11. Настройка реакции системы

В этой главе показано, как настроить автоматические действия системы для заранее определенных ситуаций.

Что такое реакция системы?

В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.

Для чего нужна реакция системы?

Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.

11.1 Использование графического интерфейса

Для получения доступа к окну настройки реакции системы необходимо выполнить следующие действия:
Выбрать пункт Редактироватьв главном окне.
Выбрать опцию Actions

Окно настройки реакции

Если установлена эта опция, появляется окно, которое позволяет настраивать вид реакции системы. Для каждого сообщения систем сбора статистики или событий и для всех пакетов, не удовлетворяющих ни одному из правил, можно установить независимую реакцию. Окно имеет следующий формат:

Для выбора типа реакции, для указанных в окне сообщений, нажмите левой клавишей мыши на опции. Если опция будет установлена, то при появлении сообщения межсетевой экран выполнит соответствующее действие. Возможны следующие действия:
Log: Если эта опция установлена, каждый раз при появлении соответствующего сообщения оно будет регистрироваться межсетевым экраном.
Mail: Если эта опция установлена, то при появлении соответствующего сообщения посылается e-mail (настройка адреса e-mail показана в следующем разделе).
Trap: Если эта опция установлена, то при каждом появлении соответствующего сообщения SNMP-менеджеру посылается SNMP Trap (о настройке параметров для отправления SNMP предупреждений смотрите в следующем разделе).
Program: Если эта опция установлена, то каждый раз при появлении соответствующего сообщения выполняется определенная администратором программа (настройка параметров для запуска программы рассмотрена в следующем разделе).
Alert: Если эта опция установлена, то при каждом появлении сообщения межсетевой экран показывает окно предупреждений. Это окно будет появляться только при условии, что работает удаленный графический интерфейс, кроме того, если это возможно, будет звучать сигнал предупреждения. Когда графический пользовательский интерфейс не активизирован, сообщения не появляются, и эта опция игнорируется. (Такое действие особенно полезно для привлечения внимания администратора к важным сообщениям).
! Невозможно изменить реакцию на сообщения межсетевого экрана об инициализации (сообщение номер 31). Для этого сообщения при настройке реакции можно использовать только опцию Log.

Значения кнопок

Кнопка OK закрывает окно и сохраняет все сделанные изменения.
Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.
Кнопка >> показывает последующие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна)
Кнопка << показывает предыдущие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна.)
Кнопка Help открывает окно помощи для данного раздела.
Кнопки Parameters и Messages служат переключателями между указанным выше окном сообщений и окном настройки параметров.
Окно настройки параметров

Чтобы система приступила к выполнению действий, необходимо настроить некоторые параметры (например, если межсетевой экран посылает e-mail, необходимо определить e-mail адрес). Эти параметры можно модифицировать через окно настройки параметров реакции системы.

Соответствующее окно откроется, если нажать кнопку Parameters в окне сообщений. Оно имеет следующий формат

Значения параметров:
Параметры для выполнения программы

External Program: Этот параметр определяет имя выполняемой системой программы, когда производится действие с опцией Program. Следует ввести с клавиатуры полное имя маршрута программы. Необходимо учесть , что программа и все каталоги по ходу маршрута должны иметь право на выполнение для пользователя, от имени которого выполняется программа (настройка пользователя проводится в следующей опции).

Программа получает из командной строки следующие параметры (в указанном порядке):

  1. Имя выполняемой программы (стандартный параметр для операционной системы Unix).
  2. Тип сообщения (1 - для статистики или 2 - для события).
  3. Приоритет (7 - debug, 6 - information, 5 - notice, 4 - warning or 3 - error).
  4. Номер сообщения, являющегося причиной выполнения программы, или 0, когда надо указать, что инициатором запуска программы оказывается правило).
  5. ASCII-цепочка с полным текстом сообщения (эта цепочка может иметь символы LF ( конец строки)).
! В операционных системах Unix символ слеш "/" используется для описания маршрута программы. Это может смутить тех, кто пользуется средой DOS/Windows, где используется обратный слеш "\".

Пользователь: Этот параметр определяет, от имени кого будет выполняться программа. Программа будет обладать привилегиями этого пользователя. ! Этот пользователь должен быть зарегистрирован в FreeBSD. Необходимо не путать его с администраторами Aker.

Параметры, связанные с отправкой SNMP прерываний

IP адрес SNMP сервера: Этот параметр определяет IP адрес SNMP менеджера, которому межсетевой экран должен посылать прерывания

SNMP сообщество: Этот параметр описывает имя SNMP сообщества, используемое в SMNP прерывании.

Посланные SNMP прерывания будут иметь основной тип 6 и специальные типы 1 - для регистрации, и 2 - для событий. В качестве номера предприятия используется 2549, который был назначен IANA компании Aker Consultancy and Informatics.

Файл /etc/firewall/mibs/AKER-MIB.TXT содержит информацию о структуре MIB Aker Consultancy and Informatics. Этот файл записан в нотации ASN.1.

Параметры для отправки e-mail

E-mail адрес: Этот параметр описывает адрес пользователя электронной почты, которому посылается e-mail сообщение. Этот пользователь может быть непосредственным пользователем межсетевого экрана или не принадлежать к их числу (в последнем случае надо писать полный адрес, например, user@aker.com.br).

Если необходимо послать e-mail нескольким пользователям, можно создать список и имя списка внести в данное поле. ! Важно отметить, что если какое-либо из полей оказывается пустым, соответствующее действие не исполняется, даже когда если оно определено.

11.2 Использование интерфейса командной строки

Интерфейс командной строки обладает теми же возможностями, что и графический интерфейс, и весьма несложен в применении.

Путь к программе: /etc/firewall/fwacao

Синтаксис: 

fwacao help
fwacao show
fwacao assign <number> [log] [mail] [trap] [program] [alert]
fwacao <program | user | community> [name]
fwacao ip [IP address]
fwacao email [address]
Program help: 

Aker Firewall - Version 3.0
fwacao - интерфейс командной строки для настройки реакции системы
Usage: fwacao help
       fwacao show
       fwacao assign <number> [log] [mail] [trap] [program] [alert]
       fwacao <program | user  | community> [name]
       fwacao ip [IP address]
       fwacao e-mail [address]
       help      = показывает данное сообщение
       show      = показывает список сообщений и реакций системы
       assign    = назначает реакцию на конкретное сообщение
       program   = определяет имя выполняемой программы
       user      = определяет имя пользователя для запуска программы
       community = определяет имя SNMP сообщества для генерируемого прерывания
       ip        = определяет IP адрес SNMP сервера, которому будет отправлено прерывания
       e-mail    = определяет имя пользователя, которому будет отправлен e-mail
Для команды assign:
       number    =номер сообщения, для которого описывается реакция
                   (номер каждого сообщения приводится в левой колонке
                    если просматривать список опцией show)
       log       = регистрировать каждое генерируемое сообщение
       mail      = послать e-mail для каждого генерируемого сообщения
       trap      = послать SNMP прерывание для каждого генерируемого сообщения
       program   = выполнить программу для каждого генерируемого сообщения
       alert     = открыть окно предупреждений для каждого генерируемого сообщения
Пример 1: (Настройка параметров для отправки e-mail и выполнение программы) 

#fwacao e-mail root
#fwacao program /etc/pager
#fwacao user nobody
Пример 2: (Просмотр всех описаний реакции системы) 

#fwacao show
General Conditions:
00 - Packet did not match any rule
>>>> Log
Log messages:
01 - Possible fragmentation attack
>>>> Log Mail
02 - Source routed IP packet
>>>> Log
03 - Land attack
>>>> Log Mail Alert
04 - Connection is not present in the dynamic table
>>>>
05 - Packet was received from an invalid interface
>>>> Log
06 - Packet was received from an unknown interface
>>>> Log
07 - Possible FTP simulation attack
>>>> Log Mail Trap Program
    
(...)
84 - Error in the previous operation  
>>>> Log
85 - User without access right
>>>> Log
86 - Unrecognized packet
>>>> Log
Configuration parameters:
program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :
Внимание: Из-за большого количества сообщений в примере будут приведены только первое и последнее. Настоящая программа в процессе выполнения покажет все сообщения.

Пример 3: (Описание реакции на сообщение Packet did not match any rule и просмотр сообщений) 

#fwacao assign 0 log mail alert
#fwacao show
General Conditions:
00 - Packet did not match any rule
>>>> Log Mail Alert
Log messages:
01 - Possible fragmentation attack
>>>> Log Mail
02 - Source routed IP packet
>>>> Log
03 - Land attack
>>>> Log Mail Alert
04 - Connection is not present in the dynamic table
>>>>
05 - Packet was received from an invalid interface
>>>> Log
06 - Packet was received from an unknown interface
>>>> Log
07 - Possible FTP simulation attack
>>>> Log Mail Trap Program
    
(...)
84 - Error in the previous operation  
>>>> Log
85 - User without access right
>>>> Log
86 - Unrecognized packet
>>>> Log
Configuration parameters:
program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :
Пример 4: (Отмена реакции на сообщение Source routed IP packet) 

#fwacao assign 2
#fwacao show
General Conditions:
00 - Packet did not match any rule
>>>> Log Mail Alert
Log messages:
01 - Possible fragmentation attack
>>>> Log Mail
02 - Source routed IP packet
>>>> 
03 - Land attack
>>>> Log Mail Alert
04 - Connection is not present in the dynamic table
>>>>
05 - Packet was received from an invalid interface
>>>> Log
06 - Packet was received from an unknown interface
>>>> Log
07 - Possible FTP simulation attack
>>>> Log Mail Trap Program
    
(...)
84 - Error in the previous operation  
>>>> Log
85 - User without access right
>>>> Log
86 - Unrecognized packet
>>>> Log
Configuration parameters:
program   : /etc/pager
user      : nobody
e-mail    : root
community :
ip        :

Назад | Содержание | Вперед