 |
|
Журнал событий Windows 2008.
Курсовая работа
На тему: « Настройка мониторинга сети на основе Windows Server 2008 »
Специальность: 230111 «Компьютерные сети, базовая подготовка»
Выполнил(а): студент(ка) 4 курса группы СКС-415/11
________________________/__________
Проверил: преподаватель Воронин И.В./
г. Москва
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Введение. 2
1. Журнал событий Windows 2008. 4
1.1. Подписки на события. 6
1.2. Журналы. 7
1.3. Фильтры. 8
1.4. Реагируем на события. 9
1.5. Построение отчетов. 11
2. Просмотр пакетов и взаимосвязей сетевого трафика с помощью сетевого анализатора Microsoft. 13
2.1. Установка Network Monitor. 14
2.2. Запуск Network Monitor. 15
2.3. Гистограммы использования сети. 15
2.4. Сетевые соединения. 16
2.5. Сетевые статистики. 17
2.6. Подробная информация о пакете. 17
2.7. Отображение перехваченных пакетов. 18
2.8. Настройка фильтров просмотра. 19
2.9. Основы сессии TCP/IP. 20
2.10. Чтение пакетов. 21
2.11. Наблюдение за флагами. 22
2.12. Номера портов. 23
2.13. Повторные передачи пакетов. 24
2.14. Network Monitor как средство противодействия AUTH Attack. 26
Заключение. 28
Литература. 29
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Чтение журналов событий является неотъемлемой частью работы любого администратора безопасности. Сетевое оборудование, операционные системы и практически все бизнес приложения осуществляют журналирование событий безопасности, таких как, удачный/неудачный вход в систему, запуск/остановка системы, обращение к закрытому порту для межсетевых экранов и другие события. Однако при наличии в сети даже десяти серверов, чтение журналов событий на каждом из них становится довольно трудоемкой задачей, требующей затраты большой части рабочего времени. Для того, чтобы автоматизировать процесс обработки журналов событий, например, в части поиска попыток неудачного входа в систему, существует множество различных решений. Для Unix систем существует множество бесплатных сценариев на Перл, позволяющих осуществлять автоматический поиск заданного события в журнале и реакцию на данное событие, например отправку почтового сообщения администратору. Для Windows есть множество коммерческих продуктов, таких как ArcSight, Symantec Information Manager или Tivoli Security Operations Manager, которые умеют не только собирать события от различных источников, но и проверять данные события на соответствие различным моделям угроз (например подбор пароля или DDoS атака), реагировать на события, строить отчеты и многое другое. Но эти мощные средства мониторинга стоят очень недешево и в нынешних непростых экономических условиях многим организациям просто не по карману.
Однако, если в сети на серверах используется операционная система Windows Server 2008, то можно самостоятельно организовать централизованный мониторинг событий безопасности.
Исходя из вышеизложенного целями курсового проекта являются:
1) Изучение журналов и фильтров на мониторинг событий
2) Настройка монитора событий
3) Изучить ОС Windows 2008.
Журнал событий Windows 2008.
Как и многие другие функции Windows 2008 журналы событий были существенно переделаны и дополнены новыми возможностями. По определению Майкрософт [1] событие это любое значительное проявление в операционной системе или приложении, требующее отслеживания информации. Событие не всегда негативно, поскольку успешный вход в сеть, успешная передача сообщений, или репликация данных также могут генерировать события в Windows. В каждом журнале с его событиями связаны общие свойства.
·
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
· Date and Time (дата и время) – Это свойство содержит информацию о дате и времени возникновения события.
· Source (источник) – Это свойство указывает источник события: приложение, удаленный доступ, служба и так далее.
· Event ID (Код события) – Каждому событию назначен идентификатор события ID, число, сгенерированное источником и уникальное для всех типов событий.
· Task Category (Категория задачи) – Это свойство определяет категорию события. Например Security или System.
Итак, мы разобрались с тем, что представляет из себя событие в журнале Windows Event Log. Теперь нам необходимо сначала настроить аудит событий информационной безопасности.
Для настройки аудита необходимо зайти на контроллер домена и открыть редактор групповых политик Start->Administrative Tools->Group Policy Management. Далее выбираем домен и нажав правую кнопку мыши указываем Create a GPO in this domain… Вообще, для включения аудита можно воспользоваться политиками домена по умолчанию, но лучше создать отдельную политику с соответствующим названием, так как это упрощает администрирование. Далее в новой политике идем в Computer Configuration-> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Откроется список возможных параметров настройки аудита. Включать все подряд параметры нет особого смысла, так как в таком случае журнал событий наполнится огромным количеством малоинформативных сообщений. Рекомендуется следующий набор параметров:
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Параметры настройки аудита
| Категория аудита | Тип аудита | Примечание |
| Audit account logon events | No auditing | |
| Audit account management | success/failure | |
| Audit directory service access | No auditing | |
| Audit logon events | success/failure | |
| Audit object access | No auditing | включить, только если необходимо отслеживать доступ к определенным объектам (например, каталогам на диске). |
| Audit policy change | success/failure | |
| Audit privilege use | success/failure | |
| Audit process tracking | No auditing | |
| Audit system events | success/failure |
Теперь мы настроили аудит в домене. Открыв журнал событий Security можно убедиться в том, какое количество событий сыпется в него ежесекундно. Для того, чтобы не нагружать контроллеры домена и другие сервера задачами по обработке событий мы должны сначала переслать события безопасности на выделенный сервер, на котором и будет осуществляться автоматическая обработка всех полученных событий. Данный выделенный сервер также должен работать под управлением операционной системы Windows Server 2008 и входить в домен Active Directory. Для пересылки событий нам необходимо воспользоваться Subscriptions, подписками на события.
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Функция «подписки на события» аналогична службе Syslog в Unix. Данная функциональная возможность позволяет удаленным компьютерам пересылать сообщения о событиях, в результате чего их можно просматривать локально из центральной системы.
Настроим пересылку событий с нескольких серверов на выделенный сервер сбора событий. Для этого на каждый из серверов источников событий необходимо зайти под учетной записью, обладающей административными правами. В окне командной строки мы введем:
winrm quickconfig
Сервер, собирающий сообщения о событиях, необходимо добавить в группу локальных администраторов на каждом из серверов источников событий. Затем, мы войдем на сервер, собирающий сообщения, и также выполним:
winrm quickconfig
После этого, выполним на нем же следующую команду:
wecutil qc
При необходимости, мы можем изменять параметры оптимизации доставки событий. Например, мы можем изменить параметр Minimize Bandwidth (минимизация пропускной способности) для удаленных серверов, с ненадежным каналом связи.
Теперь необходимо собственно создать подписку, указав события, которые должны извлекаться из логов серверов источников. Для этого на собирающем сервере запустим утилиту просмотра событий с учетной записью, обладающей административными привилегиями. Затем щелкните на папке Subscriptions в дереве консоли и выберите команду Create Subscription (Создать подписку). В поле Subscription Name нужно указать имя подписки. При необходимости в поле Description можно привести описание. Затем, в поле Destination Log (журнал назначения) выберите файл журнала, в котором будут храниться собранные события. По умолчанию эти события будут храниться в журнале перенаправленных событий в папке Windows Logs дерева консоли. После этого, щелкнем на кнопку Select Computers, чтобы выбрать исходные сервера, которые будут перенаправлять события. Как уже упоминалось ранее, данные сервера должны находиться в домене. Затем выберем события, нажав на кнопку Select Events. Сконфигурируем журналы и типы событий, предназначенные для сбора. Щелкаем ОК чтобы сохранить подписку.
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Теперь зайдем на выделенный сервер сбора событий и рассмотрим типы журналов, появившиеся в Windows Server 2008. В папке журналов Windows Logs находятся как традиционные журналы безопасности, приложений и системы, так и два новых журнала – Setup (настройка) и Forwarded Events (Пересланные события). Первые три типа событий уже присутствовали в предыдущих версиях системы, поэтому о них рассказывать нет смысла. А о последних двух следует рассказать подробнее. Журнал Setup фиксирует информацию, связанную с установкой приложений, ролями сервера и их характеристиками. Так, например, сообщения о добавлении на сервере роли DHCP будет отражены в этом журнале. В журнале Forwarded Events собираются сообщения, присланные с других машин в сети.
Папка Applications and Services Logs (журналы приложений и служб) представляют собой новый способ логической организации, представления и сохранения событий, связанных с конкретным приложением, компонентом или службой Windows вместо использовавшейся ранее, регистрации событий, которые оказывают влияние на всю систему. Эти журналы включают четыре подтипа: Admin (события, предназначенные для конечных пользователей и администраторов), Operational (Рабочий журнал событий, также предназначенный для администраторов), Analytic (журнал позволяет отслеживать цепочку возникновения проблемы и часто содержит большое количество записанных событий), Debug (используется для отладки приложений). По умолчанию журналы Analytic и Debug скрыты и отключены. Для того, чтобы их просмотреть, щелкаем правой кнопкой мыши на папке Applications and Services Logs, а затем в контекстном меню выбераем пункт View, Show Analytic and Debug Logs.
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |
Рисунок 1. «Настройка Debug»
Фильтры.
Настраиваемые представления – это специальные фильтры, созданные либо автоматически системой Windows 2008, во время добавления в систему новых ролей сервера или приложений, таких как Directory Certificate Services (Службы сертификатов каталогов), сервер DHCP, либо администраторами вручную. Для администраторов одной из важнейших функций при работе с журналами событий является возможность создавать фильтры, позволяющие просматривать только интересующие события, чтобы можно было быстро диагностировать и устранять проблемы в системе. В качестве примера, рассмотрим папку Custom Views в навигационной панели утилиты просмотра событий. Если в этой папке щелкнем правой кнопкой мыши по Administrative Events и затем выберем Properties, то после нажатия Edit Filter, можем увидеть как информация из журнала событий преобразуется в набор отфильтрованных событий. Настраиваемые представления оснастки Administrative Events фиксируют все критические события, а события ошибок и предупреждений фиксируются для всех журналов событий (в отличие от предыдущих версий Windows). Таким образом, с помощью данного фильтра администратор может обращаться к единственному источнику для быстрой проверки потенциальных проблем, присутствующих в системе. Это средство может пригодиться при обработке событий, приходящих с серверов источников событий.
| Изм. |
| Лист |
| № докум. |
| Подпись |
| Дата |
| Лист |