Защита от флуда ISA Server 2006
Начиная с ISA Server 2000, Microsoft реализовала некоторые элементарные функции защиты от спуфинга и обнаружения вторжений. В ISA Server 2004 появилось больше функций для борьбы с атаками обнаружения вторжений. В ISA Server 2006 добавлены дополнительные методы борьбы со спамом. Включены новые технологии — настройки защиты от наводнений, которые должны помочь защититься от угроз. В этой статье основное внимание уделяется параметрам защиты от флуда в ISA Server 2006.
Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.
Угрозы и контрмеры
В нашем мире есть разные угрозы. В приведенной ниже таблице выделены некоторые из этих угроз, а также показана соответствующая функция ISA Server 2006, которая борется с ними.
Угроза | Особенность |
Черви, которые передаются от пользователя к пользователю и из сети в сеть |
|
Увеличение числа атак на внешние ресурсы |
|
Защита от атак с подменой IP-адресов |
|
Таблица 1: Угрозы и особенности
Типы атак
Чтобы знать, как работают «хакеры», вам нужно знать об искусстве взлома и о том, какие типы атак существуют. В следующей таблице представлен обзор некоторых типов атак.
Атака | Описание |
Атака внутреннего червя через TCP-соединение | Клиенты будут заражены червем, и они распространят червя через разные порты на другие компьютеры в сети. |
Эксплойт таблицы соединений | Злоумышленник пытается заполнить таблицу соединений неверными запросами, чтобы ISA-сервер не мог выполнять законные запросы. |
Последовательные TCP-соединения во время флуд-атаки | Злоумышленник пытается последовательно открывать и промежуточно закрывать множество TCP-соединений, чтобы обойти механизм квот и потреблять много ресурсов ISA. |
DDoS-атаки протокола передачи гипертекста (HTTP) с использованием существующих подключений | Злоумышленник отправляет чрезмерное количество HTTP-запросов через существующее TCP-соединение, которое использует интервал проверки активности. |
Таблица 2: Типы атак
Настройка функций защиты от атак
ISA Server 2006 включает в себя некоторые функции защиты от атак, которые можно настраивать и контролировать с помощью консоли управления.
- Ограничения HTTP-соединений
- Функции Flood Attack и Worm распространения
- Ограничьте количество одновременных пользователей
- Защита от определенных атак, таких как подмена IP-адреса, переполнение DNS, отравление DHCP и обнаружение вторжений.
Защита от флуда и распространения червей
Атака наводнения определяется как атака со стороны злонамеренного пользователя, когда этот пользователь пытается затопить компьютер или сеть мусорными TCP-пакетами. Атака наводнения может вызвать одну из следующих реакций:
- Большая нагрузка на диск и потребление ресурсов брандмауэром
- Высокая загрузка процессора
- Высокое потребление памяти
- Высокое потребление пропускной способности сети
В ISA Server 2006 можно установить максимальное количество подключений в течение определенного периода времени или максимальное количество подключений для IP-адреса. Когда достигнуто максимальное количество клиентских запросов, любые новые клиентские запросы отклоняются, а соединения разрываются.
Параметры конфигурации по умолчанию помогают гарантировать, что ISA Server может продолжать функционировать, даже когда ISA находится под атакой наводнения.
Атака | Защита от ISA | По умолчанию |
Атака наводнением. Конкретный IP-адрес пытается открыть множество подключений к множеству разных IP-адресов. | Количество запросов TCP-соединения в минуту на IP-адрес. | По умолчанию ISA Server ограничивает количество TCP-запросов на клиента до 600 в минуту. Имейте в виду, что есть некоторые законные приложения, которые могут создать большое количество попыток подключения. |
Атака наводнением. Определенный IP-адрес пытается затопить ISA Server, одновременно поддерживая многочисленные соединения TCP. | Параллельные TCP-соединения на IP-адрес. | ISA Server ограничивает количество одновременных TCP-соединений на клиента до 160. |
СИН-атака. Вредоносный клиент пытается залить ISA Sever 2006 большим количеством полуоткрытых TCP-соединений. | ISA Server подавляет SYN-атаки. | ISA Server ограничивает количество одновременных полуоткрытых TCP-подключений до половины количества одновременных подключений, настроенных для одновременных TCP-подключений. Этот параметр нельзя изменить. |
Атака флуда по протоколу пользовательских дейтаграмм (UDP). IP-адрес пытается начать атаку типа «отказ в обслуживании». | Параллельные сеансы UDP на IP-адрес. Когда происходит флуд-атака UDP, ISA Server закрывает старые сеансы, так что одновременно разрешено не более указанного количества подключений. | ISA Server ограничивает количество одновременных сеансов UDP на IP-адрес до 160. Это ограничение можно настроить до 400 одновременных сеансов UDP. |
Таблица 3: Защита ISA
Конфигурация атаки флудом
Вы можете настроить защиту от флуда в консоли управления ISA Server 2006.
Все функции ISA Server 2006 по предотвращению наводнений и другие методы защиты от DNS-атак можно найти в узле «Конфигурация — Общие».
Фигура 1: Дополнительная политика безопасности ISA Server
В Настройках защиты от флуда можно включить защиту от распространения флуда и червей, а также регистрацию заблокированного трафика.
Фигура 2: Общие настройки защиты от флуда
Многие параметры защиты от флуда позволяют настраивать пользовательские ограничения для определенных IP-адресов. После этого вы можете быть уверены, что эти IP-адреса не скомпрометированы, а трафик является законным.
Рисунок 3: Пользовательские ограничения для исключений IP-адресов
Существуют некоторые настройки, такие как лимиты соединений для полуоткрытых соединений TCP, для которых вы не можете установить какие-либо исключения.
Рисунок 4: Настройки подключения без исключений
IP-исключения
Не каждая атака является реальной атакой хакера или злоумышленника. Есть несколько причин, по которым клиенты могут создавать больше подключений за раз или по IP-адресу. После выяснения того, что у клиента есть юридическая причина для такого большого трафика, и вы уверены, что у ISA-сервера достаточно ресурсов для дополнительных подключений, можно создать IP-исключения, как показано на следующем рисунке.
Рисунок 5: Настройки соединения
Настроить оповещения
Как администратор, вы хотели бы знать, когда происходят флуд-атаки или спуфинг-атаки. ISA Server 2006 позволяет настраивать определения предупреждений, чтобы они уведомляли вас по электронной почте, в журнале событий и т. д.
Рисунок 6: Настройка определений предупреждений
Можно создать уведомление для нескольких предупреждений, таких как SYN-атаки и превышение лимита подключений в секунду или на IP-адрес.
Рисунок 7: Настройте определения предупреждений для большого количества подключений TCP в минуту.
Регистрация манипуляций с флудом
ISA Server 2006 регистрирует попытки манипулирования флудом, как показано в следующей таблице.
Код результата | Шестнадцатеричный идентификатор | Подробности |
WSA_RWS_QUOTA | 0x80074E23 | В соединении было отказано из-за превышения квоты. |
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED | 0xC0040033 | Соединение было отклонено, так как превышено максимальное количество соединений, создаваемых в секунду для этого правила. |
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED | 0xC0040037 | Соединение было отклонено из-за превышения максимальной скорости соединений для одного клиентского хоста. |
FWX_E_DNS_QUOTA_EXCEEDED | 0xC0040035 | Запрос DNS не может быть выполнен, так как достигнут лимит запросов. |
Таблица 4. Ведение журнала ISA Flood Mitigation (Источник: Microsoft)
Вывод
Microsoft ISA Server 2006 представляет новую функцию, которая называется Flood Mitigation. С помощью Flood Mitigation вы можете ограничить количество текущих сессий TCP и UDP. Это может помочь ограничить последствия атак на ISA Server, таких как атаки SYN, атаки червей и многие другие известные атаки.
Ссылки по теме
- Параметры защиты от флуда брандмауэра ISA
- ISA Server 2006 как кухонная утварь: Часть 2 — Внутренние атаки
- Настройка защиты от флуда
- Обзор ISA Server 2006
- Защита сети ISA Server: защита от флуда и атак