Microsoft ISA Server 2006 обеспечивает вас защитой сети по периметру, позволяет при этом получать удаленный доступ к приложениям и данным, защищая вашу информационную инфраструктуру от угроз, исходящих из Интернета. С помощью ISA Server 2006 вы можете спокойно публиковать содержимое через удаленный доступ, устанавливать безопасные соединения c сайтами удаленных офисов, а также защищаться от внешних и внутренних угроз.
Поскольку ISA Server находится на границе сети и действует как сторож при аутентификации удаленного доступа, через него обычно проходит значительный объем сетевого трафика. Когда речь заходит о мониторинге деятельности ISA Server, об оценке надежности сети, о судебном анализе трафика, вам необходимо понимать, как работать с журналами и отчетами в ISA Server.
Работа со встроенными отчетами в ISA Server 2006
Спасибо компании Microsoft, что она подумала об этом и создала относительно хорошие средства ведения журналов и создания отчетов в ISA Server 2006. Отчеты в ISA Server 2006 позволяют вам просматривать общие шаблоны трафика, анализировать, какие приложения и протоколы чаще используются, какие сайты посещаются, отслеживать неавторизированные и вредоносные попытки доступа к сетевым ресурсам и многое другое.
Ведение журнала по умолчанию в ISA Server 2006
ISA Server собирает данные из журналов веб-прокси и брандмауэра при помощи Dailysum.exe. Программа Dailysum.exe является частью ISA Server и запускается по умолчанию каждый день в 12:30 для извлечения и резюмирования данных, полученных из этих источников. Даже если не настроено ни одного отчета, программа Dailysum.exe все равно будет запускаться, если ее не отключить. В начале каждого месяца Dailysum.exe также генерирует итоговые отчеты по активности за предыдущий месяц. По умолчанию хранятся минимум 35 суточных итоговых отчета и 13 месячных. Эти итоговые отчеты сохраняются в файлах *.ILS базы данных в папке ISASummaries, которая находится в папке, в которую устанавливался ISA Server.
Встроенные типы отчетов
В ISA Server есть масса предопределенных типов отчетов, которые позволяют вам просматривать общие данные трафика и критическую информацию по безопасности. Вот эти встроенные типы отчетов:
- Summary (Итоговые отчеты) – Отчеты Summary обеспечивают вас общим обзором сетевого трафика, отсортированного по приложениям.
- Web Usage (Использование Web) – Отражает использование Web в сети, показывая данные касательно наиболее частых пользователей Web, браузеров и посещаемых сайтов.
- Application Usage (Использование приложений) – Предоставляет данные об использовании Internet-приложений, включая наиболее частых пользователей и часто используемые приложения.
- Traffic and Utilization (Трафик и утилизация) – Отражает общее использование Интернета, включая средний сетевой трафик, максимальное число соединений, частота обращений к кэшу и многое другое.
- Security (Безопасность) – Предоставляет список попыток неавторизованного доступа и других потенциальных угроз безопасности сети.
Результаты фильтрации и создание собственных отчетов
Взяв эти отчеты за основу, ISA Server 2006 дает вам возможность настроить или отфильтровать результаты по следующим критериям:
- Top protocols (Наиболее часто используемые протоколы) – Отображает определенное число наиболее часто используемых за определенный промежуток времени протоколов
- Top Users (Самые частые пользователи) – Отображает определенное число пользователей, наиболее часто использовавших сеть, или сгенерировавших наибольший график за определенный промежуток времени
- Top Sites (Самые часто посещаемые сайты) – Показывает определенное число сайтов, наиболее часто посещенных пользователями за определенный промежуток времени
- Cache hit ratio (Частота обращений к кэшу) – Здесь отображается соотношение между числом обращений к Web и числом получений данных из локального кэша
- Object types (Типы объектов) – Показывает только определеннее число объектов, к которым обращаются чаще всего
- Browsers (Браузеры) – Этот отчет показывает определенное число браузеров, наиболее часто используемых пользователями
- Operating systems (Операционные системы) – Отображает определенное число операционных систем, наиболее часто используемых пользователями
- Destinations (Адреса назначения) – Фильтрует результаты так, чтобы показывать определенное число адресов, чаще всего посещаемых пользователями
- Client applications (Клиентские приложения) – В отчете показывается определенное число клиентских приложений, создающих больше всего сетевого трафика
- Dropped packets (Отброшенные пакеты) – Отображает определенное число клиентов, имеющих наибольшее число отброшенных пакетов за определенный промежуток времени
- Authorization failures (Неудачные попытки авторизации) – Показывает определенное число клиентов, вызвавших наибольшее число неудачных попыток авторизации за определенный промежуток времени
Приложение ISARepGen.exe, устанавливаемое по умолчанию вместе с ISA Server, используется для генерации одноразовых или текущих отчетов. Вы можете создавать одноразовый отчет с помощью мастера New Report Wizard. Из названия ясно, что такое отчет будет показан один раз после завершения работы мастера. Выполните следующее для генерации одноразового отчета:
- Щелкните на вкладку Reports в узле Monitoring
- Выберите вкладку Tasks
- Щелкните Generate a New Report
Вы также можете настроить генерацию текущих отчетов за предопределенный промежуток времени, например, за день, за неделю или за месяц. Чтобы создать новый текущий отчет, вам нужно запустить мастер New Report Job Wizard и указать критерии для определения содержимого отчета и частоты генерации отчетов. Для настройки текущего отчета сделайте следующее:
- Щелкните на вкладку Reports в узле Monitoring
- Выберите вкладку Tasks
- Щелкните Create and Configure Report Jobs
При создании одноразового или текущего отчета, вам нужно будет указать мастеру дополнительную информацию для отчета: имя отчета, содержимое, включаемое в отчет, временные рамки для отчета или расписание (в зависимости от вида отчета), каталог, в котором будет опубликован отчет, данные для доступа к данному каталогу, чтобы ISA Server мог записать отчет в этот каталог, а также необходимость оповещения по электронной почте при создании отчета и, соответственно, информация, необходимая для упрощения процедуры оповещения.
Получение подробностей о выделенном пользователе из журналов ISA
Данные из журналов могут записываться в текстовый файл, однако даже в маленьких или средних бизнес-средах такой текстовый файл может быстро вырасти до невообразимых размеров. Предпочтительным вариантом является использование баз данных SQL Server или аналогичных – MSDE. Есть несколько преимуществ в использовании внешнего сервера SQL для работы с журнальными данными, однако работа с SQL Server требует дополнительного лицензирования. MSDE предоставляет множество возможностей, аналогичных возможностям SQL Server, но реализует при этом менее надежную базы данных, располагающуюся локально на сервере ISA Server.
Вне зависимости от того, используете ли вы MSDE или SQL Server, вы имеете возможность использовать SQL-запросы для получения информации. SQL-запросы позволяют вам очень подробно фильтровать журнальные данные и экспортировать таблицы туда, где с ними будет проще работать.
К примеру, предположим, что при просмотре ежедневного отчета по безопасности в ISA Server 2006, вы обнаруживаете необычное количество неудачных попыток авторизации с определенного пользовательского аккаунта, MaryN. А пользователь находится в декретном отпуске, следовательно, события Failed Access могут означать, что кто-то пытается взломать аккаунт и проникнуть в сеть. Конечно, вы захотите просмотреть данные, касающиеся этого аккаунта, за последнюю неделю, и попытаетесь определить суть проблемы и время ее начала.
При фильтрации журнальных данных вам нужно указать критерии, по которым вы хотите производить фильтрацию, какое-либо условие, и значение. В нашем примере фильтрация могла бы производиться следующим образом:
- Filter by(Фильтровать по): ‘Client Username’(Имя клиента)
- Condition(Условие): ‘equal to’(Равно)
- Value(Значение): ‘MaryN’
Чтобы исследовать аномальные попытки авторизации, вы хотите изучить журнальные данные за последнюю неделю. Поэтому вам нужно ограничить результаты следующим образом:
- Filter by(Фильтровать по): ‘GMT Log Time’(Журнальное время в формате GMT)
- Condition(Условие): ‘On or After’(Начиная с)
- Value(Значение): введите дату на неделю раньше текущего дня для отображения соответствующих данных
Защита сети с помощью ISA Server 2006
ISA Server 2006 – это мощное и эффективное средство защиты периметра вашей сети. Оно позволяет удаленным пользователям безопасно подсоединяться к внутренним ресурсам, защищая при этом внутреннюю сеть от неавторизированного доступа. Однако для эффективности необходимо, чтобы у вас были процедуры для регулярного ведения журналов и создания отчетов, а также процедуры реагирования на проявления вредоносной или аномальной деятельности. Третьесторонние средства могут расширить функциональность ISA Server 2006, а также помогут в автоматизации и упрощении управления сетевой безопасностью, обеспечивая более эффективную отчетность.