Loading...

Häufig gestellte Fragen zu Network Security Platform
Technische Artikel ID:   KB75269
Zuletzt geändert am:  03.08.2017
Bewertet:


Umgebung

McAfee Network Security Platform (NSP) 8.x

Zusammenfassung

Inhalt
Allgemeines Produktinformationen und verschiedene Themen
Kompatibilität Interaktion mit anderen Produkten und anderer Software
Installation/Upgrade Informationen zu Installation, Upgrade, Migration und Entfernung
Konfiguration Umfasst empfohlene Vorgehensweisen, Optimierung, Konfiguration und Anpassung
Funktionen Produktmerkmale und -funktionen
Gemeinsam verwendeter geheimer Schlüssel Häufig gestellte Fragen zum gemeinsam verwendeten geheimen Schlüssel und zu SSL sowie zur Erneuerung von SSL-Schlüsseln
NSP und GTI Häufig gestellte Fragen zu den Funktionen und der Interaktion von NSP und Global Threat Intelligence (GTI)
Abdeckung von Angriffen Informationen zur Abdeckung bestimmter Angriffe
NSP und NAC Fragen und Antworten zur Zusammenarbeit von NSP und Network Access Control (NAC)
Heterogener Signatursatz Informationen zum heterogenen Signatursatz
Unterbrechungsfreier Sensor-Neustart Eine Funktion, die die Auswirkungen von Sensorzyklen vermindert 
Erweiterte Malware-Erkennung Fragen in Bezug auf die erweiterte Malware-Erkennung
Network Security Platform 8.3 Fragen zu den neuen Funktionen in NSP 8.3


Allgemeines

In welchem Abstand tauschen Sensor und Manager Informationen aus, um zu überprüfen, ob der Sensor aktiv ist?
Das Abfrageintervall beträgt im Allgemeinen zwei Minuten; wenn der EMS jedoch einen Fehler erkennt, wird das Abfrageintervall auf 30 Sekunden verkürzt. Dadurch sollen Probleme wie verloren gegangene Pakete verhindert werden, die eine Fehlermeldung auslösen. Wenn der Sensor nach zehn Minuten immer noch nicht erreichbar ist, wird das Abfrageintervall auf den Normalwert von zwei Minuten zurückgesetzt.

 
Wie groß ist der von dieser Abfrage generierte Datenverkehr?
Die Abfrage wird über ein SNMP-UDP-Paket durchgeführt, und es werden vier MIB-Variablen abgefragt. Die gesamte Nutzlast von SNMP-Anwendungsanfragen beläuft sich auf ca. 100 Byte.

 
Wie lange kann es potenziell dauern, bis der Manager einen Sensor in "System Health" (Systemzustand) als getrennt kennzeichnet?
Da die Abfrage zunächst alle zwei Minuten erfolgt und das normale Zeitlimit 60 Sekunden beträgt, könnte ein Fehler im besten Fall nach 60 Sekunden gemeldet werden, es kann jedoch auch bis zu 180 Sekunden (120 + 60) dauern.


Führt das Fail-Open Kit Auto-MDIX aus?
Nein. Dies wird von der Auto-MDIX-Funktion des im Sensor installierten McAfee SFP ausgeführt.


Arbeitet das Copper Fail-Open Kit auf die gleiche Weise wie die Optical Bypass Single Mode (SM) und Multi-Mode (MM) Fail-Open Kits?
Bei dem FO Kit (Fiber-Umgehungs-Switch) werden die TX/RX-Paare nicht gekreuzt. Informationen hierzu finden Sie in der Kurzanleitung zum Gigabit Optical Fail-Open Bypass Kit für Ihre Sensor-/Sensor-Software-Version. Sie enthält ein Diagramm zur korrekten Installation sowie weitere Informationen zur Installation und Verbindung.

 
Nachdem ein 10/100/1000 Copper Active Fail-Open (AFO) Bypass Kit vom Inline- in den TAP-Modus versetzt wurde, wird das AFO aus- und wieder eingeschaltet. Beim Neustart wird der TAP-Modus deaktiviert. Warum?
Das AFO funktioniert wie vorgesehen. Die Einstellungen für den TAP-Modus werden im AFO nicht gespeichert. Wenn das AFO aus- und wieder eingeschaltet wird, dann wird die Standardeinstellung TAP mode Off (TAP-Modus aus) wiederhergestellt. Dieses Verhalten ist so vorgesehen.


Die Warnung "ARP: MAC Address Flip-Flop" (ARP: Hin- und Herwechseln der MAC-Adresse) wird nur auf der Ebene der CIDR-Schnittstelle angezeigt. Weshalb wird in dieser Warnung nicht der Name der Unterschnittstelle angezeigt?
Die CIDR-basierte Suche nach der Schnittstellenunterstützung wird nur für IPv4-Pakete (PTYPE = 0x800) durchgeführt. Da ARP nicht in diese Kategorie fällt, wird für ARP-Pakete nur die Schnittstellenklassifizierung nach Port und VLAN-Ebene aufgezeichnet. Dies ist das erwartete Verhalten.


Warum sind Sensor-Protokolldateien verschlüsselt?
In den Sensor-Protokolldateien werden hauptsächlich Informationen aufgezeichnet, die vom technischen Support-Team und/oder dem Entwicklungsteam zur Fehlerbehebung benötigt werden. Da die Hauptadressaten dieser Dateien bei McAfee beschäftigt sind, können die Dateien gelegentlich vertrauliche oder proprietäre Informationen enthalten. Sie müssen daher verschlüsselt sein. NSP gibt über die Sensor-CLI-Befehle alle kritischen Ereignisse an, die Sie erfahren müssen. Wenn es bestimmte Informationen gibt, die Sie benötigen, die Ihnen derzeit jedoch nicht ausgegeben werden, können Sie gerne eine Produktverbesserungsanfrage bei McAfee einreichen. Solche Anfragen werden ggf. in späteren NSP-Wartungsversionen umgesetzt.


Gleicht NSP die Netzwerklatenz während der Zeitsynchronisierung aus?
Nein. NSP bietet keinen Ausgleich für Netzwerklatenzprobleme während der Zeitsynchronisation.

Wenn zwischen Sensor und Manager eine Netzwerkverzögerung von 100 ms besteht, liegt die Sensorzeit um 100 ms hinter der Systemzeit des Managers zurück. Der Sensor verfügt über eine interne Uhr, die ihre Zeiteinstellung vom Manager bezieht, sodass Sensor und Manager synchronisiert bleiben. Wenn die Verbindung des Sensors mit dem Manager getrennt wird, aktualisiert die interne Uhr in regelmäßigen Abständen die Zeit auf dem Sensor. Die Zeitverzögerung zwischen Sensor und Manager entspricht der auf die Netzwerklatenz zurückzuführenden Verzögerung zwischen dem betreffenden Sensor und dem Manager. Zwischen dem Manager und anderen bereitgestellten Sensoren können längere oder kürzere Verzögerungen bestehen.

Der Sensor schreibt die Zeit in seinen eigenen Flash-Speicher, da er nicht über eine batteriebetriebene Uhr verfügt, auf die er ausweichen könnte. Wenn der Sensor nach einem Stromausfall neu gestartet wird und wieder online geht, kann möglicherweise nicht sofort eine Verbindung des Sensors mit seinem zugeordneten Manager hergestellt werden. In diesem Fall verwendet der Sensor die zuletzt im Flash-Speicher gespeicherte Zeit. Dies ist die einzige Situation, in welcher der Sensor die Zeit aus dem Flash-Speicher abruft; davon abgesehen ist die im Flash-Speicher gespeicherte Zeit ohne Belang.


Wie behandelt der Sensor Datenverkehr für Hosts, die isoliert wurden?
Der Sensor kann mithilfe der IPS-Quarantäne-Funktion nicht konforme Hosts isolieren und gleichzeitig den Zugang zur Behebung gewähren. Wenn bei aktivierter IPS-Quarantäne ein Angriff auf den Inline-Überwachungsport eines Sensors erkannt wird, erstellt der Sensor nur dann eine Quarantäne-Regel für die IP-Quelladresse des Hosts, wenn der betreffende Host nicht in der NAC-Ausschlussliste aufgeführt ist. Der Sensor blockiert in keinem Fall Datenverkehr von Hosts in der NAC-Ausschlussliste. Ist der Host nicht in der NAC-Ausschlussliste enthalten, wird er für einen bestimmten Zeitraum in die Quarantäne-Tabelle eingefügt.

Der Sensor überprüft den gesamten Datenverkehr über die Ports anhand der Quarantäne-Tabelle und blockiert sämtliche Pakete, die von isolierten Hosts gesendet wurden. Dadurch wird verhindert, dass nicht konforme Hosts andere Systeme im Netzwerk schädigen. Sie können eine IPS-Netzwerkzugriffszone mit bestimmten IP-Adressen konfigurieren, auf die der isolierte Host zugreifen darf (z. B. für das Behebungsportal oder den DNS-Server). Dadurch hat der isolierte Host Zugang zu Behebungsmaterialien, ohne dass er die Gesamtsicherheit des Netzwerks gefährdet. Ein Host kann der Quarantäne-Tabelle hinzugefügt werden, indem eine NAC-Richtlinie oder eine Signatur, für die die Quarantäne-Reaktionsoption aktiviert ist, abgeglichen wird.


Wenn der NSM mit zwei in Manager Disaster Recovery (MDR, Manager-Wiederherstellung nach Systemausfall) konfigurierten Managern installiert wird, müssen beide Manager mit Warnungsdaten vom Sensor aktualisiert werden. Wie kommunizieren die Sensoren mit dem NSM, um die Warnungsdaten zu aktualisieren?
Der Sensor versucht, Warnungen an beide NSMs in einer MDR-Konfiguration zu senden. Wenn die Warnung erfolgreich an einen NSM gesendet wurde, können Sie die Warnung aus dem Sensor-Puffer entfernen. Wenn der Sensor die Warnung an keinen der NSMs senden kann, wird sie im Sensor-Puffer gespeichert. Die Manager synchronisieren bei ihrer nächsten Kommunikation ihre Datenbanken miteinander, um alle Warnungen zu aktualisieren, die möglicherweise auf dem jeweils anderen Manager nicht empfangen wurden. Jede Warnung ist mit eindeutigen Attributen gekennzeichnet, um die Synchronisierung zwischen den Managern zu erleichtern.


Wie unterscheiden sich die Funktionen "IPS Quarantine" (IPS-Quarantäne) und "Access Control List" (ACL, Zugriffskontrollliste) in NSP?

  • Die IPS-Quarantäne-Regeln werden unabhängig von den ACL-Regeln und vor diesen verarbeitet.
  • Eine IPS-Quarantäne-Regel verwirft sämtlichen Datenverkehr von einer Quell-IP-Adresse, während in einer ACL-Regel die Art des verworfenen Datenverkehrs spezifischer festgelegt sein kann.
  • IPS-Quarantäne-Regeln werden dynamisch erstellt, während ACL-Regeln beim Erstellen einer Richtlinie explizit hinzugefügt werden müssen.
  • Sie können IPS-Quarantäne-Regeln nach einem vorab festgelegten Zeitraum dynamisch entfernen, ACL-Regeln müssen hingegen explizit über eine Richtlinienaktualisierung entfernt werden.


Wie werden Botnet-Angriffe im Threat Analyzer angezeigt?
Bei Auftreten von Datenverkehr werden die Adressen in der Botnet-DAT-Datei gesucht, um zu bestimmen, ob es sich bei einer IP-Adresse oder einem Domänennamen um eine bekannte Botnet-Adresse handelt.

Wenn die Daten gefunden werden, wird eine Warnung ausgelöst, und die Command-and-Control-IP-Adresse bzw. -Domäne wird als Angreifer markiert. Die Adresse des Angreifers wird in Threat Analyzer in die Spalte für die Quell-IP-Adressen eingetragen. Die Adresse des Hosts, der eine Verbindung mit der Command-and-Control-Adresse herstellt, wird als Opfer gekennzeichnet. Das Opfer wird in Threat Analyzer in der Spalte für die Ziel-IP-Adressen aufgeführt.

Die Flussrichtung hängt davon ab, wer die Verbindung initiiert hat; sie gibt an, ob der auslösende Fluss eingehend oder ausgehend war.


Warum werden Aktionseinstellungen für den Manager sofort und ohne eine Aktualisierung der Konfiguration aktiviert?
Wenn ein Systemadministrator im Policy Editor (Richtlinien-Editor) Aktionseinstellungen für den Manager ändert, z. B. für Auto ACK (automatische Bestätigung), SNMP oder Syslog, ist eine Aktualisierung der Konfiguration erforderlich. Die Aktionseinstellungen werden jedoch unverzüglich ohne eine solche Aktualisierung aktiviert. Dieses Verhalten ist vorgesehen. Im aktuellen NSP-Design werden Konfigurationsänderungen auf Richtlinienebene verfolgt, und Richtlinienänderungen bedeuten, dass für den Sensor eine Push-Übertragung von Signaturdateien erforderlich ist. NSP wurde umfassend überarbeitet, um die Aktualisierung von Signaturdateien für den Sensor zu verbessern; hierzu wurden Caching und inkrementelle Aktualisierung eingeführt. Derzeit wird geplant, den Schwerpunkt auf die Verbesserung der Effizienz bei Push-Übertragungen von Signaturdateien zu legen und nicht auf die feiner abgestufte Überwachung von Richtlinienänderungen.

Sofort aktivierte Elemente Attack Severity (Schweregrad des Angriffs)*; Notifications (Benachrichtigungen); Email (E-Mail), Script (Skript), Auto ACK (Automatische Bestätigung), Pager, SNMP, Syslog
Elemente, für die eine Konfigurationsaktualisierung erforderlich ist Attack Severity (Schweregrad des Angriffs)*; Sensor Actions (Sensoraktionen); Logging (Protokollierung)

* Änderungen an "Attack Severity" (Schweregrad des Angriffs) werden sowohl vom Manager als auch vom Sensor verwendet. Änderungen, die den Manager betreffen, z. B. in Threat Analyzer angezeigte Änderungen des Schweregrads, werden sofort wirksam. Für Änderungen, die den Sensor betreffen (z. B. für NAC), ist eine Sensor-Aktualisierung erforderlich.


Weshalb werden Warnmeldungen vom Typ "Low" (Niedrig) und "Informational" (Informationen) nicht im Real-time Threat Analyzer (RTTA) angezeigt?
Dieses Verhalten ist so vorgesehen. Verwenden Sie den Historical Threat Analyzer, wenn Warnungen vom Typ "Low" (Niedrig) und "Informational" (Informationen) angezeigt werden sollen. 


Ich kann zu blockierende Angriffe im Policy Editor (Richtlinien-Editor) konfigurieren. Warum sendet der Sensor auch dann eine Warnung an den Manager, wenn "Send Alert to the Manager" (Warnung an Manager senden) für den Angriff deaktiviert ist?
Dieses Verhalten ist so vorgesehen. Da der Angriff blockiert wird, sendet der Sensor die Warnung ungeachtet der Einstellung für Send alert to the Manager (Warnung an Manager senden), damit der Administrator benachrichtigt wird, welcher Sensor den Angriff blockiert hat.


In RTTA werden im Abschnitt "DoS Analysis" (DoS-Analyse) des Warnungsdetailbildschirms für "Inbound/Outbound UDP Packet Volume Too High" (Zu hoher Umfang von eingehenden/ausgehenden UDP-Paketen) der "DoS IP Range" (DoS-IP-Bereich) und die "Top 3 Attack IP Ranges" (3 aktivste Angriffs-IP-Bereiche) angezeigt. Warum ist dieser Abschnitt gelegentlich leer, d. h., warum werden manchmal keine IP-Bereichsinformationen angezeigt?
Dieses Verhalten ist so vorgesehen. Wenn der Sensor den Angriff erkennt, beginnt er sofort mit der Erfassung der IP-Adressen. Der Sensor wartet einen bestimmten Zeitraum, bevor die Warnung ausgelöst wird, damit auch die IP-Adressinformationen gemeldet werden können. Wenn jedoch der Angriff kurz darauf eingestellt wird, kann der Sensor keine IP-Adressinformationen abrufen und löst eine Warnung ohne zugehörige IP-Adresse aus.


Welche Standardeinstellungen gelten für meinen NSP-Sensor und sonstige Hardware?
Hardware Baudrate Daten Parität Stopp Flusssteuerung Standardbenutzer Standardkennwort SSH-Port
I-Serie 9600 8 Keine 1 Keine admin admin123 22
M-Serie 38400 8 Keine 1 Keine admin admin123 22
N-Serie 38400 8 Keine 1 Keine admin admin123 22
NS-Serie 115200 8 Keine 1 Keine admin admin123 22
NTBA 9600 8 Keine 1 Keine admin admin123 22
XC240 115200 8 Keine 1 Keine admin admin123 22
AFO-Kit 19200 8 Keine 1 Keine McAfee McAfee  


Warum funktioniert das SYN-Cookie nicht, wenn MPLS-Datenverkehr im Netzwerk vorhanden ist?
Das SYN-Cookie kann für MPLS-Datenverkehr nicht unterstützt werden, da NSP nicht bekannt ist, welches MPLS-Tag in der Rückrichtung zu verwenden ist, wenn der Sensor-Proxy auf die SYN-Pakete reagiert.

 
Verhindert der Sensor eine mögliche SYN-Überflutung, wenn Sie das SYN-Cookie für einen Sensor aktivieren, auf dem ein Port übergreifend für die Erkennung von MPLS-Datenverkehr und der andere inline konfiguriert ist, und daher keinen MPLS-Datenverkehr erkennt?
Ja. Das SYN-Cookie funktioniert weiterhin für normalen Datenverkehr am Inline-Port-Paar.

 
Kann ich das SYN-Cookie verwenden, wenn ein VLAN-Tag im Datenverkehr verwendet wird? Wenn beispielsweise der gesamte Datenverkehr ein VLAN-Tag enthält und der Sensor nur Datenverkehr aus einem VLAN erkennt, jedoch keinen Datenverkehr aus anderen VLANs empfängt, funktioniert das SYN-Cookie dennoch, oder darf das VLAN-Tag im Inline-Datenverkehr überhaupt nicht vorhanden sein, damit das SYN-Cookie funktioniert?
Das SYN-Cookie funktioniert für Datenverkehr mit dem VLAN-Tag. Es funktioniert auch bei einer Mischung aus Datenverkehr mit VLAN-Tag und Datenverkehr ohne VLAN-Tag. Es gelten jedoch bestimmte Einschränkungen, wenn die Pakete über dieselbe Schnittstelle zurückgegeben werden.


Wenn die Sensorschnittstellen als inline konfiguriert sind, gibt es wechselseitige Kommunikation zwischen den Ports, wenn Datenverkehr den Sensor durchläuft?
Nein. Im Sensor erfolgt keinerlei Umschaltung oder Routing von Datenverkehr. Die zwei als Schnittstellenpaar gruppierten Schnittstellen (1A/1B, 2A/2B usw.) sind einander fest zugeordnet. Eingehender Datenverkehr an einer Schnittstelle (z. B. 1A) kann den Sensor nur an der entsprechend zugeordneten Schnittstelle (z. B. 1B) des Paars verlassen. Dies ist ein grundlegendes Konzept der Sensor-Software, und da im Sensor keinerlei Routing oder Umschaltung erfolgt, wird die Umleitung von Paketen an eine andere Schnittstelle des Geräts für den Sensor nicht unterstützt.


Kann das Gesamtaufkommen des ein- und ausgehenden Datenverkehrs zu einem bestimmten Zeitpunkt die Überprüfungskapazitäten eines Sensors überschreiten (z. B. beträgt die IPS-Leistung des NS9100 10 GB/s)?
Nein. Die Überprüfungskapazitäten werden von allen Ports des Sensors gemeinsam genutzt.  Diese Überprüfungskapazitäten bestimmten die Nennkapazität des Sensors.


Wie kann ich für die DOS-Erkennung des Sensors den Wechsel in den Lernmodus erzwingen bzw. einstellen?
Wählen Sie Denial of Service (Denial-of-Service), Data Management (Datenverwaltung) und dann Rebuild DoS Profile (DoS-Profil neu erstellen) aus. Damit wird der Lernvorgang neu begonnen.


Welcher Unterschied besteht zwischen einem korrelationsbasierten Reconnaissance-Angriff und einem signaturbasierten Reconnaissance-Angriff? Sind beide Erkundungsangriffe Teil der Standarderkundungsrichtlinie?
Dies hängt von der verwendeten NSP/NSM-Version ab. In den Versionen bis 8.1 werden sowohl IPS-Richtlinien als auch Reconnaissance-Richtlinien verwendet. Die IPS-Richtlinien enthalten die signaturbasierten Angriffe, während die Reconnaissance-Richtlinien die korrelationsbasierten Angriffe umfassen. Ab Version 8.2 gibt es jedoch keine Reconnaissance-Richtlinien mehr, und sowohl signaturbasierte als auch korrelationsbasierte Reconnaissance-Angriffe sind in den IPS-Richtlinien enthalten.
Um sie im IPS-Richtlinien-Editor zu unterscheiden, hat McAfee für beide spezifische Angriffskategorien eingeführt:"Reconnaissance Correlation Attack" (Korrelationsbasierter Reconnaissance-Angriff) und "Reconnaissance Signature Attack" (Signaturbasierter Reconnaissance-Angriff).


Die maximale Leistungsaufnahme des Sensors NS7x00 beläuft sich auf 250 W; weshalb ist das mitgelieferte Netzteil auf 650 W ausgelegt?
McAfee verwendet dieses 650 W-Netzteil aufgrund von Design-/Größenanforderungen für die Appliances der Serie NS7x00.


Im Web-Browser eines manuell isolierten Hosts werden weder eine Quarantäne-Meldung noch Hinweise angezeigt, und es wird keine Umleitung zum Behebungsportal angeboten. Warum nicht?
Wenn Sie für einen Sensor konfigurieren, dass auf isolierten Clients eine Browser-Meldung angezeigt werden soll oder dass der isolierte Client zum Behebungsportal umgeleitet werden soll, wird dies nur für Hosts durchgeführt, die vom Sensor automatisch isoliert werden. Dies ist so vorgesehen. Wenn ein Host in Threat Analyzer manuell isoliert wird, wird weder eine Browser-Meldung angezeigt noch wird das Behebungsportal angeboten, sondern der Host wird lediglich der entsprechenden Quarantäne-Zone zugeordnet.

Zurück zum Inhalt

 

Kompatibilität

Welche XFP-Transceiver werden für Sensoren der M-Serie unterstützt?
Für Sensoren der M-Serie werden die folgenden XFP-Transceiver unterstützt:

  • IAC-1550-CG1 (höhere Reichweite, Einzelmodus, 1550nm XFP-Transceiver)
  • IAC-1310-CG1 (lange Reichweite, Einzelmodus, 1310nm XFP-Transceiver)
  • IAC-X850-CG1 (kurze Reichweite, Mehrfachmodus, 850nm XFP-Transceiver)

WICHTIG: XFP-Transceiver von anderen Herstellern werden nicht unterstützt.


Ist ein Fail-Closed-Dongle erforderlich, um die Überwachungs-Ports an den Sensoren M-1250 und M-1450 im Fail-Closed oder SPAN-Modus zu konfigurieren? 
Nein. Im Unterschied zu Sensoren der I-Serie müssen keine Fail-Closed-Dongles an den Überwachungs-Ports der Sensoren M-1250 und M-1450 eingesteckt werden, auch nicht im Fail-Closed oder SPAN-Modus. Die Dongle-Funktion ist nun in die Überwachungs-Ports integriert.


Warum kann ich von einem nicht englischsprachigen Mobilgerät aus nicht auf NSM zugreifen?
NSM funktioniert nicht ordnungsgemäß, wenn Sie von einem nicht englischsprachigen Mobilgerät aus auf NSM zugreifen, da nur Geräte mit englischer Spracheinstellung unterstützt werden. Ändern Sie die Spracheinstellung des Betriebssystems zu "Englisch", um auf den Manager zuzugreifen.


Welche Version von Nessus wird von NSM unterstützt?
Nessus-Berichte, die mit den Scannern Nessus 4 und Nessus 5.x generiert wurden, können in NSM importiert werden. Wenn der generierte Bericht Host-IP-Adressen als vollqualifizierte Domänennamen (FQDNs) oder NetBIOS-Namen enthält, kann NSM die Ziel-Host-IP-Adressen im Bericht nicht auflösen, und Schwachstellen für die betreffenden Hosts werden nicht in die Manager-Datenbank importiert. Ein Nessus 4- oder Nessus 5.x-Bericht im ".nessus"-Format, der gültige Host-IP-Adressen im Format mit Punkten enthält, kann in die Manager-Datenbank importiert werden.


Warum kann der Sensor keinen Angriff erkennen, wenn der Datenverkehr PPPoE-gekapselt ist? 
PPPoE wird nicht unterstützt. Alle PPPoE-gekapselten Pakete werden vom Sensor ohne Erkennung weitergeleitet. Dies ist so vorgesehen.


Wenn NSM für die automatische Bereitstellung von heruntergeladenen Signatursätzen auf alle Geräte konfiguriert ist, funktioniert die automatische Bereitstellung für NSP-Sensoren, jedoch nicht für NTBA (Network Threat Behavior Analysis)-Sensoren. Warum?
Die automatische Bereitstellung für NTBA wird ab NSM 8.1 unterstützt. Führen Sie zum Implementieren der automatischen Bereitstellung ein Upgrade auf NSM 8.1.3.6 oder höher durch.


Wird die GTP-Analyse für Sensoren der M-Serie unterstützt?
Nein. Die GTP-Analyse wird nur für Sensoren der NS-Serie unterstützt.

 
Kann NSP GRE-gekapselten Datenverkehr überprüfen und Angriffe unter diesem Protokoll erkennen? 
NSP kann GRE-gekapselten Datenverkehr untersuchen und Angriffe erkennen. Diese Funktion muss jedoch aktiviert werden, da die Sensor-Standardkonfiguration keine Untersuchung von Datenverkehr über einen GRE-Tunnel vorsieht.

 
Unterstützt NSP das Scannen des neuen HTTP/2-Protokolls (HTTP 2.0)?
NSP bietet derzeit keine Unterstützung von HTTP/2; die Unterstützung ist jedoch für eine künftige Version von NSP geplant.


Wenn ein Netzwerk-Switch AutoMDI/MDI-X unterstützt, kann ein Sensor mithilfe von AutoMDI/MDI-X eine Verbindung zwischen dem Switch und dem Sensor herstellen?
Ja. AutoMDI/MDI-X funktioniert jedoch nicht ordnungsgemäß, wenn die automatische Aushandlung für den Sensor-Port deaktiviert ist.  Sie müssen die automatische Aushandlung für den Sensor-Port aktivieren, bevor Sie mithilfe von AutoMDI/MDI-X die Verbindung zwischen dem Switch und dem Sensor einrichten.

Zurück zum Inhalt

 

Installation/Upgrade

Kann ich die NSM-Appliance-Software über die RMM-Software für Appliances installieren?
Nein. Die Verwendung der NSM-Appliance-Installations-DVD über die RMM-Software für Appliances wird nicht unterstützt. Wenn Sie versuchen, die NSM-Appliance-Installations-DVD über die mit der Appliance gelieferte Intel RMM-Software zu verwenden, können unerwartete und unerwünschte Ergebnisse auftreten. Auf die Benutzeroberfläche des Installationsmediums muss am Server-Standort mithilfe von Tastatur und Maus zugegriffen werden, die direkt an den Server angeschlossen sind.

Kann ich mehrere NSM-Lizenzen in einer einzigen Installation aggregieren oder kombinieren? Wenn ich beispielsweise über eine Standardlizenz verfüge, kann ich ein Starter Pack erwerben, um acht verwaltete Geräte einzurichten? 
Nein, denn NSM-Lizenzen sind nicht kumulativ. Wenn Sie mehr als sechs Sensoren von einem NSM aus verwalten möchten, müssen Sie eine "Global" NSM-Lizenz erwerben.


Nach einem Upgrade des Managers wird eine Sensor-Aktualisierung durchgeführt, die ich nicht manuell gestartet habe. Für die Sensoren wird kein aktiver Download angezeigt, wenn der Befehl "downloadstatus" ausgeführt wird und der aktuelle Signatursatz auf dem Manager vorhanden ist. Wenn ich den Manager neu starte, wird der Aktualisierungsvorgang nach einem bestimmten Zeitraum neu gestartet. In der Datei "Ems.log" wird kein eindeutiger Push angezeigt, und im Sudit-Protokoll wird keine Benutzeraktivität zur Übertragung einer aktualisierten Konfiguration per Push an die Sensoren angezeigt. Wodurch wird diese Aktualisierung ausgelöst?
Nach einem Manager-Upgrade kompiliert der NSM den aktuellen Signatursatz und überträgt ihn automatisch per Push an die Sensoren.

HINWEIS: Wenn die Sensoren bereits über den aktuellen Signatursatz verfügen, schlägt diese Aktualisierung fehl.
 
Zurück zum Inhalt



Konfiguration

Kann ich ein Sensor-Failover-Paar mit den Überwachungs-Ports im SPAN-Modus ausführen?
Nein. Sie können nur ein Failover-Paar erstellen, wenn sich die Überwachungs-Ports im Inline-Modus befinden. Nach dem Erstellen des Paares können Sie den Port-Modus nicht mehr wechseln oder ändern.


Welche standardmäßigen identitätsbasierten Zugriffssteuerungsrichtlinien können in NSM nicht gelöscht werden?
Die folgenden Richtlinien können zwar nicht gelöscht werden, Sie können jedoch die zugehörigen Einstellungen bearbeiten, um anzugeben, ob beim Gewähren von Netzwerkzugriff der Systemzustand berücksichtigt werden soll; zudem kann die tatsächlich gewährte Zugriffsebene angegeben werden:

  • Default (Standard)
  • Guest User (Gastbenutzer)
  • Self Registered (Selbstregistriert)

Kann ich eine Ignorierungsregel erstellen, ohne den Namen eines Angriffs hinzuzufügen?
Nein. Ignorierungsregeln müssen den Namen eines Angriffs enthalten, da der Sensor diese Art von Warnungsfilter sonst nicht verstehen kann. 


Wie kann ich eine bestimmte IP-Adresse von der Überprüfung ausschließen?
Fügen Sie eine Firewall-Regel hinzu, deren Aktion auf "Stateless" Ignore (Statuslos ignorieren) festgelegt ist. Dadurch werden alle Pakete weitergeleitet, die der Regel entsprechen, und es werden abgesehen von der Suche und dem Abgleich mit der Firewall-Regel keine weiteren Überprüfungen durchgeführt.


Kann ich mithilfe von NSP-Sensoren Aktiv/Aktiv-Hochverfügbarkeit implementieren?
Für den Sensor besteht immer Aktiv/Aktiv-Hochverfügbarkeit; die Geräte des Peer-Netzwerks bestimmen, ob der Sensor aktiv/passiv (ein Netzwerkpfad ist blockiert) oder aktiv/aktiv verwendet wird.


Wie werden TOR und TOR-Varianten blockiert?
McAfee empfiehlt, mithilfe der Firewall-Richtlinie Zugriffsregeln zu erstellen, um Aspekte/Objekte zu definieren, die blockiert, zugelassen oder nicht überprüft werden sollen. Unter den vorhandenen Regelobjekten sind bereits verschiedene TOR-Anwendungen und Varianten von TOR-Anwendungen definiert. Sie können eine eigene Anwendungsgruppe mit diesen und beliebigen ANDEREN P2P-Anwendungen erstellen, die nicht zugelassen werden sollen.

Mit dieser Anwendungsgruppe in Verbindung mit den Quell-/Zieleinstellungen können Sie den Großteil der TOR-Verbindungen und -Varianten unterbinden.


Ich erstelle Ignorierungsregeln zum Ignorieren von Reconnaissance-Angriffen (Scans von Schwachstellen-Scannern) mit dem internen Netzwerk als Quelle (Angreifer) und "Any" (Beliebige) als Ziel; dennoch werden im RTTA Warnungen angezeigt. Warum? 
Ignorierungsregeln eignen sich nicht zur Abwehr von Schwachstellen-Scannern. Fügen Sie stattdessen der Firewall-Richtlinie eine Zugriffsregel hinzu, um jeglichen Datenverkehr (verwenden Sie "Stateless Ignore" (Statuslos ignorieren)) zum Schwachstellen-Scanner zu ignorieren, und eine weitere Regel für den gesamten Datenverkehr vom Scanner (zwei Regeln).



Funktionen

Unterstützt der NSP UDS-Editor die NOT-Operation?
Nein. Der UDS-Editor unterstützt die NOT-Operation nicht. Die Sensor-Hardware für die Musterabgleichsbeschleunigung müsste einen Zeichenfolgenabgleich für alle Zeichenfolgen ausführen, mit Ausnahme der einen im NOT-Ausdruck angegebenen Zeichenfolge.
McAfee empfiehlt, eine solche Art der Suche zu vermeiden, da diese beträchtliche Leistungseinbußen mit sich bringen kann und keine effiziente Lösung darstellt.


Unterstützt der UDS-Editor Suchvorgänge mit Platzhalterzeichen?
Nein. Dies wird nicht unterstützt, da bei der ausschließlichen Angabe eines Platzhalters in einer Suche sämtliche Datensätze aus der Datenbank abgerufen würden.


Kann der DCOM-Dienst auf dem Server, der den NSP hostet, ausgeschaltet werden?
Ja. Der DCOM-Dienst kann ausgeschaltet werden, ohne dass dies die Ausführung des NSP-Managers beeinträchtigt. Weitere Informationen zum Deaktivieren des DCOM-Dienstes und zu den Auswirkungen auf andere Programme und Dienste finden Sie unter http://support.microsoft.com/default.aspx?kbid=825750.


Wie kann mithilfe des UDS-Editors ein einzelnes Leerzeichen erkannt werden?
Wenn ein einzelnes Leerzeichen in einem Ausdruck (z. B. xyz xyz) gefunden werden soll, können Sie die Zeichenfolgensuche durchführen, indem Sie xyz xyz eingeben. McAfee empfiehlt, keine Suche nach einem einzelnen Leerzeichen oder sehr kurzen Zeichenfolgen auszuführen, da dies zu Leistungsproblemen und False-Positives führen kann.


Kann ich ein Fiber-GBIC und ein Kupfer-GBIC inline an demselben Schnittstellenpaar des Sensors verwenden?
Nein. Sie können keine unterschiedlichen GBICs an einem bestimmten Schnittstellenpaar verwenden.


Kann der Sensor einen Etherchannel unterstützen, der aus zwei Verbindungen unterschiedlicher SFP+-Module (SR- und LR-Fiber-Verbindungen) besteht?
Ja, der Sensor kann einen Etherchannel unterstützen, der aus diesen Verbindungen besteht.


Wie überprüfe ich Fehlercodes aus MySQL?
In MySQL können Sie die generierten Fehlercodes mithilfe des Befehls perror überprüfen. Öffnen Sie eine Befehlszeilensitzung: Klicken Sie auf Start und dann auf Ausführen, geben Sie CMD ein, und klicken Sie auf OK. Geben Sie nun im Verzeichnis "mysql\bin" den Befehl perror <Fehlercode> ein, und drücken Sie dann die EINGABETASTE. Beispiel: perror 28 Error code 28: No space left on device (perror 28 Fehlercode 28: Kein Platz auf dem Gerät).


Wie definieren der NSP-Manager oder -Sensor interne oder externe Adressen für Warnungsfilter?
Interne oder externe Adressen werden gemäß dem konfigurierten Modus definiert:

  • TAP/INLINE-Modus: Geben Sie in der Port-Konfiguration an, welcher Port innen und welcher außen liegt. Die Warnungsfilter definieren anhand derselben Spezifikationen "intern" bzw. "extern".
  • SPAN-Modus: Zur Erkennung und Markierung von "intern/extern" für SPAN muss der Benutzer CIDR-basierte VIDS konfigurieren. Wenn keine CIDR-basierten VIDS vorhanden sind, markiert der Sensor die Pakete als unbekannt.

Warum enthalten bidirektionale DoS-Warnungen keine Registerkarte "Packet Rate" (Paketrate)?
Die Registerkarte "Packet Rate" (Paketrate) ist in als bidirektional eingestuften statistischen DoS-Warnungen aus folgenden Gründen nicht vorhanden:
  • Diese statistischen Warnungen beziehen sich mehrere Pakettypen.
  • Der Umfang des Paketflusses unterscheidet sich für die beiden Richtungen.


Worin besteht im Status der Angriffsergebnisse von Threat Analyzer der Unterschied zwischen "Successful" (Erfolgreich) und "Maybe Successful" (Möglicherweise erfolgreich)?
NSP zieht zur Ermittlung, ob ein Angriff erfolgreich war, sowohl Aspekte während der Erkennung als auch Aspekte nach der Erkennung des Angriffs heran. NSP ermittelt anhand der in der Leitung beobachteten Reaktionen, ob der Angriff erfolgreich war:

Successful (Erfolgreich) Der Angriff war erfolgreich.
Maybe Successful (Möglicherweise erfolgreich) Unbekannte Ergebnisse, NSP kann nicht ermitteln, ob der Angriff erfolgreich war.


Unterstützt der Sensor die Konfiguration eines externen Kupfer-Umgehungs-Switches für RJ-45-Ports?
Ja. Derzeit kann der externe Kupfer-Umgehungs-Switch für RJ-45-Ports konfiguriert werden, sofern der Port bei den folgenden Sensor-Modellen für den Fail-Closed-Modus konfiguriert ist:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Führen Sie die folgenden Schritte aus, um den Fail-Closed-Modus zu konfigurieren:
  1. Wählen Sie im Manager Device List (Geräteliste), Sensor Name (Sensorname), Physical Sensor (Physischer Sensor) und dann Port Settings (Port-Einstellungen) aus.
  2. Wählen Sie in den "Monitoring Ports" (Überwachungs-Ports) den nummerierten Port aus, der Sie konfigurieren möchten.
    Daraufhin öffnet sich das Fenster Configure Monitoring Port (Überwachungs-Ports konfigurieren), in dem die aktuellen Port-Einstellungen angezeigt werden.
  3. Wählen Sie in der Dropdown-Liste Operating Mode (Betriebsmodus) den Eintrag In-line Fail-Closed(Port Pair) (Inline Fail-Closed (Port-Paar)) aus.

    HINWEIS: Der Status des externen Kupfer-Umgehungs-Switches wird nicht im Manager angezeigt. Der Status wird auch dann nicht angezeigt, wenn der Befehl show intfport von der Sensor-CLI ausgeführt wird.
Kann Network Security Platform die True-Client-IP-Adresse des Datenverkehrs aus einem Content Delivery Network wie Akamai identifizieren?
Ja. Durch Aktivieren der Optionen für X-forwarded-for (XFF) kann Network Security Sensor Angriffe anhand der True-Client-IP-Adresse erkennen und blockieren.
HINWEIS: Diese Funktion kann nur für HTTP verwendet werden.


Unterstützt NSP die Verwendung der privaten Schlüssel, die in das SHA-2-signierte Zertifikat eingebettet sind? 
Ja. SHA-2-signierte Zertifikate werden unterstützt. Die Entschlüsselungsfunktion für eingehenden SSL-Datenverkehr gleicht nur die Rohdaten des Server-Zertifikats ab, ohne das Zertifikat zu überprüfen. NSP kann daher eine Entschlüsselung mit den in das SHA-2-signierte Zertifikat eingebetteten privaten Schlüsseln ausführen.


Wenn Sie den Befehl "clrstat" zum Löschen der Sensorstatistik und anschließend den Befehl "show sensor-load" ausführen, wird für "Sensor-load" (Sensorlast) ein sehr hoher Wert (z. B. 90 %) angezeigt, selbst wenn nur sehr geringer Datenverkehr durch den Sensor fließt. Warum?
Dies ist so vorgesehen. Die Zähler zum Berechnen der Sensorlast werden durch den Befehl "clrstat" gelöscht. Warten Sie etwa 20–30 Sekunden, und führen Sie "show sensor-load" erneut aus, damit der Sensor aktuelle Zähler generieren und die genaue Last angeben kann.


Wird die TIE/DXL-Integration für alle Sensor-Modelle unterstützt?
Nein. Diese Funktionen werden nur von Sensoren der NS-Serie unterstützt.
 

Kann ich die Seriennummer der Stromversorgung des Sensors (PSU) von der Befehlszeile (CLI) aus abrufen?
Nein. Derzeit gibt es keinen Befehl, der die Seriennummer des Sensors ausgibt.


Kann ich Dateien blockieren, indem ich MD5-Datei-Hashes in NSP hochlade?
Ja. Dies ist eine integrierte NSP-Funktion, für die keine benutzerdefinierte Angriffsdefinition erstellt werden muss. Der NSP-Sensor verwaltet sowohl eine Blacklist als auch eine Whitelist von Hashes und wendet diese auf Dateien an, die aus HTTP-, SMTP- und FTP-Flüssen extrahiert wurden, sofern die Malware-Richtlinien dies vorgeben. Anweisungen zum Importieren eines Hash-Werts finden Sie im Kapitel Advanced Malware Policies (Erweiterte Malware-Richtlinien) des "IPS Administration Guide" (IPS-Administratorhandbuch) für Ihre Version.


Kann ich einen Sensor-Antwort-Port zur Verbindung des Sensors mit meiner NTBA Appliance verwenden?
Nein. Der Antwort-Port kann nicht als Überwachungs-Port verwendet werden.


Kann NSP Skype-Datenverkehr blockieren?
NSP blockiert derzeit keinen Skype-Datenverkehr; in einer künftigen Version wird diese Funktion jedoch enthalten sein.


Wie bestimmt NSP den Dateityp für die "Advanced Malware Policy" (Erweiterte Malware-Richtlinie)?
NSP verwendet eine Kombination aus Inhaltstyp, Dateierweiterung, Dateieigenschaften und proprietärer McAfee-Technologie.


Nach dem Abziehen des Netzkabels aus einem Sensor-Port wird dieser deaktiviert und muss über den Manager wieder aktiviert werden. Ist dies korrekt?
Ja. Dies ist so vorgesehen. Da dem Sensor der Grund für die Fehlfunktion des Sensors nicht bekannt ist, wird dieser als deaktiviert markiert. Nach der Behebung des Verbindungsfehlers kann der Port dann wieder aktiviert werden.
Würde der Sensor versuchen, den Port automatisch wieder zu aktivieren, könnte dies zu "Netzwerk-Flapping" (Statusschwankungen) führen: Der Port würde aktiviert werden, fehlschlagen und erneut aktiviert werden, ohne dass das zugrunde liegende Problem behoben wird.


Kann ich dieses Verhalten ändern?
Sie können dieses Verhalten ändern, sofern Sie ein Passive Fail-Open Kit (extern oder integriert) verwenden.
Weitere Informationen hierzu finden Sie in den Ausführungen zum Befehl setfailopencfg restore-inline im CLI-Handbuch zu Ihrer Version.


Wenn ein Angriffspaket vom Sensor blockiert wird, warum ruft NSP nicht die zugehörigen XFF (X-Forwarded-For)-Header-Informationen ab?
Wenn der NSP-Sensor ein Angriffspaket blockiert, kann er nicht auf weitergeleiteten Layer7-Informationen zugreifen. Dieses Verhalten ist so vorgesehen.


Wenn ich eine benutzerdefinierte UDS erstelle, wird diese über allen anderen Signaturen platziert oder am Ende aller anderen Signaturen angefügt?
Eine benutzerdefinierte UDS trägt zur Definition eines Angriffs bzw. der Signatur zu und wird der Liste aller Angriffe hinzugefügt; im Unterschied zu ACL-Firewall-Regeln gibt es jedoch keine bestimmte Reihenfolge für die Angriffserkennung.


Kann ich eine FO (Failover)-Appliance in ein Spare konvertieren?
Nein, dies ist nicht möglich. Sie können ein Upgrade eines FO-Modells auf ein Standardmodell durchführen, ein Downgrade eines FO-Modells auf ein Spare ist jedoch nicht möglich. Weitere Informationen erhalten Sie bei dem für Sie zuständigen Vertriebsmitarbeiter.
 

Im Bericht "Top 10 Attack Source Countries" (Die 10 häufigsten Ausgangsländer von Angriffen) lautet einer der Einträge "AP". Wofür steht diese Abkürzung?
Diese Abkürzung (AP steht für "Asien-Pazifik-Raum") wird verwendet, wenn das genaue Ursprungsland nicht bekannt ist. Weitere Informationen finden Sie auf folgender Seite: http://dev.maxmind.com/geoip/legacy/codes/iso3166/


Funktioniert der Failover-Sensor in einem Aktiv/Aktiv-Setup, oder funktioniert er in einem Aktiv/Standby-Setup, wobei der Heartbeat die Failover-Aktion auslöst?
NSP-Sensoren arbeiten immer Aktiv/Aktiv. Über das Failover-Kabel wird der gesamte Datenverkehr fortlaufend von einem Sensor zum jeweils anderen kopiert. Dies ermöglicht einen kontinuierlichen Datenverkehrsfluss, selbst bei einem Ausfall.


Leiten die Sensoren Datenverkehr weiter?
Nein, Sensoren sind nicht an der Weiterleitung oder dem Failover von Datenverkehr beteiligt; dies wird vollständig von der Umschalt- und Routing-Architektur des Netzwerks durchgeführt.

Kann NSP Bilddateien vom Typ PNG, JPG oder von anderen Typen zum Scannen an ATD übermitteln?
NSP kann keine Bilddateien aus Flüssen extrahieren. Diese Dateien können Bestandteil einer ZIP-Datei sein, die NSP extrahiert und an ATD sendet. NSP extrahiert jedoch keine eigenständigen Bilddateien.

Zurück zum Inhalt


Gemeinsam verwendeter geheimer Schlüssel

 

In welchen Fällen verwende ich die Funktion "Re-Import" (Erneut importieren), um SSL-Schlüssel in den Manager zu importieren?
Verwenden Sie die Funktion Re-Import (Erneut importieren) nur, wenn Sie einen Schlüssel erneut importieren, der auf dem Manager bereits vorhanden ist. Sie können die Funktion "Re-Import" (Erneut importieren) mehrmals verwenden, um den auf dem Manager vorhandenen Schlüssel zu ersetzen, wenn SSL-Aktualisierungen noch nicht per Push an den Sensor übertragen wurden. Verwenden Sie die Funktion "Re-Import" (Erneut importieren) nicht, um einen alten SSL-Schlüssel durch einen neuen Schlüssel zu ersetzen.


Wird zur ordnungsgemäßen Erneuerung der alte SSL-Schlüssel vom Sensor gelöscht und nach dem manuellen Löschen ein neuer SSL-Schlüssel importiert?
Ja. McAfee empfiehlt, den neuen SSL-Schlüssel auf den Manager zu importieren und ihn nach dem Löschen des alten SSL-Schlüssels per Push an den Sensor zu übertragen.


Ist ein Neustart des Sensors erforderlich, nachdem ein neuer SSL-Schlüssel importiert bzw. erneut importiert und per Push vom Manager an den Sensor übertragen wurde?
Der Sensor muss nur dann neu gestartet werden, wenn Sie die SSL-Funktion auf dem Sensor aktivieren bzw. deaktivieren. Nach dem Importieren bzw. erneuten Importieren von SSL-Schlüsseln ist kein Neustart erforderlich.


Warum wird im Alert Manager (Warnungs-Manager) nach dem Ersetzen eines Schlüssels "SSL: Bad State Transition alerts(0x00006000)" (SSL: Warnungen zu Übergang in ungültigen Zustand (0x00006000)) angezeigt?
Diese Warnungen werden im Alert Manager (Warnungs-Manager) angezeigt, wenn aktive HTTP-Flüsse vorhanden sind, während das neue SSL-Zertifikat per Push an den Sensor übertragen wird. Wenn dieses Verhalten weiterhin auftritt, wenden Sie sich an den technischen Support, und senden Sie Paketverfolgungen ein, die während des Imports bzw. der Erneuerung und nach dem Import bzw. der Erneuerung des SSL-Schlüssels erfasst wurden.

 
Warum wird im Alert Manager (Warnungs-Manager) "SSL: Bad State Transition alerts(0x00006000)" (SSL: Warnungen zu Übergang in ungültigen Zustand (0x00006000)) angezeigt? Ist dies eine False-Positive-Erkennung? 
Erfassen Sie Nachweisberichte der betreffenden Warnungen, wie in KB55743 beschrieben. Öffnen Sie dann das Paketprotokoll, das in den Nachweisberichten mit einem Paket-Sniffer wie Wireshark generiert wurde, und überprüfen Sie die verwendete TLS/SSL-Version. NSP-Sensoren unterstützen TLS v1.1 und v1.2 gegenwärtig nicht und lösen daher diese Warnung aus. Erstellen Sie einen Angriffsfilter, um diesen Datenverkehr zu ignorieren, oder verwenden Sie eine unterstützte SSL/TLS-Version (SSLv2, SSLv3, TLSv1.0).
 

Besteht eine Größenbeschränkung für den gemeinsam verwendeten geheimen Schlüssel, wenn dieser mit dem Befehl "Sharedsecretkey" festgelegt wird?
Der in NSP gemeinsam verwendete geheime Schlüssel muss mindestens 8 und 25 Zeichen enthalten. Der Schlüssel darf nicht mit einem Ausrufezeichen beginnen und darf keine Leerzeichen enthalten.

Zurück zum Inhalt
 

NSP und GTI

Was ist GTI?
GTI ist ein globales Modul zur Korrelation von Bedrohungen sowie eine zentrale Datenbank für globales Messaging- und Kommunikationsverhalten. Damit ermöglicht GTI den Schutz der Kunden vor bekannten und neu in Umlauf gebrachten elektronischen Bedrohungen in allen Bedrohungsbereichen.


Welche Ports werden von GTI verwendet?
 
Beschreibung
Protokoll
Initiator
Quell-Port
Ziel-Port
Senden von Teilnahmeinformationen 
TCP
Manager
Zufällig
HTTPS/443
 
 
Beschreibung
Protokoll
Initiator
Quell-Port
Ziel-Port
Zieladresse
Senden von McAfee-IP-Reputationsabfragen
TCP
Manager und/oder Sensor
Zufällig
HTTPS/443
tunnel.web.trustedsource.org
Senden von McAfee-Datei-Reputationsabfragen  UDP Sensor Zufällig DNS/53 avqs.mcafee.com

HINWEISE:
  • IP-Reputation wurde früher als TrustedSource bezeichnet.
  • Datei-Reputation wurde früher als Artemis bezeichnet.

Welche Informationen verwendet der Sensor in einer GTI-Abfrage?
Der Sensor verwendet das Verbindungs-5-Tupel (Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port, Ziel-Port und Protokoll).


Welche Informationen verwendet der NSP Manager in einer GTI-Abfrage?
Der Manager verwendet das 5-Tupel sowie alle ggf. verfügbaren zusätzlichen Angriffsinformationen: Name des Angriff, Zeitpunkt des Angriffs, Kategorie, Anzahl, Ziel-Betriebssystem, Erkennungsmechanismus, Richtung des Angriffs, Malware-URL, NSP-Angriffs-ID, Ergebnis, Signatur-ID, Quell-Betriebssystem, Unterkategorie und Angriffstyp.

HINWEIS: Eine detaillierte Ansicht der gesendeten Informationen finden Sie auf der Seite "GTI Participation" (GTI-Teilnahme) im Manager. Wählen Sie Configure (Konfigurieren), Integration und dann GTI Participation (GTI-Teilnahme) aus.
 
An welches Ziel werden die GTI-Abfragen gesendet?
Der Sensor führt eine spezielle DNS-Abfrage bei "mcafee.com" durch. Die Manager-Abfragen werden an https://tunnel.web.trustedsource.org gesendet.
 
 
Wie kann ich die Reputation einer bestimmten Website oder Adresse ermitteln?
Verwenden Sie das unter www.trustedsource.org verfügbare Such-Tool.
 
 
Warum wird mir eine andere Reputation angezeigt, wenn ich die Adresse suche?
GTI ermittelt die Reputation für eine bestimmte Verbindung anhand zahlreicher Faktoren. Wird die Verbindung an Port 80 oder 8080 hergestellt, wird die Web-Reputation verwendet. Wird die Verbindung an Port 25 hergestellt, wird die E-Mail-Reputation verwendet. Für alle anderen Ports wird die IP-Reputation verwendet; diese kann sich aus der Web- und der E-Mail-Reputation zusammensetzen und mit der Zeit einen eigenen Wert erhalten, wenn mehr Daten erfasst wurden.
 
 
Kann McAfee die Reputation für eine bestimmte IP-Adresse anpassen?
Nach dem Durchführen einer Abfrage bei www.trustedsource.org ist eine Option für Bedrohungs-Feedback verfügbar. Anhand dieses Formulars können Sie eine Überprüfung anfragen. Sie können die Überprüfung einer bestimmten IP-Adresse auch per E-Mail anfragen. Wenden Sie sich in Bezug auf die Web-Reputation an sites@mcafee.com. Wenden Sie sich in Bezug auf die Netzwerk- und E-Mail-Reputation an trusign-feedback@mcafee.com. Geben Sie in Ihrer Anfrage bitte immer die IP-Adresse, den Port sowie die Art des verwendeten Datenverkehrs an.
 
Wo kann ich weitere Informationen zu GTI erhalten?
Informieren Sie sich im Network Security Platform Integration Guide (Integrationshandbuch für Network Security Platform) für Ihre Produktversion, oder besuchen Sie die Website www.trustedsource.org


Führt der NSP-Sensor die GTI-IP-Adresssuche für den gesamten erkannten Datenverkehr durch?
In der Standardeinstellung ist dies nicht der Fall. Sie können den Sensor so konfigurieren, dass eine GTI-Suche für den gesamten Datenverkehr durchgeführt wird, indem Sie "Endpoint Reputation Analysis" (Endpunkt-Reputationsanalyse) aktivieren.
 
 
HINWEIS: Derzeit kann NSP IP-Reputationsinformationen mit den Funktionen Smart Blocking (Intelligente Blockierung) und Connection Limiting (Verbindungsbegrenzung) nutzen. NSP ist derzeit nicht in der Lage, Callback mit IP-Reputation zu erkennen.


Ich kann eine per GTI in NSP erkannte Datei nicht für die weitere Analyse öffnen. Woran liegt das, und wie kann ich Dateien öffnen, die von GTI als schädlich eingestuft wurden?
Diese Dateien sind verschlüsselt, auch wenn sie über die grafische Benutzeroberfläche exportiert werden. Sie müssen sie mit dem Dienstprogramm MalwareDecrypter.bat entschlüsseln. Das Dienstprogramm befindet sich in folgendem Verzeichnis: 

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

HINWEIS: Wenn Sie die Datei ohne Parameter ausführen, werden die verfügbaren Optionen angezeigt.
 
 
Wo kann ich mich eingehender über das Entschlüsseln von Dateien informieren?
Lesen Sie die Informationen zum Dienstprogramm "MalwareDecryptor" im Abschnitt "Archive malware files" (Malware-Dateien archivieren) im Network Security Platform Manager Administration Guide (Administratorhandbuch für Network Security Platform Manager) und im Network Security Platform IPS Administration Guide (IPS-Administratorhandbuch für Network Security Platform) für Ihre Produktversion.
Abdeckung von Angriffen
Wird die in VU922681 (Universal Plug and Play libupnp SSDP Requests Remote Code Execution, Universal Plug and Play: Remote-Code-Ausführung bei SSDP-Anfragen mithilfe von libupnp) beschriebene Schwachstelle von NSP-IPS-Signaturen erkannt?
Ja. VU922681 wird durch den Angriff 0x47a00100 "UPnP: Generic Buffer Overflow" (UPnP: Allgemeiner Pufferüberlauf) abgedeckt.

Zurück zum Inhalt
 

NSP und NAC

Wann wird die Standardrichtlinie "Identity Based Access Control" (Identitätsbasierte Zugriffssteuerung) in NSP verwendet?
Die Standardrichtlinie "Identity Based Access Control" (IBAC, Identitätsbasierte Zugriffssteuerung) wird in den folgenden Situationen verwendet, sofern IBAC in NSP konfiguriert ist:
  • Wenn der abgefragte Benutzername keiner anderen definierten (nicht standardmäßigen) IBAC-Richtlinie entspricht.
  • In einem Sonderfall, wenn die Verbindung zwischen dem Sensor und dem Manager getrennt wurde.
     


Wie sind NAC und 802.11Q in NSP implementiert?
Die derzeitige Implementierung von NAC in NSP unterstützt NAC für Datenverkehr von mehreren VLANs, der am NAC-Überwachungs-Port erkannt wird. Der NAC-Überwachungs-Port des Sensors ist mit einem VLAN konfiguriert; die lokale Infrastruktur muss jedoch die VLAN-übergreifende Kommunikation (VLAN-übergreifendes Routing) zwischen dem VLAN am NAC-Überwachungs-Port des Sensors und allen anderen VLANs mit Hosts unterstützen, die NAC-Überwachung oder -Erzwingung erfordern.


Welche Hosts werden in NSP durch NAC implizit als vertrauenswürdig eingestuft?
Die folgenden IP-Adressen werden vom Network Security Sensor automatisch von der NAC-Erzwingung ausgeschlossen:

  • IP-Adresse des Überwachungs-Ports des Sensors
  • IP-Adresse des Verwaltungs-Ports des Sensors
  • IP-Adresse des NSM (im MDR-Modus werden beide Manager hinzugefügt)
  • IP-Adresse des McAfee NAC-Servers
  • IP-Adresse des Gast-Client-Portals
  • IP-Adresse des Behebungsportals
  • IP-Adresse des VPN-Konzentrators
     

Welche DHCP-Server-Implementierungen werden im DHCP-NAC-Modus von NSP unterstützt?
Wenn NSP für den Betrieb im DHCP-NAC-Modus konfiguriert ist, sind zwei DHCP-Server-Implementierungskonzepte verfügbar:

  • Integrierter DHCP-Server
    In dieser Implementierung weist ein einzelner DHCP-Server einwandfreien und nicht einwandfreien Hosts IP-Adressen zu. Der DHCP-Server ist mit Benutzerklassen konfiguriert und weist IP-Adressen anhand des Benutzerklassen-Feldes im DHCP-Erkennungspaket zu. Jede Benutzerklasse kann definierte Parameter aufweisen, die eindeutig für die betreffende Benutzerklasse sind, beispielsweise DNS-IP-Adresse, Standard-Gateway und statische Routen. Benutzerklassen können für das Produktions-, Quarantäne- und Pre-Admission-Netzwerk [Pre-Admission-Netzwerk: Geräte werden vor dem Zugriff überprüft] definiert werden, wobei jedes über einen eigenen definierten IP-Adress-Pool und eigene Parameter verfügt.
     
  • Separate DHCP-Server
    Bei diesem Konzept werden zwei separate DHCP-Server für die einwandfreien (Produktions-IP-Adress-Pool) und nicht einwandfreien Hosts (Pre-Admission und Quarantäne) konfiguriert. Jeder DHCP-Server weist unabhängige Konfigurationsinformationen auf. Die eine Konfiguration bezieht sich auf einwandfreie Hosts, die andere auf nicht einwandfreie Hosts.
Zurück zum Inhalt
 

Heterogener Signatursatz

Was ist ein heterogener Signatursatz (Sigset)?
Bei älteren NSP-Versionen musste die gleiche Einzelproduktversion der NSM-Software (8.x, 7.x) wie für den Sensor ausgeführt werden. Wenn Sie mehrere Einzelproduktversionen der Sensor-Software verwaltet haben, war für jede Einzelproduktversion der Sensor-Software ein separater NSM erforderlich. Zur Behebung dieses Problems wurde NSM eine neue Funktion hinzugefügt, mit der nun mehrere frühere Versionen der Sensor-Software verwaltet werden können. NSM 8.3 kann beispielsweise Sensoren mit installierter Software-Version 8.x und 7.x verwalten. Zur Unterstützung dieser Funktion wurde der heterogene Signatursatz entwickelt, der sämtliche Signaturen für alle Versionen der Sensor-Software enthält.

Der heterogene Signatursatz stellt ein Format dar, das alle Hauptversionen in einem vereinheitlichten Signatursatz einschließt. Administratoren müssen nur noch einen Signatursatz herunterladen und anwenden, der vom Manager zum Steuern der einzelnen Sensoren verwendet wird. 

Ab NSM 7.x werden nur heterogene Signatursätze und keine homogenen Signatursätze (für Einzelversionen) mehr unterstützt.


Werden alle künftigen Signatursätze heterogen sein? 
Hat McAfee die Veröffentlichung homogener Signatursätze eingestellt?
Ja. McAfee veröffentlicht künftig keine homogenen Signatursätze mehr; alle Signatursätze sind nun heterogen.


Was enthält ein heterogener Signatursatz, welches Nummerierungsschema wird verwendet, und welche weiterführenden Informationen lassen sich der Signatursatznummer entnehmen?
Der heterogene Signatursatz enthält mindestens zwei Signatursätze für verschiedene Hauptversionen in einem neuen vereinheitlichten Format. Das Nummerierungsschema lautet "SigsetW.X.Y.Z"; hierbei gilt Folgendes:
  • W gibt die höchste Sensor-Software-Version an, die unterstützt wird.
  • X gibt die niedrigste Sensor-Software-Version an, die unterstützt wird.
  • Y gibt die Versionsnummer des Signatursatzes an.
  • Z gibt die Build-Version an.

    Sigset8.7.1.1 bedeutet beispielsweise, dass dieser Signatursatz Sensoren der Versionen 8.x und 7.x unterstützt.
     
Wie testet McAfee den heterogenen Signatursatz?
McAfee verfügt über umfassende Testmethoden zum Testen der heterogenen Signatursätze, um die Kompatibilität mit allen Versionen der Sensor-Software sicherzustellen. Neben den für reguläre Signatursätze durchgeführten Tests werden zusätzliche Testfälle überprüft, um sicherzustellen, dass der heterogene Signatursatz in einer heterogenen Umgebung mit unterschiedlichen Versionen der Sensor-Software ordnungsgemäß funktioniert.


Muss ich die Manager-Konfiguration für die Verwendung eines heterogenen Signatursatzes ändern?
Nein.


Wird es für jede Hauptversion (z. B. 7.x, 8.x) einen anderen heterogenen Signatursatz geben?
Es wird nur einen heterogenen Signatursatz geben, der sämtliche Signaturen für alle derzeit unterstützten Versionen der Sensor-Software enthält. (8.7.1.1 unterstützt beispielsweise alle Sensoren der Versionen 8.x und 7.x)

Zurück zum Inhalt
 


Unterbrechungsfreier Sensor-Neustart
Was ist ein unterbrechungsfreier Sensor-Neustart?
NSP unterstützt nun das Neustarts und Upgrades des Sensors ohne Unterbrechung des laufenden Betriebs. Der Neustart eines Sensors verläuft daher deutlich schneller, und der Datenverkehr läuft ungestört weiter.


Wie funktioniert der unterbrechungsfreie Sensor-Neustart?
Bei einem unterbrechungsfreien Sensor-Neustart werden nur bestimmte Prozesse auf dem Sensor neu gestartet. Der Sensor wechselt in den Layer 2-Pass-Through-Modus und wird neu gestartet, während der Datenverkehr weiterhin über den Datenpfad übertragen wird. Der Neustart verläuft zudem erheblich schneller, da der Sensor nicht heruntergefahren wird.


In welchen Situationen wird ein unterbrechungsfreier Sensor-Neustart ausgeführt?
Der Sensor versucht bei jeder Wiederherstellung nach einem internen Fehler, einen unterbrechungsfreien Sensor-Neustart auszuführen. Sie können einen unterbrechungsfreien Sensor-Neustart auch von der Befehlszeile des Sensors oder vom NSM aus initiieren. Wenn kein unterbrechungsfreier Sensor-Neustart möglich ist, wird eine Benachrichtigung an den Manager gesendet, und es wird ein vollständiger Neustart ausgeführt.


Handelt es sich bei allen Sensor-Upgrades um unterbrechungsfreie Upgrades?
Dies hängt davon ab, ob die Änderung der Sensor-Software einen vollständigen Neustart erfordert. Wenn das Upgrade des Sensors abgeschlossen ist, wird in Abhängigkeit von der Software-Version die Option für einen unterbrechungsfreien Sensor-Neustart angezeigt.


Welche Einschränkungen gelten für einen unterbrechungsfreien Sensor-Neustart?
Ein unterbrechungsfreier Sensor-Neustart wird nicht bei Upgrades unterstützt, bei denen im Software-Code eine interne Änderung auf der Switch- oder Kernel-Ebene durchführt wird. Falls der Server nach einem internen Fehler nicht wiederhergestellt werden kann und drei automatische Wiederherstellungsversuche innerhalb von 15 Minuten unternommen wurden, verbleibt der Sensor beim nächsten automatischen Wiederherstellungsversuch in Layer 2, oder er wird für einen vollständigen Neustart heruntergefahren.


Aus welchen typischen Gründen kann ein unterbrechungsfreier Neustart fehlschlagen?
Ein unterbrechungsfreier Neustart schlägt fehl, wenn die Datenpfade auf dem Sensor nicht initialisiert werden können und wenn kein Bereitschaftsstatus gemeldet wird.
 
 

Erweiterte Malware-Erkennung

Kann eine FTP-Dateiübertragung blockiert werden?
Nein, der Sensor ist nicht in der Lage, FTP-Dateiübertragungen vollständig zu blockieren. Aufgrund einer Einschränkung des FTP-Protokolls kann der Sensor nur bestmöglich versuchen, FTP-Übertragungen zu blockieren.

Da für die FTP-Übertragung keine Informationen zur Dateigröße verfügbar sind, kann der Sensor nicht zuverlässig erkennen, wann die Übertragung abgeschlossen ist.
Der Sensor kann die Größe erst nach der Beendigung der Datenverbindung (Empfang von TCP-FIN) ermitteln. Zu diesem Zeitpunkt wurde die Datei jedoch bereits übertragen.

Ungeachtet des Angriffsergebnisses in Threat Analyzer wird das Blockieren von FTP-Dateiübertragungen nicht unterstützt. Dies gilt nicht als Problem, sondern nur als durch das FTP-Protokoll bedingte Einschränkung. Der Sensor kann die Datei dennoch extrahieren, sie in Bezug auf Malware analysieren und Warnungen auslösen.

Zurück zum Inhalt


Network Security Platform 8.3
Wie aktiviere ich den Real-time Threat Analyzer in NSM 8.3?
Ab NSM 8.3 wurde der Real-time Threat Analyzer durch den Threat Explorer ersetzt. Führen Sie die folgenden Schritte aus, wenn Sie den Real-time Threat Analyzer aktivieren müssen:
  1. Navigieren Sie auf dem Manager-Server im Windows Explorer zu folgendem Verzeichnis: C:\Program Files\McAfee\Network Security Manager\App\config.
    HINWEIS: Wenn Sie NSM in einem anderen Verzeichnis installiert haben, kann dieser Pfad abweichen.
  2. Suchen Sie nach der Datei ems.properties, und öffnen Sie sie in Windows Notepad.
  3. Fügen Sie den folgenden Eintrag hinzu:

    iv.ui.ta.display.isEnabled=true
     
  4. Speichern Sie die Datei, und starten Sie den NSM-Dienst neu.

Welche Sensor-Modelle werden von NSM 8.3 unterstützt, und welche Sensor-Modelle unterstützen die Bereitstellung von Signatursätzen durch NSM 8.3? 
NSM 8.3 bietet Unterstützung und automatische Bereitstellung der aktuellen Signatursegmente für Sensoren der M-Serie, der NS-Serie und der VM-Serie.
HINWEIS: Sensoren der I-Serie werden nicht unterstützt, da sie das Ende des Produktlebenszyklus (EOL) erreicht haben.


Wie kann ich zuvor exportierte Ignorierungsregeln importieren?
Diese Funktion wurde in NSM 8.3 aktualisiert, und die Schritte zum Importieren von Ignorierungsregeln haben sich gegenüber früheren Versionen geändert. Wählen Sie zum Importieren zuvor exportierter Ignorierungsregeln in NSM 8.3 Policy (Richtlinie), Intrusion Prevention (Eindringungsschutz), Advanced (Erweitert), Policy Import (Richtlinienimport) und dann Ignore Rules (Ignorierungsregeln) aus.


Wie kann ich zuvor exportierte benutzerdefinierte Angriffe importieren?
Diese Funktion wurde in NSM 8.3 aktualisiert. Wählen Sie zum Importieren zuvor exportierter benutzerdefinierter Angriffe Policy (Richtlinie), Policy Types (Richtlinientypen), IPS Policies (IPS-Richtlinien), Custom Attacks (Benutzerdefinierte Angriffe), Other Actions (Weitere Aktionen) und dann Import (Importieren) aus.


Nach dem Durchführen eines Upgrades auf NSM 8.3 werden im Angriffsprotokoll keine alten Warnungen angezeigt. Wie kann ich alte Warnungen einsehen?
Wenn beim Durchführen eines Upgrades eine Eingabeaufforderung mit einer Warnung angezeigt wird, dass weitere Skripts ausgeführt werden müssen (dies geschieht, wenn in der Datenbank eine Million oder mehr Warnungen enthalten sind), führen Sie das Upgrade gemäß den Anweisungen im Abschnitt "Run additional scripts" (Ausführen zusätzlicher Skripts) im Network Security Platform 8.3 Installation Guide (Installationshandbuch für Network Security Platform 8.3) (PD26343) aus; andernfalls werden die alten Angriffsprotokolle nicht angezeigt.
 
Wenn keine Warnmeldung zur Überschreitung des Warnungsdatenlimits angezeigt wird und/oder beim Anzeigen von Angriffsprotokollen Probleme auftreten, eröffnen Sie einen Fall beim technischen Support, um sich bei der Behebung des Problems unterstützen zu lassen.
 
  

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten