Os produtos de prevenção contra intrusões (IPS) do Network Security Platform oferecem vários mecanismos para executar uma inspeção avançada nesse tráfego.
Por exemplo, a codificação de transferência em partes é um mecanismo de transferência de dados do HTTP que usa o cabeçalho de resposta HTTP. Ele usa esse cabeçalho no lugar do cabeçalho Content-Length, que, por outro lado, o protocolo exigiria. A codificação de transferência em partes oferece suporte ao envio de conteúdo gerado dinamicamente para os clientes sem a necessidade de buffer-lo. Essas partes de carga de conteúdo podem escapar dos dispositivos de inspeção de rede.
Para ativar a inspeção desse tráfego em sua rede, use Network Security Manager. Na versão 8.3, navegue até: políticas, prevenção de intrusões, Gerenciador de políticas, interface, opções de inspeção.
INDICADO A inspeção avançada de tráfego é desativada por padrão e inspeciona o tráfego por interface ou subinterface.
Você também pode configurar seu Sensor IPS para outras inspeções de tráfego avançadas, como:
- Varredura de tráfego de resposta HTTP
- Decodificação de resposta HTTP codificada em HTML
- X-Forwarded-for (XFF) análise de cabeçalho
- Decodificação de SMTP Base64
- Cotação de SMTP com impressão recodificada
- Remontagem de fragmentação de MS RPC/SMB
Para obter mais detalhes, consulte o capítulo Inspeção avançada de tráfego no guia de administração do Network Security Platform IPS para sua versão. Exibidas Informações relacionadas abaixo para obter links.
A McAfee também recomenda que você leia o documento Combatendo técnicas avançadas de evasão com a plataforma de segurança de rede. Este white paper pode ajudá-lo a entender o AETs melhor e os mecanismos que a plataforma de segurança de rede usa para lidar com esses Evasions.