12 Sistema de detecció i prevenció d'intrusions (IDS+IPS)
NSSOS està equipat amb un subsistema IDS capaç de realitzar l'anàlisi del tràfic i registre de paquets a la xarxa, això inclou l'anàlisi dels protocols i la cerca de continguts amb la finalitat de detectar atacs al sistema i la xarxa . Els principals atacs que el sistema pot detectar són els següents :
Buffer overflows
Stealth port scans
Cgi attacks
SMB probes
OS fingerprinting
i Molts altres...
El sistema disposa també
d'un agent intel·ligent IPS amb la capacitat de bloquejar automàticament les adreces
IP que el sistema ha detectat com a font de possibles atacs. Això
es tradueix en la modificació en temps real de les
polítiques per defecte del tallafocs.
La configuració del
sistema IDS és automàtic. NSSOS bé configurat
per detectar la majoria d'atacs i actuar amb conseqüència.
#set
system system ips enable
Quan s'activen els
subsistemes NSSOS escolta per totes les interfícies en busca
de paquets que puguin ser font de possibles atacs a la xarxa. Si
no s'identifica el paquet com a possible atac serà entregat
al tallafocs del sistema on serà filtrat.
No és necessari
efectuar un commit després d'executar les comandes 'erase' mostrades a
continuació. El sistema automàticament realitzarà
les modificacions als subsistemes. Aquest comportament difereix del
comportament de la comanda del , la qual és necessari
efectuar un commit per actualitzar la configuració
real del sistema.
NSSOS quan detecta un
paquet com a font de possible atac automàticament bloqueja la
adreça IP de l'atacant durant un període de 24 hores.
Això implica com s'ha dit anteriorment la modificació
en temps real de les polítiques per defecte del tallafocs
del sistema, de manera que NSSOS descarta els paquets provinents
d'aquestes adreces IP. A més quan es bloqueja una IP, aquesta
és afegida a la llista de adreces IP bloquejades o llista
ban.
#show
configuration system
..
ips {
enabled
ban {
62.0.0.2
}
trusted {
-
}
}
..
En aquest exemple observi que el sistema ha bloquejat la adreça IP 62.0.0.2.
És possible que vulgui que el sistema accepti permanentment els paquets d'algunes IP "conegudes" encara que aquestes romanguin a la llista de ban. Per configurar NSSOS de manera que mai bloquegi algunes adreces IP ho pot fer a través de la inserció d'aquestes IP "conegudes" a la llista trusted.
#erase ips ban 62.0.0.2
Si la adreça IP que afegeix a la llista trusted existeix a la llista de ban, NSSOS elimina la adreça IP d'aquesta llista i automàticament l'afegeix a la de trusted .En cas contrari NSSOS simplement
afegeix la adreça IP a la llista trusted.
#erase ips trusted 62.0.0.2
Si elimina una IP de la llista trusted i NSSOS detecta un possible atac al sistema efectuat des d'aquesta adreça el sistema bloquejarà la IP i l'afegirà a la llista de ban
Capitol 11 | Index | Tornar al començament | Capitol 13
| 
