NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Рис. 6.9. Обновление базы данных IDP Новая, обновленная база данных сигнатур автоматически загружается системой NetDefendOS в течение указанного интервала времени. Это выполняется с помощью HTTP-соединения с сетью сервера D-Link, который предоставляет последние обновления базы данных сигнатур. Если существует новая версия базы данных сигнатур сервера, она будет загружена, заменив старую версию. Термины IDP, IPS и IDS Термины Intrusion Detection and Prevention (IDP), Intrusion Prevention System (IDP) и Intrusion Detection System (IDS) взаимозаменяют друг друга в документации D-Link. Все они относятся к функции IDP. Настройка корректного системного времени Очень важно установить правильное системное время в системе NetDefendOS, если функция автоматического обновления в антивирусном модуле работает корректно. Неправильное время может означать, что автоматическое обновление отключено. Команда консоли отображает текущий статус функции автоматического обновления. Это также может быть выполнено через Web-интерфейс. Обновление в отказоустойчивых кластерах Обновление баз данных IDP для межсетевых экранов NetDefend в отказоустойчивом кластере выполняется автоматически. В кластере всегда есть активное и пассивное устройства. Только активное устройство в кластере будет выполнять регулярную проверку новых обновлений базы данных. Если доступно обновление, последовательность событий будет выглядеть следующим образом: 1. Активное устройство определяет, есть ли новые обновления и необходимые файлы. 2. Активное устройство выполняет автоматическое изменение настроек для обновления своей базы данных. 312
3. Это изменение настроек приведет к переходу на другой ресурс, таким образом, пассивное устройство становится активным. 4. После завершения обновления, вновь активное устройство также загружает файлы для обновления и выполняет изменение настроек. 5. Данное вторичное изменение настроек приведет к повторному переходу на другой ресурс, таким образом, пассивное устройство снова становится активным. Эти шаги приведут к тому, что на обоих межсетевых экранах в кластере будут обновлены базы данных с первоначальным распределением активной и пассивной роли. Для получения более подробной информации об отказоусточивых кластерах см. Глава 11, Высокая отказоустойчивость. 6.5.3. IDP-правила Компоненты правила Правило IDP определяет, какой тип трафика необходимо анализировать. Правило IDP аналогично IPправилу. Правила IDP структурированы так же как другие политики безопасности в системе NetDefendOS, например, IP-правила. Правило IDP определяет указанную комбинацию адреса/интерфесы источника/назначения, а также связано с объектом Service, определяющим какие протоколы для сканирования использовать. Расписание может быть также связано с правилом IDP. Самое главное, правило IDP определяет какое Действие предпринять при обнаружении вторжения. Нормализация HTTP В каждом IDP-правиле есть раздел с настройками для нормализации HTTP. Это позволяет администратору выбирать действия, которые необходимо предпринять, при обнаружении несоответствия в URI во входящих HTTP-запросах. Некоторые атаки на серверы основаны на создании унифицированных индикаторов ресурсов (URI), которые могут использовать уязвимые места серверов. IDP может определить следующее: • Некорректная кодировка UTF8 Поиск любых неправильных символов UTF8 в URI. • Некорректный шестнадцатеричный код шифрования Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за которым следуют два шестнадцатеричных значения, представляющих один байт данных. Некорректная шестнадцатеричная последовательность – это последовательность, в которой присутствует знак процента, за которым следует то, что не является корректным шестнадцатеричным значением. • Двойное шифрование Выполняется поиск любой шестнадцатеричной последовательности, которая сама является закодированной с использованием других управляющих шестнадцатеричных последовательностей. Примером может быть первоначальная последовательность %2526, где 25% далее может быть расшифровано HTTP-сервером как '%', в результате получится последовательность '%26'. Конечная расшифровка '&'. Первоначальная обработка пакетов Порядок первоначальной обработки пакетов с помощью IDP является следующим: 313
- Page 261 and 262: экрана NetDefend, но так
- Page 263 and 264: реализуется через
- Page 265 and 266: traversal Нет необходим
- Page 267 and 268: ProxyAndClients Если функц
- Page 269 and 270: Примечание Контакт
- Page 271 and 272: в IP-сетях. Стандарт
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311: 6.5.2. Система IDP и уст
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
- Page 321 and 322: от атак DoS. 6.6.2. Меха
- Page 323 and 324: потребление всего
- Page 325 and 326: 6.7. «Черный список»
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
3. Это изменение настроек приведет к переходу на другой ресурс, таким образом, пассивное<br />
устройство становится активным.<br />
4. После завершения обновления, вновь активное устройство также загружает файлы для обновления<br />
и выполняет изменение настроек.<br />
5. Данное вторичное изменение настроек приведет к повторному переходу на другой ресурс, таким<br />
образом, пассивное устройство снова становится активным.<br />
Эти шаги приведут к тому, что на обоих межсетевых экранах в кластере будут обновлены базы<br />
данных с первоначальным распределением активной и пассивной роли. Для получения более<br />
подробной информации об отказоусточивых кластерах см. Глава 11, Высокая отказоустойчивость.<br />
6.5.3. IDP-правила<br />
Компоненты правила<br />
Правило IDP определяет, какой тип трафика необходимо анализировать. Правило IDP аналогично IPправилу.<br />
Правила IDP структурированы так же как другие политики безопасности в системе<br />
NetDefendOS, например, IP-правила. Правило IDP определяет указанную комбинацию<br />
адреса/интерфесы источника/назначения, а также связано с объектом Service, определяющим какие<br />
протоколы для сканирования использовать. Расписание может быть также связано с правилом IDP.<br />
Самое главное, правило IDP определяет какое Действие предпринять при обнаружении вторжения.<br />
Нормализация HTTP<br />
В каждом IDP-правиле есть раздел с настройками для нормализации HTTP. Это позволяет<br />
администратору выбирать действия, которые необходимо предпринять, при обнаружении<br />
несоответствия в URI во входящих HTTP-запросах. Некоторые атаки на серверы основаны на<br />
создании унифицированных индикаторов ресурсов (URI), которые могут использовать уязвимые<br />
места серверов.<br />
IDP может определить следующее:<br />
• Некорректная кодировка UTF8<br />
Поиск любых неправильных символов UTF8 в URI.<br />
• Некорректный шестнадцатеричный код шифрования<br />
Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за<br />
которым следуют два шестнадцатеричных значения, представляющих один байт данных.<br />
Некорректная шестнадцатеричная последовательность – это последовательность, в которой<br />
присутствует знак процента, за которым следует то, что не является корректным<br />
шестнадцатеричным значением.<br />
• Двойное шифрование<br />
Выполняется поиск любой шестнадцатеричной последовательности, которая сама является<br />
закодированной с использованием других управляющих шестнадцатеричных последовательностей.<br />
Примером может быть первоначальная последовательность %2526, где 25% далее может быть<br />
расшифровано HTTP-сервером как '%', в результате получится последовательность '%26'. Конечная<br />
расшифровка '&'.<br />
Первоначальная обработка пакетов<br />
Порядок первоначальной обработки пакетов с помощью IDP является следующим:<br />
313