Biztonságos naplózóprotokollt fejlesztett ki a BalaBit
A BalaBit bemutatta a Reliable Log Transfer Protocol technológiát, amellyel többé nem vesznek el a naplóüzenetek.
A naplóüzenetek gyűjtése egyes cégek életében kritikus fontosságú: az üzleti kritikus folyamatok megkövetelhetik a folyamatos naplózást, a logok a törvényi szabályozásoknak megfelelés bizonyítékaiként szolgálhatnak, valamint számos IT-biztonsági eszköz működésének alapját képezik. Sok esetben a naplózás leállása magának a naplózott folyamatnak a megállását is eredményezi, például egy bankautomata sem üzemel akkor, ha leállt a naplózás, hiába van minden rendben a készülékkel.
A naplózás több okból is leállhat. Ha nem megbízható protokollon (pl. UDP) keresztül történik a naplózás, vagy ha túl nagy a hálózati terhelés, az adatok egyszerűen elvesznek, de gyakori probléma az alkalmazások újraindulása, a hálózati kapcsolat megszakadása is. Előfordulhat hogy a központi naplózószerver valamilyen okból nem tud kellően nagy mennyiségű naplóüzenetet egyszerre feldolgozni, ennek szintén üzenetvesztés lehet a vége. "Mivel az IT biztonsági elemzések csak annyira lehetnek jók, amennyire a hálózati eszközökről és alkalmazásokról gyűjtött adatok, ezért a naplóüzenetek hibátlan gyűjtését és tárolását nem lehet eléggé hangsúlyozni" - mondta Györkő Zoltán, a BalaBit IT Security üzletfejlesztési igazgatója.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Ezt a problémát próbálja meg orvosolni a Reliable Log Transfer Protocol (RLTP), amely a syslog-ng Premium Edition legújabb változatában (4 F2) mutatkozik be. A BalaBit szerint az RTLP a kliens, a relay és a szerver oldalán is képes megelőzni az üzenetvesztést még akkor is, ha a hálózati kapcsolat szünetel. A protokoll ugyanis érzékeli a fogadóoldalon legutoljára beérkezett üzenetet, és a kapcsolat helyreállása esetén ettől a ponttól kezdve folytatja a logok küldését.
A syslog-ng Premium Edition helyi merevlemezre menti az üzeneteket, ha a központi naplószerver vagy a hálózati kapcsolat elérhetetlenné válik. Amikor újra kiépül a kapcsolat, a syslog-ng automatikusan elküldi az üzeneteket a szervernek az eredeti sorrendben és csak akkor törli őket, ha a célszámítógép visszaigazolta azok megérkezését. A syslog-ng folyamatosan figyeli, van-e szabad hely a kimenő pufferben új üzenetek számára. Ha a kimenő puffer tele van, a cél valamiért nem tud üzeneteket fogadni, mert például a célszerver túlterhelt, vagy megszakadt a hálózati kapcsolat. Ilyen esetben a syslog-ng felfüggeszti az üzenetek beolvasását a forrásból, amíg nem sikerül elküldeni a korábbi üzeneteket a célszervernek.
A syslog-ng kváziszabvánnyá vált az informatikai, távközlési és pénzügyi szektorban, a szoftvert használó szervezetek száma meghaladja a 650 ezret a BalaBit szerint. A szoftver elérhető nyílt forrású szoftverként is, LGPL licenc alatt, de az RLTP egyelőre csak a "fizetős" verzióban kapott helyet.