AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Napló üzenetek menedzsmentjeHöltzl Péter
2
Miről lesz szó?
Bevezetés• Naplók fajtái, napló bejegyzések keletkezési helyei, naplók
keletkezése, tárolása és elemzése
Napló menedzsment infrastruktúra• Syslog alrendszerek, napló bejegyzések gyűjtése,
továbbítása és tárolása
Napló menedzsment tervezés• Napló menedzsment rendszerek tervezési szempontja és
feladatai
Napló menedzsment rendszer üzemeltetése• Napló menedzsment rendszer telepítési lépései és
üzemeltetési feladatai
Bevezetés
Mi a napló? Mi készít bejegyzést?Miért kell naplózni?A felvetődő kérdések, problémák
Mi a napló?
•A napló egy jegyzőkönyv (record) ami a szervezet rendszerein és hálózatán történt eseményeket dokumentálja:
• A naplók bejegyzésekből (entry) állnak• Minden bejegyzés információt tartalmaz egy eseményről
(event) ami a rendszerben vagy a hálózaton történt
•A naplózás célja régen:• Hibajavítás• Rendszer optimalizálása
•Napjainkban:• Jogos és jogtalan felhasználói aktivitás• Belső és külső előírás, kötelezettség
Napló bejegyzése fajtái
Hol keletkeznek a bejegyzések?• Biztonsági szoftverek (pl. antivírusok, spyware keresők)• Az operációs rendszer (szerverek, munkaállomások)• Tűzfalak, (n)IDS-ek, IPS-ek• Aktív eszközök: routerek, switchek
A bejegyzések fajtái:• Biztonsági szoftverek bejegyzései• Operációs rendszer és applikációs bejegyzések, amelyek
normál működési naplókat és biztonsági bejegyzéseket is tartalmazhatnak
Biztonsági szoftverek naplói
Egy vállalati rendszer biztonsági szoftverei, rendszerei:• Antimalware szoftverek (vírus, spyware, bot, trójai)• IDS/IPS-ek• Távoli hozzáférést elősegítő szoftverek (VPN kliensek)• Web cache-ek (proxyk)• Sérülékenység menedzsment szoftverek• Autentikációs szerverek• Routerek, switchek• Tűzfalak• Hálózati karantén szerverek
Operációs rendszerek naplói
Esemény (event) naplók:• A működési események bejegyzései (shutdown, boot stb)• Tipikusan csak a sikertelen eseményeket és a
legfontosabb eseményeket rögzíti (kevéssé részletes)• Időpecsételt, tartalmazza az eseményt, a státuszát, a
hibakódját, a szolgáltatás nevét és hozzákapcsolható felhasználói azonosítót.
Audit rekordok:• A biztonsággal kapcsolatos események bejegyzése• Tipikusan az autentikációval és jogosultsággal
kapcsolatos eseményeket rögzíti (sikertelen autentikáció, felhasználói adatbázis módosulása, jogosultság változás vagy használat)
• Beállítható, hogy a rendszer milyen eseményeket rögzítsen.
Alkalmazások naplói
A futó alkalmazások saját naplókat kezelhetnek (akár az OS naplózási alrendszerét igénybe véve)
• Kliens kérések és szerver válaszok: események sorrendjét, felhasználókat (belépett felhasználó), kérések paramétereit (pl. URL) stb.
• Account információk: sikeres és sikertelen autentikációs próbálkozások, jogosultságok használata.
• Információk a használatról: tranzakciók száma és jellege.
• Jelentős események naplója: leállítás, indítás, alkalmazási hibák, konfiguráció módosulása stb.
Miért van igény a napló menedzsmentre
A rendszeres (rutinszerű) log ellenőrzés kimutathatja:• biztonsági eseményeket, incitenseket• policy sértéseket• csalásokat• operációs problémákat• optimalizációs problémákat
Továbbá használható:• audit• Forensics analízisre
Külső kényszer (kötelezettség) is:
Külföld:• Federal Information Security Management Act (FISMA)
2002• Gramm-Leach-Bliley Act (GLBA)• Health Insurance Portability and Accountability Act
(HIPPA)• Sarbanses-Oxley Act (SOX)• Payment Card Industry Data Security Standard (PCI DSS)• Basel II
Belföld:• PSZAF
Felvetődő problémák
Nagy mennyiségű és változékony források• Helyi fájlok, adatbázis és egyéb tárolási formák, helyek
Inkonzisztens tartalom• Általában tartalmaznak IP-t, felhasználói nevet stb., de
nem minden esetben és csak a legszükségesebbeket• Nehéz megtalálni az összetartozó üzeneteket
Inkonzisztens időpecsétek• változó időpecsét formátum• változó (általában hiányos) időpecsét tartalom
Inkonzisztens formátum• szöveges és bináris tárolás• különféle formátum típusok
A naplózó rendszerek védelme
A napló bejegyzések esetében is garantálni kell az adatok• Bizalmasságát• Sértetlenségét• Rendelkezésre állását• Hitelességét
Napló elemzés, ellenőrzés:• Általában alacsony prioritással rendelkező feladat• Kevés a napló elemzéshez értő, képzett munkatárs• Vannak megfelelő elemző eszközök• Általában népszerűtlen (unalmas) feladat
Megfelelés a problémákra
Minden vállalatnak meg kell felelni a napló kezelés követelményeinek, ehhez eljárás rendeket és szabályokat kell hozni:
• Priorizálnia kell a naplókezelési feladatot• Telepíteni és üzemeltetni kell napló menedzsment
infrastruktúrát• Megfelelő támogatást kell nyújtania a
naplómenedzsmenthez kötődő feladatok ellátására• Szabályozott napló menedzsment folyamatokat kell
készítenie
Napló menedzsment infrastruktúra
A napló menedzsment infrastruktúra felépítése• Az architektúra• Funkciók• Syslog alapú naplózás• Event alapú naplózás• Egyéb eszközök
Az architektúra
Napló készítés, generálás: egyes alkalmazások, rendszerek alkalmasak a naplóik elküldésére, másokról le kell azokat tölteni (megfelelő autenikáció után)Napló analízis és tárolás: a keletkezett naplókat (lehetőleg) központilag gyűjteni kell, majd elemezni kell. Az ilyen szervereket naplógyűjtőnek (collector) vagy aggregátornak nevezik. A naplókat a helyi fájlrendszeren vagy adatbázisban tároljákNapló monitorozás: A begyűjtött naplókat rendszeresen ellenőrizni kell (valamilyen automatizált folyamattal) és jelentéseket (report) kell készíteni.
Funkciók
Általános funkciók:• Parsolás (értelmezés): célja, hogy a beérkező naplókból
olyan formátumot hozzon létre, ami a megfelelő elemzést lehetővé teszi (pl. IP-címek kiválogatása)
• Esemény szűrés: csak a releváns információt tartalmazó bejegyzések kiválogatása az elemzés számára
• Esemény összevonás: a sokszor előforduló üzenetek összevonása (pl. csak az esemény számossága az érdekes – hibás bejelentkezések száma)
Funkciók
Tárolás:• Rotálás: a naplók méretének kordában tartása érdekében
a naplókat forgatni kell (óránként, naponta, hetente vagy havonta) Fontos, hogy mi történik a korábbi naplókkal (generációk)
• Archiválás: a már nem fontos naplókat archiválni kell (valamilyen eszközre – szallag, DVD etc)
• Tömörítés: file tömörítés• Csökkentés: az információ értékkel nem rendelkező
bejegyzések eltávolítása• Konverzió: a log elemezhető (egységes) formátumra
alakítása• Normalizálás: a naplókban szereplő adat formátumok
egységesítése (pl. időpecsét egységesítés)• Integritás ellenőrzés: a bejegyzés rossz szándékú
változtatásának ellenőrzése
Funkciók
Elemzés:• Esemény koreláció: Megtalálni a kölönböző hostok és
alkalmazások által készített, de valamilyen szempontból összetartozó üzeneteit
• Napló megjelenítés: a bejegyzések megjelenítése (színezés, rendezés stb)
• Reporting: Az elemzés eredményének megjelenítése valamilyen általános formában
Törlés:• Napló törlés: azoknak az üzeneteknek az eltávolítása,
amelyek már nem rendelkeznek érdemi információkkal (természetesen az archívumban ezek is megmaradhatnak)
A syslog
Hagyományos, eredetileg UNIX rendszereken bevezetett syslog formátum (RFC3195)A syslog formátum:
• <PRI>: facility és priority• <HEADER>:
– időpecsét– hostnév– programnév– pid
• <MSG> Pl: Aug 6 08:11:36 vidor sshd[5069]: Server listening on :: port 22.
A syslog biztonsága
A syslog protokoll nem garantálja:• Az átvitel megbízhatósága:
– UDP protokoll használat– Nincs egyedi azonosító, az elveszett bejegyzések nem
azonosíthatóak, nem sorba rendezhetőek– Hiányos időpecsét formátum (nincs időzóna, sem év!)– Többsoros üzeneteket nem kezeli
• Az átvitel bizalmassága, sértetlensége és hitelessége:– Nincs rejtjelezés, a forgalom lehallgatható, módosítható (MITM)– Nincs digest (CRC, MAC, md5SUM)
A syslog biztonsága
Ezért vannak alkamazások, amik megoldják ezeket• Robusztus szűrés: az eredeti megvalósítások csak
facilityre és prioritire szűrnek• Elemzés: hagyományosan ez nem napó kezelő rendszer
feladata, de vannak erre képes szerverek is• Esemény kezelés (alerting): minták alapján egyes
események után riasztás küldése (pl. SNMP trap)• Alternatív formátumok kezelése: a nem syslog
formátumú üzenetek fogadása (esetleg konvertálása)• Rejtjelezés: mind a hálózati protokoll, mind a tárolás
rejtjelezése• Tárolás adatbázisban: egyes alakamazások SQL
adatbázisban tárolják a bejegyzéseket• Rate limiting: bizonyos esetekben (pl. TCP) lehetőség
van az elárasztás elleni védelemre (lehetséges DOS)
Az új syslog protokoll
Az eredeti RFC továbbfejlesztése (draft – RFC sincs):• Egységes időpecsét kezelés (ISODATE, időzóna kezelés)• Többsoros üzenetek kezelése• UTF-8 kezelés• Egyedi üzenet azonosítás• TCP protokoll és TLS támogatás
Egy példa:<7>1 2006-10-29T01:59:59.156Z mymachine.example.com
evntslog - ID47 [exampleSDID@0 iut=\"3\" eventSource=\"Application\" eventID=\"1011\"][examplePriority@0 class=\"high\"] BOMAn application event log entry...
Rendszer információ és esemény menedzsment
Security Information and Event Management (SIEM): alternatív megoldás régi syslog protokoll kiváltására, mely két módszert támogat:
• Agent nélküli gyűjtés: a kliens közvetlenül küldi a szervernek az üzeneteket, vagy a szerver periodikusan begyűjti azokat (különbség a transzfer kezdeményezője)
• Agent alapú gyűjtés: a kliensen futó agent gyűjti és továbbítja az üzeneteket a szerverbe. A szűrést, konverziót az agent végzi (elosztott terhelés)
A SIEM nem egy alternatív syslog protokoll, tehát a napló átvitel megoldásfüggő
Egyéb logmenedzsment alkalmazások
Host alapú IDS-ek: online monitorozó rendszerek, melyek közvetlenül a szervereken futnak és rossz szándékú behatolásokat keresnek (a víruskeresőkhöz hasonlóan). Ezek az alkalmazások szolgálhatnak log forrásként is.Vizualizációs alkalmazások: a naplók megjelenítésére szolgáló grafikus alkalmazások.Napló forgató alkalmazások: megakadályozzák a túl nagy méretű naplók készítését.Napló konverziós alkalmazások: a különböző napló formátumok közötti konverziót megvalósító alkalmazások
Napló menedzsment tervezés
Naplómenedzsment feladatok tervezési lépései nagyvállalati környezetben:
• Szerepek és felelősségi körök tervezése• Naplózási politika meghatározása• A politika megfelelőségének ellenőrzése• Napló menedzsment infrastruktúra tervezése
Szerepek, felelősségi körök
Előforduló szerepek és felelősségi körök nagyvállalatik környezetben:
• Rendszer és hálózati adminisztrátorok: felelősségük, hogy a rendszerk úgy legyenek beállítva, hogy készítsenek napló bejegyzéseket
• Biztonsági adminisztrátorok: feladatuk a logmenedzsment infrastruktúra üzemeltetése, felügyelete
• Computer Security Incident Response Teams (CSIRT): inciden esetén a biztonsági események naplóit ellenőrzik
• Alkalmazás feljesztők: olyan alkalmazások tervezése és fejlesztése amelyek megfelelő naplóbejegyzéseket írnak
• Chief Information Officer (CIO): átlátja a rendszet, ahol naplók keletkeznek és tárolódnak
• Auditorok: audit során ellerőzik a naplókat
Naplózási politika
A naplózási politikának rendelkeznie kell• A napló generálásról: milyen és mely hosztok
készítsenek, milyen eseményekről, milyen gyakorisággal kell bejegyzéseket készíteni
• A napló átvitelre: milyen és mely hosztok, milyen eseményekről, milyen gyakorisággal kell bejegyzéseket készíteni
• A napló tárolásra és törlésre: a tárolás és forgatás módjáról és időtartamáról valamint az archíválás módjáról
• A napló elemzésre: az elemzések módjáról, üzemezéséről és az eredmények hozzáférhetőségéről (személyekről és szerepekről)
továbbá a naplózás hitelességének, bizalmasságának, sértetlenségének és rendelkezésre állásának védelméről
A politika megfelelőségének ellenőrzése
A politikát rendszeresen (periodikusan) ellenőrizni kell• A meglévő üzenetek megfelelnek -e a felállított
követelményeknek• Megfelel -e a beérkező naplók mennyisége (Túl kevés?
Esetleg nem okoznak túl nagy terhelést a rendszer számára?)
• Elég rugalmas -e a rendszer (pl. egy upgrade gyökeresen változtathat a naplók mennyiségén, formátumán)
• A megfelelő elemzések és riportok készülnek?• Megfelelnek -e a külső (pl. törvényi) szabályozásnak?
Napló menedzsment infrastruktúra tervezése
Az infrastruktúra feladata, hogy megfeleljen a szabályzás által felállított követelményeknek.A tervezés során ellenőrizni kell:
• A legnagyobb terhelést elbírja -e a rendszer• Legnagyobb terheléskor milyen hálózati forgalomra lehet
számítani• Online és offline adat használat• Biztonsági igények a naplótárolásban és átvitelben• Idő és erőforrások amit biztosítani kell a rendszer
üzemeltetésekor
Napló menedzsment rendszer üzemeltetése
Log források beállítása és log készítésLog tárolás és törlésLog biztonságElemzés és válasz menedzsmentArchiválásTovábbi üzemeltetési feladatok
Log források beállítása és készítés
A megfelelő alkalmazások telepítése• SIEM kliensek• Syslog kliensek
Beállítás:• A futtatott alkalmazások és az operációs rendszer
beállítása, hogy készüljenek napló bejegyzések
Tesztelés
Napló tárolás és törlés
A napló bejegyzésekről el be kell sorolni a következő kategóriákba:
• Nem tárolt: az olyan üzenetek, amelyek kevés jelentőséggel bírnak
• Rendszer szinten tárolt: azok az üzenetek, amik csak helyi szinten értékesek
• Rendszer és infrastrukturális szinten tárolt: a legfontosabb bejegyzések:
– védelem a rendszerszintű hibák ellen– védelem szándékos törlés és módosítás ellen– további (központi) elemzésre szánt üzenetek
• Csak infrastrukturális szinten tárolt: olyan rendszereken, ahol az a bejegyzések infrastrukturálisan értékesek és nincs erőforrás a helyi tárolásra (pl. router)
Napló tárolás és törlés
Naplózás esetén kiemelt figyelemmel kell követni:• Naplózás leállítása: többnyire elfogadhatatlan esemény
(felügyelt üzemeltetési időszakok kivételével)• Naplók felülírása: ez alacsony prioritású vagy indifferens
naplóknál elfogadható, illetve kliensen ha a naplókat infrastrukturális szinten is tároltuk
• A napló generátor leállítása: napló kritikus helyeken ha nincs naplózás (pl. elfogyott a tároló hely) a napló generálást és a szolágáltatást le kell állítani
Napló biztonság
A naplózó infrastruktúránál a következő beállításokat kell megtenni:
• Jogosultságok beállítása a naplók hozzáféréséhez• A szükségtelen információk tárolásának elkerülése (pl.
jelszavak)• Az archivált fájlok védelme (rejtjelezés és törlés elleni
védelem)• A napló készítés és folyamatának biztosítása (rossz
szándékú módosítás ellen)• A naplók átvitelének biztosítása. Amennyiben a naplózó
alkalmazás ez nem garantálja, harmadik eszközzel (SSL vagy IPSec VPN kell megoldani)
Elemzés és válasz menedzsment
Elemzés:• Naplók begyűjtése és értelmezése: a kulcs az ismert
események felismerése• Priorizálás: a eseményekről el kell dönteni, hogy milyen
jelentőséggel bír• Rendszer szintű analízis: csak az adott rendszer
eseményeinek kiértékelése• Infrastruktúra szintű analízis: a teljes infrastruktúrában
keletkezett üzenetek elemzése
A felismert eseményekre megfelelőképpen reagálni kell (CSIRT)
Archiválás
A már jelen pillanatban jelentéssel nem bíró üzeneteket archiválni kell:
• Az archiválás formátumának megválasztása• Archiválás• Az archivált adatok integritásának ellenőrzése• A média biztonságos tárolása• Törlés
További üzemeltetési feladatok
A naplózás monitorozása: beérkező mennyiségekA napló forgatás monitorozásaFrissítések ellenőrzése és telepítéseRendszerórák szinkronizálásaBeállítások finomhangolásaAnomáliák érzékelése és felderítése (jelenthet támadást)Teljesítmény teszt
38
Miről volt szó?
Bevezetés• Naplók fajtái, napló bejegyzések keletkezési helyei, naplók
keletkezése, tárolása és elemzése
Napló menedzsment infrastruktúra• Syslog alrendszerek, napló bejegyzések gyűjtése,
továbbítása és tárolása
Napló menedzsment tervezés• Napló menedzsment rendszerek tervezési szempontja és
feladatai
Napló menedzsment rendszer üzemeltetése• Napló menedzsment rendszer telepítési lépései és
üzemeltetési feladatai