Журналы и анализ пакетов
Для чего нужны журналы и анализ
Постоянная, как можно более подробная регистрация событий является важнейшей функцией любого средства обеспечения безопасности. Программный комплекс WinRoute ведет одновременно шесть журналов, регистрируя в них все информационные потоки, в той или иной степени затрагивающие межсетевой экран, включая проходящие через него пакеты, действия пользователя, процесс фильтрации и т.д. Характеристики всех журналов представлены в приведенной ниже таблице:
|
Журнал HTTP |
Отображает только информационные потоки, проходящие через прокси-сервер WinRoute по протоколу HTTP, включая IP-адрес и идентификатор отправителя, временную метку, запросы и ответы по HTTP |
|
Почтовый журнал |
Регистрирует все операции, выполненные встроенным почтовым сервером WinRoute, записывает действия по отправке/приему почты в протоколах SMTP и POP3 |
|
Протокол юезопасности |
Фиксирует все действия по выполнению команд "записывать в файл защиты" или "регистрировать в окне защиты" в процессе фильтрации пакетов (далее см. подробное описание регистрации событий) |
|
Журнал звонков |
Фиксирует сведения об использовании телефонных интерфейсов, находящихся под наблюдением WinRoute |
|
Журнал отладки |
В соответствии с натройками по выбору пользователя регистрация всех пакетов по протоколам ARP, ICMP, UDP, TCP и/или DNS, физически проходящих через любой интерфейс маршрутизатора WinRoute. Тонкая настройка осуществляется из меню Настройки | Дополнительно | Сведения об отладке, вкладка "Отладка". |
|
Журнал ошибок |
Регистрирует все сбои, происходящие в любом модуле WinRoute во время выполнения тех или иных операций |
Результаты протоколирования могут выводиться на пульт управления программы WinRoute Administrator, записываться в файл или фиксироваться обоими способами. Файлы журналов хранятся в каталоге \%installroot%\Logs, доступном только из учетных записей, открытых в Windows NT/2000 для администраторов, операторов серверов, СИСТЕМНОГО АДМИНИСТРАТОРА и СОЗДАТЕЛЯ-ВЛАДЕЛЬЦА, установившего программный комплекс WinRoute.
Сведения, записываемые в журнал защиты WinRoute, весьма обширны и включают в себя все данные, необходимые для проведения расследования по факту потенциально злонамеренных действий:
§ Дата
§ Время
§ Примененное правило фильтрации пакетов
§ Интерфейс
§ Предпринятое действие (разрешить, игнорировать или запретить)
§ Протокол
§ IP-адрес и TCP-порт отправителя
§ IP-адрес и TCP-порт адресата
Тестирование в самых неблагоприятных условиях интенсивного трафика никак не влияет на способность программного комплекса WinRoute вести протоколирование, что крайне важно, чтобы избежать потери данных, необходимых для проведения расследования, а также для смягчения последствий возникновения ситуаций, приводящих к отказу в обслуживании путем блокирования функций межсетевого экрана в результате перегрузки системы протоколирования.
Журнал отладки
Журнал отладки является наиболее важным в системе протоколирования WinRoute, ибо позволяет просматривать все IP-пакеты (TCP, UDP, ICMP, ARP, DNS), физически проходящие через интерфейсы, имеющиеся в компьютере, защищенном программным комплексом WinRoute.
В окне События, связанные с отладкой, отображаются все без исключения события, сведения о которых могут Вам понадобиться.
Как читать журнал?
Слева направо выводятся следующие данные:
Временная метка - число и точное время регистрации события или прохождения пакета через интерфейс.
Протокол - вид протокола, в котором передан пакет.
Название интерфейса отправителя/адресата - название интерфейса, которому или от которого передан пакет (интерфейсы подобны "воротам" между сетью и компьютером, защищенным программным комплексом WinRoute).
IP-адрес отправителя -> адресата - указанные в пакете IP-адреса отправителя и адресата.
Флажки - обозначение предпринятого действия.
Пример:
[10/Nov/1999 09:32:38] TCP: packet 511464, from lan, length 1514, 192.168.1.7:2442 -> 192.168.1.1:25, flags: ACK
[10/Nov/1999 09:32:38] TCP: packet 511465, to lan, length 54, 192.168.1.1:25 -> 192.168.1.7:2442, flags: ACK
Журнал HTTP (прокси-сервера)
Журнал HTTP (прокси-сервера) служит мощным средством отслеживания действий пользователей в Интернете. При этом он предоставляет более доступную пониманию информацию об обращении пользователей к Интернету, нежели журнал отладки.
В каких случаях ведется протоколирование?
Журнал HTTP (прокси-сервера) отображает только информацию, поступающую от прокси-сервера программного комплекса WinRoute. Следовательно, если Вам необходимы сведения от прокси-сервера, то нужно побудить пользователей обращаться к Интернету через этот сервер. См. раздел с примерами применения межсетевого экрана или главы, посвященные прокси-серверу.
И разумеется, не забудьте включить протоколирование доступа к прокси-серверу.
Как читать журнал HTTP (прокси-сервера)?
192.168.1.3 - roman [10/Nov/1999:10:22:20 -0800] "GET http://dir.altavista.com/Business.shtml HTTP/1.0" 200 13616
Слева направо:
IP-адрес - имя - идентификатор и текущий IP-адрес пользователя, обратившегося в Интернет
Временная метка - дата и время обращения
Почтовый журнал
Почтовый журнал ведет записи всех операций, выполняемых
встроенным почтовым сервером WinRoute. В журнале
отображается количество отправленных и принятых сообщений, куда они были
отправлены и т.п. Все операции имеют временную метку.
Журнал ошибок
Журнал ошибок регистрирует все безуспешные операции,
выполнявшиеся в активных модулях WinRoute. Просматривая
его, вы сможете увидеть все ошибки почтового обмена, DNS-сервера и других служб.
