Está enviando eventos syslog através do udp seguro?

0

Estou pensando em usar um serviço do papertrailapp.com (outros serviços similares são loggly e splunk), nos quais você configura seu syslog para fazer o eco dos eventos para ele através do udp. Envolve adicionar esta entrada ao /etc/rsyslog.conf

*.* @logs.papertrailapp.com:12345  (where 12345 is a port unique to my account)

Então, minha pergunta é: isso é seguro? Não foi possível alguém farejar o tráfego e assistir a saída do log do meu servidor?

    
por Kevin 19.04.2013 / 20:41

2 respostas

1

Não, não é seguro. Não só eles podem assistir a saída de log se conseguirem farejar o tráfego, mas também podem falsificar mensagens de log provenientes de seus sistemas.

Você deve considerar o uso de uma implementação moderna de syslog com o RELP . Eu acredito que RELP ainda não é seguro o suficiente para o que você está pedindo (embora eu possa estar errado), mas é muito melhor do que o protocolo syslog UDP leve padrão. Também é confiável (o "R" em "RELP"), por isso é muito melhor para transmissão através de WANs.

    
por 19.04.2013 / 20:44
1

Nada é 100% "seguro". Você precisa decidir contra o que vale a pena proteger e o que é um problema imaginário em seu ambiente específico. Por exemplo, "hackers" raramente ficam no meio da rede com fio farejando o tráfego, apenas ISPs e governos fazem isso.

Se você quiser proteger seu tráfego contra a vigilância do seu governo e do provedor, então sim, o transporte UDP é inseguro. Se você não se importa com eles, então o UDP é bom o suficiente.

Re spoofing messages - a mesma história - decida se isso te incomoda e aja de acordo.

    
por 20.04.2013 / 09:00