Professional Documents
Culture Documents
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
Mauricio Ortiz
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Syslog ................................................................................................................................... 5
Rsyslog ................................................................................................................................. 5
Instalando Rsyslog ................................................................................................................ 6
Requisitos para instalar Rsyslog................................................................................................................. 6
Paquetes a instalar ................................................................................................................................ 6
Implementando rsyslog ............................................................................................................................. 8
Conclusiones....................................................................................................................... 40
Bibliografía ......................................................................................................................... 40
MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Introducción
La palabra log es un término anglosajón, equivalente a la palabra bitácora en lengua castellana. Sin
embargo, se utiliza en los países de habla hispana como un anglicismo derivado de las
traducciones del inglés en la jerga informática. Del mismo término también proviene la palabra
blog, que es la contracción de "web log".
Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los
profesionales en seguridad informática es usado para registrar datos o información sobre quién,
qué, cuándo, dónde y por qué (who, what, when, where y why, W5) un evento ocurre para un
dispositivo en particular o aplicación.
También se le considera cómo aquel mensaje que genera el programador de un sistema operativo,
alguna aplicación o algún proceso, en virtud del cual se muestra un evento del sistema.
A su vez la palabra log se relaciona con el término evidencia digital. Un tipo de evidencia física
construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados
con herramientas y técnicas especiales, lo que implica la lectura del log y deja al descubierto la
actividad registrada en el mismo.
MiNdWiDe - Group 3
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Objetivo
MiNdWiDe - Group 4
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Syslog
syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por
syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes
de registro.
Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede
contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.
El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el servidor de syslog,
conocido como syslogd (demonio de syslog). El cliente envía un pequeño mensaje de texto (de
menos de 1024 bytes).
Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato de texto plano.
Algunas implementaciones del servidor, como syslog-ng, permiten usar TCP en vez de UDP, y
también ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.
Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos
dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar
mensajes de varios tipos de sistemas en un solo repositorio central.
Rsyslog
Rsyslog es un programa de código abierto para el reenvío de mensajes de registro en una red IP
para UNIX y sistemas de tipo Unix. Se implementa el protocolo syslog de base, se extiende con
contenido basado en el filtrado, la rica capacidades de filtrado, las opciones de configuración
flexibles y añade importantes características como el uso de TCP para el transporte.
MiNdWiDe - Group 5
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Instalando Rsyslog
La Instalación de Rsyslog la realizaremos en la distribución de Linux – CentOS 5.5 cuya red IPv4 es
10.0.0.0/29 y su dirección IPv4 es 10.0.0.3/29.
Teniendo claro que es syslog procederemos a describir los componentes que vamos a instalar para
tener nuestro servidor syslog corriendo y además poder administrarlo de una manera fácil.
Paquetes a instalar
rsyslog: demonio como tal que ejecuta el servicio de syslog.
rsyslog-mysql: extensión la cual nos permite que rsyslog establezca comunicación con el
servidor de base de datos mysql.
mysql-server: Motor de base de datos la cual nos permitirá almacenar todos los logs
emitidos por los clientes de nuestro servidor syslog e igualmente lo instalaremos en la
misma máquina.
php: script el cual requerimos para poder instalar y operar la aplicación que nos permite
de una forma amigable y grafica administrar nuestro servidor de syslog.
MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
php-mysql: complemento que requerimos para poder instalar y operar la aplicación que
nos permite de una forma amigable y grafica administrar nuestro servidor de syslog.
php-gd: complemento que requerimos para poder instalar y operar la aplicación que nos
permite de una forma amigable y grafica administrar nuestro servidor de syslog.
httpd: debemos instalar el servicio de http ya que la administración de nuestro servidor de
syslog la realizaremos a partir de una interface web.
MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Implementando rsyslog
Asumiendo que nuestra distribución de Linux CentOS 5.5 este instalada y actualizada, ya sea en un
equipo dedicado, maquina virtual, etc. Procederemos a instalar los paquetes necesarios.
Lo primero que debemos realizar para instalar y que nos inicie el rsyslog es parar el servicio syslog
que por defecto esta en ejecución, igualmente desactivamos syslog al inicio del sistema con los
siguientes comando de CLI.
Como podemos observar en la captura de pantalla con el comando service syslog stop paramos el
demonio de syslog, igualmente comprobamos con el comando chkconfig –list | grep syslog si
syslog esta activado para que se inicie cuando inicie el sistema, posteriormente desactivamos a
rsyslog con el comando chkconfig syslog off cuando inicie el sistema y nuevamente comprobamos
que syslog no se inicie cuando el sistema se inicie con el comando chkconfig –list | grep syslog.
MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
El primer paquete mysql es el cliente de mysql y el segundo mysql-server es el paquete que nos
instala el servicio de mysql, en CentOS los servicios no se inician automáticamente cuando culmina
la instalación, debemos iniciarlos y además debemos configurarlos para que nos inicie durante el
inicio del sistema si así lo consideramos pertinente.
Con los comandos service mysqld start y chkconfig mysqld on habilitamos el servicio de mysql y lo
agregamos al inicio del sistema respectivamente.
MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Tenemos que tener presente que cuando realizamos la instalación de mysql en CentOS no nos
ofrece la configuración del usuario root, entonces para realizar esta tarea escribimos los siguietes
comandos.
En este pantallazo lo que realizamos fue entrar a la base de datos mysql como root, creamos la
base de datos rsyslog la cual utilizaremos para almacenar los datos log que nos generen las
maquinas de nuestra red, e igualmente creamos el usuario que tendrá todos los privilegios solo
para la base de datos rsyslog.
El siguiente paso que realizaremos es exportar una plantilla de la base de datos de rsyslog la cual la
podemos encontrar en /usr/share/doc/rsyslog-mysql<verion>/createDB.sql
MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
En la captura de pantalla podemos observar que modificamos el nombre de la base de datos que
por defecto es Syslog y lo acomodamos al nombre de la base de datos que creamos previamente.
Entramos como root a mysql e importamos la plantilla para la base de datos rsyslog.
MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
$ModLoad ommysql.so
*.* :ommysql:127.0.0.1,rsyslog,rsyslog,AsDfG123
Podemos configurar nuestro servidor de syslog para que funcione en la capa de transporte sobre
TCP o UDP, los comandos disponibles a continuación nos proporcionan esto:
MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
$ModLoad imtcp.so
$InputTCPServerRun 514
$ModLoad imudp.so
$UDPServerRun 514
El primer bloque configura nuestro servidor rsyslog para que trabaje sobre TCP en el puerto por
defecto 514, el segundo bloque pone a rsyslog a trabajar sobre UDP en el puerto por defecto 514.
MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
netstat -uan
Con el segundo comando comprobamos que rsyslog si este escuchando y por el puerto
especificado.
MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
netstat -uan
Nuestro servidor de syslog ya esta operativo pero es más agradable y cómodo realizar la
administración por medio de una interface grafica, entonces vamos a instalar loganalizer la cual es
una interface sobre web que nos permite administrar los logs de nuestro servidor rsyslog.
MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Ya tenemos instalado mysql entonces procederemos a instalar lo que es apache, php y gd.
httpd es el nombre del paquete y del servicio que nos instalara Apache en CentOS.
MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Esto porque buen debido a que estamos trabajando con CentOS en modo consola.
Nota: la descarga la realizamos cuando estemos en esta ubicación, por comodidad al momento de
desempaquetado.
MiNdWiDe - Group 17
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Uno de los pasos finales es realizar la configuración de nuestro aplicación web en Apache, esto lo
realizaremos con Hosting Virtual basado en nombre.
Es recomendable realizar una copia del archivo httpd.conf antes de realizar alguna modificación.
MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Configuración de httpd.conf
Con esto le indicamos que si no encuentra un archivo índice no deje listar el contenido de la
carpeta html y por ende ninguno de sus subdirectorios
Dentro de la directiva
<Directory "/var/www/error">
Modificar la directiva
Allow from all a Allow from 127.0.0.1
MiNdWiDe - Group 19
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Y final mente modificamos la directiva <VirtualHost *.80> y las directivas que se encuentran
dentro de la directiva <VirtualHost>
Nota: si no disponemos de este dominio podemos modificar el archivo hosts para poder resolver
el nombre a la dirección ip de nuestro servidor donde se ejecuta loganalyzer, realizando lo
siguiente:
MiNdWiDe - Group 20
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 21
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
En Linux es /etc/hosts
MiNdWiDe - Group 22
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Si por algún motivo no nos carga el asistente para la configuración de loganalyzer, verifiquemos
que en el firewall de CentOS se permitan las conexiones hacia el puerto 80.
iptables -L
MiNdWiDe - Group 23
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Y agregamos la línea:
MiNdWiDe - Group 24
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 25
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Esta es la página principal en la cual nos ofrece un asistente para configurar loganalyzer y damos
click en here.
MiNdWiDe - Group 26
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Estando en la ubicación
Ejecutamos el comando:
En este apartado vamos a dejar todo por default y habilitaremos la opción usar base de datos,
entonces debemos crea una nueva base de datos, la cual contendrá todas la estructura de la
aplicación loganalyzer.
MiNdWiDe - Group 27
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Quedando como lo muestra la imagen y seleccinamos yes en la opción “solicitar usuario para
poder iniciar sección”.
MiNdWiDe - Group 28
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 29
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 30
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Nota: si nos sale el siguiente error al momento de iniciar sección, esto lo resolvemos realizando lo
siguiente.
MiNdWiDe - Group 31
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Observemos que en esta captura los nombres de las tablas están en mayúscula inicial, al momento
de configurar el origen de los logs especificamos lo siguiente:
MiNdWiDe - Group 32
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Pestaña Sources.
MiNdWiDe - Group 33
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 34
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Podemos apreciar nuestro servidor syslog operativo y con una amigable GUI.
*.* @<IP_ADDRESS_SERVER_SYSLOG>
*.* @<IP_ADDRESS_SERVER_SYSLOG>
MiNdWiDe - Group 35
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
NOTA: Los *.* definen todo tipo de log generado por la estación cliente, se debe especificar
la doble @@ si se configuro el servidor con TCP, y si se configura con otro puerto que no sea el
puerto por default seria @ipaddress:port.
Algunos de los tipos de logs que podemos configurar en el parámetro *.* son:
MiNdWiDe - Group 36
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 37
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Para terminar con este manual vamos a configurar un router Cisco 3600 como cliente de syslog.
R1(config)#logging 10.0.0.3
MiNdWiDe - Group 38
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
MiNdWiDe - Group 39
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Conclusiones
Podemos instalar esta solución de logs centralizada sin incurrir en ningún gasto monetario.
Es importante para cualquier administrador de redes sabes que es lo que esta pasando con sus
activos más importantes y una fuente de información valiosa y precisa pueden ser los logs.
Bibliografía
http://loganalyzer.adiscon.com/
http://openskill.info/infobox.php?ID=1475
http://es.wikipedia.org/wiki/Log_(registro)
http://es.wikipedia.org/wiki/Syslog
MiNdWiDe - Group 40
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La
Información
GROUP | “???”
Gracias…
Juan Alejandro Bedoya
MiNdWiDe - Group 41