11. Xây dựng hệ thống giám sát với Forefront TMG
11.2.3 Giám sát luồng giao thông
- Phân tích, ghi nhận sự kiện các luồng giao thông (loggings)
Để theo dõi được những ghi nhận trong quá trình truy xuất từ trong ra ngoài hay từ ngoài vào trong một cách cụ thể bằng cách khởi động truy vấn (Start Query) trong tab Loggings.
Ví dụ: chúng ta dùng máy DC (172.16.15.2) truy cập trang facebook.com để
xem hoạt động của loggings.
Hình 86. Ghi nhận chi tiết về việc truy cập facebook.
Loggings ghi nhận cụ thể và chi tiết thông tin của các đối tượng cụ thể là:
o Thời gian: được hiển thị chi thiết ngày/tháng năm và từng giờ, phút, giây.
o Địa chỉ nguồn / đích: 172.16.15.2 đang truy vấn đến địa chỉ 172.16.15.1 (card mạng lan) để biết đường ra internet (facebook.com). Sau đó, địa chỉ 172.16.15.1 sẽ dùng địa chỉ 192.168.1.3(card mạng ngoài) truy vấn
o Port / Protocol: Để ra được facebook, tất yếu là phải bằng port 80, giao thức HTTP và port 53, giao thức DNS để phân giải tên miền.
o Hành động: Kết nối được cho phép.
o Luật thực thi: luật đã tạo “allow all” cho phép kết nối nào rat rang facebook.
o Mạng nguồn/đích: truy xuất này đi từ trong nội bô (internal) ra bên ngoài internet (External)
o URL: tên miền truy xuất là http://facebook.com
Hình 87. Ghi nhận chi tiết về việc truy cập facebook.
o Tên máy trạm: là FW chịu trách nhiệm giám sát luồng truy cập.
o Loại tên miền: Forefront tự động dò tìm thể loại của tên miền truy vấn của facebook là thuộc loại Blog/Wiki.
Một ví dụ tiếp theo, chung ta sử dụng SuperScan 4 và Zenmap để scan port.
Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công.
Điều đầu tiên, sự khác biệt chính đó là các thông tin ghi nhận hiển thị bằng
màu đỏ, có nghĩa là các kết nối này đã bị cấm. Máy bên ngoài Internet 192.168.1.6 sử
dụng SuperScan 4 để quét cổng đã bị Forefront cấm bằng luật “Default rule”.
Nhưng có vẻ như SuperScan 4 dùng để quét cổng vẫn còn khá “hiền”. Vì vậy tiếp theo, chúng ta sử dụng Zenmap để quét trên tất cả các cổng.
Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh.
Dường như, Forefront đã gặp một chút khó khăn trong việc lọc các gói tin vì