Поведенческое обнаружение вторжений Microsoft Forefront TMG

Опубликовано: 9 Апреля, 2023

Примечание:
 Имейте в виду, что информация в этой статье основана на бета-версии Microsoft Forefront TMG и может быть изменена.

Начнем

Несколько месяцев назад Microsoft выпустила третью бета-версию Microsoft Forefront TMG (Threat Management Gateway), которая содержит множество новых функций.

Одной из основных сильных сторон Microsoft Forefront TMG является защита от нескольких сетевых атак и попыток вторжения. Начиная с Microsoft Forefront TMG, Microsoft разделила эти защитные механизмы на две части:

  • Система проверки сети (NIS)
  • Поведенческое обнаружение вторжений

Хотя многие части поведенческого обнаружения вторжений уже существуют в ISA Server 2006, система проверки сети (NIS) является новой в Microsoft Forefront TMG. Если вы хотите узнать больше о NIS, прочтите наши статьи о NIS на сайте www.ISAserver.org. Эта статья будет посвящена поведенческому обнаружению вторжений.

Поведенческое обнаружение вторжений

Большинство частей механизма поведенческого обнаружения вторжений в TMG не новы и остались неизменными в TMG по сравнению с ISA Server 2006.

TMG поставляется со следующим поведенческим механизмом обнаружения вторжений:

  • Общие сетевые атаки
  • Фильтрация IP-опций
  • Защита от наводнений

Прежде чем мы начнем объяснять различные настройки, я попытаюсь дать вам краткий обзор распространенных типов атак, чтобы предоставить некоторую справочную информацию по этому вопросу.

Типы атак

Чтобы знать, как работают «хакеры», вам нужно знать об искусстве взлома и о том, какие типы атак существуют. В следующей таблице представлен обзор некоторых типов атак.

Атака

Описание

Атака внутреннего червя через TCP-соединение Клиенты заражены червем, и он попытается распространиться через разные порты на другие компьютеры в сети.
Эксплойт таблицы соединений Злоумышленник пытается заполнить таблицу соединений неверными запросами, чтобы ISA-сервер не мог выполнять законные запросы.
Последовательные TCP-соединения во время флуд-атаки Злоумышленник пытается последовательно открывать и промежуточно закрывать множество TCP-соединений, чтобы обойти механизм квот и потреблять много ресурсов ISA.
DDoS-атаки протокола передачи гипертекста (HTTP) с использованием существующих подключений Злоумышленник отправляет чрезмерное количество HTTP-запросов через существующее TCP-соединение, которое использовало интервал проверки активности.

Настройка параметров обнаружения для распространенных сетевых атак

Параметры общих атак позволяют настроить некоторые основные методы обнаружения вторжений против нескольких известных атак.

Общие атаки

Распространенными атаками являются Ping of Death, UDP-бомбы или половинное сканирование IP-адресов и многое другое. Эти механизмы защиты не новы, но должны быть рекомендованы для большинства серверов TMG.


Рисунок 1: Защита от распространенных атак

По умолчанию Microsoft Forefront TMG регистрирует все отброшенные пакеты, чтобы быть в курсе, когда злоумышленник попытается подключиться к брандмауэру.

DNS-атаки

Forefront TMG позволяет настроить брандмауэр для фильтрации DNS-трафика с помощью встроенного DNS-фильтра. TMG защищает от переполнения имени хоста DNS, переполнения длины DNS и при необходимости фильтрует данные передачи зоны DNS. Если вы активируете опцию передачи зоны DNS, TMG отклоняет возможную передачу зоны DNS через брандмауэр.


Рисунок 2: Защита от DNS-атак

Настройка фильтрации параметров IP

После того, как мы закончили объяснять распространенные варианты атак, мы должны взглянуть на фильтрацию IP-параметров в Forefront TMG.

Параметры IP

Протокол TCP/IP определяет несколько параметров IP, которые можно использовать для различных целей в сетях IP. Microsoft Forefront TMG имеет возможность блокировать некоторые параметры IP, поскольку не все параметры IP сегодня используются в IP-сетях, а некоторые параметры IP могут использоваться для проникновения в сеть. По умолчанию TMG отклоняет некоторые параметры IP (как вы можете видеть на следующем снимке экрана), и вы можете запретить параметры IP, которые вы не хотите использовать, но будьте осторожны, какие параметры IP вы деактивируете, потому что неправильная настройка может привести к несколько сетевых сбоев.


Рисунок 3: Фильтрация параметров IP

IP-фрагменты

Microsoft Forferont TMG позволяет блокировать IP-фрагменты. Фрагментация IP используется для фрагментации пакетов, если их размер превышает установленный максимальный размер. Этот параметр отключен по умолчанию, и вы должны осторожно активировать эту функцию, потому что она может даже прервать VPN-подключение и некоторый другой трафик.

IPv6

Это новый параметр в Microsoft Forefront TMG. Поскольку Microsoft Forefront TMG можно использовать в сочетании с новой функцией прямого доступа (DA) Windows Server 2008 R2, необходимо вручную разрешить TMG Server действовать как сервер прямого доступа. Для получения дополнительных сведений о прямом доступе перейдите по ссылке в разделе «Ссылки» в конце этой статьи.


Рисунок 4. Включение поддержки прямого доступа в Forefront TMG

Настройка параметров защиты от наводнений

Microsoft Forefront TMG включает некоторые функции защиты от атак, которые можно настраивать и отслеживать с помощью консоли управления Microsoft forefront TMG. Настройки в TMG почти такие же, как и в ISA Server 2006, поэтому, если вы знакомы с конфигурацией в ISA Server 2006, у вас не возникнет проблем с этими функциями в TMG. TMG содержит следующие функции:

  • Ограничения HTTP-соединений
  • Функции Flood Attack и Worm распространения
  • Ограничьте количество одновременных пользователей
  • Защита от определенных атак, таких как подмена IP-адреса, переполнение DNS, отравление DHCP и обнаружение вторжений.

Защита от флуда и распространения червей

Атака наводнения определяется как атака со стороны злонамеренного пользователя, когда этот пользователь пытается затопить машину или сеть мусорными TCP-пакетами. Атака наводнения может вызвать одну из следующих реакций:

  • Большая нагрузка на диск и потребление ресурсов брандмауэром
  • Высокая загрузка процессора
  • Высокое потребление памяти
  • Высокое потребление пропускной способности сети

В Microsoft Forefront TMG можно установить максимальное количество подключений в течение определенного периода времени или максимальное количество подключений для IP-адреса. Когда достигается максимальное количество клиентских запросов, любые новые клиентские запросы отклоняются, а соединения разрываются.

Параметры конфигурации по умолчанию защиты от переполнения в Microsoft Forefront TMG помогают гарантировать, что сервер TMG может продолжать функционировать, даже когда TMG подвергается атаке переполнения.

Атака

Смягчение TMG

По умолчанию

Атака флудом. Определенный IP-адрес пытается открыть множество подключений к разным IP-адресам, чтобы создать атаку флудом. Количество запросов TCP-подключения в минуту на IP-адрес По умолчанию TMG Server ограничивает количество TCP-запросов на клиента до 600 в минуту. Имейте в виду, что есть некоторые законные приложения, которые могут создавать большое количество попыток подключения.
Атака флудом — определенный IP-адрес пытается затопить ISA Server, одновременно поддерживая множество TCP-соединений. Параллельные TCP-соединения на IP-адрес TMG ограничивает количество одновременных TCP-соединений на клиента до 160.
SYN-атака. Вредоносный клиент пытается залить сервер TMG большим количеством полуоткрытых TCP-соединений. TMG защищает от SYN-атак TMG ограничивает количество одновременных полуоткрытых TCP-подключений до половины количества одновременных подключений, настроенных для одновременных TCP-подключений. Этот параметр нельзя изменить
Атака переполнения протокола пользовательских дейтаграмм (UDP) — IP-адрес пытается запустить атаку типа «отказ в обслуживании». Параллельные сеансы UDP на IP-адрес.

Когда происходит флуд-атака UDP, сервер TMG закрывает старые сеансы, так что одновременно разрешено не более указанного количества подключений.

TMG ограничивает количество одновременных сеансов UDP на IP-адрес до 160. Это ограничение можно настроить до 400 одновременных сеансов UDP.

Конфигурация атаки флудом

Давайте начнем с некоторых основных шагов, чтобы настроить защиту от флуда в консоли управления TMG Server.

В настройках защиты от флуда можно включить защиту от флуда и распространения червей, а также указать, следует ли регистрировать заблокированный трафик.


Рисунок 5: Меры по смягчению последствий наводнения

Для многих параметров предотвращения флуда можно настроить пользовательские ограничения для определенных IP-адресов, из которых вы знаете, что эти IP-адреса не скомпрометированы и трафик является законным.

IP-исключения

Не каждая атака является реальной атакой хакера или злоумышленника. Есть некоторые юридические причины для клиента, который создает больше соединений за раз или IP-адрес, чем другие клиенты. После выяснения того, что у клиента есть юридическая причина для такого большого трафика, и вы уверены, что у TMG достаточно ресурсов для дополнительных подключений, можно создать IP-исключения, как показано на следующем снимке экрана.


Рисунок 6: Исключения для защиты от наводнений

Существуют некоторые настройки, такие как лимиты соединений для полуоткрытых соединений TCP, для которых вы не можете настроить пользовательские исключения.


Рисунок 7: Настройка исключений

Настроить оповещения

Как администратор вы хотели бы знать, когда происходит флуд-атака или атака спуфинга. TMG дает вам возможность настроить определения оповещений для оповещения по электронной почте, журналу событий и многим другим. Чтобы настроить оповещения, запустите консоль управления TMG, перейдите к узлу «Мониторинг», выберите вкладку «Оповещения» и на панели задач нажмите «Настроить определения оповещений ».


Рисунок 8: Настройка предупреждений об обнаружении вторжений

SIP-квоты

Поддержка SIP (Session Initiation Protocol) — это новая функция в Microsoft Forefront TMG, но в бета-версии 3 TMG с некоторыми ограничениями. Если вы планируете использовать эту функцию, вам следует прочитать примечания к выпуску Beta 3. SIP используется для предоставления услуг IP-телефонии и шлюзов VoIP. До ISA Server 2006 поддержка SIP отсутствовала, поэтому вам приходилось вручную настраивать все необходимые порты для связи по протоколу SIP. Microsoft Forefront TMG поставляется со встроенным SIP-фильтром. SIP использует SIP-квоты для своей работы, а Microsoft Forefront TMG позволяет настраивать ограничения SIP-квоты, как показано на следующем снимке экрана. Если вы решите настроить SIP-квоты в TMG, внимательно ознакомьтесь с требованиями поставщиков аппаратного и программного обеспечения SIP и рекомендуемыми ими настройками.


Рисунок 9: Настройка SIP-квот

Вывод

В этой статье я попытался показать вам, как настроить Microsoft Forefront TMG для защиты от известных попыток обнаружения вторжений и как настроить параметры предупреждений, чтобы получать информацию о вторжении в Microsoft Forefront TMG.

Ссылки по теме

  • Шлюз управления угрозами Forefront, бета-версия 3
  • Выпущена третья бета-версия Forefront TMG
  • Что нового в Forefront TMG Beta 2 (часть 1)
  • Установка и настройка Microsoft Forefront TMG Beta 2
  • Объяснение и настройка NIS (Служба проверки сети)
  • Защита от флуда ISA Server 2006
  • Обзор Windows 7 и Windows Server 2008 R2 DirectAccess для руководителей
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023