Занятие 3. Настройка оповещения о событиях

(Продолжительность занятия 25 минут)

В Proxy Server предусмотрены средства отслеживания событий, которые способны оказать неблагоприятное воздействие на Вашу сеть, и оповещения о них. Это занятие посвящено оповещениям и способам их рассылки и регистрации.

Изучив материал этого занятия, Вы сможете:

• включать и намстраивать оповещение пакетных фильтров;
• включать и настраивать ведение журнала пакетных фильтров.

Администратор оповещается о следующих событиях.

• отклонении пакета — игнорировании пакетов внешнего сетевого интерфейса;
• нарушении протокола — появлении пакетов, не соответствующих структуре протокола;
• переполнении диска — ошибке, связанной с переполнением диска.

Когда происходит любое из этих событий, информация о нем помещается в системный журнал Windows NT или отправляется заранее заданному адресату по электронной почте. Кроме того, Proxy Server может создавать отчеты о пакетах, порт назначения которых не прослушивался ни одной системной службой.

Упражнение

В этом упражнении Вы включите режим оповещения о нарушениях протокола на Вашем сервере-представителе. Настройка оповещения — важная мера обеспечения безопасного присутствия в Интернете.

> Конфигурирование оповещения

1. Запустите Internet Service Manager.
2. Дважды щелкните значок службы Web Proxy. Появится диалоговое окно Web Proxy Service Properties For имя_компьютера.
3. На вкладке Service щелкните кнопку Security. Появится диалоговое окно Security.
4. Откройте вкладку Alerting.

   

5. В списке Event выберите Protocol violations.
6. Установите флажок Generate system event if more than, если он сброшен.
7. В поле events per second введите 1.
8. Сбросьте флажок Send SMTP mail.
9. Установите флажок Report to Windows NT Event Log.
10. Щелкните OK, чтобы вернуться в диалоговое окно Web Proxy Service Properties For имя_компьютера.
11. Щелкните ОК, чтобы подтвердить изменения и вернуться в Internet Service Manager.
12. Остановите и перезапустите службу Web Proxy.
13. Закройте Internet Service Manager.

> Выбор событии, о которых Вы хотите получать оповещение

1. В окне Internet Service Manager дважды щелкните имя компьютера рядом с любой службой Proxy Server.
2. На вкладке Service диалогового окна Service Properties в поле Shared services щелкните кнопку Security.
3. В диалоговом окне Security откройте вкладку Alerting.
4. На вкладке Alerting выберите из списка Event нужное событие.
5. Установите флажок Generate system event if more than, а в поле events per second введите частоту событий.
6. Чтобы регистрировать оповещения в системном журнале Windows NT, ycтановите флажок Report to Windows NT Event Log.
7. В поле Delay before next report введите значение задержки в минутах.
8. Щелкните ОК, чтобы вернуться во вкладку Alerting.

Чтобы восстановить параметры оповещения по умолчанию, воспользуйтесь следующей процедурой.

> Восстановление стандартных параметров оповещения

1. На вкладке Alerting щелкните кнопку Reset Defaults.
2. Щелкните ОК.

Рассылка оповещений по электронной почте

Оповещения о событиях можно отправлять заранее заданному адресату по электронной почте средствами SMTP. Настоятельно рекомендуется отправлять такие сообщения только внутреннему почтовому серверу, а не почтовому серверу в Интернете — надежность передачи оповещения по атакуемому каналу весьма сомнительна.

Чтобы рассылать оповещения по электронной почте, требуется настроить параметры оповещения и электронной почты. Для отправки сообщения средствами Microsoft Exchange понадобится учетная запись пользователя домена. Почтовая учетная запись не требует специальных полномочий.

До настройки рассылки оповещений по электронной почте необходимо выполнить следующие действия:

• в подходящей службе электронной почты создать новую учетную запись или воспользоваться уже существующей;
• создать новый почтовый профиль MAPI или использовать уже существующим;
• установить соответствующую клиентскую почтовую программу;
• сконфигурировать почтовый клиент для автоматического запуска и запустить его.

> Рассылка оповещений по электронной почте

1. На вкладке Alerting установите флажок Send SMTP mail.
2. Щелкните кнопку Configure Mail.
3. В диалоговом окне Configure Mail Alerting в поле Mail server введите имя Вашего почтового сервера, а в поле Port — номер его порта.
4. В поле Send mail to введите почтовый адрес получателя.
5. В поле From address введите адрес компьютера Proxy Server.
6. Дважды подряд щелкните кнопку ОК.

Сохранение оповещений в журнале

Оповещения, поступившие от пакетного фильтра, можно сохранять в специальном журнале или в базе данных ODBC. По умолчанию фиксируется только игнорирование пакетов, хотя также подсчитываются и принятые служебные пакеты SYN. Proxy Server способен регистрировать информацию о получаемых пакетах, а также проверять пакеты, порт назначения которых не прослушивался. Процедура настройки журнала сходна с аналогичными процедурами для служб Web Proxy, WinSock Proxy и Socks Proxy. Журнал хранится в файле %systemroot%/System32/ Msplogs/Pfyymmdd.log.

Поля журнала

Помимо служебной информации, в журнале фиксируются сведения об удаленном компьютере, локальном компьютере, фильтре и пакете.

Служебная информация

Служебную информацию содержат следующие поля:

• Date — дата поступления пакета;
• Time — время поступления пакета.

Информация об удаленном компьютере

Информацию об удаленном компьютере содержат следующие поля:

• Src IP — IP-адрес удаленного компьютера, откуда поступил пакет;
• Src port — номер порта, использованного удаленным компьютером для соединения с компьютером-адресатом. Это поле имеет смысл только для протоколов TCP, UDP и ICMP. Удаленный компьютер — это тот, откуда поступил пакет;
• Protocol — транспортный протокол, использованный при соединении (например, TCP, UDP или ICMP).

Информация о локальном компьютере

Информацию о локальном компьютере содержат следующие поля:

• Dest IP — IP-адрес локального компьютера (обычно — компьютера Proxy Server);
• Dest port — номер порта, использованного локальным компьютером для соединения с компьютером-источником пакета. Это поле имеет смысл только для протоколов TCP, UDP и ICMP.

Информация о фильтре

Информацию о фильтре содержат следующие поля:

• Action — возможные значения — drop и accept. По умолчанию в журнале фиксируются только отклоненные пакеты;
• Interface — интерфейс (обычно единственный), который получил пакет. Это поле зарезервировано для использования в будущем.

Информация о пакете

Информацию о пакете содержат следующие поля:

• Raw IP header (hex) — полный IP-заголовок пакета, вызвавшего оповещение. Заголовок хранится в шестнадцатеричном формате;
• Raw IPpacket (hex) — фрагмент пакета, вызвавшего оповещение. Длина фрагмента (в байтах) задается в реестре. IP-пакет хранится в шестнадцатеричном формате.

Поля обычного и подробного протоколов

В приведенной ниже таблице крестиком отмечены поля, используемые при обычном и при подробном протоколировании.

Поле	Обычное протоколирование	Подробное протоколирование
Date	X	X
Time	X	X
SrcIP	X	X
Src Port	X	X
Protocol	X	X
Dest IP	X	X
Dest Port	X	X
Action	X	X
Interface	X	X
Raw IP header (hex)		X
Raw IP packet (hex)		X

> Просмотр журнала оповещений пакетного фильтра

1. В Проводнике Windows NT откройте папку C:\Winnt\System32\Msplogs. В окне появится список файлов журналов.
2. Дважды щелкните последний (по времени) файл Pfyymmdd.log Журнал оповещений пакетного фильтра откроется в программе Notepad.
3. Прокрутите окно до конца, чтобы посмотреть последние события.
4. Закончив, закройте файл.

> Отключение фильтрования пакетов и ведения журнала

1. Запустите Internet Service Manager.
2. Дважды щелкните значок службы Web Proxy. Появится диалоговое окно Web Proxy Service Properties For имя_компьютера.
3. На вкладке Service щелкните Security. Появится диалоговое окно Security с открытой вкладкой Packet Filters.
4. Сбросьте флажок Enable packet filtering on external interface.
5. Щелкните кнопку OK, чтобы вернуться в диалоговое окно Web Proxy Service Properties For имя_компьютера, а затем — кнопку Apply.
6. Появится диалоговое окно Microsoft Proxy Server, информирующее об изменении состояния фильтрования пакетов и о необходимости перезапуска служб Proxy Server. Щелкните кнопку ОК.
7. Щелкните кнопку ОК, чтобы вернуться в Internet Service Manager.

Резюме

Настраивая фильтрование пакетов, решите, как Вы хотите получать оповещения о событиях. Оповещения фиксируют в журнале или отправляют заранее выбранному адресату по электронной почте. Администратор может получать оповещение об отклонении пакетов, нарушении протокола или переполнении диска.