Syslog ist ein Werkzeug um von IT Systemen Nachrichten zum Status einzusammeln. Dabei dient ein zentraler Syslogserver als Datensammelpunkt.
AVM FritzBox ist sehr verbreitet doch genau diese Funktion fehlt dem Router leider. AVM hat hier keine Lösung parat, obwohl dieses doch erheblich der Sicherheit und der Dokumentation dient. Selbst billige WLAN Access Points made in Fernost besitzen dieses Feature und das ist auch gut so.Warum ist Syslog so wichtig?
In einem zentralen SYSLOG Server werden die Systemmeldungen von Netzwerkgeräten abgelegt. In dem Fall das die Systeme einen Defekt haben kann dann von dem Syslog Server aus ein Event generiert werden und der Betreuer der Systeme wird informiert. Diese Events sind unterschiedlich kategorisiert und können von leicht bis schwerwiegend sein. Diese Alarmierung hilft Schaden abzuwenden. Dabei kann es ein Windows Rechner sein dessen Festplatte sich beginnt zu verabschieden oder aber auch ein Zugriffssystem, welches einen nicht autorisierten Zugriff feststellt. Das alleinige schreiben solcher Meldungen in eine Logdatei, wie es AVM auf der Fritz Box macht ist dabei keinesfalls die Lösung. Schon gar nicht, wenn auf die Logdatei aus gesicherter Umgebung nicht zugegriffen werden kann.
Gibt es Alternativen ?
AVM schreibt die Systemmeldungen in eine Datei, welche dann aus dem Webfrontend heraus ausgelesen werden können. Dieses ist prinzipiell kompliziert und mal Hand aufs Herz, wer macht das regelmäßig?

Nehmen wir einmal ein Beispielszenario an:
Jemand hat sich auf Ihrem Router Zugriff verschafft und nutzt die Telefonfunktionalität der FritzBox für Auslandsgespräche. Bevor sie es merken sind mehrere Hunderte bis Tausende Eure vertelefoniert und der Schaden bleibt bis zur Rechnung unentdeckt. Nach den Telefonaten löscht der Angreifer das Logfile
.
In einer SYSLOG Konstellation würde für so etwas eine Meldung auftauchen, der SYSLOG Server generiert ein Event daraus und alarmiert den Verantwortlichen.
Zugegeben, auch das muss konfiguriert sein und geht nicht von selbst. Das ist aber einfacher und wird NUR einmal getan. Ohne einen SYSLOG Server würden sie auf der FritzBOX bis zur Rechnung nicht mal sehen dass ein Angriff/ Fremdnutzung stattgefunden hat. Sie können es auch nicht nachvollziehen. Mit SYSLOG Server hätten Sie die Logs auf einem sicheren System liegen und hätten quasi in Echtzeit eine Alarmierung gehabt. Wertvolle Zeit zum Reagieren und Schaden abzuwenden.
Ich habe ein Skript erstellt welches die Webseite der FritzBox mit den Systemmeldungen ausliest und dieses Meldungen per Mail einmal am Tag versendet. Es ist noch in der Testphase aber läuft bereits seit einigen Tagen zuverlässig. Das ist schon einmal ein Anfang.
In einem weiteren Schritt müsste dieses Skript in kleineren Intervallen laufen und im sogenannten polling die Webseite mit den Systemmeldungen abfragen. Die Meldungen aufbereiten und dann an den zentralen SYSLOG Service senden. Da steckt noch etwas Zeit und Arbeit drin. Wenn es fertig ist – kann ich es mal zur Verfügung stellen.
Stay Tuned!

Links:

http://www.georg-keller.eu/nc/neuigkeiten-blog/news-archive/news-single/article/einsatz-von-syslog-auch-zu-hause-sinnvoll-teil-1.html


imported from www2.georg-keller.eu