Bundesamt für Sicherheit in der Informationstechnik

M 4.225 Einsatz eines Protokollierungsservers in einem Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei komplizierteren Sicherheitsgateways fallen oft große Mengen verschiedener Protokollierungsinformationen der verschiedenen Komponenten an. Um die Auswertung der Protokolle zu erleichtern ist es empfehlenswert, an zentraler Stelle einen Protokollierungsserver (Loghost) zu betreiben, der die Protokolldaten der an das Sicherheitsgateway angeschlossenen Komponenten aufnimmt. Die Daten lassen sich so einfach zueinander in Beziehung setzen und erleichtern damit die regelmäßige, anlassunabhängige Auswertung und ermöglichen im Falle eines Ausfalls das Auffinden des Verursachers (siehe auch M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten ).

Problematisch ist die Platzierung des zentralen Loghosts, denn er muss einerseits von sämtlichen Komponenten des Sicherheitsgateways aus zu erreichen sein, andererseits darf er keinen unberechtigten Zugriff aus dem nicht-vertrauenswürdigen Netz ermöglichen.

Wird der Loghost kompromittiert, so erleichtert er aufgrund der zentralen Aufstellung im Sicherheitsgateway die Kompromittierung der anderen Komponenten erheblich. Ein zentraler Loghost im Sicherheitsgateway sollte daher nur diese Funktion wahrnehmen und nicht noch für weitere Aufgaben (etwa als Administrationsrechner) verwendet werden.

Im Zusammenhang mit Logdaten sollte folgendes beachtet werden:

  • Der zentrale Loghost sollte die Daten redundant ablegen.
  • Die Protokollierung sollte, wenn möglich, zusätzlich lokal auf den einzelnen Komponenten des Sicherheitsgateways erfolgen. Da hierdurch die Leistung der Komponente nicht merklich sinkt, sollte diese Sicherung als zusätzlicher Ausfallschutz eingeschaltet werden.

Ein weiteres wichtiges Element der Protokollierung stellt die Alarmierung bei definierten, kritischen Ereignissen dar. Auch hier ist darauf zu achten, dass die Weiterleitung der Alarmmeldungen zu einer zentralen Instanz möglich ist.

Wichtigstes Kriterium bei der Platzierung eines Loghosts ist, dass keine zusätzlichen Schwachstellen entstehen, wie z. B. die Möglichkeit zur Umgehung von Sicherheitskomponenten. Zudem ist zu berücksichtigen, dass die Protokolldaten zur Speicherung auf einem zentralen Loghost möglichst wenige Komponenten des Sicherheitsgateways überqueren müssen. Werden Protokolldaten über Proxies versendet, so erscheinen diese in den Protokolldateien mit der IP-Adresse des Proxies, so dass der eigentliche Absender nicht mehr unmittelbar zu erkennen ist, wenn nicht die Protokollierungsfunktionen auf den einzelnen Komponenten eine entsprechende Kennzeichnung der Daten ermöglichen.

Im Idealfall werden Loghosts in einem eigenen Administrationsnetz platziert. Auf den Loghost wird dann ausschließlich aus dem Adminstrationsnetz heraus zugegriffen.

Steht kein eigenes Administrationsnetz zur Verfügung, so muss der Loghost im Produktivnetz betrieben werden. In Abhängigkeit von der Struktur des Sicherheitsgateways ergeben sich damit zwei empfohlene Platzierungen für einen zentralen Loghost:

Platzierung bei einfachen Sicherheitsgateways

Bei einem einfachen Sicherheitsgateway, das nur aus einem einzelnen Paketfilter besteht, bietet es sich an, den Loghost in einer eigenen DMZ des Paketfilters zu platzieren. In der Regel bieten Paketfilter eine ausreichende Anzahl an Netzschnittstellen oder sind leicht erweiterbar, so dass eine spezielle Loghost-DMZ zum Einsatz kommen kann.

Platzierung bei komplexen Sicherheitsgateways

Bei komplexeren Strukturen von Sicherheitsgateways ist es in der Regel notwendig, die Protokolldaten über einen Proxy zum Loghost zu leiten.

Prinzipiell ist dabei zwischen der Platzierung des Loghosts in einer eigenen DMZ und der Platzierung des Loghosts in einer gemeinsamen DMZ mit anderen Modulen des Sicherheitsgateways zu unterscheiden.

Die folgende Abbildung zeigt eine Lösung, bei der ein zentraler Loghost in einer eigenen DMZ platziert wurde und von zwei getrennten Sicherheitsgateways gemeinsam genutzt wird.

Die Platzierung des Loghost in einer eigenen DMZ hat den Vorteil, dass sie bei einer Kompromittierung des Loghosts dem Angreifer nur wenig weitere Angriffsmöglichkeiten eröffnet, da die einzigen direkt erreichbaren Module des Sicherheitsgateways die ALG s sind. Diese sind in der Regel jedoch besonders gegen Angriffe geschützt.

Bei der abgebildeten Lösung ist zudem zu beachten, dass durch die Integration des Loghost eine "Querverbindung" zwischen den beiden vertrauenswürdigen Netzen geschaffen wurde, die ohne Integration des Loghost nicht existiert hätte. Hierzu ist eine eigene Risikoabschätzung notwendig. Gegebenenfalls muss auf die Querverbindung verzichtet werden, was den Einsatz von zwei getrennten Loghosts zur Folge hat, deren Protokolldaten eventuell zu Analysezwecken zusammengeführt werden müssen.

Bei der Lösung, die in der folgenden Abbildung dargestellt ist befinden sich weitere Module des Sicherheitsgateways in der gleichen DMZ wie der Loghost. Diese können weitere Angriffspunkte nach der Übernahme des Loghost bieten, da es sich nicht notwendigerweise um speziell entwickelte Sicherheitsprodukte handelt. Möglicherweise können diese Module deshalb besonders einfach übernommen werden.

Die Lösung, bei der der Loghost in einer eigenen DMZ platziert wird, ist deshalb dieser Lösung vorzuziehen.

Die Platzierung des Loghost in einer DMZ mit weiteren Komponenten ist nur dann ratsam, wenn das ALG keine ausreichende Anzahl an Netzschnittstellen zur Verfügung stellt.

Die folgende Tabelle fasst die Empfehlungen zusammen:

Struktur des Sicherheitsgateway Schutzbedarf Platzierung des Loghosts
Nur Paketfilter normal Loghost in einer eigenen DMZ des Paketfilters
Komplexes Sicherheitsgateway (P-A-P) normal Loghost in einer gemeinsamen DMZ mit anderen Komponenten akzeptabel.
Eigene DMZ für den Loghost empfohlen
Gemeinsame Nutzung eines Loghosts durch mehrere Sicherheitsgateways hoch Loghost in einer eigenen DMZ

Tabelle: Empfehlungen

Prüffragen:

  • Wird der Zugriff auf den Protokollserver aus nicht-vertrauenswürdigen Netzen verhindert?

  • Wird der Protokollserver ausschließlich zur Speicherung der Protokolldaten des Sicherheitsgateway genutzt?

  • Werden die Protokollierungsinformationen redundant hinterlegt?

  • Existiert ein zentrales Alarmierungssystem für im Vorfeld definierte kritische Ereignisse?

  • Besteht ein Konzept zur Bestimmung der erforderlichen netzwerktechnischen Platzierung des Protkollierungsservers anhand der Struktur des Sicherheitsgateways?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK