Мониторинг системы

Наконец, последняя мера защиты, которую настоятельно рекомендуется соблюдать — ведите журнал (log) доступа в сеть. Любая "приличная" NOS поддерживает те или иные средства ведения журнала системы защиты (security logging). Например, в Windows NT с этой целью предусмотрено средство Event Viewer (просмотр событий). Журнал позволяет установить, кто и что делает в сети. Кроме того, его можно использовать для мониторинга успешных и неудачных попыток входов в систему либо доступа к общим файлам и папкам на отслеживаемом сервере.
С практической точки зрения вам нужна только свежая информация — от просмотра чрезмерного числа старых записей толку мало. Поэтому исключайте устаревшие записи (но сохраните их для справок в текстовых файлах либо электронных таблицах) и просматривайте журнал примерно раз в неделю. Особое внимание обращайте на многократные повторные попытки доступа — они могут указывать на намерение взлома сети или нелегального доступа к защищенным файлам.

Сохраняйте файлы журналов!

Если вы так организовали ведение вашего журнала системы защиты (security logging), чтобы по истечении некоторого срока (скажем, недели) старые записи стирались, обязательно сохраните перед стиранием старые записи. Не каждую неделю вам доведется обнаружить злоумышленника. Когда же вы действительно "засечете" подозрительную активность, вероятно, вам захочется просмотреть, использовалась ли ранее данная учетная запись и кому предоставлялся доступ к данным объектам.
Предположим, например, 17 мая вы обнаружили подозрительную активность, наблюдавшуюся в течение прошлой недели. Некто пытался войти в почтовый сервер Microsoft Exchange 5.5. Злоумышленник захватил средства поиска и таким образом оставил прочих пользователей без них. Иными словами, никто другой, кроме него, уже не сможет читать книгу глобальных адресов (global address book). Пользователи начинают жаловаться на неполадки в почтовом сервере. Вы проверяете протокол защиты (security log) и, несомненно, обнаруживаете изменения разрешений. Пока что все нормально — вы быстро решили проблему.
Однако задумайтесь на минутку: каким же образом злоумышленник вошел в сервер? И с чем вы разделались: с первой попыткой незаконного доступа или продолжением предыдущей?
Вы знаете, что 30 апреля один из серверов UNIX вашей сети уже подвергался попытке незаконного доступа, и вы тогда же блокировали соответствующую учетную запись. Однако некоторые пользователи вашей сети с низкоуровневыми административными правами располагают двумя учетными записями с одинаковым именем и паролем. Одна используется для доступа в домен Windows NT, а другая — к серверу UNIX. (Между прочим, это очень глупо — предоставлять две учетные записи. Причины вы поймете позже.) Может быть, для незаконного доступа в Exchange Server использована блокированная учетная запись UNIX? Если вы уже стерли старые журналы по прошествии 7 дней, вам не найти ответа на этот вопрос.
Файлы журналов должны быть небольшого размера, и, тем не менее, стирание старых записей с интервалом около недели — верное решение. Однако в целях безопасности рекомендуем сохранять старые журналы в виде электронных таблиц или текстовых файлов.
 

Смотрите также

Предотвращение отказов в обслуживании
Отказом в обслуживании (DOS — Denial Of Service ) называют любые условия, в которых некоторая часть (или части) сети становится недоступной. Как правило, это результат умышленного использовани ...

Элементы управления беспроводной сетью 802.11b
Спецификация 802.11b задает путь для движения данных по физическому слою (радиосвязь). Это называется слоем управления доступом к среде - Media Access Control (MAC). MAC управляет интерф ...

Соединение кабелей с сетевыми платами
Приобретение кабелей и сетевых плат — немаловажный этап работы по созданию локальной сети. Вам еще предстоит заставить их "разговаривать" друг с другом. С этой целью применяют разъем ...