Reliable Event Logging Protocol

Informations
Fonction	Transfert de journaux d'événements
Sigle	RELP
Auteur(s) / Autrice(s)	Rainer Gerhards
Port	Non standard

Reliable Event Logging Protocol ou RELP est un protocole définissant un service de journaux d'événements d'un système informatique.

Historique

RELP est développé à partir de 2008 par Rainer Gerhards (en)^[2], le créateur de Rsyslog. Il prolonge l'ébauche Internet de protocole Simple Event Logging Protocol ^[3], proposée en février 2003 sur la liste de diffusion lOganalysis par la même personne. Il faut probablement y voir un lien avec le protocole Simple Event Transfer Protocol^[4], propriété de Adiscon GmbH dont l'actionnaire principal est Rainer Gerhards^[5].

L'auteur de RELP justifie sa création par les constats suivants ^[2] :

le RFC 3195 ajoute trop de complexité non nécessaire pour un transport fiable et léger (voir protocole BEEP - RFC 3080)
limitation technique inhérente au protocole de transport TCP ^[6]
lenteur des processus de décisions de l'IETF.

Détails techniques

Le protocole syslog est défini par le RFC 5424. Construit sur une architecture sur 3 couches (contenu, application et transport), il s'agit d'un protocole de communication de type simplex c'est-à-dire monodirectionnel. Dès lors, aucun acquittement n'est possible. Historiquement, il s'appuie sur le mode de transport UDP. Pour des raisons d'interopérabilité, le maintien de ce mode de transport est requis (RFC 5426). Ce choix devait permettre de limiter la charge de travail pour des équipements embarqués pouvant générer beaucoup de message.

L'utilisation complémentaire du mode de transport TCP devait permettre d'assurer une meilleure assurance concernant la bonne livraison ce que contredit Rainer Gerhards.

Sécurité

Le protocole syslog basé sur UDP souffre de nombreux problèmes de sécurité dont voici une liste non exhaustive :

perte d'intégrité (spécification autorisant la troncature les messages selon leur taille, modification intentionnelle (en) par un attaquant ou accidentelle lors du transit) ;
perte de disponibilité : perte de message sans avertissement, possibilité d'entraîner une congestion du réseau (inondation intentionnelle par un attaquant ou bien accidentelle par une mauvaise configuration), manque d'information pour détecter une configuration incorrecte (p. ex. mauvaise cible, boucle de transfert), interblocage entre le démon syslogd avec un autre processus disposant d'une priorité maximale (cas des machines *nix)) ;
perte de confidentialité : message non chiffré, possibilité d'attaque par rejeu.

Le RFC 5425 recommande de chiffrer les messages et d'authentifier la cible en utilisant TLS comme protocole de transport pour aboutir au protocole hybride syslog over TLS. Cette option est disponible dans l'implémentation de RELP par Rsyslog^[7].

Enfin une obfuscation est possible si l'émetteur ne prend pas en compte la capacité finale de stockage et de traitement humaine, assistée éventuellement par un SIEM. Ceci peut être intentionnel pour masquer l'activité d'un attaquant.

Implémentations

RELP est supporté par Rsyslog depuis la version 3.15.0^[6]. Initialement il ne vise que à permettre l'échange de messages entre 2 instances de Rsyslog. Cependant, Rsyslog étant un standard de facto, d'autres outils supportent ce protocole. Pour faciliter sa dissémination, le projet Rsyslog a mis a disposition et maintient la bibliothèque écrite en C librelp.

Voir aussi

Rsyslog

Notes et références

↑ (en) « 1410505 - RELP port for rsyslog », sur redhat.com (consulté le 18 mai 2023).
↑ ^{a et b} (en) « RELP - the reliable event logging protocol », sur Rainer Gerhards, 13 mars 2008 (consulté le 18 mai 2023).
↑ http://www.monitorware.com/en/workinprogress/selp.txt
↑ (en) « SETP », sur Adiscon, 31 juillet 2004 (consulté le 18 mai 2023).
↑ (en) « Adiscon », sur Adiscon (consulté le 18 mai 2023).
↑ ^{a et b} (en) « On the (un)reliability of plain tcp syslog... », sur Rainer Gerhards, 2 avril 2008 (consulté le 18 mai 2023).
↑ (en) « Librelp 1.1.0 », sur rsyslog, 3 juin 2013 (consulté le 18 mai 2023).

Liens externes

Portail de l’informatique

[portDiscussion-1] (en) « 1410505 - RELP port for rsyslog », sur redhat.com (consulté le 18 mai 2023).

[RELP-2] {a et b} (en) « RELP - the reliable event logging protocol », sur Rainer Gerhards, 13 mars 2008 (consulté le 18 mai 2023).

[SELP-3] ttp://www.monitorware.com/en/workinprogress/selp.txt

[SETP-4] (en) « SETP », sur Adiscon, 31 juillet 2004 (consulté le 18 mai 2023).

[adiscon-5] (en) « Adiscon », sur Adiscon (consulté le 18 mai 2023).

[TCPissue-6] {a et b} (en) « On the (un)reliability of plain tcp syslog... », sur Rainer Gerhards, 2 avril 2008 (consulté le 18 mai 2023).

[RELPrsyslogTLS-7] (en) « Librelp 1.1.0 », sur rsyslog, 3 juin 2013 (consulté le 18 mai 2023).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

v · m Couches du modèle OSI
7. Application	AMQP BGP DHCP DNS FTP FTPS SFTP FXP Gemini Gopher H.323 HTTP HTTPS IMAP IPP IRC LDAP LMTP MODBUS MQTT NFS NNTP POP RDP RTSP SILC SIMPLE SIP SMB-CIFS SMTP SNMP SOAP SSH TCAP Telnet TFTP VoIP WebDAV XMPP
6. Présentation	AFP ASCII ASN.1 HTML MIME NCP TDI TLS TLV Unicode UUCP Vidéotex XDR XML
5. Session	AppleTalk DTLS NetBIOS RPC RSerPool SOCKS
4. Transport	DCCP QUIC RSVP RTP SCTP SPX TCP UDP
3. Réseau	ARP Babel BOOTP CLNP ICMP IGMP IPv4 IPv6 IPX IS-IS NetBEUI NDP RIP EIGRP OSPF RARP X.25
2. Liaison	Anneau à jeton (token ring) Anneau à jeton adressé (Token Bus) ARINC 429 AFDX ATM Bitnet CAN Ethernet FDDI Frame Relay HDLC I²C IEEE 802.3ad (LACP) IEEE 802.1aq (SPB) LLC LocalTalk MIL-STD-1553 PPP STP Wi-Fi X.21
1. Physique	4B5B ADSL BHDn Bluetooth Câble coaxial Codage bipolaire CSMA/CA CSMA/CD DSSS E-carrier EIA-232 EIA-422 EIA-449 EIA-485 FHSS HomeRF IEEE 1394 (FireWire) IrDA ISDN Manchester Manchester différentiel Miller MLT-3 NRZ NRZI NRZM Paire torsadée PDH SDH SDSL SONET SPI T-carrier USB VDSL VDSL2 V.21-V.23 V.42-V.90 Wireless USB 10BASE-T 10BASE2 10BASE5 100BASE-TX 1000BASE-T
Articles connexes : Pile de protocoles Modèle Internet Couche 8