Si partimos de que una bitácora es un registro oficial de los eventos en un periodo de tiempo en particular. Para cualquiera relacionado con seguridad de la información un registro (LOG) nos va a servir para tener información o datos de un evento (fecha, hora, origen, destino, que hizo y por cuanto tiempo lo hizo, etc.) para un dispositivo o aplicación.

Las bitácoras puedes ser leídas local o remotamente y la mayoría de estos registros se almacenan o muestran en formatos standard de tal forma que puedan ser leído o almacenado en otro diferente.

Propósito de los registros

Todos los sistemas pueden verse comprometidos por un intruso, de manera local o remota.

La seguridad no sólo radica en la prevención, sino también en la identificación. Entre menos tiempo haya pasado desde la identificación de intrusión, el daño será menor; para lograr esto es importante hacer un constante monitoreo del sistema.

De cualquier forma, que se realice una protección de sistema o aplicación debe incluir el monitoreo y revisión de LOGS de una forma comprensiva, precisa y cuidadosa.

Los logs tienen numerosos propósitos:

• Ayudar a resolver problemas Funcionales y de operación
• Ayudar a resolver problemas de comunicaciones
• Proveer de avisos tempranos de abusos del sistema.
• Después de una caída del sistema, proporcionan datos de forense.
• Como evidencia legal

Estrategias para la administración de logs

• Hay que asegurar que los sistemas o aplicativos los tienen activados
• Que registrar la información necesaria a su propósito
• Las bitácoras deben contar con acceso restringido
• Usar un sistema que analice y concentre los logs
• Que registran los eventos a la hora correcta
• Registros de las estaciones de trabajo
• Rotación de los archivos de log
• Comprobación de integridad sobre las bitácoras

Rotación de logs

Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor. La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, y además controlar el número de archivos de logs que estarán expuestos a un posible daño por parte de un intruso.

Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time Protocol (NTP).

Protección de log

Para lograr que los Logs sean confiables y válidos en determinadas situaciones como evidencia, se debe tomar medidas que protejan la exactitud, autenticidad y accesibilidad de los archivos.

Exactitud

Registrar todo en los archivos Logs: Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.

Manteniendo el tiempo real: Sincronizando las maquinas con una fuente de tiempo externa, como servidores NTP.

Usar múltiples fuentes: Combinando logs de varios dispositivos, se aumenta el valor dado a cada uno.

Autenticidad

Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados

Movimiento de Logs: se debe cambiar la localización de los archivos en sí, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.

Trabajar con copias: Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original.

Asegurar la integridad del sistema: Se debe auditar permanentemente todos los cambios que se produzcan en el sistema.

Documentación de procesos: Establecer un proceso que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia. Además, cualquier script que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentarios explicando lo que exactamente se está realizando.

Accesibilidad o Control de Acceso: Una vez el archivo de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.

Restringir el acceso a archivos: Un archivo de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él. Pero luego que esto se produce el archivo se debe cerrar y nadie debe tener acceso a modificar el contenido de este.

Cadena de custodia: Al mover los archivos desde un servidor a un dispositivo offline, o cualquier otro manejo que se ha planeado realizar, es muy importante registrar los cambios de ubicación que los archivos han tenido.

Almacenaje de logs

Entre las formas más comunes de almacenaje se encuentran aquellos dispositivos, medios y procedimientos estándares que utilizan las compañías para la realizar respaldos de datos. Entre estos podemos encontrar el almacenaje en Cintas, CD-R, CD-RW, o Zip/Jazz drives.

El siguiente paso es lograr que estos datos permanezcan incorruptibles a lo largo del tiempo, esto se puede lograr con estado de solo lectura. Una forma de almacenar los logs con un estado de solo lectura es utilizando medios que físicamente están protegidos contra escritura.

Otros aspectos que hay que considerar es límite de vida de cada dispositivo y que la encripción de datos es recomendada en aquellos archivos de logs que posean datos críticos.

Monitoreo en bitácoras

Generalmente no deseamos permitir a los usuarios ver los archivos de bitácoras de un servidor o aplicación, y especialmente no queremos que sean capaces de modificarlos o borrarlos. Normalmente la mayoría de los archivos de bitácoras serán poseídos por el usuario y grupo de mayor privilegio y no tendrán permisos asignados para otros, así que en la mayoría de los casos el único usuario capaz de modificar los archivos de bitácoras será ese usuario.

Debido a la cantidad de información que se genera en las bitácoras, siempre es bueno adoptar algún sistema automático de monitoreo, que levante las alarmas necesarias para cuando algún evento extraño suceda.

Conclusiones

Cada una de las etapas descritas para la administración de logs es crítica, así si se cuenta con un sistema de centralización bien diseñado e implementado pero a su vez, no se logrará sin un buen método de administración de los archivos en el servidor de logs (rotación y comprobación integridad), el sistema de administración como tal será ineficiente.

Los archivos de logs aunque son básicos a la hora de una investigación de intrusiones en los sistemas informáticos, siempre hay que tener en mente que son esenciales a la hora de tomar medidas legales contra esos intrusos.