11-0 Настройка реакции системы
Что такое реакция системы?
В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.
Для чего нужна реакция системы?
Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.
11-1 Использование графического интерфейса
Для получения доступа к окну настройки реакции системы необходимо выполнить следующие действия:
- Выбрать пункт Настройка в главном окне.
- Выбрать опцию Реакция системы
Окно настройки реакции
Если установлена эта опция, появляется окно, которое позволяет настраивать вид реакции системы. Для каждого сообщения систем сбора статистики или событий и для всех пакетов, не удовлетворяющих ни одному из правил, можно установить независимую реакцию. Окно имеет следующий формат:
Для выбора типа реакции, для указанных в окне сообщений, нажмите левой клавишей мыши на опции. Если опция будет установлена, то при появлении сообщения межсетевой экран выполнит соответствующее действие. Возможны следующие действия:
- Статистика: Если эта опция установлена, каждый раз при появлении сответствующего сообщения оно будет регистрироваться межсетевым экраном.
- Почта: Если эта опция установлена, то при появлении соответствующего сообщения посылается e-mail (настройка адреса e-mail показана в следующем разделе).
- Прерывание: Если эта опция установлена, то при каждом появлении соответствующего сообщения SNMP-менеджеру посылается SNMP Trap (о настройке параметров для отправления SNMP предупреждений смотрите в следующем разделе).
- Программа: Если эта опция установлена, то каждый раз при появлении соответствующего сообщения выполняется определенная администратором программа (настройка параметров для запуска программы рассмотрена в следующем разделе).
- Тревога: Если эта опция установлена, то при каждом появлении сообщения межсетевой экран показывает окно предупреждений. Это окно будет появляться только при условии, что работает удаленный графический интерфейс, кроме того, если это возможно, будет звучать сигнал предупреждения. Когда графический пользовательский интерфейс не активизирован, сообщения не появляются, и эта опция игнорируется. (Такое действие особенно полезно для привлечения внимания администратора к важным сообщениям).
Невозможно изменить реакцию на сообщения межсетевого экрана об инициализации (сообщение номер 31). Для этого сообщения при настройке реакции можно использовать только опцию Статистика.
Значения кнопок
- Кнопка Да закрывает окно и сохраняет все сделанные изменения.
- Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения.
- Кнопка >> показывает последующие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна)
- Кнопка << показывает предыдущие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна.)
- Кнопка Помощь открывает окно помощи для данного раздела.
- Кнопки Сообщение и Параметры служат переключателями между указанным выше окном сообщений и окном настройки параметров.
Окно настройки параметров
Чтобы система приступила к выполнению действий, необходимо настроить некоторые параметры (например, если межсетевой экран посылает e-mail, необходимо определить e-mail адрес). Эти параметры можно модифицировать через окно настройки параметров реакции системы.
Соответствующее окно откроется, если нажать кнопку Параметры в окне сообщений. Оно имеет следующий формат
Значения параметров:
- Параметры для запуска программы<
Внешняя программа: Этот параметр определяет имя выполняемой системой программы, когда производится действие с опцией Программа. Следует ввести с клавиатуры полное имя маршрута программы. Необходимо учесть , что программа и все каталоги по ходу маршрута должны иметь право на выполнение для пользователя, от имени которого выполняется программа (настройка пользователя проводится в следующей опции).
Программа получает из командной строки следующие параметры (в указаном порядке):
- Имя выполняемой программы (стандартный параметр для операционной системы Unix).
- Тип сообщения (1 - для статистики или 2 - для события).
- Приоритет (7 - debug, 6 - information, 5 - notice, 4 - warning or 3 - error).
- Номер сообщения, являющегося причиной выполнения программы, или 0, когда надо указать, что инициатором запуска программы оказывается правило).
- ASCII-цепочка с полным текстом сообщения (эта цепочка может иметь символы LF ( конец строки)).
В операционных системах Unix символ слэш "/" используется для описания маршрута программы. Это может смутить тех, кто пользуется средой DOS/Windows, где используется обратный слэш "\".
Пользователь: Этот параметр определяет, от имени кого будет выполняться программа. Программа будет обладать привилегиями этого пользователя.
Этот пользователь должен быть зарегистрирован в FreeBSD. Необходимо не путать его с администраторами Aker.
- Параметры, связанные с отправкой SNMP прерываний
IP адрес SNMP сервера: Этот параметр определяет IP адрес SNMP менеджера, которому межсетевой экран должен посылать прерывания
SNMP сообщество: Этот параметр описывает имя SNMP сообщества, используемое в SMNP прерывании.
Посланные SNMP прерывания будут иметь основной тип 6 и специальные типы 1 - для регистрации, и 2 - для событий. В качестве номера предприятия используется 2549, который был назначен IANA компании Aker Consultancy and Informatics.
Файл /etc/firewall/mibs/AKER-MIB.TXT содержит информацию о структуре MIB Aker Consultancy and Informatics. Этот файл записан в нотации ASN.1.
- Параметры для отправки e-mail
E-mail адрес: Этот параметр описывает адрес пользователя электронной почты, которому посылается e-mail сообщение. Этот пользователь может быть непосредственным пользователем межсетевого экрана или не принадлежать к их числу (в последнем случае надо писать полный адрес, например, aker@alpha.ru).
Если необходимо послать e-mail нескольким пользователям, можно создать список и имя списка внести в данное поле.
Важно отметить, что если какое-либо из полей оказывается пустым, соответствующее действие не исполняется, даже когда если оно определено.
11-2 Использование интерфейса командной строки
Интерфейс командной строки обладает теми же возможностями, что и графический интерфейс, и весьма несложен в применении.
Путь к программе: /etc/firewall/fwacao
Синтаксис:
fwacao help
fwacao show
fwacao assign <number [log] [mail] [trap] [program] [alert]
fwacao <program | user | community> [name]
fwacao ip [IP address]
fwacao email [address]
Program help:
Aker Firewall - Version 3.0
fwacao - интерфейс командной строки для настройки реакции системы
Usage: fwacao help
fwacao show
fwacao assign <number [log] [mail] [trap] [program] [alert]
fwacao <program | user | community> [name]
fwacao ip [IP address]
fwacao e-mail [address]
help = показывает данное сообщение
show = показывает список сообщений и реакций системы
assign = назначает реакцию на конкретное сообщение
program = определяет имя выполняемой программы
user = определяет имя пользователя для запуска программы
community = определяет имя SNMP сообщества для генерируемого прерывания
ip = определяет IP адрес SNMP сервера, которому будет отправлено прерывания
e-mail = определяет имя пользователя, которому будет отправлен e-mail
Для команды assign:
number =номер сообщения, для которого описывается реакция
(номер каждого сообщения приводится в левой колонке
если просматривать список опцией show)
log = регистрировать каждое генерируемое сообщение
mail = послать e-mail для каждого генерируемого сообщения
trap = послать SNMP прерывание для каждого генерируемого сообщения
program = выполнить программу для каждого генерируемого сообщения
alert = открыть окно предупреждений для каждого генерируемого сообщения
Пример 1: (Настройка параметров для отправки e-mail и выполнение программы)
#fwacao e-mail root
#fwacao program /etc/pager
#fwacao user nobody
Пример 2: (Просмотр всех описаний реакции системы)
#fwacao show
General Conditions:
00 - Packet did not match any rule
Log
Log messages:
01 - Possible fragmentation attack
Log Mail
02 - Source routed IP packet
Log
03 - Land attack
Log Mail Alert
04 - Connection is not present in the dynamic table
05 - Packet was received from an invalid interface
Log
06 - Packet was received from an unknown interface
Log
07 - Possible FTP simulation attack
Log Mail Trap Program
(...)
87 - Error in the previous operation
Log
88 - User without access right
Log
89 - Unrecognized packet
Log
Configuration parameters:
program : /etc/pager
user : nobody
e-mail : root
community :
ip :
Внимание: Из-за большого количества сообщений в примере будут приведены только первое и последнее. Настоящая программа в процессе выполнения покажет все сообщения.
Пример 3: (Описание реакции на сообщение Packet did not match any rule и просмотр сообщений)
#fwacao assign 0 log mail alert
#fwacao show
General Conditions:
00 - Packet did not match any rule
Log Mail Alert
Log messages:
01 - Possible fragmentation attack
Log Mail
02 - Source routed IP packet
Log
03 - Land attack
Log Mail Alert
04 - Connection is not present in the dynamic table
05 - Packet was received from an invalid interface
Log
06 - Packet was received from an unknown interface
Log
07 - Possible FTP simulation attack
Log Mail Trap Program
(...)
87 - Error in the previous operation
Log
88 - User without access right
Log
89 - Unrecognized packet
Log
Configuration parameters:
program : /etc/pager
user : nobody
e-mail : root
community :
ip :
Пример 4: (Отмена реакции на сообщение Source routed IP packet)
#fwacao assign 2
#fwacao show
General Conditions:
00 - Packet did not match any rule
Log Mail Alert
Log messages:
01 - Possible fragmentation attack
Log Mail
02 - Source routed IP packet
03 - Land attack
Log Mail Alert
04 - Connection is not present in the dynamic table
05 - Packet was received from an invalid interface
Log
06 - Packet was received from an unknown interface
Log
07 - Possible FTP simulation attack
Log Mail Trap Program
(...)
87 - Error in the previous operation
Log
88 - User without access right
Log
89 - Unrecognized packet
Log
Configuration parameters:
program : /etc/pager
user : nobody
e-mail : root
community :
ip :