■ www.balabit.hu
Naplógyűjtés heterogén
hálózatban
Höltzl Péter – BalaBit IT Security
GUARDING YOUR BUSINESS

Miről lesz szó? ■ www.balabit.hu
■ Bevezető: Miért kell naplózni?
■ Milyen problémák vetődnek fel a naplózás terén egy
heterogén környezetben:
□ Operációs rendszerek változatossága
□ Alkalmazások változatossága
□ Hálózati elrendezés változatossága
□ A jelenleg használatos syslog protokoll (RFC3195) nem
alkalmas heterogén rendszerek naplógyűjtésére
■ Milyen megoldásokat kínál a syslog-ng a felvetődő
kérdésekre?
2
GUARDING YOUR BUSINESS

A naplózás nem új keletű igény ■ www.balabit.hu
■ Mióta számítógépek vannak, naplók is vannak:
GUARDING YOUR BUSINESS

Mi a napló, naplózás és a napló gyűjtés? ■ www.balabit.hu
■ A napló egy jegyzőkönyv (record) ami az IT
infrastruktúrában történt eseményeket dokumentálja:
□ A napló bejegyzésekből (entry) áll
□ Információkat tartalmaz az eseményekről (event) ami a
szervezet rendszerein történt
■ A naplózás célja:
□ Hibajavítás
□ Optimalizálás
□ Jogos és jogtalan felhasználói aktivitás dokumentálása
□ Belső és külső előírás, kötelezettség
□ Egészséges paranoia:-)
GUARDING YOUR BUSINESS

Törvényi kötelezettség, megfelelés ■ www.balabit.hu
■ Külföldi:
□ 1996: Health Insurance Portability and Accountability Act
(HIPAA) – Egészségügyi adatok védelme
□ 1999: Gramm-Leach-Bliley Act (GLBA) – Bankbiztonság
□ 2002: Federal Information Security Management Act (FISMA) –
Kormányzat és külső partnereik biztonsága
□ 2002: Sarbanes-Oxley Act (SOX) – Vállalati pénzügyi adatok
□ 2004: Payment Card Industry Data Security Standard (PCI
DSS) – Bankkártya biztonság
□ 2004: Basel II Accord – Bankközi megállapodás
■ Belföld:
□ 1996. évi CXII. Törvény 13/b. kiegészítésének auditálás
szempontjából releváns követelményeiről
GUARDING YOUR BUSINESS

Felvetődő problémák ■ www.balabit.hu
■ Az operációs rendszerek változatossága:
□ Sokféle operációs rendszer, többféle naplózási megoldással:
eltérő protokollok, többnyire syslog vagy event log illetve SIEM
□ Eltérő napló bejegyzés formátumok
■ Az alkalmazások változatossága:
□ Eltérő naplótárolási megoldások, képességek, melyek nem
változtathatóak, eltérő napló bejegyzés formátumok
■ Hálózati felépítés változatossága:
□ Nem megfelelő sávszélesség
□ Változatos topológia
■ A szabványos (RFC3195) elavult, alkalmatlan a mai
rendszerekhez!
GUARDING YOUR BUSINESS

A syslog-ng története ■ www.balabit.hu
■ 1998: A felvetődő problémák megoldására született a
syslog-ng 1.0
□ A legelterjedtebb syslogd alternatíva számos disztribúción
□ Számos világszintű hálózatban syslog-ng alapú naplógyűjtő
rendszert alakítottak ki:
□ army.mil, navy.mil, nasa.gov, lanl.gov, ...
■ 2007: a fejlesztés két részre ágazott el
□ Open Source Edition: a korábbi nyílt forráskódú változat
folytatása
□ Premium Edition: kereskedelmi ág, kibővített funkcionalitással
■ 2008: syslog-ng 3.0 PE és OSE valamint SSB 1.0
GUARDING YOUR BUSINESS

A syslog-ng OSE és PE válaszai ■ www.balabit.hu
■ Az operációs rendszerek változatosságára:
□ Támogatott platformok:
□ Linux (Debian, RedHat, CentOS, SLES stb.)
□ BSD (FreeBSD, OpenBSD stb.)
□ Solaris, OpenSolaris (8-9-10)
□ MacOS X
□ AIX
□ OS/400 (AS/400, Systemi)
□ HP-UX
□ Windows (syslog-ng Agent for Windows)
GUARDING YOUR BUSINESS

Eltérő napló bejegyzés formátumok ■ www.balabit.hu
■ Inkonzisztens napló formátumok feloldása:
□ A „parser” funkció: a beérkező üzenetet darabolja, melynek
segítségével az üzenetek normalizálhatóak
■ A naplók gyakran érzékeny adatokat tartalmaznak, amit
nem szabad továbbküldeni, tárolni (pl. jelszavak) illetve
hiányzó mezők „kitöltése”:
□ A „rewrite” funkció: a beérkező üzenet minta alapján átírható
(pl. jelszavak törlése)
GUARDING YOUR BUSINESS

Alkalmazások változatossága ■ www.balabit.hu
■ Eltérő naplótárolási megoldások támogatása operációs
rendszeri és (főként) alkalmazás szinten
■ Naplógyűjtés lehetőségei:
□ Fileból
□ Named pipe-ból
□ Program
□ Sun-streams
□ syslog
□ TCP és UDP protokollon IPv4 és IPv6 felett akár SSL/TLS
csatornákon
□ Unix-stream és unix-dgram
GUARDING YOUR BUSINESS

A syslog-ng által támogatott tárolási módok ■ www.balabit.hu
■ Napló tárolás „klasszikus” lehetőségei:
□ Tárolás fájlban
□ Tárolás SQL adatbázisban OSE(!)
□ Tárolás un. logstoreban (rejtjelezett fájl) csak PE
■ Naplótárolás „különleges” lehetőségei
□ Named pipe
□ Unix-stream és unix-dgram
□ usertty
□ Program
GUARDING YOUR BUSINESS

Hálózati felépítés változatossága ■ www.balabit.hu
■ A nem megfelelő sávszélesség, illetve a túlzott hálózat
kihasználság elkerülése:
□ Relay üzemmód: a syslog-ng helyi log aggregátorként gyűjti
az üzeneteket, majd továbbítja a központ felé
■ Felhasználható technológiák:
□ Disk buffer: amennyiben a syslog-ng nem tudja a log
bejegyzéseket továbbküldeni átmenetileg helyileg tárolja azokat
□ Flow-control: amennyiben a syslog-ng nem tudja megfelelő
sebességgel továbbítani a kliensek felől érkező bejegyzéseket,
az olvasást (ezzel a klienst) lassítja
□ Throttling: hálózati küldéskor a syslog-ng önmagát korlátozza
□ Tömörítés: TLS használatakor az adatrész tömöríthető
GUARDING YOUR BUSINESS

A szabványos syslog protokoll hibái ■ www.balabit.hu
■ A szabványos syslog protokoll RFC3195 (2001) nem
illeszkedik napjaink igényeihez:
□ Megbízhatatlan (UDP) protokoll, rejtjelezés nincs
□ Hiányos időpecsét (Hónap Nap Óra Perc):
□ Nincs év
□ Nincs időzóna
□ Egyszerű hostnév támogatás
□ Nem támogatja a többsoros üzeneteket
□ Nem támogatja az UTF-8 formátumú üzeneteket
GUARDING YOUR BUSINESS

A syslog-ng válaszai ■ www.balabit.hu
■ A szabványos syslog protokollon felül támogatott:
□ TCP átvitel akár TLS csatornákon
□ Teljes időpecsét (ISODATE)
□ Hostnév láncolás és FQDN támogatás
□ Az új syslog protokoll támogatása a syslog driver segítségével
■ Az új syslog protokoll (RFC5424-tő 5428-ig)
támogatásával:
□ Többsoros üzenetek támogatása
□ UTF-8 támogatás
□ Minden fenti lehetőség támogatása
GUARDING YOUR BUSINESS

Miről volt szó? ■ www.balabit.hu
■ Miért kell naplózni?
■ Milyen problémák vetődnek fel a naplózás
terén egy heterogén környezetben:
□ Operációs rendszerek változatossága
□ Alkalmazások változatossága
□ Hálózati elrendezés változatossága
□ A jelenleg használatos syslog protokoll
(RFC3195) nem alkalmas heterogén
rendszerek naplógyűjtésére
■ Milyen megoldásokat kínál a syslog-ng
a felvetődő kérdésekre?
15
GUARDING YOUR BUSINESS