Sto prendendo in considerazione l'utilizzo di un servizio da papertrailapp.com (altri servizi simili sono registrati e splunk), dove si configura il proprio syslog per echo gli eventi ad esso tramite udp. Si tratta di aggiungere questa voce a /etc/rsyslog.conf
*.* @logs.papertrailapp.com:12345 (where 12345 is a port unique to my account)
Quindi la mia domanda è, è sicuro? Non è possibile che qualcuno annusi il traffico e guardi l'output del registro dal mio server?
Risposte:
No, non è sicuro. Non solo possono guardare l'output del registro se possono rilevare il traffico, ma possono anche falsificare i messaggi di log provenienti dai tuoi sistemi.
Si dovrebbe considerare l'utilizzo di un'implementazione di syslog moderna con RELP . Credo che RELP non sia ancora abbastanza sicuro per quello che stai chiedendo (anche se potrei sbagliarmi) ma è molto meglio del protocollo Syslog UDP standard leggero. Inoltre è affidabile (la "R" in "RELP") quindi è molto meglio per la trasmissione su WAN.
Niente è al 100% "sicuro". Devi decidere cosa vale la pena proteggere e cos'è un problema immaginario nel tuo ambiente specifico. Ad esempio, "gli hacker" siedono raramente nel mezzo della rete cablata per sniffare il traffico, solo ISP e governi lo fanno.
Se vuoi proteggere il tuo traffico contro la sorveglianza del tuo governo e ISP, allora sì, il trasporto UDP è insicuro. Se non ti interessa di questi, allora l'UDP è abbastanza buono.
Re spoofing dei messaggi - la stessa storia - decidi se ti infastidisce e poi agisci di conseguenza.