Registro de red: definición y herramientas

Introducción al registro de red

Casi todos los sistemas de tecnologías de la información generan un registro, que sirve como registro de toda la actividad que realizó el sistema en su funcionamiento. Dichos registros son generados por dispositivos de infraestructura de red (firewalls, conmutadores, dispositivos de servicio de nombres de dominio, enrutadores, equilibradores de carga), plataformas informáticas (servidores, dispositivos y teléfonos inteligentes), sistemas operativos (como Windows, Linux, IoS) y aplicaciones (cliente/ servidor, aplicaciones web, utilidades basadas en la nube).

Una revisión de la gama de tipos de registros y herramientas para todos estos sistemas sería demasiado extensa para cualquier lección de estudio. Por lo tanto, esta lección describirá específicamente el registro de red a nivel de aplicación, la importancia de administrar estos registros por razones operativas y de seguridad, y varias herramientas que sintetizan dichos registros para que se puedan identificar problemas de funcionalidad y seguridad.

En una aplicación, un registro de red suele ser un archivo que contiene un registro de los eventos que ocurrieron en la aplicación. Contiene el registro de llamadas de acceso de usuarios y procesos a objetos, intentos de autenticación y otras actividades.

Generalmente, un evento se clasifica como un error, una advertencia o una actividad informativa. El formato y los datos específicos que se encuentran en un registro normalmente los determina el diseñador de la aplicación (para cumplir con diversos requisitos de la aplicación) y luego el desarrollador de la aplicación los implementa.

En la figura se proporciona un registro de red de muestra. La imagen se trunca para que quepa en la pantalla. A veces, los registros pueden contener detalles importantes y ser muy largos. Intentar mantener la integridad de todas las líneas las haría ilegibles.

Mantenimiento de registros

El mantenimiento adecuado de los registros de red es imperativo para garantizar el funcionamiento adecuado de la aplicación y para la investigación forense de sospechas de problemas de seguridad. El mantenimiento de registros de red consta principalmente de dos actividades distintas pero complementarias.

Actividad 1: Garantizar la disponibilidad del registro de red.

Los desarrolladores de aplicaciones normalmente limitan el tamaño de un archivo de eventos de registro para que no termine creciendo hasta el punto de que su tamaño afecte la disponibilidad de espacio de almacenamiento o alguna otra función de la aplicación. Una vez que un archivo de eventos de registro alcanza su límite de tamaño, algunas aplicaciones inician otro archivo y conservan los archivos anteriores. Otras aplicaciones normalmente actualizarán los registros de eventos. Esto significa que cuando se escribe un nuevo registro, se elimina un registro anterior, lo que garantiza que el tamaño del archivo no exceda su límite máximo.

En muchas organizaciones, existen estándares regulatorios o de cumplimiento que requieren la retención de archivos de registro mucho más allá de lo que la aplicación almacenará de forma nativa. Muchas organizaciones dirigirán sus registros a un administrador de registros especialmente diseñado para proporcionar el almacenamiento necesario, lo que permite a la aplicación transferir registros o sobrescribir archivos de registro sin preocupaciones.

Actividad 2: Garantizar la integridad del registro de red.

Los archivos de registro proporcionan información crucial sobre el rendimiento de la aplicación, sobre los intentos de acceso a los recursos y otros aspectos del comportamiento de la aplicación. Cuando una investigación requiere realizar análisis forenses de los registros para determinar el origen de un problema de aplicación o un incidente de seguridad, los investigadores deben saber que el archivo de registro está intacto y no ha sido manipulado.

Los ataques de seguridad contra aplicaciones a menudo incluyen esfuerzos por parte de los atacantes para modificar los archivos de registro en la aplicación para ocultar su actividad. Nuevamente, exportar registros a un administrador de registros dedicado es una forma reconocida de mejorar la protección de la integridad de los registros.

Herramientas para sintetizar los registros

Como sugiere la ilustración anterior en esta lección, los archivos de registro pueden estar llenos de detalles extremadamente granulares sobre la función de la aplicación, lo que hace casi imposible examinarlos de manera efectiva para identificar problemas relacionados con la funcionalidad o la seguridad. Para superar esta dificultad, existe una amplia gama de herramientas de registro de red destinadas a ayudar con la síntesis y el análisis de registros.

Esta sección describirá algunas de estas herramientas. Lo que debería quedar claro es que muchas de las herramientas se han desarrollado para propósitos muy específicos, llenando nichos específicos para el análisis de registros en una organización.

1. Justniffer

El producto Justniffer se introdujo para capturar paquetes TCP entre dos sistemas para ayudar a identificar problemas de rendimiento entre los dos sistemas. La aplicación más práctica fue identificar la causa raíz de los problemas de rendimiento con aplicaciones cliente-servidor y web.

Además de recopilar los paquetes, el producto también proporciona un análisis de los datos para que el usuario pueda ver claramente dónde están los paquetes que identifican la causa potencial del problema de rendimiento.

2.HTTPRY

Cuando es necesario solucionar problemas de funcionalidad de una aplicación web, una herramienta adecuada es HTTPRY. Esta herramienta analiza los registros de tráfico HTTP, lo que permite reconstruir cómo el código de la aplicación web interactúa con otro sistema.

La herramienta puede presentar un análisis de los registros de tráfico HTTP desde una aplicación web en tiempo real o almacenar los registros para su posterior análisis y reconstrucción. Herramientas como HTTPRY se utilizan en muchas soluciones de análisis web, que ofrecen información a los propietarios de sitios web sobre a qué páginas web se accede y los atributos de quién accede a esas aplicaciones (como el navegador que utilizan y la dirección IP de la que provienen).

3. DNS pasivo

Otra solución para utilizar registros para solucionar problemas es PassiveDNS. Esta solución recopila el tráfico de registros entre consultas de servicios de nombres de dominio (DNS) recursivos para detectar si hay anomalías en las consultas o respuestas. El objetivo es mejorar la seguridad del DNS detectando compromisos en las entradas del DNS o incluso evitar la resolución de nombres de dominio sospechosos y el acceso al contenido de esos dominios.

Resumen de la lección

Muy bien, tomemos uno o dos momentos para revisar. Como aprendimos, los registros de red sirven como registros de toda la actividad que realizaron los sistemas en sus operaciones. Destacan eventos, que se clasifican como errores, advertencias o actividades informativas. Es por eso que los registros pueden ser útiles para determinar por qué una aplicación funciona de cierta manera, para investigar comportamientos sospechosos o incluso para prevenir cierta actividad peligrosa de la aplicación. Muchas organizaciones dirigirán sus registros a un administrador de registros creado expresamente para proporcionar el almacenamiento necesario, lo que permite a la aplicación transferir registros o sobrescribir archivos de registro sin preocupaciones.

También aprendimos sobre las diversas herramientas de registro de red que se han desarrollado para realizar estas funciones críticas. Básicamente, están destinados a ayudar con la síntesis y el análisis de registros. Como las funciones pueden ser limitadas y de alcance específico, muchas organizaciones tienen que implementar múltiples herramientas para cubrir todas sus importantes necesidades de análisis de registros de red. Los ejemplos que analizamos incluyeron los siguientes:

1. Justniffer, que captura paquetes TCP entre dos sistemas para ayudar a identificar problemas de rendimiento entre los dos sistemas.
2. HTTPRY, que analiza los registros de tráfico HTTP, lo que permite reconstruir cómo interactúa el código de la aplicación web con otro sistema. Esta es una herramienta que se utiliza a menudo en soluciones de análisis web, que ofrecen información a los propietarios de sitios web sobre a qué páginas web se accede y los atributos de quién accede a esas aplicaciones.
3. PassiveDNS, que recopila el tráfico de registros entre consultas de servicios de nombres de dominio (DNS) recursivos para detectar si hay anomalías en las consultas o respuestas.

Rodrigo Ricardo Editor y fundador