Bundesamt für Sicherheit in der Informationstechnik

G 5.176 Kompromittierung der Protokolldatenübertragung bei zentraler Protokollierung

Bei einer zentralen Speicherung der Protokolldaten werden die aufgezeichneten Informationen an einen Protokollierungsserver übermittelt, der sie verarbeitet und auswertet. Die übertragenen Protokollierungsereignisse können personenbezogene Informationen wie Benutzernamen enthalten, die sich einer konkreten Person zuordnen lassen. Werden die Protokolldaten über ungesicherte und nicht verschlüsselte Übertragungswege übermittelt, können sie abgehört und manipuliert werden.

Ausnutzen von In-Band-Verbindungen

Wenn IT-Systeme in einem unsicheren Netz betrieben werden, sind sie mit großer Wahrscheinlichkeit Angriffen aus diesem Netz ausgesetzt. Ein Beispiel ist ein Paketfilter in einem Sicherheitsgateway, der zwischen das öffentliche Netz und das Application-Level-Gateway geschaltet wird. Sollen Protokollinformationen des Paketfilters an einen zentralen Protokollierungsserver gesendet werden, ist eine Datenverbindung über das Application-Level-Gateway und über eventuell weitere Systeme zum zentralen Protokollierungsserver notwendig (In-Band). Die Möglichkeit dieser Verbindung könnte auch von einem Angreifer ausgenutzt werden, da von Außen initiierte Verbindungen in das interne Netz eine Schwachstelle darstellen. Bei einer Out-of-Band-Verbindung treten diese Probleme nicht auf, weil die Protokolldaten innerhalb eines eigenen, abgeschlossenen Netzes transportiert werden. Allerdings ist der dafür notwendige Aufwand deutlich höher. Es muss eine eigene Netzinfrastruktur aufgebaut sowie ein weiteres Netz administriert werden. Zudem können die möglichen Schäden gravierend sein, falls es einem Angreifer gelingen würde, das Out-of-Band-Netz zu kompromittieren.

Kompromittierung des zentralen Protokollierungsservers

Wird ein zentraler Protokollierungsserver, der nicht in einem eigenen Administrationsnetz platziert wurde, kompromittiert, erleichtert er aufgrund seiner zentralen Platzierung Angriffe auf weitere Komponenten. Weil er sowohl von IT-Systemen vor als auch hinter dem Sicherheitsgateway erreichbar sein muss, bietet er einem Angreifer die Möglichkeit, das Sicherheitsgateway eines Informationsverbundes zu umgehen. Dadurch könnten beispielsweise der Datenverkehr zwischen dem E-Mail-Server und dem Protokollierungsserver mit einem Netzanalyse-Tool aufgezeichnet und eventuelle personenbezogene Daten ausgelesen werden. Des Weiteren hat ein Angreifer dadurch die Möglichkeit, Protokolldaten einzusehen und diese zu manipulieren.

Manipulierte Protokolldaten

Manipuliert ein Angreifer Protokolldaten, sind deren Integrität und Vollständigkeit infrage gestellt und ihre Beweiskraft und Verlässlichkeit nicht mehr gewährleistet. Auch bei einem IT-Frühwarnsystem können manipulierte Protokollmeldungen zu großen Problemen führen, wenn kein vollständiges Lagebild erzeugt werden kann und dadurch beispielsweise Angriffe auf IT-Systeme oder Anwendungen unentdeckt bleiben. Ein Grund für unvollständige Protokolldaten kann der Einsatz von Netz-Protokollen wie dem User Datagram Protocol (UDP) sein, die keine Mechanismen vorsehen, um zu überprüfen, ob alle Pakete komplett übertragen wurden.

Bandbreitenengpässe

Durch die große Menge an Protokolldaten, die über das Netz zusätzlich zu den Nutzdaten übertragen werden, kann es bei Bandbreitenengpässen dazu kommen, dass die Übertragung der Protokollmeldungen die der Nutzdaten beeinträchtigt. Des Weiteren kann es passieren, dass durch die Bandbreitenengpässe die Protokollinformationen zeitverzögert weitergeleitet werden oder ganz verloren gehen. Dies führt bei einem IT -Frühwarnsystem unter Umständen zu erheblichen Problemen, weil nur durch die Summe der einzelnen Teilinformationen der verschiedenen IT-Systeme ein Gesamtbild des Informationsverbundes dargestellt werden kann.

Beispiel:

  • Bei der Planung, einen zentralen Protokollserver einzusetzen, wurde beschlossen, dass die Protokolldaten über eine Netzschnittstelle (In-Band) übertragen werden sollen. Durch das Tunneling der Protokollmeldungen über SSL werden die Meldungen im Netz verschlüsselt übertragen. Allerdings entsteht durch das Tunneling eine Sicherheitslücke im Sicherheitsgateway, die ein Angreifer ausnutzen kann, um in das interne Netz einzudringen.
  • Die Protokolldatenübertragung von den verschiedenen IT-Systemen zum zentralen Protokollierungsserver erfolgt über das syslog-Protokoll, das die Nachrichten verbindungslos per UDP-Protokoll verschickt. Durch einen vorübergehenden Bandbreitenengpass gehen einige Protokollnachrichten verloren. Da keine zusätzlichen Mechanismen eingesetzt werden, um zu gewährleisten, dass alle Datenpakte am Ziel ankommen, wird ein kurzzeitiger Webserver-Ausfall nicht bemerkt.
  • Seit Jahren werden im Informationsverbund eines mittelständischen Unternehmens sowohl die Nutz- als auch die Protokolldaten über ein und dieselbe Netzschnittstelle (In-Band) übertragen. Aufgrund gestiegener Auslastungen und fehlender Zwischenspeicher (Caching) wurden in den letzten Monaten immer wieder relevante Protokolldaten zugunsten höher priorisierter Nutzdaten verworfen. Dies führt dazu, dass der Ausfall eines Datei-Servers zu spät erkannt wurde und der Betrieb für einen ganzen Tag eingestellt werden musste.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK