Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: yek_mosafer2000
امتیازات این مطلب
نکته: دوره آموزشی تصویری Kerio Control قسمت هشتم : استفاده از Log ها ( بخش هشتم )
نرم افزار Help desk  دانا
Security log

Security log دسته از اطلاعات درباره پیام های امنیتی در کریو کنترل است .

خواندن Security log

این لاگ های می تواند در انواع زیر باشد :

- تلاش برای نفوذ به سیستم

اطلاعات جمع آوری شده شامل ip ادرس و همچنین اطلاعات دیتابیس وب که به عنوان مهاجم شناسایی شده برای نمونه :
[02/Mar/2013 08:54:38] IPS: Packet drop, severity: High,
Rule ID: 1:2010575 ET TROJAN ASProtect/ASPack Packed Binary
proto:TCP, ip/port:95.211.98.71:80(hosted-by.example.com)
-> 192.168.48.131:49960(wsmith-pc.company.com,user:wsmith)

IPS: Packet drop : نفوذ برای عملی خاص شناسایی لاگ ان ذخیره و پکیت Drop شده است ( IPS: Alert )

severity : در واقع سطح شدت نفوذ را نمایش می دهد که در اینجا برچسب High زده شده است

Rule ID: 1:2010575 : شماره شناسایی نفوذ ( تنظیمات بیشتر در advanced settings )

ET TROJAN ASProtect/ASPack... : نوع نفوذ و اسم آن

proto : ترافیک TCP پروتکل

ip/port:95.211.98.71:80(hosted-by.example.com) : ادرس ip مبدا و پورت و DNS میزبان

-> 192.168.48.131:49960(wsmith-pc.company.com,user:wsmith) : ip ادرس مقصد و پورت که از آن پکیت وارد شده است به همراه DNS آن
- لاگ هایی که Anti-spoofing ضبط می شوند :

هنگامی پکیت ها با هدف شناسایی شدن توسط هکر ها کپچر می شوند برای نمونه :
[17/Jul/2013 11:46:38] Anti-Spoofing:
Packet from LAN, proto:TCP, len:48,
ip/port:61.173.81.166:1864 -> 195.39.55.10:445,
flags: SYN, seq:3819654104 ack:0, win:16384, tcplen:0

packet from : مسیر پکیت ( اینکه از کدام اینترفیس دریافت و به کدام اینترفیس فرستاده شده است )

LAN : نام اینترفیسی که ترافیک از آن عبور می کند

proto : پروتکل انتقال دیتا که می تواند TCP یا UDP ... باشد

len : طول پکیت بر حسب بایت

ip/port : ادرس ip مبدا و پورت مبدا و ip ادرس مقصد و پورت مقصد

flags : TCP flags

seq : sequence number هر پکیت - تنها شامل TCP

ack : acknowledgement sequence number - تنها شامل TCP

win : اندازه دیتا دریافتی window بر حسب بایت - شامل تنها tcp

tcplen : اندازه TCP که انتقال پیدا کرده است و بر حسب بایت است

لاگ های FTP protocol parser log :

برای نمونه :

[17Jul2013 11:55:14] FTP: Bounce attack attempt:
client: 1.2.3.4, server: 5.6.7.8,
command: PORT 10,11,12,13,14,15
(attack attempt detected — a foreign IP address in the PORT command)

نمونه دوم :

[17Jul2013 11:56:27] FTP: Malicious server reply:
client: 1.2.3.4, server: 5.6.7.8,
response: 227 Entering Passive Mode (10,11,12,13,14,15)
(suspicious server reply with a foreign IP address)

لاگ هایی که بر اثر عدم احراز هویت کاربر ایجاد می شود :

شکل این پیام :

Authentication: Service: Client: IP adress: reason

- Service : سرویس کریو کنترل که کاربر به آن اتصال دارد :

WebAdmin : اینترفیس اجرایی وب

WebInterface : اینترفیس کلاینت

HTTP Proxy : احراز هویت کاربر در پروکسی سرور

VPN Client : رمزگذاری دیتا در کریو کنترل توسط vpn و ipsec vpn

Admin : پیام های که از کنسول ارسال می شوند

IP address : ادرس ip کامپیوتری که کاربر با آن درصدد احراز هویت است

Reason : دلیل عدم احراز هویت ( اشتباه در وارد کردن پسورد / کاربر با این نام تعریف نشده باشد )

سایر مطالب این گروه
دیدگاه ها

هیچ دیدگاهی برای این مطلب ارسال نشده است

برای ارسال نظر وارد شوید.