SDSC Secure Syslog

SDSC Secure Syslog es un nuevo protocolo para el registro de actividad
diseñado para eliminar algunas de las carencias del syslog estándar de
la mayoría de sistemas de Unix, especialmente en lo referente a
rendimiento en grandes redes y a la seguridad.

syslog es el servicio de registro de actividad presente en la mayoría de
sistemas Unix. Originalmente diseñado por la universidad de California
para su sistema BSD UNIX, la versatilidad del mismo lo han convertido en
un componente ubicuo en la mayoría de versiones modernas de Unix. A
pesar de los años que han transcurrido desde la aparición de syslog,
éste ha evolucionado relativamente poco debido a que ha sido siempre un
servicio extremadamente flexible.

No obstante, las versiones clásicas de syslog tienen diversos problemas
cuando son consideradas desde el punto de vista de la seguridad: la
inexistencia de mecanismos de autenticación fuerte, la utilización de
UDP para la transmisión de los mensajes, la inexistencia de una
estructuración estándar en los mensajes y los problemas de rendimiento
cuando el servicio se encuentra en redes de gran tamaño.

Para resolver estos problemas con el tiempo han aparecido diversas
alternativas a syslog como syslog-ng y msyslog, entre otros. Estas
alternativas se han centrado en la posibilidad de utilizar el protocolo
TCP para la transmisión de los mensajes, funciones avanzadas de filtrado
y la posibilidad de registrar los mensajes directamente en una base de
datos SQL. msyslog además permite firmar digitalmente los registros.

SDCS Secure Syslog, desarrollado por el San Diego Supercomputer Center y
distribuido bajo una la licencia que permite su utilización sin
finalidades comerciales, es la primera implementación de syslog basada
en el RFC 3195. Ofrece plena compatibilidad descendente con las
versiones tradicionales de syslog y, además, añade una serie de
prestaciones especialmente diseñadas para dar soporte a un gran volumen
de tráfico y a los requerimientos de seguridad:

-Utilización de un formato estándar de mensaje, siempre que sea posible.

-Utilización de TCP con posibilidad de autenticación. Esto se consigue
encapsulando los paquetes del protocolo BEEP. Cifrado del tráfico.

-Utilización del DNS para descubrir la existencia de servidores que
actúan como repositorio de los registros de actividad.

-Autenticación de los mensajes como paso previo a su almacenamiento.

-Diseñado para soportar ataques de denegación de servicio así como
responder de forma predecible ante posibles desbordamientos de búfer.

-Diseñado para dar soporte a millones de registros por hora.

Más información:

SDSC Secure Syslog Home Page
http://security.sdsc.edu/software/sdsc-syslog/

SCSC Secure Syslog
http://slashdot.org/article.pl?sid=02/12/05/1554209

BEEP, a new Internet standards-track protocol framework for new Internet
Applications
http://www.beepcore.org/

Reliable Delivery for syslog
http://www.ietf.org/rfc/rfc3195.txt
ftp://ftp.rfc-editor.org/in-notes/rfc3195.txt

The BSD Syslog Protocol
ftp://ftp.rfc-editor.org/in-notes/rfc3164.txt

syslog-ng
http://www.balabit.hu/en/downloads/syslog-ng/

msyslog
http://sourceforge.net/projects/msyslog/

metalog
http://metalog.sourceforge.net/

Acerca de Hispasec

Hispasec Ha escrito 6966 publicaciones.

• View all posts by Hispasec →
• Blog