Re: logging ?ber serielle Schnittstelle

Rainer Duffner <rainer(at)ultra-secure.de> wrote:
> Am Fr, den 03.09.2004 schrieb Oliver Fromme um 12:53:
> > Sven M?ller <sven(at)hitnet.rwth-aachen.de> wrote:
> > > Hallo zusammen!
> > >
> > > Ich möchte gerne Syslog Meldungen von Linux Rechnern auf meinen Freebsd
> > > Rechner über die serielle Schnittstelle loggen.
> >
> > Mir ist nicht ganz klar, was Du meinst. Hast Du für jeden
> > Deiner Linux-Rechner einen seriellen Port in Deinem Free-
> > BSD-Rechner, mit dem er verbunden ist? Oder wie? Und vor
> > allem: warum?
>
> Ich nehme an, das geschieht in dem Glauben, das sei besonders sicher.

Ja, das war auch mein Verdacht. Aber um ehrlich zu sein,
finde ich das eher absurd: Es ist relativ aufwendig, und
vor allem skaliert es sehr schlecht.

> Grundidee ist, das man auf die Daten, die über die serielle gehen nicht
> mehr zugreifen kann, sie mithin unveränderbar sind.

Das kann ich jetzt nicht ganz nachvollziehen. Daten, die
über einen Ethernet-Port rausgehen, sind nicht mehr oder
weniger manipulierbar als solche, die über eine serielle
Schnittstelle rausgehen. Bei physikalischem Zugang sind
Man-in-the-middle-Angriffe in beiden Fällen denkbar (sofern
man keine Maßnahmen wie Verschlüsselung ergreift), und im
Falle einer simplen seriellen Verbindung sogar einfacher
als bei einer Ethernet-Verbindung. Ohne physikalischen
Zugang kann man in beiden Fällen nichts ausrichten, sofern
sich zwischen den beteiligten Rechnern keine aktiven Kom-
ponenten befinden (sondern z.B. nur ein dummer Hub). Mani-
pulationen sind natürlich auf dem sendenen und dem empfan-
genden System denkbar, wenn man über geeignete Rechte ver-
fügt (z.B. root-Rechte), aber das ist unabhängig vom Über-
tragungsweg dazwischen.

Wenn es um Sicherheit geht, wäre eine mgliche Lösung, alle
syslog-Pakete zu verschlüsseln. Das geht am einfachsten,
indem man syslog-ng und stunnel verwendet (beides ist in
der Ports-Collection). Ich habe auch gehört, daß es be-
reits mit dem Standard-syslog, netcat und stunnel gehen
soll, aber das habe ich noch nicht ausprobiert. Ein Tun-
neln durch ssh wäre sicherlich auch mit einigem Bastel-
aufwand realisierbar.

Darüberhinaus kann man den syslog in ein chroot setzen, im
Falle von FreeBSD besser noch in ein jail.

Wenn man einen brauchbaren (VLAN-fähigen) Switch hat, ist
es eine gute Idee, sich ein eigenes Log-VLAN einzurichten.
Das bietet zwar per-se noch keine Sicherheit, schränkt aber
Zugriffsmöglichkeiten ein, indem man z.B. solchen Ports,
die mit syslog nichts zu schaffen haben, erst gar keinen
Zugang zum Log-VLAN ermöglicht.

Welche Wege möglich und sinnvoll sind, hängt natürlich von
der jeweiligen Netzstruktur ab.

> Nach den Ergebnisse von Google zu urteilen, ist die Syslog-over-Serial
> Variante nicht wirklich verbreitet.
> In der Praxis sind wohl zuviele Probleme aufgetreten oder der Aufwand
> war wesentlich größer als der erhoffte Ertrag.

Das glaube ich gerne.

Letztendlich ist muß man sich immer fragen, ob man diesen
Aufwand wirklich treiben muß, und ob es wirklich einen
nennenswerten Vorteil bringt. Das glaube ich nämlich in
diesem Fall eher nicht.

Wenn man wirklich paranoid ist, sollte man die syslog-Mel-
dungen auf einen Zeilendrucker mit Endlospapier ausgeben.
Das ist auf elektronischem Weg garantiert nicht mehr mani-
pulierbar, und von der Geschwindigkeit her dürfte ein mo-
derner Drucker problemlos eine serielle Schnittstelle in
den Schatten stellen. Außerdem hat man, wenn man sich in
der Nähe aufhält, sofort eine akustische Rückmeldung über
die Logging-Aktivität.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
With Perl you can manipulate text, interact with programs, talk over
networks, drive Web pages, perform arbitrary precision arithmetic,
and write programs that look like Snoopy swearing.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message