Latar Belakang : Agregasi log jarak jauh dianggap sebagai cara untuk meningkatkan keamanan. Secara umum, ini mengatasi risiko bahwa penyerang yang berkompromi dengan sistem dapat mengedit atau menghapus log untuk menggagalkan analisis forensik. Saya telah meneliti opsi keamanan di alat log umum.
Tapi ada yang terasa salah. Saya tidak bisa melihat cara mengkonfigurasi remote logger yang umum (mis. Rsyslog, syslog-ng, logstash) untuk mengautentikasi bahwa pesan yang masuk benar-benar berasal dari host yang diklaim. Tanpa semacam batasan kebijakan, satu pembuat log dapat memalsukan pesan atas nama pembuat log yang lain.
Penulis rsyslog tampaknya memperingatkan tentang otentikasi data log :
Satu kata peringatan terakhir: transport-tls melindungi koneksi antara pengirim dan penerima. Itu tidak selalu melindungi terhadap serangan yang hadir dalam pesan itu sendiri. Khususnya dalam lingkungan relai, pesan mungkin berasal dari sistem jahat, yang menempatkan nama host yang tidak valid dan / atau konten lainnya ke dalamnya. Jika tidak ada ketentuan terhadap hal-hal seperti itu, catatan ini dapat muncul di repositori penerima. -transport-tls tidak melindungi dari ini (tetapi mungkin membantu, digunakan dengan benar). Perlu diingat bahwa syslog-transport-tls menyediakan keamanan hop-by-hop. Itu tidak memberikan keamanan ujung ke ujung dan itu tidak mengotentikasi pesan itu sendiri (hanya pengirim terakhir).
Jadi pertanyaan lanjutannya adalah: apakah konfigurasi yang baik / praktis (dalam alat log umum pilihan Anda - rsyslog, syslog-ng, logstash, dll.) Yang menyediakan sejumlah keaslian?
Atau ... jika tidak ada yang mengotentikasi data log, lalu mengapa tidak ?
-
(Selain itu: Dalam membahas / membandingkan, mungkin membantu menggunakan beberapa diagram atau terminologi dari RFC 5424: Bagian 4.1: Contoh Skenario Penempatan - misalnya "originator" vs "relay" vs "collector")