Product SiteDocumentation Site

14.3. Supervisió: Prevenció, detecció, dissuassió

La monitorització forma part integral de qualsevol política de seguretat per diverses raons. Entre elles, que l'objectiu de la seguretat no es limita normalment a garantir la confidencialitat de les dades, sinó que també inclou garantir la disponibilitat dels serveis. Per tant, és imperatiu comprovar que tot funciona com s'espera, i detectar de manera oportuna qualsevol comportament desviat o canvis en la qualitat dels serveis prestats. L'activitat de seguiment pot ajudar a detectar intents d'intrusió i permetre una reacció ràpida abans que causin greus conseqüències. Aquesta secció revisa algunes eines que es poden utilitzar per supervisar diversos aspectes d'un sistema Debian. Com a tal, això completa Secció 12.4, «Monitorització».

14.3.1. Monitoritzar els registres amb logcheck

El programa logcheck monitoritza els fitxers de registre, per defecte, cada hora. Envia missatges de registre inusuals en correus electrònics a l'administrador per a una anàlisi posterior.
La llista de fitxers monitoritzats s'emmagatzema a /etc/logcheck/logcheck.logfiles; els valors per defecte funcionen bé si el fitxer /etc/rsyslog.conf no s'ha modificat excessivament.
logcheck pot treballar en un dels tres modes més o menys detallats: paranoid, server i workstation. El primer és molt detallat, i probablement hauria de ser restringit a servidors específics com ara tallafocs. El segon mode (per defecte) es recomana per a la majoria de servidors. L'últim està dissenyat per a estacions de treball, i és fins i tot concís (filtra més missatges).
En els tres casos, logcheck probablement s'hauria de personalitzar per excloure alguns missatges addicionals (depenent dels serveis instal·lats), llevat que l'administrador realment desitgi rebre cada hora correus llargs i poc interessants. Atès que el mecanisme de selecció de missatges és bastant complex, /usr/share/doc/logcheck-database/README.logcheck-database.gz és una lectura requerida, i difícil.
Les regles aplicades es poden dividir en diversos tipus:
  • aquells que qualifiquen un missatge com un intent d'intrusió (desats en un fitxer al directori /etc/logcheck/cracking.d/);
  • els que cancel·len aquesta qualificació (/etc/logcheck/cracking.ignore.d/);
  • aquells que classifiquen un missatge com a alerta de seguretat (/etc/logcheck/violations.d/);
  • els que cancel·len aquesta classificació (/etc/logcheck/violations.ignore.d/);
  • Finalment, els que s'apliquen als missatges restants (considerats com esdeveniments del sistema).

PRECAUCIÓ Ignorar un missatge

Qualsevol missatge etiquetat com un intent d'intrusió o una alerta de seguretat (seguint una regla emmagatzemada en un fitxer /etc/logcheck/violations.d/myfile) només es pot ignorar per una regla en un fitxer a /etc/logcheck/violations.ignore.d/myfile o a /etc/logcheck/violations.ignore.d/myfile-extension.
Un esdeveniment del sistema sempre s'indica llevat que una regla en una dels directoris /etc/logcheck/ignore.d.{paranoid,server,workstation}/ determinia que l'esdeveniment s'ha d'ignorar. Per descomptat, els únics directoris que es tenen en compte són els que corresponen a nivells de detall iguals o superiors al mode d'operació seleccionat.

14.3.2. Monitorització de l'activitat

14.3.2.1. En temps real

top és una eina interactiva que mostra una llista de processos actualment en execució. L'ordenació per defecte es basa en la quantitat actual d'ús del processador i es pot obtenir amb la tecla P. Altres ordres d'ordenació inclouen una ordeació per memòria ocupada (teclaM), per temps total de processador (tecla T) i per identificador de procés (tecla N). La tecla k permet matar un procés introduint el seu identificador de procés. La tecla r permet «renicing» un procés, és a dir, canviar la seva prioritat.
Quan el sistema sembla estar sobrecarregat, top és una gran eina per veure quins processos competeixen pel temps del processador o consumeixen massa memòria. En particular, sovint és interessant comprovar si els processos que consumeixen recursos coincideixen amb els serveis reals que se sap que la màquina allotja. Un procés desconegut que s'executa com a usuari de www-data s'hauria de destacar i ser investigat, ja que és probablement una instància de programari instal·lat i executat en el sistema a través d'una vulnerabilitat en una aplicació web.
top és una eina molt flexible i la seva pàgina manual proporciona detalls sobre com personalitzar la seva pantalla i adaptar-la a les necessitats i hàbits personals.
L'eina gràfica gnome-system-monitor és similar a top i proporciona aproximadament les mateixes característiques.

14.3.2.2. Historial

La càrrega del processador, el trànsit de xarxa i l'espai de disc lliure són informació que varien constantment. Mantenir un historial de la seva evolució és sovint útil per determinar exactament com s'utilitza l'ordinador.
Hi ha moltes eines dedicades a aquesta tasca. La majoria poden obtenir dades a través de SNMP («Simple Network Management Protocol» o “protocol simple de gestió de xarxa”) per centralitzar aquesta informació. Un benefici afegit és que això permet obtenir dades d'elements de xarxa que poden no ser ordinadors de propòsit general, com ara encaminadors de xarxa dedicats o commutadors.
Aquest llibre tracta de Munin amb un cert detall (vegeu Secció 12.4.1, «Configuració de Munin») com a part de Capítol 12: «Administració avançada». Debian també proporciona una eina similar, cacti. El seu desplegament és lleugerament més complex, ja que es basa únicament en SNMP. Tot i tenir una interfície web, agafar els conceptes implicats en la configuració encara requereix cert esforç. Llegir la documentació HTML (/usr/share/doc/cacti/html/Table-of-Contents.html) s'ha de considerar un requisit previ.

ALTERNATIVA mrtg

mrtg (al paquet del mateix nom) és una eina més antiga. Malgrat algunes “arestes aspres”, pot agregar dades històriques i mostrar-les com a grafs. Inclou una sèrie d'scripts dedicats a la recopilació de les dades monitoritzades més sovint com ara la càrrega del processador, el trànsit de xarxa, les visites a pàgines web, etc.
Els paquets mrtg-contrib i mrtgutils contenen scripts d'exemple que es poden utilitzar directament.

14.3.3. Evitar les intrusions

Els atacants tracten d'obtenir accés als servidors mitjançant l'endevinació de les contrasenyes, és per això que sempre s'han d'utilitzar contrasenyes fortes. Fins i tot així, també haurien d'establir-se mesures contra els atacs de força bruta. Un atac de força bruta és un intent d'iniciar sessió en un sistema no autoritzat mitjançant la realització de múltiples intents d'inici de sessió en un període curt de temps.
La millor manera d'aturar un atac de força bruta és limitar el nombre d'intents d'entrada procedents del mateix origen, generalment prohibint temporalment una adreça IP.
Fail2Ban és un paquet de programari de prevenció d'intrusions que es pot configurar per monitoritzar qualsevol servei que desi els intents d'inici de sessió en un fitxer de registre. Es pot trobar al paquet fail2ban.
Fail2Ban està configurat a través d'un protocol simple per fail2ban-client, que també llegeix els fitxers de configuració i emet les ordres de configuració corresponents al servidor, fall2ban-server. Té quatre tipus de fitxers de configuració, tots emmagatzemats en /etc/fail2ban/:
  • fail2ban.conf. Configuració global (com ara el registre).
  • filter.d/*.conf. Filtres que especifiquen com detectar errors d'autenticació. El paquet Debian ja conté filtres per a molts programes habituals.
  • action.d/*.conf. Accions que defineixen les ordres per prohibir o permetre les adreces IP.
  • jail.conf. És on es defineixen «jails» o “presons”, les combinacions de filtres i accions.
Si es fa un cop d'ull a la configuració d'sshd a /etc/fail2ban/jail.conf es pot entendre millor com funciona Fail2Ban... 
[...]
[DEFAULT]
[...]
bantime   = 10m
[...]
findtime  = 10m
[...]
maxretry  = 5
[...]
[sshd]
port     = ssh
logpath  = %(sshd_log)s
backend  = %(sshd_backend)s
Fail2Ban comprovarà si hi ha inicis de sessió fallits per sshd utilitzant expressions regulars de Python definides a /etc/fail2ban/filter.d/sshd.conf contra el fitxer de registre d'sshd, que es defineix a la variable sshd_log al fitxer /etc/fail2ban/paths-common.conf. Si Fail2Ban detecta cinc intents fallits d'inici de sessió en deu minuts, prohibirà durant deu minuts l'adreça IP des d'on s'han originat aquests intents.
Per activar, desactivar o configurar «jails» (“presons”), se suposa que el fitxer de configuració principal /etc/fail2ban/jail.conf no s'ha de modificar. En lloc d'això, se suposa que s'ha de fer a /etc/fail2ban/jail.d/defaults-debian.conf o en fitxers dins del mateix directori.
Fail2Ban és una forma molt senzilla i eficaç de protegir-se contra els atacs de força bruta més comuns, però no pot protegir contra atacs de força bruta distribuïda, que és quan un atacant utilitza un gran nombre de màquines escampades per Internet.
Una bona manera de proporcionar protecció addicional contra els atacs de força bruta distribuïda és augmentar artificialment el temps d'inici de sessió després de cada intent fallit.

14.3.4. Detecció de canvis

Una vegada que el sistema està instal·lat i configurat, i exceptuant les actualitzacions de seguretat, no hi ha cap raó perquè la majoria dels fitxers i directoris evolucionin, tret de les dades. Per tant, és interessant assegurar-se que els arxius no canvien realment: d'aquesta manera valdria la pena investigar qualsevol canvi inesperat. Aquesta secció presenta algunes eines que poden usar per monitoritzar els fitxers i advertir a l'administrador quan es produeix un canvi inesperat (o simplement per llistar aquests canvis).

14.3.4.1. Auditar els paquets amb dpkg --verify

ANANT MÉS ENLLÀ Protecció contra els canvis de les fonts

dpkg --verify i debsums són útils en la detecció de canvis en els fitxers inclosos en un paquet de Debian, però són inútils si el propi paquet està ja compromès, per exemple, si el mirall de Debian ha estat compromès. Protegir contra aquesta classe d'atacs implica utilitzar el sistema de verificació de signatura digital d'APT (vegeu Secció 6.6, «Comprovació de l'autenticitat d'un paquet»), i tenir cura d'instal·lar paquets amb un origen certificat.
dpkg --verify (o dpkg -V) és una eina interessant ja que permet trobar els fitxers instal·lats que han estat modificats (potencialment per un atacant), però això s'ha de prendre amb precaució. Per fer la tasca es basa en les sumes de verificació emmagatzemades a la base de dades del dpkg que s'emmagatzema al disc dur (es poden trobar a /var/lib/dpkg/info/paquet.md5sums); un atacant minuciós actualitzarà aquests fitxers de manera que continguin les sumes de verificació noves per als fitxers subvertits.

TORNAR A LES BASES Empremta d'un fitxer

Com a recordatori: una empremta és un valor, sovint un número (fins i tot en notació hexadecimal), que conté una mena de signatura per al contingut d'un fitxer. Aquesta signatura es calcula amb un algorisme, com ara MD5 via md5sum o SHA* via les diverses ordres sha* en són exemples ben coneguts que més o menys garanteixen que fins i tot el canvi més petit en el contingut del fitxer implica un canvi en l'empremta; això es coneix com a “efecte allau”. Això permet que una simple empremta numèrica serveixi com a prova per verificar si el contingut d'un fitxer s'ha alterat. Aquests algoritmes no són reversibles; en altres paraules, per a la majoria d'ells, saber una empremta no permet trobar el contingut corresponent. Els avenços matemàtics recents semblen afeblir l'absolutesa d'aquests principis, però el seu ús no es qüestiona fins ara, ja que la creació de diferents continguts que produeixen la mateixa empremta encara sembla una tasca bastant difícil.
En executar dpkg -V es verificaran tots els paquets instal·lats i s'imprimirà una línia per a cada fitxer que no passi el test. El format de sortida és el mateix que el de rpm -V on cada caràcter denota una prova en algunes metadades específiques. Malauradament dpkg no emmagatzema les metadades necessàries per a la majoria de les proves i per tant mostrarà interrogants en elles. Actualment només la prova de suma de verificació pot produir un "5" al tercer caràcter (quan falla). 
# dpkg -V
??5??????   /lib/systemd/system/ssh.service
??5?????? c /etc/libvirt/qemu/networks/default.xml
??5?????? c /etc/lvm/lvm.conf
??5?????? c /etc/salt/roster
En la mostra anterior, dpkg informa d'un canvi al fitxer de servei d'SSH que l'administrador va fer al fitxer empaquetat en lloc d'utilitzar el corresponent «override» o “reemplaçament” /etc/systemd/system/ssh.service.d/override.conf (que s'emmagatzemaria per sota de /etc com qualsevol canvi de configuració). També llista diversos fitxers de configuració (identificats per la lletra "c" en el segon camp) que havien estat modificats legítimament.

14.3.4.2. Auditoria de paquets: debsums i les seves limitacions

debsums és l'avantpassat de dpkg -V i per tant és majoritàriament obsolet. Pateix de les mateixes limitacions que el dpkg. Afortunadament, algunes de les limitacions es poden esquivar (mentre que dpkg no ofereix alternatives similars).
Com que les dades del disc no són confiables, debsums ofereix fer les seves comprovacions basades en fitxers .deb en lloc de confiar en la base de dades del dpkg. Per descarregar fitxers .deb de confiança per tots els paquets instal·lats, podem confiar en les descàrregues autenticades d'APT. Aquesta operació pot ser lenta i tediosa, i per tant no ha de considerar-se una tècnica proactiva per ser utilitzada de manera regular. 
# apt-get --reinstall -d install `grep-status -e 'Status: install ok installed' -n -s Package`
[ ... ]
# debsums -p /var/cache/apt/archives --generate=all
Tingueu en compte que aquest exemple utilitza l'ordre grep-status del paquet dctrl-tools, que no està instal·lat per defecte.
debsums es pot executar periòdicament com una tasca cron CRON_CHECK a /etc/default/debsums. Per ignorar certs fitxers fora del directori /etc que es puguin haver alterat expressament o que s'espera que canviïn (com /usr/share/misc/pci.ids) es poden afegir a /etc/debsums-ignore.

14.3.4.3. Monitorització de fitxers: AIDE

L'eina AIDE («Advanced Intrusion Detection Environment» o “entorn avançat de detecció d'intrusions”) permet comprovar la integritat de l'arxiu i detectar qualsevol canvi contra una imatge prèviament registrada del sistema vàlid. Aquesta imatge s'emmagatzema com a base de dades (/var/lib/aide/aide.db) que conté la informació rellevant sobre tots els fitxers del sistema (empremtes, permisos, marques temporals, etc.). Aquesta base de dades s'inicia per primera vegada amb aideinit; després s'utilitza diàriament (per l'script /etc/cron.daily/aide) per comprovar que res rellevant no ha canviat. Quan es detecten canvis, l'AIDE els registra en els arxius de registre (/var/log/aide/*.log) i envia els seus descobriments a l'administrador per correu electrònic.

A LA PRÀCTICA Protecció de la base de dades

Com que AIDE utilitza una base de dades local per comparar els estats dels fitxers, la validesa dels seus resultats està directament relacionada amb la validesa de la base de dades. Si un atacant obté permisos de superusuari en un sistema compromès, podria reemplaçar la base de dades i ocultar les seves traces. Una possible solució seria emmagatzemar les dades de referència en mitjans d'emmagatzematge de només lectura.
Moltes opcions a /etc/default/aide es poden utilitzar per ajustar el comportament del paquet aide. La configuració adequada de l'AIDE s'emmagatzema a /etc/aide/aide.conf i /etc/aide/aide.conf.d/ (realment, aquests fitxers només s'utilitzen per update-aide.conf per generar /var/lib/aide/aide.conf.autogenerated). La configuració indica quines propietats dels fitxers s'han de comprovar. Per exemple, el contingut dels arxius de registre canvia de manera rutinària, així aquests canvis es poden ignorar sempre que els permisos d'aquests fitxers romanguin iguals, però tant el contingut com els permisos dels programes executables han de ser constants. Encara que no és molt complexa, la sintaxi de configuració no és completament intuïtiva, i per tant es recomana llegir la pàgina del manual aide.conf(5).
Una nova versió de la base de dades es genera diàriament a /var/lib/aide/aide.db.new; si tots els canvis registrats fossin legítims, es pot utilitzar per reemplaçar la base de dades de referència.

ALTERNATIVA Tripwire i Samhain

Tripwire és molt similar a AIDE; fins i tot la sintaxi del fitxer de configuració és gairebé la mateixa. L'afegit principal proporcionat per tripwire és un mecanisme per signar l'arxiu de configuració, de manera que un atacant no pot fer-lo apuntar en una versió diferent de la base de dades de referència.
Samhain també ofereix característiques similars, així com algunes funcions per ajudar a detectar «rootkits» (vegeu la barra lateral ULLADA RÀPIDA Els paquets checksecurity i chkrootkit/rkhunter). També es pot desplegar globalment en una xarxa, i desar les seves traces en un servidor central (amb signatura).

ULLADA RÀPIDA Els paquets checksecurity i chkrootkit/rkhunter

El primer d'aquests paquets conté diversos petits scripts que realitzen comprovacions al sistema (contrasenyes buides, nous fitxers setuid, etc.) i adverteixen a l'administrador si és necessari. Malgrat el seu nom explícit, un administrador no hauria de confiar únicament en ell per assegurar-se que un sistema Linux és segur.
Els paquets chkrootkit i rkhunter permeten la cerca de rootkits instal·lats potencialment al sistema. Com a recordatori, es tracta de peces de programari dissenyades per amagar el compromís d'un sistema mentre es manté discretament el control de la màquina. Les proves no són 100% fiables, però normalment poden cridar l'atenció de l'administrador sobre els possibles problemes.
rkhunter també realitza comprovacions per veure si s'han modificat les ordres, si s'han modificat els fitxers d'arrencada del sistema, i diverses comprovacions a les interfícies de xarxa, incloent-hi comprovacions per a aplicacions que hi pugui escoltar.

14.3.5. Detecció d'intrusions (IDS/NIDS)

TORNAR A LES BASES Denegació de servei

Un atac de “denegació de servei” només té un objectiu: fer que un servei no estigui disponible. Tant si un atac d'aquest tipus implica sobrecarregar el servidor amb consultes o explotar un error, el resultat final és el mateix: el servei deixa d'estar operatiu. Els usuaris regulars no estan satisfets i l'entitat que acull el servei de xarxa específic sofreix una pèrdua de reputació (i possiblement d'ingressos, per exemple si el servei era un lloc de comerç electrònic).
Aquest atac és de vegades “distribuït”; això normalment implica sobrecarregar el servidor amb un gran nombre de consultes procedents de molts orígens diferents perquè el servidor no pugui respondre a les consultes legítimes. Aquests tipus d'atacs han guanyat acrònims coneguts: DDoS i DoS (depenent de si l'atac de denegació de servei és distribuït o no).
suricata (al paquet Debian del mateix nom) és un NIDS — un «Network Intrusion Detection System» o “sistema de detecció d'intrusions per xarxa”. La seva funció és escoltar la xarxa i intentar detectar intents d'infiltració i/o actes hostils (incloent-hi atacs de denegació de servei). Tots aquests esdeveniments estan connectats en múltiples fitxers a /var/log/suricata. Hi ha eines de tercers (Kibana/logstash) per navegar millor per totes les dades recollides.
→ https://suricata.io
→ https://www.elastic.co/products/kibana

COMPTE Rang d'acció

L'efectivitat de suricata està limitada pel trànsit vist a la interfície de xarxa controlada. Evidentment, no podrà detectar res si no pot observar el trànsit real. Quan es connecti a un commutador de xarxa només controlarà els atacs dirigits a la màquina en la qual s'executa, la qual cosa probablement no és la intenció. La màquina que alberga suricata s'hauria d'endollar al port de "mirall" del commutador, que normalment es dedica a encadenar commutadors i, per tant, rep tot el trànsit.
La configuració de suricata implica revisar i editar /etc/suricata/suricata.yaml, que és molt llarg perquè cada paràmetre està molt comentat. Una configuració mínima requereix descriure l'interval d'adreces que cobreix la xarxa local (paràmetreHOME_NET). A la pràctica, això significa el conjunt de tots els possibles objectius d'atac. Però per treur'n tot el profit requereix llegir-lo íntegrament i adaptar-lo a la situació local.
A més d'això, també s'hauria d'editar per la «interface» (o “interfície”) de xarxa. També és possible que vulgueu establir LISTENMODE=pcap perquè el valor predeterminat LISTENMODE=nfqueue requereix una configuració addicional per funcionar correctament (el tallafocs netfilter s'ha de configurar per passar paquets a una cua d'espai d'usuari gestionada per suricata a través de l'objectiu NFQUEUE).
Per detectar un comportament maliciós, suricata necessita un conjunt de regles de seguiment: es poden trobar aquestes regles al paquet snort-rules-default. snort és la referència històrica a l'ecosistema IDS i suricata és capaç de reutilitzar les regles escrites per a ell.
Alternativament, oinkmaster (al paquet del mateix nom) es pot utilitzar per descarregar conjunts de regles Snort de fonts externes.

ANANT MÉS ENLLÀ Integració amb prelude

Prelude aporta un control centralitzat de la informació de seguretat. La seva arquitectura modular inclou un servidor (el gestor de prelude-manager) que reuneix alertes generades per sensors de diversos tipus.
El Suricata es pot configurar com a sensor d'aquests. Altres possibilitats inclouen prelude-lml (Log Monitor Lackey) que monitoritza els fitxers de registre (de manera similar a logcheck, descrit a Secció 14.3.1, «Monitoritzar els registres amb logcheck»).