Buenas,
Tenía en mente hablar de este tema desde hace ya un tiempo, así que nada, hoy toca hablar y conocer un poco lo que son los servicios de auditoría distribuídos (Distributed Audit Services, DAS)
En un entorno distribuído de auditoría, como su propio nombre indica, los recursos de auditoría no están aislados/concentrados en una máquina en particular, que es lo que suele ser habitual. Los recursos están distribuídos en más de un sistema. Estos recursos, cuando hablamos de una arquitectura DAS, suelen comprender fundamentalmente dos conceptos básicos en la auditoría de un sistema:
* La gestión de la responsabilidad del usuario, lo que en la literatura se llama user accountability. Este principio determina que los usuarios deben ser responsables de las acciones que ejecutan en un sistema: y que por tanto, debe ser posible asociar acciones con usuarios concretos: es imposible hacer auditoría si no sabemos quién ha hecho qué, cómo y cuando.
* La detección de violaciones de politicas de seguridad, bien a través de intentos de uso no aceptable del sistema por parte de usuarios legítimos como de usuarios no declarados en el sistema (intrusión)
Una arquitectura DAS tiene una enorme ventaja y un enorme inconveniente. La ventaja emana de distribuír los recursos de auditoría en la plataforma y no circunscribirla a una sóla máquina, lo que hace que, en caso de comprometer una máquina, no tenga que quedar necesariamente comprometido el mecanismo de auditoría, ya que los componentes que residen en otras máquinas no tienen por que estar necesariamente comprometidos. El inconveniente es que, como podéis imaginar, desplegar, sincronizar y en definitiva, disponer de un DAS que actúe adecuadamente en tiempo y forma es muchísimo más complejo que confiar en los mecanismos de auditoría individuales de cada máquina de la plataforma.
Afortunadamente, hay implementaciones DAS para que los administradores y gestores de seguridad no tengan por qué quebrarse la cabeza. Las hay propietarias, lo que implica casarse con la tecnología y fiarse de un fabricante. A mí personalmente me seducen bastante poco, ya que en un componente crítico como los mecanismos de auditoría, yo quiero disponer del contro absoluto, y cuando se emplea software privativo, como bien sabéis, no tenemos ni de lejos, el control absoluto.
Por suerte para nosotros, tenemos cosas como el OpenGroup’s Distributed Auditing System, un conjunto de tecnologías que derivaron tiempo atrás en una implementación libre de su propia especificación XDAS. Esta implementación libre se llama OpenXDAS, y que satisface todos nuestros deseos a la hora de equilibrar control absoluto, calidad de servicio y conocimiento del producto sobre el que vamos a confiar algo tan crítico como las trazas de auditoría de un entorno distribuído.
Con OpenXDAS podemos montar un sistema distribuído de auditoría que de cobertura a cuatro componentes básicos de auditoría en un cluster de máquinas:
* Gestión de la auditoría de eventos, que registran información a tenor de lo que ocurra en el sistema
* Gestión de la auditoría de servicios del sistema, que registran información derivada del comportamiento de los servicios del sistema
* Gestión de auditoría de logs, en los cuales se analizan los registros o logs del sistema
* Gestión de operaciones en log, en los que principalmente se pretende definir mecanismos comunes para que los logs sean interoperables.
Si os ha provocado curiosidad, podéis obtener OpenXDAS gratuítamente en la página de Sourceforge http://openxdas.sourceforge.net/. Muchos pensarán que este es sólo otro proyecto más del rollito open. Quien se moleste en aprender y documentarse, que de esos hay pocos a la hora de hablar del rollito open, entenderán que el grupo de trabajo XDAS tiene entre sus integrantes a Novell, Capgemini, Trusted Systems Consulting Group, DWP, Hewlett-Packard, Shell, Boeing, IBM y Sun Microsystems entre otros ilustres colaboradores, y que por tanto, podemos presuponer profesionalidad en el trabajo que producen. Este grupo de trabajo pone a nuestra disposición la documentación, el código y las descargas de OpenXDAS. La especificación XDAS se formuló en 1998, y la podéis consultar en esta página (la visualización HTML y PDF requiere cumplimentar un formulario).
Como nota anecdótica, aunque OpenXDAS viene siendo usado por muchas compañías y usuarios, la única implementación XDAS integrada de facto en un sistema operativo la protagonizó Santa Cruz Operation (SCO), sumergida recientemente en una problemática judicial muy seria, en sus productos OpenServer 6 y UnixWare 7.14. El grupo de trabajo continúa buscando la estandarización de XDAS, presumiblemente, como norma ISO, y es de prever que en un futuro no muy lejano muchos sistemas acaben por adaptar XDAS una vez esté reconocido internacionalmente como estándar.
En paralelo, Novell, espónsor de OpenXDAS, trabaja en The Bandit Project, una implementación libre para sar soporte a servicios de autenticación, autorización y auditoría que guarda estrecha relación con OpenXDAS. Os aconsejo que le echéis un ojo, no tiene desperdicio.
Y esto es lo que en definitiva tiene de bueno el rollito open, tener en tu gran empresa, en tu PYME o en tu casa un mecanismo de auditoría distribuído como el que tiene, por ejemplo, Boeing corriendo en sus sistemas.
¿Apetecible, verdad?
Pues sí, muy apetecible. Y en el fondo esto también es ponérselo difícil a los que nos encargamos de mantener la seguridad de nuestros sistemas, que una vez que el sistema está aparentemente asegurado, nos lo tenemos que currar para romperlo, y volver a asegurar. Estas herramientas nos dan un poco de vidilla.