Мониторинг системы с помощью информационных виджетов
ARMA FW позволяет производить мониторинг текущего состояния с помощью различных виджетов.
Панель виджетов доступна в разделе «Инструменты», являющимся по умолчанию стартовым разделом после аутентификации в ARMA FW (см. Рисунок – Панель виджетов).
Существует возможность перемещения виджетов с помощью мыши. Для этого необходимо навести курсор мыши на заголовок виджета, зажать левую кнопку мыши, переместить виджет в требуемое положение и отпустить левую кнопку мыши.
Количество отображаемых столбцов выбирается с помощью выпадающего списка «Столбцы» в верхней правой части раздела.
Для сохранения местоположения виджетов и количества столбцов необходимо нажать кнопку «Сохранить настройки».
Для добавления виджета необходимо выполнить следующие действия:
Нажать кнопку «+Добавить виджет» и выбрать требуемый виджет в открывшейся форме доступных виджетов (см. Рисунок – Добавление виджетов). За один раз возможно выбрать несколько виджетов.
Нажать кнопку «Закрыть», а затем нажать кнопку «Сохранить настройки».
NetFlow – сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. Протокол захватывает полные потоки пакетов, включая источник, IP-адрес назначения и номер порта.
ARMA FW позволяет собирать данные NetFlow, проходящие через МЭ для последующего анализа, а также экспортировать эти данные для анализа сторонним ПО.
Указать интерфейсы, для которых необходимо собирать данные NetFlow.
Указать интерфейс, используемый в качестве выхода в глобальную сеть – WAN.
Установить флажок для параметра «Захватывать внутренний трафик» для сбора локальных данных на ARMA FW. Локальный кэш хранит только последние 100 Мбайт данных.
При необходимости выбрать версию NetFlow, по умолчанию выбрано значение «v9».
В параметре «Получатели» указать адреса получателей данных, если поле оставить пустым – будет осуществляться только локальный сбор данных.
Формат заполнения:
«IP-адрес:номер порта», например «192.168.1.100:2550».
Нажать кнопку «Применить».
Примечание
При использовании стороннего сборщика данных NetFlow, в большинстве случаев, необходимо настроить передачу SNMP (см. SNMP) и создать правило МЭ (см. Создание правил межсетевого экранирования), разрешающее трафик SNMP на выбранном интерфейсе.
В случае сбора локальных данных на вкладке «Кэш» подраздела «NetFlow» будет отображено количество собранных пакетов на различных интерфейсах (см. Рисунок – Данные кэша NetFlow).
В верхней части страницы существует возможность выбора временного промежутка представления из выпадающего списка.
При выборе значения на диаграмме будет произведён переход на вкладку «Подробности» для более детального представления данных.
На вкладке «Экспорт» подраздела «Анализ» возможно произвести экспорт данных NetFlow. Для этого необходимо выбрать требуемые значения в выпадающих списках и нажать кнопку «Экспорт».
Рисунок – Сводная информация на основании данных NetFlow
Диагностика МЭ позволяет просматривать общую информацию и статистику МЭ, активные в текущее время маршруты, IP-адреса, записанные как псевдонимы, прослушивающие сокеты для IPv4 и IPv6, активные состояния, отсортированные состояния по различным критериям. Помимо просмотра информации имеется возможность удаления активных состояний и отслеживания источника.
Для просмотра общей информации об МЭ необходимо перейти в подраздел диагностики pfInfo («Межсетевой экран» - «Диагностика» - «pfInfo») (см. Рисунок – Диагностика pfinfo).
Для просмотра доступных маршрутов в текущее время необходимо перейти в подраздел диагностики pfTop («Межсетевой экран» - «Диагностика» - «pfTop») (см. Рисунок – Диагностика pfTop).
Существует возможность изменить вид, настроить сортировку или указать количество строк в соответствующих выпадающих списках.
Для просмотра IP-адресов, указанных в псевдонимах необходимо перейти в подраздел диагностики pfTables («Межсетевой экран» - «Диагностика» - «pfTables») (см. Рисунок – Диагностика pfTables).
Выпадающие списки позволяют выбрать псевдоним, очистить и обновить базу псевдонима, нажав соответствующие кнопки.
Для просмотра действий пользователей, в том числе системных пользователей, необходимо перейти в подраздел отслеживания активности пользователей («Система» - «Диагностика» - «Активность») (см. Рисунок – Активность).
Для просмотра и управления настроенными службами необходимо перейти в подраздел управления службами («Система» - «Диагностика» - «Службы») (см. Рисунок – Службы).
Для служб возможны следующие действия при нажатии соответствующей кнопки:
Для просмотра ARP-таблицы необходимо перейти в подраздел просмотра ARP-таблицы («Интерфейсы» - «Диагностика» - «ARP-таблица») (см. Рисунок – ARP-таблица).
Для поиска IP-адресов и записей, принадлежащих заданному имени хоста необходимо перейти в подраздел просмотра DNS-записей («Интерфейсы» - «Диагностика» - «Просмотр DNS-записей») (см. Рисунок – Просмотр DNS-записей), указать в параметре «Имя хоста или IP-адрес» IP-адрес и нажать кнопку «Просмотр DNS-записей».
Для включения светового индикатора физического сетевого интерфейса необходимо перейти в подраздел управления индикаторами интерфейсов («Интерфейсы» - «Диагностика» - «Индикатор интерфейса») (см. Рисунок – Индикатор интерфейса).
Возможность принудительного включения световых индикаторов позволяет визуально определить местоположение физического сетевого интерфейса ARMA FW, соответствующего какому-либо сетевому интерфейсу, отображаемому в подразделе настройки интерфейсов.
Примечание
Не все сетевые карты поддерживают возможность управления состоянием световых индикаторов.
Не все физические сетевые порты могут быть оснащены световыми индикаторами.
Поддерживается одновременное изменение состояния световых индикаторов всех сетевых интерфейсов с помощью переключателя «Вкл/выкл все».
При нажатии на переключатель «Вкл/выкл все» следующего вида:
Для просмотра NDP-таблицы, в которой перечислены локально подключённые узлы IPv6 необходимо перейти в подраздел просмотра NDP-таблицы («Интерфейсы» - «Диагностика» - «NDP-таблица») (см. Рисунок – NDP-таблица).
Для просмотра статистики работы с сетевыми интерфейсами необходимо перейти в подраздел диагностики Netstat («Интерфейсы» - «Диагностика» - «Netstat») (см. Рисунок – Статистика работы Netstat).
Статистика работы с сетевыми интерфейсами отображается в группированном виде во вкладках:
Функция захвата пакетов предоставляет возможность записи дампов трафика с последующим экспортом в файл с расширением «cap», например, для проведения расследования инцидентов ИБ.
остальные параметры отставить без изменений и нажать кнопку «Запустить».
На ПК «Admin» открыть веб-браузер и перейти по адресу «192.168.2.100».
В подразделе «Захват пакетов» нажать кнопку «Остановить». Дамп трафика будет отображён в нижней части страницы подраздела (см. Рисунок – Дамп трафика).
Для просмотра захваченных пакетов в веб-интерфейсе ARMA FW необходимо нажать кнопку «Просмотр захваченных пакетов». Уровень детализации просматриваемых пакетов выбирается в выпадающем списке «Уровень детализации».
Для сохранения дампа захваченных пакетов на локальный ПК необходимо нажать на гиперссылку «packetcapture_emX.cap», где «Х» – это номер физического интерфейса, и выполнить сохранение с помощью интерфейса веб-браузера.
«Смешанный режим» – установка флажка позволяет принимать все пакеты трафика, независимо от адресата;
«Семейство адресов» – позволяет оставлять только трафик IPv4 или IPv6;
«IP-адрес хоста» – указывает IP-адрес/сеть получателя или источника, также существует возможность указания исключения или множество значений, используя логическое выражение с аргументами «not» и «and»;
«Порт» – указывается порт получателя или источника;
«Длина пакета» – указывается значение количества бит каждого захваченного пакета;
«Количество» – указывается значение количества захватываемых пакетов;
«Обратный запрос DNS» – установка флажка позволяет захватывать пакеты трафика, ассоциируемые со всеми IP-адресами обратного запроса DNS:
для этого в группе настроек «Захват пакетов» в поле «Интерфейсы» необходимо выбрать интерфейсы для захвата трафика. В поле «Смешанный режим» необходимо установить флажок для того, чтобы принимать все пакеты, независимо от того, кому они адресованы. В поле «Семейство адресов» необходимо выбрать тип трафика для захвата. В поле «Протокол» необходимо выбрать протокол для захвата трафика. В поле «IP-адрес хоста» необходимо ввести IP-адрес источника. В поле «Порт» необходимо ввести порт. В поле «Длина пакета» необходимо ввести длину пакета (в битах). В поле «Количество» необходимо ввести количество пакетов, которые будут захватываться.
Функция проверки порта используется для выполнения простого теста TCP-соединения по указанному порту. В качестве примера будет рассмотрена проверка наличия доступа к ПК «WebServer» по порту «443» (см. Рисунок – Схема стенда для проверки функции захвата пакетов).
Для проверки соединения необходимо выполнить следующие действия:
Перейти в подраздел проверки порта («Интерфейсы» – «Диагностика» – «Проверка порта») (см. Рисунок – Проверка порта).
В подразделе обзора журналов («Межсетевой экран» - «Журналы» - «Обзор») представлены диаграммы трафика, обработанного ARMA FW, которые перечислены в списке:
Для диагностики динамической маршрутизации в ARMA FW предусмотрены следующие вкладки в подразделе общих настроек динамической маршрутизации («Маршрутизация» - «Диагностика» - «Общие настройки»):
Для просмотра данных о настройке динамической маршрутизации по протоколу OSPF в ARMA FW предусмотрены следующие вкладки в подразделе OSPF динамической маршрутизации («Маршрутизация» - «Диагностика» - «OSPF»):
«Обзор» – отображает общие данные о настройке динамической маршрутизации по протоколу OSPF (см. Рисунок – Обзор);
Для просмотра данных о настройке динамической маршрутизации по протоколу BGP в ARMA FW предусмотрен соответствующий подраздел («Маршрутизация» - «Диагностика» - «BGP»). Во вкладке «IPv4 Таблица маршрутизации» отображаются следующие данные:
«Валидный»;
«Лучший»;
«Внутренний префикс»;
«Сеть»;
«Следующий шаг»;
«Метрика»;
«Локальные предпочтения»;
«Весовой коэффициент»;
«Путь»;
«Происхождение».
Во вкладках «Подробности», «Соседи», «Сводка» отображаются подробные данные о соединении и соседях (см. Рисунок – BGP. Подробности).
Для просмотра данных СОВ/СПВ в ARMA FW, в подразделе администрирования СОВ («Обнаружение вторжений» - «Администрирование»), предусмотрена вкладка «Журналирование» (см. Рисунок – Диагностика СОВ/СПВ).
Для просмотра данных о синхронизации времени в ARMA FW предусмотрен подраздел статуса сетевого времени («Службы» - «Сетевое время» - «Статус») (см. Рисунок – Диагностика синхронизации времени), показывающий текущий статус сетевого времени.
Для просмотра и анализа дампа трафика, захваченного СОВ, в ARMA FW предусмотрен подраздел журналирования («Сеть» - «Анализ трафика» - «Журналирование») (см. Рисунок – Анализ трафика). Анализ обеспечивается инструментом «Tshark».
Для отображения записей необходимо выбрать из выпадающего списка в верхней левой части формы требуемый файл журнала. Разбиение журналов осуществляется по дате и времени начала записи.
Для отображения корректной информации в таблице журналирования («Сеть» - «Анализ трафика» - «Журналирование») о захваченных пакетах может потребоваться дополнительная настройка анализатора.
В случае передачи сетевых пакетов через порт, отличный от стандартного для используемого протокола, информация, отображаемая в таблице журналирования, о переданных пакетах может быть неактуальна.
В качестве примера приведён порядок настройки переопределения порта для протокола при захвате трафика, переданного по протоколу IEC 104 через порт «2407». В данном случае о переданных пакетах изначально будет отображаться следующая информация (см. Рисунок – Информация о пакетах).
Перейти в подраздел журналирования («Сеть» - «Анализ трафика» - «Журналирование»), выбрать файл журнала, ввести значение «tcp.port == 2407» в поле «Фильтр отображения» и нажать кнопку «».
В случае необходимости экспорта дампа трафика следует в подразделе журналирования («Сеть» - «Анализ трафика» - «Журналирование») в зависимости от требуемого формата выгружаемого файла нажать:
кнопку «» – для экспорта файла с расширением «pcap»;
кнопку «» – для экспорта файла с расширением «csv».
Для просмотра активных состояний в текущий момент времени в ARMA FW предусмотрен подраздел состояний ARMA FW («Межсетевой экран» - «Диагностика» - «Снимок состояний») (см. Рисунок – Снимок состояний МЭ).
Для удаления активных состояний и/или отслеживания источника в ARMA FW предусмотрен подраздел сброса состояний («Межсетевой экран» - «Диагностика» - «Сброс состояний») (см. Рисунок – Сброс состояний МЭ). Для выполнения данных действий необходимо установить соответствующий флажок и нажать кнопку «Очистить».
Для просмотра состояний МЭ в ARMA FW предусмотрен подраздел сводки состояний («Межсетевой экран» - «Диагностика» - «Сводка состояний»).
Подраздел позволяет просматривать данные, отсортированные по таблицам:
Для просмотра текущей загрузки всех сетевых интерфейсов в режиме реального времени в ARMA FW предусмотрен подраздел отслеживания трафика («Создание отчетов» - «Трафик») (см. Рисунок – Трафик).
Для включения Monit необходимо выполнить следующие действия:
Перейти в подраздел настройки Monit («Службы» - «Monit» - «Настройки»).
Установить флажок «Включить Monit».
При необходимости указать значения параметров:
«Интервал опроса» – интервал опроса в секундах;
«Задержка старта» – задержка запуска проверок Monit после загрузки ARMA FW в секундах;
«Почтовый сервер» – IP-адрес или доменное имя почтового сервера. Несколько адресов необходимо разделять знаком «запятая». По умолчанию задано значение «127.0.0.1»;
Перейти во вкладку «Настройки тестов служб», нажать кнопку «» и в открывшейся форме указать следующие параметры:
«Имя» – «arpwatch_check»;
«Условие» – «changed status»;
«Действие» – «Перезапуск».
Нажать кнопку «Сохранить».
Перейти во вкладку «Настройки службы», нажать кнопку «» и в открывшейся форме указать следующие параметры:
«Включить проверки служб» – флажок установлен;
«Имя» – «arpwatch_restart»;
«Тип» – «Процесс»;
«PID файл» – «/var/run/arpwatch-vmx1.pid»;
«Запустить» – «/usr/sbin/service arpwatch start»;
«Остановить» – «/usr/sbin/service arpwatch stop».
Нажать кнопку «Сохранить», а затем нажать кнопку «Применить».
Особенности настройки Monit с использованием пользовательских скриптов
Представлен общий подход к настройкам сервиса Monit, которые необходимо изменять с учётом конкретных ситуаций.
Примечание
Применение пользовательских скриптов требует уверенности в их безопасности и понимания последствий, к которым могут привести действия, исполняемые системой.
Для настройки ответного действия с использованием пользовательских скриптов необходимо выполнить следующие действия:
Добавить скрипт в директорию файловой системы ARMA FW, например «/usr/local/scripts/».
Создать тест во вкладке «Настройка тестов служб» (см. Настройка теста) и указать значения в параметрах:
«Имя» – имя теста;
«Условие» – условие срабатывания и путь к добавленному скрипту;
«Действие» – выполняемое действие.
Добавить проверку во вкладке «Настройки службы» (см. Настройка проверки сервиса) и указать значения в параметрах:
Для просмотра данных о конфигурации RSPAN в подразделе диагностики RSPAN («Службы» - «RSPAN» - «Диагностика») предусмотрены следующие вкладки (см. Рисунок – Конфигурация):
Для просмотра данных о конфигурации сервера или клиента VPN-соединения в ARMA FW предусмотрена вкладка в подразделе настройки OpenVPN («VPN» - «OpenVPN» - «Конфигурация») (см. Рисунок – Конфигурация).
» – остановить службу;
» – запустить службу;
» – перезапустить службу.
» – будет выполнено включение всех индикаторов;
» – будет выполнено отключение всех индикаторов.
» (см. Рисунок – Настройка анализатора).
».
» – для экспорта файла с расширением «pcap»;
» – для экспорта файла с расширением «csv».
» напротив имени «carp_status_change» и в открывшейся форме указать следующие параметры:
