Обеспечиваем безопасность с помощью журнала событий ICF

Встроенный брандмауэр не просто защитит вас от хакеров, он также позволит отследить все попытки вторжения. Вы узнаете, атаковал ли кто-нибудь ваш компьютер и какие атаки были отражены брандмауэром. Эту информацию вы можете затем отправить своему поставщику услуг Интернета, чтобы он проследил, откуда исходят попытки вторжения.

Прежде всего создайте журнал событий ICF. Щелкните правой кнопкой мыши на значке Сетевое окружение (My Network Places) и выберите Свойства (Properties). В папке Сетевые подключения (Network Connections) щелкните правой кнопкой мыши на соединении, для которого вы хотите создать журнал событий, и выберите Свойства (Properties) ► Дополнительно (Advanced) ► Параметры (Settings) ► Ведение журнала безопасности (Security Logging). Появится диалоговое окно в выберите: нужно ли вести учет пропущенных пакетов и успешных подключений. Пропущенный пакет (dropped packet) — это пакет, который был отброшен брандмауэром.

Успешное подключение не означает, что хакер успешно подсоединился к вашему компьютеру, оно фиксируется каждый раз, когда вы подключаетесь к Интернету, например, чтобы просмотреть web-страницы. Поэтому фиксировать успешные соединения, как правило, не обязательно. Если вы захотите записывать их в журнал, он очень быстро станет настолько большим, что вам сложно будет увидеть потенциально опасные события. Так что лучше всего следить только за отброшенными пакетами.

После того как вы определитесь с выбором, укажите, где нужно размещать журнал, установите его максимальный размер и нажмите ОК. Размер журнала обычно не превышает 1 МБайт, но вы можете задать другой размер, в зависимости от того, сколько места у вас на диске и с какой целью вы заводите журнал.

Журнал сохраняется в формате W3C Extended Log format (.log). Вы сможете просматривать его с помощью Блокнота или другого текстового редактора. Также есть специальные утилиты для анализа журналов, например бесплатная программа AWStats.

Каждая строка журнала относится к одному событию. Она может содержать до 16 полей, но самая важная информация содержится в первых восьми. В самом файле названия полей не выравниваются относительно данных, однако это может IP-адрес компьютера, открывшего соединение, — это, скорее всего, адрес злоумышленника, который атакует вас. Если один и тот же адрес встречается в журнале постоянно, то, возможно, кто-то взял ваш компьютер на прицел. Возможно, он просто рассылает через Интернет автоматические зонды на тысячи компьютеров. В любом случае, вы можете послать журнал своему поставщику услуг Интернета и попросить выследить того, кто посягает на вашу безопасность. Прикрепите к письму либо весь журнал, либо соответствующий отрывок.

Также рекомендую почитать:

1. Тестирование безопасности с помощью Shields Up!
2. Создайте быстрый и простой интерфейс с помощью Tweak UI
3. Безопасность SAP: миф или реальность?
4. Конвертируем изображение с помощью IrfanView.
5. Создаём интерфейс Windows XP с помощью Tweak UI