Una de las grandes fortalezas de OpenBSD como servidor y cortafuegos es precisamente la seguridad. Pero qué es la seguridad?, cómo se manifiesta?. En la mayoría de las veces se trata de ataques a través de internet, ataques que buscan entre otras cosas: acceder a nuestras máquinas para sacar información modificarla, o usar nuestra máquina para que realice trabajos que el atacante quiere hacer, generalmente maliciosos.
OpenBSD deja un registro muy completo en /var/log conocidas como bitácoras. para este ejercicio se van a usar algunas herramientas básicas:
- less : ver una archivo
- grep : muestra cadenas en un archivo
- find : busca una cadena en un archivo o directorio
- wc : cuenta cadenas en una archivo
- dig : muestra información de un dominio
- geoiplookup : muestra localización de una ip, no es muy precisa
- gzip : descomprime archivos
A continuación un ejemplo de auditoria de una bitacora OpenBSD:
- hacer una copia de las bitácoras de
/var/log
en un directorio peronal.
- cd /home/personal/
- Crea un directorio para copiar el contenido de las bitácoras
- Se ubica en ese directorio
- Al hacer pwd debe aparecer /home/personal/bk_log
- Descomprimir los archivos de la bitacora en su directorio personal
Es posbile que antes de descomprimir se deba cambiar los permisos para poder ver los archivos:
$ sudo chown usuario:usuario *
- Revisar los archivos a fin de derterminar puntos críticos sobre los
archivos
- Para ver las líneas en las que aparece una cadena en especial, una ip por ejemplo:
- grep "211.157.113.89" authlog
De esta forma podemos ver datos claves como ip desde donde se hace el ataque o intento de ingreso, fecha y hora con precisión.
-
Para mostrar cuantas veces está esa ip en ese archivo
-
grep "211.157.113.89" authlog |
wc -l
|
-
Para determinar en que archivos de la bitácoara hay información de esta ip
$ find . -exec grep -l "211.157.113.89" {} ';'
-
Para determinar en que lugar geográfico fue registrado el DNS del dominio
- $ dig -x 211.157.113.89
- $ geoiplookup 211.157.113.89
Luego de ubicar el dominio de la ip de donde proviene el ataque, se recomienda enviarle un mensaje en inglés señalando el ataque, con datos como:
- Dominio que recibio el ataque,
- Dirección ip desde la que se dirigió el ataque
- La hora y la fecha precisa
Todas las herramientas usadas en este apartado less, find, grep, wc tienen sus repectivos manuales los cuales se pueden consultar con man
por ejemplo:
$ man grep …