Jump to content
JanRei

[Erledigt] Update der IDS-Datenbanken

Recommended Posts

Es wird ein Update der IDS-Datenbanken vorbereitet.

 

Updatebeschreibung:

• Lade folgende Dateien herunter: http://dnl-test.kaspersky-labs.com/test/pb...386/idsbase.kdz und http://dnl-test.kaspersky-labs.com/test/pb...x64/idsbase.kdz.

• Entpacke die Dateien (beispielsweise mit 7-Zip, es handelt sich um ZIP-Archive).

• Öffne die Datei ids_vdci.kdb mit einem Editor wie Notepad or Notepad++.

• Suche not-an-attack:KL-Test-Packet01 - dies zeigt an, dass die Datenbanken mit dem neuen Server erstellt wurden.

 

Updatequelle:

ftp://dnl-test.kaspersky-labs.com/test/pbs/

 

Testwerkzeuge:

ids_test.zip

 

Neue Funktionen & Fehlerkorrekturen:

• Datenbanken werden durch einen neuen Server zusammengestellt

 

Das Update betrifft die folgenden Produkte:

• KAV/KIS 2010 (9.0.0.459; 9.0.0.463; 9.0.0.736)

• KAV/KIS 2011 (11.0.0.232; 11.0.1.400; 11.0.2.556)

• KAV/KIS 2012 (12.0.0.374)

• KAV/KIS 2013 (13.0.0.3370; 13.0.1.4190)

• KSOS2 (9.1.0.59)

• PURE/CRYSTAL R1 (9.0.0.192; 9.0.0.199)

• PURE/CRYSTAL R2 (9.1.0.124)

• PURE v2 (12.0.1.288; 12.0.1.303; 12.0.2.733)

• KES 8 (8.1.0.646; 8.1.0.831)

• KAV FS/WKS/SOS MP4 (6.0.4.1212; 6.0.4.1217; 6.0.4.1424; 6.0.4.1611)

 

Vor dem Test:

Aktiviere vollständige Speicherabbilder:

• Windows XP: http://support.kaspersky.com/de/faq/?qid=208640457

• Windows Vista: http://support.kaspersky.com/de/faq/?qid=207619516

• Windows 7: http://support.kaspersky.com/de/faq/?qid=207621369

 

Wenn möglich, sollte das Update auf einen realen System getestet werden (nicht VMWare oder Virtual PC). Außerdem wäre es nützlich, für die Tests verschiedene Netzwerkadapter-Konfigurationen zu verwenden (Intel, Reatek, Attansic; WLAN, VPN, etc.).

 

Vorbereitungen:

1) Installiere ein Produkt.

2) Führe ein Update von den offiziellen Update-Servern durch und starte das System neu, um die Installation der Updates abzuschließen.

3) Setze den Updatemodus auf "Manuell".

4) Führe ein Update von http://dnl-test.kaspersky-labs.com/test/pbs durch.

5) Starte das System neu, um die Installation der neuen IDS-Datenbanken abzuschließen.

6) Überprüfe die Version der Komponente: Entpacke idsbase.kdz und überprüfe, dass not-an-attack:KL-Test-Packet01 in der Datei ids_vdci.kdb vorkommt. Siehe dazu auch die Updatebeschreibung.

 

Lasttest:

Um die IDS-Komponente einem Lasttest zu unterziehen, wird die nachfolgende Software empfohlen. Es erzeugt zufälligen TCP/UDP/IP-Datenverkehr, der von der IDS-Komponente untersucht werden muss. Dies kann beim Finden von Problemen bei den neuen Datenbanken helfen.

Hinweise zur Verwendung:

• Lade Ostinato von http://code.google.com/p/ostinato/wiki/Dow...ds?tm=2#Windows herunter.

• Installiere WinPcap (http://www.winpcap.org/), wenn du dies nicht bereits getan hast.

• Folgendes Video-Tutorial enthält eine Einführung zu Ostinato:

 

Kruzer Testplan:

1) Überprüfe, dass sich die Eigenschaften der Netzwerkverbindung nicht geändert haben.

2) Überprüfe, dass das lokale Netzwerk verfügbar ist: Zugriff auf freigegebene Ordner, interne Ressourcen, etc.

3) Überprüfe, dass die Internetverbindung funktioniert und Upload-/Download-Geschwindigkeit nicht deutlich beeinflusst werden:

o Dateien können bei rapidshare.com oder anderen Hosting-Diensten heruntergeladen als auch hochgeladen werden

o Instant Messenger funktionieren

o Webseiten können aufgerufen werden

o Audio- und Video-Streams können korrekt abgespielt werden (youtube.com, vimeo.com, blip.fm, etc.)

o Wenn du einen BitTorrent-Client verwendest, überprüfe, dass er korrekt arbeitet (auch bei vielen Verbindungen).

o Wenn du Online-Spiele (WOW, Eve Online, Linage, Battlefield, Counter Strike oder andere Spiele mit lokaler Verbindung oder Internet-Verbindung) verwendest, überprüfe, dass die Funktionalität des Spiels durch das Update nicht beeinflusst wurde.

4) Überprüfe, dass das Herunterladen von http://www.eicar.org/download/eicar.com mit dem Internet Explorer vom Produkt erkannt wird.

 

Betrifft nur Produkte mit Firewall:

5) Überprüfe, dass Netzwerkangriffe erkannt und blockiert werden: Auf dem Computer mit dem Produkt starte XSpider, wähle TCP und "server". Gib Port 10000 ein und klicke auf "Listen to". Starte auf einem anderen Computer das Werkzeug kltps.exe mit folgenden Parametern -4 -t <host> 10000 (ersetze <host> durch die Adresse des Computers mit dem getesteten Produkt) und bestätige mit der Enter-Taste. Das Produkt sollte den Angriff erkennen und den angreifenden Computer blockieren (siehe Firewall-/Anti-Hacker-Bericht).

6) Überprüfe, dass bei stillen Erkennungen keine Benachrichtigungen angezeigt werden: Stelle zunächst sicher, dass der andere Computer im Netzwerkmonitor nicht mehr auf der Liste blockierter Computer eingetragen ist. Auf dem Computer mit dem Produkt starte XSpider, wähle TCP und "server". Gib Port 10000 ein und klicke auf "Listen to". Starte auf einem anderen Computer das Werkzeug kltps1.exe mit folgenden Parametern -4 -t <host> 10000 und bestätige mit der Enter-Taste. Es sollte in diesem Fall keine Benachrichtigungen, Ereignisse im Bericht oder Einträge in der Liste blockierter Computer geben.

7) Überprüfe, dass Firewall-Regeln korrekt funktionieren: Definiere beispielsweise eine jeden Netzwerkverkehr verbietende Anwendungsregel für den Internet Explorer. Daraufhin sollten mit dem Internet Explorer keine internen oder externen Ressourcen mehr verfügbar sein. Nach dem Löschen der Regel sollten alle Ressourcen wieder verfügbar sein. Teste auch verschiedene Kombinationen von Regeln.

 

Solltest du einen Problem feststellen, versuche es zunächst mit offiziellen Datenbanken zu reproduzieren. Auf diese Weise kann festgestellt werden, ob das Problem vom getesteten Update verursacht wird.

Edited by Schulte
Produktliste ergänzt

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.