Bundesamt für Sicherheit in der Informationstechnik

M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der zentralen Protokollierung werden die Informationen der überwachten IT-Systeme und Anwendungen über das Netz zu einem zentralen Protokollierungsserver übertragen, um sie zu sammeln, auszuwerten und zu speichern. Da die Protokolldaten auch personenbezogene Informationen enthalten können, müssen diese vor unberechtigtem Zugriff (einsehen, verändern oder löschen) geschützt werden.

Um zu verhindern, dass die Protokolldaten während der Übertragung auf den zentralen Protokollierungsserver abgehört oder manipuliert werden, lassen sie sich entweder verschlüsselt oder über ein eigenes Administrationsnetz (Out-of-Band) übertragen. Auf diese Weise wird auch die Integrität und Vertraulichkeit der Protokollmeldungen erhöht.

Vertraulichkeit für sensitive Informationen

Einige Datenquellen generieren Protokollmeldungen, die eine konkrete Zuordnung zu einer Person ermöglichen. Es ist daher wichtig, die Vertraulichkeit von Protokolldaten auch während der Übertragung sicherstellen zu können, beispielsweise durch Absichern der Verbindung mit Hilfe von SSL (siehe M 5.66 Clientseitige Verwendung von SSL/TLS ) oder durch Verschlüsseln der Daten. Auch ein eigenes Administrationsnetz (Out-of-Band) kann helfen, die Daten während der Übertragung zu schützen.

Integrität und Vollständigkeit der Protokolldaten

Wenn Protokollinformationen im Zusammenhang mit IT-Frühwarnung und im Bereich der Computer-Forensik verwendet werden sollen, ist es wichtig, dass weder Beweise für Sicherheitsvorfälle noch die Beweiskraft der gesammelten Informationen verloren gehen. Des Weiteren sollte eine Authentisierung zwischen dem Protokollierungsserver und dem IT-System stattfinden, das die Protokolldaten liefert. So lassen sich Man-in-the-Middle-Angriffe erschweren und Daten werden nicht versehentlich an nicht-autorisierte Stellen versendet. Daher sind Mechanismen zur Verfügung zu stellen, um die Integrität und Authentizität der übertragenen und gespeicherten Informationen zu schützen.

Protokolldaten müssen richtig und vollständig sein. Das ist sowohl für die Beweiskraft als auch aus technischer Sicht notwendig.

Da in größeren Informationsverbünden oft viele Protokolldaten anfallen, muss dafür gesorgt werden, dass die Bandbreite ausreicht, um die Protokollinformationen zu übertragen und dass keine Protokollinformationen durch temporäre Bandbreitenengpässe verloren gehen. Ebenso ist sicherzustellen, dass die Übertragung der Protokolldaten nicht die Übertragung der Nutzdaten behindert. Die Protokollmeldungen könnten über ein getrenntes Administrationsnetz (Out-of-Band) statt über das eigentliche Datennetz (In-Band) übertragen werden. In Abhängigkeit des Schutzbedarfs sollte abgewogen werden, ob es sinnvoll und technisch realisierbar ist, eine logische oder eine physikalische Trennung von Protokoll- und Nutzdaten vorzunehmen.

Beispiele einer sicheren Kommunikation

Die folgenden Maßnahmen zeigen, wie sich Verfügbarkeit, Integrität und Vertraulichkeit während der Übertragung von Protokolldaten gewährleisten lassen. Die Empfehlungen können sowohl einzeln als auch in Kombination eingesetzt werden.

  • Software-Agenten:
    Hierbei wird Software auf dem zu überwachenden System installiert. Die Software überträgt die gesammelten Protokolldaten verschlüsselt zum zentralen Protokollierungsserver. Ein wesentlicher Vorteil ist, dass diese überwachten Systeme alle mit dem gleichen Protokollierungsstandard arbeiten und somit ein Teil der Normalisierung dezentral ausgeführt werden kann. Dies setzt voraus, dass die Agentensoftware auf dem IT-System installiert werden kann, was bei Netzelementen wie Routern oder Sicherheitsgateways oft nicht möglich ist.
  • Layer 2-Trennung:
    Beim Einsatz von Switches sollte beachtet werden, dass VLANs (virtuelle lokale Netze) nicht entwickelt wurden, um Sicherheitsanforderungen bei der Trennung von Netzen zu erfüllen. VLANs bieten eine Vielzahl von Angriffspunkten, sodass immer zusätzliche Maßnahmen umzusetzen sind, insbesondere um schutzbedürftige Netze zu trennen. Vertiefende Informationen zu VLANs sind in M 2.277 Funktionsweise eines Switches zu finden.
  • Layer 3-Trennung:
    Routingfähige Komponenten entscheiden anhand eines Protokolls auf der Ebene 3 des OSI-Schichtenmodells und sind daher ein ideales Kopplungselement. Zusätzlich ist es möglich, mit Routern eine strukturierte IP -Netztrennung durchzuführen. Der Nachteil ist jedoch, dass sich ein Router in der Regel den Speicher für Prozesse, das Schnittstellenmanagement und die Zugangslisten teilt und es deshalb zu Ressourcenengpässen kommen kann. Ein detailliertes Routing, wie Subnetztrennung, autonomes Systemrouting und Ähnliches kann auch in Hinsicht auf die Administration sehr komplex werden.
  • VPN-Verbindung:
    Diese Variante bietet sich für Komponenten mit höherem Schutzbedarf in Hinblick auf Vertraulichkeit und Integrität an, die beispielsweise über ein öffentliches Netz angebunden werden. Die IT-Systeme müssen über untereinander kompatible Mechanismen verfügen, um VPNs nutzen zu können. Alternativ lassen sich die IT-Systeme auch an VPN-Appliances anschließen, welche die verschlüsselte Verbindung herstellen.
  • Out-of-Band-Management (Administrationsnetz):
    Beim Out-of-Band-Management wird ein separates LAN für die Übertragung der Protokolldaten genutzt. Da dieses LAN ausschließlich für die Protokollierung und eventuell für die Administration zur Verfügung steht, wird bei einer konsequenten Netztrennung der Zugriff für Angreifer erschwert. Out-of-Band-Management ist in der Regel aufwendiger als andere Verfahren, weil am protokollierenden IT-System ein zusätzliches Netzinterface und eine unabhängige Netzinfrastruktur im Informationsverbund benötigt werden. Der Vorteil eines Administrationsnetzes ist, dass Protokolle (insbesondere SNMP Version 1) eingesetzt werden können, die als unsicher bekannt sind, aber mangels verfügbarer Alternativlösungen eingesetzt werden müssen, um den Betrieb, beispielsweise durch IT-Frühwarnungssysteme, zu überwachen.

Prüffragen:

  • Werden die Protokolldaten vor unberechtigtem Zugriff geschützt?

  • Wird ein gesicherter Übertragungsweg für die Protokollinformationen zur Verfügung gestellt?

  • Findet zwischen Protokollierungsserver und IT-System eine Authentisierung statt?

  • Werden Mechanismen eingesetzt, die Integrität und Authentizität der Informationen schützen?

Stand: 13. EL Stand 2013