O Alerta do BorderManager monitora a performance do servidor, a aquisição de licenças para serviços licenciados do BorderManager e a segurança, além da configuração e da disponibilidade de Serviços de Proxy.
Para obter maiores informações sobre alertas específicos, consulte as seguintes seções:
Os alertas de performance do servidor avisam a você sobre possíveis problemas em operações e parâmetros do servidor, que podem prejudicar o desempenho ou causar falhas em serviços do BorderManager.
Os alertas de performance do servidor são os seguintes:
Uma advertência de falta de espaço em disco indica que esse problema égrave o suficiente para causar falhas em operações do servidor.
Uma advertência de falta de memória indica que esse problema égrave o suficiente para causar falhas em operações do servidor.
Uma advertência de deficiência do ECB indica a deficiência do buffer de recebimento de pacotes ou do ECB égrave o suficiente para degradar ou causar falhas na entrada ou saída de dados da rede.
Um alerta de licença indica que um serviço do BorderManager não conseguiu adquirir a licença necessária para operar.
O Alerta do BorderManager monitora a aquisição de licenças para os seguintes recursos:
Os alertas de segurança avisam a você sobre possíveis violações de segurança. As causas desses alertas devem ser investigadas, pois o servidor pode estar sendo alvo de um ataque de negação de serviço.
Em geral, os ataques de negação de serviços atingem servidores conectados com a Internet e são iniciados por indivíduos sem autorização de acesso aos servidores. Uma condição de negação de acesso pode ser causada por um bombardeio de pacotes que consomem muita memória e tempo de processamento da CPU do servidor. Depois que esses recursos do servidor são alocados para tratamento dos pacotes recebidos, não épossível processar com eficiência as solicitações de conexão feitas por usuários legítimos.
A exemplo dos vírus de computador, novos ataques de negação de serviço são lançados na comunidade da Internet sem aviso prévio. Muitos dos ataques conhecidos estão documentados em vários sites na Web.
Os alertas de segurança do BorderManager abrangem os seguintes:
Os módulos relevantes para segurança são aqueles que podem comprometer a segurança do servidor ou da rede ao serem carregados ou descarregados.
Os módulos considerados relevantes para segurança são os seguintes:
Uma advertência sobre um pacote de ping muito grande pode indicar a ocorrência de uma atividade nociva no servidor. Os pings de pacotes excessivamente grandes são um sintoma de um ataque de negação de acesso conhecido como Ping da Morte. Esse alerta égerado quando o servidor recebe e descarta pacotes de ping com mais de 10.240 bytes de dados. Por padrão, o servidor está habilitado a descartar esses pacotes.
Em determinadas situações que exijam o recebimento de pacotes grandes de ping pelo servidor, como em testes de resistência do roteador, digite os seguintes comandos SET no console para mudar o tamanho máximo de pacote de ping ou desabilitar a descarga de pacotes:
SET LARGEST PING PACKET SIZE=n
SET DISCARD OVERSIZED PING PACKETS=OFF
A variável n éum número decimal que representa o número de bytes permitido. Não especifique um número com vírgulas.
Para habilitar novamente a descarga de pacotes, digite o seguinte comando no console do servidor:
SET DISCARD OVERSIZED PING PACKETS=ON
NOTA: Como o tamanho dos pacotes élimitado pelo tipo de mídia utilizado, para mudar o tamanho máximo de pacote de ping, énecessário conhecer a topologia da rede. Somente em redes Ethernet, o alerta de pacote de ping muito grande não será gerado se o tamanho máximo de pacote de ping estiver definido entre 35.541 e 65.535 bytes. No entanto, são gerados alertas para pacotes com menos de 35.541 bytes. As faixas de tamanho de pacote aceitas para outras mídias variam em função da MTU (Maximum Transmission Unit) --- o tamanho máximo de pacote que uma mídia écapaz de transportar sem fragmentação.
Uma advertência de inundação de pacotes SYN TCP pode indicar a ocorrência de uma atividade nociva no servidor, que pode causar uma condição de negação de serviço. As conexões TCP exigem um handshake triplo entre o servidor e o cliente: 1) o cliente envia um pacote em que o flag SYN édefinido no cabeçalho TCP, 2) o servidor envia um pacote SYN/ACK (confirmação) e 3) o cliente envia um pacote ACK para iniciar a transmissão de dados. Uma condição de negação de serviço ocorre quando o cliente não consegue enviar o último pacote ACK e envia intencionalmente várias solicitações de conexão TCP sucessivas para sobrecarregar o buffer do servidor. Quando o buffer do servidor fica sobrecarregado, outros clientes não conseguem estabelecer conexão, o que resulta em uma condição de negação de serviço.
IMPORTANTE: O Alerta do BorderManager detecta inundações de pacotes SYN apenas para aplicativos de soquete, como o FTP.
Em virtude da importância de defender o servidor contra inundações de pacotes SYN, a detecção de inundações desse tipo de pacote deve estar sempre habilitada. No entanto, para medidas extremas de resolução de problemas, você pode usar o comando SET a seguir para desabilitar a detecção, se necessário:
SET TCP DEFEND SYN ATTACKS=OFF
Para habilitar novamente a detecção, use o seguinte comando:
SET TCP DEFEND SYN ATTACKS=ON
Uma advertência sobre pacotes UDP pode indicar a ocorrência de uma atividade nociva no servidor. Esse alerta égerado quando o servidor recebe e descarta pacotes UDP com mais de 16.384 bytes. Por padrão, o servidor está habilitado a descartar esses pacotes.
Se necessário, digite os comandos SET a seguir no console do servidor para mudar o tamanho máximo de pacote UDP ou desabilitar a descarga de pacotes:
SET LARGEST UDP PACKET SIZE=n
SET DISCARD OVERSIZED UDP PACKETS=OFF
A variável n éum número decimal que representa o número de bytes permitido. Não especifique um número com vírgulas.
Para habilitar novamente a descarga de pacotes, digite o seguinte comando no console do servidor:
SET DISCARD OVERSIZED UDP PACKETS=ON
NOTA: Como o tamanho dos pacotes élimitado pelo tipo de mídia utilizado, para mudar o tamanho máximo de pacote UDP, énecessário conhecer a topologia da rede. Somente em redes Ethernet, o alerta sobre pacotes UDP muito grandes não será gerado se o tamanho máximo de pacote UDP estiver definido entre 35.541 e 65.535 bytes. No entanto, são gerados alertas para pacotes com menos de 35.541 bytes. As faixas de tamanho de pacote aceitas para outras mídias variam em função da MTU (Maximum Transmission Unit) --- o tamanho máximo de pacote que uma mídia écapaz de transportar sem fragmentação.
O Alerta do BorderManager écapaz de detectar muitos outros ataques de negação de serviço documentados, apesar de os ataques não serem identificados por nomes. Por exemplo, embora a lista de alertas apresentada anteriormente não contenha um alerta específico para ataques Smurf, Teardrop ou Land, esses ataques são facilmente detectados. O ataque Smurf utiliza um eco ICMP (Internet Control Message Protocol) em resposta a broadcasts de ping para inundar um servidor. O ataque Teardrop sobrepõem fragmentos intencionalmente para causar erros na remontagem dos fragmentos, o que resulta no reenvio sucessivo dos pacotes. O ataque Land envia pacotes com o mesmo endereço de origem e de destino, o que resulta em um loop infinito de envio de pacotes ao servidor.
Em geral, os alertas de proxy indicam que um servidor proxy não foi configurado corretamente ou está inoperante.
Os alertas de proxy são os seguintes:
Uma advertência sobre um cache pai inoperante na hierarquia de caches indica que existe um problema no servidor de cache de proxy pai em uma hierarquia de caches configurada. Se o cliente da hierarquia de caches estiver habilitado no servidor proxy e o proxy não conseguir se conectar ao cache pai, o alerta será acionado. Se a opção de reencaminhar todas as solicitações pela hierarquia estiver selecionada e o cache pai estiver inoperante, as solicitações que não puderem ser atendidas através do cache poderão resultar em um erro, pois o cache pai não está disponível para acessar a informação de origem.
Uma advertência de servidor SOCKS inoperante indica que o servidor SOCKS com que o servidor de cache de proxy se conecta como cliente está inoperante. Se o cliente SOCKS estiver habilitado no servidor proxy e o proxy não conseguir estabelecer conexão, o alerta será acionado. Como um servidor SOCKS éutilizado em geral como um firewall, as solicitações que não puderem ser atendidas através do cache poderão resultar em um erro, pois o proxy não pode reencaminhar solicitações através do firewall.
Uma advertência de servidor POP3 inoperante indica que existe um problema em um servidor POP3 (Post Office Protocol). O proxy de correio habilitado no servidor BorderManager não pode reencaminhar para o servidor POP3 a correspondência que sai.
Uma advertência de servidor SMTP inoperante indica que existe um problema em um servidor de correio SMTP interno. O proxy de correio habilitado no servidor BorderManager não pode entregar ao servidor SMTP a correspondência que chega.