Loading...

Veelgestelde vragen over Network Security Platform
Technische artikelen ID:   KB75269
Laatst gewijzigd:  3-8-2017
Beoordeeld:


Omgeving

McAfee Network Security Platform (NSP) 8.x

Samenvatting

Inhoud
Algemeen Productinformatie en overige onderwerpen
Compatibiliteit Interactie tussen andere producten en software
Installatie/upgrade Informatie over installeren, bijwerken, migreren en verwijderen
Configuratie Hier vindt u beste praktijken en informatie over optimaliseren, configureren en aanpassen
Functionaliteit Productkenmerken en -functies
Gedeelde geheime sleutel Algemene vragen over de gedeelde geheime sleutel en SSL, inclusief het vernieuwen van de SSL-sleutel
NSP en GTI Algemene vragen over functionaliteit en interactie van NSP en GTI (Global Threat Intelligence)
Dekking tegen aanvallen Informatie over dekking tegen specifieke aanvallen
NSP en NAC Vragen en antwoorden over de samenwerking tussen NSP en NAC (Network Access Control)
Heterogene handtekeningset Informatie over de heterogene handtekeningset
Hitless Reboot van de sensor Een functie die de invloed van sensorcycli vermindert 
Geavanceerde malwaredetectie Vragen over geavanceerde malwaredetectie
Network Security Platform 8.3 Vragen over de functies die zijn toegevoegd in NSP 8.3


Algemeen

Hoe vaak wisselen de sensor en de manager informatie uit om te verifiëren of de sensor actief is?
Het pollinginterval is gewoonlijk twee minuten, maar wanneer EMS een storing detecteert, wordt het pollinginterval verkort naar 30 seconden. Dit gebeurt om problemen te voorkomen, zoals verlies van een pakket waardoor een waarschuwing wordt gegenereerd. Als de sensor na 10 minuten nog steeds onbereikbaar is, wordt de waarde van de pollingfrequentie weer ingesteld op twee minuten.

 
Hoeveel gegevensoverdracht wordt veroorzaakt door deze polling?
De polling wordt uitgevoerd via een SNMP UDP-pakket en vier MIB-variabelen worden gepolld. De volledige belasting van het SNMP-applicatieverzoek is ongeveer 100 bytes.

 
Hoe lang kan het duren voordat de manager een sensor als afgesloten markeert in de systeemstatus?
Omdat de polling in eerste instantie elke twee minuten wordt uitgevoerd en de normale time-out 60 seconden is, is 60 seconden de beste indicatie voor een storing, hoewel het ook 180 seconden (120 + 60) kan zijn.


Voert de fail-open kit de functie Auto-MDIX uit?
Nee. Dit is een functie van de Auto-MDIX-voorziening van de McAfee SFP die is geïnstalleerd in de sensor.


Werkt de Copper Fail-Open Kit op dezelfde manier als de Optical Bypass Single Mode (SM) en Multi-Mode (MM) Fail-Open Kits?
De fail-open kit (glasvezel bypass-switch) kruist geen TX/RX-paren. Raadpleeg de korte handleiding van de Gigabit Optical Fail-Open Bypass Kit voor de versie van uw sensor/sensorsoftware. Deze handleiding bevat een diagram voor de juiste installatie en aanvullende informatie over de installatie en de verbindingen.

 
Nadat de modus 10/100/1000 Copper Active Fail-Open (AFO) Bypass Kit is gewijzigd van inline- naar TAP-modus, is de AFO geactiveerd. Bij het opnieuw opstarten is de TAP-modus uitgeschakeld. Waarom?
De AFO werkt zoals is bedoeld. De instellingen van de TAP-modus worden niet opgeslagen in de AFO. Bij het in-/uitschakelen van de AFO, wordt de standaardinstelling, TAP-modus uit, hersteld. Dit is zo ontworpen.


De waarschuwing ARP: MAC Address Flip-Flop wordt alleen weergegeven op CIDR-interfaceniveau; waarom bevat deze waarschuwing niet de naam van de subinterface?
Het opzoeken van ondersteuning voor de subinterface van CIDR, wordt alleen uitgevoerd voor IPv4-pakketten (PTYPE = 0x800). Omdat ARP niet in deze categorie valt, wordt alleen de interfaceclassificatie op poort- en VLAN-niveau opgenomen voor ARP-pakketten. Dit is normaal.


Waarom zijn logboekbestanden van de sensor versleuteld?
De logboekbestanden van de sensor zijn in eerste instantie ontworpen voor het vastleggen van informatie die technische ondersteuningsteams en ontwikkelteams nodig hebben voor het oplossen van problemen. Omdat de primaire doelgroep voor deze bestanden McAfee zelf is, kunnen de bestanden soms interne of vertrouwelijke gegevens bevatten. Daarom moeten ze worden versleuteld. NSP levert alle kritieke gebeurtenissen die u moet kennen bij gebruik van de opdrachtregelinterface van de sensor. McAfee vraagt u om PER's in te dienen voor informatie die u nodig hebt, maar die nog niet beschikbaar is. Deze aanvragen worden vervolgens opgenomen in volgende onderhoudsreleases van NSP.


Compenseert NSP de netwerkvertraging tijdens synchronisatie van de tijd?
Nee. NSP biedt geen compensatie voor netwerkvertraging tijdens synchronisatie van de tijd.

Als er een netwerkvertraging van 100 msec is tussen de sensor en de manager, is de sensortijd 100 msec korter dan de werkelijke tijd op de manager. De sensor heeft een interne klok die de tijdinstelling overneemt van de manager, zodat de sensor en de manager gesynchroniseerd blijven. Als de verbinding tussen de sensor en de manager wordt verbroken, werkt de interne klok de tijd van de sensor periodiek bij. De vertraging tussen de sensor en de manager is de netwerkvertraging tussen die specifieke sensor en de manager. Er kunnen langere of kortere vertragingen bestaan tussen de manager en andere geïmplementeerde sensoren.

De sensor schrijft de tijd in zijn eigen flashgeheugen omdat de sensor geen back-upklok met batterij heeft. Wanneer de sensor na stroomuitval opnieuw opstart en weer online komt, bestaat de mogelijkheid dat de sensor niet onmiddellijk verbinding kan maken met de bijbehorende manager. In dit geval gebruikt de sensor de laatste tijd die in het flashgeheugen is opgeslagen. Dit is de enige keer dat de sensor de tijd ophaalt uit het flashgeheugen; de tijd in het flashgeheugen is verder niet relevant.


Hoe verwerkt de sensor verkeer van hosts die in quarantaine zijn geplaatst?
Met de functie IPS-quarantaine kan de sensor niet-compatibele hosts in quarantaine plaatsen en toegang geven voor herstel. Wanneer IPS-quarantaine is ingeschakeld en een aanval wordt gedetecteerd op de inline cotrolepoort van een sensor, maakt de sensor alleen een quarantaineregel voor het bron-IP-adres van de host als de host niet is opgenomen in de lijst met uitsluitingen voor NAC. De sensor blokkeert nooit verkeer van hosts die wel zijn opgenomen in de lijst met uitsluitingen voor NAC. Als de host niet in de lijst met lijst met uitsluitingen voor NAC staat, wordt deze gedurende een bepaalde tijd in de quarantainetabel geplaatst.

De sensor vergelijkt al het verkeer dat door de poorten komt met de quarantainetabel en blokkeert alle pakketten die zijn verzonden vanaf hosts die in quarantaine zijn geplaatst. Zo wordt voorkomen dat niet-compatibele hosts andere systemen in het netwerk schade toebrengen. U kunt een toegangszone voor het IPS-netwerk configureren met specifieke IP-adressen waartoe een host die in quarantaine is geplaatst, toegang krijgt (bijvoorbeeld de herstelportal of de DNS-server). Zo kan de host in quarantaine toegang krijgen tot herstelmaterialen zonder de beveiliging van het netwerk in gevaar te brengen. Een host kan aan de quarantainetabel worden toegevoegd op basis van een NAC-beleid of een handtekening waarvoor de quarantaine-actie is ingeschakeld.


Wanneer de NSM is geïnstalleerd met twee managers geconfigureerd in MDR (Manager Disaster Recovery), moeten beide managers worden bijgewerkt met sensorwaarschuwingsgegevens. Hoe communiceren de sensoren met de NSM voor het bijwerken van waarschuwingsinformatie?
De sensor probeert waarschuwingen te verzenden naar beide NSM's in een MDR-configuratie. Als de waarschuwing met succes is verzonden naar één NSM, kunt u de waarschuwing verwijderen uit de sensorbuffer. Als de sensor de waarschuwing naar geen van beide NSM's kan verzenden, wordt de waarschuwing opgeslagen in de sensorbuffer. Wanneer de managers de volgende keer met elkaar communiceren, synchroniseren ze hun databases met elkaar om alle waarschuwingen bij te werken die niet zijn ontvangen door de andere manager. Aan elke waarschuwing worden unieke kenmerken toegevoegd als hulpmiddel voor de synchronisatie tussen de managers.


Wat is het verschil tussen IPS-quarantaine en de toegangsbeheerlijst (ACL) in NSP?

  • De regels voor IPS-quarantaine worden onafhankelijk van de ACL-regels verwerkt en vóór de ACL-regels geëvalueerd.
  • Een regel voor IPS-quarantaine blokkeert alle verkeer van een bron-IP-adres, terwijl een ACL-regel meer specifiek kan aangeven welk type verkeer wordt geblokkeerd.
  • Regels voor IPS-quarantaine worden dynamisch gemaakt. U moet ACL-regels expliciet toevoegen wanneer u een beleid maakt.
  • U kunt regels voor IPS-quarantaine dynamisch verwijderen na een vooraf gedefinieerde periode. U moet ACL-regels expliciet verwijderen via een beleidsupdate.


Hoe worden botnetaanvallen weergegeven in de Threat Analyzer?
Wanneer verkeer wordt ontdekt, worden de adressen opgezocht in het botnet-DAT-bestand om te bepalen of een IP-adres of een domeinnaam al een bekend botnetadres is.

Als de gegevens overeenkomen, wordt een waarschuwing geactiveerd en wordt het Command and Control (C&C) IP-adres of domein gemarkeerd als een aanvaller. De adres van de aanvaller wordt in de kolom met bron-IP-adressen in de Threat Analyzer geplaatst. Het adres van de host die verbinding maakt met het C&C-adres, wordt gemarkeerd als slachtoffer. Het slachtoffer verschijnt in de kolom met doel-IP-adressen in de Threat Analyzer.

De richting van de stroom is afhankelijk van wie de verbinding heeft geïnitieerd en geeft aan of de initiërende stroom inkomend of uitgaand was.


Waarom worden er onmiddellijk instellingen voor manageracties ingeschakeld zonder een configuratie-update?
Wanneer een systeembeheerder actie-instellingen voor de manager (zoals Auto ACK, SNMP en Systeemlogboek) wijzigt in de Beleidseditor, is een configuratie-update vereist. Deze instellingen worden echter onmiddellijk ingeschakeld zonder een update. Dit is de bedoeling. In het huidige NSP-ontwerp worden configuratiewijzigingen bijgehouden op beleidsniveau en wijzigingen in het beleid geven aan dat een push van het handtekeningbestand is vereist voor de sensor. Er is aanzienlijk veel moeite gedaan in NSP om de update van het handtekeningbestand voor de sensor te verbeteren zonder caching en incrementele updates. In het huidige plan ligt de nadruk op de efficiëntie van de push van het handtekeningbestand en niet op het bijhouden van beleidswijzigingen op een hoger niveau.

Items die onmiddellijk worden ingeschakeld Ernst van aanval*; Meldingen; E-mail, Scripts, Auto Ack, Pager, SNMP, Systeemlogboek
Items waarvoor een configuratie-update is vereist Ernst van aanval*; Sensoracties; Logboekregistratie

*Wijzigingen in de ernst van de aanval worden gebruikt door de manager en de sensor. Het managergedeelte, zoals wijzigingen in de ernst die worden weergegeven in Threat Analyzer, is onmiddellijk van kracht. Voor het sensorgedeelte, zoals voor NAC, is een sensorupdate vereist.


Waarom worden lage en informatieve waarschuwingen niet weergegeven in de Real Time Threat Analyzer (RTTA)?
Dit is zo ontworpen. Gebruik de historische Threat Analyzer om lage en informatieve waarschuwingen te bekijken. 


Ik kan in de Beleidseditor configureren dat aanvallen worden geblokkeerd. Waarom stuurt de sensor dan een waarschuwing naar de manager als 'Send Alert to the Manager' (Waarschuwing naar manager verzenden) is uitgeschakeld voor de aanval?
Dit is de bedoeling. Omdat de aanval wordt geblokkeerd, verzendt de sensor de waarschuwing ongeacht de instelling van Send alert to the Manager (Waarschuwing naar manager verzenden), zodat de beheerder weet welke sensor de aanval heeft geblokkeerd.


In RTTA worden in het gedeelte voor DoS-analyse van het scherm met waarschuwingsdetails het IP-bereik voor DoS en de IP-bereiken van de 3 belangrijkste aanvallen weergegeven voor de waarschuwing Inbound/Outbound UDP Packet Volume Too High (Te veel inkomende/uitgaande UDP-pakketten). Waarom is dit gedeelte soms leeg en wordt er geen informatie over IP-bereiken weergegeven?
Dit is zo ontworpen. Wanneer de sensor de aanval ziet, wordt onmiddellijk gestart met het ophalen van het IP-adres. De sensor wacht een bepaalde periode voordat de waarschuwing wordt verzonden, om ook de IP-adresgegevens te kunnen rapporteren. Als de aanval onmiddellijk daarna stopt, kan de sensor geen IP-adresgegevens ophalen en wordt een waarschuwing verzonden zonder het IP-adres.


Wat zijn de standaardinstellingen voor mijn NSP-sensor of andere hardware?
Hardware Baudrate Gegevens Pariteit Stop Transportbesturing Standaard gebruiker Standaard wachtwoord SSH-poort
I-serie 9600 8 geen 1 geen admin admin123 22
M-serie 38400 8 geen 1 geen admin admin123 22
N-serie 38400 8 geen 1 geen admin admin123 22
NS-serie 115200 8 geen 1 geen admin admin123 22
NTBA 9600 8 geen 1 geen admin admin123 22
XC240 115200 8 geen 1 geen admin admin123 22
AFO-kit 19200 8 geen 1 geen McAfee McAfee  


Waarom werkt de SYN-cookie niet wanneer er MPLS-verkeer is in het netwerk?
De SYN-cookie kan niet worden ondersteund voor MPLS-verkeer, omdat NSP niet weet welke MPLS-tag moet worden gebruikt in de omgekeerde richting wanneer de sensorproxy de SYN-pakketten beantwoordt.

 
Voorkomt de sensor een mogelijke SYN-flood wanneer de SYN-cookie wordt ingeschakeld op een sensor waarbij de ene poort in span is geconfigureerd om MPLS-verkeer te zien en de andere inline is geconfigureerd en geen MPLS-verkeer ziet?
Ja. De SYN-cookie blijft werken voor normaal verkeer op de inline poortpaar.

 
Kan ik de SYN-cookie gebruiken als ik een VLAN-tag gebruik in verkeer? Als bijvoorbeeld al het verkeer een VLAN-tag bevat en de sensor alleen verkeer ziet van één VLAN, maar geen verkeer ontvangt van een ander VLAN, werkt de SYN-cookie dan nog steeds of werkt de SYN-cookie alleen als de VLAN-tag niet aanwezig is in het inline verkeer?
De SYN-cookie werkt voor verkeer met een VLAN-tag. Zelfs een combinatie van verkeer met en zonder VLAN-tag werkt. Er zijn enkele beperkingen als de pakketten opnieuw terugkeren via dezelfde interface.


Wanneer de sensorinterfaces zijn geconfigureerd als inline, is er dan cross-talk tussen poorten wanneer verkeer door de sensor heen gaat?
Nee. De sensor zorgt niet voor switching of routering van verkeer. De twee interfaces die zijn gegroepeerd als een interfacepaar (1A/1B, 2A/2B, enzovoorts) zijn op een vaste manier met elkaar verbonden. Verkeer dat binnenkomen via een interface (bijvoorbeeld 1A) kan de sensor alleen verlaten via de bijbehorende interface van het paar (bijvoorbeeld 1B). Dit is fundamenteel in het ontwerp van de sensorsoftware en omdat de sensor geen beslissingen voor routering of switching neemt, biedt de sensor geen ondersteuning voor het doorsturen van pakketten naar een andere interface in het apparaat.


Kan het totaal van al het verkeer, zowel inkomend als uitgaand, op een bepaald moment groter zijn dan de inspectiemogelijkheden van een bepaalde sensor (bijvoorbeeld: NS9100 is geschikt voor10G bps IPS)?
Nee. De inspectiemogelijkheden van alle poorten van de sensor worden gecombineerd/gedeeld.  Deze inspectiemogelijkheden bepalen de nominale capaciteit van de sensor.


Hoe kan ik de DOS-detectie van de sensor (geforceerd) wijzigen in de leermodus?
Selecteer Denial of Service, Data Management (Gegevensbeheer) en selecteer Rebuild DoS Profile (DoS-profiel opnieuw opbouwen) (leren vanaf het begin).


Wat is het verschil tussen “verkenningsaanval op basis van correlatie” en “verkenningsaanval op basis van handtekening”? Zijn deze verkenningsaanvallen beide onderdeel van het “standaard verkenningsbeleid”?
Dit is afhankelijk van de versie van NSP/NSM die wordt gebruikt. Voor 8.1 en eerder worden zowel IPS-beleid als verkenningsbeleid gebruikt. Het IPS-beleid bevat aanvallen op basis van handtekening en het verkenningsbeleid bevat aanvallen op basis van correlatie. Vanaf 8.2 bestaat echter geen verkenningsbeleid meer en zijn verkenningsaanvallen op basis van handtekening en op basis van correlatie beide te vinden in het IPS-beleid.
Om onderscheid te kunnen maken in de IPS-beleidseditor, heeft McAfee specifieke aanvalscategorieën geïntroduceerd (verkenningsaanval op basis van correlatie en verkenningsaanval op basis van handtekening).


Het maximale stroomverbruik van de sensor NS7x00 is 250 W; waarom is er een voeding van 650 W meegeleverd?
McAfee gebruikt deze voeding van 650 W vanwege de vereisten voor NS7x00-appliances.


In de webbrowser van een host die handmatig in quarantaine is geplaatst, wordt geen quarantainebericht of advies en geen omleiding naar de herstelportal weergegeven. Waarom niet?
Wanneer u een sensor configureert om op een client in quarantaine een browserbericht of een omleiding naar een herstelportal weer te geven, wordt dit alleen geïmplementeerd voor hosts die automatisch in quarantaine zijn geplaatst door de sensor. Dit heeft een bedoeling. Wanneer een gebruiker een host handmatig in quarantaine plaatst vanuit Threat Analyzer, worden geen browserbericht en geen herstelportal aangeboden en de enige actie die wordt uitgevoerd, is dat de host in de overeenkomende quarantainezone wordt geplaatst.

Terug naar inhoudsopgave

 

Compatibiliteit

Welke XFPs worden ondersteund door sensoren uit de M-serie?
Alleen de volgende XFPs worden ondersteund door sensoren uit de M-serie:

  • IAC-1550-CG1 (uitgebreid bereik, enkele modus, 1550 nm XFP)
  • IAC-1310-CG1 (ver bereik, enkele modus, 1310 nm XFP)
  • IAC-X850-CG1 (kort bereik, meerdere modi, 850 nm XFP)

BELANGRIJK: XFP's van derden worden niet ondersteund.


Is een fail-closed dongle nodig om de controlepoorten op de sensoren M-1250 en M-1450 te configureren in de fail-closed- of SPAN-modus?  
Nee. In tegenstelling tot bij sensoren uit de I-serie hoeft u geen fail-closed dongles te plaatsen op de controlepoorten van de sensoren M-1250 en M-1450, zelfs niet in de fail-closed- of SPAN-modus. De functionaliteit van de dongle is nu ingebouwd in de controlepoorten zelf.


Waarom krijg ik geen toegang tot NSM vanuit een niet-Engelstalig mobiel apparaat?
NSM werkt niet correct als u toegang krijgt vanuit een niet-Engelstalig mobiel apparaat, omdat alleen apparaten worden ondersteund waarop de Engelse taal is ingesteld. Als u toegang wilt krijgen tot de manager, wijzigt u de taal van het besturingssysteem in Engels.


Welke versie van Nessus wordt door NSM ondersteund?
Nessus-rapporten die zijn gegenereerd met Nessus 4- en Nessus 5.x-scanners, worden correct geïmporteerd in NSM. Als een gegenereerd rapport host-IP's bevat als volledige domeinnamen (FQDN's) of NetBIOS-namen, kan NSM de IP-adressen van de doelhosts in het rapport niet omzetten en de kwetsbaarheden voor die hosts niet importeren in de managerdatabase. Een Nessus 4- of Nessus 5.x-rapport met .nessus-indeling dat geldige host-IP-adressen bevat in een indeling met punten, kan worden geïmporteerd in de managerdatabase.


Waarom kan de sensor geen aanval detecteren bij PPPoE encapsulated verkeer? 
PPPoE wordt niet ondersteund. Alle PPPoE encapsulated pakketten worden door de sensor doorgestuurd zonder detectie. Dit heeft een bedoeling.


Wanneer NSM is geconfigureerd om gedownloade handtekeningsets automatisch te implementeren op alle apparaten, werkt automatische implementatie voor NSP-sensoren, maar niet voor NTBA-sensoren (Network Threat Behavior Analysis). Waarom?
Automatische implementatie voor NTBA wordt ondersteund in NSM 8.1 en later. Als u automatische implementatie wilt gebruiken, voer dan een upgrade uit naar NSM 8.1.3.6 of later.


Wordt GTP-parsering ondersteund voor sensoren uit de M-serie?
Nee. GTP-parsering wordt alleen ondersteund op sensoren uit de NS-serie.

 
Kan NSP GRE encapsulated verkeer inspecteren en aanvallen detecteren met behulp van dit protocol? 
NSP kan GRE encapsulated verkeer inspecteren en aanvallen detecteren. Deze mogelijkheid moet echter worden ingeschakeld, omdat de standaard sensorconfiguratie geen GRE tunneled verkeer inspecteert.

 
Biedt NSP ondersteuning voor het scannen van het nieuwe HTTP/2-protocol (HTTP 2.0)?
NSP ondersteunt HTTP/2 momenteel niet; maar ondersteuning is gepland voor een toekomstige release van NSP.


Wanneer een netwerkswitch AutoMDI/MDI-X ondersteunt, kan een sensor dan AutoMDI/MDI-X gebruiken om een koppeling tot stand te brengen tussen de switch en de sensor?
Ja, hoewel AutoMDI/MDI-X niet correct zal werken als Auto-Negotiation is uitgeschakeld op de sensorpoort.  U moet Auto-Negotiation inschakelen op de sensorpoort voordat u de koppeling tussen de switch en de sensor instelt met AutoMDI/MDI-X.

Terug naar inhoudsopgave

 

Installatie/upgrade

Kan ik een installatie van de NSM-appliancesoftware uitvoeren via de RMM-software van de appliance?
Nee. Gebruik van de installatie-dvd voor de NSM-appliance via de RMM-software van de appliance, wordt niet ondersteund. Wanneer u de installatie-dvd van de NSM-appliance gebruikt via de Intel RMM-software die bij de appliance is geleverd, kunnen er onverwachte en ongewenste resultaten optreden. De interface van het installatiemedium moet worden gebruikt met een toetsenbord en een muis die rechtstreeks zijn aangesloten op de server op de serverlocatie.

Kan ik meerdere NSM-licenties verzamelen of combineren in één installatie? Als ik bijvoorbeeld een standaard licentie hebt, kan ik dan een starterspakket kopen voor acht beheerde apparaten? 
Nee, want NSM-licenties zijn niet cumulatief. Als u meer dan zes sensoren wilt beheren met één NSM, moet u een algemene NSM-licentie aanschaffen.


Nadat ik een upgrade voor de manager heb uitgevoerd, zie ik een sensorupdateproces dat niet handmatig is geactiveerd. Sensoren laten geen actieve download zien wanneer de opdracht voor de downloadstatus wordt uitgevoerd en de laatste handtekeningset aanwezig is op de manager. Als ik de manager opnieuw opstart, start het updateproces na enige tijd opnieuw op, bevat Ems.log geen duidelijke push-opdracht en bevat het Sudit-logboek geen gebruikersactiviteit voor een push-installatie van een bijgewerkte configuratie naar de sensoren. Wat is de oorzaak van dit updateproces?
Nadat een upgrade van de manager compileert de NSM de laatste handtekeningset en pusht deze automatisch naar de sensoren.

OPMERKING: Deze update mislukt als de sensoren de laatste handtekeningset al hebben.
 
Terug naar inhoudsopgave



Configuratie

Kan ik een failoverpaar uitvoeren met de controlepoorten in SPAN-modus?
Nee. U kunt alleen een failoverpaar maken wanneer de controlepoorten in de inline modus staan. Nadat u het paar hebt gemaakt, kunt u de poortmodus niet wijzigen of aanpassen.


Welk standaard toegangsbeheerbeleid op basis van identiteit kan niet worden verwijderd in NSM?
U kunt het volgende beleid niet verwijderen, maar u kunt de beleidsinstellingen bewerken om aan te geven of rekening wordt gehouden met de systeemstatus bij het verlenen van netwerktoegang en het werkelijke toegangsniveau dat wordt verleend:

  • Standaard
  • Gastgebruiker
  • Zelfregistratie

Kan ik een negeerregel maken en geen aanvalsnaam toevoegen?
Nee. Negeerregels moeten een aanvalsnaam hebben, omdat de sensor dit type waarschuwingsfilter anders niet kan begrijpen. 


Hoe kan ik een bepaald IP-adres uitsluiten van inspectie?
Voeg een firewallregel toe waarbij de actie is ingesteld op Stateless Ignore. Hierdoor worden alle pakketten die aan de regel voldoen, doorgestuurd zonder inspectie, met uitzondering van de doorstuurregel opzoeken/vergelijken.


Kan ik active-active High Availability implementeren met NSP-sensoren?
De sensor is altijd active-active High Availability; het zijn de peer-netwerkapparaten die bepalen of de sensor als active-passive (één netwerkpad is geblokkeerd) of active-active wordt gebruikt.


Hoe blokkeer ik TOR en TOR-varianten?
McAfee raadt u aan een firewallbeleid te gebruiken om toegangsregels te maken voor het definiëren van aspecten/objecten voor blokkeren, toestaan of geen inspectie. Onder de bestaande regelobjecten zijn al diverse toepassingen voor TOR en TOR-varianten gedefinieerd. U kunt uw eigen applicatiegroep maken met deze en ANDERE P2P-applicaties die u niet wilt toestaan.

Gebruik die applicatiegroep samen met uw bron-/doelinstellingen om de meerderheid van TOR-verbindingen en -varianten te stoppen.


Ik maak negeerregels om verkenningsaanvallen te negeren (scan van kwetsbare scanners) met het interne netwerk als bron (aanvaller) en Alles als doel, maar ik zie nog steeds waarschuwingen in de RTTA. Waarom? 
Het gebruik van negeerregels is niet de juiste manier om kwetsbare scanners aan te pakken. Voeg in plaats daarvan een toegangsregel toe aan het firewallbeleid voor het negeren (gebruik Stateless Ignore) van alle verkeer naar de kwetsbaarheidsscanner en een andere regel voor alle verkeer vanaf de scanner (twee regels).



Functionaliteit

Ondersteunt de UDS-editor van NSP de NOT-bewerking?
Nee. De UDS-editor ondersteunt de NOT-bewerking niet. De versnellingshardware voor patroonvergelijking van de sensor zou dan alle tekenreeksen moeten vergelijken en niet alleen de tekenreeks in de NOT-bewerking.
McAfee raadt u aan dit type zoekopdracht niet uit te voeren, omdat hierdoor ernstige prestatieproblemen kunnen ontstaan en dit geen efficiënte oplossing is.


Ondersteunt de UDS-editor zoekopdrachten met jokertekens?
Nee. Dit wordt niet ondersteund, omdat bij gebruik van een jokerteken in een zoekopdracht alle records uit de database zouden worden opgehaald.


Kan de DCOM-service worden uitgeschakeld op de server die host is van de NSP?
Ja. DCOM kan worden uitgeschakeld zonder dat dit invloed heeft op het uitvoeren van de NSP-manager. Voor informatie over het uitschakelen van de DCOM-service en de gevolgen voor andere programma's en services gaat u naar http://support.microsoft.com/default.aspx?kbid=825750.


Hoe zoek ik een enkele spatie met de UDS-editor?
Als u een enkele spatie wilt zoeken in een expressie (bijvoorbeeld xyz xyz), kunt u de tekenreeks zoeken door xyz xyz te typen. McAfee raadt u aan om niet te zoeken naar een enkele spatie of naar erg korte tekenreeksen, omdat hierdoor prestatieproblemen kunnen ontstaan en onterecht als verdacht aangeduide items worden gegenereerd.


Kan ik een glasvezel GBIC en een koperen GBIC inline gebruiken in hetzelfde interfacepaar van de sensor?
Nee. U kunt geen verschillende GBIC's gebruiken in hetzelfde interfacepaar.


Biedt de sensor ondersteuning voor een Etherchannel-verbinding bestaande uit twee verbindingen van verschillende SFP+ modules (SR- en LR-glasvezelverbindingen)?
Ja, de sensor ondersteunt een Etherchannel-verbinding die bestaat uit deze verbindingen.


Hoe controleer ik foutcodes van MySQL?
In MySQL kunt u de gegenereerde foutcodes controleren met de opdracht perror. Open een opdrachtregelsessie (klik op Start, Uitvoeren, typ cmd en klik op OK), typ in de map mysql\bin de opdracht perror <foutcode> en druk op Enter. Bijvoorbeeld: perror 28 Error code 28: No space left on device.


Hoe definieert de NSP-manager of -sensor interne of externe adressen voor waarschuwingsfilters?
Interne of externe adressen worden gedefinieerd volgens de geconfigureerde modus:

  • De modus TAP/INLINE: Geef bij de poortconfiguratie op welke poort binnen en welke poort buiten is. De waarschuwingsfilters gebruiken dezelfde specificaties voor het definiëren van intern en extern.
  • De modus SPAN: Voor het detecteren en markeren van intern/extern voor SPAN, moet de gebruiker op CIDR gebaseerde VIDS configureren. Als er geen op CIDR gebaseerde VIDS zijn, markeert de sensor de pakketten als onbekend.

Waarom bevatten bidirectionele DoS-waarschuwingen geen tabblad Packet Rate (Pakketsnelheid)?
Het tabblad Packet Rate is niet aanwezig voor statistische DoS-waarschuwingen die als bidirectioneel zijn gecategoriseerd, omdat:
  • Bij deze statistische waarschuwingen meerdere pakkettypen zijn betrokken.
  • Het volume van de pakketstroom in de twee richtingen verschillend is.


Wat is het verschil tussen geslaagd en mogelijk geslaagd in de aanvalsstatus van de Threat Analyzer?
Om te bepalen of een aanval geslaagd is of niet, bekijkt NSP de detectieaspecten zowel tijdens als na de aanval. NSP bepaalt of de aanval is geslaagd op basis van de reacties die te zien zijn op de kabel:

Geslaagd Aanval is geslaagd
Mogelijk geslaagd Onbekende resultaten, NSP kan niet bepalen of de aanval is geslaagd


Ondersteunt de sensor een configuratie met een externe koperen bypass-switch op RJ-45-poorten?
Ja. Momenteel kan de externe koperen bypass-switch worden geconfigureerd op RJ-45-poorten, indien de poort is geconfigureerd voor de fail-closed modus op de volgende sensormodellen:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Voer de volgende stappen uit om de fail-closed modus te configureren:
  1. Selecteer in de manager de opties Device List (Apparaatlijst), Sensor Name (Sensornaam), Physical Sensor (Fysieke sensor), Port Settings (Poortinstellingen).
  2. Selecteer bij de controlepoorten het poortnummer dat moet worden geconfigureerd.
    Het venster Configure Monitoring Port (Controlepoort configureren) wordt weergegeven met de huidige poortinstellingen.
  3. Selecteer in de vervolgkeuzelijst Operating Mode (Bedrijfsmodus) de optie In-line Fail-Closed(Port Pair) (Inline fail-closed (poortpaar)).

    OPMERKING: De status van de externe koperen bypass-switch wordt niet weergegeven in de manager. De status wordt ook niet weergegeven als de opdracht show intfport wordt uitgevoerd in de opdrachtregelinterface van de sensor.
Kan Network Security Platform het True-Client IP-adres bepalen van verkeer dat afkomstig is van een Content Delivery Network zoals Akamai?
Ja. Door het inschakelen van XFF-opties (X-forwarded-for) kan Network Security Sensor aanvallen op basis van True-Client-IP detecteren en blokkeren.
OPMERKING: Deze functionaliteit geldt alleen voor HTTP.


Ondersteunt NSP het gebruik van persoonlijke sleutels die zijn ingesloten in het ondertekende SHA-2-certificaat?  
Ja. Ondertekende SHA-2-certificaten worden ondersteund. De functie voor inkomende SSL-ontsleuteling vergelijkt alleen onbewerkte gegevens van het servercertificaat en valideert het certificaat niet; daarom kan NSP gegevens ontsleutelen met de persoonlijke sleutels die zijn ingesloten in het ondertekende SHA-2-certificaat.


Wanneer u de opdracht clrstat uitvoert om de sensorstatistieken te wissen en daarna de opdracht show sensor-load uitvoert, heeft de sensorbelasting een erg hoge waarde, bijvoorbeeld 90%, zelfs als er bijna geen verkeer door de sensor passeert. Waarom? 
Dit heeft een bedoeling. De tellers waarmee de belasting van de sensor worden berekend, worden door clrstat gewist. Wacht ongeveer 20-30 seconden en voer show sensor-load dan opnieuw uit, zodat de sensor bijgewerkte tellers kan genereren en de juiste belasting kan weergeven.


Wordt TIE/DXL-integratie ondersteund op alle sensormodellen?
Nee. Deze functies worden alleen ondersteund op sensoren uit de NS-serie.
 

Kan ik het serienummer van de voeding van de sensor opvragen via de opdrachtregelinterface?
Nee. Er is momenteel geen opdracht om het serienummer op te vragen.


Kan ik bestanden blokkeren door MD5-bestandshashes te uploaden naar NSP?
Ja. Deze functie is inherent aan NSP en hiervoor hoeft geen aangepaste aanvalsdefinitie te worden gemaakt. De NSP-sensor houdt een zwarte lijst en een witte lijst met hashes bij en past deze toe op bestanden die uit HTTP-, SMTP- en FTP-stromen worden uitgepakt wanneer dat wordt gevraagd door het malwarebeleid. Instructies voor het importeren van een hashwaarde vindt u in het hoofdstuk Advanced Malware Policies (Geavanceerd malwarebeleid) van de IPS Administration Guide (Beheerdershandleiding voor IPS) voor uw release.


Kan ik een reactiepoort van een sensor gebruiken om de sensor aan te sluiten op mijn NTBA-appliance?
Nee. U kunt de reactiepoort niet gebruiken als een controlepoort.


Kan NSP Skype-verkeer blokkeren?
NSP blokkeert momenteel geen Skype-verkeer; een toekomstige versie zal deze functionaliteit echter wel bevatten.


Hoe bepaalt NSP het bestandstype voor het geavanceerde malwarebeleid?
NSP gebruikt hiervoor een combinatie van inhoudstype, bestandsextensie, bestandseigenschappen en McAfee-technologie.


Nadat ik de netwerkkabel van een sensorpoort heb losgekoppeld, is de poort uitgeschakeld en moet deze opnieuw worden ingeschakeld via de manager. Is dit correct?
Ja. Dit heeft een bedoeling. Omdat de sensor de reden voor de 'storing' niet kent, wordt de sensor gemarkeerd als uitgeschakeld en nadat het verbindingsprobleem is opgelost, kunt u de poort weer inschakelen.
Als de sensor automatisch zou proberen de poort weer in te schakelen, zou u een netwerkprobleem kunnen ervaren, de poort zou worden geactiveerd (wat zou mislukken) en weer worden ingeschakeld zonder dat het probleem is opgelost.


Kan ik dit gedrag aanpassen?
U kunt dit gedrag aanpassen als er een passieve fail-open kit in gebruik is (extern of ingebouwd).
Raadpleeg voor meer informatie de opdracht setfailopencfg restore-inline in de handleiding van de opdrachtregelinterface voor uw release.


Wanneer een aanvalspakket wordt geblokkeerd door de sensor, waarom haalt NSP dan geen XFF-headerinformatie (X-Forwarded-For) op?
Wanneer de NSP-sensor een aanvalspakket blokkeert, kan deze de Forwarded Layer7-informatie niet zien. Dit is zo ontworpen.


Als ik een aangepaste UDS maak, wordt deze UDS dan boven alle andere handtekeningen of aan het einde van alle andere handtekeningen geplaatst?
Een aangepaste UDS helpt bij de definitie van de aanval/handtekening en wordt toegevoegd aan de lijst met alle aanvallen; er is echter geen volgorde voor de detectie van aanvallen, in tegenstelling tot bij ACL-regels.


Kan ik een failoverappliance converteren naar een spare?
Nee, dit is niet mogelijk. U kunt een failovermodel converteren naar een standaardmodel, maar u kunt een failovermodel niet downgraden naar een spare. Neem voor meer informatie contact op met uw verkoopvertegenwoordiger.
 

In het rapport met de top 10 van landen waaruit aanvallen afkomstig zijn heeft een van de vermeldingen de naam AP. Wat betekent dat?
Dit wordt gebruikt als het specifieke land van herkomst niet bekend is. Zie http://dev.maxmind.com/geoip/legacy/codes/iso3166/ voor meer informatie


Kan de failoversensor functioneren in een active-active configuratie of functioneert hij in active-standby waarbij de hartslag de failoveractie activeert?
NSP-sensoren zijn altijd active-active; de failoverkabel kopieert altijd alle verkeer van elke sensor naar een andere sensor. Zo kan het verkeer altijd stromen, zelfs in geval van een storing.


Routeren sensoren verkeer?
Nee, sensoren nemen niet deel aan de routering/failover van verkeer. Dit wordt volledig uitgevoerd door de architectuur voor switching/routering van het netwerk.

Kan NSP PNG, JPG of andere bestandsindelingen voor afbeeldingen naar ATD doorsturen om te scannen?
NSP kan geen afbeeldingsbestanden uitpakken uit stromen. Deze bestanden kunnen onderdeel zijn van een zip-bestand dat NSP uitpakt en naar ATD verzendt, maar NSP pakt geen zelfstandige afbeeldingsbestanden uit.

Terug naar inhoudsopgave


Gedeelde geheime sleutel

 

In welke omstandigheden gebruik ik Opnieuw importeren om SSL-sleutels opnieuw te importeren in de manager?
Gebruik Opnieuw importerenalleen wanneer u een sleutel die al in de manager bestaat, opnieuw wilt importeren. U kunt Opnieuw importeren een aantal keren gebruiken om de bestaande sleutel in de manager te vervangen wanneer SSL-updates nog niet in de sensor zijn gepusht. Gebruik Opnieuw importeren niet om een oude SSL-sleutel te vervangen door een nieuwe sleutel.


Is het de juiste procedure om de oude SSL-sleutel uit de sensor te verwijderen en een nieuwe SSL-sleutel te importeren nadat de sleutel handmatig is verwijderd?
Ja. McAfee raadt u aan de nieuwe SSL-sleutel in de manager te importeren en vervolgens de SSL-update naar de sensor te pushen nadat de oude SSL-sleutel is verwijderd.


Moet de sensor opnieuw worden gestart nadat er een nieuwe SSL-sleutel (opnieuw) is geïmporteerd en naar de sensor is gepusht vanuit de manager?
De sensor hoeft alleen opnieuw te worden gestart als u SSL-functionaliteit op de sensor in- of uitschakelt. Het is vereist na het (opnieuw) importeren van SSL-sleutels.


Waarom zie ik 'SSL: Bad State Transition alerts(0x00006000)' in Alert Manager nadat een SSL-sleutel is vervangen?
U kunt deze waarschuwingen in Alert Manager zien als er actieve HTTP-stromen zijn wanneer het nieuwe SSL-certificaat naar de sensor wordt gepusht. Neem contact op met de technische ondersteuning als dit gedrag blijft bestaan en verstuur vastgelegde pakketten op tijdens en na het importeren/verlengen van de SSL-sleutel.

 
Waarom zie ik 'SSL: Bad State Transition alerts(0x00006000)' in Alert Manager? Is dit een onterecht als verdacht aangeduide detectie? 
Verzamel bewijsrapporten voor de opgegeven waarschuwingen zoals wordt uitgelegd in KB55743 en open vervolgens het pakketlogboek dat is gegenereerd in de bewijsrapporten met een hulpprogramma zoals Wireshark en controleer de gebruikte TLS/SSL-versie. NSP-sensoren bieden momenteel geen ondersteuning voor TLS v1.1 en v1.2 en activeren deze waarschuwing. Maak een aanvalsfilter om dit verkeer te negeren of gebruik een ondersteunde versie van SSL/TLS (SSLv2, SSLv3, TLSv1.0).
 

Bestaat er een limiet voor de grootte van de gedeelde geheime sleutel wanneer deze wordt ingesteld met de opdracht Sharedsecretkey?
De gedeelde geheime sleutel van NSP moet minimaal 8 tekens en maximaal 25 tekens bevatten. De sleutel mag niet beginnen met een uitroepteken en geen spaties bevatten.

Terug naar inhoudsopgave
 

NSPen and GTI

Wat is GTI?
GTI is een globale engine voor dreigingscorrelatie en een infornatiebank met globaal berichten- en communicatiegedrag, waarmee klanten kunnen worden beschermd tegen bekende en nieuwe elektronische dreigingen in alle dreigingsgebieden.


Welke poorten gebruikt GTI?
 
Beschrijving
Protocol
Initiator
Bronpoort
Doelpoort
Voor het verzenden van deelname-informatie 
TCP
Manager
Willekeurig
HTTPS/443
 
 
Beschrijving
Protocol
Initiator
Bronpoort
Doelpoort
Doeladres
Voor het verzenden van query's over McAfee IP-reputatie
TCP
Manager en/of sensor
Willekeurig
HTTPS/443
tunnel.web.trustedsource.org
Voor het verzenden van query's over McAfee bestandsreputatie UDP Sensor Willekeurig DNS/53 avqs.mcafee.com

OPMERKINGEN:
  • IP-reputatie werd voorheen TrustedSource genoemd.
  • Bestandsreputatie werd voorheen Artemis genoemd.

Welke informatie gebruikt de sensor in een GTI-query?
De 5 elementen van de verbinding (bron-IP, doel-IP, bronpoort, doelpoort en protocol).


Welke informatie gebruikt de NSP-manager in een GTI-query?
De 5 genoemde elementen en eventuele aanvullende aanvalsinformatie die beschikbaar is: naam van aanval, aanvalstijd, categorie, aantal, doelbesturingssysteem, detectiemechanisme, aanvalsrichting, URL van malware, aanvals-ID NSP, resultaat, handtekening-ID, bronbesturingssysteem, subcategorie en aanvalstype.

OPMERKING: Zie de pagina over GTI-deelname in de manager voor een detailoverzicht van wat er wordt verzonden. Selecteer Configure (Configureren), Integration (Integratie), GTI Participation (GTI-deelname).
 
Waarheen worden de GTI-query's verzonden?
De sensor voert een gespecialiseerde DNS-query uit naar mcafee.com. De query's van de manager worden verzonden naar https://tunnel.web.trustedsource.org.
 
 
Hoe kan ik zien welke reputatie een specifieke site of specifiek adres heeft?
Gebruik het hulpprogramma dat u kunt vinden op www.trustedsource.org.
 
 
Waarom geeft het adres dat ik opzoek een andere reputatie weer?
GTI gebruikt veel factoren om de reputatie van een specifieke verbinding te bepalen. Voor een verbinding met poort 80 of 8080 wordt de webreputatie gebruikt. Voor een verbinding met poort 25 wordt de e-mailreputatie gebruikt. Alle andere poorten maken gebruik van IP-reputatie die een combinatie kan zijn van de web- en e-mailreputatie en in de loop van de tijd een unieke waarde krijgt wanneer er meer gegevens zijn verzameld.
 
 
Kan McAfee de reputatie van een specifiek IP-adres aanpassen?
Na het uitvoeren van een query op www.trustedsource.org, is er een mogelijkheid voor feedback over een bedreiging. Gebruik dit formulier om een beoordeling aan te vragen. U kunt ook een beoordeling van een specifiek IP-adres aanvragen via e-mail. Neem voor webreputaties contact op met sites@mcafee.com. Neem voor netwerk- en e-mailreputaties contact op met trusign-feedback@mcafee.com. Geef altijd het IP-adres, de poort en type verkeer dat werd gebruikt op.
 
Waar kan ik meer informatie vinden over GTI?
Zie de Integratiehandleiding van Network Security Platform voor uw productversie of ga naar www.trustedsource.org


Voert de NSP-sensor een GTI-zoekopdracht voor IP-adressen uit voor al het verkeer dat de sensor ziet?
Niet standaard. U kunt de sensor configureren voor een GTI-zoekopdracht voor alle verkeer door analyse van eindpuntreputatie in te schakelen.
 
 
OPMERKING: Momenteel kan NSP gebruikmaken van informatie over IP-reputaties met de functies Slim blokkeren en Verbindingsbeperking. NSP kan momenteel geen callback detecteren met IP-reputaties.


Ik kan een bestand dat door GTI is gedetecteerd, niet openen in de NSP voor verdere analyse. Hoe komt dat en hoe kan ik bestanden openen die veroordeeld zijn door GTI?
Deze bestanden zijn versleuteld, zelfs wanneer ze worden geëxporteerd via de grafische gebruikersinterface. U moet ze ontsleutelen met het hulpprogramma MalwareDecrypter.bat De bestandslocatie van dit hulpprogramma is: 

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

OPMERKING: Als u het bestand zonder parameters uitvoert, worden de beschikbare opties weergegeven.
 
 
Waar vind ik aanvullende informatie over het ontsleutelen van bestanden?
Zie de informatie over het hulpprogramma MalwareDecryptor in het gedeelte 'Archive malware files' (Malwarebestanden archiveren) van de Network Security Platform Manager Administration Guide (Beheerdershandleiding voor Network Security Platform Manager) en de Network Security Platform IPS Administration Guide (Beheerdershandleiding voor IPS met Network Security Platform) voor uw productversie.
Dekking tegen aanvallen
Wordt de kwetsbaarheid die wordt beschreven in VU922681 (Universal Plug and Play libupnp SSDP Requests Remote Code Execution) gedetecteerd door NSP IPS-handtekeningen?
Ja. VU922681 wordt gedekt door de aanval 0x47a00100 “UPnP: Generic Buffer Overflow”.

Terug naar inhoudsopgave
 

NSP en NAC

Wanneer wordt het standaardbeleid voor toegangsbeheer op basis van identiteit gebruikt in NSP?
Het standaardbeleid voor toegangsbeheer op basis van identiteit wordt gebruikt in de volgende scenario's wanneer het is geconfigureerd in NSP:
  • Wanneer de gebruikersnaam in kwestie niet overeenkomt met een naam die is gedefinieerd in het (niet-standaard) beleid voor toegangsbeheer op basis van identiteit.
  • In een speciaal geval als de verbinding tussen de sensor en de manager is verbroken.
     


Wat is de NAC- en 802.11Q-implementatie in NSP?
De huidige implementatie van NAC in de NSP ondersteunt NAC voor verkeer vanuit meerdere VLAN's dat wordt gezien op de NAC-controlepoort. De NAC-controlepoort van de sensor wordt geconfigureerd met één VLAN; de lokale infrastructuur moet echter communicatie tussen VLAN's ondersteunen (routing tussen VLAN's) tussen het VLAN op de NAC-controlepoort van de sensor en alle andere VLAN's met hosts waarvoor NAC-controle of -handhaving is vereist.


Wat zijn impliciet door NAC vertrouwde hosts voor NSP?
De volgende IP-adressen worden automatisch voor NAC-handhaving uitgesloten door de Network Security-sensor:

  • IP-adres van controlepoort van sensor
  • IP-adres van managementpoort van sensor
  • IP-adres van NSM (in MDR-modus worden beide managers toegevoegd)
  • IP-adres van McAfee NAC-server
  • IP-adres van clientportal voor gasten
  • IP-adres van herstelportal
  • IP-adres van VPN Concentrator
     

Welke DHCP-serverimplementaties worden ondersteund in de DHCP NAC-modus van NSP?
Er zijn twee typen DHCP-serverimplementaties beschikbaar wanneer NSP is geconfigureerd voor de DHCP NAC-modus:

  • Geïntegreerde DHCP-server
    In deze implementatie wijst een enkele DHCP-server IP-adressen toe aan gezonde en ongezonde hosts. De DHCP-server wordt geconfigureerd met gebruikersklassen en wijst IP-adressen toe op basis van het veld met de gebruikersklasse in het DHCP-detectiepakket. Voor elke gebruikersklasse kunnen parameters zijn gedefinieerd die uniek zijn voor de gebruikersklasse, zoals IP-adres van DNS, standaardgateway en statische routes. Gebruikersklassen kunnen worden gedefinieerd voor netwerken voor productie, quarantaine en vóór toegang, waarbij voor elk netwerk een eigen groep IP-adressen en parameters zijn gedefinieerd.
     
  • Afzonderlijke DHCP-server
    Bij deze implementatie worden twee afzonderlijke DHCP-servers geconfigureerd voor de gezonde (IP-adressen voor productie) en de ongezonde (na toegang en quarantaine) hosts. Elke DHCP-server heeft onafhankelijke configuratiegegevens. Eén voor de gezonde hosts en een andere voor de ongezonde hosts.
Terug naar inhoudsopgave
 

Heterogene handtekeningset

Wat is een heterogene handtekeningset?
Voor oudere versies van NSP moest u dezelfde versie van de NSM-software (8.x, 7.x) uitvoeren als uw sensor. Als u meerdere versies van de sensorsoftware beheerde, had u een afzonderlijke NSM nodig voor elke versie van de sensorsoftware. Om dit probleem op te lossen, heeft McAfee aan NSM functionaliteit toegevoegd om eerdere versies van de sensorsoftware te beheren. NSM 8.3 kan bijvoorbeeld sensoren beheren waarop versie 8.x en 7.x is geïnstalleerd. Ter ondersteuning van deze functionaliteit heeft McAfee de heterogene handtekeningset ontwikkeld, die alle handtekeningen bevat voor elke versie van de sensorsoftware.

De heterogene handtekeningset bevat alle belangrijke versiereleases in een enkele, gecombineerde handtekeningset. Beheerders kunnen een enkele handtekeningset downloaden en toepassen die de manager gebruikt om alle sensoren te beheren. 

NSM 7.x en later accepteren alleen heterogene handtekeningsets en ondersteunen geen homogene handtekeningsets (voor een enkele versie).


Zijn alle handtekeningsets vanaf nu heterogeen? 
Is McAfee gestopt met het uitbrengen van homogene handtekeningsets?
Ja. McAfee is gestopt met het uitbrengen van homogene handtekeningsets. Alle handtekeningsets zijn nu heterogeen.


Wat bevat een heterogene handtekeningset, wat is het nummerschema en welke informatie kan ik nog meer verkrijgen uit het nummer van een handtekeningset?
De heterogene handtekeningset bevat handtekeningsets voor twee of meer afzonderlijke belangrijke versies in een nieuwe indeling. De nummerschema is het volgende: handtekeningset W.X.Y.Z waarbij:
  • W de hoogste versie van de sensorsoftware is die wordt ondersteund.
  • X de laagste versie van de sensorsoftware is die wordt ondersteund.
  • Y het versienummer van de release van de handtekeningset.
  • Z de buildversie is.

    Bijvoorbeeld: handtekeningset 8.7.1.1 betekent dat deze handtekeningset sensoren met versie 8.x en 7.x  ondersteunt.
     
Hoe test McAfee een heterogene handtekeningset?
McAfee beschikt over uitgebreide methodologieën om te testen of heterogene handtekeningsets compatibel zijn met alle versies van de sensorsoftware. Naast alle tests die worden uitgevoerd voor normale handtekeningsets, voert McAfee aanvullende tests uit om te controleren of de heterogene handtekeningset goed werkt in een heterogene omgeving waarin meerdere versies van de sensorsoftware worden gebruikt.


Moet ik mijn managerconfiguratie wijzigen voor het gebruik van een heterogene handtekeningset?
Nee.


Zijn er verschillende heterogene handtekeningsets voor elke belangrijke release (bijvoorbeeld : 7.x, 8.x)?
Er is slechts één heterogene handtekeningset die alle handtekeningen bevat voor alle sensorversies die momenteel worden ondersteund. (8.7.1.1 ondersteunt bijvoorbeeld alle sensoren waarop versie 8.x en 7.x wordt uitgevoerd)

Terug naar inhoudsopgave
 


Hitless Reboot van sensor
Wat is een Hitless Reboot van de sensor?
NSP ondersteunt nu Hitless Reboot en hitless upgrades. Dit verkort de tijd die is vereist voor het opnieuw starten van een sensor en voorkomt onderbreking van het verkeer.


Hoe werkt een Hitless Reboot?
Bij een Hitless Reboot worden alleen geselecteerde processen op de sensor opnieuw gestart. De sensor komt in de modus Layer 2 pass-through en wordt opnieuw gestart terwijl het gegevenspad verkeer blijft doorlaten. De opstarttijd is ook aanzienlijk korter, omdat niet de volledige sensor wordt uitgeschakeld.


In welke omstandigheden treedt een Hitless Reboot op?
Er wordt altijd geprobeerd een Hitless Reboot uit te voeren als de sensor moet worden hersteld na interne fouten. U kunt een Hitless Reboot ook activeren vanaf de opdrachtregel van de sensor of met de NSM. Als een Hitless Reboot niet mogelijk is, wordt een melding verzonden naar de manager en wordt de sensor volledig opnieuw gestart.


Zijn alle sensorupgrades hitless upgrades?
Dit is afhankelijk van het feit of voor het wijzigen van de sensorsoftware de sensor volledig opnieuw moet worden gestart. Wanneer de sensorupgrade is voltooid, is het afhankelijk van de softwareversie of u de optie voor een Hitless Reboot ziet.


Wat zijn de beperkingen van een Hitless Reboot?
De Hitless Reboot wordt niet ondersteund in upgrades wanneer de softwarecode een wijziging van de interne switch of een wijziging op kernelniveau bevat. Ook als de sensor niet kan herstellen na interne fouten en drie keer in 15 minuten is geprobeerd om automatisch te herstellen, blijft de sensor bij de volgende poging tot automatisch herstel in Layer 2-modus of wordt de sensor uitgeschakeld en volledig opnieuw gestart.


Wat zijn enkele algemene oorzaken voor het mislukken van een Hitless Reboot?
Een Hitless Reboot mislukt als de gegevenspaden op de sensor niet kunnen worden geïnitialiseerd en als ze de status Gereed niet rapporteren.
 
 

Geavanceerde malwaredetectie

Kan een FTP-bestandsoverdracht worden geblokkeerd?
Nee, de sensor kan FTP-bestandsoverdrachten niet consistent blokkeren. FTP-verkeer wordt zo goed als mogelijk geblokkeerd en dat komt door een beperking in het FTP-protocol.

Er is geen informatie over de bestandsgrootte beschikbaar voor een FTP-overdracht, zodat de sensor niet betrouwbaar weet wanneer de overdracht is voltooid.
De sensor kan de grootte alleen bepalen wanneer de gegevensverbinding wordt beëindigd (TCP FIN wordt ontvangen). Maar dit betekent dat het bestand al is overgedragen.

Onafhankelijk van het aanvalsresultaat in Threat Analyzer wordt blokkering van FTP-bestandsoverdrachten niet ondersteund. Dit wordt niet als een probleem, maar als een beperking beschouwd vanwege het FTP-protocol. De sensor pakt het bestand uit, controleert het op malware en genereert waarschuwingen.

Terug naar inhoudsopgave


Network Security Platform 8.3
Hoe kan ik de Real-time Threat Analyzer inschakelen in NSM 8.3?
Voor NSM 8.3 en later is de Real-time Threat Analyzer vervangen door Threat Explorer. Voer de volgende stappen uit als u de Real-time Threat Analyzer moet inschakelen:
  1. Ga op de managerserver in Windows Verkenner naar de volgende map: C:\Program Files\McAfee\Network Security Manager\App\config.
    OPMERKING: Dit pad kan anders zijn als u NSM hebt geïnstalleerd op een andere locatie.
  2. Zoek het bestand ems.properties en open het in Windows Kladblok.
  3. Voeg de volgende regel toe:

    iv.ui.ta.display.isEnabled=true
     
  4. Sla het bestand op en start de NSM-service opnieuw.

Welke sensormodellen worden ondersteund door NSM 8.3 en welke sensormodellen ondersteunen de implementatie van handtekeningsets door NSM 8.3? 
NSM 8.3 ondersteunt sensoren uit de M-serie, de NS-serie en de VM-serie en kan hierin de meest recente handtekeningsegmenten automatisch implementeren.
OPMERKING: Sensoren uit de I-serie worden niet ondersteunden zijn EOL-sensoren.


Hoe importeer ik eerder geëxporteerde negeerregels?
Deze functionaliteit is bijgewerkt in NSM 8.3 en de stappen voor het importeren van negeerregels zijn anders dan in vorige versies. Als eerder geëxporteerde negeerregels wilt importeren naar NSM 8.3, selecteert u Policy (Beleid), Intrusion Prevention (Inbraakpreventie), Advanced (Geavanceerd), Policy Import (Beleid importeren), Ignore Rules (Negeerregels).


Hoe importeer ik eerdere geëxporteerde aangepaste aanvallen?
Deze functionaliteit is bijgewerkt in NSM 8.3. Als u eerder geëxporteerde aangepaste aanvallen wilt importeren, selecteert u Policy (Beleid), Policy Types (Beleidstypen), IPS Policies (IPS-beleid), Custom Attacks (Aangepaste aanvallen), Other Actions (Overige acties), Import (Importeren).


Na een upgrade naar NSM 8.3 worden in het aanvalslogboek geen oude waarschuwingen weergegeven. Hoe kan ik oude waarschuwingen bekijken?
Als u een waarschuwing ziet dat u extra scripts moet uitvoeren (dit gebeurt als uw database meer dan een miljoen waarschuwingen bevat) wanneer u de upgrade uitvoert, voert u de scripts uit zoals is beschreven in het gedeelte 'Run additional scripts' (Aanvullende scripts uitvoeren) van de Network Security Platform 8.3 Installation Guide (Installatiehandleiding voor Network Security Platform 8.3) (PD26343); anders krijgt u de oude aanvalslogboeken niet te zien.
 
Als u geen waarschuwingen ziet over het overschrijden van waarschuwingsgegevens en/of u problemen aantreft in aanvalslogboeken, dient u een verzoek in bij de technische ondersteuning voor hulp bij het oplossen van het probleem.
 
  

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen