Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas.
El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor.
Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:
- Fecha y hora.
- Direcciones IP origen y destino.
- Dirección IP que genera la bitácora.
- Usuarios.
- Errores.
Las Herramientas de análisis de bitácoras mas conocidas son las siguientes:
- Para UNIX, Logcheck, SWATCH.
- Para Windows, LogAgent
El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras, es importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para mantener un control de las mismas.
En los Sistemas de archivos con bitácora (journaling) en sistemas GNU/Linux son la opción por defecto mas usada de investigación en los sistemas. El uso de la bitácora provee de una mejor integridad frente a un cuelgue de sistema o falla eléctrica (apagones y owned’s con el cable de poder simplemente).
Una bitácora, propiamente tal, es un archivo que almacena los cambios del sistema de archivos, el cual se actualiza en intervalos periódicos. Si se produce un cuelgue, la bitácora es usada como punto de restauración o checkpoint para recuperar la información, con lo cual se evita que se corrompa el sistema de archivos.
Un sistema de bitácora, aparte del evitar la corrupción de datos en el sistema de archivos, evita tener que checkear el sistema de archivos con fsck por completo al producirse algun cuelgue de sistema (cosa que puede tomar mucho tiempo en discos de alta capacidad). En los sistemas de archivos con bitácora esto se hace innecesario.
Existen varias estrategias por las cuales los sistemas de archivos con bitácora trabajan. Las 3 más comunes son:
Writeback: Modo en el cual sólo los metadatos (estructuras de manejo de los datos en disco, que pueden representar creación o remoción de un archivo, creación o remoción de un directorio, etc) son almacenados en la bitácora, y los datos son escritos directamente en su ubicación en disco. Esto conserva la estructura del sistema de archivos y evita la corrupción, pero la corrupción de datos puede ocurrir en el caso en que el cuelgue del sistema ocurra después de almacenar los metadatos en la bitácora, pero antes de ser escritos los datos en disco.
Ordered: Modo en el cual sólo se almacenan los metadatos en la bitácora, pero sólo después de escribir los datos en disco. De este modo se aseguran los datos y el sistema de archivos.
Data: Modo en el cual tanto los datos como los metadatos son almacenados en la bitácora. Este modo ofrece la mayor protección contra la corrupción del sistema de archivos y la pérdida de datos, pero puede sufrir pérdida de rendimiento, ya que todos los datos se escriben 2 veces (primero en la bitácora y luego en el disco).
Una bitácora, propiamente tal, es un archivo que almacena los cambios del sistema de archivos, el cual se actualiza en intervalos periódicos. Si se produce un cuelgue, la bitácora es usada como punto de restauración o checkpoint para recuperar la información, con lo cual se evita que se corrompa el sistema de archivos.
Un sistema de bitácora, aparte del evitar la corrupción de datos en el sistema de archivos, evita tener que checkear el sistema de archivos con fsck por completo al producirse algun cuelgue de sistema (cosa que puede tomar mucho tiempo en discos de alta capacidad). En los sistemas de archivos con bitácora esto se hace innecesario.
Existen varias estrategias por las cuales los sistemas de archivos con bitácora trabajan. Las 3 más comunes son:
Writeback: Modo en el cual sólo los metadatos (estructuras de manejo de los datos en disco, que pueden representar creación o remoción de un archivo, creación o remoción de un directorio, etc) son almacenados en la bitácora, y los datos son escritos directamente en su ubicación en disco. Esto conserva la estructura del sistema de archivos y evita la corrupción, pero la corrupción de datos puede ocurrir en el caso en que el cuelgue del sistema ocurra después de almacenar los metadatos en la bitácora, pero antes de ser escritos los datos en disco.
Ordered: Modo en el cual sólo se almacenan los metadatos en la bitácora, pero sólo después de escribir los datos en disco. De este modo se aseguran los datos y el sistema de archivos.
Data: Modo en el cual tanto los datos como los metadatos son almacenados en la bitácora. Este modo ofrece la mayor protección contra la corrupción del sistema de archivos y la pérdida de datos, pero puede sufrir pérdida de rendimiento, ya que todos los datos se escriben 2 veces (primero en la bitácora y luego en el disco).
No hay comentarios:
Publicar un comentario