Loading...

Domande frequenti per Network Security Platform
Articoli tecnici ID:   KB75269
Ultima modifica:  03/08/2017
Con punteggio:


Ambiente

McAfee Network Security Platform (NSP) 8.x

Riepilogo

Sommario
Generale Informazioni sul prodotto e argomenti vari
Compatibilità Interazione tra altri prodotti e il software
Installazione/upgrade Informazioni su installazione, aggiornamento, migrazione e rimozione
Configurazione Include procedure consigliate, ottimizzazione, configurazione e personalizzazione
Funzionalità Funzioni e caratteristiche del prodotto
Chiave privata condivisa Domande comuni sulla chiave privata condivisa e su SSL, incluso il rinnovo della chiave SSL
NSP e GTI Domande comuni su NSP, su Global Threat Intelligence (GTI) e sull'interazione
Copertura per attacchi Informazioni sulla copertura per attacchi specifici
NSP e NAC Domande e risposte su NSP e sul funzionamento congiunto di NSP e Network Access Control (NAC)
Set di firme eterogenee Informazioni sul set di firme eterogenee
Riavvio di Sensor senza interruzione del servizio Una funzionalità che consente di ridurre l'impatto dei cicli del software Sensor
Rilevamento malware avanzato Domande relative al rilevamento malware avanzato
Network Security Platform 8.3 Domande relative alle funzionalità aggiunte in NSP 8.3


Informazioni generali

Con che frequenza i software Sensor e Manager scambiano informazioni per verificare che Sensor sia attivo?
Il polling in genere viene eseguito ogni due minuti. Tuttavia, quando EMS rileva un problema, l'intervallo di polling viene ridotto a 30 secondi. Ciò consente di evitare problemi quali la perdita di un pacchetto che causerebbe un avviso di errore. Se Sensor continua a non essere raggiungibile dopo 10 minuti, la frequenza di polling viene reimpostata sul valore normale di due minuti.

 
Quanti dati vengono trasferiti durante il polling?
Quattro variabili MIB vengono sottoposte a polling tramite un pacchetto UDP SNMP. L'intera applicazione SNMP richiede un payload di circa 100 byte.

 
Dopo quanto tempo Manager contrassegna Sensor come disconnesso nella pagina Integrità sistema?
Poiché il polling iniziale viene eseguito ogni due minuti e il timeout normale è di 60 secondi, nel migliore dei casi l'indicazione di un errore avverrebbe dopo 60 secondi, ma di fatto potrebbe impiegarci fino a 180 secondi (120 + 60).


Il Fail-Open Kit esegue l'MDIX automatico?
No. Si tratta di una funzionalità del modulo McAfee SFP installato nel software Sensor.


Il Copper Fail-Open Kit funziona come l'Optical Bypass Single Mode (SM) Kit e il Multi-Mode (MM) Fail-Open Kit?
Il FO Kit (switch di bypass per fibre) non incrocia coppie TX/RX. Per la versione del software Sensor, consultare il documento "Gigabit Optical Fail-Open Bypass Kit Quick Guide" (Guida rapida di Gigabit Optical Fail-Open Bypass Kit). Questa guida include un diagramma per l'installazione corretta e l'installazione di componenti aggiuntivi, nonché dettagli sulla connettività.

 
Dopo aver modificato la modalità del 10/100/1000 Copper Active Fail-Open (AFO) Bypass Kit da in linea a TAP, viene eseguito un ciclo di alimentazione nell'AFO. Al riavvio, la modalità TAP risulta disattivata. Perché?
L'AFO funziona correttamente. Le impostazioni della modalità TAP non vengono salvate nell'AFO. Quando si esegue un ciclo di alimentazione nell'AFO, viene ripristinata l'impostazione predefinita, ovvero la modalità TAP viene disattivata. Questo comportamento è normale.


L'avviso ARP: MAC Address Flip-Flop (ARP: flip-flop indirizzo MAC) viene visualizzato solo a livello di interfaccia CIDR. Perché questo avviso non indica il nome della sotto-interfaccia?
La ricerca basata su CIDR per il supporto della sotto-interfaccia viene eseguita solo per pacchetti IPv4 (PTYPE = 0x800). Dal momento che l'ARP non rientra in questa categoria, per i pacchetti ARP viene registrata solo la classificazione dell'interfaccia basata sulla porta e sul livello VLAN. Si tratta del comportamento previsto.


Perché i file di registro di Sensor sono crittografati?
I file di registro di Sensor sono progettati principalmente per registrare informazioni che i team di sviluppo e dell'assistenza tecnica necessitano per risolvere problemi, in base alle esigenze. Poiché i destinatari principali sono interni a McAfee, talvolta tali file possono contenere informazioni di natura privata o proprietaria. Pertanto, devono essere crittografati. NSP non fornisce tutti gli eventi critici necessari per apprendere l'uso dei comandi CLI del software Sensor. McAfee è lieta di inviare PER in merito a qualsiasi informazione richiesta, ma attualmente tali dati non sono disponibili. Queste richieste verranno quindi consolidate nelle successive versioni di manutenzione NSP.


NSP esegue la compensazione per la latenza di rete durante la sincronizzazione temporale?
No. NSP non esegue la compensazione per risolvere problemi di latenza di rete durante la sincronizzazione temporale.

Se si verificasse un ritardo di rete di 100 msec tra Sensor e Manager, il tempo di Sensor sarebbe 100 msec più lento rispetto al tempo effettivo di Manager. Sensor dispone di un orologio interno la cui impostazione deriva da Manager. In tal modo, Sensor e Manager restano sempre sincronizzati. Se Sensor perde la connessione a Manager, l'orologio interno aggiorna periodicamente l'ora su Sensor. Il ritardo tra Sensor e Manager corrisponde al ritardo di latenza di rete tra il software Sensor specifico e Manager. Possono verificarsi ritardi più brevi o più lunghi tra Manager e altri software Sensor distribuiti.

Sensor scrive l'ora nella propria memoria flash poiché non dispone di un orologio di backup a batteria. In caso di interruzione di corrente, quando Sensor viene riavviato e torna online, è possibile che non sia in grado di connettersi immediatamente al software Manager associato. In tal caso, Sensor utilizza l'ultima impostazione oraria salvata nella memoria flash. Questo è l'unico caso in cui Sensor recupera l'ora dalla memoria flash. Altrimenti, l'ora salvata nella memoria flash non ha alcuna rilevanza.


In che modo Sensor gestisce il traffico per gli host messi in quarantena?
La funzionalità IPS Quarantine (Quarantena IPS) consente a Sensor di mettere in quarantena host non conformi fornendo l'accesso al processo di remediation. Se la funzionalità IPS Quarantine (Quarantena IPS) è attivata, quando viene rilevato un attacco in una porta di monitoraggio in linea di Sensor, quest'ultimo crea una regola di quarantena per l'indirizzo IP di origine dell'host solo se tale host non è presente nell'elenco di esclusioni NAC. Sensor non bloccherà mai il traffico proveniente dagli host presenti nell'elenco di esclusioni NAC. Se l'host non è presente nell'elenco di esclusioni NAC, viene inserito nella tabella degli elementi in quarantena per un determinato periodo di tempo.

Sensor controlla tutto il traffico che passa attraverso le porte in base alla tabella degli elementi in quarantena e blocca qualsiasi pacchetto inviato dagli host messi in quarantena. Ciò consente di impedire che gli host non conformi danneggino altri sistemi nella rete. È possibile configurare una zona di accesso di rete IPS con indirizzi IP specifici a cui l'host può accedere mentre è in quarantena (ad esempio, il Remediation Portal o il server DNS). Ciò consente all'host in quarantena di accedere a elementi del processo di remediation senza compromettere la sicurezza complessiva della rete. È possibile aggiungere un host alla tabella degli elementi in quarantena abbinando una policy NAC o una firma con l'opzione di risposta a quarantena attivata.


Quando NSM viene installato con due Manager configurati in Manager Disaster Recovery (MDR), è necessario aggiornare entrambi i software Manager con i dati sugli avvisi di Sensor. In che modo Sensor comunica con NSM per aggiornare le informazioni sugli avvisi?
Sensor tenta di inviare gli avvisi a entrambi gli NSM in una configurazione MDR. Se gli avvisi sono stati inviati correttamente a un NSM, è possibile rimuoverli dal buffer di Sensor. Se Sensor non è in grado di inviare gli avvisi ad alcun NSM, tali avvisi vengono salvati nel buffer di Sensor. I software Manager sincronizzano reciprocamente i propri database per aggiornare eventuali avvisi non ricevuti da un altro Manager alla successiva comunicazione. A ciascun avviso viene applicato un tag con attributi univoci per agevolare la sincronizzazione tra i software Manager.


In che modo differiscono le funzionalità IPS Quarantine (Quarantena IPS) ed Elenco di controllo dell'accesso in NSP?

  • Le regole di IPS Quarantine (Quarantena IPS) vengono elaborate prima e indipendentemente dalle regole di Elenco di controllo dell'accesso.
  • Una regola di IPS Quarantine (Quarantena IPS) comporta la rimozione di tutto il traffico da un indirizzo IP di origine, mentre una regola di Elenco di controllo dell'accesso può essere più specifica riguardo al tipo di traffico rimosso.
  • Le regole di IPS Quarantine (Quarantena IPS) vengono create dinamicamente. Quando si crea una policy, è necessario aggiungere esplicitamente le regole di Elenco di controllo dell'accesso.
  • È possibile rimuovere dinamicamente le regole di IPS Quarantine (Quarantena IPS) dopo una quantità di tempo predefinita. È necessario rimuovere esplicitamente le regole di Elenco di controllo dell'accesso tramite un aggiornamento della policy.


Come vengono visualizzati gli attacchi botnet in Threat Analyzer?
Al rilevamento di traffico, gli indirizzi vengono controllati in base al file DAT botnet per determinare se un IP o un nome dominio corrisponde a un indirizzo botnet noto.

Se i dati corrispondono, viene attivato un avviso e il dominio o l'indirizzo IP Command and Control (C&C) viene contrassegnato come autore dell'attacco. L'indirizzo dell'autore dell'attacco viene inserito nella colonna degli IP di origine all'interno di Threat Analyzer. L'indirizzo dell'host connesso all'indirizzo C&C viene etichettato come vittima. La vittima viene inserita nella colonna degli IP di destinazione in Threat Analyzer.

La direzione del flusso dipende da chi ha avviato la connessione e indica se il flusso iniziale era in ingresso o in uscita.


Perché le impostazioni delle azioni di Manager vengono attivate immediatamente senza un aggiornamento della configurazione?
Se un amministratore di sistema modifica qualsiasi impostazione delle azioni di Manager (ad esempio, Auto ACK, SNMP e Syslog) nell'editor delle policy, è necessario eseguire un aggiornamento della configurazione. Tuttavia, queste impostazioni vengono attivate immediatamente anche senza l'aggiornamento. Questo comportamento è quello previsto. Il sistema NSP corrente rileva le modifiche apportate alla configurazione a livello di granularità della policy e, per qualsiasi modifica apportata alla policy, è necessario eseguire il push del file della firma di Sensor. Per migliorare l'aggiornamento del file della firma di Sensor in NSP, sono stati introdotti la memorizzazione nella cache e l'aggiornamento incrementale. Il piano corrente consiste nel concentrarsi sul miglioramento dell'efficienza del push del file della firma e non sul rilevamento di modifiche della policy a un livello di granularità più elevato.

Elementi attivati immediatamente Gravità attacco*; Notifiche; Email; Script; Auto Ack; Cercapersone; SNMP; Syslog
Elementi necessari per l'aggiornamento della configurazione Gravità attacco*; Azioni Sensor; Registrazione

Le modifiche apportate a *Gravità attacco vengono utilizzate da Manager e Sensor. La parte di Manager, ad esempio le modifiche alla gravità visualizzate in Threat Analyzer, ha effetto immediatamente. La parte di Sensor, ad esempio per NAC, richiede un aggiornamento di Sensor.


Perché gli avvisi di livello basso e informativi non vengono visualizzati in Real Time Threat Analyzer (RTTA)?
Questo comportamento è normale. Utilizzare Historical Threat Analyzer per visualizzare avvisi di livello basso e informativi. 


Data la possibilità di configurare il blocco dell'attacco nell'editor delle policy, perché Sensor invia un avviso a Manager anche se l'opzione "Send Alert to the Manager" (Invia avviso a Manager) è deselezionata per l'attacco?
Questo comportamento è quello previsto. Poiché l'attacco è bloccato, Sensor invia l'avviso indipendentemente dall'impostazione Send alert to the Manager (Invia avviso a Manager) al fine di informare l'amministratore in merito al software Sensor che ha bloccato l'attacco.


In RTTA, la sezione DoS Analysis (Analisi DoS) della schermata dei dettagli degli avvisi che indicano un volume troppo elevato di pacchetti UDP in ingresso/in uscita mostra l'intervallo IP DoS e gli intervalli IP dei 3 attacchi principali. Perché talvolta questa sezione è vuota e non riporta alcuna informazione relativa agli intervalli IP?
Questo comportamento è normale. Quando Sensor rileva un attacco, avvia immediatamente il recupero dell'indirizzo IP. Prima di inviare l'avviso, Sensor attende per un periodo di tempo specifico al fine di segnalare anche le informazioni sull'indirizzo IP. Tuttavia, se l'attacco viene interrotto immediatamente, Sensor non ottiene alcuna informazione sull'indirizzo IP e invia l'avviso senza quest'ultimo.


Quali sono le impostazioni predefinite di NSP Sensor o di altri componenti hardware?
Hardware Velocità in baud Dati Parità Arresto Controllo del flusso Utente predefinito Password predefinita Porta SSH
I-series 9600 8 nessuno 1 nessuno admin admin123 22
M-series 38400 8 nessuno 1 nessuno admin admin123 22
N-series 38400 8 nessuno 1 nessuno admin admin123 22
NS-series 115200 8 nessuno 1 nessuno admin admin123 22
NTBA 9600 8 nessuno 1 nessuno admin admin123 22
XC240 115200 8 nessuno 1 nessuno admin admin123 22
AFO Kit 19200 8 nessuno 1 nessuno McAfee McAfee  


Perché il cookie SYN non funziona in presenza di traffico MPLS nella rete?
Il cookie SYN non può essere supportato nel traffico MPLS perché NSP non sa quale tag MPLS utilizzare nella direzione di ritorno quando il proxy di Sensor risponde ai pacchetti SYN.

 
Un software Sensor, in cui una porta è configurata in SPAN per rilevare il traffico MPLS e l'altra è configurata in linea e non rileva il traffico MPLS, impedirà un possibile attacco SYN flood se si attiva il cookie SYN?
Sì.  Il cookie SYN continuerà a funzionare per il traffico normale nella coppia di porte in linea.

 
È possibile utilizzare il cookie SYN con un tag VLAN nel traffico? Ad esempio, se tutto il traffico contiene un tag VLAN e Sensor rileva solo il traffico da una rete VLAN ma non riceve traffico dalle altre VLAN, il cookie SYN continua a funzionare o il tag VLAN non deve essere presente del tutto nel traffico in linea affinché il cookie SYN funzioni?
Il cookie SYN funziona per il traffico con tag VLAN. Inoltre, funzionerebbe anche per una combinazione di traffico con e senza tag VLAN. Se i pacchetti vengono restituiti nuovamente tramite la stessa interfaccia, vengono applicate alcune restrizioni.


Se le interfacce di Sensor sono configurate come In linea, si verifica una conversazione incrociata tra le porte quando il traffico passa attraverso Sensor?
No. Sensor non esegue alcuna commutazione o instradamento del traffico. Le due interfacce raggruppate come coppia (1A/1B, 2A/2B e così via) vengono associate in un modo fisso. Il traffico in ingresso in un'interfaccia (ad esempio, 1A) può uscire da Sensor ed entrare solo nell'interfaccia associata (ad esempio, 1B) della coppia. Questo è un fattore di progettazione fondamentale nel software Sensor e, poiché quest'ultimo non prende alcuna decisione di instradamento o commutazione, non dispone di alcun supporto per l'inoltro di pacchetti a qualsiasi altra interfaccia presente nel dispositivo.


La somma totale di tutto il traffico, in ingresso e in uscita, a qualsiasi livello di istanza nel tempo può essere superiore rispetto alle funzionalità di ispezione in un determinato Sensor (ad esempio, NS9100 ha 10 Gbps di prestazioni IPS)?
No. Le funzionalità di ispezione saranno in comune/condivise con tutte le porte di Sensor.  Le funzionalità di ispezione determinano la funzionalità nominale di Sensor.


In che modo è possibile imporre/modificare il rilevamento DOS di Sensor nella modalità di apprendimento?
Selezionare Denial of Service, Data Management (Gestione dati) e Rebuild DoS Profile (Ricrea profilo DoS) (la modalità di apprendimento viene riavviata dall'inizio).


Qual è la differenza tra un “attacco di correlazione Recon” e un “attacco di firma Recon”? Entrambi questi attacchi Recon fanno parte della “policy Recon predefinita”?
Ciò dipende dalla versione NSP/NSM in uso. Per la versione 8.1 e le versioni precedenti, vengono utilizzate le policy IPS e le policy Recon. Le policy IPS includono gli attacchi basati sulla firma, mentre le policy Recon includono gli attacchi basati sulla correlazione. Tuttavia, a partire dalla versione 8.2, le policy Recon non esistono più ed entrambi i tipi di attacchi Recon (basati sulla firma e basati sulla correlazione) sono inclusi nelle policy IPS.
Per differenziarli nell'editor delle policy IPS, McAfee ha introdotto specifiche categorie di attacchi (attacco di correlazione di ricognizione e attacco di firma di ricognizione) per ciascun tipo.


Il consumo energetico massimo di Sensor NS7x00 è 250 W. Perché il valore nominale del PSU fornito è 650 W?
McAfee utilizza questo PSU da 650 W per via dei requisiti di fattore di forma delle appliance della serie NS7x00.


Il browser Web di un host messo in quarantena manualmente non visualizza un messaggio o un avviso relativo alla quarantena, né offre un reindirizzamento al Remediation Portal. Perché?
Quando si configura un software Sensor per visualizzare un messaggio del browser su un client messo in quarantena o per reindirizzare il messaggio a un Remediation Portal, tale messaggio viene implementato solo per gli host messi in quarantena automaticamente da Sensor. Questo funzionamento è quello previsto. Quando un utente mette in quarantena manualmente un host in Threat Analyzer, non vengono visualizzati né il messaggio del browser né il Remediation Portal e l'unica azione intrapresa è il posizionamento dell'host nella zona di quarantena corrispondente.

Torna al sommario

 

Compatibilità

Quali XFP sono supportati dai sensori M-series?
I sensori M-series supportano solo i seguenti XFP:

  • IAC-1550-CG1 (a raggio esteso, modalità singola, XFP da 1550 nm)
  • IAC-1310-CG1 (a lungo raggio, modalità singola, XFP da 1310 nm)
  • IAC-X850-CG1 (a corto raggio, modalità multipla, XFP da 850 nm)

IMPORTANTE: non sono supportati XFP di terze parti.


È necessario disporre di un dongle fail-closed per configurare le porte di monitoraggio nei sensori M-1250 e M-1450 in modalità fail-closed o SPAN?
No. Diversamente dai sensori I-series, non è necessario inserire dongle fail-closed nelle porte di monitoraggio dei sensori M-1250 e M-1450, anche se questi ultimi sono in modalità fail-closed o SPAN. La funzionalità dongle adesso è incorporata nelle porte di monitoraggio.


Perché non è possibile accedere a NSM da un dispositivo mobile impostato su una lingua diversa dall'inglese?
Se si accede a NSM da un dispositivo mobile impostato su una lingua diversa dall'inglese, NSM non funziona correttamente perché sono supportati solo dispositivi impostati sulla lingua inglese. Per accedere a Manager, impostare la lingua del sistema operativo su Inglese.


Quale versione di Nessus è supportata da NSM?
I rapporti Nessus generati utilizzando gli scanner Nessus 4 e Nessus 5.x vengono importati correttamente in NSM. Se il rapporto generato contiene IP host come nomi di dominio completi o nomi NetBIOS, NSM non è in grado di risolvere gli IP host di destinazione nel rapporto, né di importare le vulnerabilità di questi host nel database di Manager. I rapporti Nessus 4 o Nessus 5.x nel formato .nessus, contenenti indirizzi IP host validi in formato punteggiato, vengono importati correttamente nel database di Manager.


Perché il software Sensor non è in grado di rilevare alcun attacco quando il traffico è incapsulato con PPPoE?
Il protocollo PPPoE non è supportato. Tutti i pacchetti incapsulati con PPPoE vengono inoltrati da Sensor senza alcun rilevamento. Questo funzionamento è quello previsto.


Quando NSM viene configurato per distribuire automaticamente sigset scaricati in tutti i dispositivi, la funzione di distribuzione automatica funziona per sensori NSP ma non per sensori Network Threat Behavior Analysis (NTBA). Perché?
La distribuzione automatica per NTBA è supportata in NSM 8.1 e versioni successive. Per implementare la distribuzione automatica, effettuare l'upgrade a NSM 8.1.3.6 o versioni successive.


Il parsing GTP è supportato per sensori M-series?
No. Il parsing GTP è supportato solo su sensori NS-series.

 
NSP è in grado di ispezionare il traffico con incapsulamento GRE e rilevare attacchi utilizzando questo protocollo?
NSP è in grado di ispezionare il traffico con incapsulamento GRE e rilevare attacchi. Tuttavia, è necessario attivare questa funzionalità perché la configurazione predefinita del software Sensor non prevede l'ispezione del traffico con tunnel GRE.

 
NSP supporta la scansione del nuovo protocollo HTTP/2 (HTTP 2.0)?
NSP attualmente non supporta il protocollo HTTP/2. Tuttavia, tale supporto è pianificato per una versione futura di NSP.


Se uno switch di rete supporta la funzionalità AutoMDI/MDI-X, un software Sensor può utilizzarla per stabilire un collegamento con tale switch?
Sì. Tuttavia, il sistema AutoMDI/MDI-X non funzionerà correttamente se la negoziazione automatica è disattivata nella porta di Sensor.  È necessario attivare la negoziazione automatica nella porta di Sensor prima di configurare il collegamento tra lo switch e Sensor utilizzando la funzionalità AutoMDI/MDI-X.

Torna al sommario

 

Installazione/upgrade

È possibile eseguire un'installazione del software dell'appliance NSM tramite il software RMM di quest'ultima?
No. L'uso del DVD di installazione dell'appliance NSM tramite il software RMM di quest'ultima non è supportato. Quando si tenta di utilizzare il DVD di installazione dell'appliance NSM tramite il software Intel RMM fornito con quest'ultima, possono verificarsi risultati imprevisti e indesiderati. È necessario accedere all'interfaccia del supporto di installazione tramite una tastiera e il mouse deve essere collegato direttamente al server nella posizione del server.

È possibile eseguire l'aggregazione o combinare più licenze NSM in una singola installazione? Ad esempio, se si dispone di una licenza standard, è possibile acquistare un pacchetto iniziale per ottenere 8 dispositivi gestiti?
No, perché le licenze NSM non sono cumulative. Per gestire più di 6 software Sensor da un singolo NSM, è necessario acquistare una licenza Global NSM.


Dopo l'upgrade di Manager, viene visualizzato un processo di aggiornamento di Sensor non avviato manualmente. I software Sensor non mostrano alcun download attivo quando viene eseguito il comando per rilevare lo stato di download ed è presente il set di firme più recente in Manager. Se si riavvia Manager, il processo di aggiornamento viene riavviato dopo un certo periodo di tempo, il file Ems.log non mostra alcun push cancellato e il registro di verifica non mostra alcuna attività utente che esegue il push di una configurazione aggiornata nei software Sensor. Qual è la causa di questo processo di aggiornamento?
Dopo un upgrade, NSM compila il set di firme più recente ed esegue automaticamente il relativo push nei software Sensor.

NOTA: questo aggiornamento non viene completato se i software Sensor dispongono già del set di firme più recente.
 
Torna al sommario



Configurazione

È possibile eseguire una coppia di failover del software Sensor con le porte di monitoraggio in modalità SPAN?
No. È possibile creare una coppia di failover solo quando le porte di monitoraggio sono posizionate in modalità in linea. Una volta creata la coppia, non è possibile modificare la modalità delle porte.


Quali policy di controllo dell'accesso basate sull'identità predefinita non possono essere eliminate in NSM?
Non è possibile eliminare le policy indicate di seguito, ma è possibile modificare le relative impostazioni per specificare se l'integrità del sistema deve essere considerata o meno per concedere l'accesso alla rete e il livello di accesso effettivo da concedere.

  • Predefinita
  • Utente guest
  • Registrazione automatica

È possibile creare una regola Ignora senza aggiungere alcun nome di attacco?
No. Le regole Ignora devono includere il nome di un attacco, altrimenti il software Sensor non è in grado di comprendere questo tipo di filtro di avviso. 


In che modo è possibile escludere un indirizzo IP specifico dall'ispezione?
Aggiungere una regola firewall con il set di azioni impostato su Ignora senza stato. Ciò causa l'inoltro di tutti i pacchetti corrispondenti alla regola senza eseguire alcuna ispezione, eccetto per le ricerche/corrispondenze correlate alla regola firewall.


È possibile implementare l'alta disponibilità attiva-attiva tramite NSP Sensor?
Il software Sensor è sempre ad alta disponibilità attiva-attiva. Tuttavia, i dispositivi di rete peer determinano se Sensor è utilizzato come passivo-passivo (un percorso di rete è bloccato) o attivo-attivo.


In che modo è possibile bloccare il TOR e le varianti TOR?
McAfee consiglia di utilizzare la policy Firewall per creare regole di accesso al fine di definire gli aspetti/oggetti da bloccare, consentire o non ispezionare. Gli oggetti Regola esistente includono diverse applicazioni TOR e varianti TOR già definite. È possibile creare il proprio gruppo di applicazioni con queste o qualsiasi altra applicazione P2P che non si desidera consentire.

Utilizzare tale gruppo di applicazioni, insieme alle proprie impostazioni di origine/destinazione, per interrompere la maggior parte delle connessioni TOR e delle relative varianti.


Nonostante la creazione di regole Ignora per ignorare attacchi di ricognizione (da scansioni delle vulnerabilità) con la rete interna impostata come origine (autore dell'attacco) e qualsiasi destinazione, continuano a venire visualizzati i relativi avvisi in RTTA. Perché?
L'uso di regole Ignora non è un metodo efficace per risolvere i problemi di scansione delle vulnerabilità. Si consiglia invece di aggiungere una regola di accesso alla policy Firewall per ignorare tutto il traffico diretto verso la scansione delle vulnerabilità (utilizzare l'opzione Ignora senza stato) e un'altra regola per tutto il traffico proveniente dalla scansione (due regole).



Funzionalità

L'editor UDS di NSP supporta l'operazione NOT?
No. L'editor UDS non supporta l'operazione NOT. Lo schema di Sensor corrispondente all'hardware di accelerazione dovrebbe eseguire la ricerca in tutte le stringhe anziché solo in quella specificata con l'espressione NOT.
McAfee consiglia di non eseguire questo tipo di ricerca perché può causare gravi problemi di prestazioni e non costituisce una soluzione efficace.


L'editor UDS supporta le ricerche con caratteri jolly?
No. L'uso di un solo carattere jolly in una ricerca causerebbe il recupero di tutti i record dal database.


È possibile disattivare il servizio DCOM sul server che ospita NSP?
Sì. È possibile disattivare il servizio DCOM senza che ciò influisca sull'esecuzione di NSP Manager. Per informazioni sulla disattivazione del servizio DCOM e sulle implicazioni per altri programmi e servizi, andare alla pagina http://support.microsoft.com/default.aspx?kbid=825750.


In che modo è possibile rilevare un carattere spazio singolo utilizzando l'editor UDS?
Se si necessita di rilevare uno spazio singolo in un'espressione (ad esempio, xyz xyz), è possibile eseguire la ricerca della stringa digitando xyz xyz. McAfee consiglia di non cercare solo uno spazio singolo o stringhe molto brevi poiché ciò potrebbe causare problemi di prestazioni e generare falsi positivi.


È possibile utilizzare un GBIC in fibra e un GBIC in rame in linea nella stessa coppia di interfacce del software Sensor?
No. Non è possibile utilizzare diversi GBIC nella stessa coppia di interfacce.


Sensor è in grado di supportare un Etherchannel che include due connessioni di moduli SFP+ differenti (connessioni a fibra SR ed LR)?
Sì, Sensor è in grado di supportare un Etherchannel che include queste connessioni.


In che modo è possibile controllare i codici di errore in MySQL?
In MySQL, è possibile controllare i codici di errore generati mediante il comando perror. Aprire una sessione della riga di comando (fare clic su Start, Esegui, digitare CMD, quindi fare clic su OK) e nella directory mysql\bin, digitare il comando perror e il <codice di errore>, quindi premere INVIO. Ad esempio, perror 28, codice di errore 28: spazio insufficiente sul dispositivo.


In che modo NSP Manager o Sensor definiscono gli indirizzi interni o esterni per i filtri di avviso?
Gli indirizzi interni o esterni vengono definiti in base alla modalità configurata:

  • Modalità TAP/INLINE: durante la configurazione delle porte, specificare la porta interna e la porta esterna. I filtri di avviso utilizzano le stesse specifiche per definire la porta interna o esterna.
  • Modalità SPAN: per rilevare e contrassegnare la porta interna/esterna per la modalità SPAN, è necessario configurare un VIDS basato su CIDR. Se non è presente alcun VIDS basato su CIDR, Sensor contrassegna i pacchetti come sconosciuti.

Perché gli avvisi DoS bidirezionali non includono la scheda Packet Rate (Velocità trasferimento pacchetti)?
La scheda Packet Rate (Velocità trasferimento pacchetti) non è presente per gli avvisi DoS statistici categorizzati come bidirezionali per i seguenti motivi:
  • Questi avvisi statistici includono più di un tipo di pacchetto.
  • Il volume del flusso di pacchetti tra le due direzioni è differente.


Qual è la differenza tra Successful (Riuscito) e Maybe Successful (Forse riuscito) nello stato dei risultati degli attacchi di Threat Analyzer?
Per stabilire se un attacco è riuscito o meno, NSP analizza gli aspetti del rilevamento e del post rilevamento dell'attacco. NSP identifica la riuscita dell'attacco in base alle risposte visualizzate nel collegamento:

Successful (Riuscito) L'attacco è riuscito.
Maybe Successful (Forse riuscito) Risultati sconosciuti. NSP non è in grado di stabilire se l'attacco è riuscito o meno.


Sensor supporta la configurazione dello switch di bypass esterno in rame nelle porte RJ-45?
Sì. Attualmente, è possibile configurare lo switch di bypass esterno in rame nelle porte RJ-45, purché tali porte siano configurate in modalità fail-closed nei seguenti modelli Sensor:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Utilizzare la seguente procedura per configurare la modalità fail-closed:
  1. In Manager, selezionare Device List (Elenco dispositivi), Sensor Name (Nome sensore), Physical Sensor (Sensore fisico), Port Settings (Impostazioni porte).
  2. Nelle porte di monitoraggio, selezionare la porta numerata da configurare.
    Viene visualizzata la finestra Configure Monitoring Port (Configura porta di monitoraggio) con le impostazioni correnti.
  3. Nell'elenco a discesa Operating Mode (Modalità operativa), selezionare In-line Fail-Closed(Port Pair) (Fail-closed in linea (coppia di porte)).

    NOTA: lo stato dello switch di bypass esterno in rame non viene visualizzato in Manager. Analogamente, lo stato non viene visualizzato eseguendo il comando show intfport dal CLI di Sensor.
Network Security Platform è in grado di identificare l'indirizzo IP True-Client del traffico proveniente da una rete per la distribuzione di contenuti come Akamai?
Sì. Attivando le opzioni X-forwarded-for (XFF), Network Security Sensor è in grado di rilevare e bloccare attacchi basati su IP True-Client.
NOTA: questa funzionalità è applicabile solo per HTTP.


NSP supporta l'uso di chiavi private incorporate nel certificato firmato SHA-2?
Sì. I certificati firmati SHA-2 sono supportati. La funzionalità di decrittografia SSL in ingresso esegue solo la ricerca dei dati non elaborati del certificato del server e non convalida il certificato. Pertanto, NSP può eseguire la decrittografia utilizzando le chiavi private incorporate nel certificato firmato SHA-2.


Quando si esegue il comando clrstat per cancellare le statistiche di Sensor, quindi si esegue il comando per visualizzare il carico di quest'ultimo, viene indicato un valore molto alto, ad esempio 90%, anche quando il traffico attraverso Sensor è quasi assente. Perché?
Questo funzionamento è quello previsto. È possibile cancellare i contatori utilizzati per calcolare il carico di Sensor mediante il comando clrstat. Per consentire al software Sensor di generare contatori aggiornati affinché riflettano il carico corretto, attendere circa 20-30 secondi, quindi eseguire nuovamente il comando per visualizzare il carico di Sensor.


L'integrazione TIE/DXL è supportata in tutti i modelli di sensori?
No. Queste funzionalità sono supportate solo su sensori NS-series.
 

È possibile ottenere il numero di serie dell'alimentatore (PSU) del sensore dalla riga di comando (CLI)?
No. Attualmente non è presente alcun comando che consente di ottenere il numero di serie del sensore.


È possibile bloccare i file caricando gli hash dei file MD5 su NSP?
Sì. Questa è una funzionalità intrinseca di NSP e non richiede la creazione di una definizione di attacco personalizzata. NSP Sensor gestisce una blacklist e una whitelist di hash e le applica a file estratti da flussi HTTP, SMTP ed FTP quando viene istruito a riguardo in base alla policy antimalware. Per istruzioni sull'importazione di un valore hash, consultare il capitolo Advanced Malware Policies (Policy antimalware avanzate) della IPS Administration Guide (Guida all'amministrazione di IPS) relativa alla versione in uso.


È possibile utilizzare una porta di risposta del software Sensor per collegare quest'ultimo a NTBA Appliance?
No. Non è possibile utilizzare la porta di risposta come porta di monitoraggio.


NSP è in grado di bloccare il traffico di Skype?
Attualmente, NSP non è in grado di bloccare il traffico di Skype. Tuttavia, una versione futura conterrà questa funzionalità.


In che modo NSP determina il tipo di file per la policy antimalware avanzata?
NSP utilizza una combinazione delle seguenti informazioni: tipo di contenuto, estensione file, proprietà file e tecnologia proprietaria McAfee.


Dopo aver scollegato il cavo di rete da una porta del software Sensor, tale porta viene disattivata e deve essere riattivata tramite Manager. Ciò è corretto?
Sì. Questo funzionamento è quello previsto. Poiché Sensor non conosce la causa dell'errore della porta, questa viene contrassegnata come disattivata e, una volta risolto il problema del collegamento, è possibile riattivare la porta.
Se il software Sensor tentasse di attivare la porta automaticamente, potrebbe verificarsi un cambio di stato della rete e la porta verrebbe attivata, disattivata, quindi riattivata senza risolvere il problema alla base.


È possibile modificare questo comportamento?
È possibile modificare questo comportamento se si dispone di un Passive Fail-Open Kit (esterno o incorporato).
Per ulteriori informazioni, consultare la sezione relativa al comando setfailopencfg restore-inline nella guida CLI relativa alla versione in uso.


Quando un pacchetto di attacco viene bloccato dal software Sensor, perché NSP non recupera le relative informazioni di intestazione X-Forwarded-For (XFF)?
Quando NSP Sensor blocca un pacchetto di attacco, non è in grado di visualizzare le informazioni inoltrate al livello 7. Questo comportamento è normale.


Se si crea un UDS personalizzato, questo viene posizionato prima o dopo tutte le altre firme?
Un UDS personalizzato consente di agevolare la definizione dell'attacco/firma e viene aggiunto all'elenco di tutti gli attacchi. Tuttavia, non esiste alcun ordine per il rilevamento degli attacchi, a differenza delle regole ACL firewall.


È possibile convertire un’appliance di failover (FO) in una di riserva?
No, non è possibile. È possibile effettuare l'upgrade di un modello FO a un modello Standard, ma non è possibile effettuare il downgrade di un modello FO a un modello di riserva. Per ulteriori informazioni, contattare il responsabile delle vendite.
 

Nel rapporto relativo ai primi 10 paesi di origine degli attacchi, una delle voci è "titled AP". Cosa significa?
Questa voce viene utilizzata quando il paese specifico di origine non è noto. Per ulteriori informazioni, consultare: http://dev.maxmind.com/geoip/legacy/codes/iso3166/


Il sensore di failover può funzionare in una configurazione attiva-attiva o funziona in modalità attiva-standby con l'heartbeat che attiva l'azione di failover?
I sensori NSP funzionano sempre in modalità attiva-attiva. Tutto il traffico viene copiato da ciascun sensore all'altro tramite il cavo di failover. Ciò consente il flusso continuo del traffico, anche in caso di guasto.


I sensori instradano il traffico?
No, i sensori non partecipano all'instradamento/failover del traffico. Queste operazioni vengono eseguite interamente dall'architettura di commutazione/instradamento di rete.

NSP è in grado di inviare file PNG, JPG o altri tipi di file immagine ad ATD per la scansione?
NSP non è in grado di estrarre file immagine da flussi. Questi file possono essere inclusi in un file zip che NSP estrae e invia ad ATD. Tuttavia, NSP non è in grado di estrarre file immagine autonomi.

Torna al sommario


Chiave privata condivisa

 

In quali circostanze è possibile utilizzare la funzione di reimportazione per importare chiavi SSL in Manager?
È possibile utilizzare la funzione di reimportazione solo per reimportare una chiave già esistente in Manager. È possibile utilizzare la funzione di reimportazione un certo numero di volte per sostituire la chiave esistente in Manager quando non è ancora stato eseguito il push degli aggiornamenti SSL nel software Sensor. Non è possibile utilizzare la funzione di reimportazione per sostituire una vecchia chiave SSL con una nuova.


La procedura di rinnovo corretta consiste nell'eliminare la vecchia chiave SSL dal software Sensor e importare una nuova chiave SSL dopo l'eliminazione manuale?
Sì.  McAfee consiglia di importare la nuova chiave SSL in Manager, quindi di installare l'aggiornamento SSL nel software Sensor dopo l'eliminazione della vecchia chiave SSL.


Dopo che una nuova chiave SSL è stata importata/reimportata e sottoposta a push nel software Sensor da Manager, è necessario riavviare Sensor?
Il riavvio è necessario solo se si attiva o disattiva la funzionalità SSL nel software Sensor. Non è necessario dopo l'importazione/reimportazione di chiavi SSL.


Perché viene visualizzato il messaggio "SSL: Bad State Transition alerts(0x00006000)" in Alert Manager dopo la sostituzione di una chiave SSL?
È possibile visualizzare questo avviso in Alert Manager se sono presenti flussi HTTP attivi quando viene eseguito il push del nuovo certificato SSL nel software Sensor. Se questo comportamento persiste, contattare l'assistenza tecnica e inviare le acquisizioni delle immagini dei pacchetti durante e dopo l'importazione/il rinnovo delle chiavi SSL.

 
Perché viene visualizzato il messaggio "SSL: Bad State Transition alerts(0x00006000)" in Alert Manager? È il rilevamento di un falso positivo?
Raccogliere i rapporti di prova degli avvisi forniti come spiegato nell'articolo KB55743, quindi aprire il registro pacchetti generato nei rapporti di prova con uno sniffer di pacchetti come Wireshark e controllare la versione TLS/SSL in uso. I sensori NSP attualmente non supportano le versioni TLS 1.1 e 1.2. Pertanto, attiveranno questo avviso. Creare un filtro di attacco per ignorare questo traffico oppure utilizzare una versione supportata di SSL/TLS (SSL 2, SSL 3, TLS 1.0).
 

È previsto un limite di dimensione per la chiave privata condivisa quando tale chiave viene impostata tramite il comando Sharedsecretkey?
La chiave privata condivisa di NSP deve contenere 8-25 caratteri. La chiave non può iniziare con un punto esclamativo né includere spazi.

Torna al sommario
 

NSP e GTI

Che cos'è GTI?
GTI è un motore di correlazione di minacce globali e una base di intelligence di messaggistica globale e comportamenti di comunicazione, che consente di proteggere i clienti da minacce elettroniche note ed emergenti in tutte le aree di minaccia.


Quali porte utilizza GTI?
 
Descrizione
Protocollo
Iniziatore
Porta di origine
Porta di destinazione
Per l'invio di informazioni di partecipazione
TCP
Manager
Casuale
HTTPS/443
 
 
Descrizione
Protocollo
Iniziatore
Porta di origine
Porta di destinazione
Indirizzo di destinazione
Per l'invio di query di reputazione IP McAfee
TCP
Manager e/o Sensor
Casuale
HTTPS/443
tunnel.web.trustedsource.org
Per l'invio di query di reputazione file McAfee UDP Sensor Casuale DNS/53 avqs.mcafee.com

NOTE:
  • La reputazione IP in precedenza era denominata TrustedSource.
  • La reputazione file in precedenza era denominata Artemis.

Quali informazioni utilizza il software Sensor in una query GTI?
La connessione a 5 tuple (IP di origine, IP di destinazione, porta di origine, porta di destinazione e protocollo).


Quali informazioni utilizza NSP Manager in una query GTI?
Le 5 tuple e altre informazioni aggiuntive sull'attacco che potrebbero essere disponibili: nome dell'attacco, ora dell'attacco, categoria, conteggio, sistema operativo di destinazione, meccanismo di rilevamento, direzione dell'attacco, URL malware, ID attacco NSP, risultato, ID firma, sistema operativo di origine, sottocategoria e tipo di attacco.

NOTA: per informazioni dettagliate sugli elementi inviati, consultare la pagina GTI Participation (Partecipazione GTI) in Manager. Selezionare Configure (Configura), Integration (Integrazione), GTI Participation (Partecipazione GTI).
 
Dove vengono inviate le query GTI?
Sensor invia una query DNS specifica a mcafee.com. Le query di Manager vengono indirizzate a https://tunnel.web.trustedsource.org.
 
 
In che modo è possibile conoscere la reputazione di un indirizzo o un sito specifico?
Utilizzare lo strumento di ricerca disponibile all'indirizzo www.trustedsource.org.
 
 
Perché l'indirizzo cercato mostra una reputazione differente?
GTI utilizza diversi fattori per determinare la reputazione di una connessione specifica. Se la connessione è stata stabilita tramite la porta 80 o 8080, viene utilizzata la reputazione Web. Se la connessione è stata stabilita tramite la porta 25, viene utilizzata la reputazione email. Tutte le altre porte utilizzano la reputazione IP, che può essere costituita dalle reputazioni Web ed email. Con l'aumento dei dati raccolti nel tempo, il valore della reputazione IP diventerà univoco.
 
 
McAfee può modificare la reputazione in un indirizzo IP specifico?
Dopo l'esecuzione di una query in www.trustedsource.org, è disponibile un'opzione per ottenere il feedback sulla minaccia. Utilizzare questo modulo per richiedere l'analisi. In alternativa, è possibile richiedere l'analisi di un indirizzo IP specifico tramite email. Per le reputazioni Web, contattare sites@mcafee.com. Per le reputazioni di rete ed email, contattare trusign-feedback@mcafee.com. Includere sempre l'indirizzo IP, la porta e il tipo di traffico utilizzato.
 
Dove è possibile trovare ulteriori informazioni su GTI?
Consultare la Network Security Platform Integration Guide (Guida all'integrazione di Network Security Platform) oppure visitare il sito www.trustedsource.org.


NSP Sensor esegue la ricerca degli indirizzi IP di GTI per tutto il traffico che rileva?
Per impostazione predefinita, non esegue questa operazione. Per configurare il software Sensor affinché esegua la ricerca degli indirizzi IP di GTI per tutto il traffico, attivare l'opzione Endpoint Reputation Analysis (Analisi reputazione endpoint).
 
 
NOTA: attualmente, NSP è in grado di usufruire delle informazioni relative alle reputazioni IP mediante le funzionalità Smart Blocking (Blocco intelligente) e Connection Limiting (Limite connessione). Attualmente, NSP non è in grado di rilevare funzioni di callback con la reputazione IP.


Non è possibile aprire un file rilevato da GTI all'interno di NSP per eseguire un'ulteriore analisi. Perché? In che modo è possibile aprire file rilevati come minacce da GTI?
Questi file vengono crittografati, anche se esportati tramite l'interfaccia utente. Per decrittografarli, è necessario utilizzare l'utilità MalwareDecrypter.bat. Il percorso file di questa utilità è:

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

NOTA: se si esegue il file senza alcun parametro, vengono visualizzate le opzioni disponibili.
 
 
Dove è possibile trovare informazioni aggiuntive sulla decrittografia dei file?
Consultare le informazioni relative all'utilità MalwareDecryptor nella sezione "Archive malware files" (Archiviazione di file malware) della Network Security Platform Manager Administration Guide (Guida all'amministrazione di Network Security Platform Manager) e nella Network Security Platform IPS Administration Guide (Guida all'amministrazione di Network Security Platform IPS) per la versione del prodotto in uso.
Copertura per attacchi
La vulnerabilità descritta nella nota VU922681 (Universal Plug and Play libupnp SSDP Requests Remote Code Execution) (Esecuzione remota di codice per richieste SSDP in libupnp su dispositivi Universal Plug and Play) viene rilevata dalle firme IPS di NSP?
Sì. La vulnerabilità descritta nella nota VU922681 è coperta dall'attacco: 0x47a00100 “UPnP: overflow del buffer generico”.

Torna al sommario
 

NSP e NAC

Quando viene utilizzata la policy di controllo dell'accesso basata sull'identità predefinita in NSP?
La policy di controllo dell'accesso basata sull'identità predefinita (IBAC) viene utilizzata nei seguenti scenari quando è configurata in NSP:
  • Quando il nome utente in questione non corrisponde ad alcuna policy IBAC definita (non predefinita).
  • In un caso speciale, se la connettività tra Sensor e Manager viene interrotta.
     


Che cos'è l'implementazione NAC e 802.11Q in NSP?
L'implementazione NAC corrente consente di controllare il traffico da più VLAN tramite la porta di monitoraggio NAC. La porta di monitoraggio NAC del software Sensor è configurata con una singola VLAN. Tuttavia, l'infrastruttura locale deve supportare la comunicazione inter-VLAN (instradamento inter-VLAN) tra la VLAN nella porta di monitoraggio NAC di Sensor e tutte le altre VLAN che includono host che richiedono il monitoraggio o l'imposizione NAC.


Quali sono gli host implicitamente affidabili per il NAC di NSP?
I seguenti indirizzi IP vengono automaticamente esclusi dall'imposizione NAC da Network Security Sensor:

  • IP della porta di monitoraggio di Sensor
  • IP della porta di gestione di Sensor
  • IP di NSM (se in modalità MDR, vengono aggiunti entrambi i software Manager)
  • IP del server McAfee NAC
  • IP di Guest Client Portal
  • IP di Remediation Portal
  • IP di VPN Concentrator
     

Quali implementazioni di server DHCP sono supportate dalla modalità NAC DNCP di NSP?
Sono disponibili due tipi di approcci per implementazioni di server DHCP quando NSP è configurato per funzionare in modalità NAC DHCP:

  • Server DHCP integrato
    In questa implementazione, un singolo server DHCP assegna indirizzi IP a host integri e non integri. Il server DHCP viene configurato con classi utente e assegna gli indirizzi IP in base al campo relativo alla classe utente nel pacchetto di rilevamento DHCP. Ciascuna classe utente può includere parametri definiti univoci, ad esempio IP DNS, gateway predefinito e route statiche. È possibile definire le classi utente per produzione, quarantena e reti di pre-ammissione, ciascuna con i propri parametri e pool IP definiti.
     
  • Server DHCP separato
    Con questo approccio, i due server DHCP separati vengono configurati per gli host integri (pool IP di produzione) e non integri (pre-ammissione e quarantena). Ciascun server DHCP disporrà di informazioni di configurazione indipendenti. Una configurazione per gli host integri e un'altra per gli host non integri.
Torna al sommario
 

Set di firme eterogenee

Che cos'è un set di firme eterogenee (sigset)?
Nelle versioni precedenti di NSP, la versione del software Sensor e quella del software NSM (8.x, 7.x) dovevano corrispondere. Se si gestivano più versioni del software Sensor, era necessario disporre di un NSM separato per ciascuna di esse. Per risolvere questo problema, McAfee ha aggiunto una funzionalità in NSM che consente di gestire versioni precedenti del software Sensor. Ad esempio, NSM 8.3 è in grado di gestire le versioni del software Sensor 8.x e 7.x. Per supportare questa funzionalità, McAfee ha sviluppato un sigset eterogeneo contenente tutte le firme di ciascuna versione del software Sensor.

Il sigset eterogeneo è un formato che include tutte le versioni principali in un singolo sigset unificato. Gli amministratori scaricano e applicano un singolo sigset che Manager utilizzerà per controllare tutti i software Sensor. 

NSM 7.x e le versioni successive accettano solo sigset eterogenei e non supportano sigset omogenei (versione singola).


In futuro, tutti sigset saranno eterogenei?
McAfee non rilascerà più sigset omogenei?
Sì.  McAfee non rilascerà più sigset omogenei. Tutti i sigset adesso sono eterogenei.


Cosa contiene un sigset eterogeneo? Qual è lo schema di numerazione? Quali informazioni aggiuntive è possibile ottenere dal numero di sigset?
Un sigset eterogeneo contiene due o più sigset singoli di versioni principali in un nuovo formato unificato. Lo schema di numerazione è il seguente: sigsetW.X.Y.Z, in cui:
  • W indica la versione massima del software Sensor supportata.
  • X indica la versione minima del software Sensor supportata.
  • Y indica il numero di versione di rilascio del sigset.
  • Z indica la versione build.

    Ad esempio, sigset 8.7.1.1 indica che questo sigset supporta le versioni del software Sensor 8.x e 7.x.
     
In che modo McAfee testa il sigset eterogeneo?
McAfee dispone di metodologie complete per testare sigset eterogenei al fine di garantire la compatibilità con tutte le versioni del software Sensor. Oltre a tutti i test con sigset normali, McAfee esegue test aggiuntivi per garantire che i sigset eterogenei funzionino correttamente in un ambiente eterogeneo in cui vengono utilizzate più versioni del software Sensor.


Per utilizzare un sigset eterogeneo, è necessario modificare la configurazione di Manager?
No.


Saranno disponibili sigset eterogenei differenti per ogni versione principale (ad esempio, 7.x e 8.x)?
Sarà disponibile un solo sigset eterogeneo contenente tutte le firme di tutte le versioni del software Sensor attualmente supportate. (Ad esempio, il sigset 8.7.1.1 supporterà tutti i software Sensor che eseguono le versioni 8.x e 7.x).

Torna al sommario
 


Riavvio di Sensor senza interruzione del servizio
Che cos'è il riavvio di Sensor senza interruzione del servizio?
NSP adesso supporta la funzionalità di riavvio e upgrade senza interruzione del servizio. Ciò consente di ridurre il tempo richiesto per il riavvio di Sensor e di impedire l'interruzione del traffico.


Come funziona il riavvio senza interruzione del servizio?
In un riavvio senza interruzione del servizio vengono riavviati solo i processi selezionati nel software Sensor. Il software Sensor passa a una modalità pass-through al livello 2 e viene riavviato mentre il traffico procede attraverso il percorso dati. In tal modo, il tempo di riavvio risulta notevolmente ridotto poiché non viene arrestato l'intero software Sensor.


In quali condizioni si verifica un riavvio senza interruzione del servizio?
Il software Sensor tenta sempre di eseguire un riavvio senza interruzione del servizio in caso di ripristino da errori interni. È inoltre possibile eseguire un riavvio senza interruzione del servizio dalla riga di comando di Sensor o da NSM. Se non è possibile eseguire un riavvio senza interruzione del servizio, viene inviata una notifica a Manager e viene eseguito un riavvio completo.


Tutti gli upgrade di Sensor saranno senza interruzione del servizio?
Ciò dipende da se le modifiche del software Sensor richiedono o meno un riavvio completo. Una volta completato l'upgrade di Sensor, viene visualizzata l'opzione per eseguire un riavvio senza interruzione del servizio a seconda della versione software.


Quali sono i limiti di un riavvio senza interruzione del servizio?
Il riavvio senza interruzione del servizio non è supportato per upgrade in cui è inclusa una modifica a livello di kernel o switch interno nel codice software. Inoltre, se il software Sensor non è in grado di eseguire un ripristino da errori interni e sono stati effettuati tre tentativi di ripristino automatico in un intervallo di 15 minuti, al successivo tentativo di ripristino automatico il software Sensor rimane nel livello 2 o procede a un riavvio completo.


Quali sono alcune delle cause più comuni del mancato completamento del riavvio senza interruzione del servizio?
Il riavvio senza interruzione del servizio non viene completato se i percorsi dei dati nel software Sensor non vengono avviati o se non segnalano uno stato di "pronto".
 
 

Rilevamento malware avanzato

È possibile bloccare un trasferimento file FTP?
No, il software Sensor non è in grado di bloccare costantemente i trasferimenti file FTP. Per i file FTP, il blocco viene eseguito secondo il principio del best effort, come conseguenza di una limitazione nel protocollo FTP.

Le informazioni relative alla dimensione file non sono disponibili per il trasferimento FTP, pertanto il software Sensor non sa esattamente quando il trasferimento viene completato.
Sensor è in grado di stabilire la dimensione del file solo al termine della connessione dati (una volta ricevuto il FIN del TCP). Tuttavia, ciò significa che il file è già stato trasferito.

Indipendentemente dal risultato dell'attacco in Threat Analyzer, il blocco non è supportato nei trasferimenti file FTP. Ciò non è considerato un problema, bensì una limitazione causata dal protocollo FTP. Sensor estrarrà comunque il file, lo analizzerà per il rilevamento di malware e invierà avvisi.

Torna al sommario


Network Security Platform 8.3
In che modo è possibile attivare Real-Time Threat Analyzer in NSM 8.3?
Per NSM 8.3 e versioni successive, Real-Time Threat Analyzer è stato sostituito da Threat Explorer. Se si necessita di attivare Real-Time Threat Analyzer, procedere come segue:
  1. Nel server Manager, utilizzare Esplora risorse per andare al percorso: C:\Programmi\McAfee\Network Security Manager\App\config.
    NOTA: questo percorso potrebbe essere differente se NSM è stato installato in un'altra posizione.
  2. Individuare il file ems.properties e aprirlo utilizzando Blocco note di Windows.
  3. Aggiungere la seguente voce:

    iv.ui.ta.display.isEnabled=true
     
  4. Salvare il file e riavviare il servizio NSM.

Quali modelli di sensori sono supportati da NSM 8.3? Quali modelli di sensori supportano la distribuzione di set di firme da parte di NSM 8.3?
NSM 8.3 supporta ed è in grado di eseguire automaticamente la distribuzione dei segmenti di firme più recenti in sensori M-series, NS-series e VM-series.
NOTA: i sensori I-series non sono supportati e hanno raggiunto la fine del ciclo di vita.


In che modo è possibile importare regole Ignora precedentemente esportate?
Questa funzionalità è stata aggiornata in NSM 8.3 e la procedura per importare regole Ignora è stata modificata rispetto alle versioni precedenti. Per importare in NSM 8.3 regole Ignora precedentemente esportate, selezionare Policy, Prevenzione delle intrusioni, Avanzate, Importazione policy, Regole Ignora.


In che modo è possibile importare attacchi personalizzati precedentemente esportati?
Questa funzionalità è stata aggiornata in NSM 8.3. Per importare attacchi personalizzati precedentemente esportati, selezionare Policy, Tipi di policy, Policy IPS, Attacchi personalizzati, Altre azioni, Importa.


Dopo l'upgrade a NSM 8.3, il registro degli attacchi non visualizza alcun avviso precedente. In che modo è possibile visualizzare gli avvisi precedenti?
Se durante l'upgrade viene visualizzato un messaggio di avviso che indica di eseguire script aggiuntivi (ciò si verifica se il database contiene più di un milione di avvisi), eseguire tali script come indicato nella sezione "Run additional scripts" (Esecuzione di script aggiuntivi) della Network Security Platform 8.3 Installation Guide (Guida all'installazione di Network Security Platform 8.3) (PD26343). Altrimenti, i registri degli attacchi precedenti non vengono visualizzati.
 
Se non viene visualizzato alcun messaggio relativo al superamento del limite di avvisi e/o se si verificano problemi di visualizzazione dei registri degli attacchi, contattare l'assistenza tecnica per risolvere il problema.
 

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento