Начиная с ISA Server 2000, компания Microsoft использовала некоторые элементарные параметры обнаружения и защиты от вторжений и спуфинга (получения доступа путем обмана). ISA Server 2004 имел больше параметров для борьбы с такими атаками. ISA Server 2006 обладает дополнительным параметрами борьбы против спама. К новым технологиям, включенным в ISA Server 2006, относится установка Flood Mitigation (меры по предотвращению потоков), которая создана для защиты от угроз. Данная статья посвящена параметру ISA Server 2006 Flood mitigation.
В нашем мире существуют различные угрозы. В таблице, расположенной ниже, приведены некоторые из этих угроз, а также соответствующие параметры ISA Server 2006 для борьбы с ними.
Угроза | Параметр |
---|---|
Черви, передающиеся от пользователя пользователю и от сети к сети | Предупреждение (IP alert spoofing) Квоты соединения (Connection Quotas) Улучшенная защита потоков (Enhanced Flood Protection) Обнаружение вторжений (Intrusion Detection) Защита против отказа от обслуживания (Denial of Service (DoS)) и распространяемых атак с целью нарушения нормального обслуживания пользователей (Distributed Denial of Service attacks) |
Повышающееся количество атак внешних ресурсов (externally facing resources) | Возможные атаки посредством заражения DHCP, обнаружение вторжений и IP фрагментация могут быть легко настроены на защиту корпоративных сетей. |
Защита против атак IP-подмен (IP spoofing attacks) | Защита против IP-подмен в ISA Server 2006. ISA Server 2006 защищает от IP-подмен путем проверки достоверности IP адреса источника в пакете. |
Чтобы понять принцип работы хакеров, вам нужно знать об искусстве хакинга и о том, какие типы атак существуют. Следующая таблица дает обзор некоторых типов атак.
Атака | Описание |
---|---|
Внутренняя атака червей через TCP соединение | Клиенты заражаются червем, и будут распространять его через различные порты на другие компьютеры в сети. |
Средство атаки в виде таблицы соединения (Connection table exploit) | Мошенник пытается заполнить таблицу соединения фальшивыми данными, чтобы сервер ISA не смог выполнить подлинные запросы. |
Последовательные TCP соединения во время потоковых атак | Мошенник пытается последовательно открывать и одновременно закрывать множество TCP соединений, чтобы пройти механизм лимита ресурсов и потреблять большое количество ресурсов ISA. |
HTTP распределенная атака типа DDoS с использованием существующих соединений | Мошенник посылает большое количество HTTP запросов через существующее TCP соединение, которое использует интервал активности (Keep alive interval). |
ISA Server 2006 включает некоторые параметры защиты от атак, которые можно настроить и контролировать с помощью консоли управления.
Потоковая атака – это атака, исходящая от вредоносного пользователя, который пытается наводнить машину или сеть бесполезными TCP пакетами. Потоковая (или лавинная) атака может стать причиной одной из следующих реакций:
На ISA Server 2006 можно устанавливать максимальное количество подключений в течение определенных промежутков времени или максимальное количество подключений для определенного IP адреса. Когда максимальное количество запросов клиента достигнуто, новые запросы клиента отвергаются и соединение прерывается.
Настройки по умолчанию помогают обеспечить работу ISA Server, даже когда он подвергся лавинной атаке.
Атака | Параметр защиты ISA Mitigation | Умолчания |
---|---|---|
Лавинная атака. Определенный IP адрес пытается открыть множество соединений различным IP адресам. | Количество запросов TCP соединений в минуту, для IP адреса. | По умолчанию, ISA Server ограничивает количество TCP запросов на клиента до 600 в минуту. Необходимо помнить о том, что существуют определенные законные приложения, которые могут создавать высокое количество попыток соединения. |
Лавинная атака. Определенный IP адрес пытается наполнить ISA Server, поддерживая определенное количество TCP соединений параллельно. | Количество параллельных TCP соединений на IP адрес. | ISA Server ограничивает количество параллельных TCP соединений на клиента до 160. |
Синхронная атака (SYN attack). Вредоносный клиент пытается наполнить ISA Sever 2006 большим количеством полуоткрытых TCP соединений. | ISA Server снижает синхронные атаки. | ISA Server ограничивает количество параллельных полуоткрытых TCP соединений до половины количества параллельных соединений, настроенных для параллельных TCP соединений. Эту настройку нельзя изменить. |
Лавинная атака через протокол (User Datagram Protocol (UDP)). IP адрес пытается начать атаку типа «отказ от обслуживания». | Количество параллельных UDP сеансов на IP адрес. Когда лавинная атака UDP имеет место, ISA Server закрывает более старые сеансы, поэтому количество разрешенных параллельных соединений не превышает установленного значения. | ISA Server ограничивает количество параллельных UDP сеансов на IP адрес до 160. Это значение можно изменять в переделах до 400 параллельных UDP сеансов. |
Можно настроить защиту от атак (Flood Mitigation) с помощью консоли управления ISA Server 2006 Management console.
Все параметры защиты от атак в ISA Server 2006, а также настройки против DNS атак можно найти во вкладке Конфигурация — Общие.
Рисунок 1: Дополнительная политика безопасности ISA Server
На странице Настройка параметров защиты от потоковых атак (Flood Mitigation) можно активировать защиту от потоков и распространения червя, а также загрузки заблокированного трафика.
Рисунок 2: Общие параметры защиты
Многие из параметров защиты от потоковых атак позволяют вам устанавливать собственные лимиты для определенных IP адресов. После чего вы можете быть спокойны, что эти IP адреса не подвергаются риску, а трафик легитимный.
Рисунок 3: Собственные лимиты для IP исключений
Для определенных параметров, таких как ограничения полуоткрытых TCP соединений, вы не можете назначить исключения.
Рисунок 4: Параметры соединений без исключений
Не каждая атака исходит от хакера или вредоносного пользователя. Есть несколько причин, по которым определенные клиенты могут создавать больше соединений в определенное время или для определенного IP адреса. После того, как вы убедились, что клиент имеет законные причины для такого объема трафика, а ISA сервер обладает достаточным количеством ресурсов для дополнительных соединений, вы можете создавать IP исключения, как показано на рисунке.
Рисунок 5: Параметры соединений
Как администратору вам нужно знать о возникновении потоковых атак или атак спуфинга. ISA Server 2006 позволяет вам настраивать параметры предупреждений, чтобы предупреждать вас по электронной почте, журналу событий и т.д.
Рисунок 6: Настройка параметров предупреждения
Можно создавать сообщения для нескольких предупреждений, таких как синхронная атака и превышение лимита соединений в секунду или на IP адрес.
Рисунок 7: Настройка предупреждений для превышения TCP соединений в минуту
ISA Server 2006 регистрирует попытки манипуляции потоков, как показано в следующей таблице.
Код результата | Шестнадцатеричный ID | Детали |
---|---|---|
WSA_RWS_QUOTA | 0x80074E23 | Соединение было прервано из-за превышения квоты. |
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED | 0xC0040033 | Соединение было прервано, потому что максимальное количество соединений в секунду для этого правила было превышено. |
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED | 0xC0040037 | Соединение было прервано, потому что максимальный уровень соединений для хоста одного клиента был превышен. |
FWX_E_DNS_QUOTA_EXCEEDED | 0xC0040035 | DNS запрос не может быть выполнен, потому что достигнут лимит запросов. |
Microsoft ISA Server 2006 обладает новой характеристикой защиты под названием Flood Mitigation. С помощью Flood Mitigation вы можете ограничивать количество текущих TCP и UDP сеансов. Это может помочь ограничить эффект воздействия атак на ISA Server, таких атак как синхронные атаки, атаки червя и многие другие известные типы атак.
www.isaserver.org
Tags: dns, ISA Server, Microsoft ISA Server