Сообщения, касающиеся статистики межсетевого экранаВсе
приведенные ниже сообщения могут появляться в файле статистики межсетевого
экрана. При каждом их появлении перед ними появляется запись, содержащая
информацию о пакете, который послужил причиной этих сообщений. Слева указывается
номер, соответствующий каждому сообщению.
01 - Possible fragmentation attack
Это сообщение означает, что пакетный фильтр получил TCP пакет с
фрагментированным TCP заголовком, что, вероятно, является результатом попытки
атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC
1858.
02 - Source routed IP packet
Это сообщение означает, что пакетный фильтр получил IP пакет с
одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а
фильтр не был настроен для блокировки IP пакетов с такими опциями. Более
подробная информация содержится в RFC 791.
03 - Land attack
"Land" атака заключается в посылке пакета с адресом
источника, совпадающем с адресом назначения и портом источника, совпадающем с
портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.
04 - Connection is not present in the dynamic table
Это сообщение означает, что межсетевой экран получил TCP пакет,
который не был запросом на соединение, и не принадлежал к открытому соединению.
Это могло быть вызвано атакой или просто соединением, которое было неактивным
дольше, чем длится тайм-аут TCP соединения.
05 - Packet was received from an invalid interface
Это сообщение означает, что пакетный фильтр получил IP пакет от
интерфейса, отличного от указанного в правиле фильтрации, которому он
соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой
правил фильтрации.
06 - Packet was received from an unknown interface
Это сообщение означает, что пакетный фильтр получил пакет, но
не смог определить интерфейс его источника. Так как интерфейс не совпал с
указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей
вероятности, такое сообщение никогда не появится.
07 - Possible FTP simulation attack
Это сообщение означает, что при проверке пакета в FTP-сеансе
пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже
1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано
атакой или неисправной реализацией FTP. Более подробная информация содержится в
RFC 959.
08 - Possible Real Audio simulation attack
Это сообщение означает, что пакетный фильтр при проверке
пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте
с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией
в хосте с Real Audio.
09 - FTP control connection not open
Это сообщение указывает, что межсетевой экран получил пакет по
каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.
10 - Invalid TCP flags
Это сообщение означает, что межсетевой экран получил TCP пакет,
флаги которого были неверными или противоречащими друг другу (например, SYN и
FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP
реализации.
11- Invalid TCP sequence number
Это сообщение показывает, что межсетевой экран получил TCP
пакет, порядковый номер которого (sequence number) не соответствует ожидаемому
значению. Это может свидетельствовать об атаке.
12 - Possible SYN Flood attack
Это сообщение генерируется межсетевым экраном, когда
инициировано соединение к одному из адресов, защищенных от SYN атак, а
соединение не было установлено в течение периода времени, описанного
администратором. Если эти сообщения возникают редко, то их можно объяснить тем,
что, возможно, слишком мал интервал времени, определенный при описании защиты от
SYN атак (см. главу Защита от SYN атак). Если
возникает большое число подобных сообщений, то, вероятно, что против межсетевого
экрана была предпринята SYN атака.
13 - Packet without authentication information
Это сообщение означает, что данный пакет пришел без заголовка
об аутентификации, а конфигурация соответствующего защищенного канала указывает,
что он мог быть принят только при его наличии (см. главу
Создание защищенных каналов ). Причиной этого может быть
неправильная конфигурация аутентификации в канале (возможно, настроена только на
одной стороне) или попытка IP спуфинга. Более подробная информация содержится в
RFCs 1825 и 1827.
14 - Packet has failed authentication
Это сообщение означает, что модуль аутентификации межсетевого
экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной
настройкой ключа аутентификации или некорректными изменениями в содержимом
пакета при его передаче, или же IP спуфингом. Более подробная информация
изложена в RFCs 1825 и 1827.
15 - Packet without encryption information
Это сообщение означает, что данный пакет пришел
незашифрованным, а конфигурация соответствующего защищенного канала
свидетельствует о том, что пакет должен был быть зашифрован (см. главу
Создание защищенных каналов ). Причиной этого может быть
неправильная конфигурация защищенных каналов (возможно, настроен только один
конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825
и 1827.
16 - The size of the packet to be decrypted is invalid
Это сообщение означает, что криптографический модуль установил,
что размер дешифруемого пакета несовместим с соответствующим алгоритмом
шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.
17 - Packet decryption has failed
Это сообщение означает, что после расшифровки пакета и
выполнения тестов криптографический модуль обнаружил, что пакет неверен. Это
может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP
спуфингом.
18 - Invalid packet encapsulation type
Это сообщение означает, что криптографический модуль не
распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может
оказаться сбой в расшифровке пакета (из-за неправильного ключа) или
использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker
работает исключительно с туннельным режимом инкапсуляции и не поддерживает
никаких других режимов, например, транспортного режима.)
19 - Packet without SKIP information
Это сообщение означает, что данный пакет пришел без SKIP
заголовка, а конфигурация соответствующего защищенного канала показывает, что он
должен был иметь этот заголовок. Возможно, это вызвано неправильной
конфигурацией таблицы защищенных каналов, где один из концов настроен для
использования SKIP, а другой нет (смотрите главу
Создание
защищенных каналов ).
20 - SA for the packet doesn't contain SKIP information
Это сообщение означает, что криптографический модуль получил
пакет с заголовком SKIP, а соответствующая security association (SA) не имеет
информации о SKIP (см. главу Создание защищенных каналов
). Причиной этого может оказаться неправильная конфигурация таблицы
защищенных каналов, когда один конец настроен для использования SKIP, а другой
нет.
21 - Invalid SKIP protocol version
Это сообщение означает, что указанная в данном пакете версия
протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker
реализует версию 1 протокола SKIP.)
22 - Invalid SKIP protocol counter value
Протокол SKIP посылает счетчик в каждом пакете, показания
которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения.
Такое сообщение свидетельствует, что не верно значение счетчика, полученное в
данном пакете. Это может быть вызвано двумя различными причинами: либо разница
двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного
часа, либо налицо попытка атаки путем проигрыша.
23 - Invalid SPI for SKIP authentication
Это сообщение означает, что получен SKIP-пакет, а номер SPI,
указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы
номер SPI был 1.)
24 - The next protocol in the SKIP header is invalid
Недействителен соседний протокол в заголовке SKIP не
поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный
заголовок сводился к SKIP-заголовку.)
25 - Invalid SKIP authentication algorithm
Это сообщение означает, что не поддерживается алгоритм
аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает
только алгоритмы аутентификации MD5 и SHA-1.)
26 - Invalid SKIP encryption algorithm
Это сообщение означает, что не поддерживается алгоритм
шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает
только алгоритмы шифрования DES и Triple DES.)
27 - Invalid SKIP key encryption algorithm
Это сообщение означает, что не поддерживаются алгоритмы
шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран
Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и
Triple DES с тем же MD5 в качестве разделителя).
28 - Data compression algorithm not supported
Это сообщение означает, что не поддерживается алгоритм сжатия
данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает
никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)
29 - Invalid source name space identificator
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP
разрешает использование других пространств имен, не являющихся IP адресами.
Пространство имен можно указать для источника и/или назначения. Это сообщение
означает, что пространство имен источника не поддерживается. (Межсетевой экран
Aker поддерживает в качестве пространства имен только IP адреса.)
30 - Invalid destination name space identificator
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP
разрешает использование других пространств имен, не являющихся IP адресами.
Пространство имен можно указать для источника и/или назначения. Это сообщение
означает, что не поддерживается пространство имен назначения. (Межсетевой экран
Aker поддерживает в качестве пространства имен только IP адреса.)
Cообщения о событиях межсетевого экрана
31 - Aker Firewall v3.0 - Initialization complete
Это информационное сообщение появляется каждый раз при
перезапуске межсетевого экрана.
32 - Memory allocation error
Это сообщение означает, что какой-то модуль межсетевого экрана
пытался запросить объем памяти память и не смог ее получить. Система FreeBSD
вводит максимальный лимит на каждый тип памяти, которую можно получить, в
зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно
получить больший объем памяти. Такое сообщение может встретиться в системах с
малым объемом памяти RAM, использующих трансляцию адресов с большим числом
одновременных соединений или большим числом активных соединений, проходящих
через proxy сервера межсетевого экрана.
Решение: Увеличить объем памяти RAM.
33 - TCP translation table full
Таблица трансляции адресов TCP заполнена.
Решение: Увеличить максимальное число одновременных TCP
соединений (вся необходимая информация содержится в главе
Настройка трансляции сетевых адресов).
34 - UDP translation table full
Таблица трансляции адресов UDP заполнена.
Решение: Увеличить максимальное число одновременных UDP
соединений (вся необходимая информация содержится в главе
Настройка трансляции сетевых адресов).
35 - Invalid authentication algorithm
Криптографический модуль обнаружил при выполнении
аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA).
36 - Invalid encryption algorithm
Криптографический модуль обнаружил при выполнении шифрования
пакета неверный алгоритм шифрования в ассоциации защиты (SA).
37 - Invalid data received by the firewall load module
Это сообщение означает, что в модули межсетевого экрана,
запущенные в ядре FreeBSD, были посланы неверные данные.
Решение: Постарайтесь проверить, какая программа создает это
сообщение, многократно запуская и останавливая программу.
38 - Error when reading parameters file
Это сообщение генерируется внешними модулями, которые пытаются
прочитать файл параметров и обнаруживают, что он не существует или его нельзя
прочитать.
Решение: Перезапустить межсетевой экран, чтобы программа
инициализации заново создала файл параметров.
39 - Error when loading access profiles
Это сообщение означает, что сервер аутентификации не смог
загрузить в систему список зарегистрированных профилей доступа.
40 - Invalid access profile name
Это сообщение означает, что сервер аутентификации, когда он
пытается найти профиль доступа пользователя, обнаруживает, что профиль не
зарегистрирован в системе
41 - Error when creating the connection socket
Это сообщение означает, что некоторые внешние модули пытались
создать сокет и получили сообщение об ошибке.
Решение: Проверить количество файлов, которые могут быть
открыты процессом, а также их полное количество для всех процессов системы. Если
необходимо, увеличьте эти значения.
42 - Error when binding to the virtual IP
Это сообщение означает, что FTP proxy для преобразования
адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так
происходит, когда виртуальный IP адрес неверен.
Решение: Изменить значение поля Virtual IP в настройках
трансляции сетевых адресов, связанного с IP адресом одного из сетевых
интерфейсов межсетевого экрана (см. главу Настройка
трансляции сетевых адресов).
43 - Line with an excessive number of characters
Это сообщение означает, что proxy межсетевого экрана Aker
получил строку со слишком большим количеством символов и из-за этого закрыл
соединение. Дополнительная информация в скобках указывает IP адрес хоста,
который явился причиной проблемы.
Решение: Сервер или клиент сочли это сообщение
несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы
- обратиться к администратору хоста, откуда пришло сообщение.
44 - Error when loading context
Это сообщение означает, что один из прозрачных proxy не смог
загрузить необходимый контекст.
45 - Reverse DNS not configured
Это сообщение вырабатывается каким-либо proxy сервером, если
они были настроены принимать соединения от хостов, если для них настроено
обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса
источника соединения. Дополнительное сообщение указывает IP адрес источника
соединения.
46 - Conflicting direct and reverse DNS
Когда proxy межсетевого экрана настроены принимать соединения
от хостов, если для них настроено обратное преобразование адресов в DNS, они
используют следующую технику для повышения безопасности: сначала они пытаются
разрешить имя для IP адреса источника соединения. Если proxy не может этого
сделать, возникает описанное выше сообщение об ошибке и соединение не
устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются
разрешить его адрес. Если они не могут выполнить эту операцию или если
возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения
и вырабатывается данное сообщение.
47 - Invalid Command
Это сообщение означает, что один из proxy получил от клиента
неверную команд и потому не передал ее серверу. Дополнительное сообщение
показывает саму неверную команду и имена хостов источника и назначения (только в
случае прозрачных proxy) соединения.
48 - SMTP message accepted
Эта диагностика означает, что SMTP proxy принял сообщение и
послал его серверу. Дополнительное сообщение указывает, какими были хосты
источника и назначения соединения.
49 - SMTP message refused
Это сообщение означает, что SMTP proxy отбросили полученное
сообщение. Это происходит либо потому, что данное сообщение соответствует
некоторому правилу фильтрации, согласно которому сообщение должно быть
отброшено, либо потому, что его размер превышает максимально допустимый.
50 - Error when communicating with the authentication
server
Это сообщение означает, что один proxy не смог установить связь
с сервером аутентификации при попытке выполнения аутентификации пользователя. В
связи с этим пользователю не разрешается продолжить работу, а само соединение не
устанавливается.
Решение: Проверить, является ли активным процесс, обслуживающий
сервер аутентификации на межсетевом экране. Для этого выполните команду: #ps
-ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его
командой /etc/firewall/fwauthd.
51 - Error when connecting to the authentication agent
Это сообщение означает, что сервер аутентификации не смог
соединиться с агентом аутентификации, запущенным на некотором хосте.
Дополнительное сообщение укажет имя агента аутентификации, с которым не смог
соединиться сервер.
Решение: Проверить, правильность IP адреса хоста, на котором
предположительно запущен агент; проверить также, что агент действительно запущен
на этом хосте. Более подробную информацию можно посмотреть в разделе
Регистрация объектов).
52 - Error when communicating with the authentication
agent
Это сообщение означает, что сервер аутентификации соединился с
агентом аутентификации, но не смог установить соединение. Дополнительное
сообщение укажет имя агента аутентификации, из-за которого возникла проблема.
Решение: Проверить, соответствует ли пароль доступа в
определении аутентификатора паролю в конфигурации агента аутентификации. За
более подробной информацией обращайтесь к главе
Регистрация объектов.
53 - Proxy authentication failure
Это сообщение означает, что пользователь ввел неверный пароль,
когда пытался пройти аутентификацию при обращении к proxy серверу.
Дополнительное сообщение укажет имя пользователя и хосты источника и назначения
(только в случае прозрачных proxy) соединения.
54 - User unregistered for proxy
Это сообщение означает, что незарегистрированный пользователь
пытался пытался пройти аутентификацию при обращении к proxy серверу.
Дополнительное сообщение укажет хосты источника и назначения (только в случае
прозрачных proxy) соединения.
55 - User lacks permission to open telnet sessions
Это сообщение означает, что пользователь прошел аутентификацию
при обращении к telnet proxy, но не получил разрешения открыть соединение.
Дополнительные сообщение укажут имя пользователя и хосты источника и назначения
соединения.
56 - Telnet session established
Это сообщение означает, что пользователь прошел аутентификацию
при обращении к telnet proxy, получил разрешения открыть соединение и открыл
его. Дополнительные сообщения указывают имя пользователя и хосты источника и
назначения соединения.
57 - Error when sending data to the firewall kernel
Это сообщение означает, что какой-то внешний модуль пытался
послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и
получил сообщение об ошибке. Если существует дополнительное сообщение в скобках,
то оно укажет, какая информация была послана.
Решение: Проверить, является ли ядро, запущенное на межсетевом
экране ядром, собранном из объектных модулей межсетевого экрана Aker.
58 - The number of processes in the system is too high
Это сообщение означает, что какой-то внешний модуль межсетевого
экрана при попытке создать дочерний процесс для обработки соединения обнаружил,
что число процессов, запущенных в системе, близко к максимально допустимому.
Из-за этого новый процесс не был создан, а соединение, которое он должен был
поддерживать, было разорвано.
Решение: Увеличить максимальное число процессов в системе. Это
можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и
компиляции нового ядра или использования команды sysctl (обратите
внимание на то, что в случае использования команды sysctl изменения будут
иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз
при новом запуске межсетевого экрана).
59 - Administrative session request
Это сообщение генерируется удаленным модулем администрирования
межсетевого экрана Aker каждый раз, когда он получает запрос на установление
административного сеанса. В дополнительном сообщении указывается IP адрес хоста,
запрашивающего соединение.
60 - Administrative session established
Это сообщение генерируется удаленным модулем администрирования
межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и
установлении административного сеанса. В дополнительном сообщении указываются
имя регистрации пользователя, установившего соединение, и его права.
Права пользователя представляются тремя различными
сокращениями. Если пользователь имеет определенные права, будет показана
соответствующее сокращение, во всех прочих случаях вместо этого будет показано
значение -. Ниже представлены сокращениями и их значения:
- CF - Может настраивать межсетевой экран
- CL - Может настраивать статистику
- MU - Может управлять пользователями
61 - Administrative session closed
Это сообщение означает, что установленный сеанс
администрирования закончен по команде пользователя..
62 - Administrator not registered
Это сообщение означает, что незарегистрированный в системе
пользователь пытается установить сеанс администрирования.
63 - Administrative session confirmation error
Это сообщение означает, что зарегистрированный в системе
пользователь пытался установить удаленный сеанс удаленного администрирования, но
не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого
пользователя.
64 - Firewall is being administrated by another user
Это сообщение означает, что пользователь правильно
аутентифицировался для установления удаленного сеанса администрирования, однако
существует и другой пользователь с открытой к тому же хосту сессией, в связи с
чем соединение запрещено. Дополнительное сообщение указывает, какому
пользователю отказано в сеансе.
65 - Parameter modification
Это сообщение означает, что во время сеанса администрирования
была изменена конфигурация системы. Дополнительное сообщение указывает имя
измененного параметра.
66 - Filtering rules modification
Это сообщение означает, что во время сеанса администрирования
были сделаны изменения в таблице правил фильтрации.
67 - Address translation modification
Это сообщение означает, что во время сеанса администрирования
были изменены правила трансляции сетевых адресов или серверная таблица
трансляции. Дополнительное сообщение уточняет характер изменений.
68 - Secure channels modification
Это сообщение означает, что во время сеанса администрирования
были изменены таблицы защищенных каналов.
69 - SYN Flood configuration modification
Это сообщение означает, что во время сеанса администрирования
были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет
характер изменений.
70 - SMTP contexts modification
Это сообщение означает, что во время сеанса администрирования
были изменены таблицы SMTP контекстов.
71 - SNMP configuration modification
Это сообщение означает, что во время сеанса администрирования
были изменены параметры настройки SNMP агента.
72 - Access profiles modification
Это сообщение означает, что во время сеанса администрирования
были изменены профили доступа.
73 - Access control list modification
Это сообщение означает, что во время сеанса администрирования
были изменены списки доступа.
74 - Authentication parameters modification
Это сообщение означает, что во время сеанса администрирования
были изменены глобальные параметры аутентификации.
75 - Entities modification
Это сообщение означает, что во время сеанса администрирования
были изменены списки объектов системы.
76 - Telnet contexts modification
Это сообщение означает, что во время сеанса администрирования
были изменены таблицы контекстов Telnet.
77 - WWW parameters modification
Это сообщение означает, что во время сеанса администрирования
были изменены параметры WWW.
78 - Active connection removal
Это сообщение означает, что во время сеанса администрирования
было удалено соединение. Дополнительное сообщение указывает тип протокола
соединения (TCP или UDP).
79 - Operation on the log file
Это сообщение означает, что во время сеанса администрирования
была проделана одна из операций (Compact (уплотнение) или Clear
(очистка)) с файлом статистики системы. Дополнительное сообщение показывает,
какая из этих операций была выполнена.
80 - Operation on the events file
Это сообщение означает, что во время сеанса администрирования
была проделана одна из операций (Compact (уплотнение) или Clear
(очистка)) с файлом событий системы. Дополнительное сообщение показывает, какая
из этих операций была выполнена.
81 - Operation on the users file
Это сообщение означает, что во время сеанса администрирования
была проделана одна из операций на файле пользователей. Возможны операции
Add (добавление), Delete (удаление) и Change (изменение).
Дополнительное сообщение указывает, какая из этих операций была выполнена и
каким пользователем.
82 - Administrative session dropped by error
Это сообщение означает, что сеанс администрирования был прерван
из-за ошибки протокола связи.
Решение: Попытаться снова установить соединение.
83 - Administrative session dropped by timeout
После установления удаленного сеанса администрирования
удаленный хост начинает периодически посылать на межсетевой экран сообщение для
подтверждения активности соединения. Эти сообщения посылаются, если даже
пользователь не выполняет никаких операций.
Это сообщение означает, что сеанс удаленного администрирования
был прерван из-за того, что сервер не получил сообщение от удаленного хоста в
течение максимально допустимого времени. Наиболее вероятной причиной этого может
быть сбой на хосте с запущенным графическим интерфейсом или сетевая
неисправность.
84 - Error in the previous operation
Это сообщение означает, что последняя операция, выполненная с
удаленного хоста, не была успешно завершена.
Решение: Проверить, есть ли свободное пространство в файловой
системе '/ ' межсетевого экрана. Это можно сделать с помощью команды
$df -k. Если эта команда показывает, что используемое пространство на
каталоге "/" равна 100%, в этом и заключается причина проблемы.
85 - User without access right
Это сообщение означает, что пользователь пытался выполнить
несанкционированное действие.
86 - Unrecognized packet
Это сообщение означает, что сервер поддержки удаленного
администрирования межсетевого экрана получил запрос от неизвестного сервиса.
| 
