Implementacion de RSyslog-Server.pdf

Seguridad de la red

Implementacin Del Plan De Seguridad De La Informacin

Fase 3 Linux Syslog Server

GRUPO MiNdWiDe

JUAN ALEJANDRO BEDOYA

JOSE DE ARLEX DOMINGUEZ

NEIFER ERNEY GIRALDO

JHON FREDY HERRERA

YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)

2010

Mind Wide Open BLOG http://jfherrera.wordpress.com

Seguridad de la red | Implementacin Del Plan De Seguridad De La Informacin

GROUP | ???

MiNdWiDe - Group 2

INDICE

Introduccin ......................................................................................................................... 3

Objetivo ............................................................................................................................... 4

Syslog ................................................................................................................................... 5

Rsyslog ................................................................................................................................. 5

Instalando Rsyslog ................................................................................................................ 6

Requisitos para instalar Rsyslog ................................................................................................................. 6

Paquetes a instalar ................................................................................................................................ 6

Implementando rsyslog ............................................................................................................................. 8

Conclusiones ....................................................................................................................... 40

Bibliografa ......................................................................................................................... 40



GROUP | ???

MiNdWiDe - Group 3

Introduccin

La palabra log es un trmino anglosajn, equivalente a la palabra bitcora en lengua castellana. Sin

embargo, se utiliza en los pases de habla hispana como un anglicismo derivado de las

traducciones del ingls en la jerga informtica. Del mismo trmino tambin proviene la palabra

blog, que es la contraccin de "web log".

Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los

profesionales en seguridad informtica es usado para registrar datos o informacin sobre quin,

qu, cundo, dnde y por qu (who, what, when, where y why, W5) un evento ocurre para un

dispositivo en particular o aplicacin.

La mayora de los logs son almacenados o desplegados en el formato estndar, el cual es un

conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado

por un dispositivo en particular puede ser ledo y desplegado en otro diferente.

Tambin se le considera cmo aquel mensaje que genera el programador de un sistema operativo,

alguna aplicacin o algn proceso, en virtud del cual se muestra un evento del sistema.

A su vez la palabra log se relaciona con el trmino evidencia digital. Un tipo de evidencia fsica

construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados

con herramientas y tcnicas especiales, lo que implica la lectura del log y deja al descubierto la

actividad registrada en el mismo.



GROUP | ???

MiNdWiDe - Group 4

Objetivo

Realizar la implementacin de un servidor de syslog en la distribucin Linux CentOS 5.5, nos

apoyaremos para la realizacin de este proyecto en los aplicativos VMWare Workstation y el

Sistema Operativo CentOS 5.5. Esto con el objetivo de facilitar la lectura y administracin de todos

los logs de servidores y dems dispositivos de nuestra red de una forma centralizada.



GROUP | ???

MiNdWiDe - Group 5

Syslog

syslog es un estndar de facto para el envo de mensajes de registro en una red informtica IP. Por

syslog se conoce tanto al protocolo de red como a la aplicacin o biblioteca que enva los mensajes

de registro.

Un mensaje de registro suele tener informacin sobre la seguridad del sistema, aunque puede

contener cualquier informacin. Junto con cada mensaje se incluye la fecha y hora del envo.

El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el servidor de syslog,

conocido como syslogd (demonio de syslog). El cliente enva un pequeo mensaje de texto (de

menos de 1024 bytes).

Los mensajes de syslog se suelen enviar va UDP, por el puerto 514, en formato de texto plano.

Algunas implementaciones del servidor, como syslog-ng, permiten usar TCP en vez de UDP, y

tambin ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.

Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos

dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar

mensajes de varios tipos de sistemas en un solo repositorio central.

Rsyslog

Rsyslog es un programa de cdigo abierto para el reenvo de mensajes de registro en una red IP

para UNIX y sistemas de tipo Unix. Se implementa el protocolo syslog de base, se extiende con

contenido basado en el filtrado, la rica capacidades de filtrado, las opciones de configuracin

flexibles y aade importantes caractersticas como el uso de TCP para el transporte.



GROUP | ???

MiNdWiDe - Group 6

Instalando Rsyslog

La Instalacin de Rsyslog la realizaremos en la distribucin de Linux CentOS 5.5 cuya red IPv4 es

10.0.0.0/29 y su direccin IPv4 es 10.0.0.3/29.

Requisitos para instalar Rsyslog

Teniendo claro que es syslog procederemos a describir los componentes que vamos a instalar para

tener nuestro servidor syslog corriendo y adems poder administrarlo de una manera fcil.

Paquetes a instalar

rsyslog: demonio como tal que ejecuta el servicio de syslog.

rsyslog-mysql: extensin la cual nos permite que rsyslog establezca comunicacin con el

servidor de base de datos mysql.

mysql-server: Motor de base de datos la cual nos permitir almacenar todos los logs

emitidos por los clientes de nuestro servidor syslog e igualmente lo instalaremos en la

misma mquina.

php: script el cual requerimos para poder instalar y operar la aplicacin que nos permite

de una forma amigable y grafica administrar nuestro servidor de syslog.



GROUP | ???

MiNdWiDe - Group 7

php-mysql: complemento que requerimos para poder instalar y operar la aplicacin que

nos permite de una forma amigable y grafica administrar nuestro servidor de syslog.

php-gd: complemento que requerimos para poder instalar y operar la aplicacin que nos

permite de una forma amigable y grafica administrar nuestro servidor de syslog.

httpd: debemos instalar el servicio de http ya que la administracin de nuestro servidor de

syslog la realizaremos a partir de una interface web.



GROUP | ???

MiNdWiDe - Group 8

Implementando rsyslog

Asumiendo que nuestra distribucin de Linux CentOS 5.5 este instalada y actualizada, ya sea en un

equipo dedicado, maquina virtual, etc. Procederemos a instalar los paquetes necesarios.

Lo primero que debemos realizar para instalar y que nos inicie el rsyslog es parar el servicio syslog

que por defecto esta en ejecucin, igualmente desactivamos syslog al inicio del sistema con los

siguientes comando de CLI.

Como podemos observar en la captura de pantalla con el comando service syslog stop paramos el

demonio de syslog, igualmente comprobamos con el comando chkconfig list | grep syslog si

syslog esta activado para que se inicie cuando inicie el sistema, posteriormente desactivamos a

rsyslog con el comando chkconfig syslog off cuando inicie el sistema y nuevamente comprobamos

que syslog no se inicie cuando el sistema se inicie con el comando chkconfig list | grep syslog.

Hecha esta tarea vamos a instalar los paquetes.

La siguiente secuencia de comandos nos permite realizar mencionada tarea:



GROUP | ???

MiNdWiDe - Group 9

El la captura de imagen ejecutamos el comando yum install mysql mysql-server e igualmente

aceptamos descargar las dependencias asociadas a mysql.

El primer paquete mysql es el cliente de mysql y el segundo mysql-server es el paquete que nos

instala el servicio de mysql, en CentOS los servicios no se inician automticamente cuando culmina

la instalacin, debemos iniciarlos y adems debemos configurarlos para que nos inicie durante el

inicio del sistema si as lo consideramos pertinente.

El demonio que ejecuta el servicio de mysql en CentOS se llama mysqld.

Con los comandos service mysqld start y chkconfig mysqld on habilitamos el servicio de mysql y lo

agregamos al inicio del sistema respectivamente.



GROUP | ???

MiNdWiDe - Group 10

Tenemos que tener presente que cuando realizamos la instalacin de mysql en CentOS no nos

ofrece la configuracin del usuario root, entonces para realizar esta tarea escribimos los siguietes

comandos.

mysqladmin u root password password;

En este pantallazo lo que realizamos fue entrar a la base de datos mysql como root, creamos la

base de datos rsyslog la cual utilizaremos para almacenar los datos log que nos generen las

maquinas de nuestra red, e igualmente creamos el usuario que tendr todos los privilegios solo

para la base de datos rsyslog.

Teniendo nuestra base de datos creada vamos a instalar rsyslog.

yum install rsyslog rsyslog-mysql, e igualmente iniciamos el demonio rsyslog y lo agregamos al

inicio del sistema.

El siguiente paso que realizaremos es exportar una plantilla de la base de datos de rsyslog la cual la

podemos encontrar en /usr/share/doc/rsyslog-mysql/createDB.sql



GROUP | ???

MiNdWiDe - Group 11

En nuestro caso esta es la ruta con su respectiva versin.

En la captura de pantalla podemos observar que modificamos el nombre de la base de datos que

por defecto es Syslog y lo acomodamos al nombre de la base de datos que creamos previamente.

Entramos como root a mysql e importamos la plantilla para la base de datos rsyslog.



GROUP | ???

MiNdWiDe - Group 12

El archivo de configuracin de rsyslog lo podemos encontrar en /etc/rsyslog.conf, en el cual

realizaremos algunas modificaciones.

Esto permite a rsyslog escribir en la base de datos y cuya estructura es:

*.* :ommysql:,,,

Podemos configurar nuestro servidor de syslog para que funcione en la capa de transporte sobre

TCP o UDP, los comandos disponibles a continuacin nos proporcionan esto:

$ModLoad ommysql.so

*.* :ommysql:127.0.0.1,rsyslog,rsyslog,AsDfG123



GROUP | ???

MiNdWiDe - Group 13

El primer bloque configura nuestro servidor rsyslog para que trabaje sobre TCP en el puerto por

defecto 514, el segundo bloque pone a rsyslog a trabajar sobre UDP en el puerto por defecto 514.

Finalmente editamos el archivo /etc/sysconfig/rsyslog

Modificamos la directiva SYSLOGD_OPTIONS=-r -m 0 esto para permitir clientes de syslog

remotos.

$ModLoad imtcp.so

$InputTCPServerRun 514

$ModLoad imudp.so

$UDPServerRun 514



GROUP | ???

MiNdWiDe - Group 14

Procederemos a reiniciar el servicio de rsyslog:

Con el segundo comando comprobamos que rsyslog si este escuchando y por el puerto

especificado.

service rsyslog restart

netstat -uan



GROUP | ???

MiNdWiDe - Group 15

ATENCIN: no olvidemos habilitar en el firewall de centos las comunicaciones hacia el servicio de de rsyslog editando el archivo /etc/sysconfig/iptables y agregando la siguiente lnea.

Nuestro servidor de syslog ya esta operativo pero es ms agradable y cmodo realizar la

administracin por medio de una interface grafica, entonces vamos a instalar loganalizer la cual es

una interface sobre web que nos permite administrar los logs de nuestro servidor rsyslog.

Los requerimientos para su implementacin es el conjunto de aplicaciones LAMP y GD (para

reportes grficos).

-A RH-Firewall-1-INPUT p udp m udp dport 514 j ACCEPT

service iptables restart

netstat -uan



GROUP | ???

MiNdWiDe - Group 16

Ya tenemos instalado mysql entonces procederemos a instalar lo que es apache, php y gd.

httpd es el nombre del paquete y del servicio que nos instalara Apache en CentOS.

Recordemos que debemos iniciar y agregar al inicio el servicio de Apache (httpd).

Yum install httpd php php-mysql gd php-gd



GROUP | ???

MiNdWiDe - Group 17

Descargaremos la aplicacin loganalyzer de la URL http://loganalyzer.adiscon.com/

Podemos descargarlo desde la maquina anfitrin en el caso de nosotros ya que estamos

realizando este proyecto sobre vitalizacin y posteriormente lo subimos a el servidor por medio de

FTP, como no tenemos instalado el servicio FTP en el servidor lo realizaremos con el comando

wget.

Esto porque buen debido a que estamos trabajando con CentOS en modo consola.

Realizamos el cambio de directorio para /var/www/html/, en este directorio crearemos una

carpeta llamada loganalyzer y en ella descomprimiremos el paquete que descargamos de

http://loganalyzer.adiscon.com/downloads/loganalyzer-3-0-0-v3-stable, esto con el fin de crear el

directorio root para la aplicacin web, la cual nos permitir la administracin de nuestro servidor

de syslog con una GUI amigable basada en web (HTTP).

Nota: la descarga la realizamos cuando estemos en esta ubicacin, por comodidad al momento de

desempaquetado.

Con este comando desempaquetamos nuestra aplicacin.

tar xzvf loganalyzer-3.0.0.tar.gz



GROUP | ???

MiNdWiDe - Group 18

Renombramos la carpeta que se genero durante el desempaquetado.

En la imagen podemos observar que no encontramos en el directorio src la carpeta principal de la

aplicacin web se llama src.

Uno de los pasos finales es realizar la configuracin de nuestro aplicacin web en Apache, esto lo

realizaremos con Hosting Virtual basado en nombre.

Nos posicionamos en el directorio /etc/httpd/conf/ este es el directorio donde se encuentra el

archivo httpd.conf el cual es el archivo principal donde se configuran todo lo relacionado con el

servidor web Apache.

Es recomendable realizar una copia del archivo httpd.conf antes de realizar alguna modificacin.



GROUP | ???

MiNdWiDe - Group 19

Configuracin de httpd.conf

Modificar las siguientes directivas:

Dentro de la directiva

Modificar la directiva

Allow from all a Allow from 127.0.0.1

Des comentamos la directiva

#NameVirtualHost *:80 a NameVirtualHost 10.0.0.3:80

Listen 80 > Listen 10.0.0.3:80

ServerAdmin root@localhost > ServerAdmin [email protected]

En la lnea que dice:

Options Indexes FollowSymLinks que se encuentra dentro de la directiva

quitamos la palabra Indexes

Con esto le indicamos que si no encuentra un archivo ndice no deje listar el contenido de la

carpeta html y por ende ninguno de sus subdirectorios



GROUP | ???

MiNdWiDe - Group 20

Y final mente modificamos la directiva y las directivas que se encuentran

dentro de la directiva

Reiniciamos el servicio de Apache.

Y en este punto debemos cargar el web site con la url http://log.homeunix.net

Nota: si no disponemos de este dominio podemos modificar el archivo hosts para poder resolver

el nombre a la direccin ip de nuestro servidor donde se ejecuta loganalyzer, realizando lo

siguiente:

service httpd restart



GROUP | ???

MiNdWiDe - Group 21

Modificando el archivo hosts, su ubicacin en Windows es \WINDOWS/System32/drivers/etc



GROUP | ???

MiNdWiDe - Group 22

En Linux es /etc/hosts



GROUP | ???

MiNdWiDe - Group 23

Con esta captura podemos comprobar que la resolucin se realiz satisfactoriamente.

Comprobado esto cargamos nuestro navegador favorito y digitamos la URL:

http://log.homeunix.net

Si por algn motivo no nos carga el asistente para la configuracin de loganalyzer, verifiquemos

que en el firewall de CentOS se permitan las conexiones hacia el puerto 80.

Para comprobar esto ejecutamos el comando:

iptables -L



GROUP | ???

MiNdWiDe - Group 24

En nuestro caso las conexiones hacia el puerto 80 no se estn permitiendo.

Procederemos a permitir esa comunicacin.

Editamos el archivo /etc/sysconfig/iptables

Y agregamos la lnea:

-A RH-Firewall-1-INPUT p tcp m tcp dport 80 j ACCEPT



GROUP | ???

MiNdWiDe - Group 25

Reiniciamos el servicio service iptables restart

Finalmente podemos comprobar que la nueva configuracin se cargo correctamente.



GROUP | ???

MiNdWiDe - Group 26

Esta es la pgina principal en la cual nos ofrece un asistente para configurar loganalyzer y damos

click en here.



GROUP | ???

MiNdWiDe - Group 27

Nos indica que debemos dar permisos de escritura a el archivo config.php

Estando en la ubicacin

Ejecutamos el comando:

En este apartado vamos a dejar todo por default y habilitaremos la opcin usar base de datos,

entonces debemos crea una nueva base de datos, la cual contendr todas la estructura de la

aplicacin loganalyzer.

chgrp apache src -R

chmod apache src -R



GROUP | ???

MiNdWiDe - Group 28

Creacin de dase de datos para loganalyzer.

Quedando como lo muestra la imagen y seleccinamos yes en la opcin solicitar usuario para

poder iniciar seccin.



GROUP | ???

MiNdWiDe - Group 29



GROUP | ???

MiNdWiDe - Group 30

Finalmente creamos la cuenta de administrador de syslog.

Seleccionamos el tipo de origen, en nuestro caso es mysql, especificamos el nombre de la base de

datos, usuario y password.



GROUP | ???

MiNdWiDe - Group 31

Con este pantallazo finalizamos la instalacin de loganalyzer.

Nota: si nos sale el siguiente error al momento de iniciar seccin, esto lo resolvemos realizando lo

siguiente.



GROUP | ???

MiNdWiDe - Group 32

Observemos que en esta captura los nombres de las tablas estn en mayscula inicial, al momento

de configurar el origen de los logs especificamos lo siguiente:



GROUP | ???

MiNdWiDe - Group 33

Para corregir esto nos pulsamos en la opcin Admin Center

Pestaa Sources.



GROUP | ???

MiNdWiDe - Group 34

Click en editar origen.

Y finalmente modificamos el nombre de la tabla correctamente, cerramos seccin e iniciamos

nuevamente.



GROUP | ???

MiNdWiDe - Group 35

Podemos apreciar nuestro servidor syslog operativo y con una amigable GUI.

La configuracin de clientes Linux es la siguiente:

En CentOS se debe editar el archivo /etc/syslog.conf

En Ubuntu se debe editar el archivo /etc/rsyslog.conf

*.* @

*.* @



GROUP | ???

MiNdWiDe - Group 36

NOTA: Los *.* definen todo tipo de log generado por la estacin cliente, se debe especificar la doble @@ si se configuro el servidor con TCP, y si se configura con otro puerto que no sea el

puerto por default seria @ipaddress:port.

Algunos de los tipos de logs que podemos configurar en el parmetro *.* son:



GROUP | ???

MiNdWiDe - Group 37



GROUP | ???

MiNdWiDe - Group 38

Para terminar con este manual vamos a configurar un router Cisco 3600 como cliente de syslog.

Los comandos que se deben agregar a la configuracin en ejecucin en el router son:

R1(config)#logging 10.0.0.3



GROUP | ???

MiNdWiDe - Group 39



GROUP | ???

MiNdWiDe - Group 40

Conclusiones

La implementacin de rsyslog con loganalyzer es relativamente sencilla.

Podemos instalar esta solucin de logs centralizada sin incurrir en ningn gasto monetario.

Es importante para cualquier administrador de redes sabes que es lo que esta pasando con sus

activos ms importantes y una fuente de informacin valiosa y precisa pueden ser los logs.

Bibliografa

http://loganalyzer.adiscon.com/

http://openskill.info/infobox.php?ID=1475

http://es.wikipedia.org/wiki/Log_(registro)

http://es.wikipedia.org/wiki/Syslog



GROUP | ???

MiNdWiDe - Group 41

Gracias Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

Implementacion de RSyslog-Server.pdf

Documents

Transcript of Implementacion de RSyslog-Server.pdf