Используйте выделенный сервер регистрации

Один из наиболее эффективных приемов, позволяющих лишить атакующего возможности изменять файлы регистрации, включает установку выделенного сервера регистрации. Купить дедик (выделенный сервер) можно в интернет-магазине. Особо важные системы, наподобие доступных из Internet сервера DNS, Web, почтового и т.д., должны быть сконфигурированы так, чтобы переадресовывать свои файлы регистрации на отдельную машину в вашей DMZ. Критически важные внутренние системы должны посылать свои файлы регистрации группе отдельных систем регистрации во внутренней сети. Этот прием помогает централизовать файлы регистрации для лучшего анализа, а также значительно ограничивает способность атакующего забавляться с файлами регистрации. Если атакующие захватывают право доступа root в UNIX-системе или Adiministrator на машине с Windows NT/2000, они не смогут изменить файлы регистрации, потому что те находятся в другом месте. Атакующий модифицирует эти файлы, только взломав сервер регистрации. Поэтому, применяя для регистрации отдельную машину, мы просто подняли планку для атакующего. Конечно, сервер регистрации следует защитить. Убедитесь, что вы применили патчи безопасности и закрыли все неиспользуемые порты на сервере регистрации.

Хотя у вас не будет возможности направлять на отдельный сервер файлы хронологии оболочки, utmp, wtmp и last log UNIX-систем, вы вправе переадресовывать туда все простые файлы регистрации. При настройке UNIX-системы для использования отдельного сервера регистрации следует сконфигурировать syslogd так, чтобы он знал, куда направлять файлы регистрации. Убедитесь, что в вашем файле /etc/services, связывающем syslog с его стандартным UDP-портом 514, имеется строка: syslog 514/udp

Затем добавьте в файл syslog. conf запись, которая велит syslog переадресовывать конкретные типы сообщений на отдаленный сервер. Для сообщений ядра в syslog. conf нужно поместить следующую строку: Kern.* [имя_компьютера_для_отдаленной_регистрации]

Для гарантии того, что атакующий не сможет отключить регистрацию атакой DNS, указанное выше имя отдельного компьютера необходимо включить в / et с / hosts с тем, чтобы обращения к нему разрешались локально. Это локальное разрешение имени регистрационного сервера не должно быть проблемой высокого руководства, потому что ваш централизованный регистрационный сервер не будет менять свой IP-адрес очень часто.

В Windows NT сервис EventLog может быть заменен совместимой с Windows NT версией syslog с функцией централизации доступа к файлам регистрации. Есть несколько программ типа syslog для NT, включая коммерческий инструмент SL4NT на www.netal.com/sl4nt.htm и бесплатный syslog для NT от Киви (Kiwi) на www.kiwi-enterprises.com. Используя эти инструментальные средства, файлы регистрации событий легко послать из системы Windows NT/2000 отдельным syslog-серверам.