fase 3 implementacion syslog server

Seguridad de la red

Implementación Del Plan De Seguridad De La Información

Fase 3 – Linux Syslog Server

GRUPO “MiNdWiDe”

JUAN ALEJANDRO BEDOYA

JOSE DE ARLEX DOMINGUEZ

NEIFER ERNEY GIRALDO

JHON FREDY HERRERA

YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)

2010

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com

Seguridad de la red | Implementación Del Plan De Seguridad De La Información

GROUP | “???”

MiNdWiDe - Group 2

INDICE

Introducción ......................................................................................................................... 3

Objetivo ............................................................................................................................... 4

Syslog ................................................................................................................................... 5

Rsyslog ................................................................................................................................. 5

Instalando Rsyslog ................................................................................................................ 6

Requisitos para instalar Rsyslog ................................................................................................................. 6

Paquetes a instalar ................................................................................................................................ 6

Implementando rsyslog ............................................................................................................................. 8

Conclusiones ....................................................................................................................... 40

Bibliografía ......................................................................................................................... 40



GROUP | “???”

MiNdWiDe - Group 3

Introducción

La palabra log es un término anglosajón, equivalente a la palabra bitácora en lengua castellana. Sin

embargo, se utiliza en los países de habla hispana como un anglicismo derivado de las

traducciones del inglés en la jerga informática. Del mismo término también proviene la palabra

blog, que es la contracción de "web log".

Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los

profesionales en seguridad informática es usado para registrar datos o información sobre quién,

qué, cuándo, dónde y por qué (who, what, when, where y why, W5) un evento ocurre para un

dispositivo en particular o aplicación.

La mayoría de los logs son almacenados o desplegados en el formato estándar, el cual es un

conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado

por un dispositivo en particular puede ser leído y desplegado en otro diferente.

También se le considera cómo aquel mensaje que genera el programador de un sistema operativo,

alguna aplicación o algún proceso, en virtud del cual se muestra un evento del sistema.

A su vez la palabra log se relaciona con el término evidencia digital. Un tipo de evidencia física

construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados

con herramientas y técnicas especiales, lo que implica la lectura del log y deja al descubierto la

actividad registrada en el mismo.



GROUP | “???”

MiNdWiDe - Group 4

Objetivo

Realizar la implementación de un servidor de syslog en la distribución Linux – CentOS 5.5, nos

apoyaremos para la realización de este proyecto en los aplicativos VMWare Workstation y el

Sistema Operativo CentOS 5.5. Esto con el objetivo de facilitar la lectura y administración de todos

los logs de servidores y demás dispositivos de nuestra red de una forma centralizada.



GROUP | “???”

MiNdWiDe - Group 5

Syslog

syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por

syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes

de registro.

Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede

contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.

El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el servidor de syslog,

conocido como syslogd (demonio de syslog). El cliente envía un pequeño mensaje de texto (de

menos de 1024 bytes).

Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato de texto plano.

Algunas implementaciones del servidor, como syslog-ng, permiten usar TCP en vez de UDP, y

también ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.

Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos

dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar

mensajes de varios tipos de sistemas en un solo repositorio central.

Rsyslog

Rsyslog es un programa de código abierto para el reenvío de mensajes de registro en una red IP

para UNIX y sistemas de tipo Unix. Se implementa el protocolo syslog de base, se extiende con

contenido basado en el filtrado, la rica capacidades de filtrado, las opciones de configuración

flexibles y añade importantes características como el uso de TCP para el transporte.



GROUP | “???”

MiNdWiDe - Group 6

Instalando Rsyslog

La Instalación de Rsyslog la realizaremos en la distribución de Linux – CentOS 5.5 cuya red IPv4 es

10.0.0.0/29 y su dirección IPv4 es 10.0.0.3/29.

Requisitos para instalar Rsyslog

Teniendo claro que es syslog procederemos a describir los componentes que vamos a instalar para

tener nuestro servidor syslog corriendo y además poder administrarlo de una manera fácil.

Paquetes a instalar

rsyslog: demonio como tal que ejecuta el servicio de syslog.

rsyslog-mysql: extensión la cual nos permite que rsyslog establezca comunicación con el

servidor de base de datos mysql.

mysql-server: Motor de base de datos la cual nos permitirá almacenar todos los logs

emitidos por los clientes de nuestro servidor syslog e igualmente lo instalaremos en la

misma máquina.

php: script el cual requerimos para poder instalar y operar la aplicación que nos permite

de una forma amigable y grafica administrar nuestro servidor de syslog.



GROUP | “???”

MiNdWiDe - Group 7

php-mysql: complemento que requerimos para poder instalar y operar la aplicación que

nos permite de una forma amigable y grafica administrar nuestro servidor de syslog.

php-gd: complemento que requerimos para poder instalar y operar la aplicación que nos

permite de una forma amigable y grafica administrar nuestro servidor de syslog.

httpd: debemos instalar el servicio de http ya que la administración de nuestro servidor de

syslog la realizaremos a partir de una interface web.



GROUP | “???”

MiNdWiDe - Group 8

Implementando rsyslog

Asumiendo que nuestra distribución de Linux CentOS 5.5 este instalada y actualizada, ya sea en un

equipo dedicado, maquina virtual, etc. Procederemos a instalar los paquetes necesarios.

Lo primero que debemos realizar para instalar y que nos inicie el rsyslog es parar el servicio syslog

que por defecto esta en ejecución, igualmente desactivamos syslog al inicio del sistema con los

siguientes comando de CLI.

Como podemos observar en la captura de pantalla con el comando service syslog stop paramos el

demonio de syslog, igualmente comprobamos con el comando chkconfig –list | grep syslog si

syslog esta activado para que se inicie cuando inicie el sistema, posteriormente desactivamos a

rsyslog con el comando chkconfig syslog off cuando inicie el sistema y nuevamente comprobamos

que syslog no se inicie cuando el sistema se inicie con el comando chkconfig –list | grep syslog.

Hecha esta tarea vamos a instalar los paquetes.

La siguiente secuencia de comandos nos permite realizar mencionada tarea:



GROUP | “???”

MiNdWiDe - Group 9

El la captura de imagen ejecutamos el comando yum install mysql mysql-server e igualmente

aceptamos descargar las dependencias asociadas a mysql.

El primer paquete mysql es el cliente de mysql y el segundo mysql-server es el paquete que nos

instala el servicio de mysql, en CentOS los servicios no se inician automáticamente cuando culmina

la instalación, debemos iniciarlos y además debemos configurarlos para que nos inicie durante el

inicio del sistema si así lo consideramos pertinente.

El demonio que ejecuta el servicio de mysql en CentOS se llama mysqld.

Con los comandos service mysqld start y chkconfig mysqld on habilitamos el servicio de mysql y lo

agregamos al inicio del sistema respectivamente.



GROUP | “???”

MiNdWiDe - Group 10

Tenemos que tener presente que cuando realizamos la instalación de mysql en CentOS no nos

ofrece la configuración del usuario root, entonces para realizar esta tarea escribimos los siguietes

comandos.

mysqladmin –u root password ‘password’;

En este pantallazo lo que realizamos fue entrar a la base de datos mysql como root, creamos la

base de datos rsyslog la cual utilizaremos para almacenar los datos log que nos generen las

maquinas de nuestra red, e igualmente creamos el usuario que tendrá todos los privilegios solo

para la base de datos rsyslog.

Teniendo nuestra base de datos creada vamos a instalar rsyslog.

yum install rsyslog rsyslog-mysql, e igualmente iniciamos el demonio rsyslog y lo agregamos al

inicio del sistema.

El siguiente paso que realizaremos es exportar una plantilla de la base de datos de rsyslog la cual la

podemos encontrar en /usr/share/doc/rsyslog-mysql<verion>/createDB.sql



GROUP | “???”

MiNdWiDe - Group 11

En nuestro caso esta es la ruta con su respectiva versión.

En la captura de pantalla podemos observar que modificamos el nombre de la base de datos que

por defecto es Syslog y lo acomodamos al nombre de la base de datos que creamos previamente.

Entramos como root a mysql e importamos la plantilla para la base de datos rsyslog.



GROUP | “???”

MiNdWiDe - Group 12

El archivo de configuración de rsyslog lo podemos encontrar en /etc/rsyslog.conf, en el cual

realizaremos algunas modificaciones.

Esto permite a rsyslog escribir en la base de datos y cuya estructura es:

*.* :ommysql:<servidormysql>,<DBname>,<username>,<passdb>

Podemos configurar nuestro servidor de syslog para que funcione en la capa de transporte sobre

TCP o UDP, los comandos disponibles a continuación nos proporcionan esto:

$ModLoad ommysql.so

*.* :ommysql:127.0.0.1,rsyslog,rsyslog,AsDfG123



GROUP | “???”

MiNdWiDe - Group 13

El primer bloque configura nuestro servidor rsyslog para que trabaje sobre TCP en el puerto por

defecto 514, el segundo bloque pone a rsyslog a trabajar sobre UDP en el puerto por defecto 514.

Finalmente editamos el archivo /etc/sysconfig/rsyslog

Modificamos la directiva SYSLOGD_OPTIONS=”-r -m 0” esto para permitir clientes de syslog

remotos.

$ModLoad imtcp.so

$InputTCPServerRun 514

$ModLoad imudp.so

$UDPServerRun 514



GROUP | “???”

MiNdWiDe - Group 14

Procederemos a reiniciar el servicio de rsyslog:

Con el segundo comando comprobamos que rsyslog si este escuchando y por el puerto

especificado.

service rsyslog restart

netstat -uan



GROUP | “???”

MiNdWiDe - Group 15

ATENCIÓN: no olvidemos habilitar en el firewall de centos las comunicaciones hacia el servicio

de de rsyslog editando el archivo /etc/sysconfig/iptables y agregando la siguiente línea.

Nuestro servidor de syslog ya esta operativo pero es más agradable y cómodo realizar la

administración por medio de una interface grafica, entonces vamos a instalar loganalizer la cual es

una interface sobre web que nos permite administrar los logs de nuestro servidor rsyslog.

Los requerimientos para su implementación es el conjunto de aplicaciones LAMP y GD (para

reportes gráficos).

-A RH-Firewall-1-INPUT –p udp –m udp –dport 514 –j ACCEPT

service iptables restart

netstat -uan



GROUP | “???”

MiNdWiDe - Group 16

Ya tenemos instalado mysql entonces procederemos a instalar lo que es apache, php y gd.

httpd es el nombre del paquete y del servicio que nos instalara Apache en CentOS.

Recordemos que debemos iniciar y agregar al inicio el servicio de Apache (httpd).

Yum install httpd php php-mysql gd php-gd



GROUP | “???”

MiNdWiDe - Group 17

Descargaremos la aplicación loganalyzer de la URL http://loganalyzer.adiscon.com/

Podemos descargarlo desde la maquina anfitrión en el caso de nosotros ya que estamos

realizando este proyecto sobre vitalización y posteriormente lo subimos a el servidor por medio de

FTP, como no tenemos instalado el servicio FTP en el servidor lo realizaremos con el comando

wget.

Esto porque buen debido a que estamos trabajando con CentOS en modo consola.

Realizamos el cambio de directorio para /var/www/html/, en este directorio crearemos una

carpeta llamada loganalyzer y en ella descomprimiremos el paquete que descargamos de

http://loganalyzer.adiscon.com/downloads/loganalyzer-3-0-0-v3-stable, esto con el fin de crear el

directorio root para la aplicación web, la cual nos permitirá la administración de nuestro servidor

de syslog con una GUI amigable basada en web (HTTP).

Nota: la descarga la realizamos cuando estemos en esta ubicación, por comodidad al momento de

desempaquetado.

Con este comando desempaquetamos nuestra aplicación.

tar xzvf loganalyzer-3.0.0.tar.gz

http://loganalyzer.adiscon.com/

http://loganalyzer.adiscon.com/downloads/loganalyzer-3-0-0-v3-stable



GROUP | “???”

MiNdWiDe - Group 18

Renombramos la carpeta que se genero durante el desempaquetado.

En la imagen podemos observar que no encontramos en el directorio src la carpeta principal de la

aplicación web se llama src.

Uno de los pasos finales es realizar la configuración de nuestro aplicación web en Apache, esto lo

realizaremos con Hosting Virtual basado en nombre.

Nos posicionamos en el directorio /etc/httpd/conf/ este es el directorio donde se encuentra el

archivo httpd.conf el cual es el archivo principal donde se configuran todo lo relacionado con el

servidor web Apache.

Es recomendable realizar una copia del archivo httpd.conf antes de realizar alguna modificación.



GROUP | “???”

MiNdWiDe - Group 19

Configuración de httpd.conf

Modificar las siguientes directivas:

Dentro de la directiva

<Directory "/var/www/error">

Modificar la directiva

Allow from all a Allow from 127.0.0.1

Des comentamos la directiva

#NameVirtualHost *:80 a NameVirtualHost 10.0.0.3:80

Listen 80 > Listen 10.0.0.3:80

ServerAdmin root@localhost > ServerAdmin [email protected]

En la línea que dice:

Options Indexes FollowSymLinks que se encuentra dentro de la directiva

<Directory "/var/www/html">

quitamos la palabra Indexes

Con esto le indicamos que si no encuentra un archivo índice no deje listar el contenido de la

carpeta html y por ende ninguno de sus subdirectorios

mailto:[email protected]



GROUP | “???”

MiNdWiDe - Group 20

Y final mente modificamos la directiva <VirtualHost *.80> y las directivas que se encuentran

dentro de la directiva <VirtualHost>

Reiniciamos el servicio de Apache.

Y en este punto debemos cargar el web site con la url http://log.homeunix.net

Nota: si no disponemos de este dominio podemos modificar el archivo hosts para poder resolver

el nombre a la dirección ip de nuestro servidor donde se ejecuta loganalyzer, realizando lo

siguiente:

service httpd restart

http://log.homeunix.net/



GROUP | “???”

MiNdWiDe - Group 21

Modificando el archivo hosts, su ubicación en Windows es <Unidad raíz del

OS:>\WINDOWS/System32/drivers/etc



GROUP | “???”

MiNdWiDe - Group 22

En Linux es /etc/hosts



GROUP | “???”

MiNdWiDe - Group 23

Con esta captura podemos comprobar que la resolución se realizó satisfactoriamente.

Comprobado esto cargamos nuestro navegador favorito y digitamos la URL:

http://log.homeunix.net

Si por algún motivo no nos carga el asistente para la configuración de loganalyzer, verifiquemos

que en el firewall de CentOS se permitan las conexiones hacia el puerto 80.

Para comprobar esto ejecutamos el comando:

iptables -L

http://log.homeunix.net/



GROUP | “???”

MiNdWiDe - Group 24

En nuestro caso las conexiones hacia el puerto 80 no se están permitiendo.

Procederemos a permitir esa comunicación.

Editamos el archivo /etc/sysconfig/iptables

Y agregamos la línea:

-A RH-Firewall-1-INPUT –p tcp –m tcp –dport 80 –j ACCEPT



GROUP | “???”

MiNdWiDe - Group 25

Reiniciamos el servicio service iptables restart

Finalmente podemos comprobar que la nueva configuración se cargo correctamente.



GROUP | “???”

MiNdWiDe - Group 26

Esta es la página principal en la cual nos ofrece un asistente para configurar loganalyzer y damos

click en here.



GROUP | “???”

MiNdWiDe - Group 27

Nos indica que debemos dar permisos de escritura a el archivo config.php

Estando en la ubicación

Ejecutamos el comando:

En este apartado vamos a dejar todo por default y habilitaremos la opción usar base de datos,

entonces debemos crea una nueva base de datos, la cual contendrá todas la estructura de la

aplicación loganalyzer.

chgrp apache src -R

chmod apache src -R



GROUP | “???”

MiNdWiDe - Group 28

Creación de dase de datos para loganalyzer.

Quedando como lo muestra la imagen y seleccinamos yes en la opción “solicitar usuario para

poder iniciar sección”.



GROUP | “???”

MiNdWiDe - Group 29



GROUP | “???”

MiNdWiDe - Group 30

Finalmente creamos la cuenta de administrador de syslog.

Seleccionamos el tipo de origen, en nuestro caso es mysql, especificamos el nombre de la base de

datos, usuario y password.



GROUP | “???”

MiNdWiDe - Group 31

Con este pantallazo finalizamos la instalación de loganalyzer.

Nota: si nos sale el siguiente error al momento de iniciar sección, esto lo resolvemos realizando lo

siguiente.



GROUP | “???”

MiNdWiDe - Group 32

Observemos que en esta captura los nombres de las tablas están en mayúscula inicial, al momento

de configurar el origen de los logs especificamos lo siguiente:



GROUP | “???”

MiNdWiDe - Group 33

Para corregir esto nos pulsamos en la opción Admin Center

Pestaña Sources.



GROUP | “???”

MiNdWiDe - Group 34

Click en editar origen.

Y finalmente modificamos el nombre de la tabla correctamente, cerramos sección e iniciamos

nuevamente.



GROUP | “???”

MiNdWiDe - Group 35

Podemos apreciar nuestro servidor syslog operativo y con una amigable GUI.

La configuración de clientes Linux es la siguiente:

En CentOS se debe editar el archivo /etc/syslog.conf

En Ubuntu se debe editar el archivo /etc/rsyslog.conf

*.* @<IP_ADDRESS_SERVER_SYSLOG>

*.* @<IP_ADDRESS_SERVER_SYSLOG>



GROUP | “???”

MiNdWiDe - Group 36

NOTA: Los *.* definen todo tipo de log generado por la estación cliente, se debe especificar

la doble @@ si se configuro el servidor con TCP, y si se configura con otro puerto que no sea el

puerto por default seria @ipaddress:port.

Algunos de los tipos de logs que podemos configurar en el parámetro *.* son:



GROUP | “???”

MiNdWiDe - Group 37



GROUP | “???”

MiNdWiDe - Group 38

Para terminar con este manual vamos a configurar un router Cisco 3600 como cliente de syslog.

Los comandos que se deben agregar a la configuración en ejecución en el router son:

R1(config)#logging 10.0.0.3



GROUP | “???”

MiNdWiDe - Group 39



GROUP | “???”

MiNdWiDe - Group 40

Conclusiones

La implementación de rsyslog con loganalyzer es relativamente sencilla.

Podemos instalar esta solución de logs centralizada sin incurrir en ningún gasto monetario.

Es importante para cualquier administrador de redes sabes que es lo que esta pasando con sus

activos más importantes y una fuente de información valiosa y precisa pueden ser los logs.

Bibliografía


http://openskill.info/infobox.php?ID=1475

http://es.wikipedia.org/wiki/Log_(registro)

http://es.wikipedia.org/wiki/Syslog


http://openskill.info/infobox.php?ID=1475

http://es.wikipedia.org/wiki/Log_(registro)

http://es.wikipedia.org/wiki/Syslog



GROUP | “???”

MiNdWiDe - Group 41

Gracias… Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

fase 3 implementacion syslog server

Documents

syslog en

en formato

en virtud

ingls en

informacin group

que es

log y deja

red implementacin