Tema 5: Configurarea serviciilor de audit i jurnalizare la sistemele deoperare Fia de documentare 5 Configurarea serviciilor de jurnalizare i audit Acest material

vizeaz competena/rezultat al nvrii: I n s t a l e a z i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare i Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare Auditul sistemelor informatice se definete ca examinarea unui sistem informatic icomparare lui cu prevederile unui standard agreat. Auditul sistemelor informatice reprezint activitatea de colectare i evaluare aunor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale. n cadrul unei misiuni deaudit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile itestrile mijloacelor informaionale. Principalele tipuri de audit informatic sunt: - auditul sistemului operaional de calcul p r e s u p u n e r e v i z i a c o n t r o a l e l o r sistemelor operaionale de calcul i a reelelor, la diferite niveluri; de exemplu, reea,sistem de operare, software de aplicaie, baze de date, controale logice/procedurale,controale preventive /detective /corective etc;

- auditul instalaiilor IT include aspecte cum sunt securitatea fizic, controalele mediului de lucru, sistemele de management i echipamentele IT; - auditul sistemelor aflate n dezvoltare acoper unul sau ambele aspecte: (1)controalele managementului proiectului i (2) specificaiile, dezvoltarea, testarea, implementarea i operarea controalelor tehnice i procedurale, incluznd controalele securitii tehnice i controalele referitoare la procesul afacerii; - auditul managementului IT include: revizia organizaiei, structurii, strategiei,planificrii muncii, planificrii resurselor, stabilirii bugetului, controlul costurilor etc.; nunele cazuri, aceste aspecte pot fi auditate de ctre auditorii financiari i operaionali,lsnd auditorilor informaticieni mai mult aspectele tehnologice ;- auditul procesului IT revederea proceselor care au loc n cadrul IT cum suntdezvoltarea a plicaiei, testarea, implementarea, operaiile, mentenana, gestionareaincidentelor; - auditul managementului schimbrilor prevede revizia planificrii i c o n t r o l u l u i schimbrilor la sisteme, reele, aplicaii, procese, faciliti etc., incluznd managementulc o n f i g u r a i e i , controlul codului de la dezvoltare, prin t e s t a r e , l a p r o d u c i e i managementul schimbrilor produse n organizaie; - auditul controlului i securitii informaiilor i m p l i c r e v i z i a c o n t r o a l e l o r referitoare la confidenialitatea, integritatea i disponibilitatea sistemelor i datelor;- auditul conformitii cu legalitatea se refer

la copyright, conformitate cu legislaia, protecia datelor personale;Pentru realizarea un set de politici i proceduri pentru managementul tuturor proceselor IT ntr-o organizaie s-a definit un set ndrumtor sub numele de CoBIT. Acest model (nvarianta 4.1) ilustrativ se poate modela c o mprire a IT- ului n 4 domenii i 34 de procese n line cu responsabilitatea ariilor de acoperire, construire i monitorizare oferind o soluie de la cap la coad pentru ntreg conceptul IT. Rezumat la conceptul dearhitectur la nivel de ntreprindere, ajut foarte mult s se identifice resursele esenialepentru succesul proceselor, de ex. aplicaii, informaii, infrastructur i oameni. Un alt sistem de auditare este oferit spre certificare folosindu-se standardul ISO/IEC17799:2000 set de politici care odat implementat este sinonim cu atingerea unuinivel ridicat de securitate IT(acest standard este agreat i de Comisia European).Dei acest standard confer bncilor care doresc s implementeze un system de internet banking, autorizaia de funcionare autorizaie care se va face n fiecare an,de ctre o companie independent cu competene solide n activiti de securitate informatic, el poate fi folosit ca i ghid pentru celelalte domenii. n mod uzual n ara noastr se folosesc 3 categorii de auditare: Auditul specializat 1 care asigur conformitile cu prevederile Ordinului MCTInr. 16/24.01.2003 este adresat furnizorilor de servicii care doresc eliminarea birocraieiprin

listarea unui singur exemplar de factur fiscal. Este auditat planul de securitate alsistemului informatic, iar analiza este efectuat anual de ctre o echip independent,specializat, care are n componen i membri certificai CISA.

Auditul specializat 2 se refer la auditarea planului de securitate n vedereaap lic rii prevederilor Ordinului Min. Fin an elor nr. 1077/06.08.2 003 i presupune scanarea de vulnerabiliti adic este testat vulnerabilitatea unui sistem informatic laatacuri din afar sau din interiorul reelei. Este analizat modul n care sunt configurateechipamentele de reea, sistemele de operare de pe staii i servere i se compar curecomandrile de securitate ale produc torului. Acest tip de audit de securitate este executat de ctre un specialist certificat i experimentat pe produsul auditat.

Auditul specializat 3 se refer la securitatea infrastructurii IT. Aceast form deaudit de securitate presupune know-how, experien, specialiti i certificri.

Relativ la sistemele de operare i jurnalizarea i n f o r m a i i l o r d i n s i s t e m , s e deosebesc trei tipuri de

jurnale: jurnalul de aplicaii, jurnalul de securitate i jurnalul de sistem. Tipuri de jurnal de evenimente Jurnalul de aplicaii (Application log). J u r n a l u l d e a p l i c a i i c o n i n e evenimentele nregistrate de programe. De exemplu, un program de baze de date poate nregistra o eroare de fiier n jurnalul de aplicaii. Evenimentele ce se scriu n jurnalulde aplicaii sunt determinate de dezvoltatorii programului software. Jurnalul de securitate (Security log). Jurnalul de securitate nregistreazevenimente precum ncercrile valide i invalide de Log on, precum i evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau tergerea de fiiere.De exemplu, cnd este activat auditarea la Log on, este nregistrat un eveniment n jurnalul de securitate de fiecare dat cnd un utilizator face Log on pe computer.Trebuie s facei Log on ca administrator sau ca membru al grupului de administratoripentru a activa, utiliza i specifica evenimentele de nregistrat n jurnalul de securitate. Jurnalul de sistem (System log). Jurnalul de sistem conine evenimente nregistrate de componentele de sistem. De exemplu, dac un driver nu reuete s se ncarce n timpul pornirii, va fi nregistrat un eveniment n jurnalul de sistem. Sistemeleb a z a t e p e p l a t f o r m a W i n d o w s d e t e r m i n

a n t i c i p a t e v e n i m e n t e l e n r e g i s t r a t e d e componentele de sistem. Modul de interpretare a unui eveniment. Fiecare intrare din jurnal este clasificat prin tipul su i conine informaii de antet io descriere a evenimentului. Antetul evenimentului Antetul evenimentului conine urmtoarele informaii despre eveniment: Date: Data la care s-a produs evenimentul. Time: Ora la care s-a produs evenimentul. User: Numele de utilizator al utilizatorului care era conectat cnd s-a produsevenimentul. Computer: Numele computerului pe care s-a produs evenimentul. Event ID: Un numr care identific tipul evenimentului. ID-ul evenimentului poate fi utilizat de reprezentanii serviciului de asisten pentru produs pentru a nelegece anume s-a ntmplat n sistem. Source: Sursa evenimentului. Aceasta poate fi numele unui program, o component de sistem sau o component individual a unui program mare.

 Type: Tipul evenimentului. Exist cinci tipuri de evenimente: Error, Warning,Information, Success Audit sau Failure Audit. Category: O clasificare a evenimentului n funcie de su rsa evenimentului. Aceasta este utilizat n principal n jurnalul de securitate. Tipuri de evenimente. Descrierea fiecrui eveniment nregistrat depinde de tipule v e n i m e n t u l u i . F i e c a r e e v e n i m e n t d i n t r - u n j u r n a l p o a t e f i c l a s i f i c a t n t r - u n u l d i n urmtoarele tipuri: Information: Un eveniment care descrie desfurarea cu succes a unei activiti, cum ar fi o aplicaie, un driver sau un serviciu. De exemplu, un eveniment deinformare este nregistrat cnd se ncarc cu succes un driver de reea. Warning: Un e veniment care nu este neaprat important poate totui sindice apariia unei probleme n viitor. De exemplu, un mesaj de avertizare este nregistrat cnd spaiul liber pe disc ncepe s fie sczut. Error: Un eveniment care descrie o problem important, precum eroarea unei activiti critice. Evenimentele de eroare pot implica pierderi de date sau de funcionalitate. De exemplu, un eveniment de tip eroare este nregistrat dac un serviciunu reuete s se ncarce n timpul pornirii.

 Success Audit (n jurnalul de securitate): Un e v e n i m e n t c a r e d e s c r i e completarea cu succes a unui eveniment de securitate auditat. De exemplu, uneveniment de tip auditare reuit este nregistrat cnd un utilizator face Log on pe computer. Failure Audit (n jurnalul de secur itate): Un eveniment care descrie uneveniment de securitate auditat care nu s -a terminat cu succes. De exemplu, un eveniment de tip auditare nereuit se nregistreaz cnd un utilizator nu poate accesa o unitate de reea. Gestionarea coninutului jurnalului n mod implicit, dimensiunea iniial maxim a jurnalului este setat la 512 KO icnd se ajunge la aceast dimensiune evenimentele noi se suprascriu peste cele vechi. n funcie de nevoile dvs., avei posibilitatea s modificai aceste setri sau s golii un jurnal de coninutul su.Dac dorii salvarea datelor jurnalului, avei posibilitatea s arhivai jurnalele de evenimente n oricare dintre urmtoarele formate: Format fiier jurnal (.evt) Format fiier text (.txt) Format fiier text cu delimitator virgul (.csv) Pentru o mai bun gestionare a acestor fisiere raportri diferite, cutri ncruciate,etc. se pot folosi diferite programe care traduc aceste fisiere n forme

vizuale cu detalierea informaiilor prezentate. Soluiile profesionale de obicei folosite pe serveresunt aa numitele Log Processing System (LPS) care ofer suport pentru procesarea n timp real a logurilor generate de diverse servere din reeaua dumneavoastr iraportarea imediat a evenimentelor detectate. Permite cunoasterea imediata i permanent a strii reelei, n detaliu. Procesarea logurilor funcioneaz pe baza de plug-in- uri configurabile n funcie denecesitile de monitorizare a clientului Permite analiza oricrui fiier de log, a oricrei aplicaii, pentru monitorizareaactivitii afacerii i din alte puncte de vedere dect securitatea tehnologic a informaiei Faciliteaz separarea alarmelor false de cele reale, reducnd cantitatea demunca a personalului tehnic Accelereaza procesele de reacie n caz de atac, prin indicarea clar azonelor i staiilor vulnerabile Plugin-uri LPS diponibile: WSPT - Windows Station Process Tracking raporteaz data i durata execuiei aplicaiilor instalate; WSSA - Windows Server Share Access - raporteaz accesul pe un director partajat identificnd serverul, utilizatorul, domeniul i activitile ntreprinse - scriere,citire, modificare;

GWEL - Generic Windows Event Log - asigur procesarea generic de log-uriWindows privind aplicaiile rulate i evenimentele de securitate; ASLP - Axigen Server Log Processor - asigur procesarea informaiilor privind schimburile de coresponden; WPLA - Web Proxy Log Analyzer - ofer informaii privind adresele web accesate de utilizatori, durata i traficul efectuat; SPMM - Server Performance Monitoring Module - asigur procesarea datelor specifice funcionrii serverelor - nivelul de solicitare al procesorului, memoria utilizat,spaiul disponibil pe HDD;

Bibliografie