Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	268/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 264 265 266 267 268 269 270 271 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

ж
урналы

бранДмауэра

Формат журналов брандмауэра варьируется в зависимости от поставщика. Од-
нако есть некоторые основные поля, которые будут там независимо от плат-
формы. При просмотре журналов брандмауэра вы должны сосредоточиться на
ответах на следующие вопросы:

Кто начал обмен данными (исходный IP-адрес)?

Где находится пункт назначения этого обмена данными (IP-адрес назна-
чения)?

Журналы брандмауэра 

321

Какой тип приложения пытается добраться до пункта назначения (транс-
портный протокол и порт)?

Было ли соединение разрешено или запрещено межсетевым экраном?
Приведенный ниже код – это пример журнала брандмауэра Check Point. В этом
случае мы скрываем IP-адрес назначения в целях конфиденциальности:
"Date","Time","Action","FW.Name","Direction","Source","Destination","Bytes","Rules",
"Protocol"
"datetime=26Nov2017","21:27:02","action=drop","fw_name=Governo","dir=inbound","src=10.10.1
0.235","dst=XXX.XXX.XXX.XXX","bytes=48","rule=9","proto=tcp/http"
"datetime=26Nov2017","21:27:02","action=drop","fw_name=Governo","dir=inbound","src=10.10.1
0.200","dst=XXX.XXX.XXX.XXX","bytes=48","rule=9","proto=tcp/http"
"datetime=26Nov2017","21:27:02","action=drop","fw_name=Governo","dir=inbound","src=10.10.1
0.2","dst=XXX.XXX.XXX.XXX","bytes=48","rule=9","proto=tcp/http"
"datetime=26Nov2017","21:27:02","action=drop","fw_name=Governo","dir=inbound","src=10.10.1
0.8","dst=XXX.XXX.XXX.XXX","bytes=48","rule=9","proto=tcp/http"
В этом примере правило № 9 – правило, которое обрабатывало все эти за-
просы и перебрасывало все попытки подключения с 10.10.10.8 в определенное
место назначения. Теперь, используя те же навыки чтения, давайте просмот-
рим журнал брандмауэра NetScreen:
Nov 2 13:55:46 fire01 fire00: NetScreen device_id=fire01 [Root]systemnotification-
00257(traffic): start_time=”2016-00-02 13:55:45” duration=0
policy_id=119 service=udp/port:7001 proto=17 src zone=Trust dst
zone=Untrust action=Deny sent=0 rcvd=0 src=192.168.2.10 dst=8.8.8.8
src_port=3036 dst_port=7001
Важное различие между журналами Check Point и NetScreen заключается
в том, как они регистрируют информацию о транспортном протоколе. В жур-
нале Check Point вы увидите, что поле proto содержит транспортный протокол
и приложение (в приведенном выше случае, HTTP). Журнал NetScreen пока-
зывает аналогичную информацию в полях service и proto. Как видно, есть не-
большие изменения, но реальность такова, что как только вы освоите чтение
журнала брандмауэра от одного поставщика, легче будет понять другие.
Вы также можете применять машину Linux в качестве брандмауэра, исполь-
зуя iptables. Вот пример того, что представляет собой файл iptables.log:
# cat /var/log/iptables.log
Nov 6 10:22:36 cnd kernel: PING YuriDio IN=eth3 OUT= MAC=d8:9d:67:cd:b2:14
SRC=192.168.1.10 DST=192.168.1.88 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=ICMP TYPE=8 CODE=0 ID=1007 SEQ=2
Если вам нужно просмотреть брандмауэр Windows, найдите файл журнала
pfirewall.log
в C:\Windows\System32\LogFiles\Firewall. Вот как он выглядит:
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src–ip dst–ip src–port dst–port size
tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

322  Анализ журналов
2017–12–22 07:38:54 ALLOW TCP 169.254.211.124 169.254.211.124 63863 4369 0
– 0 0 0 – – – SEND
2017–12–22 07:38:54 ALLOW TCP 169.254.211.124 169.254.211.124 63863 4369 0
– 0 0 0 – – – RECEIVE
2017–12–22 07:38:55 ALLOW UDP 169.254.125.142 169.254.255.255 138 138 0 – –
– – – – – SEND
2017–12–22 07:38:55 ALLOW UDP 169.254.211.124 169.254.255.255 138 138 0 – –
– – – – – SEND
2017–12–22 07:38:55 ALLOW UDP 192.168.1.47 192.168.1.255 138 138 0 – – – –
– – – SEND

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 264 265 266 267 268 269 270 271 272