Bundesamt für Sicherheit in der Informationstechnik

M 4.205 Protokollierung bei Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Router und Switches bieten in der Regel Möglichkeiten zur Protokollierung. Die Auswertung dieser Informationen ermöglicht die Beurteilung der korrekten Funktion des Geräts und das Erkennen von Angriffsversuchen. Mit Hilfe der Protokollierungsinformationen kann oft auch die Art eines Angriffsversuches nachvollzogen und die Konfiguration entsprechend angepasst werden.

Daher sollte die Protokollierung immer genutzt und sorgfältig eingerichtet werden. Die sorgfältige Konfiguration ist besonders wichtig, da nur bei einer sinnvollen Filterung aus der Vielzahl von Informationen die relevanten Daten extrahiert werden können. Hierzu gehören vor allem das Erkennen abgewiesener Zugriffsversuche und Änderungen der Konfiguration.

Da Protokolldateien in den meisten Fällen personenbezogene Daten beinhalten, ist sicherzustellen, dass diese Daten nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden (M 2.110 Datenschutzaspekte bei der Protokollierung ). Der Umfang der Protokollierung und die Kriterien für deren Auswertung sollte dokumentiert und innerhalb der Organisation abgestimmt werden. Gegebenenfalls sollten frühzeitig die jeweiligen Mitbestimmungsgremien beteiligt werden.

Folgende Informationen sollten nach Möglichkeit protokolliert werden:

  • Konfigurationsänderungen
  • Reboots
  • Systemfehler
  • Statusänderungen pro Interface, System und Netzsegment
  • Login-Fehler (zumindest dann, wenn sie wiederholt auftreten)
  • Verstöße gegen ACL -Regeln (abgewiesene Zugriffsversuche)

Insbesondere der letzte Punkt sollte für jede ACL aktiviert werden, um alle fehlgeschlagenen Versuche zu erfassen und falsch oder nicht korrekt konfigurierte Regeln erkennen zu können.

Je nach Hersteller können einige Aspekte möglicherweise nicht durch die Protokollierung erfasst werden. Beispiele sind

  • Änderung von Berechtigungen
  • Passwortänderungen
  • Änderungen über SNMP
  • Speicherung einer neuen Konfiguration in das NVRAM

In diesem Fall sollten andere Möglichkeiten der Überprüfung in Betracht gezogen werden, um zumindest feststellen zu können, dass Änderungen vorgenommen wurden.

In der Regel sind die zu protokollierenden Informationen unterschiedlichen Klassen zugeordnet. Dies ermöglicht eine Filterung der Protokollierung, indem in der Konfiguration die auszugebende Protokollierungsklasse angegeben wird.

Neben einer geeigneten Speicherung der Informationen kommt der möglichst zeitnahen Auswertung besondere Bedeutung zu. Hierfür existieren unterschiedliche Ausgabemöglichkeiten, die abgestimmt auf die individuellen Bedürfnisse auch in Kombination miteinander angewendet werden können:

Nutzersession

Die Protokollierungsinformationen können in einer bestehenden Nutzersession angezeigt werden. Hierzu müssen die Protokollierung und die Sitzung entsprechend konfiguriert werden.

Speicher

Protokollierungsinformationen lassen sich im systemeigenen RAM ablegen. Die Größe des dafür erforderlichen Speichers hängt stark vom Typ und Einsatzzweck des Gerätes ab, so dass an dieser Stelle keine konkreten Vorschläge gemacht werden können. Eine Speicherung der Protokollierungsinformationen auf einem zentralen Server (syslog) ist gegenüber der Speicherung im RAM zu bevorzugen.

SNMP

Herstellerabhängig lassen sich auf Routern und Switches für eine Vielzahl von Ereignissen SNMP-Nachrichten generieren, die von einem bestehenden Netzmanagementsystem erkannt, angezeigt und verarbeitet werden können. Dies ermöglicht eine automatisierte Auswertung.

Ausgabe an der Konsole

Die Ausgabe der Protokollierung an der Konsole erlaubt keine dauerhafte Speicherung kann daher lediglich eine Ergänzung zu anderen Methoden darstellen.

Zentraler Authentisierungsserver

Bei der Nutzung eines zentralen Authentisierungsservers, zum Beispiel mittels TACACS+ oder RADIUS, kann die dort implementierte Protokollierung (Accounting) genutzt werden, um Nutzeraktivitäten zu dokumentieren.

Syslog

Die Protokollierungsinformationen können über das Netz auf einen eigenen syslog-Server (beispielsweise auf einem Unix-Rechner) übertragen werden. Dies dient der zentralen Sammlung und Archivierung der Protokollierungsinformationen, da auf den Netzkomponenten oft keine ausreichenden Betriebsmittel dafür vorhanden sind. Dadurch können an einer zentralen Stelle relevante Informationen erfasst und ausgewertet werden. Außerdem bietet dies den Vorteil, dass bei einer Kompromittierung eines Gerätes die bereits übertragenen Protokollierungsinformationen vom Angreifer nicht verändert oder gelöscht werden können.

Die Übertragung zum syslog-Server erfolgt meist unverschlüsselt über TCP oder UDP, so dass ein Mithören auf dem Übertragungsweg möglich ist. Somit kann durch das Versenden von Informationen aus dem internen Netz die Vertraulichkeit der im internen Netz vorhandenen Informationen gefährdet werden. Daher sollte überlegt werden, die Übertragung über ein eigenes Netz (Administrationsnetz) abzuwickeln.

NTP

Alle Protokollierungsinformationen sollten mit einem korrekten Zeitstempel versehen sein. Nur so ist eine effektive Auswertung dieser Daten, insbesondere bei der Analyse von versuchten oder erfolgten Angriffen, sichergestellt. Aus diesem Grunde sollten im internen Netz entsprechende Server eingerichtet werden, die allen Systemen die korrekte Zeit bereitstellen. Dies kann beispielsweise auf Basis des NTP-Dienstes geschehen. Dazu sollte in Erwägung gezogen werden, im internen Netz einen eigenen Zeit-Server einzurichten, der beispielsweise auf einem eigenen Rechner angesiedelt ist, der mit einer Funkuhr verbunden ist. Alternativ kann ein geeigneter Rechner als NTP-Proxy dienen und die Zeitinformation seinerseits per NTP von einem Zeit-Server im Internet (beispielsweise von der Physikalisch-Technischen Bundesanstalt (PTB)) bezieht. Im Zweifelsfall sollte die erste Lösung (interner Zeitserver mit Funkuhr) bevorzugt werden, insbesondere in Netzen mit hohem Schutzbedarf. Keinesfalls sollten alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen.

Prüffragen:

  • Werden personenbezogene Daten in den Protokolldateien nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet?

  • Ist der Umfang der Protokollierung und die Kriterien für deren Auswertung dokumentiert und abgestimmt?

  • Sind Vorgaben definiert, wie eine zeitnahe Auswertung der Protokollinformationen durchzuführen ist?

  • Werden die Protokollierungsinformationen mit einem korrekten Zeitstempel versehen?

Stand: 13. EL Stand 2013