| AnteriorRegistros de eventos (logs) | Verificación de la integridad de los servidores |
Cuando se pone a un servidor en peligro, el hacker generalmente oculta sus pistas al borrar todos los antecedentes de sus registros de actividades. Además, instala algunas herramientas para posibilitar la creación de una puerta trasera de manera que facilite una posterior visita.
Más listo que nadie, el hacker corrige la vulnerabilidad que le ha permitido entrar, de manera que no se puedan infiltrar otros hackers.
Sin embargo, se puede revelar la presencia de hackers a través de ciertos comandos administrativos que muestran una lista de procesos en curso o de usuarios conectados al equipo. Por este motivo, se han desarrollado herramientas denominadas rootkits para sobrescribir estas herramientas del sistema y sustituirlas por funciones equivalentes que oculten la presencia del hacker.
Por lo tanto, y en ausencia de un daño obvio, a un administrador le resulta difícil saber si un equipo está en peligro. Una de las primeras cosas que hay que hacer cuando se detecta una intrusión es establecer el momento en el que ha ocurrido, de manera que se pueda determinar qué otros servidores fueron afectados y cómo.
Por lo general, los servidores almacenan archivos de registro de sus actividades, y en particular, de cualquier error hayan encontrado.
Por lo tanto, después de una intrusión en un equipo, es muy difícil que el hacker, en el primer intento, pueda poner en peligro el sistema con éxito. El hacker trabaja con el método de ensayo y error, al probar varias solicitudes.
Debido a esto, se puede utilizar la supervisión de registros para detectar actividades sospechosas. Reviste particular importancia la supervisión de los registros del software de seguridad. No importa si están bien configurados, aun así pueden ser un blanco de ataque.
Existe software (chkrootkit, por ejemplo) que se utiliza para verificar la presencia de rootkits en el sistema. Sin embargo, para poder utilizar estas herramientas, se debe estar seguro de la integridad de la herramienta y de los resultados que muestra en pantalla. Por lo tanto, un sistema en riesgo no puede considerarse fiable.
Para garantizar la integridad del sistema, es necesario detectar intrusiones a un nivel más alto. Éste es el objetivo de los verificadores de integridad como Tripwire.
El software Tripwire, originalmente desarrollado por Eugene Spafford y Gene Kim en 1992, se utiliza para garantizar la integridad del sistema a través de la supervisión constante de los cambios en ciertos archivos y carpetas. Tripwire lleva a cabo verificaciones de integridad y mantiene una base de datos actualizada de las firmas. En intervalos regulares, inspecciona las siguientes características del archivo para indicar si hubo alguna modificación y/o si está en peligro:
Las alertas se envían por correo electrónico, preferentemente a un servidor remoto, para evitar que el hacker las elimine.
Para obtener resultados fiables en la verificación de la integridad, se debe estar seguro de la integridad del equipo durante su instalación. También es muy difícil configurar este tipo de software, ya que el número de archivos que se debe supervisar puede ser muy grande. Es más, cuando se instalan nuevas aplicaciones, sus archivos se deben configurar para que puedan verificarse.
Además, este tipo de solución tiende a enviar un gran número de falsas alarmas, especialmente cuando el sistema sólo está modificando archivos de configuración o cuando se está actualizando.
Finalmente, si el equipo realmente está en peligro, el hacker puede intentar poner en peligro la integridad del verificador antes de la siguiente actualización, por lo que es muy importante almacenar las alertas en un equipo remoto o en un soporte externo que no se pueda volver a grabar.
Artículo escrito el 22 de mayo de 2006 por Jean-François Pillou.
Última actualización el jueves, 16 de octubre de 2008, 15:43:35 .
Actualizar servidores de dreamule Como entrar a un servidor Como reinstalar servipack 2 de vista Desbloquear servidor proxy El servicio windows live no esta disponible en este momento El servidor rpc no esta disponible Error de dns: no se puede encontrar el servidor Jn763 su ip ha sido baneada en este servidor de chat Porque no puedo instalar el service pack 2 en windows vista Servicio de soporte al cliente de microsoft Servicio ftp windows xp Servidores emule 2009 Servidores para el emule v0.49c Servidores para emule 0.49c Tengo problemas con el acceso al servicio de windows installer como lo soluciono Tipos de calidad de servicio Windows xp service pack 2 Wingate proxy server / servidor proxy wingate