggly: para los atrevidos que no les importe mandar los logs a la nube.
  • LogstashGraylog2: dos aplicaciones de centralización de logs en software libre de reciente aparición.

Red/tráfico

  • Snort: el archiconocido IDS de red en software libre.
  • Snorby: un entorno web moderno para snort.
  • Ntop: el clásico entorno web de monitorización de tráfico.
  • Nfsen: para monitorización de tráfico con netflow.

Infraestructura

  • Nmap: best… scanner… ever.
  • OneCMDB: una aplicación de ‘inventario’ que, aunque parece muy potente, a mí no me acaba de convencer, pero tampoco es que haya encontrado nada mejor.
  • OCSInventory: tampoco es que me fascine porque es algo viejuno, pero si el objetivo es conocer el hardware y software instalado, puede ser la mejor solución.

Dejo fuera otro tipo de herramientas tipo Nagios que es bastante más común encontrar en cualquier organización.

Y vosotros… ¿también os sentís ciegos? ¿Qué herramientas conocéis/usáis? En cualquier caso, recordad que el objetivo último es conocer para mejorar la seguridad.

Estas herramientas sólo sirven para obtener información y no son, en ningún caso, sustitutos de los humanos. Recordad que solas no hacen nada, hay que usarlas.

Aparte de analizar los datos de herramientas diariamente, conviene buscar los medios para obtener un conjunto de datos de forma periódica que nos ayuden a entender nuestra infraestructura.

El SANS publicó hace mucho la lista de los ‘Top 5 essential log reports‘ donde se indicaban los ‘informes’ a generar periódicamente extraídos de logs y otros datos de los sistemas.

Recientemente, Chuvakin ha hecho una propuesta para los ‘Top 7 essential log reports‘ que os recomiendo que miréis y penséis si sois capaces de obtenerla con los medios actuales y si os sería de utilidad.

Por cierto que acabo de ver que Chuvakin tiene en su blog una lista de herramientas de análisis de logs que acaba de actualizar. Echadle un ojo.

3 comments   |  tags: , , , ,