Ważna informacja: |
Urządzenia Zyxel switches obsługują standardowe wysyłanie dzienników za pomocą protokołu Syslog. Nie szyfrują jednak logów podczas transmisji. Jest to normalne: w systemach sieciowych bezpieczeństwo logów jest zwykle zarządzane na poziomie architektury, a nie samych urządzeń.
Obsługiwane protokoły
Urządzenia Zyxel oferują dwa sposoby wysyłania logów:
Syslog przez UDP (port 514) - szybki i prosty, ale bez potwierdzenia dostarczenia lub szyfrowania.
Syslog przez TCP (port 514) - bardziej niezawodny (z potwierdzeniem dostarczenia), ale również bez szyfrowania.
Obie opcje są przeznaczone do użytku w bezpiecznej sieci lokalnej.
Ryzyko związane z wysyłaniem logów poza sieć
Wysyłanie dzienników bezpośrednio do Internetu lub do usługi w chmurze bez ochrony wiąże się z ryzykiem:
Adresy IP i MAC, błędy logowania i inne wrażliwe dane mogą wyciec;
Możesz złamać zasady bezpieczeństwa danych (takie jak RODO lub ISO 27001);
Atakujący mogą przechwycić i odczytać ruch logów.
Jak bezpiecznie wysyłać logi
Aby zabezpieczyć logi wysyłane do systemów zewnętrznych, należy użyć jednej z poniższych metod:
- Wewnętrzny serwer syslog + przekierowanie TLS
Dzienniki trafiają najpierw do lokalnego serwera, który następnie wysyła je do chmury przy użyciu bezpiecznego protokołu (TLS lub HTTPS).
- Tunel VPN lub SSH
Dzienniki są wysyłane przez bezpieczny tunel sieciowy.
- Przekierowanie logów (np. rsyslog, Filebeat)
Agent pośredniczący odbiera dzienniki z switch i bezpiecznie przesyła je do chmury przy użyciu protokołu TLS lub HTTPS.
Zalecenia
| Scenariusz | Metoda |
|---|---|
| Sieć lokalna | Syslog przez UDP/TCP |
| Zewnętrzny lub chmurowy serwer dziennika | VPN / TLS / proxy |
| Integracja z SIEM | rsyslog / Filebeat |
| Podstawowa obsługa chmury | SecuReporter (HTTPS)* |
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.