Настройка обнаружения вторжений в ISA Server

Опубликовано: 15 Апреля, 2023

Среди множества функций Microsoft Internet Security and Acceleration (ISA) Server 2000 — базовые инструменты обнаружения вторжений, лицензированные ISS (Internet Security Systems- http://www.iss.net/isaserver).

Лицензированный набор инструментов включает шесть фильтров IP-пакетов, основанных на распространенных эксплойтах, четыре фильтра приложений DNS и фильтр приложений POP. Сравните их с примерно 500 сигнатурами атак, доступными в ISS в их дополнительном продукте для ISA.

Некоторая помощь часто лучше, чем ничего (особенно когда она бесплатная), поэтому давайте уделим некоторое внимание встроенному набору механизмов обнаружения вторжений. Когда эта функция включена, ISA определяет, когда предпринимается попытка атаки на вашу сеть, и в случае атаки выполняет набор настроенных вручную предупреждений. Чтобы обнаружить нежелательных злоумышленников, ISA Server сравнивает сетевой трафик и записи журнала с известными методами атак. Подозрительные действия вызывают оповещения. Действия включают прекращение соединения, прекращение обслуживания, оповещения по электронной почте, ведение журнала и другие.

Если обнаружение вторжений включено, администратор брандмауэра может настроить следующие триггерные оповещения о вторжениях IP-пакетов:

Внеполосный Windows (WinNuke)
Земельные участки
Пинг смерти
Половинное сканирование IP
UDP-бомба
Сканирование портов

Также доступны фильтры приложений системы доменных имен (DNS), которые анализируют весь входящий трафик на наличие конкретных вторжений на соответствующие серверы. Фильтры обнаружения вторжений DNS помогают перехватывать и анализировать трафик DNS, предназначенный для внутренней сети:

Превышение длины DNS-имени хоста
Переполнение поля длины DNS
Перенос зоны DNS с привилегированных портов TCP/IP (1-1024)
Передача зоны DNS с высоких портов TCP/IP (выше 1024)

Фильтр обнаружения вторжений при атаках на переполнение буфера POP, если он включен, перехватывает и анализирует трафик POP, предназначенный для внутренней сети.

Для настройки обнаружения вторжений для фильтров IP-пакетов —

В дереве консоли ISA Management нажмите

o Internet Security and Acceleration Server 2000

о Массивы

o Политика доступа

o Фильтры IP-пакетов

В правой панели нажмите «Настроить фильтрацию пакетов и обнаружение вторжений».
На вкладке «Общие» нажмите «Включить фильтрацию пакетов» и «Включить обнаружение вторжений».

На вкладке Обнаружение вторжений выберите, какие из следующих типов атак должны генерировать события:
- Внеполосный Windows (WinNuke)
- Земельные участки
- Пинг смерти
- Половинное сканирование IP
- UDP-бомба
- Сканирование портов
Если вы выбрали сканирование портов, то сделайте следующее:
- В поле «Обнаружение после атак на» введите максимальное количество известных портов, которые можно просканировать перед генерацией события.
- В поле «Обнаружение после атак на» введите общее количество портов, которые можно просканировать перед созданием предупреждения.

Нажмите «ОК», чтобы сохранить изменения.
Появится диалоговое окно с вопросом, хотите ли вы сохранить изменения и дать вам возможность перезапустить Службы немедленно или позже. Нажмите на свой выбор и нажмите «ОК».

Чтобы настроить обнаружение вторжений для фильтров приложений DNS и POP –

1. В дереве консоли ISA Management нажмите

Internet Security and Acceleration Server 2000
Массивы
Расширения
Фильтры приложений

2. На правой панели дважды щелкните Фильтр обнаружения вторжений DNS.

Нажмите «Включить» на вкладке «Общие».

Нажмите на фильтры, которые вы хотите включить, и нажмите «ОК».

3. Дважды щелкните фильтр обнаружения вторжений POP и установите флажок, чтобы включить фильтр. Нажмите «ОК».

Кибер-безопасность

Настройка обнаружения вторжений в ISA Server

РЕКОМЕНДУЕМЫЕ СТАТЬИ