Die Anti-Evasion-Einstellungen steuern die Verarbeitung von ungewöhnlichen Paketen
durch die Netzwerk-Engine, die versuchen könnten, der Analyse zu entgehen. Die Anti-Evasion-Einstellungen
werden in einer Richtlinie oder einem einzelnen Computer konfiguriert. Die Einstellung
der Sicherheitslage steuert, wie gründlich die Eindringungserkennung Pakete analysiert,
und kann auf einen der folgenden Werte gesetzt werden:
- Normal: Verhindert das Umgehen von Regeln zum Eindringschutz ohne Fehlalarme. Dies ist der Standardwert.
- Strict: Führt strengere Überprüfungen durch als der Normalmodus, kann jedoch einige falsch-positive Ergebnisse erzeugen. Der strikte Modus ist nützlich für Penetrationstests, sollte jedoch unter normalen Umständen nicht aktiviert werden.
- Benutzerdefiniert: Wenn Sie Benutzerdefiniert auswählen, stehen zusätzliche Einstellungen zur Verfügung, mit denen Sie festlegen können, wie der Agent mit Problemen bei Paketen umgehen soll. Für diese Einstellungen (mit Ausnahme von TCP Timestamp PAWS Window) sind die Optionen Zulassen (der Agent sendet das Paket an das System weiter) oder Deny Silent (gleiches Verhalten wie Verweigern, aber es wird kein Ereignis protokolliert):
 |
HinweisVerweigern (der Agent verwirft das Paket und protokolliert ein Ereignis) ist keine
anpassbare Option.
|
|
Einstellung
|
Beschreibung
|
Normalwert
|
Strikter Wert
|
Standard benutzerdefinierter Wert (vor 10.2)
|
Standard benutzerdefinierter Wert (10.2 oder später)
|
|
Ungültige TCP-Zeitstempel
|
Aktion bei zu altem TCP-Zeitstempel
|
Ignorieren (gleiche Funktion wie Zulassen)
|
Verweigern
|
Verweigern
|
Ignorieren (gleiche Funktion wie Zulassen)
|
|
TCP-Zeitstempel PAWS-Fenster
|
Pakete können Zeitstempel haben. Wenn ein Zeitstempel einen früheren Zeitstempel als
der vorherige hat, kann er verdächtig sein. Die Toleranz für den Unterschied in den
Zeitstempeln hängt vom Betriebssystem ab. Für Windows-Systeme wählen Sie 0 (das System
akzeptiert nur Pakete mit einem Zeitstempel, der gleich oder neuer als das vorherige
Paket ist). Für Linux-Systeme wählen Sie 1 (das System akzeptiert Pakete mit einem
Zeitstempel, der maximal eine Sekunde früher als das vorherige Paket ist).
|
1 für Linux-Agenten, ansonsten 0
|
1 für Linux-Agenten, ansonsten 0
|
0
|
1 für Linux-Agenten, ansonsten 0
|
|
Zeitstempel PAWS Null erlaubt
|
Aktion bei einem TCP-Zeitstempel von null
|
Verweigern für Linux-Agenten oder NDIS5, andernfalls Erlauben
|
Verweigern für Linux-Agenten oder NDIS5, andernfalls Erlauben
|
Verweigern
|
Verweigern für Linux-Agenten oder NDIS5, andernfalls Erlauben
|
|
Fragmentierte Pakete
|
Aktion bei fragmentiertem Paket
|
Zulassen
|
Zulassen
|
Verweigern
|
Zulassen
|
|
TCP Null Flags
|
Aktion, die ausgeführt werden soll, wenn ein Paket keine Flags gesetzt hat
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
TCP-Stau-Flags
|
Aktion, die ergriffen werden soll, wenn ein Paket Stau-Flags gesetzt hat
|
Zulassen
|
Zulassen
|
Verweigern
|
Zulassen
|
|
TCP-Urgent-Flags
|
Aktion bei Paketen mit gesetzten Dringlichkeitsflags
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|
|
TCP Syn Fin Flags
|
Aktion, die ergriffen werden soll, wenn ein Paket sowohl SYN- als auch FIN-Flags gesetzt
hat
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
TCP Syn Rst Flags
|
Aktion, die zu ergreifen ist, wenn ein Paket sowohl SYN- als auch RST-Flags gesetzt
hat
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
TCP Rst Fin-Flags
|
Aktion, die durchgeführt werden soll, wenn ein Paket sowohl RST- als auch FIN-Flags
gesetzt hat
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
TCP-Syn mit Daten
|
Aktion, die ergriffen werden soll, wenn ein Paket ein SYN-Flag gesetzt hat und auch
Daten enthält
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
TCP-Split-Handshake
|
Aktion, die ergriffen werden soll, wenn ein SYN anstelle eines SYN-ACK als Antwort
auf ein SYN empfangen wird.
|
Verweigern
|
Verweigern
|
Verweigern
|
Verweigern
|
|
RST-Paket außerhalb der Verbindung
|
Aktion bei einem RST-Paket ohne bekannte Verbindung
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|
|
FIN-Paket außerhalb der Verbindung
|
Aktion bei einem FIN-Paket ohne bekannte Verbindung
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|
|
OUT-Paket außerhalb der Verbindung
|
Aktion für ein ausgehendes Paket ohne bekannte Verbindung
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|
|
Ausweichende Übertragung
|
Aktion für ein Paket mit duplizierten oder überlappenden Daten ergreifen
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|
|
TCP-Prüfsumme
|
Aktion für ein Paket mit ungültiger Prüfsumme ausführen
|
Zulassen
|
Verweigern
|
Verweigern
|
Zulassen
|