Überwachungsrichtlinien
Im Rahmen eines Sicherheitskonzepts für die Integration eines Geräts in ein Netzwerk sollte festgelegt werden, welche Stufe des Sicherheitsaudits geeignet ist, um potenzielle Angriffe zu erkennen. Sicherheitsaudit bedeutet, dass ein Industrie-PC Audit-Protokolle über Ereignisse erstellt, sobald mit dem Gerät interagiert wird. So können beispielsweise Datei- und Ordnerzugriffe protokolliert werden, jedes Mal, wenn ein Benutzer auf die ausgewählten Dateien oder Ordner zugreift.
Diese Protokolle sind zur Überprüfung vorgesehen, um Abweichungen von der normalen Nutzung zu erkennen, die auf einen Angriff hindeuten könnten, oder zu forensischen Zwecken, um Details über einen Angriff zu rekonstruieren. Die Überprüfung kann sofort oder in regelmäßigen Abständen durch automatisierte Mechanismen oder manuell erfolgen. Es hängt von der Umgebung und der Anwendung ab, welche Abweichungen relevant sind. Daher werden Regeln, die beschreiben, welche Aktionen protokolliert werden, üblicherweise mit Hilfe von Überwachungsrichtlinien konfiguriert.
Die Konfiguration zu vieler Regeln kann jedoch zu einer Art Blindheit führen. Die Protokolle können mit irrelevanten Einträgen überfrachtet werden, wobei die relevanten Einträge von Menschen leicht übersehen oder von automatischen Überwachungsmechanismen nicht schnell genug verarbeitet werden. Manchmal ist es eine gute Praxis, Protokolle an eine zentrale Stelle zur automatischen Überprüfung und/oder Archivierung weiterzuleiten, um unter anderem eine begrenzte Protokollkapazität nicht zu erschöpfen.
Datei- und Ordnerzugriffe sowie Benutzereingaben können in TwinCAT/BSD protokolliert werden. Jedes Mal, wenn ein Benutzer eine bestimmte Aktion ausführt, wird das Ereignis gelogged. Diese Ereignis-Protokolle sind vor allem für die Überwachung des Systems, Erkennung unberechtigter Zugriffe und für die nach einem Sicherheitszwischenfall anschließende Analyse von Bedeutung.
Lassen Sie den Audit-Daemon nach jedem Systemstart automatisch starten:
doas ee /etc/rc.confauditd_enable="YES"Starten des Audit Daemons für die aktuelle Session:
doas service auditd startIn /etc/security befinden sich die Konfigurationsdateien des Audit-Daemons, mit denen sich das Audit feingranular einstellen lässt. Wichtig sind hier vor allem zwei Dateien:
/etc/security/audit_control: Allgemeine, systemweite Audit-Einstellungen.
In den Standardeinstellungen werden die Audit-Protokolle in /var/audit gespeichert, bei der Belegung von 5 % des Speichers für Audit-Dateien erscheint ein Warnhinweis und nach 10 Monaten werden die Audit-Protokolle entfernt.
Mit zroot/var/audit besteht bereits ein eigenes ZFS-Dataset für die Audit-Protokolle. Es ist ratsam, für dieses Dataset ein Quota, d.h. ein Speicherlimit festzulegen. Auch in der Audit-Standardkonfiguration können bereits große Mengen Daten anfallen – selbst bei Berücksichtigung der automatischen Löschung der Audit-Protokolle nach 10 Monaten. Um das Speicherlimit dieses Datasets zu limitieren und auf diese Weise freien Speicher für die anderen, wichtigen Datasets zu gewährleisten, kann folgendes Kommando genutzt werden, um den Speicherplatz für Auditprotokolle auf beispielsweise 2 GB zu begrenzen:
doas zfs set quota=2G zroot/var/auditAlternativ oder auch zusätzlich zu dieser Maßnahme kann der Zeitraum bis zum Löschen der Audit-Protokolle in /etc/security/audit_control verkürzt werden.
doas ee /etc/security/audit_controlexpire-after:10M expire-after:2M/etc/security/audit_user: Audit-Einstellungen für einzelne Benutzer
Hier können für einzelne Nutzer separate Audit-Regeln definiert werden. Eine detaillierte Beschreibung der Audit-Regeln und eine Auflistung der Optionen, mit denen Auditregeln für Benutzer definiert werden können, befindet sich im FreeBSD-Handbuch: https://docs.freebsd.org/en/books/handbook/audit/