Определение вторжения на основе поведения в Microsoft Forefront TMG

Несколько недель вспять компания Microsoft выпустила Beta 3 версию Microsoft Forefront TMG (Threat Management Gateway), которая содержит огромное количество умопомрачительных и восхитительных функций.

Одной из главных сильных сторон Microsoft Forefront TMG является защита от разных сетевых атак и попыток вторжения. Начиная с Microsoft Forefront TMG, компания Microsoft поделила эти механизмы защиты на две части:

Система осмотра сети (Network Inspection System – NIS)
Определение вторжения на базе поведения (Behavioral Intrusion Detection)

Хотя многие части определения вторжения на базе поведения уже есть в ISA Server 2006, система Network Inspection System (NIS) является новейшей в Microsoft Forefront TMG. Если вы желаете больше выяснить о NIS, прочтите статьи о NIS на http://www.isaserver.org/. В этой статье мы уделим внимание определению вторжения на базе поведения.

Определение вторжения на базе поведения

Большая часть частей механизма определения вторжений на базе поведения в TMG не является новым и осталось постоянным с ISA Server 2006.

TMG идет со последующими механизмами определения вторжений на базе поведения:

Общие сетевые атаки (Common Network attacks)
Фильтрация опций IP
Предотвращение Flood-атак

До того как я начну разъяснять разные характеристики, я постараюсь дать вам лаконичный обзор типов атак, чтоб обеспечить вас некой базисной информацией по данному вопросу.

Типы атак

Чтоб осознать, как работают «хакеры», нужно выяснить искусство хакинга и типы имеющихся атак. В последующей таблице приведен лаконичный обзор неких типов атак.

Атака Описание
Внутренняя атака червяка через TCP соединение Клиенты заражаются червяком, и он пробует распространиться через разные порты на другие машины по сети
Внедрение таблицы подключений (Connection table exploit) Взломщик пробует заполнить таблицу подключений покоробленными запросами, чтоб сервер ISA не мог заполнять обычные запросы
Поочередные TCP подключения во время flood-атаки Взломщик пробует поочередно открывать и равномерно закрывать много TCP подключений, чтоб обойти механизм квоты для употребления огромного количества ресурсов ISA
HTTP DDoS, используя имеющиеся подключения Взломщик посылает чрезмерное количество HTTP запросов через имеющееся TCP подключение, которое употребляет интервал проверки активности

Настройка характеристик проверки для общих сетевых атак

Характеристики общих атак (Common Attacks) позволяют настраивать некие базисные методы проверки вторжений нескольких узнаваемых типов атак.

Общие атаки

К общим атакам относятся атаки «Ping смерти», UDP-бомбы либо IP-атаки полусканирования, также некие другие. Эти механизмы защиты не являются новыми, но они являются основными рекомендуемыми параметрами для большинства TMG серверов.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 1: Защита от общих атак

По дефлоту, Microsoft Forefront TMG регистрирует все потерянные пакеты, чтоб быть в курсе, когда взломщик пробует подключиться к брандмауэру.

DNS атаки

Forefront TMG позволяет вам настраивать брандмауэр на фильтрацию DNS трафика при помощи встроенного DNS-фильтра. TMG защищает от переполнения имен узлов DNS, от переполнения длины DNS и, по мере надобности, может фильтровать данные передачи зон DNS. Если вы активируете опцию передачи зон DNS, TMG отторгает возможные передачи зон DNS на брандмауэре.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 2: Защита от DNS атак

Настройка фильтрации опций IP

После рассмотрения общих атак, нам следует направить внимание на фильтрацию опций IP в Forefront TMG.

Функции IP

Протокол TCP/IP определяет ряд IP опций, которые могут употребляться для разных целей в сетях IP. Microsoft Forefront TMG имеет возможность блокирования неких опций IP, так как не все IP функции сейчас употребляются в IP сетях, и некие IP функции могут употребляться проникания в сеть. По дефлоту TMG отторгает некие IP функции (как показано на последующем рисунке), и решение о перекрытии определенных неиспользуемых IP опций остается за вами, но необходимо быть усмотрительным при выборе опций, которые вы отключаете, так как некорректная настройка может вызвать сбой в работе сети.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 3: Фильтрация IP опций

IP куски

Microsoft Forferont TMG позволяет вам перекрыть IP куски. IP фрагментация употребляется для фрагментации пакетов, если они больше наибольшего разрешенного в настройках размера. Эта функция отключена по дефлоту, и при ее включении необходимо быть усмотрительным, так как она может прерывать VPN соединения и некие другие виды трафика.

IPv6

Это новый параметр в Microsoft Forefront TMG. Потому что Microsoft Forefront TMG можно использовать с новейшей функцией Direct Access (DA) операционной системы Windows Server 2008 R2, вы должны вручную позволить серверу TMG Server действовать в качестве сервера Direct Access Server. Для дополнительной инфы о Direct Access перейдите по ссылке в разделе дополнительных ссылок в конце этой статьи.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 4: Включение поддержки Direct Access в Forefront TMG

Настройка характеристик предотвращения Flood-атак

Microsoft Forefront TMG включает некие функции предотвращения атак, которые можно настроить и держать под контролем при помощи консоли управления Microsoft forefront TMG. Характеристики в TMG фактически такие же, как и в ISA Server 2006, потому если вы знакомы с ISA Server 2006, у вас не возникнет заморочек с этими функциями в TMG. TMG содержит последующие функции:

Ограничение количества HTTP соединений
Функции защиты от Flood-атак и распространения червяка
Ограничение количества сразу присоединенных юзеров
Защита от определенных атак типа IP-спуфинг, DNS переполнения, DHCP poisoning и определение вторжений

Предотвращение Flood-атак и распространения червяка

Атаки flood определяются как атаки вредных юзеров, которые пробуют выполнить «заливку» машин либо сети «сорными» TCP пакетами. Атака flood может вызывать одну из последующих реакций:

Перегрузка диска и завышенное потребление ресурсов на брандмауэре
Высочайшая загруженность ЦП
Завышенный уровень употребления ресурсов памяти
Завышенный уровень употребления сетевых ресурсов

При помощи Microsoft Forefront TMG можно задавать наибольшее количество подключений во время определенного периода либо наибольшее количество подключений для IP адреса. Когда наибольшее количество клиентских запросов достигнуто, новые клиентские запросы отвергаются и соединения обрываются.

Стандартные характеристики предотвращения Flood-атак в Microsoft Forefront TMG помогают убедиться в том, что сервер TMG способен продолжать работать, даже когда он подвержен flood-атаке.

Атака TMG предотвращение Умолчания
Flood-атака – определенный IP адресок пробует открыть огромное количество соединений с разными IP адресами для воплощения flood-атаки Запросы TCP подключений за минуту, для IP адреса По дефлоту TMG Server ограничивает количество TCP запросов для клиента до 600 за минуту. Следует учесть, что есть некие обычные приложения, которые могут создавать огромное количество попыток подключения
Flood-атака – определенный IP адресок пробует залить ISA Server сохранением множественных одновременных TCP подключений Одновременные TCP подключения на IP адресок TMG ограничивает количество одновременных TCP подключений для клиента до 160
SYN атаки – вредный клиент пробует залить TMG Server огромным количеством наполовину открытых TCP соединений TMG предутверждает SYN атаки TMG ограничивает количество одновременных наполовину открытых TCP соединений вполовину меньше разрешенного количества одновременных TCP соединений. Этот параметр нельзя поменять
User Datagram Protocol (UDP) Flood-атака – IP адресок пробует инициировать атаку «отказ в обслуживании» Одновременные UDP сеансы на IP адресок. При появлении UDP flood-атаки сервер TMG закрывает старенькые сеансы, чтоб количество одновременных подключений не превышало разрешенный предел TMG ограничивает количество одновременных UDP сеансов для IP адреса до 160. Этот предел можно прирастить до 400 одновременных UDP сеансов

Настройка характеристик Flood-атак

Давайте начнем с главных шагов опции предотвращения Flood-атак в консоли управления TMG Server.

В параметрах опции предотвращения Flood-атак можно включить предотвращение flood-атак и распространения червяка, также найти запись заблокированного трафика в журнальчик регистрации событий.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 5: Предотвращение Flood-атак

Для большинства характеристик предотвращения flood-атак можно настроить пользовательские значения для определенных IP адресов, если вы понимаете, что эти IP адреса не взломаны, и трафик с их законный.

IP исключения

Не все атаки являются действительными атаками взломщиков либо вредного юзера. Есть полностью легитимные предпосылки для клиентов, чтоб создавать огромное количество подключений сразу. После определения того, что у клиента есть легитимные предпосылки для такового количества трафика, и вы понимаете, что TMG обладает достаточным объемом ресурсов для дополнительных подключений, можно сделать IP исключения, как показано на последующем рисунке.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 6: Исключения предотвращения Flood-атак

Есть такие характеристики, как предел для полуоткрытых TCP соединений, для которых нереально настроить исключения.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 7: Настройка исключений

Настройка извещений

Будучи админом, вам необходимо знать, когда появляется атака. TMG позволяет вам настроить дефиниции извещений для предупреждения по электрической почте, регистрации в логи и т.д. Для опции извещений вам необходимо открыть консоль управления сервером TMG, перейти в узел мониторинга и избрать закладку Извещения, а потом в панели задач избрать Настроить дефиниции извещений.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 8: Настройка извещений обнаружения вторжений

SIP квоты

SIP (Session Initiation Protocol) поддержка является новейшей функцией в Microsoft Forefront TMG, но в Beta 3 версии TMG есть определенные ограничения. Если вы планируете использовать эту функцию, вам необходимо прочесть примечания к выпуску версии Beta 3. SIP употребляется для обеспечения услуг IP-телефонии и VoIP шлюзов. До ISA Server 2006 не было поддержки SIP, потому приходилось вручную настраивать все нужные порты для SIP коммуникации. Microsoft Forefront TMG идет с интегрированным SIP-фильтром. SIP употребляет SIP квоты для собственной работы, и Microsoft Forefront TMG позволяет настраивать SIP квоты, как показано на последующем рисунке. Если вы решите настроить SIP квоты в TMG, вам необходимо пристально ознакомиться с требованиями производителей аппаратного и программного обеспечения SIP, и рекомендуемые ими характеристики.

Определение вторжения на базе поведения в Microsoft Forefront TMG

Набросок 9: Настройка SIP квот

Заключение

В этой статье я попробовал показать вам, как настраивать Microsoft Forefront TMG для защиты от попыток вторжения и как настраивать извещения, чтоб получать информацию, когда Microsoft Forefront TMG регистрирует атаки.

Дополнительные ссылки

Forefront Threat Management Gateway Beta 3
Forefront TMG Beta 3 is released
Что нового в Forefront TMG Beta 2 (часть 1)
Установка и настройка Microsoft Forefront TMG Beta 2
Разъяснение и настройка NIS (Network Inspection Service)
Защита от потоков ISA Server 2006 Flood Mitigation
Windows 7 and Windows Server 2008 R2 DirectAccess Executive Overview

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.