Видове атаки и заплахи в компютърни мрежи
OLSR - протокол за маршрутизациия, който често се използва при изграждане на безжични мрежи (Wireless Mesh Routing); OpenBGPD, OpenOSPFD
Изтегляне 6.18 Mb.
|
- Навигация на страницата:
- Wake on LAN
| OLSR - протокол за маршрутизациия, който често се използва при изграждане на безжични мрежи (Wireless Mesh Routing);
OpenBGPD, OpenOSPFD - процеси, които обслужват BGP и OSPF протоколи за маршрутизация, които pfSense системата използва в средни и големи мрежи; RIP - един от първите протоколи за маршрутизация, заради недостатъците си в днешно време ползва се най-вече в малки мрежи предимно с учебна цел; NTP сървър (OpenNTPD) Network Time Protocol се използва за синхронизиране на системното време на хостовете в една мрежа. Тази услуга е важна тъй като коректната работа на много приложения (напр. общ календар, отчети и т.н) разчита на това хостовете да имат (почти) една и съща идея за системната дата и време; SNMP - Simple Network Management Protocol е стандартен протокол за следене и управление на мрежи. SNMP сървърът се използва когато е необходимо отдалечен хост за събира информация за състоянието на pfSense системата, или да бъде уведомяван за критични събития като отпадане на мрежова карта или системен диск, достигане на определен праг на натоварване и други; Wake on LAN - позволява определени хостове в локалната мрежа да бъдат включени или "събудени". Затова се изисква специална хардуерна поддръжка на протокола от страна на системата, която трябва да бъде събудена. Услугата е полезна при отдалечено администриране на хостовете в локална мрежа. 3.1.2.13. Състояние на системата и журнални файлове.Едно от важните условия за коректна работа на защитната стена е успешно предотвратяване на мрежови атаки или засичане на вече осъществени. Един от начините за предотвратяване на пробиви е постоянно следене на различна информация за състоянието на системата и записване на информацията в журнални файлове. На фиг.3.Х е представен примерен screenshot на текущо състояние на системата. фиг.3.Х. Текущо състояние на системата. Различни страници на WebUI интерфейса предоставят информация за текущото състояние на мрежовите интерфейси, заетите адреси от DHCP клиенти (т.нар. DHCP Leases), активните gateways, активните IPSec и OpenVPN виртуални частни мрежи, журнални записи на инсталирани софтуерни пакети. Най-важните страници които ще бъдат разгледани са две: Журнални записи на системата и настройка на журнални логове; Страница със RRD графики. Журналните записи на системата са разделени на няколко категории – записи за цялостната работа на системата (вход/изход на потребителите в системата, стартиране на критични за системата процеси и други), записи на пакетен филтър (блокирани или пропуснати пакети от защитната стена, записи за работата на активните VPN-и, PPP, DHCP, и NTPD сървърите, както и Captive Portal-а). Броя на записите, които могат да бъдат съхранени на файловата система, както и тези които могат да бъдат изобразени в WebUI интерфейса, е ограничен. Стойността по подразбиране е 50, а разрешения максимум на записите е 2000, като по-нови записи изместват по-стари. Затова pfSense предоставя възможност журналните записи да се изпращат към отдалечен (един или няколко) syslogd сървъра. Препоръчително е тази опция да се използва, не само за да е достъпна информация за работата на системата с месеци и години назад, а и поради възможността при евентуален пробив на защитната стена, данните и журналните записи, които се съхраняват на локалната файлова система, да не бъдат компроменирани и недостъпни за по-нататъшен анализ. Изключително важно за засичане на извънредни ситуации в една система или мрежа, е да се познава добре работата на системата или мрежата при нормални обстоятелства. Това обикновено става чрез събиране и анализ на статистики (броячи) за различни части на системата. По подразбиране pfSense събира такива статистики и предоставя графики на страница с RRD графики за параметри на системата (фиг.3.Х), включително: натовареност на процесора(процесорите) в %; брой състояния в таблица на връзките; обща пропускливост на мрежовия трафик през системата в kbps (KiloBits or KiloBytes per second); входящ и изходящ трафик за всяка мрежова карта на системата в kbps; брой входящи и изходящи пакети за всяка мрежова карта на системата в pps (packets per second) ; качество на канала за всяка мрежова карта – загуба на пакети (в %) и време за достигане до определена точка и обратно (Roundtrip time, в ms) фиг.3.Х. Обикновено входящият трафик е около 0.5 Mbit/s за дневните часове на работните дни, и почти няма потребление през нощните часове (малките “дупки” между стълбовете) и събота и неделя (големите “дупки”). Ясно се вижда аномалия в графиката – потребление около 10 пъти над обичайното в края на периода, което е индикация за необходима по-нататъшна проверка на журнални записи и друга данни с цел да се установи причината за аномалия/възможен пробив или атака. Изтегляне 6.18 Mb. Сподели с приятели:
|