Kerio WinRoute Firewall 6.0

         

Лог-файл системы безопасности


 Данный лог-файл предназначен для записи всех сообщений, связанных с безопасностью системы. Сведения cледующих видов могут находиться в лог-файле:

  1. Запись лог-файлов при помощи Anti-spoofing

    Сообщения о пакетах "перехваченных" модулем Anti-spoofing (пакетов с недопустимыми исходными IP адресами— см. раздел  Security Settings)

    Примеры:

    [17/Jul/2003 11:46:38] Anti-Spoofing:

     Packet from LAN, proto:TCP, len:48,

     ip/port:61.173.81.166:1864 -> 195.39.55.10:445,

     flags: SYN , seq:3819654104 ack:0, win:16384, tcplen:0

    • packet from — направление пакета (следующего от интерфейса или к интерфейсу)

    • LAN — имя интерфейса, где был зарегистрирован пакет (см. раздел  Interfaces)

    • proto: — протокол передачи (TCP, UDP и т.д.)

    • len: &#8212 размер пакета в байтах (включая заголовки)

    • ip/port: — IP адрес и порт отправителя и получателя

    • flags: — TCP флаги (только TCP)

    • seq: — порядковый номер (только ТCР)

    • ack: — порядковый номер подтверждения (только TCP)

    • win: — размер полученного окна (только TCP)



    • tcplen: — размер важной информации в байтах

    • Запись лог-файлов при помощи FTP protocol parser

      Пример 1:

      [17/Jul/2003 11:55:14] FTP: Попытка атаки была отражена:

       Клиент: 1.2.3.4, Сервер: 5.6.7.8,

       Команда: PORT 10,11,12,13,14,15

      (определена попытка атаки — несоответствующий IP адрес в команде PORT)

      Пример 2:

      [17/Jul/2003 11:56:27] FTP:Ответ серверу, от которого исходила угроза:

       Клиент: 1.2.3.4, сервер: 5.6.7.8,

       Ответ: 227 Вход в пассивный режим (10,11,12,13,14,15)

      (подозрительный ответ сервера с несоответствующим IP адресом)

    • Неправильная пользовательская идентификация также записывается в лог-файле

      Формат сообщения:

      Идентификация: <Служба>: Клиент: <IP адрес: <Причина>

      • <Служба> — Служба WinRoute, к которой пользователь пытался получить доступ (Admin = администратор, использующий Kerio Administration Console, WebAdmin = интерфейс сетевого администратора , WebAdmin SSL = безопасный интерфейс администратора сети, Proxy = прокси-сервер пользовательской идентификации)

      • <IP адрес> — IP адрес компьютера, с которого пытались выполнить идентификацию.

      • <причина> — причина отказа при процедуре идентификации (несуществующий пользователь /неправильный пароль)

        Обратите внимание: Для более конкретной информации о пользовательской идентификации см. раздел  User Accounts и  Firewall User Authentication .

        Информация о запуске и остановке движка WinRoute Firewall

        a) Запуск движка:

        [17/Jul/2003 12:11:33] Engine: Startup.

        b) Остановка движка:

        [17/Jul/2003 12:22:43] Engine: Shutdown.



      Содержание раздела