Enviando información de Syslog / SNMP a través de Internet usando el puerto UDP estándar 514

Navega tus respuestas
2

Estoy estudiando la supervisión de un Windows VPS enviando mensajes Syslog a un Synology NAS , que puede generar alertas de correo electrónico y demás. También me gustaría usar SNMP para generar estadísticas de salud y ver tendencias a lo largo del tiempo. Se supone que proporciona detección de intrusiones, así como monitoreo de salud.

Después de evaluar muchos Syslog agentes de Windows , todavía no he encontrado un solo agente de software gratuito que admita TCP a través de HTTPS (mientras que el servidor Synology sí lo admite). Casi todos están codificados al puerto UDP 514 (bueno, puedo cambiar el puerto en algunos, pero no lo considero útil).

Ya que estoy planeando enviar mensajes de registro de eventos de Windows convertidos, no me siento cómodo enviándolos sin cifrar (pueden contener apilados completos y cosas así).

He buscado formas de limitar el riesgo, y lo único que puedo encontrar es configurar el firewall para limitar el envío de mensajes de Syslog a mi dirección IP. Para SNMP, el firewall puede limitarse a solo aceptar solicitudes de mi cliente. Una alternativa es un producto comercial con algunos hacks (el cual no me siento muy cómodo con).

Lo extraño es que parece que UDP 514 es el estándar e incluso se recomienda consultar las respuestas en este hilo , al igual que SNMP.

¿Soy demasiado cuidadoso? Parece que el resto del mundo no tiene ningún problema con UDP? ¿Los proveedores de hosting de servidores VPS evitan que el software de rastreo en la red interna (virtual)? ¿O es seguro usar UDP después de todo?

    
pregunta Louis Somers 19.08.2013 - 01:38
fuente

2 respuestas

3

Tienes algunas opciones:

  1. El primero que me viene a la mente es crear un túnel SSH desde su servidor Windows a su servidor Syslog y enviar sus registros de sistema a localhost: 1514, que se canalizaría al servidor de registro: 514. Esto cifraría los datos de Syslog en un túnel SSH. Puede hacerlo de varias maneras, como un script por lotes en el inicio para invocar PuTTy, como este enlace

  2. En segundo lugar, que es lo que hago, es usar una herramienta como Logstash para recibir syslogs y leer los archivos de registro localmente y configurar un resultado sobre HTTPS . Logstash requiere Java Runtime, pero es muy potente, usa muy pocos recursos y es extremadamente personalizable.

  3. Puedes pagar por syslog-ng professional, que realizará TCP sobre 514 y puedes aplicarle TLS / SSL.

respondido por el Mike Mackintosh 19.09.2013 - 15:56
fuente
1

Puede utilizar el agente OSSEC , que es un agente de detección de intrusiones basado en host de código abierto que no solo puede monitorear los archivos de registro sino que también tiene una amplia Lista de reglas para detectar otros ataques, como el escaneo de puertos y el reconocimiento. Debe configurar un servidor separado para el agente OSSEC en su red y luego transferir las alertas del servidor OSSEC a su servidor de syslog. La razón para el servidor separado es porque OSSEC encripta todo el tráfico utilizando el algoritmo de encriptación blowfish y el servidor OSSEC primero debe descifrar el tráfico antes de transferirlo al servidor de syslog. Todo el tráfico se puede transferir de manera segura desde su VPS a su red utilizando una solución de código abierto que también tiene un soporte de lista de correo activo.

    
respondido por el void_in 19.09.2013 - 16:13
fuente

Lea otras preguntas en las etiquetas

¿Ingresando los ID de usuario en la URL? wpa2-psk + aislamiento inalámbrico = ¿conexión segura?