NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
NetDefendOS автоматически корректирует поток данных, удаляя посторонние данные, связанные с<br />
атакой.<br />
События Insertion/Evasion для записи в журнал<br />
Подсистема Insertion/Evasion Attack в NetDefendOS может генерировать два типа сообщений для<br />
записи в журнал:<br />
• Сообщение Attack Detected, указывающее на то, что атака была обнаружена и предотвращена.<br />
• Сообщение Unable to Detect, уведомляющее о том, что система NetDefendOS не смогла выявить<br />
потенциальную атаку при сборке потока TCP / IP, хотя подобная атака могла присутствовать. Эта<br />
ситуация вызвана редкими и сложными образцами данных в потоке.<br />
Рекомендуемые настройки<br />
По умолчанию, защита от атак Insertion/Evasion включена для всех IDP-правил и это рекомендуемая<br />
настройка для большинства конфигураций. Существует две мотивации для отключения опции:<br />
• Increasing throughput (Увеличение пропускной способности) - Если необходима высокая<br />
пропускная способность, следует выключить функцию, так как это обеспечит небольшое снижение<br />
скорости обработки.<br />
• Excessive False Positives (Чрезмерное количество ложных срабатываний) - Если наблюдается<br />
большое количество ложных срабатываний функции Insertion/Evasion, то целесообразно выключить<br />
функцию во время выяснения причин ложных срабатываний.<br />
6.5.5. Соответствие шаблону IDP<br />
Сигнатуры<br />
Для корректной идентификации атак система IDP использует профиль показателей, или шаблон,<br />
связанный с различными типами атак. Эти предварительно определенные шаблоны, также известные<br />
как сигнатуры, хранятся в локальной базе данных NetDefendOS и используются модулем IDP при<br />
анализе трафика. Каждой сигнатуре IDP назначается уникальный номер.<br />
Рассмотрим следующий простой пример атаки, содержащий обмен данными с FTP-сервером.<br />
Неавторизованный пользователь может попытаться получить файл паролей «passwd» от FTP-сервера<br />
с помощью команды FTP RETR passwd. Сигнатура, выполняющая поиск тектовых строк ASCII<br />
RETR и passwd, обнаружит в данном случае соответствие, указывающее на возможную атаку. В<br />
данном примере найден шаблон в виде простого текста, но соответствие шаблону выполняется тем<br />
же способом на исключительно двоичных данных.<br />
Диагностика неизвестных угроз<br />
Злоумышленники, осуществляющие новые вторжения, часто повторно используют старый код. Это<br />
означает, что новые атаки могут появиться очень быстро. Чтобы противостоять этому, D-Link IDP<br />
использует подход, при котором модуль сканирует все многократно используемые компоненты,<br />
выявляя соответствие шаблону стандартных блоков, а не целого кода. Таким образом, можно<br />
защититься от «известных», новых, недавно реализованных, «неизвестных» угроз, сформированных<br />
с повторным использованием компонентов программного обеспечения.<br />
Advisory<br />
Advisory – это пояснительное текстовое описание сигнатуры. Прочитав текстовое описание<br />
сигнатуры, администратор выяснит, какую атаку или вирус поможет обнаружить данная сигнатура.<br />
В связи с изменением характера базы данных сигнатур, текстовые описания не содержатся в<br />
документации D-Link, но доступны на Web-сайте D-Link:<br />
315