12. Просмотр статистики системы

В этой главе показано, как просматривать файл регистрации системы, который является очень полезным средством для обнаружения атак и контроля работы межсетевого экрана.

Что такое файл системной статистики?

Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.

Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.

Что такое фильтр системы сбора статистики?

Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.

Фильтр разрешает только просматривать информацию, записанной в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.

12.1 Использование графического интерфейса пользователя.

Для получения доступа к окну просмотра, надо выполнить следующие действия:

• Выберите пункт Просмотр в главном окне
• Выберите опцию Статистика

Окно фильтрации статистики

Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:

По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Initial Date и Final Date, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).

Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями Source IP и Source Mask. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля Destination IP и Destination Mask.

Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Destination Port or Type of service. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.

! Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.

Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.

Действия:

Описывает действие, проделанное системой над пакетом. Возможны следующие опции:

Любой

Показывает все пакеты.

Accepted

Показывает только пропущенные пакеты.

Rejected

Показывает только блокированные пакеты

Discarded

Показывает только отброшенные пакеты.

Translated

Показывает только сообщения, связанные с трансляцией адресов пакетов.

Priority:

Различные типы сообщений имеют разные приоритеты. Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщения в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).

! Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.

Any

Показывает записи с любым приоритетом.

Warning

Записи с этим приоритетом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ошибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии.

Notice

Как правило, записи с этим приоритетом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил. Иногда им предшествуют более поясняющие суть события сообщения.

Information

Записи с этим приоритетом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритетом генерируются пакетами, пропущенными межсетевым экраном.

Debug

Записи с этим приоритетом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов

Module:

Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.

Protocol:

Это поле описывает протокол для выводимых записей. Допустимы следующие опции:

Any

Показывает записи с любым протоколом.

TCP

Показывает только записи, относящиеся к TCP пакетам.

TCP/SYN

Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN).

UDP

Показывает только записи, относящиеся к UDP пакетам.

ICMP

Показывает только записи, относящиеся к ICMP пакетам.

Others

Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Destination Port или Type of Service. Кнопка OK накладывает выбранный фильтр и показывает окно статистики с выбранной информацией.
Кнопка Cancel отменяет действие фильтра и параметры в окне статистики возвращаются к прежним значениям. Кнопка Help выводит подсказку по данному разделу

Окно статистики

Окно статистики появляется после наложения нового фильтра. Оно состоит из списка со множеством элементов. Каждый элемент имеет свой формат, зависящий от типа сообщения и от протокола. Кроме того, некоторым элементам предшествует специальное сообщение в текстовой форме с дополнительной информацией о записи (значения каждого типа записи рассматриваются в следующем разделе).

Важные замечания:

• Одновременно выводится группа из 100 записей.
• Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей.
• С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения :

Синий Debug
Зеленый Information
Желтый Notice
Красный Warning

• Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи.

Значение кнопок в окне статистики

• Кнопка OK закрывает окно статистики
• Кнопка Refresh активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Automatic refresh.
• Кнопка Filter открывает окно фильтрации статистики, описанное выше.
• Кнопка Erase All удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтверждения:

Нажмите Yes для удаления все статистики и No для отказа от операции.

! При удалении содержимого файла статистики восстановить стертую информацию можно только с резервной копии.

• Кнопка Compact позволяет уплотнить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу Настройка параметров системы ), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя.

Если нажать эту кнопку, откроется следующее окно:

• Кнопка Save сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране.

Рассматриваемая опция очень полезна для отсылки копии данных регистрации другому лицу или для сохранения копии некоторых важных данных в текстовом виде. Если нажать эту кнопку, откроется следующее окно:

Чтобы экспортировать содержимое файла статистики, введите имя создаваемого файла и нажмите кнопку Save. Для отмены операции нажмите кнопку Cancel.

! Если уже существует файл с таким именем, он будет заменен.

• Кнопка Next 100 >> показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна.
• Кнопка <<Last 100 показывает предыдущие 100 записей. Если не существует предыдущих записей, опция будет недоступна.
• Кнопка Help показывает окно помощи по данному разделу.

12.2 Формат и значения полей записей в файле статистики

Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.

Записи пакетного фильтра или криптографического модуля

Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А .

• TCP протокол

Формат записей :

<Date> <Time> - <(Repetition)> <Action> TCP <(Status)> <Source IP> <Souce port> <Destination IP> <Destination port> <Flags> <Interface>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A:Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Flags: Флаги TCP протокола, присутствующие в пакете,. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете.

Символы имеют следующие значения:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer) Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 12:00:00 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0
>>>>>>>>>>>>>>>>>>>>>> Source routed IP packet
01/01/1970 12:00:02 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0

• UDP протокол

Формат записи:

<Date> <Time> - <(Repetition)> <Action> TCP <(Status)> <Source IP> <Souce port> <Destination IP> <Destination port> <Interface>

Описание полей:

Date: Дата создания записи.
Time:Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status):Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D:Пакет был блокирован
R: Пакет был отброшен Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (02) A UDP 10.5.1.1 1024 10.2.2.1 53 de1
>>>>>>>>>>>>>>>>>>>>>> Packet was received from an invalid interface
01/01/1970 14:10:02 - (02) D UDP 10.0.0.1 1024 10.4.1.1 23 de0

• ICMP протокол

Формат записи:

<Date> <Time> - <(Repetition)> <Action> ICMP <(Status)> <Source IP> <Destination IP> <Type of Service> <Interface>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition):Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action:Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R:Пакет был отброшен. Source IP: IP адрес источника пакета.
Destination IP : Номер порта источника пакета.
Type of Service:Тип ICMP сервиса пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (01) A ICMP 10.5.1.1 10.2.2.1 8 de0
01/01/1970 14:09:24 - (01) A ICMP 10.2.2.1 10.5.1.1 0 de1

• Другие протоколы

Формат записи:

<Date> <Time> - <(Repetition)> <Action> <Protocol> <(Status)> <Source IP> <Destination IP> <Interface>

Описание полей:

Date:Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.)
Source IP: IP адрес источника пакета.
Destination IP : IP адрес назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 17:19:43 - (01) A EGP 10.5.1.1 10.2.2.1 de1
01/01/1970 18:39:24 - (01) D 57 10.2.2.1 10.5.1.1 de0

Сообщения модуля трансляции адресов

Формат записи:

<Date> <Time> - <Repetition> T <Protocol> <Source IP> <Source port> <Translated IP> <Translated port>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
Protocol: Тип протокола пакета. Это может быть TCP или UDP.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Translated IP: IP адрес, в который был транслирован адрес источника пакета
Translated port: Порт, в который был транслирован порт источника

Примеры:

01/01/1970 17:59:45 - (01) T TCP 10.0.0.1 1024 200.239.39.3 10001
01/01/1970 18:00:00 - (01) T UDP 10.0.0.2 1045 200.239.39.3 10001

12.3 Использование интерфейса командной строки

Интерфейса командной строки обеспечивает те же возможности по просмотру статистики, что и графический интерфейса, однако в нем можно использовать меньшее количество опций фильтрации. Кроме того, через интерфейс командной строки невозможно просмотреть дополнительную информацию, которая появляется при выделении записи файла статистики в графическом интерфейсе.

Путь к программе: /etc/firewall/fwlog

Syntax:

fwlog help
fwlog [compact | clear] [log | events]
fwlog show [log | events] <begin_date> <end_date> [priority]

Program help:

Aker Firewall - Version 3.0
fwlog - интерфейс командной строки для просмотра статистики и событий
Использование: fwlog help
       fwlog [compact | clear] [log | events]
       fwlog show [log | events] <begin_date> <end_date> [priority]
       show       = показывает содержимое файла статистики или событий
       clear      = очищает  файлы статистики им событий от записей
       compact    = уплотняет файл статистики или событий
       help       = показывает данное сообщение
Для команд compact / clear / show :
       log        = действие выполняется с файлом статистики
       events     = действие выполняется с файлом событий
Для команды show:
       begin_date = дата, начиная с которой будут показаны записи
       end_date   = дата, по которую будут показаны записи 
                    (даты должны иметь формат mm/dd/yyyy)
       priority   = необязательный аргумент. Если он задан, он может принимать  
                    следующие значения:  ERROR, WARNING, NOTICE, INFORMATION
                    или DEBUG (Если приоритет задан, будут показаны 
                    записи только с этим приоритетом)

Пример 1: (Просмотр статистики за один день 07/07/1997) 07/07/1997)

#fwlog show log 07/07/1997 07/07/1997
07/07/1997 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/1997 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/1997 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/1997 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0
07/07/1997 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
07/07/1997 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1
07/07/1997 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0
07/07/1997 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0

Пример 2: (Просмотр статистики за один день 07/07/1997 с приоритетом notice)

#fwlog show log 07/07/1997 07/07/1997 notice
07/07/1997 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/1997 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/1997 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/1997 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0

Пример 3: (уплотнение файла статистики)

#fwlog compact log

Назад | Содержание | Вперед