[h1]
Verificación de la integridad de los servidores
[/h1]
Verificación de la integridadCuando se pone a un servidor en peligro, el hacker generalmente oculta sus pistas al borrar todos los antecedentes de sus registros de actividades. Además, instala algunas herramientas para posibilitar la creación de una puerta trasera de manera que facilite una posterior visita.
Más listo que nadie, el hacker corrige la vulnerabilidad que le ha permitido entrar, de manera que no se puedan infiltrar otros hackers.
Sin embargo, se puede revelar la presencia de hackers a través de ciertos comandos administrativos que muestran una lista de procesos en curso o de usuarios conectados al equipo. Por este motivo, se han desarrollado herramientas denominadas rootkits para sobrescribir estas herramientas del sistema y sustituirlas por funciones equivalentes que oculten la presencia del hacker.
Por lo tanto, y en ausencia de un daño obvio, a un administrador le resulta difícil saber si un equipo está en peligro. Una de las primeras cosas que hay que hacer cuando se detecta una intrusión es establecer el momento en el que ha ocurrido, de manera que se pueda determinar qué otros servidores fueron afectados y cómo.
Por lo general, los servidores almacenan archivos de registro de sus actividades, y en particular, de cualquier error hayan encontrado.
Por lo tanto, después de una intrusión en un equipo, es muy difícil que el hacker, en el primer intento, pueda poner en peligro el sistema con éxito. El hacker trabaja con el método de ensayo y error, al probar varias solicitudes.
Debido a esto, se puede utilizar la supervisión de registros para detectar actividades sospechosas. Reviste particular importancia la supervisión de los registros del software de seguridad. No importa si están bien configurados, aun así pueden ser un blanco de ataque.
Verificación de la presencia de rootkitsExiste software (chkrootkit, por ejemplo) que se utiliza para verificar la presencia de rootkits en el sistema. Sin embargo, para poder utilizar estas herramientas, se debe estar seguro de la integridad de la herramienta y de los resultados que muestra en pantalla. Por lo tanto, un sistema en riesgo no puede considerarse fiable.
Análisis de la integridadPara garantizar la integridad del sistema, es necesario detectar intrusiones a un nivel más alto. Éste es el objetivo de los verificadores de integridad como Tripwire.
El software Tripwire, originalmente desarrollado por Eugene Spafford y Gene Kim en 1992, se utiliza para garantizar la integridad del sistema a través de la supervisión constante de los cambios en ciertos archivos y carpetas. Tripwire lleva a cabo verificaciones de integridad y mantiene una base de datos actualizada de las firmas. En intervalos regulares, inspecciona las siguientes características del archivo para indicar si hubo alguna modificación y/o si está en peligro:
•permisos,
•última fecha de modificación,
•fecha de acceso,
•tamaño del archivo,
•firma del archivo.
Las alertas se envían por correo electrónico, preferentemente a un servidor remoto, para evitar que el hacker las elimine.
Los límites de la verificación de la integridad[/size[/b]]
Para obtener resultados fiables en la verificación de la integridad, se debe estar seguro de la integridad del equipo durante su instalación. También es muy difícil configurar este tipo de software, ya que el número de archivos que se debe supervisar puede ser muy grande. Es más, cuando se instalan nuevas aplicaciones, sus archivos se deben configurar para que puedan verificarse.
Además, este tipo de solución tiende a enviar un gran número de falsas alarmas, especialmente cuando el sistema sólo está modificando archivos de configuración o cuando se está actualizando.
Finalmente, si el equipo realmente está en peligro, el hacker puede intentar poner en peligro la integridad del verificador antes de la siguiente actualización, por lo que es muy importante almacenar las alertas en un equipo remoto o en un soporte externo que no se pueda volver a grabar.
RecursosFuente: kioskea.net
