L'invio di eventi syslog su udp è sicuro?


0

Sto prendendo in considerazione l'utilizzo di un servizio da papertrailapp.com (altri servizi simili sono registrati e splunk), dove si configura il proprio syslog per echo gli eventi ad esso tramite udp. Si tratta di aggiungere questa voce a /etc/rsyslog.conf

*.* @logs.papertrailapp.com:12345  (where 12345 is a port unique to my account)

Quindi la mia domanda è, è sicuro? Non è possibile che qualcuno annusi il traffico e guardi l'output del registro dal mio server?

Risposte:


1

No, non è sicuro. Non solo possono guardare l'output del registro se possono rilevare il traffico, ma possono anche falsificare i messaggi di log provenienti dai tuoi sistemi.

Si dovrebbe considerare l'utilizzo di un'implementazione di syslog moderna con RELP . Credo che RELP non sia ancora abbastanza sicuro per quello che stai chiedendo (anche se potrei sbagliarmi) ma è molto meglio del protocollo Syslog UDP standard leggero. Inoltre è affidabile (la "R" in "RELP") quindi è molto meglio per la trasmissione su WAN.


1

Niente è al 100% "sicuro". Devi decidere cosa vale la pena proteggere e cos'è un problema immaginario nel tuo ambiente specifico. Ad esempio, "gli hacker" siedono raramente nel mezzo della rete cablata per sniffare il traffico, solo ISP e governi lo fanno.

Se vuoi proteggere il tuo traffico contro la sorveglianza del tuo governo e ISP, allora sì, il trasporto UDP è insicuro. Se non ti interessa di questi, allora l'UDP è abbastanza buono.

Re spoofing dei messaggi - la stessa storia - decidi se ti infastidisce e poi agisci di conseguenza.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.