22.11  Záznam Security

Informace, které souvisejí s bezpečností WinRoute a lokální sítě. Záznam Security může obsahovat záznamy následujících kategorií:

  1. Záznamy funkce Anti-spoofing

    Záznamy o paketech, které byly zachyceny funkcí Anti-spoofing (tzn. pakety s neplatnou zdrojovou IP adresou — podrobnosti viz kapitola 17.2  Volby pro zvýšení bezpečnosti).

    Příklad

    [17/Jul/2008 11:46:38] Anti-Spoofing: Packet from LAN, proto:TCP, len:48, ip/port:61.173.81.166:1864 -> 195.39.55.10:445, flags: SYN, seq:3819654104 ack:0, win:16384, tcplen:0

    • packet from — směr paketu (to = přijatý přes dané rozhraní, from = vyslaný přes dané rozhraní)

    • LAN — jméno rozhraní, na kterém byla komunikace zachycena (podrobnosti viz kap. 5  Síťová rozhraní)

    • proto: — komunikační protokol (TCP, UDP apod.)

    • len: — velikost paketu (včetně hlavičky) v bytech

    • ip/port: — zdrojová IP adresa, zdrojový port, cílová IP adresa a cílový port

    • flags: — TCP příznaky

    • seq: — sekvenční číslo paketu

    • ack: — sekvenční číslo potvrzení

    • win: — velikost tzv. okénka (slouží pro řízení toku dat)

    • tcplen: — velikost datové části paketu (bez hlavičky) v bytech

  2. Zprávy inspekčního modulu protokolu FTP

    Příklad 1

    [17/Jul/2008 11:55:14] FTP: Bounce attack attempt: client: 1.2.3.4, server: 5.6.7.8, command: PORT 10,11,12,13,14,15

    (detekován pokus o útok — klient poslal v příkazu PORT cizí IP adresu)

    Příklad 2

    [17/Jul/2008 11:56:27] FTP: Malicious server reply: client: 1.2.3.4, server: 5.6.7.8, response: 227 Entering Passive Mode (10,11,12,13,14,15)

    (podezřelá odpověď FTP serveru — obsahuje cizí IP adresu)

  3. Zprávy o neúspěšném ověření uživatelů

    Formát zprávy:

    Authentication: <služba>: Client: <IP adresa>: <důvod>

    • <služba> — služba WinRoute, ke které se klient přihlašuje (Admin = správa WinRoute pomocí Administration Console, WebAdmin = WWW administrační rozhraní, WebAdmin SSL = zabezpečená verze WWW administračního rozhraní, Proxy = ověření uživatele na proxy serveru)

    • <IP adresa> — IP adresa počítače, odkud se klient pokusil přihlásit k dané službě

    • <důvod> — příčina neúspěšného přihlášení (neexistující uživatel / nesprávné heslo)

    Poznámka: Podrobné informace o ověřování uživatelů naleznete v kapitolách 15.1  Zobrazení a definice uživatelských účtů10.1  Ověřování uživatelů na firewallu.

  4. Informace o startu a ukončení WinRoute Firewall Engine.

    a) Start Engine:

    [17/Dec/2008 12:11:33] Engine: Startup.

    b) Ukončení Engine:

    [17/Dec/2008 12:22:43] Engine: Shutdown.