SDSC Secure Syslog
SDSC Secure Syslog es un nuevo protocolo para el registro de actividad diseñado para eliminar algunas de las carencias del syslog estándar de la mayoría de sistemas de Unix, especialmente en lo referente a rendimiento en grandes redes y a la seguridad.
Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix. Originalmente diseñado por la universidad de California para su sistema BSD Unix, la versatilidad del mismo lo ha convertido en un componente ubicuo en la mayoría de versiones modernas de Unix. A pesar de los años que han transcurrido desde la aparición de syslog, éste ha evolucionado relativamente poco debido a que ha sido siempre un servicio extremadamente flexible.
No obstante, las versiones clásicas de syslog tienen diversos problemas cuando son consideradas desde el punto de vista de la seguridad la inexistencia de mecanismos de autenticación fuerte, la utilización de UDP para la transmisión de los mensajes, la inexistencia de una estructuración estándar en los mensajes y los problemas de rendimiento cuando el servicio se encuentra en redes de gran tamaño.
Para resolver estos problemas con el tiempo han aparecido diversas alternativas a syslog como syslog-ng y msyslog, entre otros. Estas alternativas se han centrado en la posibilidad de utilizar el protocolo TCP para la transmisión de los mensajes, funciones avanzadas de filtrado y la posibilidad de registrar los mensajes directamente en una base de datos SQL. Msyslog además permite firmar digitalmente los registros.
SDCS Secure Syslog, desarrollado por el San Diego Supercomputer Center y distribuido bajo una la licencia que permite su utilización sin finalidades comerciales, es la primera implementación de syslog basada en el RFC 3195. Ofrece plena compatibilidad descendente con las versiones tradicionales de syslog y, además, añade una serie de prestaciones especialmente diseñadas para dar soporte a un gran volumen de tráfico y a los requerimientos de seguridad
-Utilización de un formato estándar de mensaje, siempre que sea posible.
-Utilización de TCP con posibilidad de autenticación. Esto se consigue encapsulando los paquetes del protocolo BEEP. Cifrado del tráfico.
-Utilización del DNS para descubrir la existencia de servidores que actúan como repositorio de los registros de actividad.
-Autenticación de los mensajes como paso previo a su almacenamiento.
-Diseñado para soportar ataques de denegación de servicio así como responder de forma predecible ante posibles desbordamientos de búfer.
-Diseñado para dar soporte a millones de registros por hora.
