P O RT F O L I O P O S KY T OVA N ÝC H S LUŽ E B V O B L A S T I KY B E R N E T I C K É B E Z P E Č N O S T I
L O G SERVER / L O G COLLECTOR MICHAL VYMAZAL JIŘÍ RICHTER D U B E N 2015
Obsah
Obsah Zařízení pro sběr a vyhodnocování logů (Log collector)....................................................3
2
Zařízení pro sběr a vyhodnocování logů (Log collector) Jedná se o samostatné zařízení určené pro sběr a vyhodnocování logů (ve formátu syslog), které je součástí určité DMZ zóny nebo vnitřní LAN sítě. Vlastní vyhodnocování logů pak provádí automat na základě předem daných šablon. Obsluha má samozřejmě možnost se k jednotlivým logům vracet a zpětně je podrobně analyzovat. Vlastní rozesílání upozornění na „podezřelé“ logy se děje pomocí e-mailu nebo SMS. Celé zařízení je možné provozovat na bázi open source a to s nekomerční licencí GPL. Dle platné legislativy Log server slouží jako "Nástroj pro zaznamenávání činnosti kritické informační infrastruktury a vyznamných informačních systémů, jejich uživatelů a administratorů" dle §21 Hlavy II „Technická opatření“ vyhlášky o kyberneticé bezpečnosti ze sbírky zákonů 316/2014 a především jako "Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí" dle §23 téže vyhlášky. Dle výše uvedené vyhlášky musí toto zařízení zajišťovat a) integrovaný sběr a vyhodnocování kybernetických bezpečnostních událostí b) poskytování informací pro určené bezpečnostní role o detekovaných bezpečnostních událostech c) nepřetržité vyhodnocování kybernetických bezpečnostních událostí pro vyhodnocování bezpečnostních incidentů a včasné varování určených bezpečnostních rolí Log server je zařízení, které musí být odděleno od internetu i od klientských stanic, proto je mu vyhrazeno samostatné připojení v DMZ rozsahu. Vyplývá to z povinnosti jeho správce, který dle §21 vyhlášky o kybernetické bezpečnosti musí zajistit ochranu získaných informací před neoprávněným čtením či změnou. Typický způsob implementace Log serveru je patrný z následujícího schématu
3
Typické topologické schema pro provoz sítě s Log serverem
4
5
Popis jednotlivých modulů SYSLOG-NG Syslog-ng je logovací nástroj s vysokou škálou konfigurovatelnosti a je natolik populární, že se stal pro některé linuxové distribuce serverových OS výchozím sysloggerem (např. Debian, openSUSE, Archlinux). Jedná se o open source produkt šířený pod GNU LGPL licencí. Používá standardní BSD syslog protokol, specifikovaný v RFC 3164. Syslog-ng přijímá logy z různých zdrojů a řadí je do jedné fronty, ve které jsou logy rozděleny a správně zatříděny podle typu a důležitosti zprávy. O detailnější rozčlenění a označení logů se však dále postará některý ze specializovaných nástrojů pro správu logů, např. Logcheck, Logzilla nebo Logwatch. https://syslog-ng.org/ LOGCHECK, LOGZILLA, LOGWATCH Logcheck je poměrně výkonný analyzátor logů šířený pod GNU GPL licencí. Analyzuje logy a podle předem nastavených pravidel je zařazuje a posílá např. mailem nebo prostřednictvím SMS předem určeným bezpečnostním rolím. Spouštěn je CRONem. http://logcheck.org/ Typický výstup z logovacího protokolu
Logzilla je velice komplexní a výkonný log analyzátor, který je však licencovaný a typ za koupené licence může být limitujícím faktorem pro použití v Log serveru. http://www.logzilla.net/ Logwatch je analyzátor šířený pod svobodnou MIT licencí, kterou lze kombinovat s produkty pod GPL licencí. Tento analyzátor logů je oproti Logchecku vhodný pro sdružování logů do skupin. Pokud nás zajímá v určitém časovém úseku počet výskytů stejné události, pak nám toto Logwatch sdělí např. takto 6
--------------------- SSHD Begin -----------------------Illegal users from: 61.132.244.xxx (smtp3.vip.xxx.com): 5 times 74.63.113.xxx (.): 133 times ---------------------- SSHD End -------------------------
POSTFIX, PROCMAIL O vlastní rozesílání mailů se stará program Postfix (šířený pod licencí IBM public 1.0), který rozesílá e-maily na předem zvolené e-mailové adresy pomocí protokolu SMTP. Postfix je velmi stabilní i při vyšším zatížení serveru, proto se přímo ideálně hodí do Log serveru. http://www.postfix.org/ O ukládání zpráv do lokálních e-mailových schránek se stará program Procmail, který je součástí linuxové distribuce použitého OS. http://www.procmail.org/ LOGROTATE Přijaté a zpracované logy je dále nutno udržovat v rozumné velikosti a zajistit jejich historii. O to se postará služba Logrotate, která dle nastavených parametrů zachovává potřebný počet verzí každého logu, hlídá jejich maximální velikost a staré verze komprimuje do ar chivů. FLEXBACKUP Flexbackup je vhodnou volbou pro zálohování Log serveru pomocí přírůstkových záloh. Je možné zálohy ukládat jak na síťové úložiště, tak i na lokální a externí disky připojené přímo k Log serveru. I Flexbackup je šířen pod GPL licencí. http://www.edwinh.org/flexbackup/
Nároky na použitý hardware Log server musí mít dostatečnou rezervu především v kapacitě a rychlosti úložiště. Server musí spolehlivě zvládnout zpracovat i zvýšený nápor příchozích logů např. při kyberne tickém útoku. Konfigurace potřebného hardware pro konkrétní datové centrum musí být zpracována v samostatné studii.
7
Pro zasílání SMS lze do interní sítě instalovat SMS bránu, nebo lépe lze samostatnou SMS bránu propojit přímo s Log serverem.
Operační systém Jako operační systém je vhodná jedna z osvědčených linuxových distribucí, které jsou převážně šířeny pod nekomerční licencí GNU GPL 2.0, popřípadě LGPL 2.1. Doporučené distribuce jsou např. UBUNTU Server LTS, Debian, CentOS. http://www.ubuntu.com/server http://www.debian.org/ http://www.centos.org/
Praha duben 2015
8