Alarmkonfiguration
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Der ISA Server bietet die Möglichkeit, eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuführen. Der ISA Server-Alarmdienst fungiert dann als Verteiler und als Ereignisfilter. Er ist für das Erfassen von Ereignissen verantwortlich, überprüft die Erfüllung bestimmter Bedingungen (z.B. Schwellenwerte) und führt die entsprechenden Aktionen aus. Eine solche Aktion kann zum Beispiel ein Eintrag im Ereignisprotokoll oder eine E-Mail an den Firewalladministrator sein.
Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server serienmäßig eine ganze Reihe Alarmdefinitionen mit. Um die Alarmdefinitionen zu konfigurieren öffnen Sie den Aufgabenbereich im Knoten Überwachung -> Alarme:
Hier eine Aufstellung der im Auslieferungszustand enthaltenen Alarmdefinitionen und deren Aktivierungsstatus:
Bevor wir eine neue Alarmdefinition hinzufügen sollten wir uns die bestehenden am Beispiel von "Dienst gestartet" einmal genauer ansehen:
Auf der ersten Registerkarte werden Name, Beschreibung, Kategorie sowie die Information über den Schweregrad des Alarms angegeben. Hier kann außerdem der Alarm aktiviert oder deaktiviert werden, was auch in der Übersicht durch setzen oder löschen des Häkchens getätigt werden kann.
Folgende Kategorien stehen zur Auswahl:
- Sicherheit
- Cache
- Routing
- Firewalldienst
- Andere
Folgende Schweregrade stehen zur Verfügung:
- Fehler
- Warnung
- Information
Auf der zweiten Registerkarte wird der Alarm näher spezifiziert und ein Ereignis wird zugrunde gelegt.
Folgende Ereignisse sind wählbar (Auszug aus der Online-Hilfe):
| Ereignis | Beschreibung |
| Alarmaktionsfehler | Die dem Alarm zugeordnete Aktion ist fehlgeschlagen. |
| Cachecontainer-Initialisierungsfehler | Die Cachecontainerinitialisierung ist fehlgeschlagen und die Initialisierung wurde ignoriert. |
| Cachecontainerwiederherstellung abgeschlossen | Die Wiederherstellung eines einzelnen Cachecontainers wurde abgeschlossen. |
| Fehler bei der Cachedatei-Größenänderung | Die Größe der Cachedatei konnte nicht verkleinert werden. |
| Cacheinitialisierungsfehler | Der Webcacheproxy wurde aufgrund eines globalen Fehlers deaktiviert. |
| Cachewiederherstellung abgeschlossen | Der Cacheinhalt wurde wiederhergestellt. |
| Cacheschreibfehler | Der Versuch, Inhalt in den Cache zu schreiben, ist fehlgeschlagen. |
| Cacheobjekt verworfen | Während der Cachewiederherstellung wurde ein Objekt mit in Konflikt stehenden Informationen gefunden. Dieses Objekt wurde verworfen. |
| Komponentenladefehler | Eine Erweiterungskomponente konnte nicht geladen werden. |
| Konfigurationsfehler | Beim Lesen der Konfigurationsinformationen ist ein Fehler aufgetreten. |
| Das Verbindungslimit wurde überschritten | Ein Benutzer oder eine IP-Adresse hat das Verbindungslimit überschritten. |
| Das Verbindungslimit für eine Regel wurde überschritten | Die Anzahl der pro Sekunde für eine Regel zugelassenen Verbindungen wurde überschritten. |
| Ermittlungsmechanismus gegen bösartige DHCP-Eindringversuche wurde deaktiviert | Der Ermittlungsmechanismus gegen bösartige DHCP-Eindringversuche wurde deaktiviert. |
| Fehler bei Wählen bei Bedarf | Die DFÜ-Verbindung konnte nicht erstellt werden, da entweder keine Antwort empfangen wurde oder die Leitung besetzt ist. |
| DNS-Zonentransfer-Eindringversuch | Ein Zonentransferangriff ist aufgetreten. |
| Ereignisprotokollfehler | Die Ereignisinformationen konnten nicht im Systemereignisprotokoll protokolliert werden. In der Standardeinstellung ist dieser Alarm deaktiviert. |
| Firewallkommunikationsfehler | Zwischen dem Firewallclient und dem ISA Server-Dienst ist ein Kommunikationsfehler aufgetreten. |
| FTP-Filter-Initialisierungswarnung | Der FTP-Filter konnte die zugelassenen FTP-Befehle nicht analysieren. Vergewissern Sie sich, dass die Befehle im richtigen Format gespeichert sind. Befehle dürfen nicht mehr als 4 Zeichen lang sein und müssen durch ein Leerzeichen getrennt werden. |
| Eindringversuch festgestellt | Ein externer Benutzer hat versucht einzudringen. |
| Ungültige Zertifikatliste gefunden | Das Clientzertifikat wurde aufgrund einer ungültigen oder fehlenden Zertifikatsperrliste widerrufen. Möglicherweise ist die Zertifikatsperrliste abgelaufen, und es konnte keine gültige Zertifikatsperrliste gedownloadet werden. Stellen Sie sicher, dass die Konfigurationsgruppe für die Systemrichtlinie zum Downloaden von Zertifikatsperrlisten aktiviert ist und dass eine Verbindung zu den Sperrlisten-Verteilungspunkten besteht. |
| Ungültiges DHCP-Angebot | Die IP-Adresse des DHCP-Angebots ist ungültig. |
| Die Anmeldeinformationen für Wählen bei Bedarf sind ungültig. | Ungültige Anmeldeinformationen für Wählen bei Bedarf wurden ermittelt. |
| Ungültige ODBC-Protokoll-Anmeldeinformationen | Der angegebene Benutzername oder das Kennwort ist für diese ODBC-Datenbank ungültig. |
| IP-Spoofing | Die IP-Paketquelladresse ist ungültig. |
| Ein Neustart des ISA Server-Computers ist erforderlich. | Änderungen an der Konfiguration werden erst nach dem Neustart des Computers wirksam. |
| Protokollierungsfehler | Die Protokollierung für Dienstname ist fehlgeschlagen. |
| Protokollspeicherlimits | Mindestens ein Protokollspeicherlimit wurde erreicht. |
| Veränderte Netzwerkkonfiguration | Es wurde eine Netzwerkkonfigurationsänderung festgestellt, die ISA Server betrifft. |
| Keine Ports verfügbar | Es konnte kein Netzwerksocket erstellt werden, weil keine Ports verfügbar sind. |
| Keine Konnektivität | ISA Server konnte keine Verbindung mit dem angeforderten Server herstellen. |
| Betriebssystem-Komponentenkonflikt | Eine der folgenden Komponenten steht in Konflikt mit dem Betriebssystem: IP-Netzwerkadressübersetzung-Editor (NAT), Gemeinsame Nutzung der Internetverbindung (ICS) oder Routing und RAS (RRAS). |
| Zu großes UDP-Paket | Ein UDP-Paket (User Datagram Protocol) wurde von ISA Server verworfen, da es größer als die im Registrierungsschlüssel maximal zugelassene UDP-Paketgröße ist. |
| POP-Eindringversuch | Es wurde ein POP-Pufferüberlauf (Post Office Protocol) festgestellt. |
| Änderungen des Quarantänen-VPN-Clientnetzwerks | Ein Benutzer wurde aus dem Quarantänen-VPN-Clientnetzwerk entfernt. In der Standardeinstellung ist dieser Alarm deaktiviert. |
| Berichtszusammenfassungs-Erstellungsfehler | Beim Erstellen der Berichtzusammenfassung aus den Protokollierungsdateien ist ein Fehler aufgetreten. |
| Ressourcenzuweisungsfehler | Ein Ressourcenzuweisungsfehler ist aufgetreten. Möglicherweise stand nicht genügend Arbeitsspeicher zur Verfügung. |
| Routing(verkettungs-)fehler | ISA Server konnte die Anforderung nicht an einen Upstreamserver weiterleiten. |
| Routing(verkettungs-)wiederherstellung | ISA Server hat die Weiterleitung an einen Upstreamserver wieder aufgenommen. |
| RPC-Filter - Bindungsfehler | RPC-Filter kann den definierten Port nicht verwenden, da er bereits verwendet wird. |
| RPC-Filter: Konnektivität wurde geändert | Die Konnektivität zum Veröffentlichungs-RPC-Dienst Servername wurde geändert. Zusätzliche Schlüssel |
| Serververöffentlichungsfehler | Die Serververöffentlichungsregel wurde falsch konfiguriert. |
| Serververöffentlichung ist unzutreffend | Die Serververöffentlichungsregel kann nicht angewendet werden. |
| Serververöffentlichung-Wiederherstellung | Die Serververöffentlichungsregel kann jetzt angewendet werden. |
| Dienstinitialisierungfehler | Der Dienst konnte nicht initialisiert werden. |
| Dienst antwortet nicht | Ein ISA Server-Dienst wurde beendet bzw. unerwarteterweise angehalten. |
| Dienst heruntergefahren | Ein Dienst wurde ordnungsgemäß beendet. %Dienstname% |
| Dienst gestartet | Ein Dienst wurde ordnungsgemäß gestartet. %Dienstname% |
| Langsame Konnektivität | ISA Server hat eine langsame Verbindung mit dem angeforderten Server festgestellt. |
| SMTP-Filterereignis | Eine SMTP-Befehlsregel (Simple Mail Transfer Protocol) wurde verletzt. |
| SOCKS-Konfigurationsfehler | Der in den SOCKS-Eigenschaften angegebene Port wird von einem anderen Protokoll verwendet. |
| SYN-Angriff | Durch ISA Server wurde ein SYN-Angriff festgestellt. |
| Nicht registriertes Ereignis | Ein nicht registriertes Ereignis ist aufgetreten. |
| Upstreamverkettungs-Anmeldeinformationen | Die Upstreamverkettungs-Anmeldeinformationen sind ungültig. |
| VPN-Verbindungsfehler | Ein VPN-Clientverbindungsversuch ist fehlgeschlagen. |
In Abhängigkeit des gewählten Ereignisses stehen verschiedene Auswahlmöglichkeiten als "Zusätzliche Bedingung" zur Verfügung.
Im Beispiel der Alarmdefinition für "Dienst gestartet" stehen folgende Bedingungen zur Verfügung:
- Beliebiger ISA Server-Dienst
- ISA Server-Steuerungsdienst
- ISA Server-Firewalldienst
- ISA Server-Auftragsplanungsdienst
In der unteren Hälfte der Registerkarte werden weitere Eigenschaften des Alarms definiert. So wird hier zum Beispiel festgelegt, wie oft das oben ausgewählte Ereignis auftreten muss, bevor ein Alarm registriert werden soll. Die ist bei häufig auftretenden Ereignissen sinnvoll. So könnte z.B. ein einmal auftretendes SMTP-Filterereignis noch nicht beunruhigend sein. Wenn dieses Ereignis jedoch mehrmals pro Sekunde auftritt ist es eher meldenswert, da dann davon auszugehen ist, dass entweder ein unberechtigter Nutzungsversuch oder ggfs. ein Kommunikationsproblem zwischen den beteiligten Mailservern vorliegt.
Die letzte Registerkarte bietet verschiedene Möglichkeiten an, welche Aktion der ISA Server ausführen soll, wenn das definierte Ereignis eingetreten ist.
Eine der möglichen Aktionen ist, eine E-Mail zu versenden. Dazu müssen lediglich ein paar Angaben gemacht werden:
Tipp: Viele Mobilfunknetzbetreiber bieten Ihren Kunden eine individuelle Mailadresse an (z.B. Rufnummer@Provider.de. Damit lassen sich recht einfach wichtige Meldungen als SMS auf das Handy des Firewalladmins übertragen - vorausgesetzt natürlich, es besteht (noch) eine Internetverbindung und der Mailserver kann diese auch nutzen ;-)
Durch eine Systemrichtlinie ist es dem ISA Server erlaubt, SMTP Verbindungen an interne Mailserver aufzubauen. Sofern diese Systemrichtlinie für Ihre individuellen Bedürfnisse nicht ausreichend ist kann sie erweitert oder durch eine zusätzliche Firewallrichtlinie ergänzt werden:
Über die Test-Funktion kann Überprüft werden, ob alle notwendigen Konfigurationen vorgenommen wurden. Wenn alles richtig ist, bekommt der Administrator aus dem Beispiel folgende E-Mail:
Zusätzlich zur oder statt der Mail-Benachrichtigung kann auch ein Programm (oder ein Script) ausgeführt werden, das wiederum verschiedene Aktionen startet. Wählen Sie dazu das Kontrollkästchen Programm aus und geben dann den an einer Eingabeaufforderung auszuführenden Befehl sowie das Konto ein, unter dem das Programm ausgeführt werden soll, wenn beim Auftreten der Alarmbedingung eine Anwendung ausgeführt werden soll.
Über die Option "In Windows-Ereignisprotokoll schreiben" wird das Ereignis im Eventlog des Computers protokolliert:
Zum Beenden des ISA Servers wählen Sie das Kontrollkästchen Ausgewählte Dienste beenden aus und klicken dann zur Auswahl der ISA Server-Dienste, die beim Auftreten der Alarmbedingungen beendet werden sollen, auf Auswählen.
An dieser Stelle können lediglich die folgenden beiden ISA Server-spezifischen Dienste ausgewählt werden:
Sollen andere Dienste gestoppt/gestartet werden als die vorgegebenen, besteht lediglich die Möglichkeit, dies per Batchfile oder Skript festzulegen und dies als Programm auszuführen.
Zum Starten von ISA Server wählen Sie das Kontrollkästchen Ausgewählte Dienste starten aus und klicken dann zur Auswahl der Dienste, die beim Auftreten der Alarmbedingungen gestartet werden sollen, auf Auswählen.
Vergessen Sie nicht, durchgeführte Änderungen noch zu Übernehmen:
In der ISA Server-Verwaltung wird die vollständige Liste aller vorgefallenen
Ereignisse nach dem Alarmtyp sortiert angezeigt (Information, Warnung oder
Fehler).
Im Dashboard ist eine Übersicht über den aktuellen Alarm-Zustand zu sehen:
Die Registerkarte Alarm zeigt dann nähere Details:
Durch die Auswahl des entsprechenden Alarmheaders können Sie eine ganze Gruppe
von Alarminstanzen zurücksetzen. In der Alarmansicht werden Alarminstanzen der
Kategorie entsprechend in Gruppen zusammengefasst (zum Beispiel Dienst
heruntergefahren). Sie können die Gruppenheader erweitern oder reduzieren und so
die enthaltenen Elemente anzeigen oder ausblenden.
Mithilfe der ISA Server-Verwaltung können Sie durch das Bestätigen von
Ereignissen anzeigen, ob Sie ein spezifisches Ereignis oder eine Gruppe von
Ereignissen bearbeiten. Wenn Sie ein Ereignis (oder eine Gruppe von Ereignissen)
als anerkannt markieren, wechselt der Status der entsprechenden Ereignisse in
der Alarmansicht, und diese Ereignisse werden nicht mehr in der
Übersichtsansicht angezeigt.
Auf die gleiche Weise können Sie einen Alarm zurücksetzen, was zur Folge hat,
dass er aus der Alarmansicht entfernt wird.
Hinweis: Gehen Sie mit den Alarm-Benachrichtigungen sorgfältig und bedächtig um. Es empfiehlt sich z.B. nicht, jedes Ereignis sofort als Mail zu versenden. In der Praxis kann es durchaus vorkommen, dass ein Server mehrere Dutzend PortScans am Tag aushalten muss. Wenn der Administrator darüber jedes mal eine Mail bekommt ist sein Postfach bald überfüllt und/oder der interne Mailserver streikt wegen Überlastung, obwohl er gar nicht das eigentliche Angriffsziel war.
Hinweis: Bei einem Neustart des ISA Server-Computers werden alle Alarme zurückgesetzt.
Stand: Friday, 28. August 2009/DR.
