Una de las cosas que más se suelen pasar por alto por mucha gente que administra sistemas es olvidarse de crear una línea de fondo del sistema, es decir, un perfil del sistema, el uso de sus recursos, etcétera. Por ejemplo, algo tan simple como un "netstat -a -n > netstat-output" puede darte una referencia para comprobar más tarde y ver si están presentes algunos puertos abiertos que no lo deberían estar. El uso de memoria y de disco también son un par de cosas sobre las que echar un vistazo. Un incremento repentino del uso de la memoria podría dar como resultado que el sistema viese consumidos sus recursos. Lo mismo en cuanto al uso del disco. Podría ser un accidente de un usuario, un usuario malicioso, o un programa gusano que ha comprometido el sistema y ahora está escaneando otros sistemas. Existen diferentes herramientas para medir el uso de disco y de memoria: vmstat, free, df, du, todos los cuales vienen desarrollados por sus páginas del manual respectivamente.
Como mínimo haz una copia de seguridad completa del sistema, y regularmente haz copias de seguridad de los ficheros de configuración y logs, lo cual también puede ayudar a descubrir cuándo se ha producido una intrusión (la cuenta de usuario "rewt" se añadió después de la copia del 4 de Abril, pero no está en la copia del 20 de Marzo). Una vez que el sistema se ha visto comprometido, por lo general se suele instalar un rootkit, que consiste en binarios con troyanos, y es casi imposible de eliminar de forma segura, es mejor formatear el disco duro y empezar desde cero. Por supuesto hay una notable excepción a esta regla, si se fue diligente y se utilizaron herramientas de integridad de ficheros / directorios tales como L5, se sería capaz de descubrir los ficheros afectados con facilidad y tratar con ellos.
Tripwire
El Tripwire ya no es una herramienta de código abierto. No tengo absolutamente NINGÚN problema con el software comercial. Sin embargo, cuando se espera de mi que confíe en un programa para proporcionar seguridad, cuando ni yo ni nadie puede ver el código fuente (está disponible bajo algún tipo de licencia especial, probablemente un NDA) debo declinar. El Tripwire cuesta aproximadamente 70$ para Linux, y sólo está disponible como paquete RPM, destinado a Red Hat Linux (tripwire cuesta 500$ para otros sistemas operativos). Opino que está en la parte alte para un tipo de software que se puede reemplazar con facilidad por alternativas como el L5 o el Gog&Magog. Tripwire está disponible en: http://www.tripwiresecurity.com
AIDE
El AIDE es un reemplazo del tripwire que intenta ser mejor que el tripwire. Tiene licencia GPL, lo cual le hace más deseable que el tripwire, desde un punto de vista de fiabilidad. Soporta varios algoritmos de hashing, y se puede descargar desde: http://www.cs.tut.fi/~rammer/aide.html
L5
Sin embargo, hay una alternativa al tripwire, el L5, disponible en: ftp://avian.org/src/hacks/, que es completamente gratuito y muy efectivo. Definitivamente, recomendaría utilizar esta herramienta.
Gog&Magog
Gog&Magog crea una lista de propiedades del sistema de ficheros, propietario, permisos, una firma MD5 del fichero y similar (parecido al tripwire). Se puede hacer que compare automáticamente esto y se asegure de que cualquier fichero que haya sido cambiado capte de inmediato tu atención. De igual forma, hace que la recuperación a partir de una irrupción sea más simple, puesto que se conocerá qué ficheros han sido comprometidos. Se puede descargar desde: http://www.multimania.com/cparisel/gog/
nannie
nannie es una herramienta relativamente simple, que se sirve de stat para construir una lista de cómo deberían ser los ficheros (tamaño, timestamp, etc). Crea una lista que contiene el nombre de fichero, el ínodo, información de enlace, etcétera, es una útil aunque simple alarma. Se puede conseguir en: ftp://tools.tradeservices.com/pub/nannie/
confcollect
confcollect es un simple script que recolecta información del sistema como tablas de rutado, rpm's instalados y similar. Se puede descargar desde: http://www.skagelund.com/confcollect/
Copias de Seguridad
Algo de lo que la gente se suele olvidar, pero se pueden comparar los ficheros actuales con las copias de seguridad viejas, y muchos formatos de copias de seguridad (Cinta, floppy, CDR, etc.) se pueden hacer de sólo lectura, de forma que una copia de seguridad de los sistemas recién instalados proporciona un buen banco de pruebas con el que comparar las cosas. Se pueden utilizar la utilidad "diff" y "cmp" para comparar ficheros entre sí. Mira la sección de copias de seguridad para un listado de software gratis y comercial.
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.