Upload
f-l
View
532
Download
3
Embed Size (px)
DESCRIPTION
Balabit presentation at Open Source Farm - 2008 Millenaris Budapest Hungary
Citation preview
GUARDING YOUR BUSINESS
■ www.balabit.hu
Naplógyűjtés heterogén hálózatban
Höltzl Péter – BalaBit IT Security
2GUARDING YOUR BUSINESS
■ www.balabit.huMiről lesz szó?
■ Bevezető: Miért kell naplózni?
■ Milyen problémák vetődnek fel a naplózás terén egy heterogén környezetben:
□ Operációs rendszerek változatossága
□ Alkalmazások változatossága
□ Hálózati elrendezés változatossága
□ A jelenleg használatos syslog protokoll (RFC3195) nem alkalmas heterogén rendszerek naplógyűjtésére
■ Milyen megoldásokat kínál a syslog-ng a felvetődő kérdésekre?
GUARDING YOUR BUSINESS
■ www.balabit.huA naplózás nem új keletű igény
■ Mióta számítógépek vannak, naplók is vannak:
GUARDING YOUR BUSINESS
■ www.balabit.huMi a napló, naplózás és a napló gyűjtés?
■ A napló egy jegyzőkönyv (record) ami az IT infrastruktúrában történt eseményeket dokumentálja:
□ A napló bejegyzésekből (entry) áll
□ Információkat tartalmaz az eseményekről (event) ami a szervezet rendszerein történt
■ A naplózás célja:□ Hibajavítás
□ Optimalizálás
□ Jogos és jogtalan felhasználói aktivitás dokumentálása
□ Belső és külső előírás, kötelezettség
□ Egészséges paranoia:-)
GUARDING YOUR BUSINESS
■ www.balabit.huTörvényi kötelezettség, megfelelés
■ Külföldi:□ 1996: Health Insurance Portability and Accountability Act
(HIPAA) – Egészségügyi adatok védelme
□ 1999: Gramm-Leach-Bliley Act (GLBA) – Bankbiztonság
□ 2002: Federal Information Security Management Act (FISMA) – Kormányzat és külső partnereik biztonsága
□ 2002: Sarbanes-Oxley Act (SOX) – Vállalati pénzügyi adatok
□ 2004: Payment Card Industry Data Security Standard (PCI DSS) – Bankkártya biztonság
□ 2004: Basel II Accord – Bankközi megállapodás
■ Belföld:□ 1996. évi CXII. Törvény 13/b. kiegészítésének auditálás
szempontjából releváns követelményeiről
GUARDING YOUR BUSINESS
■ www.balabit.huFelvetődő problémák
■ Az operációs rendszerek változatossága:□ Sokféle operációs rendszer, többféle naplózási megoldással:
eltérő protokollok, többnyire syslog vagy event log illetve SIEM
□ Eltérő napló bejegyzés formátumok
■ Az alkalmazások változatossága:□ Eltérő naplótárolási megoldások, képességek, melyek nem
változtathatóak, eltérő napló bejegyzés formátumok
■ Hálózati felépítés változatossága:□ Nem megfelelő sávszélesség
□ Változatos topológia
■ A szabványos (RFC3195) elavult, alkalmatlan a mai rendszerekhez!
GUARDING YOUR BUSINESS
■ www.balabit.huA syslog-ng története
■ 1998: A felvetődő problémák megoldására született a syslog-ng 1.0
□ A legelterjedtebb syslogd alternatíva számos disztribúción
□ Számos világszintű hálózatban syslog-ng alapú naplógyűjtő rendszert alakítottak ki:
□ army.mil, navy.mil, nasa.gov, lanl.gov, ...
■ 2007: a fejlesztés két részre ágazott el□ Open Source Edition: a korábbi nyílt forráskódú változat
folytatása
□ Premium Edition: kereskedelmi ág, kibővített funkcionalitással
■ 2008: syslog-ng 3.0 PE és OSE valamint SSB 1.0
GUARDING YOUR BUSINESS
■ www.balabit.huA syslog-ng OSE és PE válaszai
■ Az operációs rendszerek változatosságára:□ Támogatott platformok:
□ Linux (Debian, RedHat, CentOS, SLES stb.)□ BSD (FreeBSD, OpenBSD stb.)□ Solaris, OpenSolaris (8-9-10)□ MacOS X□ AIX□ OS/400 (AS/400, Systemi)□ HP-UX□ Windows (syslog-ng Agent for Windows)
GUARDING YOUR BUSINESS
■ www.balabit.huEltérő napló bejegyzés formátumok
■ Inkonzisztens napló formátumok feloldása:□ A „parser” funkció: a beérkező üzenetet darabolja, melynek
segítségével az üzenetek normalizálhatóak
■ A naplók gyakran érzékeny adatokat tartalmaznak, amit nem szabad továbbküldeni, tárolni (pl. jelszavak) illetve hiányzó mezők „kitöltése”:
□ A „rewrite” funkció: a beérkező üzenet minta alapján átírható (pl. jelszavak törlése)
GUARDING YOUR BUSINESS
■ www.balabit.huAlkalmazások változatossága
■ Eltérő naplótárolási megoldások támogatása operációs rendszeri és (főként) alkalmazás szinten
■ Naplógyűjtés lehetőségei:□ Fileból
□ Named pipe-ból
□ Program
□ Sun-streams
□ syslog
□ TCP és UDP protokollon IPv4 és IPv6 felett akár SSL/TLS csatornákon
□ Unix-stream és unix-dgram
GUARDING YOUR BUSINESS
■ www.balabit.huA syslog-ng által támogatott tárolási módok
■ Napló tárolás „klasszikus” lehetőségei:□ Tárolás fájlban
□ Tárolás SQL adatbázisban OSE(!)
□ Tárolás un. logstoreban (rejtjelezett fájl) csak PE
■ Naplótárolás „különleges” lehetőségei□ Named pipe
□ Unix-stream és unix-dgram
□ usertty
□ Program
GUARDING YOUR BUSINESS
■ www.balabit.huHálózati felépítés változatossága
■ A nem megfelelő sávszélesség, illetve a túlzott hálózat kihasználság elkerülése:
□ Relay üzemmód: a syslog-ng helyi log aggregátorként gyűjti az üzeneteket, majd továbbítja a központ felé
■ Felhasználható technológiák:□ Disk buffer: amennyiben a syslog-ng nem tudja a log
bejegyzéseket továbbküldeni átmenetileg helyileg tárolja azokat
□ Flow-control: amennyiben a syslog-ng nem tudja megfelelő sebességgel továbbítani a kliensek felől érkező bejegyzéseket, az olvasást (ezzel a klienst) lassítja
□ Throttling: hálózati küldéskor a syslog-ng önmagát korlátozza
□ Tömörítés: TLS használatakor az adatrész tömöríthető
GUARDING YOUR BUSINESS
■ www.balabit.huA szabványos syslog protokoll hibái
■ A szabványos syslog protokoll RFC3195 (2001) nem illeszkedik napjaink igényeihez:
□ Megbízhatatlan (UDP) protokoll, rejtjelezés nincs
□ Hiányos időpecsét (Hónap Nap Óra Perc):□ Nincs év□ Nincs időzóna
□ Egyszerű hostnév támogatás
□ Nem támogatja a többsoros üzeneteket
□ Nem támogatja az UTF-8 formátumú üzeneteket
GUARDING YOUR BUSINESS
■ www.balabit.huA syslog-ng válaszai
■ A szabványos syslog protokollon felül támogatott:□ TCP átvitel akár TLS csatornákon
□ Teljes időpecsét (ISODATE)
□ Hostnév láncolás és FQDN támogatás
□ Az új syslog protokoll támogatása a syslog driver segítségével
■ Az új syslog protokoll (RFC5424-tő 5428-ig) támogatásával:
□ Többsoros üzenetek támogatása
□ UTF-8 támogatás
□ Minden fenti lehetőség támogatása
15GUARDING YOUR BUSINESS
■ www.balabit.huMiről volt szó?
■ Miért kell naplózni?
■ Milyen problémák vetődnek fel a naplózás terén egy heterogén környezetben:
□ Operációs rendszerek változatossága
□ Alkalmazások változatossága
□ Hálózati elrendezés változatossága
□ A jelenleg használatos syslog protokoll (RFC3195) nem alkalmas heterogén rendszerek naplógyűjtésére
■ Milyen megoldásokat kínál a syslog-ng a felvetődő kérdésekre?