Monitorowanie i logi
systemu Windows
Piotr Powroźnik
Bartosz Piec
Agenda
z
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
z
Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows
z
Monitoring i analiza liczników systemu
Windows
Agenda
z
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows
z
Monitoring i analiza liczników systemu
Windows
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Wprowadzenie do
Active Directory (1)
z
Zarządzanie domeną Windows
z
Wprowadzona w Windows 2000
z
Domena – grupa komputerów połączona w sieć,
składająca się z serwera pełniącego rolę kontrolera
domeny oraz stacji roboczych – klientów
z
Baza użytkowników przechowywana tylko na serwerze
z
Prostsze zarządzanie siecią
Wprowadzenie do
Active Directory (2)
Drzewa i lasy (1)
z
Active Directory wykorzystuje drzewa i lasy
z
Zapewnienie logicznych powiązań i formacji,
które definiują sposób i rozmiar w jakim
domeny mają się komunikować
Drzewo
z
Hierarchiczna kolekcja domen ułożonych w ciągłej
przestrzeni nazw
z
Domeny w drzewie są połączone przeźroczyście przy
pomocy dwukierunkowych przechodnich relacji
zaufania Kerberos
z
Domeny w obrębie pojedynczego drzewa posiadają
wspólną przestrzeń nazw i hierarchiczną strukturę
nazw
z
Nazwa domeny-dziecka jest relatywną nazwą tej
domeny-dziecka z dołączoną nazwą domeny-rodzica
Las
z
Zgrupowanie jednego lub większej ilości
drzew, które uczestniczą w wspólnym systemie
komunikacyjnym
z
W obrębie lasu istnieje pojedynczy schemat
replikacji, który jest kontrolowany poprzez
nadrzędny schemat serwera w domenie
korzenia
z
Zaufania Kerberos nigdy nie są przechodnie
między drzewami
Drzewa i lasy (2)
Zastosowanie lasu
z
Potrzeba utrzymania oddzielnych schematów
z
Odległe lasy, w celu zapewnienia separacji
pomiędzy wewnętrznymi i zewnętrznymi
zasobami DNS
z
Korzystanie z więcej niż jednego drzewa w
pojedynczym lesie powinno być
wykorzystywane tylko w razie takiej
konieczności
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Wybieranie zdarzeń do inspekcji (1)
z
Żadna strategia projektowania zabezpieczeń nie może
być pełna bez uwzględnienia szczegółowej strategii
inspekcji
z
Konieczne jest zaplanowanie całościowej strategii
inspekcji
z
Powody, dla których należy włączyć inspekcję i
monitorować dzienniki zdarzeń:
–
Aby określić poziom odniesienia dla normalnego działania
sieci i komputerów
–
Aby wykryć próby włamania do sieci lub konkretnej maszyny
–
W celu określenia, które dane i systemy zostały zinfiltrowane w
trakcie incydentu lub po nim
Wybieranie zdarzeń do inspekcji (2)
Tworzenie planu inspekcji systemu
z
Określenie, jakie rodzaje działań lub operacji
mają być rejestrowane
z
Zdarzenia podlegające inspekcji w systemach
Windows opartych o jądro NT:
–
zdarzenia sukcesu (podjęta akcja została pomyślnie
zakończona przez system)
–
zdarzenia niepowodzenia (użyteczne przy śledzeniu
prób ataku na obserwowane środowisko sieciowe
lub komputer)
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Zarządzanie podglądem zdarzeń
z
Wszystkie zdarzenia
dotyczące zabezpieczeń w
systemach NT są
rejestrowane w dzienniku
zabezpieczeń dostępnym
poprzez narzędzie Event
Viewer
z
Dla każdego pliku dziennika
możliwe jest określenie:
–
położenia
–
maksymalnego rozmiaru
–
sposobu postępowania w
przypadku przepełnienia
Określenie lokalizacji pliku
dziennika
z
Domyślnie - %systemroot%\system32\config w pliku
SecEvent.evt
z
W systemie Windows XP, lokalizację pliku można
zmienić poprzez okno dialogowe Podglądu zdarzeń
z
W systemie Windows NT oraz 2000 można to zmienić
poprzez edycję rejestru:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security
z
Domyślnie dostęp do niego jest ograniczony dla konta
System oraz grupy Administratorów
Określenie maksymalnego
rozmiaru pliku dziennika
z
Standardowo 512 kB
z
Rozmiar nie powinien przekraczać 300 MB
z
Zmiany rozmiaru można dokonać w karcie Właściwości
lub poprzez Szablony zabezpieczeń i Zasady grupy
z
Maksymalna wielkość pliku dziennika zabezpieczeń
przechowywana jest w rejestrze w kluczu:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security\MaxSize
Konfigurowanie zastępowania
wpisów (1)
z
Określenie co ma się wydarzyć, gdy osiągnięty
zostanie ustawiony wcześniej maksymalny rozmiar
pliku dziennika (zachowania zastępowania)
–
Overwrite Events As Needed (Zastąp zdarzenia w razie
potrzeby) – usuwany jest najstarszy wpis
–
Overwrite Events Older Than [x] Days (Zastąp zdarzenia
starsze niż) – zdarzenia są przechowywane przez określony
czas, zanim zaczną być zastępowane przez nowe
–
Do not Overwrite Events (Nie zastępuj zdarzeń) – zdarzenia
nie będą rejestrowane po zapełnieniu pliku dziennika
Konfigurowanie zastępowania
wpisów (2)
z
Możliwe jest skonfigurowanie systemu tak, aby po wykonał
automatyczne zamknięcie systemu, w przypadku gdy
rejestrowanie nowych zdarzeń nie jest możliwe
z
Spowoduje to pojawienie się tzw. ekranu „Blue Screen of Death” z
komunikatem: STOP C00000244 [Audit Failed]
z
Po wystąpieniu tego błędu tylko członkowie grupy Administrator
będą mogli się zalogować w celu ustalenia przyczyny zatrzymania
rejestrowania
z
W celu uaktywnienia tej funkcji należy klucz rejestru:
HKLM\SYSTEM\CurrectConsolSet\Control\Lsa\CrashOnAuditFail
ustawić na wartość 1
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Zdarzenia podlegające inspekcji
z
Zdarzenia podlegające inspekcji:
–
Zdarzenia logowania na kontach
–
Zarządzanie kontami
–
Dostęp do usługi katalogowej
–
Zdarzenia logowania
–
Dostęp do obiektów
–
Zmiana zasad
–
Wykorzystanie przywilejów
–
Śledzenie procesów
–
Zdarzenia systemowe
z
Aktualny stan inspekcji dla poszczególnych obszarów sprawdzić
można przy pomocy przystawki MMC Local Security Policy
Zdarzenia logowania na kontach (1)
z
Operacja logowania do domeny przetwarzana jest
przez jeden z kontrolerów domeny
z
Próby logowania rejestrowane są przez ten kontroler,
który dokonał uwierzytelnienia
z
Zdarzenia logowania na kontach tworzone są w
momencie, gdy pakiet uwierzytelniający potwierdzi (lub
nie) tożsamość użytkownika
z
Inspekcję tego typu zdarzeń należy prowadzić na
wszystkich kontrolerach, a przed analizą wykonać
konsolidację dzienników ze wszystkich źródeł
Zdarzenia logowania na kontach (2)
z
Logowanie tych zdarzeń zawiera informacje na temat:
–
na jakie konto zachodzi próba logowania (jaki jest jego SID)
–
z jakiego komputera oraz domeny
–
jaki jest to typ logowania (interaktywne, sieciowe, wsadowe,
usługowe, itd.)
z
Typowe zdarzenia logowania na kontach zawierają
informację na temat:
–
wydania, potwierdzenia biletu
–
uwierzytelniania Kerberos
–
przemapowania konta na konto domenowe
–
problem z sesją
–
...
Zdarzenia zarządzania kontami
z
Każdy administrator ma możliwość przyznawania
innym kontom rozszerzonych praw i uprawnień, a
także tworzenia dodatkowych kont
z
Możliwe jest rejestrowanie zdarzeń:
–
utworzenie
–
zmiana lub usunięcie konta lub grupy
–
zmiana nazwy konta
–
włączenie lub wyłączenie, ustawienie lub zmiana hasła
–
zmiana zasad zabezpieczeń komputera
Inspekcja dostępu do usług
katalogowych
z
Umożliwia śledzenie zmian dokonywanych w usłudze Active
Directory
z
Przykład - obiekty Urzędu certyfikacji przedsiębiorstwa (CA)
–
przechowywane w kontenerze konfiguracji po zainstalowaniu
infrastruktury kluczy publicznych przedsiębiorstwa (Public Key
Infrastructure - PKI)
z
Oprócz włączenie inspekcji usługi katalogowej, należy dodatkowo
dla każdego obiektu lub atrybutu zdefiniować systemową listę
kontroli dostępu (SACL)
z
Inspekcję należy włączyć na wszystkich kontrolerach, najlepiej
poprzez utworzenie zasady inspekcji w obiekcie Zasad grupy na
poziomie domeny
Inspekcja zdarzeń logowania
z
Umożliwia śledzenie każdorazowego logowania i
wylogowywania użytkowników lub komputerów z
komputera
z
Jest rejestrowane przez dziennik zabezpieczeń
komputera, na którym wystąpiła próba logowania
z
W przypadku łączenia się z inną maszyną, zostanie
wygenerowane na komputerze zdalnym
z
Zdarzenia logowania tworzone są w momencie
utworzenia lub zniszczenia sesji logowania i
związanego z nią żetonu dostępu
Inspekcja zdarzeń logowania na
kontach a inspekcja zdarzeń logowania
z
Zdarzenia logowania na kontach są rejestrowane przez
ten komputer, który dokonuje uwierzytelnienia
z
Zdarzenia logowania są zapisywane w dzienniku
komputera, na którym konto zostało użyte
z
W przypadku inspekcji na kontrolerze domeny, wpisy
będą tworzone tylko dla logowania interaktywnego
oraz sieciowego
–
logowanie komputerów nie generuje wpisów
Inspekcja dostępu do obiektów (1)
z
Umożliwia śledzenie udanych oraz nieudanych prób
dostępu do zasobów plikowych, drukowania oraz do
rejestru systemowego
z
Wymaga określenia SACL dla każdego zasobu
–
SACL złożone są z wpisów kontroli dostępu (Access Control
Entry – ACE). Każdy z nich zawiera trzy fragmenty informacji:
z
Zwierzchnik zabezpieczeń (użytkownik, komputer), podlegający
inspekcji
z
Typ dostępu, który ma podlegać inspekcji – maska dostępu
z
Flaga informująca o typach rejestrowanych zdarzeń – sukcesu
lub niepowodzenia
Inspekcja dostępu do obiektów (2)
Inspekcja zmian zasad
z
Umożliwia śledzenie modyfikacji
dokonywanych w obszarach takich jak:
–
przypisywanie praw użytkowników
–
zasady inspekcji
–
domenowe relacje zaufania
z
Przydatne przy wykrywaniu prób dodawania
przywilejów (jak np. przywilej Debug czy Back
Up Files And Folders)
Inspekcja użycia uprawnień
z
Umożliwia rejestrowanie faktu wykorzystania jednego z
praw zezwalających na wykonanie procedury
z
Przykładowe zdarzenia rejestrowane przez tę
inspekcję:
–
zamykanie systemu lokalnego lub zdalnego
–
ładownie lub usuwanie sterowników urządzeń
–
przeglądanie dziennika zabezpieczeń
–
przejmowanie obiektów na własność
–
działanie jako element systemu operacyjnego
Inspekcja śledzenia procesów
z
Umożliwia stworzenie szczegółowego rejestru
wykonywanych procesów:
–
aktywizacja programu
–
zakończenie procesu
–
duplikowanie dojść
–
pośredni dostęp do obiektów
z
Jest idealnym narzędziem do krótkotrwałej
pracy, jak na przykład rozwiązywanie
problemów z działaniem aplikacji
Inspekcja zdarzeń systemowych
z
Umożliwia śledzenie zdarzeń polegających na
modyfikacji środowiska komputera
z
Typowe zdarzenia:
–
czyszczenie dziennika zabezpieczeń
–
zamykanie systemu na komputerze lokalnym
–
dokonywanie zmian w pakietach
uwierzytelniających działających na tym komputerze
Włączanie zasad prowadzenia
inspekcji
z
Można to uczynić korzystając z przystawki MMC Local
Security Policy (Zasady zabezpieczeń lokalnych) lub
poprzez zastosowanie szablonów zabezpieczeń
z
W przypadku komputerów należących do domeny
możliwe jest również zdalne włączenie inspekcji przy
użyciu Zasad grupy
z
Aby włączyć zasady prowadzenia inspekcji, należy:
–
otworzyć przystawkę
–
kliknąć gałąź Local Policies (Zasady lokalne) oraz Audit Policy
(Zasady prowadzenia inspekcji)
–
wybrać zasadę i we właściwościach wybrać rodzaj inspekcji
(sukces i/lub niepowodzenie)
Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows
z
Wprowadzenie do Active Directory
z
Wybieranie zdarzeń do inspekcji
z
Zarządzanie podglądem zdarzeń
z
Konfigurowanie zasad inspekcji
z
Monitorowanie rejestrowanych zdarzeń
Podgląd zdarzeń
z
Prosty program służący do przeglądania i analizy
danych zgromadzonych w dziennikach zdarzeń
z
Umożliwia wyświetlanie szczegółów, sortowanie oraz
filtrowanie zdarzeń oraz podłączanie do zdalnych
komputerów w celu zarządzania dziennikami
z
Brak możliwości konsolidacji zdarzeń
z
Możliwość eksportu do pliku
Niestandardowe skrypty (1)
z
Dumpel.exe (Dump Event Log)
–
Narzędzie wiersza polecenia kopiujące plik dziennika
komputera lokalnego lub zdalnego do pliku tekstowego
rozdzielanego tabulatorami
–
Umożliwia filtrowanie kopiowanych danych
z
EventQuery.pl
–
Skrypt Perlowy wyświetlający zdarzenia z dzienników w
formacie Event Viewer na komputerze lokalnym lub zdalnym
–
posiada szeroki zakres filtrów
Niestandardowe skrypty (2)
z
Eventlog.pl
–
Skrypt w języku Perl, umożliwiający skopiowanie i
wyczyszczenie plików dzienników oraz wyświetlenie
i zmianę właściwości dzienników na komputerze
lokalnym lub zdalnym
–
Użyteczny przy:
z
zmianie właściwości dzienników zdarzeń
z
wykonywaniu kopii zapasowych dzienników
z
eksportowaniu dzienników do plików tekstowych
z
czyszczeniu dzienników
Niestandardowe skrypty (3)
z
Event Comb
–
Umożliwia równoległe przeglądanie dzienników zdarzeń z wielu
komputerów
–
Umożliwia wyszukiwanie zdarzeń na podstawie zawartości
dowolnego pola w rekordzie zdarzenia w połączonych plikach
dzienników
–
Możliwości:
z
wyszukiwanie zdarzeń o konkretnym identyfikatorze lub należącym do
zdefiniowanej grupy
z
wyszukiwanie zdarzeń według zakresu
z
ograniczenie wyszukiwania do określonych dzienników
z
ograniczenie wyszukiwania do określonych typów informacji
z
ograniczenie wyszukiwania do konkretnych źródeł zdarzeń
z
wyszukiwanie tekstu w objaśnieniach zdarzeń
z
określenie przedziału czasowego, dla którego dzienniki mają być
skanowane
Agenda
z
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
z
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Monitoring i analiza liczników systemu
Windows
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
z
Inspekcja DHCP
z
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
z
Inspekcja DHCP
z
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Prowadzenie inspekcji
zabezpieczeń kontrolerów domeny
z
Włączenie inspekcji w domyślnych zasadach
dla kontrolerów domeny gwarantuje, że
ewentualne ataki na kontrolery domeny
zostaną wykryte
z
Inspekcja umożliwia rejestrowanie zdarzeń w
dzienniku zabezpieczeń systemu
z
Rejestr ten może być pomocny przy
wykrywaniu prób włamania oraz ataków innego
typu (jak np. DoS – Denial of Service)
Prowadzenie inspekcji
zabezpieczeń kontrolerów domeny
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
z
Inspekcja DHCP
z
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Inspekcja DHCP
z
Włączenie inspekcji DHCP na serwerze pozwoli ustalić, którzy
klienci DHCP łączą się z serwerem DHCP oraz określenia
pochodzenia wpisów BAD_ADDRES,
z
W tym celu należy włączyć opcję Enable DHCP Auditing Logging
w konsoli konfiguracyjnej serwera DHCP
z
Codzienne pliki dzienników tworzone są w folderze
%windir%\system32\dhcp
z
Możliwe jest również dostosowanie inspekcji poprzez modyfikację
klucza w rejestrze:
HKLM\SYSTEM\CurrentControlSet\Services\DhcpServer\Paramet
ers\DhcplogFilesMaxSize
definiującego maksymalny rozmiar plików dzienników DHCP
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny
z
Inspekcja DHCP
z
Logi i zabezpieczenia internetowych usług
informacyjnych IIS
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (1)
z
Konfiguracja poprzez przystawkę IIS
z
Możliwość ustawienia parametrów dziennika:
–
czas tworzenia kolejnego pliku dziennika
–
katalog pliku wpisów
–
obiekty, które będą rejestrowane
z
Dla każdego zasobu z puli można decydować
czy wpisy o jego „odwiedzeniu” mają być
rejestrowane czy nie
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (2)
z
Możliwe jest zwiększenie domyślnych zabezpieczeń:
–
zastosowanie certyfikatów
–
zastosowanie kanałów SSL
–
odmowa dostępu wybranych komputerom lub sieciom
z
Możliwa jest również konfiguracja metod
uwierzytelniania hasła:
–
dostęp anonimowy
–
uwierzytelnianie zintegrowane
–
hasło szyfrowane
z
Można również limitować pasmo przeznaczone dla
poszczególnych daemonów pakietu IIS
Logi i zabezpieczenia internetowych
usług informacyjnych IIS (3)
z
Dodatkowe narzędzia, umożliwiające zabezpieczenie
serwera IIS:
–
IIS Lockdown
z
ustawienie szablonu serwera
z
limitowanie rodzaju skryptów – mapowanie skryptów
z
usunięcie zbędnych składników systemu
–
filtr URLScan
z
porównywanie żądań z plikiem konfiguracyjnym pod względem
poprawności
z
Narzędzia te usuwają znane słabości konfiguracji IIS i
zapewniają filtry chroniące przed typowymi atakami
kierowanymi przeciwko serwerowi IIS
Agenda
z
Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows
z
Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows
z
Monitoring i analiza liczników systemu
Windows
Monitoring i analiza liczników
systemu Windows
z
Monitorowanie IPSec
z
Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows
Monitoring i analiza liczników
systemu Windows
z
Monitorowanie IPSec
z
Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows
Monitorowanie IPSec (1)
z
IPSec szyfruje przesyłane treści po wysłaniu ich przez aplikację
po stronie klienta, po czym rozszyfrowuje je przed przekazaniem
ich do aplikacji na serwerze
z
Aplikacje nie muszą posiadać funkcji obsługi IPSec, gdyż dane
przekazywanie pomiędzy klientem i serwerem są przesyłane
zazwyczaj w postaci zwykłego tekstu
z
IPSec składa się z dwóch protokołów
–
IPSec Authentication Header (AH) – zapewnienie integralności
pakietów
–
IPSec Encapsulating Security Payload (ESP) – gwarantuje poufność
z
Protokoły działają w dwóch trybach (trybie transportowym oraz
tunelowania) przy użyciu trzech różnych metod uwierzytelniania:
–
przy pomocy mechanizmu Kerberos
–
Przy użyciu certyfikatów X.509
–
Przy użyciu zdefiniowanego klucza
Monitorowanie IPSec (2)
z
Możliwe monitorowanie IPSec przy użyciu programu
Ipsecmon.exe lub przystawki IP Security Monitor
z
IPSec może rejestrować wymiany kluczy internetowych
w pliku dziennika na dysku twardym komputera
z
W celu włączenia rejestrowania wymian kluczy
internetowych, należy w kluczu rejestru
HKLM\System\CurrentControlSet\Services\PolicyAgent
\Oakley
utworzyć wpis o nazwie EnableLogging a następnie
przypisać mu wartość 1
z
Dane dziennika zapisywane są w pliku
%systemroot%\debug\oakley.log
Monitoring i analiza liczników
systemu Windows
z
Monitorowanie IPSec
z
Omówienie instalacji oraz możliwości
protokołu SNMP oraz narzędzia prezentacji
parametrów liczników wydajności MRTG na
platformach Windows
Protokół SNMP (1)
z
SNMP: Simple Network Management Protocol
z
Narzędzie służące do konfiguracji i nadzorowania
urządzeń sieciowych i hostów działających w sieciach
IP
z
Możliwość monitorowania poprzez sterowanie
poszczególnymi urządzeniami oraz zarządzania z
wykorzystaniem dedykowanych pakietów
oprogramowania całymi sieciami
z
Standaryzowany (przez IETF Network Management
Research Group Charter (NMRG))
z
Relatywna łatwość pisania agentów i narzędzi
zarządzających
Protokół SNMP (2)
z
Na nadzorowanym systemie/węźle instaluje się tak zwanego
agenta, tj. program działający w trybie usługi/daemona
odpowiadający na żądania stacji zarządzających (tj. klientów),
wydających zlecenia agentowi
z
Zlecenia te mogą odnosić się do pobrania pewnej wartości (GET,
GET-NEXT, GET-BULK, GetNextRequest), ustawienia wartości
(SET)
z
W wypadku agentów SNMP w Windows NT i 2000
uwierzytelnianie odbywa się za pomocą tak zwanej community
(znaku współposiadania, wspólnoty), wywodzącej się z protokołu
SNMP v1 i SNMP v2c
z
W SNMP v3 domyślną metodą uwierzytelniania jest User Security
Model, zawierający oddzielne identyfikatory dla różnych
użytkowników oraz hasła szyfrowane w czasie transmisji
mRTG (1)
z
mRTG: Multi Router Traffic Grapher
z
Proste narzędzie administracyjne używane do
monitorowania ruchu w sieci
z
Z usługi SNMP pobiera informacje o stanie sieci czy
innych zasobów serwera i na ich podstawie tworzy
strony HTML z wykresami np. ilości danych
przesyłanych przez łącze
z
Generuje czytelne wykresy ruchu w sieci oraz
ogólnego wykorzystania komputera w ostatnim
tygodniu, miesiącu lub roku
mRTG (2)
z
Instalacja mRTG:
–
Zainstalować SNMP:
z
w Panelu Sterowania należy wybrać Dodaj/Usuń programy
z
następnie Dodaj/Usuń składniki Windows
z
składnik Narzędzia zarządzania i monitorowania
z
Sczegóły -> Protokół Simple Network Management
Protocol
mRTG (3)
z
Instalacja mRTG (c.d.):
–
Ustalić nazwę grupy:
z
Narzędzia Administracyjne -> Usługi -> SNMP Service
z
w zakładce Bezpieczeństwo, w polu Akceptowane nazwy
społeczności po kliknięciu przycisku Dodaj, w oknie, które
się pokaże, należy wybrać opcję TYLKO DO ODCZYTU i
wpisać nazwę community
–
domyślna nazwa, to Public
z
Sprawdzić czy wybrana jest opcja Akceptuj pakiety SNMP
z tych hostów i czy na liście jest tylko jeden host, tzn.
localhost
mRTG (4)
z
Instalacja mRTG (c.d.):
–
Pobrać i zainstalować ActivePerl
z
mRTG jest skompilowanym programem napisanym w
języku C i skryptem Perl
–
Pobrać i rozpakować mRTG
Pomocna literatura
1.
Ben Smith, Brian Komar i Microsoft Security Team, „Microsoft
®
Windows
®
Security Resource Kit”, Microsoft
®
Press
2.
Mitch Tulloch, „Microsoft
®
Encyclopedia of Security”, Microsoft
®
Press
3.
The Microsoft
®
IIS Team, „Internet Information Services (IIS) 6
Resource Kit”, Microsoft
®
Press
4.
William R. Stanek, „Vademecum Administratora Microsoft
®
IIS
6.0”, Microsoft
®
Press
5.
David Iseminger, „Usługi Active Directory dla Microsoft
®
Windows
®
2000 Server Przewodnik Techniczny”, Microsoft
®
Press
6.
Mike Mulcare, Stan Reimer, „Active Directory for Microsoft
®
Windows
®
Server 2003 Technical Reference”, Microsoft
®
Press
7.
Ed Bott, Carl Siechert, „Bezpieczeństwo Microsoft
®
Windows
®
XP i Windows
®
2000 dla ekspertów”, Microsoft
®
Press
Dziękujemy
Piotr Powroźnik
Bartosz Piec