I prodotti IPS (Network Security Platform Intrusion Prevention) offrono diversi meccanismi per eseguire un'ispezione avanzata su tale traffico.
Ad esempio, la codifica del trasferimento Chunked è un meccanismo di trasferimento dei dati di HTTP che utilizza l'intestazione di risposta HTTP. Utilizza questa intestazione al posto dell'intestazione Content-Length, che il protocollo richiederebbe in caso contrario. La codifica di trasferimento Chunked supporta l'invio di contenuti generati dinamicamente ai client senza doverli buffer. Questi blocchi di payload possono eludere i dispositivi di ispezione della rete.
Per attivare l'ispezione di questo traffico nella rete, utilizzare Network Security Manager. Nella versione 8.3, accedere a: Policy, prevenzione delle intrusioni, gestione Policy, interfaccia, opzioni di ispezione.
Nota L'ispezione avanzata del traffico è disattivata per impostazione predefinita e controlla il traffico per interfaccia o sotto-interfaccia.
È inoltre possibile configurare i Sensor IPS per altre verifiche avanzate del traffico, ad esempio:
- Scansione del traffico di risposta HTTP
- Decodifica di risposta HTTP codificata in HTML
- Analisi dell'intestazione X-Forwarded-For (XFF)
- Decodifica SMTP Base64
- Decodifica SMTP con quote stampabili
- MS il riassemblaggio del frammento RPC/SMB
Per ulteriori informazioni, consultare il capitolo Ispezione avanzata del traffico nella Guida all'amministrazione di Network Security Platform IPS per la versione in uso. Vedere Informazioni correlate di seguito per i collegamenti.
McAfee consiglia inoltre di leggere il white paper Combattere le tecniche di evasione avanzate con Network Security Platform. Questo white paper può aiutarti a comprendere meglio AETs e i meccanismi che la piattaforma di sicurezza di rete utilizza per gestire queste evasioni.