Kristóf Csaba
A közpon2 naplózás hat sarokköve
Hol vérzik el a projekt?
www.balabit.hu
Egy kis (ilozó(ia... Jelen dokumentum célja röviden bemutatni, hogy milyen technológiai és üzle2 folyamatok következményeként értékelődöG fel a naplóinformáció olyan mértékben, hogy gyűjtése és feldolgozása a jelenkor vállala2 informa2kájának egyik leghangsúlyosabb feladatává vált. Továbbá, megkísérlünk olyan kri2kus pontokat azonosítani egy közpon2 naplómenedzsment projektben, amelyek leginkább határozzák meg annak sikerét. Bízunk benne, hogy az ehhez a hat ponthoz tartozó hat tanácsunk megfogadása jelentős mértékben járul majd hozzá olvasóink sikeres szakmai tevékenységéhez.
www.balabit.hu
Történelemi
á-ekintés Amikor a nyolcvanas évek elején Eric Allman a Sendmail projekt keretében megalkoGa a syslog protokollt, és ezzel tulajdonképp feltalálta a naplózást, valószínűleg nem sejteGe, hogy pár év2zed múlva a közpon2 naplózó szerverek már napi több gigabájt logüzenetet fogadnak majd a vállala2 hálózatokból. (Akkoriban a merevlemezek mérete a néhány megabájtnál tartoG.) Kezdetben a naplózás diagnosz2kai célokat szolgált, főleg a fejlesztés, később pedig már az üzemeltetés számára is. A közpon2 naplózás bevezetésével sem változoG a lényeg, csupán annyi történt, hogy immár a hálózat állapotát figyeljük elsősorban szintén diagnosz2kai és biztonságtechnikai célokból. A „megfigyelésünk” tehát eddig a pon2g magára az infrastruktúrára korlátozódoG. Hol tartunk ma? A világ azonban nem állt meg a naplózásban sem. A következő lépcső bizonyos alkalmazások és adatbázisműveletek bevonása leG a közpon2 logolási rendszerbe. Ezt ma számos informa2kai szabvány és reguláció írja elő, elsősorban a visszakövethetőség érdekében. (pl.: PCI‐DSS, SOX, Basel II, ...)
www.balabit.hu
Bár első ránézésre mindez nem tűnik nagy lépésnek, mégis alapvető változásról van szó. Ugyanis ezzel már nem csupán a gépek állapotáról gyűjtünk adatokat, hanem közvetlenül az alkalmazoGak tevékenységéről is. Ha nagyon filozófusan szeretnénk fogalmazni, mostantól magának a szervezetnek, vagy partnereknek és ügyfeleknek figyeljük a tevékenységét. Naplózás
nélkül
nem
megy Korunk vállalataira jellemző, hogy a termelési tényezők közül a tőke mindenhatóságát egyre inkább megkérdőjelezik olyan megfoghatatlan értékek és javak, mint az információ, a szaktudás, és a folyamatokban valamint szakmai kapcsolatokban megjelenő szerveze2 tudás. Ezek az értékek márpedig egy modern, versenyképes vállalat esetében szinte kizárólag elektronikus eszközökön, informa2kai rendszerekben manifesztálódnak. Kevesen gondolnak bele, hogy a vállalatok több száz éve működő belső “naplózásának” a bizonyla2 rendszernek, amelyben számlák, szállítólevelek, szerződések, és nyilvántartások szerepelnek, manapság a gyökere ‐ vagyis erede2 bizonylata ‐ általában egy naplóbejegyzés az informa2kai rendszerben. A legjobb példa erre talán a távközlés, ahol egy telefonbeszélgetéshez tartozó számla erede2
www.balabit.hu
bizonylata egy a hivás kezdeményezésével és egy a hívás megszakításával kapcsolatos logbejegyzés. Könnyű tehát belátni, hogy a naplóinformációk gyűjtése és kezelése nem csupán IT üzemeltetési és IT biztonsági kérdés többé, hanem a vállala2 dokumentáció megkerülhetetlen része. Természetesen ebből az is következik, hogy ezt az információ halmazt nem csupán IT (üzemeltetési és biztonsági) okokból érdemes elemezni, de pénzügyi, és marke2ng szempontból is, sőt, a papír alapú bizonyla2 rendszerhez hasonlóan önellenőrzési, humán ellenőrzési célokból is. Naplózás nélkül tehát ma már nem létezhet komolyan működő szervezet, és ezt egyre inkább jogszabályok is előírják, amelyek különböző kényszereket fogalmaznak meg különböző tevékenységet folytató szervezetek számára, a tekintetben (is), hogy hogyan kell kezelniük ezeket az értékes, bizonyító erejű bizonylatokat a napló állományokat. Küzdjük
le
a
nehézségeket! Amikor egy logmenedzsment rendszer, illetve infrastruktúra kialakítására vagy átalakítására kerül sor, akkor számos nehézség merülhet fel: a heterogén rendszerek miaG nehéz az adatok begyűjtése, a logfájlok eltérő formátumúak, az
www.balabit.hu
informa2kai környezet folyamatosan változik, és biztosítani kell a logok sértetlenségét, bizalmasságát. Ahhoz, hogy ezek a szempontok mind számításba vehetők legyenek, egy közpon2 logmenedzsment infrastruktúrára van szükség, amely a nehézségeken keresztülveze2 a szervezeteket. Mint minden informa2kai fejlesztés, így a korszerű naplózás megvalósítása is gondos tervezést feltételez, melynek során meghatározásra kerülhetnek a pontos igények. Így például a megfigyelendő rendszerek, a loggyűjtéssel kapcsolatos lehetőségek, a jelentéskészítési szükségletek valamint a biztonsággal és archiválással összefüggő paraméterek is. A 2sztán technikai szempontokon túl azonban számos egyéb tényezőt is célszerű szem előG tartani, melyek nemcsak költséghatékonyabbá tehetnek egy naplókezelési projektet, hanem későbbi fejtörésektől is megszabadíthatják a szervezeteket. A BalaBit sok éves tapasztalaGal rendelkező, rengeteg nagyszabású logmenedzsment infrastruktúrát felépítő szakértői összeállítoGák a közpon2 naplózás azon sarokköveit, amelyeket érdemes fontolóra venni, és a beruházások tervezése során szem előG tartani.
www.balabit.hu
1. A kritikus adatminőség, avagy elemezzünk megbízható infrastruktúrán A naplóüzenetek küldésével és fogadásával kapcsolatos rendszerrel szemben hasonló elvárásokat fogalmazhatunk meg, mint a postai küldemények esetében: • Érkezzen meg minden feladoG levél, és csak a címre feladoG levelek érkezzenek oda. • A küldeményeket senki ne bontsa fel, illetve, tartalmát senki illetéktelen ne ismerje meg. • A küldemények tartalmát senki ne módosíthassa nyom nélkül, amikor az a küldő és feladó közöG utazik. Ahogy a levélküldeményekkel foglalkozó postai rendszerek esetében is igaz, a naplózó infrastruktúrák sem elégí2k ki hibamentesen ezeket a követelményeket. A
www.balabit.hu
különbség a hibák számában keresendő, és csak arra kell figyelni, hogy az infrastruktúra megbízhatósága összhangban legyen az elvárásokkal. Amikor háziasszonyok leveleznek egymásközt, akkor megengedhető, hogy ezer levélből egy elveszik. Amikor bankok teszik ugyanezt, akkor már nem, ezért ők sok esetben egy megbízhatóbb futárszolgálatot alkalmaznak. Ugyanígy különbségek vannak megbízhatóság tekintetében a naplózó megoldások közöG is. A hagyományos és igen elterjedt protokollok még nem a megbízható üzeneGovábbításra leGek kifejlesztve, így az azokat alkalmazó eszközök nem elégí2k ki a különböző regulációk hatálya alá tartozó szervezetek igényeit. De eGől függetlenül is igaz, hogy amennyiben egy szervezet feldolgozza és elemzi az összegyűjtöG naplóinformációkat, és azokból jelentéseket készít, ezeknek a jelentéseknek a minősége nem képes meghaladni a bemenő adat minőségét. A syslog‐ng termékcsalád a kezdetektől fogva ennek a megbízható iránynak az úGörője immár 13 éve. A syslog‐ng Premium Edi2on illetve a syslog‐ng Store Box appliance 2tkosítoG, veszteségmentes üzeneGovábbítást kínál több mint 40 különböző plaiormról, és tökéletesen illeszthető minden elterjedt SIEM és más elemző rendszerhez.
www.balabit.hu
Vagyis, ha jelentős beruházásokat eszközöltünk naplóelemző (SIEM) illetve tároló (stogare) eszközökbe, és/vagy amennyiben valamilyen informatikával kapcsolatba hozható belső vagy külső kényszer (PCI, SOX, HIPAA, Cobit, ISO 27000) alatt áll a szervezetünk, akkor érdemes odafigyelni, hogy a központi naplózó infrastruktúránk megbízható legyen.
2. Testreszabott riasztások, riportok A naplókezelő rendszerek leglátványosabb összetevői a riasztások és jelentések készítésére szolgáló modulok. Ezek szolgáltatják ugyanis a logmenedzsment kézzelfogható „végtermékeit”, amelyeknek nemcsak az üzemeltetők munkáját kell segíteniük, hanem a biztonságért felelős szakemberek feladatainak elvégzését is meg kell könnyíteniük. EmelleG nem szabad megfeledkezni arról a trendről sem, miszerint a naplózás az üzle2 életbe is beteszi a lábát, és igyekszik támogatni a marke2nget, a beruházástervezést, az emberi erőforrások kontrollját, stb. A legfontosabb azonban az, hogy a riportok és a riasztások mennyiségének összhangban kell lenniük a rendelkezésre álló humán kapacitásokkal. Amennyiben nem sikerül a riasztások számát a valóban releváns eseményekre koncentrálni,
www.balabit.hu
akkor kezelhetetlenné válhat a rendszer. Ezért a beérkező üzenetek osztályozására
A riportok mélységét és a riasztások érzékenységét mindig az azokat feldolgozó humán erőforrás rendelkezésreálló mennyiségéhez kell illeszteni.
komoly szerep hárul. A riportok mélységét és a riasztások érzékenységét mindig az azokat feldolgozó humán erőforrás rendelkezésreálló mennyiségéhez kell illeszteni. Elolvasatlan riportok és kivizsgálatlan riasztások generálása nem csak kidoboG pénz, de biztonsági kockázat is, hiszen azokban valóban kri2kus események is megbújhatnak. Építsd fel a naplózó rendszeredet az alapoktól! Bontsd két részre a projektet! Először a stabil, megbízható közpon2 gyűjtésre koncentrálj, amihez kiváló társ a világ egyik legnépszerűbb megoldása a syslog‐ng. A következő lépés annak eldöntése, hogy milyen mélységű elemzésre és riasztásra van szükséged és humán erőforrásod. Alapvető igényeket a syslog‐ng Store Box önmagában is képes kielégíteni. De tovább léphetsz egy egyszerű, akár nyílt forráskódú elemző eszközzel is, vagy akár egy professzionális igényeket kielégítő SIEM rendszerrel is.
www.balabit.hu
3. Mit gyűjtsünk, mit elemezzünk, mit archiváljunk? A naplókezelés nagyon fontos pontjához érkeztünk. Amennyiben ugyanis nem sikerül meghatározni a monitorozandó rendszerek, eszközök körét és az azok által alkalmazoG naplózási szinteket, akkor az komoly és egyben felesleges kiadásokat vonhat maga után. Nem csupán az archiválandó adatmennyiség tárolókapacitása emelhe2 a költségeket az egekbe, de a naplóelemző eszközök licencelése is az adatmennyiségtől függ. Megfelelő konfigurációval több száz százalékos megtakarítás is el lehet érni. Vagyis ez esetben sem célszerű ágyúval verébre lövöldözni. Viszont nyilvánvalóan az sem jó, ha a naplózásból releváns adatok maradnak ki, hiszen ekkor az események kezelését nem lehet megfelelően elvégezni. A naplózás hatókörének kijelölését alapvetően befolyásolják azok a rendszertervezés során feltárt igények, amelyek üzemeltetői, biztonsági és üzle2
www.balabit.hu
oldalról merülnek fel. A logolás mélységének pontosabb behatárolásában alapvető
Amennyiben sikerül még elemzés és archiválás előtt kiszűrni az érdektelen információt, rengetek időt és pénzt spórolhatunk.
szerepet játszanak azon előírások, szabványok is, amelyeknek egy adoG szervezetnek meg kell felelnie. Ezek közé tartozik egyebek melleG a hitelintézetekről és pénzügyi vállalkozásokról szóló (1996. évi CXII.) törvény, a PCI DSS, a HIPPA, a SOX, a COBIT, stb. A PCI DSS 10.3‐as pontja például kimondja, hogy az összes rendszerkomponens minden eseményéről rögzíteni kell legalább a felhasználó azonosságára, az esemény npusára, bekövetkezési dátumára és idejére, illetve az esemény eredetére, nevére, sikerességére vagy elutasítására vonatkozó adatokat. Amennyiben sikerül behatárolni a naplózás hatókörét, akkor az az archiválással kapcsolatos rendszerkövetelmények specifikálását is megalapozza. Nyilvánvalóan ez esetben figyelembe kell venni az egyes adatok megőrzési idejére vonatkozó követelményeket, és a naplózó megoldások skálázhatósági lehetőségeit. A Pareto elv iG is működik. Azoknak az információknak a nagy része, amire kíváncsiak vagyunk, az logüzenetek kis részében vannak jelen. Amennyiben sikerül még elemzés és archiválás előG kiszűrni az érdektelen információt, rengetek időt és pénzt spórolhatunk.
www.balabit.hu
A syslog‐ng iG is nagy segítséget jelent, nem csupán igen fejleG előszűrési képességei miaG, de az üzenetklaszifikációs modul úgynevezeG “ar2ficial ignorance” szolgáltatása révén is, amely segítségével az ismert (normál működést jelző) üzenetek elválaszthatók az ismeretlenektől.
4. Kritikus pont az időpecséteket és a tanúsítványokat szolgáltató infrastruktúra Amennyiben a naplózó rendszer felállítását üzle2leg kri2kus folyamatok vagy valamilyen szigorú szabványi vagy törvényi megfelelőség kényszerí2 ki (pl. PCI‐DSS), különösen a távközlési és a pénzügyi szektorokban, igen nagy hangsúlyt kell
www.balabit.hu
fektetni a 2tkosságot és bizalmasságot, illetve a szigorú sorszámozást biztosító
Az idő vagy a tanúsítvány meghamisítása alapvető támadásnak számít a naplózó infrastruktúrákkal szemben, így ezeknek az alrendszereknek a korrumpálása az egész rendszer hitelességét szünteti meg.
tanúsítványokat és időpecséteket szolgáltató alrendszer magas rendelkezésreállását és védeGségét. Az idő vagy a tanúsítvány meghamisítása alapvető támadásnak számít a naplózó infrastruktúrákkal szemben, így ezeknek az alrendszereknek a korrumpálása az egész rendszer hitelességét szünte2 meg.
4. Bizalmas adatok, megregulázott hozzáférések Amint arról az előbbiekben szó volt, a naplók bizalmassága és sértetlensége kulcsfontosságú. Az adatok biztonságba helyezésének – a 2tkosításon és az időpecsételésen túl – lényeges szempontja az is, hogy pontosan meghatározoG és szigorúan betartatoG hozzáférés‐szabályozás legyen érvényben. Biztosítani kell, hogy csak az arra jogosult személyek férhessenek hozzá a naplózó rendszer egyes
www.balabit.hu
komponenseihez, beleértve a klienseken futó agenteket, az átvitelre szolgáló
A naplózó rendszer minden elemét kritikus rendszerként kell kezelni, beleértve magukat a naplófájlokat is, amelyekbe olyan érzékeny információk lehetnek, mint jelszavak és személyes adatok.
hálóza2 berendezéseket, relay pontokat, az adatok tárolásához, archiválásához használt storage‐eket valamint a feldolgozást végző, riasztásokat és jelentéseket generáló összetevőket is. A syslog‐ng Premium Edi2on és Store Box változatai a hitelesség és sértetlenség biztosítása érdekében nagy megbízhatóságú technológiákkal rendelkezik, amelyeknek köszönhetően a naplóüzeneteket 2tkosítoG, tömöríteG, indexelt és időpecséGel ellátoG bináris fájlokban is képes tárolni. Az érzékeny adatokhoz így csak az arra jogosult, megfelelő 2tkosítási kulcsokkal rendelkező személyek férhetnek hozzá. IG kell megjegyezni, hogy egy naplózó rendszernek önmagát is logolnia kell annak érdekében, hogy megfigyelhetővé váljanak azok a módosítások, amelyek a naplózást befolyásolhatják. Hiába lennének például 2tkosítoGak és időpecséGel ellátva az adatok, ha a naplózást egy külső vagy belső támadó észrevétlenül kikapcsolhatná, illetve manipulálhatná.
www.balabit.hu
A naplózó rendszer minden elemét kri2kus rendszerként kell kezelni, beleértve
Minden egyes naplózott üzleti folyamat esetében gondold át, hogy szükségese vagy megengedhető-e, hogy naplózás nélkül is működjenek!
magukat a naplófájlokat is, amelyekbe olyan érzékeny információk lehetnek, mint jelszavak és személyes adatok.
6. Naplózás megállás nélkül Mivel egy jól felépíteG logmenedzsment rendszer az informa2kai infrastruktúra meghatározó részét képezi, ezért magának a naplózásnak is teljesítenie kell a kockázatokkal arányos rendelkezésre állási szinteket. Nyilvánvalóan lehetnek olyan monitorozoG hardver‐ vagy szopvereszközök, amelyek esetében a logolás átmene2 kiesése nem okoz különösebb problémát, de az üzle2leg kri2kus infrastruktúrák, alkalmazások naplózása nem szenvedhet csorbát, és nem megengedhető az adatvesztés sem. Egyes esetekben ugyanis ilyenkor a monitorozoG rendszereket is le kell állítani, ami komoly károkat okozhat. Ilyen rendszerek például a távközlési infrastruktúrák, ahol a naplóbejegyzések alapján történik a számlázás, vagy például a jegybankkiadó automaták.
www.balabit.hu
Minden egyes naplózoG üzle2 folyamat esetében gondold át, hogy szükséges‐e
Minden egyes naplózott üzleti folyamat esetében gondold át, hogy szükségese vagy megengedhető-e, hogy naplózás nélkül is működjenek!
vagy megengedhető‐e, hogy naplózás nélkül is működjenek! A logolás folytonossága érdekében a syslog‐ng fejlesztői számos lépést teGek. A syslog‐ng Store Box (SSB) például két, azonosan konfigurált készülék segítségével biztosítani tudja az eszközök meghibásodásából származó problémák megelőzősét. A syslog‐ng Premium Edi2on pedig a helyi merevlemezre men2 az üzeneteket abban az esetben, amikor a közpon2 naplószerver vagy a hálóza2 kapcsolat elérhetetlen lesz, így kiküszöbölhetővé válik az adatok elvesztése.
Összegzés Naplózni muszáj. A napló érték. A naplóra vigyázni kell. A syslog‐ng jó.
www.balabit.hu