monitorowanie zabezpieczen wind Nieznany

background image

Monitorowanie i logi

systemu Windows

Piotr Powroźnik
Bartosz Piec

background image

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows

z

Monitoring i analiza liczników systemu
Windows

background image

Agenda

z

Inspekcja zdarzeń zabezpieczeń w
Microsoft Windows

z

Inspekcja zdarzeń usług sieciowych i serwisów
systemu Windows

z

Monitoring i analiza liczników systemu
Windows

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Wprowadzenie do

Active Directory (1)

z

Zarządzanie domeną Windows

z

Wprowadzona w Windows 2000

z

Domena – grupa komputerów połączona w sieć,

składająca się z serwera pełniącego rolę kontrolera

domeny oraz stacji roboczych – klientów

z

Baza użytkowników przechowywana tylko na serwerze

z

Prostsze zarządzanie siecią

background image

Wprowadzenie do

Active Directory (2)

background image

Drzewa i lasy (1)

z

Active Directory wykorzystuje drzewa i lasy

z

Zapewnienie logicznych powiązań i formacji,
które definiują sposób i rozmiar w jakim
domeny mają się komunikować

background image

Drzewo

z

Hierarchiczna kolekcja domen ułożonych w ciągłej

przestrzeni nazw

z

Domeny w drzewie są połączone przeźroczyście przy

pomocy dwukierunkowych przechodnich relacji

zaufania Kerberos

z

Domeny w obrębie pojedynczego drzewa posiadają

wspólną przestrzeń nazw i hierarchiczną strukturę

nazw

z

Nazwa domeny-dziecka jest relatywną nazwą tej

domeny-dziecka z dołączoną nazwą domeny-rodzica

background image

Las

z

Zgrupowanie jednego lub większej ilości

drzew, które uczestniczą w wspólnym systemie

komunikacyjnym

z

W obrębie lasu istnieje pojedynczy schemat

replikacji, który jest kontrolowany poprzez

nadrzędny schemat serwera w domenie

korzenia

z

Zaufania Kerberos nigdy nie są przechodnie

między drzewami

background image

Drzewa i lasy (2)

background image

Zastosowanie lasu

z

Potrzeba utrzymania oddzielnych schematów

z

Odległe lasy, w celu zapewnienia separacji
pomiędzy wewnętrznymi i zewnętrznymi
zasobami DNS

z

Korzystanie z więcej niż jednego drzewa w
pojedynczym lesie powinno być
wykorzystywane tylko w razie takiej
konieczności

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Wybieranie zdarzeń do inspekcji (1)

z

Żadna strategia projektowania zabezpieczeń nie może

być pełna bez uwzględnienia szczegółowej strategii

inspekcji

z

Konieczne jest zaplanowanie całościowej strategii

inspekcji

z

Powody, dla których należy włączyć inspekcję i

monitorować dzienniki zdarzeń:

Aby określić poziom odniesienia dla normalnego działania

sieci i komputerów

Aby wykryć próby włamania do sieci lub konkretnej maszyny

W celu określenia, które dane i systemy zostały zinfiltrowane w

trakcie incydentu lub po nim

background image

Wybieranie zdarzeń do inspekcji (2)

background image

Tworzenie planu inspekcji systemu

z

Określenie, jakie rodzaje działań lub operacji

mają być rejestrowane

z

Zdarzenia podlegające inspekcji w systemach

Windows opartych o jądro NT:

zdarzenia sukcesu (podjęta akcja została pomyślnie

zakończona przez system)

zdarzenia niepowodzenia (użyteczne przy śledzeniu

prób ataku na obserwowane środowisko sieciowe

lub komputer)

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Zarządzanie podglądem zdarzeń

z

Wszystkie zdarzenia

dotyczące zabezpieczeń w

systemach NT są

rejestrowane w dzienniku

zabezpieczeń dostępnym

poprzez narzędzie Event

Viewer

z

Dla każdego pliku dziennika

możliwe jest określenie:

położenia

maksymalnego rozmiaru

sposobu postępowania w

przypadku przepełnienia

background image

Określenie lokalizacji pliku

dziennika

z

Domyślnie - %systemroot%\system32\config w pliku

SecEvent.evt

z

W systemie Windows XP, lokalizację pliku można

zmienić poprzez okno dialogowe Podglądu zdarzeń

z

W systemie Windows NT oraz 2000 można to zmienić

poprzez edycję rejestru:

HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\

Security

z

Domyślnie dostęp do niego jest ograniczony dla konta

System oraz grupy Administratorów

background image

Określenie maksymalnego

rozmiaru pliku dziennika

z

Standardowo 512 kB

z

Rozmiar nie powinien przekraczać 300 MB

z

Zmiany rozmiaru można dokonać w karcie Właściwości
lub poprzez Szablony zabezpieczeń i Zasady grupy

z

Maksymalna wielkość pliku dziennika zabezpieczeń
przechowywana jest w rejestrze w kluczu:
HKLM\SYSTEM\CurrectConsolSet\Services\Eventlog\
Security\MaxSize

background image

Konfigurowanie zastępowania

wpisów (1)

z

Określenie co ma się wydarzyć, gdy osiągnięty
zostanie ustawiony wcześniej maksymalny rozmiar
pliku dziennika (zachowania zastępowania)

Overwrite Events As Needed (Zastąp zdarzenia w razie
potrzeby) – usuwany jest najstarszy wpis

Overwrite Events Older Than [x] Days (Zastąp zdarzenia
starsze niż) – zdarzenia są przechowywane przez określony
czas, zanim zaczną być zastępowane przez nowe

Do not Overwrite Events (Nie zastępuj zdarzeń) – zdarzenia
nie będą rejestrowane po zapełnieniu pliku dziennika

background image

Konfigurowanie zastępowania

wpisów (2)

z

Możliwe jest skonfigurowanie systemu tak, aby po wykonał
automatyczne zamknięcie systemu, w przypadku gdy
rejestrowanie nowych zdarzeń nie jest możliwe

z

Spowoduje to pojawienie się tzw. ekranu „Blue Screen of Death” z
komunikatem: STOP C00000244 [Audit Failed]

z

Po wystąpieniu tego błędu tylko członkowie grupy Administrator
będą mogli się zalogować w celu ustalenia przyczyny zatrzymania
rejestrowania

z

W celu uaktywnienia tej funkcji należy klucz rejestru:
HKLM\SYSTEM\CurrectConsolSet\Control\Lsa\CrashOnAuditFail
ustawić na wartość 1

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Zdarzenia podlegające inspekcji

z

Zdarzenia podlegające inspekcji:

Zdarzenia logowania na kontach

Zarządzanie kontami

Dostęp do usługi katalogowej

Zdarzenia logowania

Dostęp do obiektów

Zmiana zasad

Wykorzystanie przywilejów

Śledzenie procesów

Zdarzenia systemowe

z

Aktualny stan inspekcji dla poszczególnych obszarów sprawdzić

można przy pomocy przystawki MMC Local Security Policy

background image

Zdarzenia logowania na kontach (1)

z

Operacja logowania do domeny przetwarzana jest

przez jeden z kontrolerów domeny

z

Próby logowania rejestrowane są przez ten kontroler,

który dokonał uwierzytelnienia

z

Zdarzenia logowania na kontach tworzone są w

momencie, gdy pakiet uwierzytelniający potwierdzi (lub

nie) tożsamość użytkownika

z

Inspekcję tego typu zdarzeń należy prowadzić na

wszystkich kontrolerach, a przed analizą wykonać

konsolidację dzienników ze wszystkich źródeł

background image

Zdarzenia logowania na kontach (2)

z

Logowanie tych zdarzeń zawiera informacje na temat:

na jakie konto zachodzi próba logowania (jaki jest jego SID)

z jakiego komputera oraz domeny

jaki jest to typ logowania (interaktywne, sieciowe, wsadowe,

usługowe, itd.)

z

Typowe zdarzenia logowania na kontach zawierają

informację na temat:

wydania, potwierdzenia biletu

uwierzytelniania Kerberos

przemapowania konta na konto domenowe

problem z sesją

...

background image

Zdarzenia zarządzania kontami

z

Każdy administrator ma możliwość przyznawania
innym kontom rozszerzonych praw i uprawnień, a
także tworzenia dodatkowych kont

z

Możliwe jest rejestrowanie zdarzeń:

utworzenie

zmiana lub usunięcie konta lub grupy

zmiana nazwy konta

włączenie lub wyłączenie, ustawienie lub zmiana hasła

zmiana zasad zabezpieczeń komputera

background image

Inspekcja dostępu do usług

katalogowych

z

Umożliwia śledzenie zmian dokonywanych w usłudze Active

Directory

z

Przykład - obiekty Urzędu certyfikacji przedsiębiorstwa (CA)

przechowywane w kontenerze konfiguracji po zainstalowaniu

infrastruktury kluczy publicznych przedsiębiorstwa (Public Key

Infrastructure - PKI)

z

Oprócz włączenie inspekcji usługi katalogowej, należy dodatkowo

dla każdego obiektu lub atrybutu zdefiniować systemową listę

kontroli dostępu (SACL)

z

Inspekcję należy włączyć na wszystkich kontrolerach, najlepiej

poprzez utworzenie zasady inspekcji w obiekcie Zasad grupy na

poziomie domeny

background image

Inspekcja zdarzeń logowania

z

Umożliwia śledzenie każdorazowego logowania i

wylogowywania użytkowników lub komputerów z

komputera

z

Jest rejestrowane przez dziennik zabezpieczeń

komputera, na którym wystąpiła próba logowania

z

W przypadku łączenia się z inną maszyną, zostanie

wygenerowane na komputerze zdalnym

z

Zdarzenia logowania tworzone są w momencie

utworzenia lub zniszczenia sesji logowania i

związanego z nią żetonu dostępu

background image

Inspekcja zdarzeń logowania na

kontach a inspekcja zdarzeń logowania

z

Zdarzenia logowania na kontach są rejestrowane przez
ten komputer, który dokonuje uwierzytelnienia

z

Zdarzenia logowania są zapisywane w dzienniku
komputera, na którym konto zostało użyte

z

W przypadku inspekcji na kontrolerze domeny, wpisy
będą tworzone tylko dla logowania interaktywnego
oraz sieciowego

logowanie komputerów nie generuje wpisów

background image

Inspekcja dostępu do obiektów (1)

z

Umożliwia śledzenie udanych oraz nieudanych prób

dostępu do zasobów plikowych, drukowania oraz do

rejestru systemowego

z

Wymaga określenia SACL dla każdego zasobu

SACL złożone są z wpisów kontroli dostępu (Access Control

Entry – ACE). Każdy z nich zawiera trzy fragmenty informacji:

z

Zwierzchnik zabezpieczeń (użytkownik, komputer), podlegający

inspekcji

z

Typ dostępu, który ma podlegać inspekcji – maska dostępu

z

Flaga informująca o typach rejestrowanych zdarzeń – sukcesu

lub niepowodzenia

background image

Inspekcja dostępu do obiektów (2)

background image

Inspekcja zmian zasad

z

Umożliwia śledzenie modyfikacji
dokonywanych w obszarach takich jak:

przypisywanie praw użytkowników

zasady inspekcji

domenowe relacje zaufania

z

Przydatne przy wykrywaniu prób dodawania
przywilejów (jak np. przywilej Debug czy Back
Up Files And Folders
)

background image

Inspekcja użycia uprawnień

z

Umożliwia rejestrowanie faktu wykorzystania jednego z
praw zezwalających na wykonanie procedury

z

Przykładowe zdarzenia rejestrowane przez tę
inspekcję:

zamykanie systemu lokalnego lub zdalnego

ładownie lub usuwanie sterowników urządzeń

przeglądanie dziennika zabezpieczeń

przejmowanie obiektów na własność

działanie jako element systemu operacyjnego

background image

Inspekcja śledzenia procesów

z

Umożliwia stworzenie szczegółowego rejestru

wykonywanych procesów:

aktywizacja programu

zakończenie procesu

duplikowanie dojść

pośredni dostęp do obiektów

z

Jest idealnym narzędziem do krótkotrwałej

pracy, jak na przykład rozwiązywanie

problemów z działaniem aplikacji

background image

Inspekcja zdarzeń systemowych

z

Umożliwia śledzenie zdarzeń polegających na
modyfikacji środowiska komputera

z

Typowe zdarzenia:

czyszczenie dziennika zabezpieczeń

zamykanie systemu na komputerze lokalnym

dokonywanie zmian w pakietach
uwierzytelniających działających na tym komputerze

background image

Włączanie zasad prowadzenia

inspekcji

z

Można to uczynić korzystając z przystawki MMC Local

Security Policy (Zasady zabezpieczeń lokalnych) lub

poprzez zastosowanie szablonów zabezpieczeń

z

W przypadku komputerów należących do domeny

możliwe jest również zdalne włączenie inspekcji przy

użyciu Zasad grupy

z

Aby włączyć zasady prowadzenia inspekcji, należy:

otworzyć przystawkę

kliknąć gałąź Local Policies (Zasady lokalne) oraz Audit Policy

(Zasady prowadzenia inspekcji)

wybrać zasadę i we właściwościach wybrać rodzaj inspekcji

(sukces i/lub niepowodzenie)

background image

Inspekcja zdarzeń zabezpieczeń w

Microsoft Windows

z

Wprowadzenie do Active Directory

z

Wybieranie zdarzeń do inspekcji

z

Zarządzanie podglądem zdarzeń

z

Konfigurowanie zasad inspekcji

z

Monitorowanie rejestrowanych zdarzeń

background image

Podgląd zdarzeń

z

Prosty program służący do przeglądania i analizy
danych zgromadzonych w dziennikach zdarzeń

z

Umożliwia wyświetlanie szczegółów, sortowanie oraz
filtrowanie zdarzeń oraz podłączanie do zdalnych
komputerów w celu zarządzania dziennikami

z

Brak możliwości konsolidacji zdarzeń

z

Możliwość eksportu do pliku

background image

Niestandardowe skrypty (1)

z

Dumpel.exe (Dump Event Log)

Narzędzie wiersza polecenia kopiujące plik dziennika
komputera lokalnego lub zdalnego do pliku tekstowego
rozdzielanego tabulatorami

Umożliwia filtrowanie kopiowanych danych

z

EventQuery.pl

Skrypt Perlowy wyświetlający zdarzenia z dzienników w
formacie Event Viewer na komputerze lokalnym lub zdalnym

posiada szeroki zakres filtrów

background image

Niestandardowe skrypty (2)

z

Eventlog.pl

Skrypt w języku Perl, umożliwiający skopiowanie i

wyczyszczenie plików dzienników oraz wyświetlenie

i zmianę właściwości dzienników na komputerze

lokalnym lub zdalnym

Użyteczny przy:

z

zmianie właściwości dzienników zdarzeń

z

wykonywaniu kopii zapasowych dzienników

z

eksportowaniu dzienników do plików tekstowych

z

czyszczeniu dzienników

background image

Niestandardowe skrypty (3)

z

Event Comb

Umożliwia równoległe przeglądanie dzienników zdarzeń z wielu

komputerów

Umożliwia wyszukiwanie zdarzeń na podstawie zawartości

dowolnego pola w rekordzie zdarzenia w połączonych plikach

dzienników

Możliwości:

z

wyszukiwanie zdarzeń o konkretnym identyfikatorze lub należącym do

zdefiniowanej grupy

z

wyszukiwanie zdarzeń według zakresu

z

ograniczenie wyszukiwania do określonych dzienników

z

ograniczenie wyszukiwania do określonych typów informacji

z

ograniczenie wyszukiwania do konkretnych źródeł zdarzeń

z

wyszukiwanie tekstu w objaśnieniach zdarzeń

z

określenie przedziału czasowego, dla którego dzienniki mają być

skanowane

background image

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows

z

Monitoring i analiza liczników systemu
Windows

background image

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

background image

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

background image

Prowadzenie inspekcji

zabezpieczeń kontrolerów domeny

z

Włączenie inspekcji w domyślnych zasadach

dla kontrolerów domeny gwarantuje, że

ewentualne ataki na kontrolery domeny

zostaną wykryte

z

Inspekcja umożliwia rejestrowanie zdarzeń w

dzienniku zabezpieczeń systemu

z

Rejestr ten może być pomocny przy

wykrywaniu prób włamania oraz ataków innego

typu (jak np. DoS Denial of Service)

background image

Prowadzenie inspekcji

zabezpieczeń kontrolerów domeny

background image

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

background image

Inspekcja DHCP

z

Włączenie inspekcji DHCP na serwerze pozwoli ustalić, którzy

klienci DHCP łączą się z serwerem DHCP oraz określenia

pochodzenia wpisów BAD_ADDRES,

z

W tym celu należy włączyć opcję Enable DHCP Auditing Logging

w konsoli konfiguracyjnej serwera DHCP

z

Codzienne pliki dzienników tworzone są w folderze

%windir%\system32\dhcp

z

Możliwe jest również dostosowanie inspekcji poprzez modyfikację

klucza w rejestrze:

HKLM\SYSTEM\CurrentControlSet\Services\DhcpServer\Paramet

ers\DhcplogFilesMaxSize

definiującego maksymalny rozmiar plików dzienników DHCP

background image

Inspekcja zdarzeń usług sieciowych i

serwisów systemu Windows

z

Prowadzenie inspekcji zabezpieczeń
kontrolerów domeny

z

Inspekcja DHCP

z

Logi i zabezpieczenia internetowych usług
informacyjnych IIS

background image

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (1)

z

Konfiguracja poprzez przystawkę IIS

z

Możliwość ustawienia parametrów dziennika:

czas tworzenia kolejnego pliku dziennika

katalog pliku wpisów

obiekty, które będą rejestrowane

z

Dla każdego zasobu z puli można decydować
czy wpisy o jego „odwiedzeniu” mają być
rejestrowane czy nie

background image

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (2)

z

Możliwe jest zwiększenie domyślnych zabezpieczeń:

zastosowanie certyfikatów

zastosowanie kanałów SSL

odmowa dostępu wybranych komputerom lub sieciom

z

Możliwa jest również konfiguracja metod

uwierzytelniania hasła:

dostęp anonimowy

uwierzytelnianie zintegrowane

hasło szyfrowane

z

Można również limitować pasmo przeznaczone dla

poszczególnych daemonów pakietu IIS

background image

Logi i zabezpieczenia internetowych

usług informacyjnych IIS (3)

z

Dodatkowe narzędzia, umożliwiające zabezpieczenie

serwera IIS:

IIS Lockdown

z

ustawienie szablonu serwera

z

limitowanie rodzaju skryptów – mapowanie skryptów

z

usunięcie zbędnych składników systemu

filtr URLScan

z

porównywanie żądań z plikiem konfiguracyjnym pod względem

poprawności

z

Narzędzia te usuwają znane słabości konfiguracji IIS i

zapewniają filtry chroniące przed typowymi atakami

kierowanymi przeciwko serwerowi IIS

background image

Agenda

z

Inspekcja zdarzeń zabezpieczeń w Microsoft
Windows

z

Inspekcja zdarzeń usług sieciowych i
serwisów systemu Windows

z

Monitoring i analiza liczników systemu
Windows

background image

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows

background image

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości protokołu
SNMP oraz narzędzia prezentacji parametrów
liczników wydajności MRTG na platformach
Windows

background image

Monitorowanie IPSec (1)

z

IPSec szyfruje przesyłane treści po wysłaniu ich przez aplikację

po stronie klienta, po czym rozszyfrowuje je przed przekazaniem

ich do aplikacji na serwerze

z

Aplikacje nie muszą posiadać funkcji obsługi IPSec, gdyż dane

przekazywanie pomiędzy klientem i serwerem są przesyłane

zazwyczaj w postaci zwykłego tekstu

z

IPSec składa się z dwóch protokołów

IPSec Authentication Header (AH) – zapewnienie integralności

pakietów

IPSec Encapsulating Security Payload (ESP) – gwarantuje poufność

z

Protokoły działają w dwóch trybach (trybie transportowym oraz

tunelowania) przy użyciu trzech różnych metod uwierzytelniania:

przy pomocy mechanizmu Kerberos

Przy użyciu certyfikatów X.509

Przy użyciu zdefiniowanego klucza

background image

Monitorowanie IPSec (2)

z

Możliwe monitorowanie IPSec przy użyciu programu

Ipsecmon.exe lub przystawki IP Security Monitor

z

IPSec może rejestrować wymiany kluczy internetowych

w pliku dziennika na dysku twardym komputera

z

W celu włączenia rejestrowania wymian kluczy

internetowych, należy w kluczu rejestru

HKLM\System\CurrentControlSet\Services\PolicyAgent

\Oakley

utworzyć wpis o nazwie EnableLogging a następnie

przypisać mu wartość 1

z

Dane dziennika zapisywane są w pliku

%systemroot%\debug\oakley.log

background image

Monitoring i analiza liczników

systemu Windows

z

Monitorowanie IPSec

z

Omówienie instalacji oraz możliwości
protokołu SNMP oraz narzędzia prezentacji
parametrów liczników wydajności MRTG na
platformach Windows

background image

Protokół SNMP (1)

z

SNMP: Simple Network Management Protocol

z

Narzędzie służące do konfiguracji i nadzorowania

urządzeń sieciowych i hostów działających w sieciach

IP

z

Możliwość monitorowania poprzez sterowanie

poszczególnymi urządzeniami oraz zarządzania z

wykorzystaniem dedykowanych pakietów

oprogramowania całymi sieciami

z

Standaryzowany (przez IETF Network Management

Research Group Charter (NMRG))

z

Relatywna łatwość pisania agentów i narzędzi

zarządzających

background image

Protokół SNMP (2)

z

Na nadzorowanym systemie/węźle instaluje się tak zwanego

agenta, tj. program działający w trybie usługi/daemona

odpowiadający na żądania stacji zarządzających (tj. klientów),

wydających zlecenia agentowi

z

Zlecenia te mogą odnosić się do pobrania pewnej wartości (GET,

GET-NEXT, GET-BULK, GetNextRequest), ustawienia wartości

(SET)

z

W wypadku agentów SNMP w Windows NT i 2000

uwierzytelnianie odbywa się za pomocą tak zwanej community

(znaku współposiadania, wspólnoty), wywodzącej się z protokołu

SNMP v1 i SNMP v2c

z

W SNMP v3 domyślną metodą uwierzytelniania jest User Security

Model, zawierający oddzielne identyfikatory dla różnych

użytkowników oraz hasła szyfrowane w czasie transmisji

background image

mRTG (1)

z

mRTG: Multi Router Traffic Grapher

z

Proste narzędzie administracyjne używane do

monitorowania ruchu w sieci

z

Z usługi SNMP pobiera informacje o stanie sieci czy

innych zasobów serwera i na ich podstawie tworzy

strony HTML z wykresami np. ilości danych

przesyłanych przez łącze

z

Generuje czytelne wykresy ruchu w sieci oraz

ogólnego wykorzystania komputera w ostatnim

tygodniu, miesiącu lub roku

background image

mRTG (2)

z

Instalacja mRTG:

Zainstalować SNMP:

z

w Panelu Sterowania należy wybrać Dodaj/Usuń programy

z

następnie Dodaj/Usuń składniki Windows

z

składnik Narzędzia zarządzania i monitorowania

z

Sczegóły -> Protokół Simple Network Management
Protocol

background image

mRTG (3)

z

Instalacja mRTG (c.d.):

Ustalić nazwę grupy:

z

Narzędzia Administracyjne -> Usługi -> SNMP Service

z

w zakładce Bezpieczeństwo, w polu Akceptowane nazwy

społeczności po kliknięciu przycisku Dodaj, w oknie, które

się pokaże, należy wybrać opcję TYLKO DO ODCZYTU i

wpisać nazwę community

domyślna nazwa, to Public

z

Sprawdzić czy wybrana jest opcja Akceptuj pakiety SNMP

z tych hostów i czy na liście jest tylko jeden host, tzn.

localhost

background image

mRTG (4)

z

Instalacja mRTG (c.d.):

Pobrać i zainstalować ActivePerl

z

mRTG jest skompilowanym programem napisanym w
języku C i skryptem Perl

Pobrać i rozpakować mRTG

background image

Pomocna literatura

1.

Ben Smith, Brian Komar i Microsoft Security Team, „Microsoft

®

Windows

®

Security Resource Kit”, Microsoft

®

Press

2.

Mitch Tulloch, „Microsoft

®

Encyclopedia of Security”, Microsoft

®

Press

3.

The Microsoft

®

IIS Team, „Internet Information Services (IIS) 6

Resource Kit”, Microsoft

®

Press

4.

William R. Stanek, „Vademecum Administratora Microsoft

®

IIS

6.0”, Microsoft

®

Press

5.

David Iseminger, „Usługi Active Directory dla Microsoft

®

Windows

®

2000 Server Przewodnik Techniczny”, Microsoft

®

Press

6.

Mike Mulcare, Stan Reimer, „Active Directory for Microsoft

®

Windows

®

Server 2003 Technical Reference”, Microsoft

®

Press

7.

Ed Bott, Carl Siechert, „Bezpieczeństwo Microsoft

®

Windows

®

XP i Windows

®

2000 dla ekspertów”, Microsoft

®

Press

background image

Dziękujemy

Piotr Powroźnik
Bartosz Piec


Wyszukiwarka

Podobne podstrony:
monitor konwergencji nominalnej Nieznany
3 Zabezpieczenia w instalacjach Nieznany
monitoring serologiczny u brojl Nieznany
2008 06 Monitoring zabezpieczeń
Monitorowanie parametrow sieci Nieznany
prezentacja ejb3 monitor id 390 Nieznany
4 ZASADY DOBORU ZABEZPIECZEN id Nieznany
Badanie zabezpieczenia silnikow Nieznany
Monitoring i bezpieczenstwo sie Nieznany
01 Zabezpieczenia i zasilacz s Nieznany (2)
1 Monitory komputeroweid 9478 Nieznany
monitory id 307359 Nieznany
opracowania wym zabezp instal e Nieznany
Ekonomiczny monitor id 156435 Nieznany
monitor id 307220 Nieznany

więcej podobnych podstron