Мониторинг систем с помощью пакета ISA Server
- Font size: Larger Smaller
- Hits: 6439
- 0 Comments
- Subscribe to this entry
- Bookmark
Мониторинг систем с помощью пакета ISA Server
Многие независимые компании добились успеха, следуя простой стратегии: они расширяли возможности средств мониторинга и генерации отчетов изделий широкого назначения, разработанных другими поставщиками. К примеру, пакеты WebTrends фирмы NetIQ, HP OpenView компании Hewlett-Packard и другие изделия расширяют набор функциональных возможностей выпускаемых корпорацией Microsoft продуктов уровня предприятия. Но вот разработчики пакета Microsoft Internet Security and Acceleration (ISA) Server 2000 сами оснастили свое изделие мощными встроенными средствами мониторинга и генерации отчетов.
Инструменты независимых поставщиков, предназначенные для составления отчетов и мониторинга, представляют собой дорогостоящие оснастки, и вполне возможно, что вы сочтете реализованные в ISA Server функции мониторинга достаточно мощными. Ведь в числе этих функций - такие встроенные и настраиваемые элементы, как оповещения (alerts), средства регистрации и генерации отчетов. Кроме того, с помощью оснастки ISA Management консоли Microsoft Management Console (MMC) или усовершенствованных счетчиков мониторинга производительности можно получать соответствующую информацию в реальном времени. Процедуры конфигурирования ISA Server описаны мною в статье "ISA Server: Your Network's Lifeguard", опубликованной в журнале Windows 2000 Magazine (http://www.win 2000mag.com, InstantDoc ID 22251).
Здесь же я буду рассматривать ISA Server Enterprise Edition в конфигурации массива, но должен сказать, что если в вашей сети установлен ISA Server в автономной конфигурации, функции мониторинга при этом практически не меняются. Массив обеспечивает централизованное управление несколькими серверами ISA и интеграцию со службой Active Directory (AD); при автономной установке эти возможности недоступны. Кроме того, подбирая примеры для статьи, я исходил из предположения, что ISA Server установлен в режиме Integrated (интегрированный), сочетающем функции служб Firewall (брандмауэр) и Caching (кэширование). Надо отметить, что пакет ISA Server можно устанавливать в режимах Caching, Firewall или Integrated. Чтобы иметь возможность вести журналы с помощью ODBC, нужно установить ODBC-совместимую базу данных. Я описываю функции ODBC для конфигураций с Microsoft SQL Server 2000 и Microsoft Access.
Служба ISA Server Monitoring генерирует сообщения, регистрационные записи и отчеты. Доступ к этим функциям и их настройка осуществляются в контейнере Monitoring Configuration оснастки ISA Management. ISA Server формирует сообщения на основе информации, поступающей от всех систем массива, генерирует регистрационные записи для каждого сервера и составляет отчеты, включающие данные, которые собраны по всему массиву.
Внимание! Тревога!
Управляемые триггерами сообщения направляются администратору в тех случаях, когда на одном из серверов ISA происходит некое важное событие. Заранее сформированные поставщиком оповещения могут сигнализировать о различных событиях от аварийного отказа службы до попытки несанкционированного доступа. Чтобы создать новое сообщение, нужно открыть контейнер Monitoring Configuration, щелкнуть правой клавишей мыши на папке Alerts, выбрать элемент New и щелкнуть на элементе Alert. Присвойте оповещению имя и определите, будет ли оно инициироваться с конкретным сервером ISA или любым сервером массива. Затем нужно выбрать событие и указать условия, которые будут инициировать данное оповещение. Microsoft предусматривает 45 заранее определенных событий, таких, как Service started (служба активизирована), Service shutdown (служба отключена), Intrusion detected (выявлена попытка несанкционированного доступа). Условия суть свойства конкретного события, позволяющие дать сообщению более точное определение. Так, событие Intrusion detected позволяет в качестве дополнительного условия указать тип вторжения (атака сканированием всех портов и т.д.).
Эта возможность дополнительного уточнения характеристик событий с помощью указания условий может пригодиться при классификации сообщений в соответствии с принятыми в организации требованиями безопасности. Если установка пакета выполняется с принимаемыми по умолчанию параметрами, все выявленные попытки несанкционированного доступа воспринимаются системой как одно видовое событие, которое и записывается в журнал регистрации с недетализированной формулировкой. Я рекомендую читателям пойти по другому пути: создать индивидуальные оповещения для различных вариантов попыток несанкционированного доступа и указать критерии для выявления таких попыток.
После создания оповещения нужно определить, какие действия будут выполняться после того, как события инициализируют данное оповещение. ISA Server позволяет записывать оповещения в журнал регистрации, пересылать их по электронной почте, запускать указанную программу, а также инициализировать или отключать данную службу. Чтобы обеспечить пересылку сообщений по протоколу SMTP, устанавливать службу SMTP не обязательно. Кроме того, можно запускать любую программу с указанной учетной записью (учетная запись должна иметь привилегию Logon as a batch job privilege). ISA Server допускает запуск или отключение только следующих служб: Firewall, Web Proxy и Scheduled Content Download. Однако администратор может создать командный файл, обеспечивающий выполнение команд Net Starts and Net Stops для дополнительных служб. Для этого нужно выбрать переключатель Program, расположенный на закладке Actions диалогового окна Properties интересующего события, и ввести в поле ввода имя командного файла, тем самым обеспечивая возможность запуска этого командного файла.
Завершив конфигурирование оповещения, вы можете открыть ассоциированное с ним диалоговое окно Properties и просмотреть его параметры. На закладке General имеются средства для активизации и отключения оповещения. Выбрав закладку Events, можно с большей точностью определить, когда и каким образом должны выполняться действия, предусмотренные для оповещения. На Рисунке 1 показаны некоторые варианты тонкой настройки, которые администратор может использовать при конфигурировании оповещения.
Рисунок 1.
Допустим, что после настройки оповещения о сканировании портов данная функция заполняет соответствующими сообщениями журнал регистрации. Ее можно переконфигурировать таким образом, чтобы повторные извещения вносились лишь после того, как администратор вручную удалил первое оповещение.
Регистрация действий пользователей
Средства регистрации пакета ISA Server не вызывают нареканий; помимо собственного формата регистрации ISA Server они допускают применение расширенного формата регистрационных файлов, разработанного организацией World Wide Web Consortium (W3C). Читателям, знакомым с пакетом Microsoft Internet Information Services - IIS - 5.0, будет приятно узнать, что ISA Server по-прежнему совместим с расширенным форматом регистрационных файлов W3C. ISA Server обеспечивает ведение журнала регистрации в текстовом файле или в ODBC-совместимой базе данных; при этом администратор может указывать, какие поля и что из содержимого полей следует записывать. Допускается возможность конфигурирования трех независимых журналов регистрации: журнала Firewall Service, журнала Web Proxy и журнала Packet Filter. Кроме того, администратор может включать или исключать в любой комбинации данные служб Firewall, Web Proxy и функций фильтрации пакетов.
В журнал Firewall Service записываются действия клиента службы Firewall. В нем отображаются подробные сведения по всему спектру функций ISA Server, включая имя клиента, наименование агента и IP-адрес; идентификацию приложения (или службы), имя устройства-получателя данных, IP-адрес, номер порта и сведения о транзакции, например, время обработки, информация о кэшировании и правилах.
В журнале Web Proxy описываются действия клиента в среде Web. Регистрации подлежат поля, имеющие отношение к работе в Web: тип браузера, команды HTTP (например GET), имена файлов для каждого загруженного объекта (изображения, Web-страницы), тип контента и правило, обеспечившее доступ.
Чтобы понять, как функционируют службы Web Proxy и Firewall, можно сопоставить журналы Web Proxy и Firewall Service. На Рисунке 2 показано, какие сведения, касающиеся одного и того же набора транзакций, фиксируются в первом и во втором журнале.
Рисунок 2.
Обратите внимание: там, где в журнале Web Proxy перечисляются анонимные соединения, разрешенные службой Web Proxy, в журнале Firewall указывается имя пользователя. Для того чтобы в журнале фиксировались имена пользователей Web Proxy, нужно с помощью оснастки ISA Management активизировать функцию проверки полномочий Web Proxy. Делается это так. Нужно щелкнуть правой клавишей мыши на имени массива и выбрать элемент Properties. Затем следует щелкнуть на закладке Outgoing Web Requests («запросы, отправляемые в Web») и выставить флажок Ask unauthenticated users for identification («у не проходивших проверку полномочий пользователей запрашивать идентификационные данные»). Если ISA Server не сможет проверить полномочия автоматически, сервер предложит пользователю ввести данные для аутентификации. Информацию, предоставленную пользователем для аутентификации, клиент Firewall регистрирует автоматически. Однако, поскольку клиентское программное обеспечение Firewall можно устанавливать только на клиентских машинах Win32, с ним совместимы только платформы Win32.
Регистрационный журнал Packet Filter отличается от журнала Firewall Service тем, что в первом трафик фиксируется не на уровне приложений, а на уровне пакетов. В журнале Packet Filter указывается дата и время, адрес отправителя и получателя, порт пакета; отмечается, был ли пакет заблокирован или пропущен, фиксируются флаги TCP и, по желанию администратора, полезная нагрузка пакета (основное содержание). Полезная нагрузка представлена в шестнадцатеричном формате, так что стоит освежить в памяти архитектуру IP-пакетов своей сети и алгоритм перевода шестнадцатеричных данных в десятеричные. Этот журнал может пригодиться в тех случаях, когда требуется выяснить, в чем причина потери пакетов, достигающих средств сетевой защиты. По умолчанию ISA Server не регистрирует пакеты, которым разрешается проходить сквозь брандмауэр. Если же вы хотите, чтобы такие пакеты регистрировались, активизируйте оснастку ISA Management, откройте контейнер Access Policy (правила доступа), правой клавишей мыши щелкните на значке IP Packet Filters (фильтры IP-пакетов), затем выберите Properties. В диалоговом окне IP Packet Filters Properties щелкните на закладке Packet Filters и установите флажок Log packets from 'Allow' filters. ISA Server позволяет фиксировать результаты регистрации в текстовом файле или в ODBC-совместимой базе данных.
Журнал регистрации в текстовом файле
Как я уже отмечал, средства регистрации пакета ISA Server совместимы как с расширенным форматом файлов W3C, так и с фирменным форматом файлов. Администратор может указать, следует ли создавать новый файл ежедневно, раз в неделю, раз в месяц или раз в год. Файлы регистрации могут разрастаться до огромных размеров; все зависит от того, насколько часто проводятся сеансы регистрации и какие поля при этом фиксируются в журнале. ISA Server предусматривает возможность сжатия файлов регистрации; администратор может указать максимально допустимое число хранящихся файлов. Когда количество файлов превысит эту цифру, "лишние" файлы заменяются новыми (в этом случае создаваемый новый файл регистрации заменяет самый старый файл). Чтобы задействовать функцию сжатия, установите флажок Compress log files (сжатие регистрационных файлов) в диалоговом окне Options (параметры), которое, в свою очередь, размещается в диалоговом окне Properties соответствующего файла регистрации. Чтобы обеспечить сжатие регистрационных файлов в среде ISA Server, нужно просто активизировать собственную функцию сжатия интересующих вас регистрационных файлов (эти файлы должны размещаться в NTFS-разделе диска), и тогда вам не придется отдельно включать эту функцию в NTFS; эту будет сделано автоматически. По умолчанию функция сжатия регистрационных файлов активизирована вне зависимости от соответствующей настройки папки, в которой хранятся регистрационные файлы. В Таблице 1 приведены соглашения, используемые при именовании этих файлов, и указаны различия между двумя форматами регистрационных файлов.
Таблица 1: Соглашения об именовании файлов регистрации и различия в форматах
Имя файла | Описание | ||
| FWSDyyyymmdd.log | Журнал Firewall Service - формат файла ISA Server | ||
| FWSEXTDyyyymmdd.log | Журнал Firewall Service - формат файла W3C | ||
| IPPDyyyymmdd.log | формат файла ISA Server | ||
| IPPEXTDyyyymmdd.log | Журнал IP Packet Filter - формат файла W3C | ||
| WEBDyyyymmdd.log | Журнал Web Proxy log - формат файла ISA Server | ||
| WEBEXTDyyyymmdd.log | Журнал Web Proxy log - формат файла W3C | ||
Формат | Разделитель | Время | Что регистрируется? |
| Формат W3C | Tab | Среднее время по Гринвичу (GMT) | Только указанные поля |
| Формат ISA | , | Время локальной системы | Все поля |
По умолчанию текстовые файлы журналов хранятся в папке \%programfiles%\microsoft isa server\isalogs. Однако администратор может указать другую папку для их хранения. Если вы укажете относительный маршрут, каждый сервер будет записывать эти файлы в том каталоге, где установлен пакет ISA Server, или в другом каталоге, например, \%systemdrive%\. Если же вы укажете абсолютный маршрут, файлы будут храниться в указанном каталоге.
Журнал регистрации в ODBC-совместимой базе данных
Хранить журналы регистрации ISA Server в ODBC-совместимых базах данных удобнее, поскольку этот метод позволяет обращаться к данным регистрации из специализированных процессоров отчетов, встроенных в приложения Active Server Pages (ASP) и ADO. Для обеспечения корректного отображения таблиц и полей разработчики Microsoft предусмотрели возможность использования трех файлов данных: fwsrv.sql, pf.sql и w3proxy.sql. Эти файлы хранятся в установочном каталоге (по умолчанию это \%programfiles%\microsoft.isa server) или в каталоге ISA на установочном компакт-диске ISA Server. Не забывайте, что прежде чем запускать подобные сценарии, необходимо создать базу данных, содержащую эти таблицы.
Чтобы обеспечить в среде ISA Server возможность ведения журнала регистрации через ODBC, следуйте приведенным ниже инструкциям (которые составлены применительно к SQL Server 2000). Эти инструкции довольно просты, поэтому я рекомендую при необходимости вносить в них соответствующие поправки, которые отражали бы особенности принятой в компании архитектуры SQL или требования к защите информации, хранящейся в базах данных. Возможно, придется внести незначительные изменения для того, чтобы обеспечить возможность взаимодействия с другими базами данных, например, с Access.
1. Создайте базу данных, в которой будут храниться журналы регистрации ISA Server. Для этого из модуля Enterprise Manager подключитесь к серверу SQL Server и откройте SQL Server Group и далее имя сервера, на котором будете создавать новую базу данных. Правой кнопкой мыши щелкните на элементе Databases и выберите пункт New Database. Присвойте базе данных имя и укажите, где будут храниться Data Files и Transaction Log. Щелкните OK, и новая база данных будет создана. В этом примере я присваиваю базе данных имя ISA, а значения остальных параметров принимаю по умолчанию.
2. Запустите модуль SQL Query Analyzer (анализатор запросов SQL) и внесите изменения в созданную базу данных ISA. Откройте и выполните каждый из трех сценариев .sql, чтобы создать таблицы, поля и индексы, необходимые для хранения регистрационных данных ISA Server.
3. Создайте источник данных с именем System Data Source Name (DSN), с помощью которого будет осуществляться взаимодействие ISA Server и базы данных. Если ваша система функционирует под управлением Windows 2000 Server, последовательно выбирайте следующие пункты меню: Start, Programs, Administrative Tools, Data Sources (ODBC), а затем создайте новое имя System DSN. Ниже приводится образец такого имени.
- *Type of DSN: System DSN
*Driver: SQL Server
*Name: ISA
*Description: ISA Server
*Server: [введите сетевое имя сервера ISA Server]
*Authentication: Выберите тип аутентификации. Если вы будете пользоваться вариантом SQL Authentication, введите регистрационный идентификатор и пароль для той учетной записи SQL, из которой будете обращаться к базе данных. Если вы не предусмотрели других пользователей SQL, можете пока пользоваться учетной записью и паролем администратора sa и создать особую учетную запись пользователя позднее, когда убедитесь, что функция протоколирования работает.
*Установите флажок Change the default database to (считать принятой по умолчанию) и выберите имя базы данных, созданной для ISA на этапе 1.
*Для проведения базового тестирования значения остальных параметров можно принять по умолчанию, для чего во всех оставшихся диалоговых окнах нужно нажимать Next. В последнем диалоговом окне щелкните на кнопке Test Data Source (проверить источник данных), чтобы убедиться в том, что связь с базой данных функционирует нормально.
4. В оснастке ISA Management откройте контейнер Monitoring Configuration, затем щелкните на папке Logs (журналы регистрации). Откройте окно Properties для первой службы, которую вы хотите сконфигурировать.
5. Выберите пункт Database; введите ODBC-источник данных (имя DSN) и имя таблицы базы данных для конфигурируемой службы. Файлы .sql, которые вы запускали на втором этапе, создали следующие имена таблиц для служб: PacketFilterLog, FirewallLog и WebProxyLog. Наконец, укажите учетную запись пользователя, необходимую для доступа к базе данных по соединению ODBC. Для режима SQL Authentication это будет пользователь, указанный на третьем этапе в DSN.
6. Повторите этапы 4 и 5 для каждой обозначенной в окне свойств службы, которую вы хотите протоколировать в SQL Server.
Процесс ведения журналов через ODBC показался мне несколько сложным, хотя в файлах справочной системы и утверждается обратное. Если у вас возникнут проблемы - например, не будет запускаться одна из служб - попробуйте использовать один из следующих приемов:
Рисунок 3.
После того как вы успешно зарегистрировались в базе данных, можете настроить клиента, например, Access, так, чтобы обеспечить из него быстрый доступ к данным. Вы увидите, что, объединив таблицу Access с источником данных SQL, можно с легкостью выполнять короткие запросы по извлечению данных. Так, для того, чтобы получить информацию о работе на протяжении последних 30 минут, введите следующий запрос:
SELECT * FROM dbo_FirewallLog WHERE (((Day([logDate])) =Day(Now())) AND ((Hour([logTime]))>Hour(Now()) -1) AND ((Minute([logTime])) >Minute(Now())-30) AND ((Month([logDate]))=Month(Now()))) ORDER BY dbo_FirewallLog .logDate DESC, dbo_FirewallLog .logTime DESC;
Принимая решение о том, где хранить регистрационные журналы, в ODBC-совместимой базе данных или в текстовом файле, обязательно учитывайте, как тот или иной вариант хранения отразится на загрузке и производительности сервера ISA Server.
Поддержка ICSA: плюсы и минусы
В феврале 2001 г. специализирующаяся на вопросах защиты данных независимая лаборатория ICSA Labs сертифицировала ISA Server как средство сетевой защиты в соответствии со стандартом 3.01. Лабораторию ICSA Labs многие считают высшей инстанцией, определяющей стандарты для изделий, которые обеспечивают безопасность компьютерных систем. Вероятно, признание со стороны столь авторитетной организации будет способствовать росту популярности ISA Server как настоящего брандмауэра уровня предприятия. Но с другой стороны, специалисты ICSA Labs отметили, что в систему регистрации ISA Server следует внести изменения. Разработчики Microsoft подготовили два оперативных исправления и сценарий, которые приводят принятый по умолчанию механизм функционирования ISA Server в соответствие критериям ICSA. Эти файлы и сценарий можно получить на Web-сайте ICSA (http://www.icsalabs.com/html/communities/firewalls/ certification/vendors/microsoft/index.shtml). Как правило, ISA Server применяет фильтрацию пакетов только при запросах к внешнему интерфейсу.
Следствием упомянутых изменений является новая конфигурация реализованной в ISA Server функции фильтрации пакетов (ISA Server Packet Filtering): теперь трафик через внутренний интерфейс блокируется и фиксируется в журнале регистрации, что приводит к радикальным изменениям в самих основах функционирования ISA Server. Работа с изделием в данной конфигурации обнажает существенные изъяны, которые, на мой взгляд, почти полностью сводят на нет его достоинства. Такая конфигурация парализует или резко ограничивает возможности ISA Server, включая взаимодействие с клиентами брандмауэра, средства работы с массивом, функционирование агентов кэширования Web proxy и проверку полномочий контроллерами доменов. При использовании этой "заплаты" приходится устанавливать программу SecureNAT, а сервер ISA в данном случае должен быть автономным сервером, а не частью домена.
Подробнее об отчетах
С помощью довольно простого интерфейса пакета ISA Server администратор может строить график составления отчетов в соответствии со своими потребностями. Отчеты, формируемые средствами регистрации ISA Server, функциональны и четко организованы, хотя и не столь подробны, как отчеты, предоставляемые изделиями независимых поставщиков.
Корпорация Microsoft включила в состав ISA Server средства автоматической генерации отчетов на базе HTML, которые следует признать удачным дополнением средств сетевой защиты - особенно с учетом того, что цены конкурирующих изделий измеряются тысячами долларов в расчете на брандмауэр. При составлении отчетов используются текстовые файлы регистрации ISA Server (обратите внимание, что при переходе на регистрацию через ODBC пакет ISA Server будет по-прежнему формировать плановые отчеты, но они или вообще не будут содержать данных, или данные будут неверными).
Информация в отчетах ISA Server может быть представлена для одного из пяти периодов времени: за конкретный день, неделю, месяц, год или указанный администратором период. Программу можно настроить на формирование регулярных отчетов. Отметим один недостаток: заказав отчет за сегодняшний день, сразу просмотреть его вы не сможете (придется ждать до завтра). Но если в отчете представлены данные за один из предыдущих дней, его можно просмотреть немедленно после составления.
Microsoft предусматривает следующие категории отчетов: Summary (сводка), Web Usage (работа в Web), Application Usage (использование прикладных программ), Traffic & Utilization (трафик и загрузка), Security (безопасность). На Рисунке 4 представлен примерный отчет, который можно просмотреть с помощью Web-браузера.
Рисунок 4.
Надо сказать, что отчеты формируются без использования шаблонов, поэтому добавлять новые элементы или изменять их внешний вид непросто. Как правило, отчеты содержат лишь самую необходимую информацию; расширенные функции и средства синтаксического анализа, например, функции поиска в DNS и трансляция имен и номеров протоколов, в них почти не представлены. Если вам требуются более подробные отчеты, подумайте о приобретении программ от независимых поставщиков, например, программы Firewall Suite компании Webtrends. Последняя версия данной программы обеспечивает составление отчетов для ISA Server по основным параметрам функционирования средств сетевой защиты и по доступу к ресурсам Web. Такие средства составления отчетов производства независимых компаний позволяют объединять данные регистрации и добиваться большей индивидуализации отчетов.
В реальном времени
С помощью ISA Server администратор может в реальном времени получать отчеты о текущих сеансах связи, о только что переданных оповещениях и о работе служб. Конфигурирование этих функций осуществляется в узле Monitoring оснастки ISA Management. Кроме того, ISA Server оснащается дополнительными средствами измерения рабочих характеристик (см. Рисунок 5). В пакете ISA Server выделены пять объектов, в отношении которых ведется мониторинг производительности. Это Bandwidth Control (полоса пропускания), Cache (кэш), Firewall Service (брандмауэр), Packet Filter (фильтр пакетов) и Web Proxy Service.
Рисунок 5.
В данных объектах имеются счетчики производительности ISA Server, а это настоящая золотая жила оперативной информации о состоянии ISA Server. Такие встроенные инструменты позволяют следить за работой ISA Server в реальном времени или выполнять мониторинг на протяжении определенного периода, чтобы получить "точку отсчета", с помощью которой впоследствии можно будет оценивать падение производительности вследствие изменения нагрузки или неполадок в работе.
Кроме того, счетчики производительности позволяют определять количество свободного пространства на членах массива и выявлять критические факторы в подсистемах ввода/ вывода. Если проанализировать характеристики жесткого диска или центрального процессора, можно получить представление о том, следует ли для устранения узкого места увеличить емкость накопителя, установить новые процессоры или подключить дополнительный сервер. Так, если в системе журналы регистрации и кэш размещаются на том же жестком диске, что и ISA Server, с помощью средства Performance Monitor можно проверить, не влияет ли пропускная способность диска на работу пользователей.
Универсальность функции мониторинга - характерная черта первоклассных продуктов. Пакет ISA Server наделен неплохим комплектом инструментальных средств и функций мониторинга. Важно и то, что, выпустив это совместимое с инфраструктурой Microsoft .NET Framework изделие, корпорация Microsoft оставила поле деятельности для независимых поставщиков, которые могут дополнять продукт новыми компонентами и совершенствовать существующие.
Постоянный адрес статьи: http://www.osp.ru/win2000/iis/012iis02.htm
