Politique de Logging

[InstinctHack]

Io,

Un point important dans la vie d'un serveur : les log.
Ils représentent la totalité de l'activité de l'ordinateur, mais voilà comment sécuriser les logs si votre machine venais à ếtre pirater ?

certains disent qu'il est possible d'authentifier les log pour les stocker sur une autre machine en étant à peu près sûr qu'ils sont véritables.
d'autres disent qu'il faut tous logger.
d'autre encore qu'il serais possible de remplir le HDD.
et les sadiques (autoH1 && cc MacYavel) imaginent des softs pour mettre de la merde dans les log.

voilà, c'est un sujet pour débattre sur les logs et leur sécurité, alors venez troller avec nous =D

[notfound]

La discution sur IRC étant terminée, elle peut continuer ici. Donc n'hésitez pas à partager vos idées.

Le sujet, en gros, est : Comment prouver l'authenticité d'une donnée (ici des logs) provenant d'une machine infectée ? car l'idée était de stocker les logs sur un HDD disponible sur une 2e machine du LAN.

Ceci étant dit, il est aussi possible de proposer d'autres idées pour le stockage des logs. En local, la question a déjà été soulevée, et un attaquant pouvait rm ou polluer. Sur le web (pastebin d'après khaled) le service pourrait être down. Et via les mails, qui semble être une alternative satisfaisante.

[InstinctHack]

Comment prouver l'authenticité d'une donnée (ici des logs) provenant d'une machine infectée ?

Impossible. Par définition.
On peux tous au plus compliquer la tache à l'attaquant. (m'enfin, là on serais à un niveau au dessus du sk moyen :') et meme du pentester moyen </troll> )

Sur le web (pastebin d'après khaled) le service pourrait être down.

Sauf que la redondance est possible et que la disponibilité de ce genre de service est relativement élévé.

Et via les mails, qui semble être une alternative satisfaisante.

Les MTA c'est chiant à configurer :> (pour ma très maigre expérience)

[Jek0]

La sécurisation des logs c'est avant tout la sécurisation de ton réseau, donc potentiellement si ta machine est infectée, les logs générés par cette même machine seront compromis.

Après derrière ça, certaines boites font en sorte de mettre en place un réseau juste pour le log management, mais c'est pas vraiment le cas de tous le monde, ça permet pas de check l’authenticité de tes logs, mais ça évite qu'ils soit compromis pendant le transit et/ou qu'une machine compromise balance de (trop) de la merde.

Btw, j'vais balancer ma doc fonctionnelle sur les logs que j'ai pondu pour mon mémoire d'ici fin aout début septembre.

[0pc0deFR]

De mon point de vu, ça dépend ce que l'on souhaite récupérer des logs. Si l'on veut une preuve d'intrusion, l'attaquant qui va s'introduire dans le serveur ne pourra dans un premier temps pas supprimer/modifier les logs (jusqu'à élévation de privilège). Ces premières informations qui peuvent prouver l'intrusion peuvent donc être considérées comme sûr. Maintenant, si ce qu'on veut c'est la preuve d'un maintien d'accès frauduleux sur le serveur, là c'est déjà plus compliqué effectivement car cela implique que l'intrus est déjà dans la machine et qui plus est, bien installé sur cette dernière. Comme dit plus haut, dans ce cas, l'idée est de compliquer la tache à l'intrus mais rien ne peut être sûr. Reste les logs réseaux (routeurs, firewalls, switchs, etc) qui peuvent démontrer qu'un machine est compromise mais qui ne démontreras pas comment.

Pour ce qui est des MTA c'est assez chiant, c'est sûr mais ça ce fait. Le plus simple à mon gout c'est de stocker ça sur un serveur de sauvegardes sur le réseau (ou deux si vous avez peur de la dispo).

[Jek0]

Sinon y'a moyen d'avoir un résumé viteuf de la discussion irc (les truc utiles pas les troll sur le sujet :p) ?

[notfound]

Voici un bout de la discussion sur IRC :

http://n-pn.fr/5007773101

Et il n'y a eu aucun troll ! Et oui, on sait aussi être sérieux et constructif.