Página principal Otras áreas Tengo problemas ... English
Menús

Servicio de Control de Integridad para Servidores

Tras la instalación y puesta en funcionamiento de un sistema operativo, es altamente recomendable realizar una revisión periódica para determinar si éste ha sido modificado. Una modificación no controlada de un sistema puede suponer bien que algún usuario o administrador de éste ha realizado cambios no controlados ni documentados, o bien que se ha producido una intrusión en el mismo. Un servicio de control de integridad nos permitirá descubrir de forma rápida si alguna parte del sistema se ha visto modificada.

1. ¿Por qué utilizar un Servicio de Control de Integridad?

Servicio de Control de Integridad para Servidores verifica, contrastando con una base de datos de hechos conocidos, el estado de un sistema para determinar los cambios que en él se han realizado. Su aplicación al mundo de la seguridad viene derivada de su capacidad para detectar ataques producidos ya que aunque un servidor puede modificarse a sí mismo durante su propio funcionamiento, en la gran mayoría de los casos, se presentan síntomas evidentes y fácilmente detectables de que tanto el sistema como la seguridad del mismo se han visto alterados por los cambios realizados por un usuario malicioso o intruso. El Servicio de Control de Integridad también puede ser utilizado para facilitar el análisis forense de un sistema que se haya visto compro­metido debido a que la herramienta podrá proporcionar gran cantidad de información (ficheros creados, modificados o borrados, variaciones en el contenido de ficheros o directorios entre otros) que puede ser útil para conocer de que forma se produjo el ataque y sus consecuencias, aportando además información suficiente para evitar en gran medida que hechos así se vuelvan a producir. Existen varias herramientas que permiten controlar de forma exhaustiva la integridad de un sistema. Todas ellas se rigen por la misma manera de actuar y sus diferencias pueden variar en los mecanismos de comprobación (ligados a diferentes técnicas de hashing), en funcionalidades adicionales (registros almacenados, históricos, interfaces de administración, sistemas de alarma, gestión en red) o en su soporte de distintos sistemas operativos. La solución implantada por el Área de Seguridad y Comunicaciones de la Universidad Carlos III de Madrid se basa en la herramienta con licencia de software libre Osiris.

2. Mecanismo básico de funcionamiento de Osiris

Osiris es, desde 1999, fecha en la que se liberó la primera versión, una de las herramientas de control de integridad más extendidas, debido principalmente a que proporciona un entorno de gestión centralizado.

El procedimiento para llevar a cabo un control exhaustivo de la integridad del sistema será siempre el mismo con independencia del sistemas operativo controlado y se basa en unos sencillos pasos:

a.- Generar una base de datos de integridad tras la instalación del sistema. Esta información servirá de referencia posteriormente y deberá excluir aquellos archivos que se ven mo­dificados de manera habitual, por procesos propios del sistema (archivos de registro, archivos de colas, ubicaciones temporales, etc.). Esta base de datos deberá almacenarse en un medio físico de sólo lectura (para im­pedir su modificación posterior).

b.- Periódicamente se debe generar una nueva base de datos y contrastar ésta con la base de datos de referencia, para verificar lo posibles cambios que se han producido en el sistema.

c.- Regenerar la base de datos de referencia cuando se realice una tarea administrativa (instalar parches, realizar cambios a la configuración del sistema).

La comprobación de integridad se realiza de forma automática y genera alarmas que son dirigidas por correo electrónico al responsable del servidor en el cual se han detectado los cambios para que éste los analice y decida si los acepta o si por el contrario son indicios suficientes de un posible ataque con éxito al sistema.

 

3. Arquitectura de Osiris

La arquitectura de Osiris está constituida por tres componentes:

a.- Agente de comprobación: instalado en cada uno de los servidores que se van a monitorizar.

b.- Consola de Gestión: es el cerebro del sistema, almacena datos resultantes de los análisis, configuraciones, ficheros de log y gestiona la planificación.

c.- Cliente de línea de comandos: permite la comunicación con la consola de gestión.

El cliente de línea de comandos se comunica únicamente con la consola de gestión y sólo ésta se comunica con los agentes distribuidos. Todas las comunicaciones se realizan utilizando SSL y certificados X509.

La consola de forma periódica solicita a los agentes que realicen una comprobación del sistema, éstos recolectan información del entorno y se la devuelven a la consola, la cual almacena los datos recibidos y los compara con la información previamente almacenada resultante de análisis anteriores, informando de las diferencias encontradas.

 

4. Instalación de Osiris

Antes de proceder a la instalación de los agentes en las máquinas locales, es necesario contactar con ASyC, con el fin de planificar de forma adecuada el espacio de almacenamiento que se destinará en el servidor a contener los resultados de las sucesivas exploraciones.

5. Enlaces de interés

Última modificación: Wed, 09 Jan 2013 09:05:17 +0100



Incidencias de Red

 Actualizado: 15:48

@CertUC3M