Защита от потоков ISA Server 2006 Flood Mitigation

Начиная с ISA Server 2000, компания Microsoft использовала
некие простые характеристики обнаружения и защиты от
вторжений и спуфинга (получения доступа методом обмана). ISA
Server 2004 имел больше характеристик для борьбы с такими
атаками. ISA Server 2006 обладает дополнительным параметрами
борьбы против мусора. К новым технологиям, включенным в ISA
Server 2006, относится установка Flood Mitigation (меры по
предотвращению потоков), которая предназначена для защиты от угроз.
Данная статья посвящена параметру ISA Server 2006 Flood
mitigation.

Опасности и контрмеры

В нашем мире есть разные опасности. В таблице,
расположенной ниже, приведены некие из этих угроз, также
надлежащие характеристики ISA Server 2006 для борьбы с
ними.

Таблица 1: Опасности и характеристики

Угроза Параметр
Червяки, передающиеся от юзера юзеру и
от сети к сети
Предупреждение (IP alert spoofing) Квоты соединения
(Connection Quotas) Усовершенствованная защита потоков (Enhanced
Flood Protection) Обнаружение вторжений (Intrusion
Detection) Защита против отказа от обслуживания (Denial
of Service (DoS)) и распространяемых атак с целью
нарушения обычного обслуживания юзеров
(Distributed Denial of Service attacks)
Повышающееся количество атак наружных ресурсов
(externally facing resources)
Вероятные атаки средством инфецирования DHCP,
обнаружение вторжений и IP фрагментация могут быть просто
настроены на защиту корпоративных сетей.
Защита против атак IP-подмен (IP spoofing
attacks)
Защита против IP-подмен в ISA Server 2006. ISA
Server 2006 защищает от IP-подмен методом проверки
достоверности IP адреса источника в
пакете.

Типы атак

Чтоб осознать механизм работы взломщиков, вам необходимо знать об
искусстве хакинга и о том, какие типы атак есть.
Последующая таблица дает обзор неких типов атак.

Таблица 2: Типы атак

Атака Описание
Внутренняя атака червяков через TCP соединение Клиенты заражаются червяком, и будут распространять
его через разные порты на другие компы в сети.
Средство атаки в виде таблицы соединения (Connection
table exploit)
Жулик пробует заполнить таблицу соединения
липовыми данными, чтоб сервер ISA не сумел выполнить
подлинные запросы.
Поочередные TCP соединения во время потоковых
атак
Жулик пробует поочередно открывать и
сразу закрывать огромное количество TCP соединений, чтоб
пройти механизм лимита ресурсов и потреблять огромное
количество ресурсов ISA.
HTTP распределенная атака типа DDoS с внедрением
имеющихся соединений
Жулик отправляет огромное количество HTTP запросов
через имеющееся TCP соединение, которое употребляет
интервал активности (Keep alive
interval).

Настройка характеристик защиты от атак (Attack
Mitigation)

ISA Server 2006 включает некие характеристики защиты от
атак, которые можно настроить и держать под контролем при помощи
консоли управления.

Лимиты HTTP соединения
Характеристики потоковых атак (Flood Attack) и
распространения червяка (Worm propagation)
Ограничение количества параллельных юзеров
Защита от определенных атак типа IP-подмены, DNS
переполнение, DHCP инфецирование и обнаружение вторжений

Защита от потоковых атак и распространения червяка

Потоковая атака – это атака, исходящая от вредного
юзера, который пробует наводнить машину либо сеть
никчемными TCP пакетами. Потоковая (либо лавинная) атака
может стать предпосылкой одной из последующих реакций:

Большая загрузка диска и высочайший уровень употребления
ресурсов на брандмауэре
Высочайший уровень загрузки центрального микропроцессора
Высочайший уровень употребления памяти
Высочайший уровень употребления пропускной возможности сети

На ISA Server 2006 можно устанавливать наибольшее
количество подключений в течение определенных промежутков
времени либо наибольшее количество подключений для
определенного IP адреса. Когда наибольшее количество
запросов клиента достигнуто, новые запросы клиента отвергаются
и соединение прерывается.

Опции по дефлоту помогают обеспечить работу ISA
Server, даже когда он подвергся лавинной атаке.

Таблица 3: Защита ISA

Атака Параметр защиты ISA Mitigation Умолчания
Лавинная атака. Определенный IP адресок пробует
открыть огромное количество соединений разным IP адресам.
Количество запросов TCP соединений за минуту, для IP
адреса.
По дефлоту, ISA Server ограничивает количество TCP
запросов на клиента до 600 за минуту. Нужно держать в голове
о том, что есть определенные легитимные приложения,
которые могут создавать высочайшее количество попыток
соединения.
Лавинная атака. Определенный IP адресок пробует
наполнить ISA Server, поддерживая определенное
количество TCP соединений параллельно.
Количество параллельных TCP соединений на IP
адресок.
ISA Server ограничивает количество параллельных TCP
соединений на клиента до 160.
Синхронная атака (SYN attack). Вредный клиент
пробует наполнить ISA Sever 2006 огромным количеством
полуоткрытых TCP соединений.
ISA Server понижает синхронные атаки. ISA Server ограничивает количество параллельных
полуоткрытых TCP соединений до половины количества
параллельных соединений, настроенных для параллельных
TCP соединений. Эту настройку нельзя поменять.
Лавинная атака через протокол (User Datagram
Protocol (UDP)). IP адресок пробует начать атаку типа
«отказ от обслуживания».
Количество параллельных UDP сеансов на IP адресок.
Когда лавинная атака UDP имеет место, ISA Server
закрывает более старенькые сеансы, потому количество
разрешенных параллельных соединений не превосходит
установленного значения.
ISA Server ограничивает количество параллельных UDP
сеансов на IP адресок до 160. Это значение можно изменять
в переделах до 400 параллельных UDP
сеансов.

Конфигурация лавинных атак

Можно настроить защиту от атак (Flood Mitigation) при помощи
консоли управления ISA Server 2006 Management console.

Все характеристики защиты от атак в ISA Server 2006, также
опции против DNS атак можно отыскать во вкладке
Конфигурация – Общие.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 1: Дополнительная политика безопасности
ISA Server

На страничке Настройка характеристик защиты от потоковых
атак (Flood Mitigation) можно активировать защиту от
потоков и распространения червяка, также загрузки
заблокированного трафика.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 2: Общие характеристики защиты

Многие из характеристик защиты от потоковых атак позволяют вам
устанавливать собственные лимиты для определенных IP адресов.
После этого вы сможете быть размеренны, что эти IP адреса не
подвергаются риску, а трафик законный.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 3: Собственные лимиты для IP
исключений

Для определенных характеристик, таких как ограничения
полуоткрытых TCP соединений, вы не сможете назначить
исключения.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 4: Характеристики соединений без
исключений

IP исключения

Не любая атака исходит от взломщика либо вредного
юзера. Есть несколько обстоятельств, по которым определенные
клиенты могут создавать больше соединений в определенное время
либо для определенного IP адреса. После того, как вы удостоверились,
что клиент имеет легитимные предпосылки для такового объема трафика, а
ISA сервер обладает достаточным количеством ресурсов для
дополнительных соединений, вы сможете создавать IP исключения,
как показано на рисунке.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 5: Характеристики соединений

Настройка предупреждений

Как админу вам необходимо знать о появлении
потоковых атак либо атак спуфинга. ISA Server 2006 позволяет
вам настраивать характеристики предупреждений, чтоб предупреждать
вас по электрической почте, журнальчику событий и т.д.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 6: Настройка характеристик
предупреждения

Можно создавать сообщения для нескольких предупреждений,
таких как синхронная атака и превышение лимита соединений в
секунду либо на IP адресок.

Защита от потоков ISA Server 2006 Flood Mitigation

Набросок 7: Настройка предупреждений для
превышения TCP соединений за минуту

Регистрация потоковых манипуляций (Flood
Manipulation)

ISA Server 2006 регистрирует пробы манипуляции потоков,
как показано в последующей таблице.

Таблица 4: Регистрация ISA Flood Mitigation (Источник:
Microsoft)

Код результата Шестнадцатеричный ID Детали
WSA_RWS_QUOTA 0x80074E23 Соединение было прервано из-за превышения
квоты.
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED 0xC0040033 Соединение было прервано, так как наибольшее
количество соединений за секунду для этого правила было
превышено.
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED 0xC0040037 Соединение было прервано, так как наибольший
уровень соединений для хоста 1-го клиента был
превышен.
FWX_E_DNS_QUOTA_EXCEEDED 0xC0040035 DNS запрос не может быть выполнен, так как
достигнут предел запросов.

Заключение

Microsoft ISA Server 2006 обладает новейшей чертой
защиты под заглавием Flood Mitigation. При помощи Flood
Mitigation вы сможете ограничивать количество текущих TCP и UDP
сеансов. Это может посодействовать ограничить эффект воздействия атак
на ISA Server, таких атак как синхронные атаки, атаки червяка и
многие другие известные типы атак.

Дополнительные ссылки

Характеристики
ISA Firewall Flood Mitigation
ISA
Server 2006 как кухонная утварь: часть 2 – внутренние
атаки
Настройка
характеристик защиты от потоковых атак
Обзор
ISA Server 2006
Защита
сети ISA Server: Защита от потоков и атак

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.