Протокол Syslog.
Протокол Syslog.
Журналирование событий, происходящих в операционной системе, на устройстве или приложении является неотъемлемой частью процесса обеспечения информационной безопасности. По наличию событий в журналах безопасности можно заблаговременно обнаружить попытку осуществления атаки на сеть. А в случае если инцидент все же произошел, записи в журнале могут помочь в его расследовании. Поэтому протокол прикладного уровня Syslog должен работать без сбоев. В крупных сетях, как правило, для сбора событий используется центральный сервер Syslog, получающий события со всех устройств и приложений сети. Хакер пытается вскрыть конкретное устройство. В случае успеха он сможет почистить журнал событий на данном устройстве. Однако записи об этих событиях будут также сохранены на центральном сервере Syslog.
Для того чтобы скрыть свои действия, злоумышленнику необходимо удалить все имеющиеся в журнале событий сервера Syslog записи. Если хакер имеет доступ на запись к файлу /var/log/messages, то он может просто удалить или изменить имеющиеся в нем записи. Но что делать, если такого доступа нет? Тогда злоумышленник может попытаться вывести из строя сервер Syslog. Это можно сделать посредством отправки большого количества поддельных сообщений Syslog. Фактически злоумышленнику достаточно только знать IP-адрес сервера. В случае отправки большого количества сообщений возможно возникновение ситуации, когда сервер Syslog не сможет обработать все получаемые сообщения из-за высокой нагрузки. Также возможна ситуация, когда на сервере закончится свободное место, в результате события будет некуда сохранять.
В качестве примера такой атаки я не буду описывать какие-либо специализированные утилиты. Вместо этого рассмотрим настройку пересылки Syslog-сообщений на другой сервер.
Настройка syslog для сбора логов с серверов на одном сервере.
Начальные условия:
сеть 192.168.1.0/24, в которой у каждого сервера есть IP-адрес;
сервер Syslog для сбора логов. Имеет адрес 192.168.1.10, работает под управлением Linux, и на нем запущен syslog;
некоторое количество серверов под управлением Kali syslogd.
В первую очередь настраиваем syslogd на серверах Kali. Для этого нужно добавить в файл /etc/syslog.conf строку
*.* @192.168.1.10
и перезапустить syslogd:
/etc/rc.d/syslogd restart
Теперь все события, журналирование которых ведется на машине с Kali, будут пересылаться на сервер Syslog. Настройка достаточно проста.
Для того чтобы отправить свое сообщение, например «Syslog DoS», необходимо воспользоваться командой
message «Syslog DoS»
Злоумышленнику останется только разработать сценарий, который будет в цикле отправлять сообщения. Здесь, правда, есть ряд моментов, связанных с повторением одинаковых сообщений, однако подробно на нем я останавливаться не буду.
Реализацию атаки мы рассмотрели, теперь посмотрим, как от нее можно защититься. Прежде всего необходимо ограничить получение сообщений только с тех узлов, которые осуществляют генерацию событий.
То есть если в вашей сети не ведется сбор событий с пользовательских рабочих станций, то на сервере Syslog не должны собираться события из пользовательского сегмента.
Ограничить передачу событий можно как средствами сетевого оборудования, запретив пересылку UDP-пакетов по 514-му порту.
Можно также ограничить и с помощью настроек межсетевого экрана непосредственно на Syslog-сервере. Вот пример для разрешения Syslog-сообщений из сети 192.168.1.0/24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Еще одним средством защиты от «затопления» сообщения Syslog является использование средств предотвращения вторжений и систем управления событиями информационной безопасности. Об этих средствах защиты разговор пойдет чуть позже.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
The Syslog protocol.
Logging of events occurring in the operating system, on a device, or in an application is an integral part of the information security process. By the presence of events in the security logs, an attempt to attack the network can be detected in advance. And if an incident does occur, log entries can help in its investigation. Therefore, the Syslog application layer protocol should work smoothly. In large networks, as a rule, a central Syslog server is used to collect events, which receives events from all devices and applications on the network. A hacker is trying to open a specific device. If successful, he will be able to clear the event log on this device. However, records of these events will also be stored on the central Syslog server.
In order to hide their actions, an attacker needs to delete all the entries in the Syslog server event log. If a hacker has write access to the /var/log/messages file, they can simply delete or modify the entries in it. But what if there is no such access? Then an attacker can try to disable the Syslog server. This can be done by sending a large number of fake Syslog messages. In fact, an attacker only needs to know the server's IP address. If a large number of messages are sent, there may be a situation where the Syslog server will not be able to process all the messages it receives due to the high load. It is also possible that the server will run out of free space, as a result of the event there will be nowhere to save.
I will not describe any specialized utilities as an example of such an attack. Instead, let's look at configuring Syslog message forwarding to another server.
Configuring syslog to collect logs from servers on the same server.
Initial conditions:
the network is 192.168.1.0/24, in which each server has an IP address;
Syslog server for collecting logs. It has the address 192.168.1.10, it runs Linux, and syslog is running on it;
a number of servers running Kali syslogd.
First of all, we configure syslogd on Kali servers. To do this, add the line
*.* @192.168.1.10 to the /etc/syslog.conf file
and restart syslogd:
/etc/rc.d/syslogd restart
Now all events that are logged on a Kali machine will be forwarded to the Syslog server. The setup is quite simple.
In order to send your message, for example, "Syslog DoS", you need to use
the message command "Syslog DoS"
, the attacker will only have to develop a script that will send messages in a loop. There are, however, a number of points related to the repetition of identical messages, but I will not dwell on it in detail.
We have reviewed the implementation of the attack, now let's see how you can protect yourself from it. First of all, it is necessary to limit the receipt of messages only from those nodes that generate events.
That is, if your network does not collect events from user workstations, then the Syslog server should not collect events from the user segment.
You can restrict the transmission of events using network equipment by prohibiting the forwarding of UDP packets on port 514.
You can also restrict it by using firewall settings directly on the Syslog server. Here is an example for resolving Syslog messages from the 192.168.1.0/24 network:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Another means of protecting against Syslog message flooding is the use of intrusion prevention tools and information security event management systems. We'll talk about these remedies later.
Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.
Telegram channel: https://t.me/protectioninformation
Telegram Group: https://t.me/informationprotection1
Website: https://legascom.ru
Email: online@legascom.ru
#informationprotection #informationsecurity
Das Syslog-Protokoll.
Das Protokollieren von Ereignissen, die im Betriebssystem, auf einem Gerät oder einer Anwendung auftreten, ist ein wesentlicher Bestandteil des Informationssicherheitsprozesses. Durch das Vorhandensein von Ereignissen in den Sicherheitsprotokollen können Sie einen Angriffsversuch im Voraus erkennen. Und falls der Vorfall dennoch aufgetreten ist, können die Protokolleinträge bei der Untersuchung helfen. Daher sollte das Anwendungsprotokoll auf Syslog-Ebene fehlerfrei funktionieren. In großen Netzwerken wird normalerweise ein zentraler Syslog-Server zum Erfassen von Ereignissen verwendet, der Ereignisse von allen Geräten und Anwendungen im Netzwerk empfängt. Ein Hacker versucht, ein bestimmtes Gerät zu öffnen. Wenn dies erfolgreich ist, kann er das Ereignisprotokoll auf diesem Gerät bereinigen. Die Aufzeichnungen dieser Ereignisse werden jedoch auch auf dem zentralen Syslog-Server gespeichert.
Ein Angreifer muss alle Einträge im Syslog-Ereignisprotokoll des Servers löschen, um seine Aktionen auszublenden. Wenn ein Hacker Schreibzugriff auf die Datei /var/log/messages hat, kann er die darin enthaltenen Einträge einfach löschen oder ändern. Aber was ist, wenn es keinen solchen Zugang gibt? Ein Angreifer könnte dann versuchen, den Syslog-Server zu stürzen. Dies kann durch das Senden einer großen Anzahl gefälschter Syslog-Nachrichten erfolgen. Tatsächlich reicht es für einen Angreifer aus, die IP-Adresse des Servers zu kennen. Wenn eine große Anzahl von Nachrichten gesendet wird, kann es vorkommen, dass der Syslog-Server aufgrund der hohen Auslastung nicht alle empfangenen Nachrichten verarbeiten kann. Es ist auch möglich, dass der freie Speicherplatz auf dem Server nicht mehr verfügbar ist und das Ereignis keinen Platz zum Speichern hat.
Als Beispiel für einen solchen Angriff werde ich keine spezialisierten Dienstprogramme beschreiben. Betrachten Sie stattdessen die Konfiguration, um Syslog-Nachrichten an einen anderen Server weiterzuleiten.
Konfigurieren von syslog zum Sammeln von Protokollen von Servern auf demselben Server.
Anfangsbedingungen:
netzwerk 192.168.1.0/24, in dem jeder Server eine IP-Adresse hat;
Syslog-Server zum Sammeln von Protokollen. Hat die Adresse 192.168.1.10, läuft unter Linux und es wird syslog ausgeführt;
eine bestimmte Anzahl von Servern, auf denen Kali syslogd ausgeführt wird.
Zuerst konfigurieren wir syslogd auf Kali-Servern. Fügen Sie dazu die Datei /etc/syslog hinzu.conf string
*.* @192.168.1.10
und starten Sie syslogd neu:
/etc/rc.d/syslogd restart
Jetzt werden alle Ereignisse, die auf einer Kali-Maschine protokolliert werden, an den Syslog-Server weitergeleitet. Die Einrichtung ist einfach genug.
Um eine eigene Nachricht zu senden, z. B. «Syslog DoS», müssen Sie den Befehl verwenden
message «Syslog DoS»
Ein Angreifer muss nur ein Skript entwickeln, das Nachrichten in einer Schleife sendet. Es gibt jedoch eine Reihe von Punkten, die mit der Wiederholung identischer Nachrichten verbunden sind, aber ich werde nicht im Detail darauf eingehen.
Wir haben uns die Umsetzung des Angriffs angesehen, jetzt werden wir sehen, wie wir uns davor schützen können. Zuallererst müssen Sie den Empfang von Nachrichten nur von den Knoten beschränken, die Ereignisse generieren.
Das heißt, wenn in Ihrem Netzwerk keine Ereignisse von Benutzerarbeitsstationen erfasst werden, sollten keine Ereignisse aus dem Benutzersegment auf dem Syslog-Server gesammelt werden.
Sie können die Ereignisübertragung als Netzwerkhardware einschränken, indem Sie verhindern, dass UDP-Pakete an Port 514 weitergeleitet werden.
Sie können auch die Firewall-Einstellungen direkt auf dem Syslog-Server einschränken. Hier ist ein Beispiel zum Auflösen von Syslog-Nachrichten aus dem Netzwerk 192.168.1.0/24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Ein weiteres Mittel zum Schutz vor «Überschwemmungen» der Syslog-Nachricht ist die Verwendung von Intrusion Prevention und Informationssicherheitsereignismanagementsystemen. Über diese Schutzmittel wird ein wenig später gesprochen.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Protocole Syslog.
La journalisation des événements qui se produisent dans le système d'exploitation, sur l'appareil ou l'application fait partie intégrante du processus de sécurité de l'information. La présence d'événements dans les journaux de sécurité peut détecter à l'avance une tentative d'attaque sur le réseau. Et dans le cas où l'incident s'est produit, les entrées dans le journal peuvent aider dans son enquête. Par conséquent, le protocole de couche d'application Syslog doit fonctionner correctement. Les grands réseaux utilisent généralement un serveur Syslog central pour collecter les événements, qui reçoit les événements de tous les périphériques et applications du réseau. Un pirate essaie d'ouvrir un appareil spécifique. En cas de succès, il sera en mesure de nettoyer le journal des événements sur cet appareil. Toutefois, les enregistrements de ces événements seront également enregistrés sur le serveur Syslog central.
Pour masquer ses actions, un attaquant doit supprimer toutes les entrées du journal des événements du serveur Syslog. Si un pirate a accès en écriture au fichier /var/log/messages, il peut simplement supprimer ou modifier les entrées qu'il contient. Mais que faire s'il n'y a pas un tel accès? L'attaquant pourrait alors tenter de désactiver le serveur Syslog. Cela peut être fait en envoyant un grand nombre de faux messages Syslog. En fait, il suffit à l'attaquant de connaître l'adresse IP du serveur. Si un grand nombre de messages sont envoyés, il est possible que le serveur Syslog ne puisse pas traiter tous les messages reçus en raison de la charge de travail élevée. Il est également possible que l'espace disponible sur le serveur soit épuisé et qu'il n'y ait nulle part où enregistrer l'événement.
À titre d'exemple d'une telle attaque, je ne décrirai aucun utilitaire spécialisé. Au lieu de cela, envisagez de configurer le transfert des messages Syslog vers un autre serveur.
Configurer syslog pour collecter les journaux des serveurs sur le même serveur.
Condition initiale:
réseau 192.168.1.0/24 dans lequel chaque serveur a une adresse IP;
serveur Syslog pour la collecte des journaux. A l'adresse 192.168.1.10, fonctionne sous Linux et syslog est en cours d'exécution;
un certain nombre de serveurs exécutant Kali syslogd.
Tout d'abord, nous configurons syslogd sur les serveurs Kali. Pour ce faire, ajoutez le fichier/etc / syslog.conf chaîne
*.* @192.168.1.10
et redémarrez syslogd:
/etc/rc.d/syslogd restart
Tous les événements journalisés sur la machine Kali sont désormais transmis au serveur Syslog. La configuration est assez simple.
Pour envoyer votre message, par exemple "Syslog DoS", vous devez utiliser la commande
message «Syslog DoS»
L'attaquant n'aura qu'à développer un script qui enverra des messages en boucle. Ici, cependant, il y a un certain nombre de points liés à la répétition des mêmes messages, mais je ne m'y attarderai pas en détail.
Nous avons examiné la mise en œuvre de l'attaque, voyons maintenant comment vous pouvez vous en protéger. Tout d'abord, vous devez limiter la réception des messages uniquement à partir des nœuds qui génèrent des événements.
Autrement dit, si votre réseau ne collecte pas d'événements à partir de stations de travail personnalisées, le serveur Syslog ne doit pas collecter d'événements à partir du segment personnalisé.
Vous pouvez limiter la transmission d'événements en tant que moyen de matériel réseau en interdisant la transmission de paquets UDP sur le port 514.
Vous pouvez également restreindre les paramètres de pare-feu directement sur le serveur Syslog. Voici un exemple pour résoudre les messages Syslog du réseau 192.168.1.0 / 24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Un autre moyen de protection contre l'inondation d'un message Syslog consiste à utiliser des outils de prévention des intrusions et des systèmes de gestion des événements de sécurité de l'information. À propos de ces moyens de défense, la conversation ira un peu plus tard.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
Protocole Syslog.
La journalisation des événements qui se produisent dans le système d'exploitation, sur l'appareil ou l'application fait partie intégrante du processus de sécurité de l'information. La présence d'événements dans les journaux de sécurité peut détecter à l'avance une tentative d'attaque sur le réseau. Et dans le cas où l'incident s'est produit, les entrées dans le journal peuvent aider dans son enquête. Par conséquent, le protocole de couche application Syslog doit fonctionner correctement. Les grands réseaux utilisent généralement un serveur Syslog central pour collecter les événements, qui reçoit les événements de tous les périphériques et applications du réseau. Un pirate essaie d'ouvrir un appareil spécifique. S'il réussit, il pourra nettoyer le journal des événements sur cet appareil. Toutefois, les enregistrements de ces événements seront aussi enregistrés sur le serveur Syslog central.
Pour cacher ses actions, un attaquant doit supprimer toutes les entrées du journal des événements du serveur Syslog. Si un pirate a accès en écriture au fichier /var/log/messages, il peut simplement supprimer ou modifier les entrées qu'il contient. Mais que faire s'il n'y a pas un tel accès? L'attaquant pourrait alors essayer de désactiver le serveur Syslog. Cela peut être fait en envoyant un grand nombre de faux messages Syslog. En fait, l'attaquant n'a qu'à connaître l'adresse IP du serveur. Si un grand nombre de messages sont envoyés, il est possible que le serveur Syslog ne puisse pas traiter tous les messages reçus en raison de la charge de travail élevée. Il est également possible que l'espace disponible sur le serveur soit épuisé et qu'il n'y ait nulle part où enregistrer l'événement.
À titre d'exemple d'une telle attaque, je ne décrirai aucun utilitaire spécialisé. Pensez plutôt à configurer le transfert des messages Syslog vers un autre serveur.
Configurer syslog pour collecter les journaux des serveurs sur le même serveur.
Condition initiale :
réseau 192.168.1.0/24 dans lequel chaque serveur a une adresse IP;
serveur Syslog pour la collecte des journaux. À l'adresse 192.168.1.10, fonctionne sous Linux et syslog est en cours d'exécution;
un certain nombre de serveurs exécutant Kali syslogd.
Tout d'abord, nous configurons syslogd sur les serveurs Kali. Pour ce faire, ajoutez le fichier/etc / syslog.conf chaîne
*.* @192.168.1.10
et redémarrez syslogd :
/etc/rc.d/syslogd restart
Tous les événements journalisés sur la machine Kali sont maintenant transmis au serveur Syslog. La configuration est assez simple.
Pour envoyer votre message, par exemple « Syslog DoS », vous devez utiliser la commande
message «Syslog DoS»
L'attaquant n'aura qu'à développer un script qui enverra des messages en boucle. Ici, cependant, il y a un certain nombre de points liés à la répétition des mêmes messages, mais je ne m'y attarderai pas en détail.
Nous avons examiné la mise en œuvre de l'attaque, voyons maintenant comment vous pouvez vous en protéger. Tout d'abord, vous devez limiter la réception des messages uniquement à partir des nœuds qui génèrent des événements.
Autrement dit, si votre réseau ne collecte pas d'événements à partir de postes de travail personnalisés, le serveur Syslog ne doit pas collecter d'événements à partir du segment personnalisé.
Vous pouvez limiter la transmission d'événements comme moyen de matériel réseau en interdisant la transmission de paquets UDP sur le port 514.
Vous pouvez également restreindre les paramètres de pare-feu directement sur le serveur Syslog. Voici un exemple pour résoudre les messages Syslog du réseau 192.168.1.0 / 24 :
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Un autre moyen de protection contre l'inondation d'un message Syslog consiste à utiliser des outils de prévention des intrusions et des systèmes de gestion des événements de sécurité de l'information. À propos de ces moyens de défense, la conversation ira un peu plus tard.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
Protocolo Syslog.
El registro de eventos que ocurren en un sistema operativo, dispositivo o aplicación es una parte integral del proceso de seguridad de la información. La presencia de eventos en los registros de seguridad puede detectar con anticipación un intento de ataque a la red. Y en caso de que el incidente haya ocurrido, las entradas en el diario pueden ayudar en su investigación. Por lo tanto, el protocolo de capa de aplicación Syslog debería funcionar sin problemas. En las redes grandes, generalmente se utiliza un servidor Syslog central para recopilar eventos, que recibe eventos de todos los dispositivos y aplicaciones de la red. Un hacker intenta abrir un dispositivo en particular. Si tiene éxito, podrá limpiar el registro de eventos en este dispositivo. Sin embargo, los registros de estos eventos también se guardarán en el servidor central de Syslog.
Para ocultar sus acciones, el atacante debe eliminar todas las entradas del registro de eventos del servidor Syslog. Si un hacker tiene acceso de escritura al archivo/var/log / messages, simplemente puede eliminar o modificar las entradas que contiene. Pero, ¿qué pasa si no hay tal acceso? Entonces, un atacante podría intentar deshabilitar el servidor Syslog. Esto se puede hacer enviando una gran cantidad de mensajes Syslog falsos. De hecho, el atacante solo necesita conocer la dirección IP del servidor. Si envía un gran número de mensajes, es posible que el servidor Syslog no pueda procesar todos los mensajes recibidos debido a la alta carga. También es posible una situación en la que el servidor se quede sin espacio libre, como resultado del evento no habrá dónde guardar.
Como ejemplo de tal ataque, no describiré ninguna utilidad especializada. En su lugar, considere configurar el reenvío de mensajes Syslog a otro servidor.
Configurar syslog para recopilar registros de servidores en el mismo servidor.
Condiciones iniciales:
red 192.168.1.0/24 en la que cada servidor tiene una dirección IP;
servidor Syslog para recopilar registros. Tiene la dirección 192.168.1.10, ejecuta Linux y ejecuta syslog;
algunos servidores que ejecutan Kali syslogd.
En primer lugar, configuramos syslogd en los servidores Kali. Para hacer esto, debe agregar el archivo /etc/syslog.conf cadena
*.* @192.168.1.10
y reiniciar syslogd:
/etc/rc.d/syslogd restart
Ahora, todos los eventos que se registran en la máquina Kali se reenviarán al servidor Syslog. La configuración es bastante simple.
Para enviar su mensaje, por ejemplo, "Syslog DoS", debe usar el comando
message «Syslog DoS»
El atacante solo tendrá que desarrollar un script que enviará mensajes en un bucle. Aquí, sin embargo, hay una serie de puntos relacionados con la repetición de los mismos mensajes, pero no me detendré en él en detalle.
Hemos considerado la implementación del ataque, ahora veremos cómo puedes defenderte de él. En primer lugar, debe limitar la Recepción de mensajes solo desde aquellos nodos que generan eventos.
Es decir, si su red no recopila eventos de estaciones de trabajo personalizadas, el servidor Syslog no debe recopilar eventos del segmento personalizado.
Puede limitar la transmisión de eventos como un medio de equipo de red, impidiendo el reenvío de paquetes UDP en el puerto 514.
También puede restringir la configuración del firewall directamente en el servidor Syslog. Aquí hay un ejemplo para resolver mensajes Syslog de la red 192.168.1.0/24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Otra protección contra la "inundación" del mensaje Syslog es el uso de herramientas de prevención de intrusiones y sistemas de gestión de eventos de seguridad de la información. Sobre estos medios de protección hablaremos un poco más tarde.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Protocolo Syslog.
O registro de eventos que ocorrem no sistema operacional, no dispositivo ou no aplicativo é parte integrante do processo de segurança da informação. Com base na presença de eventos nos logs de segurança, você pode detectar antecipadamente uma tentativa de Ataque à rede. E se o incidente ocorrer, as entradas no diário podem ajudar na sua investigação. Portanto, o protocolo da camada de Aplicação Syslog deve funcionar sem falhas. Em grandes redes, geralmente, um servidor Syslog central recebe eventos de todos os dispositivos e aplicativos da rede para coletar eventos. O hacker está a tentar aceder a um dispositivo em particular. Se for bem sucedido, ele poderá limpar o registro de eventos no dispositivo. No entanto, os registros desses eventos também serão salvos no servidor Syslog Central.
Para ocultar suas ações, um invasor precisa excluir todos os registros no log de eventos do Servidor Syslog. Se um hacker tem acesso de gravação ao arquivo /var/log/messages, ele pode simplesmente excluir ou alterar os registros que ele contém. O que fazer se não houver esse acesso? Em seguida, um invasor pode tentar desativar o Servidor Syslog. Isso pode ser feito enviando um grande número de mensagens Syslog falsas. Na verdade, um invasor só precisa saber o endereço IP do servidor. Se um grande número de Mensagens For enviado, pode ocorrer uma situação em que o Servidor Syslog não poderá processar todas as mensagens recebidas devido à alta carga. Também é possível que o servidor fique sem espaço livre e, como resultado do evento, não haja onde salvar.
Como exemplo de tal ataque, não descreverei nenhum utilitário especializado. Em vez disso, considere a configuração do encaminhamento de mensagens Syslog para outro servidor.
Configurar o syslog para coletar logs de Servidores em um único servidor.
Condições iniciais:
rede 192.168.1.0/24 na qual cada servidor tem um endereço IP;
servidor Syslog para a recolha de registos. Tem o endereço 192.168.1.10, executa Linux e executa o syslog;
alguns servidores executando Kali syslogd.
Em primeiro lugar, configuramos o syslogd nos servidores Kali. Para fazer isso, você precisa adicionar /etc/syslog ao arquivo.conf string
*.* @192.168.1.10
e reiniciar o syslogd:
/etc/rc.d/syslogd restart
Agora, todos os eventos que são registrados em uma máquina com Kali serão encaminhados para o Servidor Syslog. A configuração é bastante simples.
Para enviar uma mensagem, por exemplo, "Syslog DoS", você deve usar o comando
message «Syslog DoS»
O invasor só terá que desenvolver um script que enviará mensagens em um loop. Aqui, no entanto, há uma série de pontos associados à repetição das mesmas mensagens, mas não vou me debruçar sobre isso em detalhes.
Nós consideramos a implementação do ataque, agora vamos ver como você pode se proteger dele. Em primeiro lugar, é necessário limitar o recebimento de mensagens apenas dos nós que geram eventos.
Ou seja, se a sua rede não está coletando eventos de estações de trabalho personalizadas, o Servidor Syslog não deve coletar eventos de um segmento de usuário.
Você pode restringir a transmissão de eventos como equipamento de rede, proibindo o encaminhamento de pacotes UDP na porta 514.
Você também pode restringir usando as configurações do firewall diretamente no servidor Syslog. Aqui está um exemplo para resolver mensagens Syslog da rede 192.168.1.0 / 24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Outra maneira de evitar que uma mensagem Syslog seja inundada é com a prevenção de intrusões e sistemas de gerenciamento de eventos de segurança da informação. Falaremos sobre esses meios de Proteção um pouco mais tarde.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
O protocolo Syslog.
O registro de eventos que ocorrem no sistema operacional, em um dispositivo ou em um aplicativo é parte integrante do processo de segurança da informação. Pela presença de eventos nos logs de segurança, uma tentativa de Ataque à rede pode ser detectada antecipadamente. E se ocorrer um incidente, as entradas de log podem ajudar na sua investigação. Consequentemente, o protocolo da camada de aplicativo do Syslog deve trabalhar lisamente. Em grandes redes, como regra, um servidor syslog central é usado para coletar eventos, que recebe eventos de todos os dispositivos e aplicativos na rede. Um hacker está tentando abrir um dispositivo específico. Se for bem sucedido, ele poderá limpar o log de eventos neste dispositivo. Contudo, os registros destes eventos serão armazenados igualmente no servidor de Syslog central.
A fim esconder suas ações, um atacante precisa de suprimir de todas as entradas no log de eventos do servidor de Syslog. Se um hacker tiver acesso de gravação ao arquivo /var/log/messages, ele poderá simplesmente excluir ou modificar as entradas nele. Mas e se não houver esse acesso? Então um atacante pode tentar desabilitar o servidor de Syslog. Isso pode ser feito enviando um grande número de mensagens syslog falsas. Na verdade, um invasor só precisa saber o endereço IP do servidor. Se um grande número mensagens são enviadas, pode haver uma situação onde o servidor de Syslog não possa processar todas as mensagens que recebe devido à carga alta. Também é possível que o servidor fique sem espaço livre, como resultado do evento não haverá onde salvar.
Não descreverei nenhum utilitário especializado como exemplo de tal ataque. Em lugar de, deixe-nos olhar configurando o encaminhamento de mensagem do Syslog a um outro server.
Configurando o syslog para coletar logs de Servidores no mesmo servidor.
Condições iniciais:
a rede é 192.168.1.0 / 24, na qual cada servidor possui um endereço IP;
Servidor Syslog para coleta de logs. Tem o endereço 192.168.1.10, roda Linux, e o syslog está rodando nele;
vários servidores executando o Kali syslogd.
Em primeiro lugar, configuramos o syslogd nos servidores Kali. Para fazer isso, adicione a linha
*.* @192.168.1.10 para o /etc / syslog.arquivo conf
e reinicie o syslogd:
/etc / rc.d / syslogd restart
Agora todos os eventos que são registrados em uma máquina Kali serão encaminhados para o servidor Syslog. A configuração é bem simples.
Para enviar sua mensagem, por exemplo, "Syslog DoS", você precisa usar
o comando de mensagem "Syslog DoS"
, o invasor só terá que desenvolver um script que enviará mensagens em loop. Há, no entanto, uma série de pontos relacionados à repetição de mensagens idênticas, mas não vou me alongar sobre isso em detalhes.
Revisamos a implementação do ataque, agora vamos ver como você pode se proteger dele. Em primeiro lugar, é necessário limitar o recebimento de mensagens apenas daqueles nós que geram eventos.
Isto é, se sua rede não recolhe eventos das estações de trabalho do usuário, a seguir o servidor de Syslog não deve recolher eventos do segmento de usuário.
Você pode restringir a transmissão de eventos usando equipamentos de rede proibindo o encaminhamento de pacotes UDP na porta 514.
Você também pode restringi-lo usando as configurações do firewall diretamente no servidor Syslog. Está aqui um exemplo para resolver mensagens de Syslog da rede 192.168.1.0/24:
iptables-A INPUT-p udp --dport 514-s 192.168.1.0 / 24-J aceitar
Um outro meio da proteção contra a inundação do mensagem de Syslog é o uso de ferramentas da prevenção de intrusão e de sistemas de gerenciamento do evento da segurança da informação. Falaremos sobre esses remédios mais adiante.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Protocollo Syslog.
La registrazione degli eventi che si verificano nel sistema operativo, nel dispositivo o nell'applicazione è parte integrante del processo di sicurezza delle informazioni. Se si verificano eventi nei registri di sicurezza, è possibile rilevare in anticipo un tentativo di attacco alla rete. E se l'incidente si è verificato, le voci del diario possono aiutare a indagare su di esso. Pertanto, il protocollo a livello di applicazione Syslog dovrebbe funzionare senza problemi. Le reti di grandi dimensioni in genere utilizzano un server Syslog centrale per la raccolta di eventi, che riceve eventi da tutti i dispositivi e le applicazioni della rete. Un hacker sta cercando di aprire un dispositivo specifico. In caso di successo, sarà in grado di pulire il registro eventi su un determinato dispositivo. Tuttavia, i record di questi eventi verranno salvati anche sul server Syslog centrale.
Per nascondere le proprie azioni, un utente malintenzionato deve eliminare tutte le voci presenti nel registro eventi del server Syslog. Se un hacker ha accesso in scrittura al file /var/log/messages, può semplicemente eliminare o modificare le voci in esso contenute. Ma cosa succede se non c'è tale accesso? Quindi un utente malintenzionato potrebbe tentare di arrestare il server Syslog. Questo può essere fatto inviando un gran numero di messaggi Syslog falsi. In effetti, è sufficiente che un utente malintenzionato conosca l'indirizzo IP del server. Se si invia un numero elevato di messaggi, è possibile che il server Syslog non sia in grado di elaborare tutti i messaggi ricevuti a causa del carico elevato. È anche possibile che il server esaurisca lo spazio libero, a seguito dell'evento non ci sarà nessun posto dove salvare.
Come esempio di tale attacco, non descriverò alcuna utilità specializzata. Considera invece di configurare L'inoltro dei messaggi Syslog a un altro server.
Configurare syslog per raccogliere i log dai server sullo stesso server.
Condizione iniziale:
rete 192.168.1.0 / 24 in cui ogni server ha un indirizzo IP;
server Syslog per la raccolta dei log. Ha l'indirizzo 192.168.1.10, esegue Linux ed esegue syslog;
un certo numero di server che eseguono Kali syslogd.
Prima di tutto, configuriamo syslogd sui server Kali. Per fare ciò, aggiungi /etc/syslog al file.conf stringa
*.* @192.168.1.10
e riavviare syslogd:
/etc/rc.d/syslogd restart
Ora tutti gli eventi registrati sulla macchina Kali verranno inoltrati al server Syslog. L'installazione è abbastanza semplice.
Per inviare il messaggio, ad esempio "Syslog DoS", è necessario utilizzare il comando
message «Syslog DoS»
L'attaccante dovrà solo sviluppare uno script che invierà messaggi in un ciclo. Qui, tuttavia, ci sono una serie di punti associati alla ripetizione degli stessi messaggi, ma non mi soffermerò su di esso in dettaglio.
Abbiamo esaminato l'implementazione dell'attacco, ora vedremo come proteggerlo. Innanzitutto, è necessario limitare la ricezione dei messaggi solo dai nodi che generano eventi.
Ad esempio, se la rete non raccoglie eventi dalle workstation utente, il server Syslog non deve raccogliere eventi dal bucket utente.
È possibile limitare la trasmissione di eventi come mezzo di apparecchiature di rete, vietando l'inoltro di pacchetti UDP sulla porta 514.
È inoltre possibile limitare le impostazioni del firewall direttamente sul server Syslog. Ecco un esempio per risolvere i messaggi Syslog dalla rete 192.168.1.0/24:
iptables -A INPUT -p udp --dport 514 -s 192.168.1.0/24 -j ACCEPT
Un altro rimedio contro le» inondazioni " di un messaggio Syslog è l'uso di strumenti di prevenzione delle intrusioni e sistemi di gestione degli eventi di sicurezza delle informazioni. Su questi mezzi di protezione, la conversazione andrà un po ' più tardi.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
