RFC: 5426
Оригинал: Transmission of Syslog Messages over UDP
Категория: Предложенный стандарт
Дата публикации:
Автор:
Перевод: StLeutnant

RFC 5426, Страница 5 из 7

5. Вопросы безопасности

Использование данной спецификации в незащищенной сети НЕ РЕКОМЕНДУЕТСЯ. Несколько соображений, касающихся безопасности Syslog, обсуждаются в RFC 5424. В этом разделе рассматриваются вопросы безопасности, относящиеся именно к транспорту UDP для Syslog. Остроту некоторых проблем безопасности, поднятых в данном разделе, можно смягчить путем использования IPsec, как это определено в RFC 4301.

5.1. Аутентификация отправителя и подделка сообщений

Обсуждаемый транспортный механизм не предусматривает строгую аутентификацию отправителя. Получатель сообщений Syslog не может проверить действительно ли сообщение было отправлено от заявленного отправителя или же пакет был послан с другого устройства. Это может также привести к случаям ошибочной идентификации отправителя, когда неправильно сконфигурированная машина посылает сообщения Syslog, представляясь в них именем другой машины.

Этот транспортный механизм не обеспечивает защиту сообщений Syslog от подделки. Злоумышленник может передавать сообщения Syslog получателю либо от имени машины, с которой действительно должны отправляться сообщения, либо от имени любой другой машины.

Злоумышленник может попытаться скрыть истинный характер атаки среди многих других сообщений. Так, например, злоумышленник может начать генерировать поддельные сообщения, указывающие на проблему на некоторой машине. Это может отвлечь внимание системных администраторов, которые будут тратить свое время на расследование несуществующих проблем. За это время злоумышленник может быть в состоянии скомпроментировать другую машину или другой процесс на той же самой машине.

Кроме того, злоумышленник может генерировать ложные сообщения Syslog с неверным состоянием системы. Так, например, злоумышленник может остановить критический процесс на машине, который генерирует уведомления о своём завершении. Затем злоумышленник может сгенерировать поддельное уведомление о том, что процесс был перезапущен. Системные администраторы могут поверить этой дезинформации и не проверить действительно ли процесс был перезапущен.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.