next up previous contents
Next: Auswertung der Logs Up: Logging Previous: Wohin mit den Logdaten

Schutz der Logs vor Angreifern

Eine Standardprozedur bei einem Einbruch in ein System ist die Manipulation der Systemlogfiles. Da diese aber wiederum bei der Erkennung und Bekämpfung eines Systemeinbruchs eine wichtige Rolle spielen sollten sie vor Veränderung durch einen Angreifer sicher geschützt werden. Welche Möglichkeiten gibt es dazu ?

Für die Variante des dedizierten Logarchiv-Rechners brauchen wir nur sehr wenig :

Die Grundidee ist relativ simpel : der syslogd auf dem Loghost schreibt auf die serielle Schnittstelle an der Logarchiv-Rechner hängt. Auf dem Logarchiv-Rechner läuft ein Prozess der die Daten von der seriellen Schnittstelle liest und in ein File schreibt welches ggf. regelmässig rotiert wird. Der Logarchiv-Rechner darf natürlich kein (aktives) Netzwerk-Interface haben. Damit haben wir eine Lösung die unsere Logfiles vor nachträglicher Veränderung durch einen Angreifer schützt da dazu physischer Zugang zum Logarchiv-Rechner notwendig ist. Die einzig verbleibende Angriffsmöglichkeit ist eine Flooding Attack - d.h. Logmessages schneller erzeugen als sie über die serielle Leitung auf den Logarchiv-rechner übertragen werden können. Aber da kann man mit entsprechenden Tools diese Situation erkennen und ggf. Alarm auslösen.


next up previous contents
Next: Auswertung der Logs Up: Logging Previous: Wohin mit den Logdaten

Alexander Schreiber
Thu Jun 15 18:31:29 CEST 2000