Donnerstag, 25. Juni 2009


Topthema

Donnerstag, 22. Dezember 2005 | Topthema

About Security #37: Logfiles — Welche Daten speichern?

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/025982)

Ziel der Protokollierung durch die Firewall ist die (gegebenenfalls auch nachtr�gliche) Erkennung von Angriffen und die Beweissicherung im Fall eines Angriffs. Dazu muss festgelegt werden, was wo und wie protokolliert wird und wer die Protokolle auswertet. Dabei sind geltende gesetzliche Bestimmungen, vor allem beim Datenschutz, zu beachten. In dieser Folge dreht sich alles darum, was, wo und wie protokolliert wird.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Bei der Protokollierung sind folgende Punkte zu beachten:

  • Alle Daten sollen m�glichst genau dem jeweiligen Verursacher (Rechner und/oder Benutzer) zuzuordnen sein.
  • Die Systemzeit der einzelnen Komponenten der Firewall sollte synchronisiert werden, damit eine Korrelation der verschiedenen Protokolle m�glich ist.
  • Die Protokolldaten sollten so gespeichert werden, dass ein Angreifer sie nicht oder zumindest nicht unbemerkt manipulieren kann.
    Es bietet sich an, sie auf einem zentralen, besonders gesch�tzten Protokollierungsserver (dem Loghost) zu speichern. Die �bertragung muss gesichert (also ggf. verschl�sselt) erfolgen. Die Protokolldaten sollten auf einem nur einmal beschreibbaren Medium gespeichert werden, um eine Manipulation der gespeicherten Daten auszuschlie�en. Besonders wichtige Daten k�nnen auch zus�tzlich direkt auf einem Drucker ausgegeben werden.
  • Um den Speicherverbrauch der Protokolle zu begrenzen, sollten sie regelm��ig umbenannt und komprimiert werden. Weitere Eintr�ge werden dann in neue Dateien geschrieben. Sinnvollerweise erfolgt dies bei Erreichen einer bestimmten Gr��e und nicht nur zu bestimmten Terminen.
  • F�llt die Protokollierung aus, z.B. weil der Speicherplatz nicht ausreicht oder die Verbindung zum Loghost unterbrochen ist, sollte die Firewall alle Verbindungen unterbrechen.
  • Spezielle Ereignisse, z.B. der Ausfall der Protokollierung oder unzul�ssige Verbindungsversuche, sollten zu einer sofortigen Alarmierung des f�r die Firewall verantwortlichen Administrators f�hren.
Umfang der Protokollierung

Paketfilter
Es sollten mindestens alle jene Pakete erfasst werden, die aufgrund einer Filterregel abgewiesen werden.

Zus�tzlich k�nnen je nach Schutzbedarf auch weitere Pakete protokolliert werden:

  • Ungew�hnliche, fehlerhafte Pakete, z.B. mit einer falschen Kombination von TCP-Flags oder fehlerhaften Header-Daten:
    Diese Pakete sollten bereits durch eine entsprechende Filterregel abgewiesen und dadurch protokolliert werden. Da derartige Pakete ein Anzeichen f�r so genannte Stealth-Scans oder ein technisches Problem im Netz sein k�nnen, kann eine zus�tzliche Protokollierung n�tzlich sein.
  • Akzeptierte Pakete verbindungsorientierter Protokolle (z.B. TCP-basierte Protokolle), die zu einem Verbindungsaufbau und ggf. -abbau geh�ren.
  • Alle Pakete verbindungsloser Protokolle mit geringem Datenaufkommen (z.B. UDP-basierte Protokolle wie DNS).

Von den protokollierten Paketen sollten mindestens folgende Informationen erfasst werden (siehe auch About Security #30):

  • Quell- und Ziel-IP-Adresse
  • Quell- und Ziel-Port (bei TCP bzw. UDP) oder ICMP-Typ
  • Datum und Zeit
  • zutreffende Paketfilterregel
About Security: Die komplette Serie

Application Level Gateway
Da das Application Level Gateway durch die Paketfilter vor einem Gro�teil der unzul�ssigen Pakete gesch�tzt wird, sollten f�r jeden erfolgreichen oder versuchten Verbindungsaufbau folgende Daten protokolliert werden:

  • Quell- und Ziel-IP-Adresse
  • Quell- und Ziel-Port
  • Dienst
  • Datum und Uhrzeit des Verbindungsauf- und -abbaus (oder Datum und Uhrzeit des Verbindungsaufbaus und Dauer der Verbindung)
  • ggf. Authentifizierungsdaten

F�r die verschiedenen Dienste (Proxies) k�nnen zus�tzlich folgende Daten protokolliert werden:

  • HTTP
    • Zieladresse (URL)
    • Anzahl der �bertragenen Bytes
    • Verbindungsmethode (z.B. GET, POST, CONNECT, ...)
    • Angewendete Filter
    • Statusmeldungen
  • FTP
    • Zieladresse
    • Abgelehnte PORT-Befehle
    • Name der �bertragenen Datei
    • Anzahl der �bertragenen Bytes
    • Statusmeldungen
  • SMTP
    • Absender und Empf�nger der E-Mail (aus dem E-Mail-Header)
    • Anzahl der �bertragenen Bytes
    • Angewendete Filter
    • Statusmeldungen

Weitere Ausl�ser der Protokollierung
Au�er in den bereits genannten F�llen gibt es weitere Ausl�ser f�r eine Protokollierung der betreffenden Pakete:

  • Angriffe auf die Firewall-Komponenten selbst
    Das Firewallsystem erkennt zum Teil selbstst�ndig, dass ein Angriffsversuch stattfindet beziehungsweise stattgefunden hat. Dies trifft zum Beispiel zu, wenn der zul�ssige F�llstand eines Logfiles �berschritten oder fehlgeschlagene Authentifizierungsversuche f�r die Administrationsfunktionen der Firewall-Komponenten erkannt werden.
  • Fehlverhalten der Firewall-Komponenten
    Im Normalbetrieb nicht vorgesehene Ereignisse werden ebenfalls protokolliert, z.B. Ausf�lle der Hardware (z.B. Speicher- oder Festplattenfehler, andere Hardwarealarme) oder St�rungen der Software (zum Beispiel das Auftreten undefinierter Zust�nde bei der Analyse).
  • Aktionen der Administratoren
    Es ist sinnvoll, alle von den Administratoren der einzelnen Firewallkomponenten durchgef�hrten Aktionen gesondert vollst�ndig zu protokollieren. Dadurch k�nnen ggf. sowohl unbefugte Aktionen b�swilliger Administratoren als auch Manipulationen eines erfolgreichen Angreifers aufgedeckt werden.

Damit ist gekl�rt, was, wo und wie protokolliert wird.

In der n�chsten Woche gibt es ein "Weihnachts- und Neujahrsspecial": Wie der Weihnachtsmann digitale Gutscheine einf�hrte...
Die Logfiles werden in der n�chsten regul�ren Folge weiter behandelt, dann geht es um die Auswertung der gesammelten Informationen.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Logfiles"

Kommentare

Folgende Links könnten Sie auch interessieren