Что такое протоколирование?

Протоколирование — очень важный аспект поддержания безопасности сети, по- скольку протоколы помогают во всем: от предупреждения о подготавливаемой атаке до отладки сетевых проблем. После инцидента протоколы помогают отследить, каким образом проник взломщик, изучить, какие машины подверглись атаке, и устранить эту «дыру» в системе безопасности. Кроме того, протоколы помогают отследить источник атаки, что позволяет идентифицировать «незваного гостя» и предпринять законные действия в отношении него. Короче говоря, файлы протоколов ценятся на вес золота. Раз так, то степень их защиты должна быть не меньше, чем у другой информации, хранящейся на сервере (например, у схемы вашего «вечного двигателя»).

Есть различные варианты настройки удаленного протоколирования: настройка простой централизованной программы syslogd, с помощью которой протоколируется работа всех серверов, настройка Windows-машины на отправку сведений в syslogd и программы syslog-ng, собирающей протоколы с удаленных сайтов по защищенному TCP-соединению. Применяя эти методы, вы гарантируете, что протоколы безопасно размещены на предназначенном для них сервере, на котором выполняется минимальный набор служб, что, в свою очередь, снижает риск их изменения. Что же делать с протоколами после того, как все они собраны в одном месте?

Этот способ вам может показаться недостаточно оперативным. Важно также понять как настроить генерацию сигналов тревоги в реальном масштабе времени при возникновении критического события. Немедленная реакция на событие (а не на его окончание, зафиксированное в отчете, который вы прочтете на следующее утро) может сэкономить несколько часов работы.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *