Nieuws
image

FreeBSD gaat hackers slimmer monitoren

dinsdag 17 januari 2012, 14:19 door Redactie, 5 reacties

Besturingssysteem FreeBSD wordt voorzien van betere logging-mogelijkheden om beveiligingsincidenten op te slaan. Pawel Jakub Dawidek heeft een beurs gekregen om de auditdistd daemon te implementeren. De FreeBSD audit faciliteit biedt een gedetailleerde mogelijkheid om security-gerelateerde gebeurtenissen vast te leggen. Het loggen van security-incidenten is belangrijk voor "post mortem" analyse in het geval van een gehackt systeem.

Op dit moment kan de kernel auditgegevens naar een bestand kopiëren of ze via /dev/auditpipe beschikbaar maken. Omdat audit-logs lokaal door de kernel worden bewaard, kan een aanvaller die toegang tot het systeem heeft, zijn activiteiten uit de logs verwijderen.

Het auditdistd project moet op een veilige en betrouwbare wijze audit-gegevens van de lokale auditdistd daemon naar een remote auditdistd daemon sturen. In het geval van een gehackt systeem is het daardoor nog steeds mogelijk om de activiteiten van de aanvaller via de informatie op het remote systeem te monitoren, aangezien die als enige nog is te vertrouwen. Het project moet in februari van dit jaar zijn afgerond.

Reacties (5)
17-01-2012, 14:23 door SirDice
Lijkt me een prima aanvulling.

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/audit.html
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html
18-01-2012, 14:58 door Anoniem
Maar is het niet gewoon eenvoudiger om de logs via SCP / SSH naar een remote locatie heen te schrijven?
Wat zou het voordeel zijn van auditdistd t.o.v. deze methode?
18-01-2012, 17:02 door SirDice
Door Anoniem: Maar is het niet gewoon eenvoudiger om de logs via SCP / SSH naar een remote locatie heen te schrijven?
Wat zou het voordeel zijn van auditdistd t.o.v. deze methode?
Via SCP/SSH kun je het alleen 'batched' doen. In theory is het dan mogelijk om tussendoor het systeem te hacken en de logs te verwijderen. Dit stuurt meldingen direct door naar een (centrale) server waardoor je geen enkele mogelijkheid meer hebt om tussen de batch verwerkingen door iets aan te passen. Het is eigenlijk een soort syslog maar dan specifiek voor audit-trails (en hopelijk out-of-the-box een stuk veiliger dan syslog).

Je zou zoiets ook kunnen doen via bijvoorbeeld:

cat /dev/auditpipe | ssh audit@server auditreceive.sh
Maar dat vergt behoorlijk wat handwerk en scripting gedoe. Als ik het idee van dit nieuwe systeem een beetje begrijp hoef je straks alleen even de client en server te configureren (ik neem aan zoiets als een IP adres en wellicht een sleutel) en de rest gaat vanzelf.
18-01-2012, 20:17 door Anoniem
Pfff, je kan ook gewoon remote sysloggen hoor. En in de ports collectie staat rsyslog die dat netwerkverkeer keurig versleuteld
19-01-2012, 10:50 door SirDice
Door Anoniem: Pfff, je kan ook gewoon remote sysloggen hoor.
De audit daemon logt niet via syslog, dus nee, dat kan niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search