Eine Standardprozedur bei einem Einbruch in ein System ist die Manipulation der Systemlogfiles. Da diese aber wiederum bei der Erkennung und Bekämpfung eines Systemeinbruchs eine wichtige Rolle spielen sollten sie vor Veränderung durch einen Angreifer sicher geschützt werden. Welche Möglichkeiten gibt es dazu ?
Eine sicherlich sehr sichere Methode, allerdings nicht nur etwas wenig einfach zu handhaben sondern auch nicht ganz billig.
Praktisch nicht sinnvoll - wer will schon Hunderte von Seiten an Log-Ausdrucken von Hand analysieren. Dazu u.U. enormer Papierverbrauch ...
Die meiner Meinung nach günstigste Lösung. Sie soll im folgenden weiter erläutert werden.
Für die Variante des dedizierten Logarchiv-Rechners brauchen wir nur sehr wenig :
Die Grundidee ist relativ simpel : der syslogd auf dem Loghost schreibt auf die serielle Schnittstelle an der Logarchiv-Rechner hängt. Auf dem Logarchiv-Rechner läuft ein Prozess der die Daten von der seriellen Schnittstelle liest und in ein File schreibt welches ggf. regelmässig rotiert wird. Der Logarchiv-Rechner darf natürlich kein (aktives) Netzwerk-Interface haben. Damit haben wir eine Lösung die unsere Logfiles vor nachträglicher Veränderung durch einen Angreifer schützt da dazu physischer Zugang zum Logarchiv-Rechner notwendig ist. Die einzig verbleibende Angriffsmöglichkeit ist eine Flooding Attack - d.h. Logmessages schneller erzeugen als sie über die serielle Leitung auf den Logarchiv-rechner übertragen werden können. Aber da kann man mit entsprechenden Tools diese Situation erkennen und ggf. Alarm auslösen.