Защита журналов регистрации

Так как журналы регистрации содержат очень важную информацию, которая не должна быть доступна посторонним, то необходимо так защитить эти файлы, чтобы никто, кроме авторизованных лиц не смог получить доступ к этим журналам и модифицировать их. Опишу методы, которые помогут обезопасить собранную информацию.

q Хранение регистрационных данных на выделенном узле, расположенном в физически труднодоступном месте. При этом доступ должен быть ограничен также и через сеть.

q Запись регистрируемых событий на единожды записываемые носители (например, диски CD-ROM) для устранения возможности модификации данных. Также можно выводить информацию "в процессе" на устройства, не позволяющие модификацию, а только запись, например, принтер. Правда, в последнем случае существенно усложняется анализ распечатанных данных. Но как дублирующий механизм, к которому можно обратиться в случае возникновения проблем с основным источником регистрационной информации, использование принтера вполне приемлемо.

q Невозможность изменения уже существующих записей в журнале регистрации.

q Привлечение криптографических механизмов для защиты файлов регистрации от несанкционированного прочтения и, что более важно, — модификации. |

Размещение журнала регистрации на жестком диске компьютера — самый простой, но и самый ненадежный способ хранения. Хотя именно он находит применение в большинстве случаев. Использование дополнительных криптографических средств для защиты хранимых на жестком диске журналов регистрации повышает надежность, но и этот метод имеет ряд недостат­ков. Во-первых, для "законного" применения криптографических инстру­ментов необходимо обладать соответствующей лицензией (с точки зрения российских законов). И, мало того, само применяемое средство должно иметь соответствующий сертификат. Во-вторых, контроль целостности по­стоянно пополняемых журналов регистрации мало реален. При интенсив­ной работе в журнал регистрации могут заноситься несколько десятков записей в течение одной секунды, что приведет к невозможности задейство­вания криптографических методов. Использование однократно записывае­мых носителей информации более сложно, но и более надежно, чем осталь­ные методы. При невозможности работы с такими носителями в режиме реального времени необходимо записывать на них зарегистрированные дан­ные по достижении определенного объема журнала или при удовлетворении иного критерия (например, через заданные интервалы времени). Примене­ние принтера обосновано тогда, когда требуется постоянная регистрация, но анализ распечаток в этом случае очень трудоемок и долог.

Если узел, генерирующий записи журнала регистрации, отличается от узла, на котором эти записи фиксируются, надо обеспечить защиту всего пути передачи регистрационных данных между указанными двумя узлами. Если, расстояние между этими узлами невелико, то хорошим вариантом будет не­посредственное взаимодействие этих узлов (без промежуточных звеньев) при помощи кабелей. Однако, если эти узлы находятся на расстоянии не­скольких десятком метров и более (что более вероятно), следует использовать другие методы. Во-первых, вы должны минимизировать число узлов, через которые проходит зарегистрированная информация, т.е. соответст­вующим образом настроить таблицу маршрутизации (возможно, выделить для этих целей отдельную VLAN). И, во-вторых, обязательно прибегайте к криптографическим механизмам для защиты зарегистрированной информа­ции, передаваемой по сети.

Обязательным условием должна быть соответствующая настройка механиз­мов регистрации с целью предотвратить попытки нарушения их функцио­нирования, например, путем реализации атак типа "отказ в обслуживании". Для ОС Unix и Windows NT (в зависимости от настройки) в случае пере­полнения журнала syslog или EventLog регистрация прекращается (или ста­рые записи перезаписываются). Злоумышленник может попытаться сгене­рировать большое количество событий, чтобы заполнить журнал регист­рации и затем выполнять различные несанкционированные действия, нигде не фиксируемые. Другим результатом при переполнении журнала регистра­ции может стать прекращение функционирования узла. Для защиты от этого можно привлечь различные механизмы. Например, создание нескольких журналов регистрации, которые сохраняют информацию различного типа (как в Solaris). Либо использование механизма выгрузки данных из журнала регистрации в защищенное место или на центральную консоль управления. По такому принципу построена система Event Manager компании March In­formation Systems, приобретенной компанией ISS. Аналогичное устройство имеет система RealSecure, которая динамически синхронизирует журнал регистрации каждого из сенсоров по мере их заполнения с базой данных центральной консоли (рис. 7.2).

План управления журналами регистрации

Необходимо зафиксировать и задокументировать все аспекты, связанные с регистрацией всей нужной информации [CERT 2-00]. Названия следующих далее разделов соответствуют разделам документа, название которого вынесено в текущий заголовок.