Como manter os logs seguros?

Question

Como manter os logs seguros?

#1 resposta do (3 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

4

Se os arquivos de log (ou dados de log) contiverem informações confidenciais que precisam ser protegidas contra exclusão, manipulação ou prevenção de "injeção de registro", que medidas de segurança são consideradas as melhores práticas?

O que eu tenho que provar, que meus registros são autênticos e confiáveis, se eles foram usados como prova no tribunal?

security log-files

por splattne 02.05.2009 / 19:09

3 respostas

1

De uma perspectiva de auditoria, você quer algum tipo de sistema centralizado, onde os administradores dos outros sistemas não têm direitos administrativos sobre ele. Existem muitas soluções que recuperam e exportam automaticamente os registros para um sistema central. Você está basicamente procurando o que é chamado de gerenciamento de logs ou um produto de gerenciamento de informações de segurança (SIM). Quanto a qual, isso depende de muitos fatores, como orçamento, soluções atuais em casa, etc.

No que se refere à perspectiva forense, o mais importante é poder mostrar uma cadeia de custódia para estabelecer a evidência que não foi adulterada. Isso vai além das ferramentas. São também os procedimentos usados para lidar com a evidência quando ocorre um evento de segurança e conforme a investigação prossegue e verifica se um incidente ocorreu e passa para a coleta de evidência e avaliação de danos. Para esse tipo de coisa, você provavelmente vai querer dar uma olhada em ter pessoal com o tratamento de incidentes e treinamento forense SANS apropriado. / p>

por 02.05.2009 / 20:25

0

Que tal adicionar um checksum ( sha1 por exemplo) da entrada de log para cada entrada de log. É claro que, se alguém tiver acesso a esse banco de dados (ou onde quer que você esteja armazenando os dados de registro), ele ainda poderá adicionar uma entrada falsa, com uma soma de verificação válida. Mas se você adicionar algum salt antes de gerar a soma de verificação, eu acho que será impossível gerar a soma de verificação válida e será muito fácil verificar a autenticidade dela.

por 19.05.2009 / 00:32

Tags security log-files

Google App Engine | mapeamento de nome de domínio | Vai o nome de domínio do paizinho Estranho driver de CD / DVD “ausente” durante a instalação do Windows Server 2008

score 3 · Accepted Answer

A centralização do registro em um servidor reforçado pode fornecer o que você precisa. Melhor ainda, se você puder capturar o registro em um banco de dados em um servidor endurecido, você abrirá todos os tipos de possibilidades.

Eu odeio incomodar você sobre isso, mas de que tipo de registro você está falando? Log de eventos do NT? Unix (y) Syslog (e amigos)? Log de um minicomputador? Um pouco mais de informação pode levá-lo a uma solução conhecida para o que você está procurando ...

2009-05-18 Re-Edit:

Se você conseguir que todos os seus dados apareçam como uma entrada no estilo syslog, isso funcionará para você.

Para máquinas de estilo Unix (y), use qualquer recurso de syslog na caixa. Você desejará enviar todos os dados gravados para o servidor de log central, mas também deixar as configurações de estoque para registrar os logs localmente. (mais sobre isso daqui a pouco)

Para os serviços no estilo Unix que não produzem saída "true syslog", geralmente há reparadores que podem gerar novamente os dados em algo útil. Primeiros exemplos: apache e squid tem formatos de log que, para a maioria das instalações, não são formatados para o syslog. Regenere os dados em meia hora (ou o que for que funcione para você). O servidor de log central então se esgota e coleta os dados para seu resumo.

Para máquinas no estilo do Windows, use NTSyslog , que é um serviço gratuito que desviará as entradas do log de eventos para um servidor syslog da rede. Um rápido tutorial está disponível que cobre configuração.

Quando todas as máquinas estiverem "logando", você precisará designar um servidor central de registro. Vá para o site do Splunk e leia-o um pouco; quando estiver pronto, baixe-o para o seu servidor de registro central e instale-o nesta máquina. faça o download dele para o seu servidor de registro central . A versão gratuita lida com até 500Mbyte por dia , o que, a menos que você tenha uma quantidade de logs para enfrentar, deve ser mais do que suficiente. O serviço splunk aceitará todas as entradas do seu syslog, categorizará e armazenará em um banco de dados local. A partir de uma página da Web, você pode filtrar, selecionar, ver eventos por horário, etc. É muito útil para ver uma imagem composta em vários sistemas. Ele também pode conectar-se a uma variedade de "fontes" de dados diferentes, incluindo arquivos simples, o que significa que os logs do apache e do squid podem ser transformados em entradas por splunk (desde que você conecte a cada máquina que o requer).

Um efeito colateral útil dessa configuração é que todos os dados de registro locais ainda estão lá - nada é perdido, portanto, mesmo se o seu servidor de log central ficar inativo, os logs serão válidos em outro lugar. E se a máquina for perdida (o HDD explode, a violação de segurança, seja o que for), você ainda tem um histórico dos dados no servidor central.

Uma vez que todas as suas máquinas estão syslog'ing e seu serviço é splunk'ing, aponte todas as máquinas syslog no servidor splunk.