Seguridad de alto nivel en redes: cortafuegos
7
Z Monitorización y 1095 Los registros de actividad de un sistema, que habitualmente se conocen como logs, permiten detectar incidentes y comportamientos no habituales. Esta información, especialmente cuando los logs corresponden a un servidor o un equipo de red, resulta sumamente útil para localizar fallos en las configuraciones de los programas o cambios que se hayan hecho sobre dicha configuración. Permite también detectar si se ha desconectado al dispositivo del sistema y controlar el uso de recursos par parte de los usuarios. Además de proporcionan información sobre el rendimiento del sistema, que puede resultar útil para detectar cuándo un equipo está empezando a fallar.
Cuando se monitorice la red es necesario informar a los usuarios de que se está haciendo, ya que de no ser así podríamos
incumplir la ley de protección de datos, al registrarse información
confidencial, tal y como ya estudiamos en la Unidad l.
Z 1. Registro de actividad de los sistemas operativos Los sistemas operativos incorporan lag s donde registran información sobre qué usuarios y en qué momento abren o cierran una sesión, qué procesos están en ejecución dentro del sistema, las aplicaciones que son ejecutadas por los usuarios, el uso de los recursos que hacen (impresoras, escaners, etc.) así como los posibles problemas de seguridad. En los sistemas operativos Windows se utiliza el visor de eventos para analizar los lag s del sistema, como ves en las Figuras 7.39 y 7.40, donde tienes el visor correspondiente a Windows Vista y Ubuntu 9.04 respectivamente.
Puedes acceder al visor de even·
tos de Windows en las herramientas administrativas incluidas
en el Panel de Control y al visor de Sucesos desde un terminal con el comando:
$ gnome-system-lag &
t.! YIP:< ... .,......"
;:¡ ~B OÍill~~-
. . Te,,,,,,,,,,..,..,.., ...... . -,.. . ......._
I~
~",
1.. " .. . _
~,-tL ¡:-
""., (~.
_ . -~
...,..,..~".,
Q""""''''''
m .... ; ..
IJ ""'..... "' ....." .. 1,,'.,.
u .. ,.I09
.....,,,',...e...... ,.' .."""ll,-,l'_ I".,..,.~.'
Sop S. p Sop Sop Sop Sep S. p s.,p Sl p
duman .lo;
.........".j..
T'" ,~,,1"'''''''''' '
sy. lo ~
~o r9 · 0.l 0 9
(~~QI > ( ... u. m". > lo" mor ",1, .. , "" db ", m 1 , ] 4 5' , o ,0 ,', 5 :~ :: : :
r~~l : ~ :::~ lO 15 n
l'
SSH lin.OI [SSl .2 Kla)·
u~ im .
ID 05 :53:311 ¡up, ur.y. lo ga 1.5. ~2Ubu ntull : ruu rt. ¡ 1005 :53:311 ¡ Upl u r anac , pn(411<1 2): .Job · cron. a .. l y· 1005:53:38 ¡uplter anac, on (4842): tJo, ,,,,,l ! " t (¡ jet 1005:0 1:515 ¡ uplt or kern. l: ( :2005.0502421 p. ll<lu' .' í 1005:0 1: 57 j up, t . r ke rn ol: ( ¡>()05 . S5D1COl P'II<Iu". ~ 10 OC5:0;¡ :42 ¡"P' to' n",.s yn ''''-U ltl ng. : so>l uU S 1000:03 :42 ¡ Up ' U "J. I...., r1<,...n . g. r: <¡n f o~ 501 u nq ,\ 10 ' 00 : 03: 42 ¡ UP'!!' n",· dupa tchor •• c ucn: n",_dlSpnd! 1000 :03: 42 j upl u rn",. d • • pa t che , •• cu cn : S<:n pl ' , . r
Sep 10 OIl : ml : ll ¡ up.tor . ..... : cn.man.g . r (SO<'iD) : IIm JIIG1 ~p 10 0Il :OS : 1I¡up.tor •· .... l on . ""'n.q.' (SOOO) : 1I.tRI[ tG ~ Se p 100ll :OS : 13jup.u , bonobo . act! va nc n • • o,ve r [g.J'UV '1
s. ~
U
10 0!l :0tl :14 ¡ up. u r . cp, d: ch . nt connlc t e d ,,""
(¡JO: ,
:;;-'!....¡n M :M :I,; "..,'t_.r. I'~_··_t ·~!"~l "l . ntl."""""'"".!ff=i
I L~~_~~...J &.\.. ,11
Fig. 7.39. Visor de eventos de Vista.
G
.". 10/C'il/C'il
......
';
llLimPiarl
a<lu.li, .'¡6n: Thu 5. p 10 07 ,OB :S7 ¡OO g
Fig. 7.40. Visor de eventos de Ubuntu.
En el menú de la izquierda de la Figura 739 puedes ver los registros sobre los que esta herramienta proporciona información: •
•
Registros de Windows: muestra información de errores, advertencias o información del sistema operativo y sus aplicaciones, así como información de seguridad, donde muestra los registros de éxito y de fracaso de los servicios auditados, por ejemplo, si un usuario ha podido iniciar la sesión. Registros de aplicaciones y servicios, cuyo contenido puede variar ya que incluyen registros independientes para los programas que se ejecutan en el equipo, así como registros más detallados relacionados con servicios específicos de Windows.
Todos los ficheros logs de linux pueden ser editados manualmente para su consulta. En el
caso de Ubuntu se guardan en los directorias que cuelgan de /var/log.
Haciendo doble clic sobre un suceso o evento se abrirá una ventana con información detallada que permite interpretar el tipo de error producido.
Actividades ~ 17. En el visor de eventos de Windows selecciona un error, como el 5002, y averigua por qué se ha producido. 19