Руководство Администратора межсетевого экрана Акер 3.01

A -Системные сообщения


Сообщения, касающиеся статистики межсетевого экрана

Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.

01 - Возможная атака путем фрагментации

Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.

02 - Source routed IP пакет

Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.

03 - Land атака

"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.

04 - Соединение отсутствует в динамической таблице

Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.

05 - Пакет получен с неверного интерфейса

Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.



06 - Пакет получен с неизвестного интерфейса

Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.


07 - Возможная атака подбором на FTP протокол

Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.

08 - Возможная атака подбором на Real Audio протокол

Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.

09 - Контрольный канал FTP не открыт

Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.

10 - Неверные TCP флаги

Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.

11- Неверный TCP sequence number

Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.

12 - Возможная SYN атака



Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу 10 Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.

13 - Пакет без аутентификационной информации



Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см.


главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.

14 - Пакет не прошел аутентификацию

Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

15 - Пакет без криптографической информации

Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

16 - Размер расшифрованного пакета неверен

Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.

17 - Неудачная расшифровка пакета

Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографическиймодуль  обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.

18 - Неверный тип инкапсуляции пакета

Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)



19 - Пакет без SKIP информации

Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу 8 Создание защищенных каналов).

20 - SA пакета не содержит SKIP информацию



Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу 8 Создание защищенных каналов). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.

21 -Неверная версия SKIP



Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)

22 - Неверное значение счетчика SKIP протокола

Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.

23 - Неверный SPI для SKIP аутентификации



Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)

24 - Неверный следующий протокол в SKIP заголовке

Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)

25 - Неверный алгоритм аутентификации SKIP

Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)



26 - Неверный алгоритм шифрования SKIP

Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)

27 - Неверный алгоритм обмена ключами SKIP

Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).

28 - Алгоритм сжатия данных не поддерживается

Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)

29 - Неверный идентификатор адресного пространства источника

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)

30 - Неверный идентификатор адресного пространства назначения

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)


Содержание раздела