Consolidación de Logs

La consolidación de logs ofrece un a manera de agil y util de organizar, asegurar, correlacionar y controlar logs.

Principalmente se considerará dos escenarios a la hora de tener en cuenta la consolidación como un aspecto de la administración de logs.  Los dos escenarios trabajan sobre un área centralizada para el almacenaje de logs.

Escenario A

La arquitectura de esta propuesta se basa en un único servidor central para la administración de logs.  La información de  logs puede ser utilizada en un centro de operaciones 7x24 como un dispositivo de alertas centralizado para un a consola de operaciones.




En este caso se requiere una buena capacidad de almacenamiento, y de acuerdo a la disponibilidad deseada es recomendable utilizar disco duros redundantes o un RAID[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn6 [6]]].

Un problema con este tipo de arquitectura es que al tener un único y común servidor de logs se establece también un único punto de falla o ataque.  El sistema por completo dependería de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor pondría en duda la validez de los logs y la utilización de estos como evidencia en una investigación  formal.  De esta forma un atacante podría cubrir su actividad delictiva removiendo o modificando cualquier log que contenga registro de su actividad.

Centralizando logs de esta forma se hace mucho más fácil el trabajo para un atacante. Más adelante se abordará como combinando una serie de estrategias se puede llegar a un buen nivel de seguridad en este escenario.

Escenario B

Esta arquitectura utiliza un método más robusto, almacenaje de logs de acuerdo a una clasificación  de los mismos.  Cada servidor es usado para cada clase de fuente de log.

Más claramente al tener un servidor para grupos de fuentes de logs, si el servidor de logs de los servidores con sistema operativo Windows NT falla, seguirá estando disponible el servidor de los de las maquinas Unix y desde luego los servidores de los demás dispositivos.  Una forma de aumentar la disponibilidad es tener una replica de los logs en otros servidores de logs, alta redundancia.




Los logs estarán centralizados y pueden ser utilizados en un ambiente de centro de control 7x24.  Ahora si un atacante desear eliminar el rastro de sus actividades, tendra mucho más trabajo por hacer y recorrer más de una maquina para ser efectivo en su labor.

Un problema de este escenario se puede determinar facilmente, el costo de la infraestructura que satisfaga los requerimientos planteados.