Опубликован: 29.04.2006 | Доступ: свободный | Студентов: 11680 / 1775 | Оценка: 4.30 / 3.92 | Длительность: 28:09:00
ISBN: 978-5-9570-0039-6
Лекция 9:

Безопасность при работе в сети

Журнал безопасности

В "Подключения к рабочим группам" мы говорили об основах использования и управления межсетевым экраном ICF (Internet Connection Firewall) системы Windows XP Professional. Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.

  • Входящие эхо-запросы.
  • Входящие метки времени.
  • Входящие запросы маршрутизатора.
  • Переадресацию.
Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)

Рис. 9.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)
Детали настройки

Рис. 9.3. Детали настройки

На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.

Запись в журнал безопасности ICF

Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.

Таблица 9.1. Поля ввода данных в журнале безопасности ICF
Поле Описание
action Операция, перехваченная межсетевым экраном. Входящие данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST (здесь указывается количество произошедших событий, не сохраненных в журнале).
date Дата ввода файла в формате YY-MM-DD (год-месяц-день).
Dst-ip IP-адрес конечного пункта доставки пакета.
Dst-port Номер порта конечного пункта доставки пакета.
icmpcode Число, обозначающее поле кода в ICMP-сообщении.
icmptype Число, обозначающее поле ввода текста в ICMP-сообщении.
info Поле для ввода информации о событии, которое зависит от типа действия.
protocol Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
size Размер пакета.
Src-ip IP-адрес устройства-отправителя.
Src-port Номер порта отправителя.
tcpack TCP-номер подтверждения пакета.
tcpflags TCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности номеров); U-Urg (важность поля указателя срочности).
tcpsyn TCP-последовательность номеров пакетов.
tcpwin TCP-размер окна (байт).
time Время регистрации файла в формате HH:MM:SS (часы:минуты:секунды).

Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.

Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.

Включение и отключение ведения журнала

В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Щелкните на Network and Internet Connections (Сеть и подключения к интернету), а затем - на Network Connections (Сетевые подключения).
  3. Щелкните на соединении, которое использует ICF, а затем в Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
  4. На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
  5. На вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) выберите опции:
    • регистрация пропущенных пакетов;
    • регистрация всех входящих попыток установить соединение, которому отказано в доступе;
    • регистрация успешных соединений;
    • регистрация всех успешных попыток исходящих соединений.

Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения).

Опции ведения журнала ICF

Рис. 9.4. Опции ведения журнала ICF
Управление файлом журнала ICF

Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть).

Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.

Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называется pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.

Изменение размера журнала ICF

Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.

Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.

Юрий Гребенкин
Юрий Гребенкин
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989
Геннадий Шестаков
Геннадий Шестаков
Беларусь, Орша