Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

11-0 Настройка реакции системы

Что такое реакция системы?

В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.

Для чего нужна реакция системы?

Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.

11-1 Использование графического интерфейса

Для получения доступа к окну настройки реакции системы необходимо выполнить следующие действия:

  • Выбрать пункт Настройка в главном окне.
  • Выбрать опцию Реакция системы


Окно настройки реакции

Если установлена эта опция, появляется окно, которое позволяет настраивать вид реакции системы. Для каждого сообщения систем сбора статистики или событий и для всех пакетов, не удовлетворяющих ни одному из правил, можно установить независимую реакцию. Окно имеет следующий формат:

 

Для выбора типа реакции, для указанных в окне сообщений, нажмите левой клавишей мыши на опции. Если опция будет установлена, то при появлении сообщения межсетевой экран выполнит соответствующее действие. Возможны следующие действия:

  • Статистика: Если эта опция установлена, каждый раз при появлении сответствующего сообщения оно будет регистрироваться межсетевым экраном.
  • Почта: Если эта опция установлена, то при появлении соответствующего сообщения посылается e-mail (настройка адреса e-mail показана в следующем разделе).
  • Прерывание: Если эта опция установлена, то при каждом появлении соответствующего сообщения SNMP-менеджеру посылается SNMP Trap (о настройке параметров для отправления SNMP предупреждений смотрите в следующем разделе).
  • Программа: Если эта опция установлена, то каждый раз при появлении соответствующего сообщения выполняется определенная администратором программа (настройка параметров для запуска программы рассмотрена в следующем разделе).
  • Тревога: Если эта опция установлена, то при каждом появлении сообщения межсетевой экран показывает окно предупреждений. Это окно будет появляться только при условии, что работает удаленный графический интерфейс, кроме того, если это возможно, будет звучать сигнал предупреждения. Когда графический пользовательский интерфейс не активизирован, сообщения не появляются, и эта опция игнорируется. (Такое действие особенно полезно для привлечения внимания администратора к важным сообщениям).

Невозможно изменить реакцию на сообщения межсетевого экрана об инициализации (сообщение номер 31). Для этого сообщения при настройке реакции можно использовать только опцию Статистика.

Значения кнопок

  • Кнопка Да закрывает окно и сохраняет все сделанные изменения.
  • Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения.
  • Кнопка >> показывает последующие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна)
  • Кнопка << показывает предыдущие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна.)
  • Кнопка Помощь открывает окно помощи для данного раздела.
  • Кнопки Сообщение и Параметры служат переключателями между указанным выше окном сообщений и окном настройки параметров.

Окно настройки параметров

Чтобы система приступила к выполнению действий, необходимо настроить некоторые параметры (например, если межсетевой экран посылает e-mail, необходимо определить e-mail адрес). Эти параметры можно модифицировать через окно настройки параметров реакции системы.

Соответствующее окно откроется, если нажать кнопку Параметры в окне сообщений. Оно имеет следующий формат

Значения параметров:

  • Параметры для запуска программы<

Внешняя программа: Этот параметр определяет имя выполняемой системой программы, когда производится действие с опцией Программа. Следует ввести с клавиатуры полное имя маршрута программы. Необходимо учесть , что программа и все каталоги по ходу маршрута должны иметь право на выполнение для пользователя, от имени которого выполняется программа (настройка пользователя проводится в следующей опции).

Программа получает из командной строки следующие параметры (в указаном порядке):

    1. Имя выполняемой программы (стандартный параметр для операционной системы Unix).
    2. Тип сообщения (1 - для статистики или 2 - для события).
    3. Приоритет (7 - debug, 6 - information, 5 - notice, 4 - warning or 3 - error).
    4. Номер сообщения, являющегося причиной выполнения программы, или 0, когда надо указать, что инициатором запуска программы оказывается правило).
    5. ASCII-цепочка с полным текстом сообщения (эта цепочка может иметь символы LF ( конец строки)).

В операционных системах Unix символ слэш "/" используется для описания маршрута программы. Это может смутить тех, кто пользуется средой DOS/Windows, где используется обратный слэш "\".

Пользователь: Этот параметр определяет, от имени кого будет выполняться программа. Программа будет обладать привилегиями этого пользователя.

  Этот пользователь должен быть зарегистрирован в FreeBSD. Необходимо не путать его с администраторами Aker.

  • Параметры, связанные с отправкой SNMP прерываний

IP адрес SNMP сервера: Этот параметр определяет IP адрес SNMP менеджера, которому межсетевой экран должен посылать прерывания

SNMP сообщество: Этот параметр описывает имя SNMP сообщества, используемое в SMNP прерывании.

Посланные SNMP прерывания будут иметь основной тип 6 и специальные типы 1 - для регистрации, и 2 - для событий. В качестве номера предприятия используется 2549, который был назначен IANA компании Aker Consultancy and Informatics.

Файл /etc/firewall/mibs/AKER-MIB.TXT содержит информацию о структуре MIB Aker Consultancy and Informatics. Этот файл записан в нотации ASN.1.

  • Параметры для отправки e-mail

E-mail адрес: Этот параметр описывает адрес пользователя электронной почты, которому посылается e-mail сообщение. Этот пользователь может быть непосредственным пользователем межсетевого экрана или не принадлежать к их числу (в последнем случае надо писать полный адрес, например, aker@alpha.ru).

Если необходимо послать e-mail нескольким пользователям, можно создать список и имя списка внести в данное поле.

  Важно отметить, что если какое-либо из полей оказывается пустым, соответствующее действие не исполняется, даже когда если оно определено.

11-2 Использование интерфейса командной строки

Интерфейс командной строки обладает теми же возможностями, что и графический интерфейс, и весьма несложен в применении.

Путь к программе: /etc/firewall/fwacao

Синтаксис:

fwacao help
fwacao show
fwacao assign <number [log] [mail] [trap] [program] [alert]
fwacao <program | user | community> [name]
fwacao ip [IP address]
fwacao email [address]

Program help:

Aker Firewall - Version 3.0
fwacao - интерфейс командной строки для настройки реакции системы
Usage: fwacao help
       fwacao show
       fwacao assign <number [log] [mail] [trap] [program] [alert]
       fwacao <program | user  | community> [name]
       fwacao ip [IP address]
       fwacao e-mail [address]

       help      = показывает данное сообщение
      show            = показывает список сообщений и реакций системы
       assign    = назначает реакцию на конкретное сообщение
       program   = определяет имя выполняемой программы
       user      = определяет имя пользователя для запуска программы
      community = определяет имя SNMP сообщества для генерируемого прерывания
       ip        = определяет IP адрес SNMP сервера, которому будет  отправлено прерывания
       e-mail    = определяет имя пользователя, которому будет отправлен e-mail

Для команды assign:
      number    =номер сообщения, для которого описывается реакция
                   (номер каждого сообщения приводится в левой колонке
                    если просматривать список опцией show)
       log       = регистрировать каждое генерируемое сообщение
      mail      = послать e-mail для каждого генерируемого сообщения
       trap      = послать SNMP прерывание для каждого генерируемого сообщения
       program   = выполнить программу для каждого генерируемого сообщения
       alert     = открыть окно предупреждений для каждого генерируемого сообщения

Пример 1: (Настройка параметров для отправки e-mail и выполнение программы)

#fwacao e-mail root

#fwacao program /etc/pager

#fwacao user nobody

Пример 2: (Просмотр всех описаний реакции системы)

#fwacao show

General Conditions:

00 - Packet did not match any rule
 Log

Log messages:

01 - Possible fragmentation attack
 Log Mail
02 - Source routed IP packet
 Log
03 - Land attack
 Log Mail Alert
04 - Connection is not present in the dynamic table

05 - Packet was received from an invalid interface
 Log
06 - Packet was received from an unknown interface
 Log
07 - Possible FTP simulation attack
 Log Mail Trap Program
    
(...)

87 - Error in the previous operation  
 Log
88 - User without access right
 Log
89 - Unrecognized packet
 Log

Configuration parameters:

program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :

Внимание: Из-за большого количества сообщений в примере будут приведены только первое и последнее. Настоящая программа в процессе выполнения покажет все сообщения.
 

Пример 3: (Описание реакции на сообщение Packet did not match any rule и просмотр сообщений)

#fwacao assign 0 log mail alert

#fwacao show

General Conditions:

00 - Packet did not match any rule
 Log Mail Alert

Log messages:

01 - Possible fragmentation attack
 Log Mail
02 - Source routed IP packet
 Log
03 - Land attack
 Log Mail Alert
04 - Connection is not present in the dynamic table

05 - Packet was received from an invalid interface
 Log
06 - Packet was received from an unknown interface
 Log
07 - Possible FTP simulation attack
 Log Mail Trap Program
    
(...)

87 - Error in the previous operation  
 Log
88 - User without access right
 Log
89 - Unrecognized packet
 Log

Configuration parameters:

program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :

Пример 4: (Отмена реакции на сообщение Source routed IP packet)

#fwacao assign 2

#fwacao show

General Conditions:

00 - Packet did not match any rule
 Log Mail Alert

Log messages:

01 - Possible fragmentation attack
 Log Mail
02 - Source routed IP packet
 
03 - Land attack
 Log Mail Alert
04 - Connection is not present in the dynamic table

05 - Packet was received from an invalid interface
 Log
06 - Packet was received from an unknown interface
 Log
07 - Possible FTP simulation attack
 Log Mail Trap Program
    
(...)

87 - Error in the previous operation  
 Log
88 - User without access right
 Log
89 - Unrecognized packet
 Log

Configuration parameters:

program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...