NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

Рис. 6.9. Обновление базы данных IDP Новая, обновленная база данных сигнатур автоматически загружается системой NetDefendOS в течение указанного интервала времени. Это выполняется с помощью HTTP-соединения с сетью сервера D-Link, который предоставляет последние обновления базы данных сигнатур. Если существует новая версия базы данных сигнатур сервера, она будет загружена, заменив старую версию. Термины IDP, IPS и IDS Термины Intrusion Detection and Prevention (IDP), Intrusion Prevention System (IDP) и Intrusion Detection System (IDS) взаимозаменяют друг друга в документации D-Link. Все они относятся к функции IDP. Настройка корректного системного времени Очень важно установить правильное системное время в системе NetDefendOS, если функция автоматического обновления в антивирусном модуле работает корректно. Неправильное время может означать, что автоматическое обновление отключено. Команда консоли отображает текущий статус функции автоматического обновления. Это также может быть выполнено через Web-интерфейс. Обновление в отказоустойчивых кластерах Обновление баз данных IDP для межсетевых экранов NetDefend в отказоустойчивом кластере выполняется автоматически. В кластере всегда есть активное и пассивное устройства. Только активное устройство в кластере будет выполнять регулярную проверку новых обновлений базы данных. Если доступно обновление, последовательность событий будет выглядеть следующим образом: 1. Активное устройство определяет, есть ли новые обновления и необходимые файлы. 2. Активное устройство выполняет автоматическое изменение настроек для обновления своей базы данных. 312

3. Это изменение настроек приведет к переходу на другой ресурс, таким образом, пассивное устройство становится активным. 4. После завершения обновления, вновь активное устройство также загружает файлы для обновления и выполняет изменение настроек. 5. Данное вторичное изменение настроек приведет к повторному переходу на другой ресурс, таким образом, пассивное устройство снова становится активным. Эти шаги приведут к тому, что на обоих межсетевых экранах в кластере будут обновлены базы данных с первоначальным распределением активной и пассивной роли. Для получения более подробной информации об отказоусточивых кластерах см. Глава 11, Высокая отказоустойчивость. 6.5.3. IDP-правила Компоненты правила Правило IDP определяет, какой тип трафика необходимо анализировать. Правило IDP аналогично IPправилу. Правила IDP структурированы так же как другие политики безопасности в системе NetDefendOS, например, IP-правила. Правило IDP определяет указанную комбинацию адреса/интерфесы источника/назначения, а также связано с объектом Service, определяющим какие протоколы для сканирования использовать. Расписание может быть также связано с правилом IDP. Самое главное, правило IDP определяет какое Действие предпринять при обнаружении вторжения. Нормализация HTTP В каждом IDP-правиле есть раздел с настройками для нормализации HTTP. Это позволяет администратору выбирать действия, которые необходимо предпринять, при обнаружении несоответствия в URI во входящих HTTP-запросах. Некоторые атаки на серверы основаны на создании унифицированных индикаторов ресурсов (URI), которые могут использовать уязвимые места серверов. IDP может определить следующее: • Некорректная кодировка UTF8 Поиск любых неправильных символов UTF8 в URI. • Некорректный шестнадцатеричный код шифрования Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за которым следуют два шестнадцатеричных значения, представляющих один байт данных. Некорректная шестнадцатеричная последовательность – это последовательность, в которой присутствует знак процента, за которым следует то, что не является корректным шестнадцатеричным значением. • Двойное шифрование Выполняется поиск любой шестнадцатеричной последовательности, которая сама является закодированной с использованием других управляющих шестнадцатеричных последовательностей. Примером может быть первоначальная последовательность %2526, где 25% далее может быть расшифровано HTTP-сервером как '%', в результате получится последовательность '%26'. Конечная расшифровка '&'. Первоначальная обработка пакетов Порядок первоначальной обработки пакетов с помощью IDP является следующим: 313

3. Это изменение настроек приведет к переходу на другой ресурс, таким образом, пассивное<br />

устройство становится активным.<br />

4. После завершения обновления, вновь активное устройство также загружает файлы для обновления<br />

и выполняет изменение настроек.<br />

5. Данное вторичное изменение настроек приведет к повторному переходу на другой ресурс, таким<br />

образом, пассивное устройство снова становится активным.<br />

Эти шаги приведут к тому, что на обоих межсетевых экранах в кластере будут обновлены базы<br />

данных с первоначальным распределением активной и пассивной роли. Для получения более<br />

подробной информации об отказоусточивых кластерах см. Глава 11, Высокая отказоустойчивость.<br />

6.5.3. IDP-правила<br />

Компоненты правила<br />

Правило IDP определяет, какой тип трафика необходимо анализировать. Правило IDP аналогично IPправилу.<br />

Правила IDP структурированы так же как другие политики безопасности в системе<br />

NetDefendOS, например, IP-правила. Правило IDP определяет указанную комбинацию<br />

адреса/интерфесы источника/назначения, а также связано с объектом Service, определяющим какие<br />

протоколы для сканирования использовать. Расписание может быть также связано с правилом IDP.<br />

Самое главное, правило IDP определяет какое Действие предпринять при обнаружении вторжения.<br />

Нормализация HTTP<br />

В каждом IDP-правиле есть раздел с настройками для нормализации HTTP. Это позволяет<br />

администратору выбирать действия, которые необходимо предпринять, при обнаружении<br />

несоответствия в URI во входящих HTTP-запросах. Некоторые атаки на серверы основаны на<br />

создании унифицированных индикаторов ресурсов (URI), которые могут использовать уязвимые<br />

места серверов.<br />

IDP может определить следующее:<br />

• Некорректная кодировка UTF8<br />

Поиск любых неправильных символов UTF8 в URI.<br />

• Некорректный шестнадцатеричный код шифрования<br />

Корректной является шестнадцатеричная последовательность, где присутствует знак процента, за<br />

которым следуют два шестнадцатеричных значения, представляющих один байт данных.<br />

Некорректная шестнадцатеричная последовательность – это последовательность, в которой<br />

присутствует знак процента, за которым следует то, что не является корректным<br />

шестнадцатеричным значением.<br />

• Двойное шифрование<br />

Выполняется поиск любой шестнадцатеричной последовательности, которая сама является<br />

закодированной с использованием других управляющих шестнадцатеричных последовательностей.<br />

Примером может быть первоначальная последовательность %2526, где 25% далее может быть<br />

расшифровано HTTP-сервером как '%', в результате получится последовательность '%26'. Конечная<br />

расшифровка '&'.<br />

Первоначальная обработка пакетов<br />

Порядок первоначальной обработки пакетов с помощью IDP является следующим:<br />

313

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!