 |
Jak zjistit, ₧e Proxy+ byla pou₧ita neoprßvn∞n²m u₧ivatelem
┌vod
Proxy+ uklßdß mno₧stvφ informacφ o aktivit∞ u₧ivatel∙ do tzv. log soubor∙. T∞chto soubor∙ je n∞kolik a do ka₧dΘho se uklßdß urΦitß skupina hlßÜenφ. Soubory jsou p°φstupnΘ jednak pomocφ WWW rozhranφ Proxy+ (Log Files\Display Logs) a jednak je m∙₧ete zobrazit pomocφ libovolnΘho textovΘho prohlφ₧eΦe.
Soubory jsou implicitn∞ umφst∞ny v adresß°i Logs, kter² je vytvß°en v adresß°i s instalacφ Proxy+. V nastavenφ programu je ale mo₧nΘ jmΘno cφlovΘho adresß°e zm∞nit.
Pozn.:
V dalÜφm textu jsou uvßd∞na implicitnφ jmΘna log soubor∙. U₧ivatel mß mo₧nost v nastavenφ jmΘna zm∞nit s tφm omezenφm ₧e prvnφch n∞kolik pφsmen nßzvu souboru je dop°edu dßno. Nap°φklad AccessLog.TXT m∙₧e b²t p°ejmenovßn pouze tak, ₧e jmΘno souboru bude v₧dy zaΦφnat textem "Access", zbytek je libovoln² a m∙₧e dokonce obsahovat povely, kterΘ budou nahrazeny aktußlnφm datem/Φasem p°i vytvß°enφ souboru.
Proxy+ podporuje tzv. rotaci log soubor∙. To znamenß, ₧e po urΦitΘ dob∞ je zalo₧en nov² (prßzdn²) soubor. StarΘ soubory jsou v p°φpad∞ pot°eby p°ejmenovßny. Pokud poΦet star²ch soubor∙ p°esßhne nastaven² limit, je nejstarÜφ soubor smazßn. Pokud tedy chcete najφt starÜφ informaci je mo₧nΘ, ₧e ji₧ nejsou v aktußlnφm log souboru. V tom p°φpad∞ musφte prohlφ₧et starÜφ kopie, kterΘ jsou p°φstupnΘ pouze pomocφ textovΘho prohlφ₧eΦe (nejsou dostupnΘ z WWW rozhranφ Proxy+).
Pro kontrolu zabezpeΦenφ jsou d∙le₧itΘ p°edevÜφm tyto soubory:
AccessLog.TXT - soubor obsahujφcφ zßznamy o vÜe po₧adavcφch klient∙. Nejsou zde ale uklßdßny informace o odesφlßnφ/p°ijφmßnφ poÜty.
MailLog.TXT - obsahuje informace o odesφlanΘ a p°ijφmanΘ poÜt∞, p°φpadn∞ poÜt∞ naΦtenΘ pomocφ funkce Mail\POP3 Download.
ProxyLog.TXT - obsahuje informace o nastavenφ programu a aktivnφch slu₧bßch. P°i startu Proxy+ se zde uklßdß stav seznamu nebezpeΦn²ch rozhranφ (Insecure interfaces).
SecLog.TXT - soubor se zßznamem vÜech po₧adavk∙ odmφtnut²ch z d∙vod∙ nespln∞nφ podmφnek bezpeΦnostnφho nastavenφ Proxy+. Informace v n∞m samoz°ejm∞ nemohou slou₧it ke zjiÜt∞nφ, zda doÜlo k n∞jakΘmu zneu₧itφ Proxy+ (p°ijatΘ a obslou₧enΘ po₧adavky se do tohoto souboru nedostanou), ale m∙₧e slou₧it jako informace o tom kdo a jak Φasto se pokouÜφ pou₧φvat neoprßvn∞n∞ Proxy+.
AccessLog.TXT
Soubor obsahuje informace o aktivit∞ u₧ivatel∙ ze vÜech slu₧eb Proxy+ (krom∞ poÜtovnφho serveru). Kontrolou tohoto souboru zjistφte, zda vy°φzenΘ po₧adavky na Proxy+ p°iÜly od klient∙ VaÜφ lokßlnφ sφt∞.
Ka₧d² °ßdek souboru obsahuje informaci o poΦφtaΦi (IP adresu) ze kterΘho byl odeslßn po₧adavek.
Ukßzka souboru AccessLog.TXT:
06/02/2000 10:56:56 192.168.0.2 - ADMIN "GET /logs/proxylog HTTP/1.0" 200 0 0 0 540 - 192.168.0.1 -
06/02/2000 10:57:09 192.168.0.4 - MAPPED "pop.mail.yahoo.com (110)" OK 101 101 24 1872 - - -
06/02/2000 10:57:31 192.168.0.2 - SOCKS5 "CONNECT wwwkeys.pgp.net:11371" 5 0 0 0 6990 - 212.55.198.212 -
06/02/2000 10:57:53 192.168.0.7 - ADMIN "GET /logs HTTP/1.0" 200 0 0 0 0 - 192.168.0.1 -
06/02/2000 10:57:55 192.168.0.7 - ADMIN "GET /logs/accesslog HTTP/1.0" 200 0 0 0 440 - 192.168.0.1 -
06/02/2000 10:58:15 192.168.0.2 - SOCKS5 "CONNECT wwwkeys.ch.pgp.net:11371" 0 19902 19902 85 3154 - 212.55.198.213 -
06/02/2000 10:58:46 192.168.0.2 - SOCKS5 "CONNECT pgpkeys.mit.edu:11371" 0 0 0 0 66635 - 208.228.228.80 -
06/02/2000 10:58:51 192.168.0.2 - ADMIN "GET /images/bcg000.gif HTTP/1.0" 200 0 0 0 0 - 192.168.0.1 -
06/02/2000 10:58:51 192.168.0.2 - ADMIN "GET /logs/accesslog HTTP/1.0" 200 0 0 0 450 - 192.168.0.1 -
T°etφ sloupec v ka₧dΘm °ßdku obsahuje IP adresu klienta pro kterΘho byla danß ₧ßdost zpracovßna. VÜechny poΦφtaΦe lokßlnφ sφt∞ v naÜem p°φkladu pou₧φvajφ adresy z rozsahu 192.168.0.0-192.168.0.255 (tedy sφ¥ 192.168.0.0 s maskou 255.255.255.255.0), tak₧e vÜechny adresy z ukßzkovΘho souboru AccessLog.TXT jsou v po°ßdku - vÜechny pat°φ lokßlnφm poΦφtaΦ∙m.
M∙₧e se ale stßt, ₧e najdete °ßdek, kter² obsahuje neznßmou IP adresu:
06/02/2000 17:26:04 213.8.207.87 - SOCKS4 "Connect 208.51.159.10:6667" 90 - 1024/79 - - -
V tom p°φpad∞ je pravd∞podobnΘ, ₧e Proxy+ byla zneu₧ita jin²m u₧ivatelem Internetu. V ukßzce Ülo o chybu v nastavenφ zabezpeΦenφ Proxy+, kterß zp∙sobila, ₧e SOCKS server povoloval p°φstup libovolnΘmu u₧ivateli (n∞kdo z Internetu se p°ipojoval skrze SOCKS server anonymn∞ na IRC server).
Status Info
Tato strana administrßtorskΘho rozhranφ programu zobrazuje mimo jinΘ i IP adresy poΦφtaΦ∙, kterΘ prßv∞ pou₧φvajφ slu₧by Proxy+. Pokud zde uvidφte v tabulce Connected users neznßmΘ adresy, zkontrolujte soubor AccessLog.TXT (viz v²Üe).
MailLog.TXT
Do tohoto log souboru se uklßdajφ informace o odeslan²ch a p°ijat²ch zprßvßch. Ze souboru lze zjistit, zda vÜechna poÜta, kterou SMTP server Proxy+ p°ijφmß, pochßzφ od klient∙ lokßlnφ sφt∞.
Pokud nepou₧φvßte Proxy+ jako SMTP server pro p°φjem poÜty pro celou domΘnu protokolem SMTP (Mail\General\ Server Type nenφ nastaveno na Internet Mail server), m∞li by mφt oprßvn∞nφ odesφlat poÜtu SMTP protokolem na Proxy+ pouze klienti VaÜφ lokßlnφ sφt∞ (poÜtovnφ klient - nap°φklad Outlook Express, Eudura, Netscape Messenger - posφlß odchozφ poÜtu protokolem SMTP). U tohoto typu serveru je nejvhodn∞jÜφ nastavit bezpeΦnostnφ pravidla tak, aby povolovala p°φstup na SMTP a POP3 server jen z omezenΘho rozsahu lokßlnφch IP adres (Security\General\Check security on SMTP connections, Security\General\Check security on POP3 connections).
U poÜtovnφho serveru, kter² p°ijφmß poÜtu pro celou domΘnu SMTP protokolem je d∙le₧itΘ, aby byl konfigurovßn tak, aby znemo₧≥oval tzv. relaying poÜty. To znamenß nesmφ povolit u₧ivateli z Internetu, aby skrze poÜtovnφ server poslal zprßvu zp∞t do Internetu. Odesφlat zprßvy do Internetu by m∞lo b²t povoleno pouze p°esn∞ definovanΘ skupin∞ u₧ivatel∙ (poΦφtaΦe lokßlnφ sφt∞). Toho lze dosßhnout nastavenφm Mail\SMTP\Enable relaying for these clients. Pokud n∞jak² poÜtovnφ server nenφ takto nastaven, vystavuje se nebezpeΦφ zneu₧itφ k hromadnΘmu rozesφlßnφ nevy₧ßdan²ch zprßv (spam).
P°i p°φjmu zprßvy SMTP protokolem zapisuje Proxy+ do souboru MailLog.TXT °ßdky obsahujφcφ identifikßtor SMTPR. ╪ßdky mohou vypadat takto:
05.11.2000 15:40:45 00BC: SMTPR: from: , relay:192.168.0.11, nrcpts=2
z °ßdku je vid∞t, ₧e z poΦφtaΦe s IP adresou 192.168.0.11 odeslal u₧ivatel, kter² pou₧φvß adresu vocasek@firma.cz zprßvu urΦenou dv∞ma p°φjemc∙m. Z dalÜφch °ßdk∙ v MailLog.TXT by pak m∞ly b²t z°ejmΘ dalÜφ detaily. Pro nßs je ale podstatnß IP adresa odesφlatele zprßvy. Pokud je z rozsahu lokßlnφ sφt∞ je vÜe vpo°ßdku. Pokud se zaΦnou objevovat cizφ adresy je pravd∞podobnΘ, ₧e n∞kdo zneu₧φvß Proxy+ k odesφlanφ vlastnφ poÜty. Podot²kßm, ₧e v²Üe uvedenΘ platφ pouze v p°φpad∞, ₧e nenφ Proxy+ pou₧φvßna pro p°φjem poÜty pro celou domΘnu SMTP protokolem (v tom p°φpad∞ je ₧ßdoucφ aby se objevily cizφ IP adresy v MailLog.TXT - jinak by toti₧ nechodila ₧ßdnß poÜta z Internetu).
Dßle se v souboru MailLog.TXT zaznamenßvß, kdo se pokouÜφ vyzvedßvat poÜtu z POP3 serveru Proxy+. Zßznam vypadß takto:
05.15.2000 13:45:45 00D1: POP3: connection from:192.168.0.22
Pokud se v takovΘm °ßdku objevφ IP adresa, kterß nepat°φ do vaÜeho rozsahu IP adres je mo₧nΘ, ₧e n∞kdo z Internetu se pokouÜφ Φφst poÜtu ulo₧enou na poÜtovnφm serveru Proxy+.
DalÜφ p°φznaky
- Stßvß se Vßm, ₧e Proxy+ hlßsφ, ₧e bylo dosa₧eno limitu maximßlnφho poΦtu povolen²ch u₧ivatel∙ (Licenced user limit reached), p°esto₧e mßte v sφti zapojen ni₧Üφ nebo stejn² poΦet poΦφtaΦ∙ jako je maximßlnφ povolen² poΦet u₧ivatel∙ VaÜeho registraΦnφho klφΦe? Jednou z mo₧nostφ je, ₧e n∞kdo z Internetu obsazuje urΦit² poΦet adres a v souΦtu s legßlnφmi u₧ivateli dojde k p°ekroΦenφ limitu.
- Stßvß se Vßm, ₧e najednou zmizφ n∞kterΘ ·daje z log soubor∙ Proxy+ ? Je mo₧nΘ, ₧e n∞jak² ·toΦnφk po sob∞ uklφzel stopy a pomocφ administrßtorskΘho rozhranφ smazal log soubory.
|
|
|
