Megkerülve szűrés Aladdin eSafe átjáró, ha együtt használják az ellenőrző ponton CVP protokoll
Checkpoint FireWall-1 NG Feature Pack 3 eléggé kellemetlen hiba, ami abban nyilvánul meg, amikor a fájlátvitel több mint 2 megabájt keresztül OPSEC CVP technológia. Határozzuk meg a megadott okok nagyon eredeti eredményt.
A kiadás a frissítés a Checkpoint FireWall-1 NG, amelyen szerepel a büszke nevét Feature Pack 3 (valami hasonló Servive Pack) nem halad át a sűrű fájlokat tűzfal, ha használja a víruskereső. HTTP, SMTP, FTP adatok elmúlik, de ha nem több, mint 2 megabájt. Kapcsolatfelvétel támogatás CheckPoint adott semmit, de a fejfájás összeállításához leírások a problémát különböző szögekből. A válasz az, hogy „és mi minden munkát.” Lett a bűn a víruskereső és megpróbál csatlakozni más antivírus programok. És lám! Egy anti-vírus, és az ugyanabban az országban FireWall termelő nevezett eSafe Gateway működik „hurrá!”. Minden elmúlik, minden be van jelölve. Kár, hogy a diagnózis az események ő gyenge, de lehet élni vele. Ez lehetséges, de átmenetileg ... Kezdett mélyebbre ásni. Elkezdtük nézni közötti forgalom tűzfal és eSafe. Aztán volt egy stroke, és a haja égnek állt, amikor rájöttek, hogy ez nem eSafe. eSafe Gateway ellenőrzések körülbelül az első 15 kilobájt adatot kapott a tűzfalat, és csak az ezen adatok alapján adja a diagnózis! Eleinte nem tudtuk hinni a szemüknek. Ők ellenőrzik küldésével mail vírus. Ha a vírus az elején a levél, akkor határozzuk meg. Ha ő a 15 kilobájtos majd eSafe nem látni! Itt megnéztük a zseniális ötlet, hogy eSafe beállításokat. Megnéztük. Mi nem találtunk semmit, ahol beállíthatja a hangerőt a beolvasott adatokat. Ok. Meg ne eSafe antivírus, de csak egy hamis is. Exit döntöttünk, hogy hozza létre saját la vírusölő. Talált könyvtárak és dokumentációs OPSEC. Nagy örömünkre OpsecSdkNgFp3.WIN32.tar.gz csomagban egy példát, hogy pontosan mit akarunk létrehozni. cvp_av_server.c - egy példa egy egyszerű Server`a OPSEC CVP (CVP - Content Vectoring Protocol), amely mindent, kivéve a teszt a vírus. Összeállította, futott és futott ... ugyanazon a rake. A fájl 2,7 megabájt postázni, tűzfal nem sikerült. Szükségtelen, hogy küldjön erre vonatkozó információ. És ez így megy támogatás nélkül nem hallani róla. Lapel-turn kaptunk, de egy nagyon udvarias! Mint például a „ellenőriztük, de a probléma nem láttunk.” De mi azt ellenőrizni? Ugyanez eSafe, vagy mi? Sajtó és képes lesz arra, hogy bolond, de gondolom ... Nem világos, hogy miért nem lehet használni a saját példa (cvp_av_server.c), hogy ellenőrizze a saját tűzfal. Idővel azt találtuk, hogy a tapasz nem gyorsan csak nagy ügyfelek számára. Egy kicsit, mint mi, nem bütyköl.
Technikailag hiba a következőképpen néz ki.
1. FireWall elfogadja SMTP adatok beteszi a nyomtatási könyvtár fájlt, és továbbítja azokat a CVP Server tesztelésre, de a részletekben.
2. Transzfer átmenetileg megáll után egy vagy két megabájt (észrevettük csak ez a két korlátok).
3. Pontosan (!) 5 perc után transzfer a CVP Server folytatódik (ezek számát a részek lehetnek több).
4. Miután a CVP Server kapott adatokat, és azt mondta, hogy a tűzfal, a tűzfal azonnal eltolódik a spool fájl az orsóról \ d_resend (a könyvtár küldeni később). A magazin (SmartView Tracker) ez a művelet nem tükröződik.
Eltelte után meghatározott ideig a tűzfal beállításait, ezt a fájlt próbál küldeni a fenti séma. Ie mindaddig, amíg a fájl nem kell semmisíteni, mivel túl öreg. Meg lehet figyelni ezt a problémát MDQ.LOG fájlt, ha engedélyezi a hibakeresés a parancssorból
«Fw hibakeresés MDQ a MDQ_DEBUG_LEVEL 3" .
Itt van egy darab log MDQ.ELG a 4. bekezdés:
[Skip]
[MDQ 1008] @firewall fwav_send: munkamenet 12bd440 buf = 012199D8, LEN = 1247
[MDQ 1008] @firewall fwav_send: munkamenet 12bd440 buf = 0012EC90, LEN = 5
[MDQ 1008] @firewall fwav_send: munkamenet 12bd440 buf = 00000000, LEN = 0
// Minden végén az adatokat továbbítják a CVP Server
// CVP Server megkapta a legfrissebb adatok, jelentése és FW.
// FW, valamilyen oknál fogva, akkor ezen adatok D_resend.
fwav_sdk_dummy_handler: kapcsolat aktív
[MDQ 1008] @firewall információ nem kezelik new_av_client: get_reply
// Ki gondolta volna, kifejtette, hogy van egy `információ nem kezelik ...`
[MDQ 1008] @firewall fwav_accept_data: munkamenet 12bd440
[MDQ 1008] @firewall fwasync_connbuf_realloc: újraelosztása a 1.203.150 a 1036-5
[MDQ 1008] @firewall fwasync_connbuf_realloc: újraelosztása 11ab7d0 1 053-5
[MDQ 1008] @firewall fwasync_mux_out: 920: write: Connection reset by peer
[MDQ 1008] @firewall fwav_drop: munkamenet 12bd440
[MDQ 1008] @firewall eltávolítani munkamenetet uid asztalra!
[MDQ 1008] @firewall munkamenet átlátszatlan NULL
[MDQ 1008] @firewall fwasync_mux_in 1044: olvasni: Connection reset by peer
[MDQ 1008] @firewall mdq_scan: átvizsgálása MDQ dir
[MDQ 1008] @firewall mdq_scan: átvizsgálása MDQ dir
[MDQ 1008] @firewall mdq_scan: átvizsgálása MDQ dir
[Skip]
Függetlenül attól, hogy egy hiba, vagy tűzfal vár valamilyen parancs / jelet a CVP Server`a aki elfelejtette leírni a példában - nem tudta kitalálni.
Annak érdekében, hogy az urak küldje el a vírusokat, küldeni! Csak ők nem lehet az első, és 20 kilobájt reklámok elején a levél. Mehetünk E pohár gondok, de csökkenni fog minden „Krupnyakov” a pontot, és gyorsan megoldja a problémát.
Ami az olvasó,
Defenders csapat.