Главная  »  Защита от потоков ISA Server 2006 Flood Mitigation

Защита от потоков ISA Server 2006 Flood Mitigation

Мета теги                     

Начиная с ISA Server 2000, компания Microsoft использовала некоторые впрямь элементарные параметры обнаружения и защиты от вторжений и спуфинга (получения доступа путем обмана). ISA Server 2004 имел больше параметров для борьбы с такими атаками. ISA Server 2006 обладает дополнительным параметрами борьбы против спама. К новым технологиям, включенным в ISA Server 2006, относится установка Flood Mitigation (меры по предотвращению потоков), которая создана для защиты от угроз. Не на шутку данная статья посвящена параметру ISA Server 2006 Flood mitigation.

Угрозы и контрмеры

В нашем мире существуют более менее различные угрозы. В таблице, расположенной ниже, приведены некоторые из этих угроз, а также разительно соответствующие параметры ISA Server 2006 для борьбы с ними.

Таблица 1: Угрозы и параметры УгрозаПараметрЧерви, передающиеся от пользователя пользователю и от сети к сетиПредупреждение (IP alert spoofing) Квоты соединения (Connection Quotas) Истинно улучшенная защита потоков (Enhanced Flood Protection) Обнаружение вторжений (Intrusion Detection) Защита против отказа от обслуживания (Denial of Service (DoS)) и распространяемых атак с целью нарушения нормального обслуживания пользователей (Distributed Denial of Service attacks)Повышающееся количество атак внешних ресурсов (externally facing resources)Возможные атаки посредством заражения DHCP, обнаружение вторжений и IP фрагментация могут быть легко настроены на защиту корпоративных сетей.Защита против атак IP-подмен (IP spoofing attacks)Защита против IP-подмен в ISA Server 2006. ISA Server 2006 защищает от IP-подмен путем проверки достоверности IP адреса источника в пакете.Типы атак

Чтобы понять принцип работы хакеров, вам нужно знать об искусстве хакинга и о том, какие типы атак существуют. Следующая таблица дает обзор некоторых типов атак.

Таблица 2: Типы атак АтакаОписаниеВнутренняя атака червей через TCP соединениеКлиенты заражаются червем, и будут распространять его через разительно различные порты на другие компьютеры в сети. Средство атаки в виде таблицы соединения (Connection table exploit)Мошенник пытается заполнить таблицу соединения фальшивыми данными, чтобы сервер ISA не смог выполнить несказанно подлинные запросы.Последовательные TCP соединения во время потоковых атакМошенник пытается весьма последовательно открывать и что и говорить одновременно закрывать множество TCP соединений, чтобы пройти механизм лимита ресурсов и потреблять довольно таки большое количество ресурсов ISA.HTTP распределенная атака типа DDoS с использованием существующих соединенийМошенник посылает несказанно большое количество HTTP запросов через существующее TCP соединение, которое использует интервал активности (Keep alive interval).Настройка параметров защиты от атак (Attack Mitigation)

ISA Server 2006 включает некоторые параметры защиты от атак, которые можно настроить и контролировать с помощью консоли управления.

Лимиты HTTP соединения Параметры потоковых атак (Flood Attack) и распространения червя (Worm propagation) Ограничение количества параллельных пользователей Защита от определенных атак типа IP-подмены, DNS переполнение, DHCP заражение и обнаружение вторжений Защита от потоковых атак и распространения червя

Потоковая атака – это атака, исходящая от вредоносного пользователя, который пытается наводнить машину или сеть бесполезными TCP пакетами. Потоковая (или лавинная) атака может стать причиной одной из следующих реакций:

Сильно большая загрузка диска и необыкновенно высокий уровень потребления ресурсов на брандмауэре В действительности высокий уровень загрузки центрального процессора Сильно высокий уровень потребления памяти Более менее высокий уровень потребления несказанно пропускной способности сети

На ISA Server 2006 можно устанавливать как нельзя очень максимальное количество подключений в течение определенных промежутков времени или неимоверно максимальное количество подключений для определенного IP адреса. Когда весьма максимальное количество запросов клиента достигнуто, впрямь новые запросы клиента отвергаются и соединение прерывается.

Настройки по умолчанию помогают обеспечить работу ISA Server, даже когда он подвергся лавинной атаке.

Таблица 3: Защита ISA АтакаПараметр защиты ISA MitigationУмолчанияЛавинная атака. Определенный IP адрес пытается открыть множество соединений различным IP адресам.Количество запросов TCP соединений в минуту, для IP адреса.По умолчанию, ISA Server ограничивает количество TCP запросов на клиента до 600 в минуту. Необходимо помнить о том, что существуют определенные реально законные приложения, которые могут создавать как нельзя более высокое количество попыток соединения.Лавинная атака. Определенный IP адрес пытается наполнить ISA Server, поддерживая определенное количество TCP соединений параллельно.Количество параллельных TCP соединений на IP адрес.ISA Server ограничивает количество параллельных TCP соединений на клиента до 160.Синхронная атака (SYN attack). Сильно вредоносный клиент пытается наполнить ISA Sever 2006 большим количеством полуоткрытых TCP соединений.ISA Server снижает разительно синхронные атаки.ISA Server ограничивает количество параллельных полуоткрытых TCP соединений до половины количества параллельных соединений, настроенных для параллельных TCP соединений. Эту настройку нельзя изменить.Лавинная атака через протокол (User Datagram Protocol (UDP)). IP адрес пытается начать атаку типа «отказ от обслуживания».Количество параллельных UDP сеансов на IP адрес. Когда по-моему лавинная атака UDP имеет место, ISA Server закрывает более старые сеансы, как нельзя более поэтому количество разрешенных параллельных соединений не превышает установленного значения. ISA Server ограничивает количество параллельных UDP сеансов на IP адрес до 160. Это значение можно изменять в переделах до 400 параллельных UDP сеансов.Конфигурация лавинных атак

Можно настроить защиту от атак (Flood Mitigation) с помощью консоли управления ISA Server 2006 Management console.

Все параметры защиты от атак в ISA Server 2006, а также настройки против DNS атак можно найти во вкладке Конфигурация – Общие.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 1: Впрямь дополнительная политика безопасности ISA Server

На странице Настройка параметров защиты от потоковых атак (Flood Mitigation) можно активировать защиту от потоков и распространения червя, а также загрузки заблокированного трафика.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 2: Очень общие параметры защиты

Многие из параметров защиты от потоковых атак позволяют вам устанавливать довольно таки собственные лимиты для определенных IP адресов. После чего вы можете быть спокойны, что эти IP адреса не подвергаются риску, а трафик легитимный.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 3: Без сомнения собственные лимиты для IP исключений

Для определенных параметров, таких как ограничения полуоткрытых TCP соединений, вы не можете назначить исключения.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 4: Параметры соединений без исключений

IP исключения

Не каждая атака исходит от хакера или вредоносного пользователя. Есть несколько причин, по которым определенные клиенты могут создавать больше соединений в определенное время или для определенного IP адреса. После того, как вы убедились, что клиент имеет довольно таки законные причины для такого объема трафика, а ISA сервер обладает достаточным количеством ресурсов для дополнительных соединений, вы можете создавать IP исключения, как показано на рисунке.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 5: Параметры соединений

Настройка предупреждений

Как администратору вам нужно знать о возникновении потоковых атак или атак спуфинга. ISA Server 2006 позволяет вам настраивать параметры предупреждений, чтобы предупреждать вас по электронной почте, журналу событий и т.д.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 6: Настройка параметров предупреждения

Можно создавать сообщения для нескольких предупреждений, таких как несказанно синхронная атака и превышение лимита соединений в секунду или на IP адрес.

Защита от потоков ISA Server 2006 Flood Mitigation

Рисунок 7: Настройка предупреждений для превышения TCP соединений в минуту

Регистрация потоковых манипуляций (Flood Manipulation)

ISA Server 2006 регистрирует попытки манипуляции потоков, как показано в следующей таблице.

Таблица 4: Регистрация ISA Flood Mitigation (Источник: Microsoft) Код результатаШестнадцатеричный IDДеталиWSA_RWS_QUOTA0×80074E23Соединение было прервано из-за превышения квоты.FWX_E_RULE_QUOTA_EXCEEDED_DROPPED0xC0040033Соединение было прервано, потому что что и говорить максимальное количество соединений в секунду для этого правила было превышено. FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED0xC0040037Соединение было прервано, потому что очень максимальный уровень соединений для хоста одного клиента был превышен.FWX_E_DNS_QUOTA_EXCEEDED0xC0040035DNS запрос не может быть выполнен, потому что достигнут лимит запросов.Заключение

Microsoft ISA Server 2006 обладает новой характеристикой защиты под названием Flood Mitigation. С помощью Flood Mitigation вы можете ограничивать количество текущих TCP и UDP сеансов. Это может помочь ограничить эффект воздействия атак на ISA Server, таких атак как неимоверно синхронные атаки, атаки червя и многие другие известные типы атак.

Не на шутку дополнительные ссылки

Параметры ISA Firewall Flood MitigationISA Server 2006 как неимоверно кухонная утварь: часть 2 – внутренние атакиНастройка параметров защиты от потоковых атакОбзор ISA Server 2006Защита сети ISA Server: Защита от потоков и атак

Автор: Марк Гроут
Иcточник: Isadocs.ru

Мета теги