Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
[Безопасность] Поддержка Syslog по протоколу TLS, UniFi Network
 
Есть ли идея, когда будет поддерживаться Syslog over TLS? С развитием облачных SIEM-сервисов это единственный вариант для безопасной передачи логов, когда локальные устройства недоступны для перенаправления трафика на syslog over tls.

Поддержка у конкурентов:
Meraki поддерживает syslog over TLS: https://documentation.meraki.com/Platform_Management/Dashboard_Administration/Operate_and­_Maintain/Monitoring_and_Reporting/Syslog_Server_Overview_an­d_Configuration#section_10
Juniper Networks поддерживает syslog over TLS: https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/syslog-over-tls.html
Aruba поддерживает syslog over TLS: https://arubanetworking.hpe.com/techdocs/AOS-S/16.10/ASG/KB/content/asg%20kb/cnf-sys-ser-wit-tls.htm

Возможные варианты реализации:
Лучшее решение: устройства Unifi могли бы отправлять зашифрованные syslog-сообщения напрямую на интернет-ориентированную точку приёма.

В противном случае можно реализовать поэтапный подход:
Network Application отвечает за перенаправление зашифрованных syslog-сообщений на точку приёма. Устройства отправляют незашифрованные (!) syslog в Network Application.
Gateway отвечает за перенаправление зашифрованных syslog-сообщений на точку приёма. Это исключает необходимость отправки их в Network Application вообще. Устройства отправляют незашифрованные (!) syslog на шлюз.

Проблема безопасности:
Когда Activity Logging (Syslog) установлен как "Internally Stored", это означает "отправку syslog-сообщений с устройств UniFi в приложения", что в сценарии с приложением, размещённым у Unifi, предполагает отправку syslog без шифрования в открытом виде на приложение?

Предыдущие посты:
https://community.ui.com/questions/Feature-Request-Revisiting-syslog-over-TLS-UniFi-and-EdgeMax/68dde58f-40e7-44eb-b2f0-79f93fa2377e
https://community.ui.com/questions/Feature-Request-syslog-over-TLS/67d4bb5f-d1b1-441f-b2cf-3e2f00c8ec82
https://community.ui.com/questions/Feature-Request-TCP-TLS-encryption-for-remote-syslog-and-netconsole/ab32919c-3554-470e-a212-9bf9955171bf
 
@UI-Team пожалуйста добавьте это с автоматическим получением сертификатов от Let's Encrypt
 
Meraki добавил Syslog over TLS в декабре прошлого года, версия 26.1.1+ https://community.meraki.com/t5/Security-SD-WAN/MX-26-1-1-First-beta/m-p/288028
 
Самое простое решение — вообще не использовать VPN при наличии поддержки TLS-соединений. В противном случае VPN — это скорее костыль, чем полноценное решение. Для UI-клиентов (например, поставщиков управляемых услуг) с множеством сайтов управление VPN в масштабе было бы болезненным. Для меня Syslog — единственное, для чего я вообще нужен VPN. Учитывая, что на уровне ОС уже есть встроенная поддержка Syslog over TLS, логично добавить некоторые параметры конфигурации, аналогично тому, как было сделано для RADSEC (Radius over TLS).
 
Нравится работать над длинным списком выдающихся функций, которые приносят реальную пользу реальным пользователям? Наверное, самое простое решение — использовать VPN для трафика на сервер логирования. UniFi PBR действительно позволяют указывать IP и порт для пункта назначения, так что вы можете быть довольно гибкими в том, что пойдёт через VPN.
 
Это значительно увеличило бы долю рынка Ubiquiti. Я установил бы шлюзы Ubiquiti на всех новых сайтах клиентов и постепенно заменил бы своё существующее оборудование Fortinet, если бы это стало возможным. К сожалению, команда, похоже, расставляет другие приоритеты.
 
@UI-Team, есть ли у вас отзывы по поводу проблемы с безопасностью?
 
С точки зрения высокоуровневой безопасности:

Устройства UniFi могут отправлять сообщения, содержащие данные доступа, авторизации и аутентификации. Сообщения о доступе и авторизации не должны передаваться в открытом виде по доверенным сетям и никогда не должны передаваться в открытом виде по недоверенным сетям. Сообщения аутентификации никогда не должны передаваться в открытом виде по каким-либо сетям.

Независимо от желания конечных пользователей, вышеперечисленное — это стандартный набор правил, который должен быть признан и принят производителем. Многие уже предоставляют возможности для выполнения вышеуказанных требований при правильной настройке со стороны разработчика. Пост выше указывает на конкретный международный набор стандартов, которые этим занимаются.

В отношении более раннего ответа мы не должны нуждаться в том, чтобы большое количество клиентов UI просили об этом в современные времена. Это должно применяться сквозным образом. Были сделаны улучшения в UniFi, но все еще существуют пробелы, и будем надеяться, что UI продолжает работать в этом направлении. Существуют различные области, и все они должны быть достаточно рассмотрены:

UniFi конечные устройства (точки доступа, коммутаторы, камеры и т. д.) до контроллера UniFi
Контроллер UniFi до другого сборщика логов, такого как решение SIEM
UniFi конечные устройства (точки доступа, коммутаторы, камеры и т. д.) до другого сборщика логов, такого как решение SIEM
 
Unifi — это про простоту, а такая фишка убрала бы необходимость в дополнительной инфраструктуре просто для того, чтобы всё было защищено. Особенно если учесть рост облачных SIEM-сервисов. SIEM event reporting — это встроенная функция, поэтому имеет смысл сделать её защищённой и доступной для тех, кто управляет множеством удалённых сетей и не хочет настраивать форвардер на каждом сайте. ISO 27001 и SOC также требуют шифрования при передаче данных, так что это встроенное решение, которое не требует настройки и обслуживания дополнительной инфраструктуры.

Есть несколько способов реализовать это поэтапно:

«Первая» версия — это позволить сетевому приложению форвардить события безопасности, чтобы они отображались в SIEM.

«Вторая» версия может быть включение форвардинга с устройства шлюза (то есть нужно обновить только шлюзы), который затем может отправлять данные через TLS-соединение.

«Финальная» версия — это когда конечные устройства подключаются напрямую к syslog-эндпоинту SIEM, убирая необходимость в транспортной инфраструктуре просто для обеспечения безопасности.
 
Я бы с удовольствием видел реализацию Syslog over TLS, чтобы мы могли передавать информацию и в наш SIEM.
 
Приоритет функции связан с тем, насколько сильно она влияет на базу пользователей UniFi. Вам нужно будет объяснить сценарий использования функции в экосистеме UniFi. Также нужно иметь в виду, что syslog отправляется отдельными устройствами, поэтому поддержка TLS должна быть добавлена в консоли UnifiOS, шлюзы, коммутаторы, точки доступа и любые другие устройства UniFi, использующие syslog.
 
@UI-Team
Страницы: 1
Читают тему (гостей: 1)