Jede Sekunde erzeugen in einem Unternehmen Server, Netzwerkkomponenten und Anwendungen unzählige Meldungen über bestimmte Ereignisse, wie beispielsweise Benutzeranmeldungen oder die Verletzung von Sicherheitsregeln. Wer diese Daten systematisch mit Hilfe des dafür entwickelten Syslog-Standards zentral sammelt und speichert, erschließt sich dadurch einige Möglichkeiten.

So kann beispielsweise Software für das Security-Information-und-Event-Management (SIEM) durch die Korrelation von Ereignissen auf verschiedenen Systemen Angriffe erkennen, die einer Firewall allein verborgen blieben. Eine zentrale Log-Analyse hilft zudem bei der Fehlersuche, dem Aufdecken von Regelverletzungen oder beim Monitoring von IT-Komponenten.

Eine zentrale Appliance zur Speicherung von Log-Daten schützt diese (revisions)sicher vor Manipulation und unterstützt so Unternehmen bei der Einhaltung von Compliance-Vorgaben.

Unternehmen in regulierten Branchen, etwa dem Gesundheitswesen oder in der Finanzindustrie, müssen bestimmte Log-Daten sogar zentral sammeln, regelmäßig auswerten und über eine längere Zeit archivieren. Dies fordern unter anderem Basel II, der Health Insurance Portability and Accountability Act (HIPAA) oder der Payment Card Industry Data Security Standard (PCI-DSS).

Sicher übertragen und ablegen

Damit Angreifer ihre Taten durch die Manipulation von Log-Informationen nicht vertuschen können, müssen Unternehmen den sicheren Transport dieser Daten von der Quelle bis zum Ziel sicherstellen. Die hier unter anderem vom PCI-DSS geforderte Vertraulichkeit lässt sich bei Syslog durch eine SSL-verschlüsselte Übertragung erreichen.

Die Authentizität eines Syslog-Senders und Empfängers garantieren wiederum X.509-Zertifikate. Dass Syslog-Quellen und -Relays keine Daten verwerfen, wenn eine Netzwerkverbindung ausfällt, können Syslog-Implementationen durch festplattenbasierte Zwischenspeicher erreichen.

Auch im zentralen Syslog-Speicher müssen die Log-Daten vor Manipulation geschützt und zudem hoch verfügbar abgespeichert sein. Digitale Signaturen und eine Verschlüsselung der Daten können hier sicherstellen, dass nur autorisierte Personen Zugriff auf die Informationen erhalten.

Eine hierarchische Syslog-Infrastruktur mit einer hochverfügbar und performant ausgelegten zentralen Syslog-Appliance kann zudem dafür sorgen, dass jederzeit sowohl genügend Rechenleistung zur Annahme der Meldungen und als auch Speicherkapazität für deren Ablage zur Verfügung steht.

Fazit

Die Übertragung von Syslog-Meldungen von ihrer Quelle bis zum zentralen Speicher ist wie eine Kette. Und auch hier gilt, dass diese nur so stark ist wie ihr schwächstes Glied.

Nur wenn sichergestellt ist, dass alle relevanten Log-Daten ohne Verlust und Manipulation einerseits am Zentralspeicher ankommen und dann dort (revisions)sicher und jederzeit verfügbar sind, lassen sich die eingangs genannten Vorteile einer Syslog-Infrastruktur sinnvoll nutzen. Regulierte Branchen haben dazu fast keine Alternative.

Der Autor: Enikö Visky ist Regional Director Deutschland, Österreich und Schweiz (DACH) bei Balabit IT Security [1] in München. Das Unternehmen entwickelt unter anderem die Open-Source-Syslog-Software Syslog-ng.