Безопасность при работе в сети

Журнал безопасности

В "Подключения к рабочим группам" мы говорили об основах использования и управления межсетевым экраном ICF (Internet Connection Firewall) системы Windows XP Professional. Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.

• Входящие эхо-запросы.
• Входящие метки времени.
• Входящие запросы маршрутизатора.
• Переадресацию.

Рис. 9.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)

Рис. 9.3. Детали настройки

На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.

Запись в журнал безопасности ICF

Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.

Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.

Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.

Включение и отключение ведения журнала

В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Щелкните на Network and Internet Connections (Сеть и подключения к интернету), а затем - на Network Connections (Сетевые подключения).
3. Щелкните на соединении, которое использует ICF, а затем в Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
4. На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
5. На вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) выберите опции:
   • регистрация пропущенных пакетов;
   • регистрация всех входящих попыток установить соединение, которому отказано в доступе;
   • регистрация успешных соединений;
   • регистрация всех успешных попыток исходящих соединений.

Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения).

Рис. 9.4. Опции ведения журнала ICF

Управление файлом журнала ICF

Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть).

Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.

Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называется pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.

Изменение размера журнала ICF

Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.

Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.