Como Realizar una Auditoría de Seguridad a Nuestro Servidor Linux

La seguridad es fundamental para mantener una organización operable y ofrecer servicios de calidad y sobre todo para darle confianza a nuestro cliente.

Todos los servidores deben pasar por las pruebas de auditorías, si el o los servidores han sido comprometidos, no sólo los archivos dentro del servidor, también el servidor puede puede convertirse en una herramienta remota de ataque. Para poder evitar estos problemas es importante tener el servidor configurado correctamente, mantenerlo actualizado, aplicar los parches lo antes posible una vez que hayan salido [recuerda que el que no parcha lo penetran], realizar auditorías de seguridad con frecuencia.

Una auditoría eficaz a un servidor Linux se enfoca especialmente a las aplicaciones y servicios que este ejecuta por lo que es sumamente importante conocer bien el sistema o entorno que estemos o vallamos auditar, esto nos facilitara encontrar algunos “huecos” potencialmente peligrosos.
Toda auditoría requiere un conocimiento básico de redes, programación, manejo de Linux (comandos), y no esta demás el manejo de herramientas especializadas.

Pruebas de penetración .
Inspección de logs.
Comparación y análisis los archivos .
Detectando actividades sospechosas .
Montaje de discos.

Un pentesting es básico en las cuestiones de auditorías a servidores, se puede decir que es lo primero por que debemos empezar, para realizar un buen pentesting debemos definir el alcance, la metodología a emplear, las aplicaciones de dicha metodología como por ejemplo Nessus que es un poderoso escáner de vulnerabilidades, Nmap uno de las mas conocidos escáners de puertos o emplear una herramienta especializada como lo es BacKTrack la suite de seguridad por excelencia empleada por los profesionales.

El siguiente paso es la inspección de logs, inspeccionar los logs puede ser una tarea fácil o sumamente compleja todo depende de como hayamos configurado el registro, si nos enfrentamos al análisis de diferentes sistemas lo mas recomendable es emplear una herramienta que nos ayude a automatizar el proceso de análisis como lo es Splunk, que nos ofrece una interfaz web para una rápido análisis en los registros de numerosos sistemas.

El siguiente paso es la comparación de archivos del servidor para detectar cambios y buscar de algún código malicioso, pero no importa lo buenos que seamos inspeccionando, para el atacante es relativamente fácil oculta su código con técnicas de ofuscación o encriptación y en ocasiones es casi indetectable para nuestro escáner, es ahí donde entra en juego lo que se conoce como detector de intrusos, de estos hay muchos por mencionar a algunos tenemos a Snort, AIDE, que nos ayudan a llevar un seguimiento de los cambios realizados en los archivos.

La detección de actividades sospechosas puede ser la parte mas laboriosas de la auditoría, ya que el sistema puede parecer funcionar con total normalidad pues para el atacante es fácil ocultar los rastros de que estuvo allí. Imagina por un momento que el atacante logro hacerse de la cuenta del root, en ese caso seria casi imposible darse cuenta la intrución.

Conocimiento de los programas que se están ejecutando, si tienes la sospecha del comportamiento del alguna aplicación, se puede ejecutar el comando lsof -pXXXX, donde XXXX es el PID de la aplicación sospechosa, la salida del comando es un alista de todos los archivos abiertos conectados a este PID, incluidos los eliminados.

Bajo Linux los primeros 1000 puertos están reservados para los programas que se ejecutan con privilegios de root. Así, los atacantes con privilegios de una cuenta mortal deben ejecutar sus scripts en los puerto por encima de 1000. Se vería muy sospechoso ver a apache2 o samba escuchando en el puerto 4000 o superior. También es recomendable buscar cualquier proceso sospechoso, no sólo de la red, el comando ps auxwf nos ayudara en este proceso. Este comando muestra información sobre todos los procesos en ejecución y la forma en que han sido producidos, incluyendo los archivos originales que ellos comenzaron.

Otro elemento importante que no debemos olvidar son los rootkits y en toda auditoría no debe falta un escáner de rootkits, por ejemplo Rootkit Hunter, Sophos, chkrootkit, etc.
El montaje de discos consiste en extraer el disco duro de nuestro servidor e instalarlo en otro para su análisis minucioso, esto generalmente se hace cuando el disco ha sido borrado por el atacante para tratar de eliminar todo rastro de actividad maliciosa, aquí podemos emplear herramientas de recuperación de archivos.

Por ultimo no hay que dejarnos llevar por el falso sentido de la seguridad. Creer que nuestros sistema es seguro sólo nos lleva aun sistema más inseguro.

Vía: WAZI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s