NETSGUIDES

КОМПЬЮТЕРНЫЕ СЕТИ

Поиск:

 

Мониторинг системы

Статьи / Локальные сети / Глава 15. Защита сетей / Защита от несанкционированного доступа / Мониторинг системы

Наконец, последняя мера защиты, которую настоятельно рекомендуется соблюдать — ведите журнал (log) доступа в сеть. Любая "приличная" NOS поддерживает те или иные средства ведения журнала системы защиты (security logging). Например, в Windows NT с этой целью предусмотрено средство Event Viewer (просмотр событий). Журнал позволяет установить, кто и что делает в сети. Кроме того, его можно использовать для мониторинга успешных и неудачных попыток входов в систему либо доступа к общим файлам и папкам на отслеживаемом сервере.
С практической точки зрения вам нужна только свежая информация — от просмотра чрезмерного числа старых записей толку мало. Поэтому исключайте устаревшие записи (но сохраните их для справок в текстовых файлах либо электронных таблицах) и просматривайте журнал примерно раз в неделю. Особое внимание обращайте на многократные повторные попытки доступа — они могут указывать на намерение взлома сети или нелегального доступа к защищенным файлам.

Сохраняйте файлы журналов!

Если вы так организовали ведение вашего журнала системы защиты (security logging), чтобы по истечении некоторого срока (скажем, недели) старые записи стирались, обязательно сохраните перед стиранием старые записи. Не каждую неделю вам доведется обнаружить злоумышленника. Когда же вы действительно "засечете" подозрительную активность, вероятно, вам захочется просмотреть, использовалась ли ранее данная учетная запись и кому предоставлялся доступ к данным объектам.
Предположим, например, 17 мая вы обнаружили подозрительную активность, наблюдавшуюся в течение прошлой недели. Некто пытался войти в почтовый сервер Microsoft Exchange 5.5. Злоумышленник захватил средства поиска и таким образом оставил прочих пользователей без них. Иными словами, никто другой, кроме него, уже не сможет читать книгу глобальных адресов (global address book). Пользователи начинают жаловаться на неполадки в почтовом сервере. Вы проверяете протокол защиты (security log) и, несомненно, обнаруживаете изменения разрешений. Пока что все нормально — вы быстро решили проблему.
Однако задумайтесь на минутку: каким же образом злоумышленник вошел в сервер? И с чем вы разделались: с первой попыткой незаконного доступа или продолжением предыдущей?
Вы знаете, что 30 апреля один из серверов UNIX вашей сети уже подвергался попытке незаконного доступа, и вы тогда же блокировали соответствующую учетную запись. Однако некоторые пользователи вашей сети с низкоуровневыми административными правами располагают двумя учетными записями с одинаковым именем и паролем. Одна используется для доступа в домен Windows NT, а другая — к серверу UNIX. (Между прочим, это очень глупо — предоставлять две учетные записи. Причины вы поймете позже.) Может быть, для незаконного доступа в Exchange Server использована блокированная учетная запись UNIX? Если вы уже стерли старые журналы по прошествии 7 дней, вам не найти ответа на этот вопрос.
Файлы журналов должны быть небольшого размера, и, тем не менее, стирание старых записей с интервалом около недели — верное решение. Однако в целях безопасности рекомендуем сохранять старые журналы в виде электронных таблиц или текстовых файлов.