M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Es muss festgelegt werden, welche Ereignisse protokolliert werden und wer die Protokolle auswertet. Die Protokollierung muss den jeweils geltenden rechtlichen Bestimmungen entsprechen. Für Protokolldaten ist in Deutschland insbesondere die Zweckbindung nach § 14 des BDSG zu beachten.

Für den Einsatz der Protokollierung am Sicherheitsgateway sollten die folgenden Punkte beachtet werden:

Bei kleinen Netzen, in denen nur ein einfaches Sicherheitsgateway eingesetzt wird, kann gegebenenfalls auf einen zusätzlichen Loghost verzichtet werden.

Umfang der Protokollierung am Paketfilter

Die Protokollierung am Paketfilter sollte zumindest alle Pakete erfassen, die auf Grund einer Paketfilterregel abgewiesen werden.

Je nach Sicherheitsanforderungen sind eventuell zusätzliche Klassen von Paketen interessant:

Welche zusätzlichen Klassen von Paketen protokolliert werden hängt in erster Linie vom Schutzbedarf des vertrauenswürdigen Netzes ab. Allerdings bringt die Protokollierung alleine keinen Sicherheitsgewinn, sondern die Informationen müssen auch nach entsprechenden Kriterien ausgewertet werden.

Von den Paketen, für die eine Protokollierung gewünscht wird, sollten mindestens die folgenden Informationen protokolliert werden:

Wird zusätzlich ein ALG verwendet, so kann auf die Protokollierung der akzeptierten Pakete verzichtet werden, da der Proxy in diesem Fall meist ausreichende Verbindungsinformationen protokolliert.

Umfang der Protokollierung am Application-Level-Gateway

Auf dem ALG, der durch den äußeren Paketfilter vor der großen Masse unzulässiger Pakete geschützt wird, sollten für jeden (erfolgreichen oder versuchten) Verbindungsaufbau die folgenden Daten protokolliert werden:

Es muss möglich sein, für bestimmte Benutzer die Protokollierung abzuschalten, damit nicht wegen einer zu großen Anzahl von Protokolleinträgen wichtige Informationen übersehen werden. Diese Auswahl kann z. B. anhand des Rechteprofils einzelner Benutzer getroffen werden.

Für die einzelnen Protokolle werden darüber hinaus die folgenden Einstellungen empfohlen:

DNS

Zonen-Transfers werden in der Regel vom Betreiber des DNS-Server verhindert, so dass auf diese Überprüfungen auch verzichtet werden kann.

FTP

HTTP

NNTP

SMTP

Bei folgenden Modulen braucht keine gesonderte Protokollierung erfolgen:

Modul Begründung für Wegfall der Protokollierung
HTTPS Wird "in Reihe" mit einem HTTP-Proxy geschaltet, der bereits protokolliert.
Wartungsmodul Relevante Protokolldaten fallen nicht an.
IDS Protokolldaten werden auf dem IDS gesondert geliefert. Diese sollten nicht zentral gespeichert werden, um eine Umgehung von Modulen des Sicherheitsgateways zu unterbinden.

Tabelle: Module ohne gesonderte Protokollierung

Die Protokollierung wird stark vereinfacht, wenn die Software die freie Konfigurierbarkeit der "logging facility" (d.h. eine Kennzeichnung der einzelnen Log-Einträge) ermöglicht. Dadurch ist es möglich, jedem Dienst eine eindeutige Kennung zuzuordnen, anhand derer der Loghost die Protokolldaten auf verschiedene Dateien verteilen kann.

Werden die Protokolldaten über das Netz zu einem zentralen Loghost geschickt, so muss darauf geachtet werden, dass die Log-Einträge verschiedener Rechner und Dienste so gekennzeichnet werden, dass sie eindeutig zugeordnet werden können. Zusätzlich ist es sinnvoll, wenn alle Dienste ihre Protokolldaten fortlaufend nummerieren. Dadurch kann der Verlust bzw. die Manipulation von Protokolldaten erkannt werden.

Auswertung der Protokolldaten

Die Auswertung von Protokolldaten kann mit speziellen Tools unterstützt werden ("logfile analyzer"). Diese stellen die Protokolldateien auf unterschiedliche Weise dar, wobei sich die meisten Tools regulärer Ausdrücke bedienen, um relevante Daten aus den Protokolldateien zu extrahieren. Obwohl Listen mit sinnvollen regulären Ausdrücken zum Zwecke der Protokolldatenauswertung existieren, sind im Einzelfall meist Anpassungen notwendig.

Beispiele für verschiedene Ausgaben der Protokolldateien sind:

Neben der reinen Darstellung relevanter Protokolldaten existieren Tools, die abhängig von einer erkannten Auffälligkeit Aktionen (z. B. Ausführen eines Befehls) ermöglichen.

Auffällige Protokolleinträge sind beispielsweise:

Die Protokolldateien müssen regelmäßig ausgewertet werden und es sollte festgelegt werden, welche Auswertungen mindestens erfolgen sollen. Darüber hinaus sollten zumindest grobe Richtlinien dafür festgelegt werden, welche Schritte unternommen werden, wenn bei der Auswertung auffällige Einträge festgestellt werden.

Ergänzende Kontrollfragen: