Invio di informazioni Syslog / SNMP su Internet utilizzando la porta UDP standard 514

2

Sto controllando un Windows VPS inviando messaggi Syslog a Synology NAS , che può generare allarmi e-mail e simili. Vorrei anche utilizzare SNMP per generare statistiche sulla salute e vedere le tendenze nel tempo. Dovrebbe fornire rilevamento delle intrusioni e monitoraggio della salute.

Dopo aver valutato molti agenti di Syslog per Windows , Non ho ancora trovato un singolo agente freeware che supporti TCP su HTTPS (mentre il server Synology lo supporta). Sono quasi tutti codificati per la porta UDP 514 (beh, posso cambiare la porta su alcuni, ma non lo ritengo utile).

Poiché ho intenzione di inviare messaggi di eventlog windows convertiti, non mi sento a mio agio a inviarli in modo non criptato (possono contenere stacktrets completi e cose del genere).

Ho esaminato i modi per limitare il rischio e l'unica cosa che posso trovare è impostare il firewall per limitare l'invio di messaggi Syslog al mio indirizzo IP. Per SNMP, il firewall può essere limitato ad accettare solo richieste dal mio cliente. Un'alternativa è un prodotto commerciale con alcuni hack (che io non mi sento davvero simpatico con).

La cosa strana è che sembra che UDP 514 sia lo standard e anche raccomandato guardando le risposte in questo thread , proprio come SNMP.

Sono troppo attento? Sembra che il resto del mondo non abbia problemi con UDP? I provider di hosting di server VPS impediscono il software di sniffing sulla rete (virtuale) interna? O è solo sicuro usare UDP dopotutto?

    
posta Louis Somers 19.08.2013 - 01:38
fonte

2 risposte

3

Hai alcune opzioni:

  1. Il primo che viene in mente è la creazione di un tunnel SSH dal tuo Windows Server al tuo server Syslog e l'invio dei tuoi syslog al localhost: 1514 che effettuerebbe il tunnel verso logserver: 514. Ciò crittograferebbe i dati Syslog in un tunnel SSH. Puoi farlo in diversi modi, come uno script batch all'avvio per invocare PuTTy, come questo link

  2. In secondo luogo, che è quello che faccio, è utilizzare uno strumento come Logstash per ricevere syslog e leggere i file di registro localmente, e configurare un output su HTTPS . Logstash richiede Java Runtime, ma è molto potente, utilizza pochissime risorse ed è estremamente personalizzabile.

  3. Puoi pagare syslog-ng professional che eseguirà TCP su 514 e ad esso potrai applicare TLS / SSL.

risposta data 19.09.2013 - 15:56
fonte
1

Puoi usare l'agente OSSEC che è un agente di rilevamento delle intrusioni basato su host open source che non solo può monitorare i file di log ma avere un elenco delle regole per rilevare altri attacchi come la scansione delle porte e la ricognizione. È necessario configurare un server separato per l'agente OSSEC sulla rete e quindi trasferire gli avvisi dal server OSSEC al server syslog. Il motivo per il server separato è perché OSSEC crittografa tutto il traffico utilizzando l'algoritmo di crittografia blowfish e il server OSSEC è necessario prima decrittografare il traffico prima di trasferirlo sul server syslog. Tutto il traffico può essere trasferito in modo sicuro dal tuo VPS alla tua rete utilizzando una soluzione open source che abbia anche un supporto attivo per la mailing list.

    
risposta data 19.09.2013 - 16:13
fonte

Leggi altre domande sui tag