GUARDING YOUR BUSINESS

■ www.balabit.hu

Naplógyűjtés heterogén hálózatban

Höltzl Péter – BalaBit IT Security

2GUARDING YOUR BUSINESS

■ www.balabit.huMiről lesz szó?

■ Bevezető: Miért kell naplózni?

■ Milyen problémák vetődnek fel a naplózás terén egy heterogén környezetben:

□ Operációs rendszerek változatossága

□ Alkalmazások változatossága

□ Hálózati elrendezés változatossága

□ A jelenleg használatos syslog protokoll (RFC3195) nem alkalmas heterogén rendszerek naplógyűjtésére

■ Milyen megoldásokat kínál a syslog-ng a felvetődő kérdésekre?

GUARDING YOUR BUSINESS

■ www.balabit.huA naplózás nem új keletű igény

■ Mióta számítógépek vannak, naplók is vannak:

GUARDING YOUR BUSINESS

■ www.balabit.huMi a napló, naplózás és a napló gyűjtés?

■ A napló egy jegyzőkönyv (record) ami az IT infrastruktúrában történt eseményeket dokumentálja:

□ A napló bejegyzésekből (entry) áll

□ Információkat tartalmaz az eseményekről (event) ami a szervezet rendszerein történt

■ A naplózás célja:□ Hibajavítás

□ Optimalizálás

□ Jogos és jogtalan felhasználói aktivitás dokumentálása

□ Belső és külső előírás, kötelezettség

□ Egészséges paranoia:-)

GUARDING YOUR BUSINESS

■ www.balabit.huTörvényi kötelezettség, megfelelés

■ Külföldi:□ 1996: Health Insurance Portability and Accountability Act

(HIPAA) – Egészségügyi adatok védelme

□ 1999: Gramm-Leach-Bliley Act (GLBA) – Bankbiztonság

□ 2002: Federal Information Security Management Act (FISMA) – Kormányzat és külső partnereik biztonsága

□ 2002: Sarbanes-Oxley Act (SOX) – Vállalati pénzügyi adatok

□ 2004: Payment Card Industry Data Security Standard (PCI DSS) – Bankkártya biztonság

□ 2004: Basel II Accord – Bankközi megállapodás

■ Belföld:□ 1996. évi CXII. Törvény 13/b. kiegészítésének auditálás

szempontjából releváns követelményeiről

GUARDING YOUR BUSINESS

■ www.balabit.huFelvetődő problémák

■ Az operációs rendszerek változatossága:□ Sokféle operációs rendszer, többféle naplózási megoldással:

eltérő protokollok, többnyire syslog vagy event log illetve SIEM

□ Eltérő napló bejegyzés formátumok

■ Az alkalmazások változatossága:□ Eltérő naplótárolási megoldások, képességek, melyek nem

változtathatóak, eltérő napló bejegyzés formátumok

■ Hálózati felépítés változatossága:□ Nem megfelelő sávszélesség

□ Változatos topológia

■ A szabványos (RFC3195) elavult, alkalmatlan a mai rendszerekhez!

GUARDING YOUR BUSINESS

■ www.balabit.huA syslog-ng története

■ 1998: A felvetődő problémák megoldására született a syslog-ng 1.0

□ A legelterjedtebb syslogd alternatíva számos disztribúción

□ Számos világszintű hálózatban syslog-ng alapú naplógyűjtő rendszert alakítottak ki:

□ army.mil, navy.mil, nasa.gov, lanl.gov, ...

■ 2007: a fejlesztés két részre ágazott el□ Open Source Edition: a korábbi nyílt forráskódú változat

folytatása

□ Premium Edition: kereskedelmi ág, kibővített funkcionalitással

■ 2008: syslog-ng 3.0 PE és OSE valamint SSB 1.0

GUARDING YOUR BUSINESS

■ www.balabit.huA syslog-ng OSE és PE válaszai

■ Az operációs rendszerek változatosságára:□ Támogatott platformok:

□ Linux (Debian, RedHat, CentOS, SLES stb.)□ BSD (FreeBSD, OpenBSD stb.)□ Solaris, OpenSolaris (8-9-10)□ MacOS X□ AIX□ OS/400 (AS/400, Systemi)□ HP-UX□ Windows (syslog-ng Agent for Windows)

GUARDING YOUR BUSINESS

■ www.balabit.huEltérő napló bejegyzés formátumok

■ Inkonzisztens napló formátumok feloldása:□ A „parser” funkció: a beérkező üzenetet darabolja, melynek

segítségével az üzenetek normalizálhatóak

■ A naplók gyakran érzékeny adatokat tartalmaznak, amit nem szabad továbbküldeni, tárolni (pl. jelszavak) illetve hiányzó mezők „kitöltése”:

□ A „rewrite” funkció: a beérkező üzenet minta alapján átírható (pl. jelszavak törlése)

GUARDING YOUR BUSINESS

■ www.balabit.huAlkalmazások változatossága

■ Eltérő naplótárolási megoldások támogatása operációs rendszeri és (főként) alkalmazás szinten

■ Naplógyűjtés lehetőségei:□ Fileból

□ Named pipe-ból

□ Program

□ Sun-streams

□ syslog

□ TCP és UDP protokollon IPv4 és IPv6 felett akár SSL/TLS csatornákon

□ Unix-stream és unix-dgram

GUARDING YOUR BUSINESS

■ www.balabit.huA syslog-ng által támogatott tárolási módok

■ Napló tárolás „klasszikus” lehetőségei:□ Tárolás fájlban

□ Tárolás SQL adatbázisban OSE(!)

□ Tárolás un. logstoreban (rejtjelezett fájl) csak PE

■ Naplótárolás „különleges” lehetőségei□ Named pipe

□ Unix-stream és unix-dgram

□ usertty

□ Program

GUARDING YOUR BUSINESS

■ www.balabit.huHálózati felépítés változatossága

■ A nem megfelelő sávszélesség, illetve a túlzott hálózat kihasználság elkerülése:

□ Relay üzemmód: a syslog-ng helyi log aggregátorként gyűjti az üzeneteket, majd továbbítja a központ felé

■ Felhasználható technológiák:□ Disk buffer: amennyiben a syslog-ng nem tudja a log

bejegyzéseket továbbküldeni átmenetileg helyileg tárolja azokat

□ Flow-control: amennyiben a syslog-ng nem tudja megfelelő sebességgel továbbítani a kliensek felől érkező bejegyzéseket, az olvasást (ezzel a klienst) lassítja

□ Throttling: hálózati küldéskor a syslog-ng önmagát korlátozza

□ Tömörítés: TLS használatakor az adatrész tömöríthető

GUARDING YOUR BUSINESS

■ www.balabit.huA szabványos syslog protokoll hibái

■ A szabványos syslog protokoll RFC3195 (2001) nem illeszkedik napjaink igényeihez:

□ Megbízhatatlan (UDP) protokoll, rejtjelezés nincs

□ Hiányos időpecsét (Hónap Nap Óra Perc):□ Nincs év□ Nincs időzóna

□ Egyszerű hostnév támogatás

□ Nem támogatja a többsoros üzeneteket

□ Nem támogatja az UTF-8 formátumú üzeneteket

GUARDING YOUR BUSINESS

■ www.balabit.huA syslog-ng válaszai

■ A szabványos syslog protokollon felül támogatott:□ TCP átvitel akár TLS csatornákon

□ Teljes időpecsét (ISODATE)

□ Hostnév láncolás és FQDN támogatás

□ Az új syslog protokoll támogatása a syslog driver segítségével

■ Az új syslog protokoll (RFC5424-tő 5428-ig) támogatásával:

□ Többsoros üzenetek támogatása

□ UTF-8 támogatás

□ Minden fenti lehetőség támogatása

15GUARDING YOUR BUSINESS

■ www.balabit.huMiről volt szó?

■ Miért kell naplózni?

■ Milyen problémák vetődnek fel a naplózás terén egy heterogén környezetben:

□ Operációs rendszerek változatossága

□ Alkalmazások változatossága

□ Hálózati elrendezés változatossága

□ A jelenleg használatos syslog protokoll (RFC3195) nem alkalmas heterogén rendszerek naplógyűjtésére

■ Milyen megoldásokat kínál a syslog-ng a felvetődő kérdésekre?