This is an old revision of the document!
Table of Contents
Включение системы DPI
Система DPI работает с теми же потоками информации, что и система СОВ. Для включения DPI необходимо, чтобы механизм СОВ был запущен. Чтобы СОВ в данном случае не работал, необходимо не загружать сигнатуры СОВ.
Для включения системы DPI вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ» и установить флаг «Включить» (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку «Сохранить».
Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать один из режимов работы: СОВ или СПВ. Как и в случае с системой обнаружения вторжения, режим СОВ предупреждает об использовании приложения без его блокировки. Режим СПВ блокирует прохождение трафика выбранного приложения. Система обнаружения вторжение и DPI не могут работать в разных режимах.
Рисунок 1 – Пункт меню «СОВ» и установка флага «Включить»
Настройка интерфейсов
В разделе «Настройки захвата трафика» в поле «Название интерфейса» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить». В поле «Режим работы» необходимо указать один из режимов: «L2» или «L3».
«L2» - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.
«L3» - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.
Рисунок 2 – Выбор интерфейса и режима для анализа трафика
Настройка Pcap
Для работы системы DPI необходимо поставить флаги в следующих полях: «Настройки Pcap» - «Включить» и «Хранить Pcap файлы» (см. рисунок 3) . В поле «Размер памяти, резервируемый подсистемой» необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле «Максимальный размер pcap-файла» необходимо задать максимальный размер pcap-файла.
На рисунке 3 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться.
Рисунок 3 – Раздел «Настройки Pcap» </WRAP
Выбор действия и приложений
Чтобы выбрать протоколы и приложения, которые необходимо пропускать, детектировать или блокировать, нужно перейти во вкладку «СОВ» - «Настройки DPI». В списке будут представлены протоколы, разделенные на группы, и действия, для протоколов (см. рисунок 4). Можно выбирать действия для всех приложений, для отдельной группы или для отдельного приложения.
Действие «pass» разрешит прохождение трафика.
Действие «alert» уведомит о данном типе трафика, после этого разрешит его прохождение.
Действие «drop» уведомит о данном типе трафика, после этого запретит его прохождение.
Действие «Различно» необходимо ставить в ячейках «все». Это позволит для протоколов и приложений в одной группе задавать разные действия. Ставить по-умолчанию.
Рисунок 4 – Раздел «Настройки DPI» </WRAP