Занятие 3. Настройка оповещения о событиях
(Продолжительность занятия 25 минут)
В Proxy Server предусмотрены средства отслеживания событий, которые способны оказать неблагоприятное воздействие на Вашу сеть, и оповещения о них. Это занятие посвящено оповещениям и способам их рассылки и регистрации.
Изучив материал этого занятия, Вы сможете:
Администратор оповещается о следующих событиях.
Когда происходит любое из этих событий, информация о нем помещается в системный журнал Windows NT или отправляется заранее заданному адресату по электронной почте. Кроме того, Proxy Server может создавать отчеты о пакетах, порт назначения которых не прослушивался ни одной системной службой.
Упражнение
В этом упражнении Вы включите режим оповещения о нарушениях протокола на Вашем сервере-представителе. Настройка оповещения — важная мера обеспечения безопасного присутствия в Интернете.
> Конфигурирование оповещения
> Выбор событии, о которых Вы хотите получать оповещение
Чтобы восстановить параметры оповещения по умолчанию, воспользуйтесь следующей процедурой.
> Восстановление стандартных параметров оповещения
Рассылка оповещений по электронной почте
Оповещения о событиях можно отправлять заранее заданному адресату по электронной почте средствами SMTP. Настоятельно рекомендуется отправлять такие сообщения только внутреннему почтовому серверу, а не почтовому серверу в Интернете — надежность передачи оповещения по атакуемому каналу весьма сомнительна.
Чтобы рассылать оповещения по электронной почте, требуется настроить параметры оповещения и электронной почты. Для отправки сообщения средствами Microsoft Exchange понадобится учетная запись пользователя домена. Почтовая учетная запись не требует специальных полномочий.
До настройки рассылки оповещений по электронной почте необходимо выполнить следующие действия:
> Рассылка оповещений по электронной почте
Сохранение оповещений в журнале
Оповещения, поступившие от пакетного фильтра, можно сохранять в специальном журнале или в базе данных ODBC. По умолчанию фиксируется только игнорирование пакетов, хотя также подсчитываются и принятые служебные пакеты SYN. Proxy Server способен регистрировать информацию о получаемых пакетах, а также проверять пакеты, порт назначения которых не прослушивался. Процедура настройки журнала сходна с аналогичными процедурами для служб Web Proxy, WinSock Proxy и Socks Proxy. Журнал хранится в файле %systemroot%/System32/ Msplogs/Pfyymmdd.log.
Поля журнала
Помимо служебной информации, в журнале фиксируются сведения об удаленном компьютере, локальном компьютере, фильтре и пакете.
Служебная информация
Служебную информацию содержат следующие поля:
Информация об удаленном компьютере
Информацию об удаленном компьютере содержат следующие поля:
Информация о локальном компьютере
Информацию о локальном компьютере содержат следующие поля:
Информация о фильтре
Информацию о фильтре содержат следующие поля:
Информация о пакете
Информацию о пакете содержат следующие поля:
Поля обычного и подробного протоколов
В приведенной ниже таблице крестиком отмечены поля, используемые при обычном и при подробном протоколировании.
Поле |
Обычное протоколирование |
Подробное протоколирование |
Date |
X |
X |
Time |
X |
X |
SrcIP |
X |
X |
Src Port |
X |
X |
Protocol |
X |
X |
Dest IP |
X |
X |
Dest Port |
X |
X |
Action |
X |
X |
Interface |
X |
X |
Raw IP header (hex) |
|
X |
Raw IP packet (hex) |
|
X |
> Просмотр журнала оповещений пакетного фильтра
> Отключение фильтрования пакетов и ведения журнала
Резюме
Настраивая фильтрование пакетов, решите, как Вы хотите получать оповещения о событиях. Оповещения фиксируют в журнале или отправляют заранее выбранному адресату по электронной почте. Администратор может получать оповещение об отклонении пакетов, нарушении протокола или переполнении диска.