TSSLTD

Система DPI работает с теми же потоками информации, что и система СОВ. Для включения DPI необходимо, чтобы механизм СОВ был запущен. Чтобы СОВ в данном случае не работал, необходимо не загружать сигнатуры СОВ.

Для включения системы DPI вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ» и установить флаг «Включить» (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать один из режимов работы: СОВ или СПВ. Как и в случае с системой обнаружения вторжения, режим СОВ предупреждает об использовании приложения без его блокировки. Режим СПВ блокирует прохождение трафика выбранного приложения. Система обнаружения вторжение и DPI не могут работать в разных режимах.

В разделе «Настройки захвата трафика» в поле «Название интерфейса» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить». В поле «Режим работы» необходимо указать один из режимов: «L2» или «L3».

«L2» - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.

«L3» - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.

Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг в разделе «Настройки Pcap» - «Включить» и «Хранить Pcap файлы» (см. рисунок 5) . В поле «Размер памяти, резервируемый подсистемой» необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле «Максимальный размер pcap-файла» необходимо задать максимальный размер pcap-файла.

На рисунке 5 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться.

Вернуться к оглавлению

Вернуться к оглавлению