Monitorización de accesos: Seguridad de la información en sistemas Linux

Monitorización de Accesos a Sistemas de Información

Aprendizaje

Adquisición de conocimientos en el área de tecnologías de la información y las comunicaciones, particularmente en la auditoría de sistemas de información y el acceso a la información por usuarios legítimos.

Práctica

Desarrollo de estrategias para resolver problemas concretos: elaboración de soluciones automatizadas con líneas de comandos de shell script, implementando algoritmos de programación para atender los requerimientos de un sistema de información.

No se busca que el alumno adopte soluciones ya elaboradas. Se busca que utilice las herramientas que conoce para resolver el problema.

Los alumnos implementarán un mecanismo para capturar los accesos a la información por parte de los usuarios del sistema de información que deben desarrollar. Conocerán los requerimientos de seguridad estandarizados de un sistema de información, particularmente los referidos al tratamiento de amenazas a la seguridad internas, provenientes del uso cotidiano del sistema por usuarios legítimos. Se descartará la detección de amenazas externas.

El ámbito es interno; los eventos a evaluar provienen del uso normal del sistema. Se capturarán eventos cotidianos: quién accedió a la información, fecha, hora y dirección IP de la terminal.

Modelo de Datos

El modelo de datos a capturar se extrae de la norma de seguridad ISO/IEC 27002:2005 (anteriormente 17799), Capítulo 10 “Gestión de comunicaciones y Operaciones”, apartado 10.10 “Monitoreo”: "Objetivo: Detectar las actividades de procesamiento de información no autorizada."

"10.10.1. Registro de Auditoría: Los registros de auditoría, grabando actividad de los usuarios, excepciones y eventos de la seguridad de información, deben ser producidos y guardados para un período acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso."

De acuerdo con esta norma, se almacenarán los siguientes datos:

• Identificador de usuario
• Fecha de conexión
• Hora de conexión
• Dirección IP
• Programa, módulo y/o evento ocurrido durante la conexión

Se generará un archivo de consulta permanente (un log) con información estructurada, ejemplo: Nombre | fecha | hora | IP | Cosa 5. Los datos están delimitados con "|".

Se podría sustituir la información con datos similares, como el nombre de la tabla accedida y la acción. Por ejemplo: |Reserva|Alta (nombre de la tabla y acción).

Componentes Adicionales (Norma 27002)

• Frecuencia de captura de información (idealmente, el evento "conexión", aunque también se puede considerar el evento "sesión de trabajo").
• Permanencia de los datos: incremento permanente y no sustitutivo de las pistas de auditoría.
• Acceso al archivo de pistas solo para usuarios autorizados.

Implementación en Linux

Se propone la elaboración de un mecanismo basado en la línea de comandos del servidor Linux, mediante un shell script (comandos bash) cuyos standard output sean redirigidos al archivo (>>) donde se almacenarán las pistas de auditoría.

Modos de Ejecución

Se plantean cuatro modos de ejecución:

1. Ejecución interactiva vs. ejecución programada no interactiva
2. Ejecución como script de inicio vs. ejecución post-inicio

El modo interactivo (categoría 1) requiere la intervención del usuario para la captura. El modo no interactivo (categoría 1) se automatiza, programado en crontab para capturas regulares.

El modo script de inicio (categoría 2) se configura al inicio de sesión del usuario. El modo post-inicio (categoría 2) es similar al modo interactivo.

Acceso a las Capturas

El archivo de pistas de auditoría será accesible desde la línea de comandos. Se propone un script interactivo con opciones de menú para filtrar registros según:

1. Nombre de usuario
2. ID de usuario
3. Hora de conexión
4. Fecha de conexión
5. Programa
6. Terminal
7. IP

Se podrán realizar filtros por usuario, rango de fechas/horas, dirección IP o tabla accedida, entre otras opciones.