13 mayo 2011

Auditoría de Sistemas con Bellator

Para configurar de forma segura un sistema o aplicación, normalmente se siguen las guías que proporciona el fabricante o de alguna organización con prestigio y son adaptadas a las necesidades de cada compañía. En el caso de sistemas Microsoft, se puede recurrir a la serie de documentos que edita el CCN-CERT denominados STIC, sólo para administración pública, NSA o incluso las grandes compañías crean sus propias guías. Algunas de estas guías (Microsoft y las STICs, por ejemplo), además del manual proporcionan ficheros que ayudarán a la configuración de los sistemas Windows, proveyendo el fichero de plantilla de seguridad (.INF)

Ejemplo de plantilla
En el caso de las STICs además, entre otros, incluyen el directorio correspondiente a las plantillas administrativas de configuración del equipo y del usuario (registry.pol).

Plantilla administrativa relativa a Configuración de usuario

Una vez configurados nuestros equipos, se deberían de comprobar con cierta periodicidad que no ha habido ningún cambio. Vamos, que hay que auditar los sistemas con la frecuencia que se estime oportuna. Para facilitar la tediosa tarea de comprobar los parámetros del sistema que previamente se han configurado de forma segura en sistemas Microsoft Windows contamos con la herramienta Bellator.


Bellator es una herramienta muy sencilla que en función de los ficheros de entrada (las plantillas de seguridad -fichero.inf- y administrativas –registry.pol-), comprueba que no ha habido ningún cambio respecto a los ficheros de entrada proporcionados.

La idea es que nada más configurar de forma segura el equipo, se exporte la plantilla de seguridad aplicada (.INF, con secedit /export) y se extraen los ficheros correspondientes a las plantillas administrativas, tanto de equipo (directorio Machine) como de usuario (directorio User) dentro del directorio GroupPolicy.

Con estos ficheros ya se puede auditar el sistema tantas veces como se desee. Como es lógico, con cada cambio sobre el equipo habrá que realizar la misma tarea. Por tanto Bellator comparará los ficheros de entrada con los parámetros configurados sobre la máquina. No compara ficheros, si no que los comprueba sobre la configuración aplicada. Esto es importante porque los ficheros del sistema no se actualizan hasta que no se reinicie, por lo tanto, no se aplican hasta dar este último paso.
Finalizada la comprobación, Bellator proporciona un fichero de texto con las diferencias encontradas y si se desea, con la opción –detail, además proporciona un fichero con todos los datos (tanto los relativos a las plantillas de entrada como los aplicados sobre el sistema).

El informe define dos tipos de diferencias:

  1. "Incorrect” o “Error”, cuando un parámetro no se corresponde con el pasado como input.
  2. "Correct but…”, cuando la diferencia se podría considerar menor, a juicio de su creador y podría pasar una auditoría. Este segundo tipo de errores sólo se dan en la parte relativa a los permisos, y su valoración se basa en que la parte más importe de los permisos se corresponde al tipo de los mismo (lectura, control total, etc.), al grupo o usuario que aplica, propietario y poco más. El resto tiene menor importancia. Pero aun así se muestran por si el auditor los considerase importantes.
Además Bellator tiene otra serie de features, como gusta decir por aquí, interesantes:
  1. Comprobación de hotfix del sistema en función de un fichero de entrada con los KBs que se desean comprobar.
  2. Creación y comprobación de los hashes de un fichero y de un directorio determinado. Basado en SHA-256. No se ha optado por métodos anteriores por tema de colisiones.
  3. Cifrado de informe (RSA-2048). Para entornos hostiles donde más de un departamento tiene permisos de administración sobre los equipos. Se cifra el informe de salida y se hashea los ficheros que toma de entrada. De esta forma se puede comprobar que la auditoría se realiza en función de las plantillas adecuadas y no se modifican estas para falsear los resultados.
  4. Informe en XML. Esta opción emite un fichero en XML con formato Babel Enterprise para su próxima integración.Al tratarse de un ejecutable se puede crear una tarea programada y lanzar las auditarías con la periodicidad deseada. Con la opción –Detail (se añade la fecha al nombre del informe) y con –Message, no aparecería ningún mensaje en pantalla, viene a ser un modo silencioso.
Las opción –FTP y –Share, permite enviar los informes a un servidor FTP (creará una carpeta con el nombre del equipo) o a un recurso compartido (para equipos en dominio).

Opciones de Bellator

Por último decir que Bellator no está pensado para máquinas en dominio aunque se puede utilizar teniendo en cuenta que siempre comprobará la política aplicada en un momento determinado (local) y que la información relativa a usuarios y grupos sólo aplica a los correspondientes a la máquina y no a los del dominio.

Para más detalle sobre la herramienta dirigirse al manual que se encuentra en esta dirección.

Espero que lo disfruten.


Referencias:
[+] Página del proyecto Bellator
[+] Manual de usuario de Bellator en castellano



-----------------------
Contribución gracias a Ricardo Ramos

4 comments :

Juanma dijo...

Interesante, habrá que probarlo.
Un detalle, el link que está en "Microsoft Windows contamos con la herramienta Bellator." no funciona.

Invitado dijo...

Yo la he usado y realmente ahorra bastante tiempo a la hora de hacer las auditorias, revisar toda la configuración de seguridad es bastante tedioso y con esta utilidad se verifica todo de un vistazo rápido.

Security By Default dijo...

Gracias por avisar Juanma, ¡cambiado! 

Madrikeka dijo...

Voy a echarle un vistazo...que pronto habrá un dominio mas.... XD