Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.
01 - Возможная атака путем фрагментации
Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.
02 - Source routed IP пакет
Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.
03 - Land атака
"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.
04 - Соединение отсутствует в динамической таблице
Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.
05 - Пакет получен с неверного интерфейса
Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.
06 - Пакет получен с неизвестного интерфейса
Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.
07 - Возможная атака подбором на FTP протокол
Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.
08 - Возможная атака подбором на Real Audio протокол
Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.
09 - Контрольный канал FTP не открыт
Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.
10 - Неверные TCP флаги
Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.
11- Неверный TCP sequence number
Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.
12 - Возможная SYN атака
Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу 10 Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.
13 - Пакет без аутентификационной информации
Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см. главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.
14 - Пакет не прошел аутентификацию
Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
15 - Пакет без криптографической информации
Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
16 - Размер расшифрованного пакета неверен
Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.
17 - Неудачная расшифровка пакета
Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографическиймодуль обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.
18 - Неверный тип инкапсуляции пакета
Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)
19 - Пакет без SKIP информации
Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу 8 Создание защищенных каналов).
20 - SA пакета не содержит SKIP информацию
Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу 8 Создание защищенных каналов). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.
21 -Неверная версия SKIP
Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)
22 - Неверное значение счетчика SKIP протокола
Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.
23 - Неверный SPI для SKIP аутентификации
Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)
24 - Неверный следующий протокол в SKIP заголовке
Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)
25 - Неверный алгоритм аутентификации SKIP
Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)
26 - Неверный алгоритм шифрования SKIP
Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)
27 - Неверный алгоритм обмена ключами SKIP
Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).
28 - Алгоритм сжатия данных не поддерживается
Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)
29 - Неверный идентификатор адресного пространства источника
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
30 - Неверный идентификатор адресного пространства назначения
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
31 - Aker Firewall v3.01 - Инициализация завершена
Это информационное сообщение появляется каждый раз при перезапуске межсетевого экрана.
32 - Ошибка распределения памяти
Это сообщение означает, что какой-то модуль межсетевого экрана пытался запросить объем паяти память и не смог ее получить. Система FreeBSD вводит максимальный лимит на каждый тип памяти, которую можно получить, в зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно получить больший объем памяти. Такое сообщение может встретиться в системах с малым объемом памяти RAM, использующих трансляцию адресов с большим числом одновременных соединений или большим числом активных соединений, проходящих через proxy сервера межсетевого экрана.
Решение: Увеличить объем памяти RAM.
33 - Таблица трансляции TCP заполнена
Таблица трансляции адресов TCP заполнена.
Решение: Увеличить максимальное число одновременных TCP соединений (вся необходимая информация содержится в главе 7 Настройка трансляции сетевых адресов).
34 - Таблица трансляции UDP заполнена
Таблица трансляции адресов UDP заполнена.
Решение: Увеличить максимальное число одновременных UDP соединений (вся необходимая информация содержится в главе 7 Настройка трансляции сетевых адресов).
35 - Неверный алгоритм аутентификации
Криптографический модуль обнаружил при выполнении аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA).
36 - Неверный алгоритм шифрования
Криптографический модуль обнаружил при выполнении шифрования пакета неверный алгоритм шифрования в ассоциации защиты (SA).
37 - Загружаемым модулем получены неверные данные
Это сообщение означает, что в модули межсетевого экрана, запущенные в ядре FreeBSD, были посланы неверные данные.
Решение: Постарайтесь проверить, какая программа создает это сообщение, многократно запуская и останавливая программу.
38 - Ошибка при чтении файла параметров
Это сообщение генерируется внешними модулями, которые пытаются прочитать файл параметров и обнаруживают, что он не существует или его нельзя прочитать.
Решение: Перезапустить межсетевой экран, чтобы программа инициализации заново создала файл параметров.
39 - Ошибка при загрузке профилей доступа
Это сообщение означает, что сервер аутентификации не смог загрузить в систему список зарегистрированных профилей доступа.
40 - Неверное имя профилей доступа
Это сообщение означает, что сервер аутентификации, когда он пытается найти профиль доступа пользователя, обнаруживает, что профиль не зарегистрирован в системе
41 - Ошибка при создании сокета соединения
Это сообщение означает, что некоторые внешние модули пытались создать сокет и получили сообщение об ошибке.
Решение: Проверить количество файлов, которые могут быть открыты процессом, а также их полное количество для всех процессов системы. Если необходимо, увеличьте эти значения.
42 - Ошибка при привязке к виртуальному IP
Это сообщение означает, что FTP proxy для преобразования адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так происходит, когда виртуальный IP адрес неверен.
Решение: Изменить значение поля Виртуальный IP в настройках трансляции сетевых адресов, связанного с IP адресом одного из сетевых интерфейсов межсетевого экрана (см. главу 7 Настройка трансляции сетевых адресов).
43 - Слишком много символов в строке
Это сообщение означает, что proxy межсетевого экрана Aker получил строку со слишком большим количеством символов и из-за этого закрыл соединение. Дополнительная информация в скобках указывает IP адрес хоста, который явился причиной проблемы.
Решение: Сервер или клиент сочли это сообщение несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы - обратиться к администратору хоста, откуда пришло сообщение.
44 - Ошибка при загрузке контекста
Это сообщение означает, что один из прозрачных proxy не смог загрузить необходимый контекст.
45 - Обратное DNS преобразование не настроено
Это сообщение вырабатывается каким-либо proxy сервером, если они были настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса источника соединения. Дополнительное сообщение указывает IP адрес источника соединения.
46 - Конфликт между прямым и обратным DNS
Когда proxy межсетевого экрана настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS, они используют следующую технику для повышения безопасности: сначала они пытаются разрешить имя для IP адреса источника соединения. Если proxy не может этого сделать, возникает описанное выше сообщение об ошибке и соединение не устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются разрешить его адрес. Если они не могут выполнить эту операцию или если возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения и вырабатывается данное сообщение.
47 - Неверная команда
Это сообщение означает, что один из proxy получил от клиента неверную команд и потому не передал ее серверу. Дополнительное сообщение показывает саму неверную команду и имаена хостов источника и назначения (только в случае прозрачных proxy) соединения.
48 - SMTP сообщение пропущено
Эта диагностика означает, что SMTP proxy принял сообщение и послал его серверу. Дополнительное сообщение указывает, какими были хосты источника и назначения соединения.
49 - SMTP сообщение блокировано
Это сообщение означает, что SMTP proxy отбросили полученное сообщение. Это происходит либо потому, что данное сообщение соответствует некоторому правилу фильтрации, согласно которому сообщение должно быть отброшено, либо потому, что его размер превышает максимально допустимый.
50 - URL пропущен
Это сообщение означает, что WWW proxy пропустил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
51 - URL не пропущен
Это сообщение означает, что WWW proxy отклонил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
52 - Ошибка при взаимодействии с сервером аутентификации
Это сообщение означает, что один proxy не смог установить связь с сервером аутентификации при попытке выполнения аутентификации пользователя. В связи с этим пользователю не разрешается продолжить работу, а само соединение не устанавливается.
Решение: Проверить, является ли активным процесс, обслуживающий сервер аутентификации на межсетевом экране. Для этого выполните команду: #ps -ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его командой /etc/firewall/fwauthd.
53 - Ошибка при соединении с агентом аутентификации
Это сообщение означает, что сервер аутентификации не смог соединиться с агентом аутентификации, запущенным на некотором хосте. Дополнительное сообщение укажет имя агента аутентификации, с которым не смог соединиться сервер.
Решение: Проверить, правильнность IP адреса хоста, на котором предположительно запущен агент; проверить также, что агент действительно запущен на этом хосте. Более подробную инфомацию можно посмотреть в разделе 5 Регистрация объектов).
54 - Ошибка при взаимодействии с агентом аутентификации
Это сообщение означает, что сервер аутентификации соединился с агентом аутентификации, но не смог установить соединение. Дополнительное сообщение укажет имя агента аутентификации, из-за которого возникла проблема.
Решение: Проверить, соответствует ли пароль доступа в определении аутентификатора паролю в конфигурации агента аутентификации. За более подробной информацией обращайтесь к главе 5 Регистрация объектов
55 - Ошибка аутентификации proxy
Это сообщение означает, что пользователь ввел неверный пароль, когда пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет имя пользователя и хосты источника и назначения (только в случае прозрачных proxy) соединения.
56 - Пользователь не зарегистрирован для proxy
Это сообщение означает, что незарегистрированный пользователь пытался пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет хосты источника и назначения (только в случае прозрачных proxy) соединения.
57 - У пользователя нет полномочий на открытие Telnet сессии
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, но не получил разрешения открыть соединение. Дополнительные сообщение укажут имя пользователя и хосты источника и назначения соединения.
58 - Telnet сессия открыта
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, получил разрешения открыть соединение и открыл его. Дополнительные сообщения указывают имя пользователя и хосты источника и назначения соединения.
59 - Ошибка при отправке данных ядру МЭ
Это сообщение означает, что какой-то внешний модуль пытался послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и получил сообщение об ошибке. Если существует дополнительное сообщение в скобках, то оно укажет, какая информация была послана.
Решение: Проверить, является ли ядро, запущенное на межсетевом экране ядром, собранном из объектных модулей межсетевого экрана Aker.
60 - Слишком большое число процессов в системе
Это сообщение означает, что какой-то внешний модуль межсетевого экрана при попытке создать дочерний процесс для обработки соединения обнаружил, что число процессов, запущенных в системе, близко к максимально допустимому. Из-за этого новый процесс не был создан, а соединение, которое олн должен был поддерживать, было разорвано.
Решение: Увеличить максимальное число процессов в системе. Это можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и компиляции нового ядра или использования команды sysctl (обратите внимание на то, что в случае использования команды sysctl изменения будут иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз при новом запуске межсетевого экрана).
61 - Запрос на открытие сеанса администрирования
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз, когда он получает запрос на установление административного сеанса. В дополнительном сообщении указывается IP адрес хоста, запрашивающего соединение.
62 - Сеанс администрирования установлен
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и устанавлении административного сеанса. В дополнительном сообщении указываются имя регистрации пользователя, установившего соединение, и его права.
Права пользователя представляются тремя различными сокращениями. Если пользователь имеет определенные права, будет показана соответствующее сокращение, во всех прочих случаях вместо этого будет показано значение -. Ниже представлены сокращениями и их значения:
63 - Сеанс администрирования закрыт
Это сообщение означает, что установленный сеанс администрирования закончен по команде пользователя..
64 - Администратор не зарегистрирован
Это сообщение означает, что незарегистрированный в системе пользователь пытается установить сеанс администрирования.
65 - Ошибка при подтверждении сеанса администрирования
Это сообщение означает, что зарегистрированный в системе пользователь пытался установить удаленный сеанс удаленного администрирования, но не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого пользователя.
66 - Межсетевым экраном управляет другой пользователь
Это сообщение означает, что пользователь правильно аутентифицировался для установления удаленного сеанса администрирования, однако существует и другой пользователь с открытой к тому же хосту сессией, в связи с чем соединение запрещено. Дополнительное сообщение указывает, какому пользователю отказано в сеансе.
67 - Модификация параметров
Это сообщение означает, что во время сеанса администрирования была изменена конфигурация системы. Дополнительное сообщение указывает имя измененного параметра.
68 - Модификация правил фильтрации
Это сообщение означает, что во время сеанса администрирования были сделны изменения в таблице правил фильтрации.
69 - Модификация трансляции адресов
Это сообщение означает, что во время сеанса администрирования были изменены правила тарнсляции сетевых адресов или серверная таблица трансляции. Дополнительное сообщение уточняет характер изменений.
70 - Модификация защищенных каналов
Это сообщение означает, что что что во время сеанса администрирования были изменены таблицы защищенных каналов.
71 - Модификация защиты от SYN атак
Это сообщение означает, что во время сеанса администрирования были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет характер изменений.
72 - Модификация SMTP контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы SMTP контекстов.
73 - Модификация SNMP параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры настройки SNMP агента.
74 - Aмодификация профилей доступа
Это сообщение означает, что во время сеанса администрирования были изменены профили доступа.
75 - Модификация списков контроля доступа
Это сообщение означает, что во время сеанса администрирования были изменены списки доступа.
76 - Модификация параметров аутентификации
Это сообщение означает, что во время сеанса администрирования были изменены глобальные параметры аутентификации.
77 - Модификация объектов
Это сообщение означает, что во время сеанса администрирования были изменены списки объектов системы.
78 - Модификация Telnet контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы контекстов Telnet.
79 - Модификация WWW параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры WWW.
80 - Удаление активного соединения
Это сообщение означает, что во время сеанса администрирования было удалено соединение. Дополнительное сообщение указывает тип протокола соединения (TCP или UDP).
81 - Операции с файлом статистики
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Уплотнить или Очистить) с файлом статистики системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
82 - Операции с файлом событий
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Уплотнить или Очистить) с файлом событий системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
83 - Операции с файлом пользователей
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций на файле пользователей. Возможны операции Добавить, Удалить и Изменить). Дополнительное сообщение указывает, какая из этих операций была выполнена и каким пользователем.
84 - Модификация даты/времени МЭ
Это сообщение показывает, что администратор, работавший через администрати вный интерфейс, изменил дату и/или время на межсетевом экране
85 - Административный сеанс закрыт из-за ошибки
Это сообщение означает, что сеанс администрирования был прерван из-за ошибки протокола связи.
Решение: Попытаться снова установить соединение.
86 - Административный сеанс закрыт по тайм-ауту
После установления удаленного сеанса администрирования удаленный хост начинает периодически посылать на межсетевой экран сообщение для подтверждения активности соединения. Эти сообщения посылаются, если даже пользователь не выполняет никаких операций.
Это сообщение означает, что сеанс удаленного администрирования был прерван из-за того, что сервер не получил сообщение от удаленного хоста в течение максимально допустимого времени. Наиболее вероятной причиной этого может быть сбой на хосте с запущенным графическим интерфейсом или сетевая неисправность.
87 - Ошибка в предыдущей операции
Это сообщение означает, что последняя операция, выполненная с удаленного хоста, не была успешно завершена.
Решение: Проверить, есть ли свободное пространство в файловой системе '/ ' межсетевого экрана. Это можно сделать с помощью команды $df -k. Если эта команда показывает, что используемое пространство на каталоге "/" равно 100%, в этом и заключается причина проблемы.
88 - Пользователь без права доступа
Это сообщение означает, что пользователь пытался выполнить несанкционированное действие.
89 - Неизвестная ошибка
Это сообщение означает, что сервер поддержки удаленного администрирования межсетевого экрана получил запрос от неизвестного сервиса.