SEGURIDAD EN UNIX Y REDES

Capítulo 6Auditoría del sistema6.1 IntroducciónCasi todas las actividades realizadas en un sistema Unix son susceptibles de ser, en mayor o menormedida, monitorizadas: desde las horas de acceso de cada usuario al sistema hasta las páginas webmás frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas ejecutadoso incluso el tiempo de CPU que cada usuario consume. Obviamente esta facilidad de Unix pararecoger información tiene unas ventajas inmediatas para la seguridad: es posible detectar un intentode ataque nada más producirse el mismo, así como también detectar usos indebidos de los recursoso actividades ‘sospechosas’; sin embargo, existen también desventajas, ya que la gran cantidad deinformación que potencialmente se registra puede ser aprovechada para crear negaciones de servicioo, más habitualmente, esa cantidad de información puede hacer difícil detectar problemas por elvolumen de datos a analizar.Algo muy interesante de los archivos de log en Unix es que la mayoría de ellos son simples ficherosde texto, que se pueden visualizar con un simple cat. Por una parte esto es bastante cómodopara el administrador del sistema, ya que no necesita de herramientas especiales para poder revisarlos logs (aunque existen algunas utilidades para hacerlo, como swatch) e incluso puede programarshellscripts para comprobar los informes generados de forma automática, con órdenes como awk,grep o sed. No obstante, el hecho de que estos ficheros sean texto plano hace que un atacantelo tenga muy fácil para ocultar ciertos registros modificando los archivos con cualquier editor detextos; esto implica una cosa muy importante para un administrador: nunca ha de confiar al 100%en lo que los informes de auditoría del sistema le digan. Para minimizar estos riesgos se pueden tomardiversas medidas, desde algunas quizás demasiado complejas para entornos habituales ([SK98])hasta otras más sencillas pero igualmente efectivas, como utilizar una máquina fiable para registrarinformación del sistema o incluso enviar los registros más importantes a una impresora; másadelante hablaremos de ellas.6.2 El sistema de log en UnixUna desventaja añadida al sistema de auditoría en Unix puede ser la complejidad que puede alcanzaruna correcta configuración; por si la dificultad del sistema no fuera suficiente, en cada Unixel sistema de logs tiene peculiaridades que pueden propiciar la pérdida de información interesantede cara al mantenimiento de sistemas seguros. Aunque muchos de los ficheros de log de los quehablaremos a continuación son comunes en cualquier sistema, su localización, o incluso su formato,pueden variar entre diferentes Unices.Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y bsd; la localizaciónde ficheros y ciertas órdenes relativas a la auditoría de la máquina van a ser diferentes en ellas,91