Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
 Скачать 1.91 Mb.
|
|
2 В каталог /usr/bin записываются файлы: lha lha.crg 3 В каталог /etc записываются файлы: iplirprg iplirprg.crg ViPNet Coordinator Linux. Руководство администратора | 171 iplirpsw iplirnetpsw failover.ini iplir.serv iplirSKnums /etc/logrotate.d/vipnet 4 Создается каталог /var/spool/vipnet 5 Ищутся сначала в /etc/rc.d , если не найдены - то в /etc , каталоги: init.d rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d o В каталог init.d ставятся линки (symbolic links): vipmod -> /sbin/vipmod failover -> /sbin/failover Кроме того, в данный каталог записывается скрипт watchdog для совместимости с предыдущими версиями. o В каталоги rc0.d, rc1.d, rc2.d ставятся линки: K K XX , YY могут меняться от версии к версии. o В каталоги rc2.d, rc2.d, rc4.d, rc5.d ставятся линки: S S XX, YY могут меняться от версии к версии. 6 В каталог /lib/modules/<версия_ядра>/misc записываются файлы: drviplir.o (drviplir.ko для ядер серии 2.6.х и 3.x ) itcswd.o (itcswd.ko для ядер серии 2.6.х и 3.x ) itcscrpt.o (itcscrpt.ko для ядер серии 2.6.х и 3.x ) ViPNet Coordinator Linux. Руководство администратора | 172 где версия_ядра определяется как результат выполнения команды uname –r 7 Если дистрибутив динамический, то создается каталог /usr/lib/vipnet и в него записываются файлы библиотек, список которых может меняться от версии к версии. При установке поверх предыдущей версии не перезаписываются файлы в каталоге /etc (кроме случаев установки без сохранения текущей конфигурации ViPNet): iplirpsw iplirnetpsw failover.ini Все остальные файлы перезаписываются. Если статический дистрибутив ставится поверх динамического, то каталог /usr/lib/vipnet не удаляется, хотя и перестает использоваться. При удалении ПО ViPNet из системы удаляются все перечисленные файлы и линки (в том числе /usr/lib/vipnet , даже если удаление производится из статической версии), кроме файла /sbin/rmiplir ViPNet Coordinator Linux. Руководство администратора | 173 Особенности работы ViPNet Linux на различных аппаратных конфигурациях В этом приложении собрана информация об особенностях работы ViPNet Coordinator Linux на специфических аппаратных конфигурациях (например, на некоторых брендовых серверах) и о настройках, которые необходимо сделать в каждом случае. Серверы Supermicro: SuperServer 5013G-i (SYS-5013-Gi) Для успешной работы ViPNet Coordinator Linux на этих серверах необходимо отключать поддержку Advanced Power Management (APM). Это можно сделать либо при сборке ядра, выключив соответствующую опцию, либо при загрузке, задав параметр apm=off Если управление питанием все же необходимо, нужно использовать ACPI. Этот интерфейс предоставляет все возможности, которые предоставляет APM, и нормально работает на таких серверах. D ViPNet Coordinator Linux. Руководство администратора | 174 Сетевые Ethernet-адаптеры с поддержкой технологий «Scatter/Gather I/O» и «TSO» Во многих современных Ethernet-адаптерах (например, Intel 82541 и др.) для повышения скорости передачи сетевых пакетов по умолчанию используются технологии «Scatter/Gather I/O» и «TSO (TCP Segmentation Offload)», позволяющие оптимизировать процесс передачи/приема пакетов аппаратными средствами адаптера. Внимание! Данные технологии не совместимы с работой текущей версии драйвера сетевой защиты iplir, и должны быть отключены для корректной работы ПО ViPNet. Отключить поддержку описанных механизмов можно, например, с помощью широко распространенной утилиты ethtool : # ethtool –K eth # ethtool –K eth N – номер сетевого интерфейса. Проверить текущее состояние «Scatter/Gather I/O» и «TSO» можно следующей командой: # ethtool –k eth где N – номер сетевого интерфейса. В случае если данные механизмы отключены, команда выдает на стандартный вывод следующее сообщение: scatter-gather: off tcp segmentation offload: off За более подробным описанием утилиты ethtool , поставляемой с используемым дистрибутивом Linux, следует обратиться к документации ( man ethtool ). Примечание. В процессе старта ПО ViPNet при загрузке ОС указанные технологии оптимизации автоматически отключаются, о чем выводится предупреждение в syslog ViPNet Coordinator Linux. Руководство администратора | 175 События, отслеживаемые ПО ViPNet Coordinator Linux События, отслеживаемые ПО ViPNet Coordinator Linux, разделены на группы и подгруппы. Рисунок 7: Иерархия групп и подгрупп событий Таблицы 1–10 содержат списки событий, относящихся к разным группам и подгруппам. E ViPNet Coordinator Linux. Руководство администратора | 176 Таблица 1. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные правилами защищенной сети Номер события Название события Описание события 1 Не найден ключ для сетевого узла Не найден ключ для связи с пользователем, идентификатор которого указан в пакете 2 Неверное значение имито Защищаемые данные или открытая информация криптосистемы были изменены 3 IP-пакет блокирован фильтром защищенной сети Согласно настройкам фильтров, входящий зашифрованный или предназначенный для шифрования исходящий открытый пакет был заблокирован 4 Слишком большая разница во времени Пакет был отправлен раньше или позже даты, установленной на принимающем узле, на величину большую, чем указано в настройке допустимого времени приема пакетов 5 Некорректная версия драйвера Принят пакет, созданный версией драйвера, несовместимой с текущей версией 6 Размер заголовка зашифрованного IP-пакета меньше минимально допустимого Длина части пакета, необходимой для расшифрования, слишком мала для того, чтобы в ней могла быть размещена информация криптосистемы 7 Неизвестный метод шифрования Не поддерживается метод шифрования, код которого указан во входящем пакете 8 Искаженный IP-пакет Недопустимые параметры в расшифрованном пакете 9 Неизвестный идентификатор сетевого узла Идентификатор отправителя в пакете неизвестен 10 IP-пакет блокирован главным фильтром защищенной сети Пакет блокирован фильтром, относящимся к записи «IP-пакеты всех адресатов» 11 Сессия была неактивной слишком долго Это событие не используется 12 Не найден MAC-адрес сетевого узла Пакет не может быть перенаправлен получателю, т.к. тот не сообщил адрес своего сетевого адаптера серверу 13 Превышено время жизни IP- пакета Пакет уничтожен из-за превышения лимита его нахождения в сети 14 Получен IP-пакет для другого сетевого узла Принят пакет для другого адресата 15 Слишком много фрагментов Превышено допустимое количество одновременно ViPNet Coordinator Linux. Руководство администратора | 177 для IP-пакета обрабатываемых фрагментированных пакетов 16 Исчерпана лицензия на количество туннелируемых адресов На Координатор, осуществляющий туннелирование, одновременно пришли пакеты от компьютеров, число которых превышает число заданных в лицензии туннелей 17 Неверный IP-адрес В пришедшем зашифрованном пакете Ethernet свой, а IP-адрес чужой, и при этом пакет не является маршрутизируемым (событие 45) 18 Неизвестный IP-адрес получателя Событие появляется в случае, если Координатор не знает, на какой адрес перенаправить входящий пакет 19 Обнаружен конфликт адресов сетевых узлов Это событие не используется 70 Транзитный IP-пакет блокирован фильтром защищенной сети Транзитный зашифрованный IP-пакет заблокирован на Координаторе фильтром защищенной сети Таблица 2. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные правилами открытой сети Номер события Название события Описание события 22 Незашифрованный IP-пакет от сетевого узла От защищенного адресата пришел открытый пакет 23 Незашифрованный широковещательный IP-пакет от сетевого узла От защищенного адресата пришел открытый широковещательный пакет 30 Локальный IP-пакет блокирован фильтром открытой сети Найдено запрещающее правило фильтрации открытой сети в группе локальных правил 31 Транзитный IP-пакет блокирован фильтром открытой сети Найдено запрещающее правило фильтрации открытой сети в группе транзитных правил 32 Широковещательный IP-пакет блокирован фильтром открытой сети Найдено запрещающее правило фильтрации открытой сети в группе широковещательных правил 33 IP-пакет блокирован фильтром антиспуфинга Найдено соответствующее правило в таблице антиспуфинга 34 Неподдерживаемый тип ICMP-сообщения Получен ICMP-пакет, тип которого отличен от типа 8, кода 0 ViPNet Coordinator Linux. Руководство администратора | 178 35 Превышено максимальное число защищаемых адресов В течение заданного периода времени были получены пакеты от большего количества адресов, чем задано в лицензии 36 Передача пакета между двумя внешними интерфейсами запрещена Это событие не используется 37 Пакет блокирован фильтром для туннелируемых ресурсов Найдено запрещающее правило фильтрации в группе правил для туннелируемых ресурсов 38 Пакет блокирован правилом 1- го режима На интерфейсе установлен 1-й режим работы, при котором блокируется весь открытый трафик 39 IP-пакет блокирован фильтрами по умолчанию при загрузке компьютера При загрузке компьютера в фильтрах по умолчанию найдено запрещающее правило фильтрации открытой сети Таблица 3. События подгруппы Все IP-пакеты/Блокированные IP-пакеты/IP-пакеты, блокированные по другим причинам Номер события Название события Описание события 80 Размер IP-пакета меньше допустимого Размер IP-пакета меньше минимально возможного 81 Недопустимая версия протокола IP В данной версии поддерживается только протокол IP версии 4 82 Недопустимая длина заголовка IP Длина заголовка протокола IP меньше минимально возможного 83 Недопустимая длина IP-пакета Длина пакета меньше, чем указано в заголовке протокола IP 84 Несовпадение контрольной суммы IP Подсчитанное значение контрольной суммы заголовка IP-пакета не совпадает со значением, указанным в пакете 85 Размер заголовка TCP меньше минимально допустимого Недопустимо короткий заголовок протокола TCP 86 Размер заголовка UDP меньше минимально допустимого Недопустимо короткий заголовок протокола UDP 87 Дефрагментация IP-пакета была отменена Были обработаны не все фрагменты, образующие пакет 88 Широковещательный адрес отправителя IP-пакета Адрес отправителя в пакете указан широковещательный ViPNet Coordinator Linux. Руководство администратора | 179 89 Фрагменты IP-пакета пересекаются между собой Наиболее старый из пересекающихся фрагментов был отброшен 90 Недостаточно ресурсов для обработки IP-фрагмента Пакет не может быть обработан из-за недостаточности свободных ресурсов Если эта ошибка стабильно проявляется, то требуется обновление версии драйвера, использующего больше машинных ресурсов, или требуется более совершенная модель компьютера 91 IP-пакет получен во время инициализации драйвера Блокировка всех пакетов во время инициализации драйвера 92 Слишком большой размер IP- пакета Размер пакета ограничен размером 48 Кбайт 93 Превышено время сборки фрагментов IP-пакета За допустимое время получены не все фрагменты IP- пакета 94 Недостаточно памяти Для выполнения какой-либо операции требуется выделение памяти, но выделить память не удалось 95 Обнаружен сетевой узел с таким же идентификатором Поступили пакеты с одинаковыми идентификаторами узлов, но разными IP-адресами 97 IP-пакет блокирован фильтром SQL Соединение заблокировано Microsoft SQL фильтром 98 Недостаточно ресурсов для обработки IP-пакета Для обработки IP-пакета требуется выделение ресурсов, но выделить ресурсы не удалось 100 Недопустимые флаги TCP Это событие не используется 101 Не найден маршрут для транзитного IP-пакета Не найдено правило для транзитного пакета в таблице маршрутов 102 Модуль прикладной обработки не загружен Не загружен соответствующий модуль прикладной обработки 103 Превышено максимальное количество соединений Количество уже установленных соединений превышает максимально допустимое, заданное в настройках Координатора 104 Соединение уже существует Для создаваемого соединения параметры исходящих пакетов (socketpair) совпадают с уже существующими, такое соединение блокируется 105 Не удалось выделить динамический порт для правила трансляции адресов Не удалось выделить порт для динамической трансляции адресов (например, все порты в пуле закончились) Таблица 4. События группы Все IP-пакеты/Все пропущенные IP-пакеты/Пропущенные зашифрованные IP-пакеты ViPNet Coordinator Linux. Руководство администратора | 180 Номер события Название события Описание события 40 Пропущен зашифрованный IP- пакет Разрешенный зашифрованный пакет 41 Пропущен зашифрованный широковещательный IP-пакет Разрешенный зашифрованный широковещательный пакет 43 IP-пакет был перенаправлен другому сетевому узлу Пакет перенаправлен на другой узел на том же самом интерфейсе 44 Осуществлена маршрутизация зашифрованного транзитного IP-пакета с изменением его адреса Пакет направлен на другой узел путем подмены в нем адреса получателя 45 Зашифрован (расшифрован) пакет туннелируемого ресурса Это событие для Координатора, осуществляющего туннелирование: пакет пропущен, т.к. поступил от туннелируемого ресурса или предназначен для него Таблица 5. События группы Все IP-пакеты/Все пропущенные IP-пакеты/Пропущенные незашифрованные IP-пакеты Номер события Название события Описание события 60 Пропущен незашифрованный локальный IP-пакет Найдено разрешающее правило фильтрации открытой сети в группе локальных правил 61 Пропущен незашифрованный широковещательный IP-пакет Найдено разрешающее правило фильтрации открытой сети в группе широковещательных правил 62 Пропущен незашифрованный транзитный IP-пакет Найдено разрешающее правило фильтрации открытой сети в группе транзитных правил 63 Пакет пропущен фильтром для туннелируемых ресурсов Найдено разрешающее правило фильтрации в группе правил для туннелируемых ресурсов Таблица 6. События группы Все IP-пакеты/Служебные события Номер события Название события Описание события 42 Изменился адрес сетевого узла Драйвер обнаружил, что IP-адрес сетевого узла изменился и соответствующим образом скорректировал свои таблицы ViPNet Coordinator Linux. Руководство администратора | 181 46 Изменился адрес доступа к сетевому узлу Событие предназначено для диагностики настройки правил NAT на межсетевых экранах, через которые работают другие узлы. Это событие может появиться, если данный узел не установлен в режим работы через Координатор Событие формируется об узлах, установленных в режим работы через межсетевой экран (МЭ), в том случае, если на МЭ изменился адрес или порт доступа к этим узлам со стороны данного узла 47 Истек тайм-аут Технологический код Формируется на узле в режиме С динамической трансляцией адресов при появлении инициативного трафика от удаленного узла, прошедшего через Координатор узла в режиме С динамической трансляцией адресов 48 Адрес сетевого узла зарегистрирован из широковещательного пакета Технологический код Формируется для удаленного узла, если этот узел становится доступным или перестает быть доступным по широковещательным пакетам Таблица 7. События подгруппы Все IP-пакеты/События системы обнаружения атак/Атаки протокола IP Номер события Название события Описание события 1001 Атака Land Попытка злоумышленника замедлить работу данного сетевого узла Атака использует уязвимость стека TCP/IP, заключающуюся в том, что путем передачи фальшивого TCP-пакета можно заставить атакуемый компьютер попытаться установить соединение с самим собой путем отправки SYN-пакета с адресом отправителя, идентичным адресу атакуемого компьютера 1002 IP-опции нулевой длины Попытка злоумышленника вывести из строя внешний сетевой экран путем посылки пакета с IP-опциями нулевой длины 1003 Пустой IP-фрагмент Обнаружен пустой IP-фрагмент ViPNet Coordinator Linux. Руководство администратора | 182 1020 Атака Jolt2 Обнаружен пакет с некорректным смещением фрагмента, соответствующим атаке Jolt2 Атака заключается в посылке в течение короткого промежутка времени большого числа специально сформированных пакетов с целью замедлить атакуемую систему Таблица 8. События подгруппы Все IP-пакеты/События системы обнаружения атак/Атаки протокола ICMP Номер события |