Защита от потоков ISA Server 2006 Flood Mitigation

Published on Февраль 12, 2009 by   ·   Комментариев нет

Начиная с ISA Server 2000, компания Microsoft использовала некоторые элементарные параметры обнаружения и защиты от вторжений и спуфинга (получения доступа путем обмана). ISA Server 2004 имел больше параметров для борьбы с такими атаками. ISA Server 2006 обладает дополнительным параметрами борьбы против спама. К новым технологиям, включенным в ISA Server 2006, относится установка Flood Mitigation (меры по предотвращению потоков), которая создана для защиты от угроз. Данная статья посвящена параметру ISA Server 2006 Flood mitigation.

Угрозы и контрмеры

В нашем мире существуют различные угрозы. В таблице, расположенной ниже, приведены некоторые из этих угроз, а также соответствующие параметры ISA Server 2006 для борьбы с ними.

Таблица 1: Угрозы и параметры
Угроза Параметр
Черви, передающиеся от пользователя пользователю и от сети к сети Предупреждение (IP alert spoofing) Квоты соединения (Connection Quotas) Улучшенная защита потоков (Enhanced Flood Protection) Обнаружение вторжений (Intrusion Detection) Защита против отказа от обслуживания (Denial of Service (DoS)) и распространяемых атак с целью нарушения нормального обслуживания пользователей (Distributed Denial of Service attacks)
Повышающееся количество атак внешних ресурсов (externally facing resources) Возможные атаки посредством заражения DHCP, обнаружение вторжений и IP фрагментация могут быть легко настроены на защиту корпоративных сетей.
Защита против атак IP-подмен (IP spoofing attacks) Защита против IP-подмен в ISA Server 2006. ISA Server 2006 защищает от IP-подмен путем проверки достоверности IP адреса источника в пакете.

Типы атак

Чтобы понять принцип работы хакеров, вам нужно знать об искусстве хакинга и о том, какие типы атак существуют. Следующая таблица дает обзор некоторых типов атак.

Таблица 2: Типы атак
Атака Описание
Внутренняя атака червей через TCP соединение Клиенты заражаются червем, и будут распространять его через различные порты на другие компьютеры в сети.
Средство атаки в виде таблицы соединения (Connection table exploit) Мошенник пытается заполнить таблицу соединения фальшивыми данными, чтобы сервер ISA не смог выполнить подлинные запросы.
Последовательные TCP соединения во время потоковых атак Мошенник пытается последовательно открывать и одновременно закрывать множество TCP соединений, чтобы пройти механизм лимита ресурсов и потреблять большое количество ресурсов ISA.
HTTP распределенная атака типа DDoS с использованием существующих соединений Мошенник посылает большое количество HTTP запросов через существующее TCP соединение, которое использует интервал активности (Keep alive interval).

Настройка параметров защиты от атак (Attack Mitigation)

ISA Server 2006 включает некоторые параметры защиты от атак, которые можно настроить и контролировать с помощью консоли управления.

  • Лимиты HTTP соединения
  • Параметры потоковых атак (Flood Attack) и распространения червя (Worm propagation)
  • Ограничение количества параллельных пользователей
  • Защита от определенных атак типа IP-подмены, DNS переполнение, DHCP заражение и обнаружение вторжений

Защита от потоковых атак и распространения червя

Потоковая атака – это атака, исходящая от вредоносного пользователя, который пытается наводнить машину или сеть бесполезными TCP пакетами. Потоковая (или лавинная) атака может стать причиной одной из следующих реакций:

  • Большая загрузка диска и высокий уровень потребления ресурсов на брандмауэре
  • Высокий уровень загрузки центрального процессора
  • Высокий уровень потребления памяти
  • Высокий уровень потребления пропускной способности сети

На ISA Server 2006 можно устанавливать максимальное количество подключений в течение определенных промежутков времени или максимальное количество подключений для определенного IP адреса. Когда максимальное количество запросов клиента достигнуто, новые запросы клиента отвергаются и соединение прерывается.

Настройки по умолчанию помогают обеспечить работу ISA Server, даже когда он подвергся лавинной атаке.

Таблица 3: Защита ISA
Атака Параметр защиты ISA Mitigation Умолчания
Лавинная атака. Определенный IP адрес пытается открыть множество соединений различным IP адресам. Количество запросов TCP соединений в минуту, для IP адреса. По умолчанию, ISA Server ограничивает количество TCP запросов на клиента до 600 в минуту. Необходимо помнить о том, что существуют определенные законные приложения, которые могут создавать высокое количество попыток соединения.
Лавинная атака. Определенный IP адрес пытается наполнить ISA Server, поддерживая определенное количество TCP соединений параллельно. Количество параллельных TCP соединений на IP адрес. ISA Server ограничивает количество параллельных TCP соединений на клиента до 160.
Синхронная атака (SYN attack). Вредоносный клиент пытается наполнить ISA Sever 2006 большим количеством полуоткрытых TCP соединений. ISA Server снижает синхронные атаки. ISA Server ограничивает количество параллельных полуоткрытых TCP соединений до половины количества параллельных соединений, настроенных для параллельных TCP соединений. Эту настройку нельзя изменить.
Лавинная атака через протокол (User Datagram Protocol (UDP)). IP адрес пытается начать атаку типа «отказ от обслуживания». Количество параллельных UDP сеансов на IP адрес. Когда лавинная атака UDP имеет место, ISA Server закрывает более старые сеансы, поэтому количество разрешенных параллельных соединений не превышает установленного значения. ISA Server ограничивает количество параллельных UDP сеансов на IP адрес до 160. Это значение можно изменять в переделах до 400 параллельных UDP сеансов.

Конфигурация лавинных атак

Можно настроить защиту от атак (Flood Mitigation) с помощью консоли управления ISA Server 2006 Management console.

Все параметры защиты от атак в ISA Server 2006, а также настройки против DNS атак можно найти во вкладке КонфигурацияОбщие.

Привышено ограничение числа не TCP запросов

Рисунок 1: Дополнительная политика безопасности ISA Server

На странице Настройка параметров защиты от потоковых атак (Flood Mitigation) можно активировать защиту от потоков и распространения червя, а также загрузки заблокированного трафика.

Isa отключает IP за флуд

Рисунок 2: Общие параметры защиты

Многие из параметров защиты от потоковых атак позволяют вам устанавливать собственные лимиты для определенных IP адресов. После чего вы можете быть спокойны, что эти IP адреса не подвергаются риску, а трафик легитимный.

Isa server 2006 brute

Рисунок 3: Собственные лимиты для IP исключений

Для определенных параметров, таких как ограничения полуоткрытых TCP соединений, вы не можете назначить исключения.

IP spoofing isa

Рисунок 4: Параметры соединений без исключений

IP исключения

Не каждая атака исходит от хакера или вредоносного пользователя. Есть несколько причин, по которым определенные клиенты могут создавать больше соединений в определенное время или для определенного IP адреса. После того, как вы убедились, что клиент имеет законные причины для такого объема трафика, а ISA сервер обладает достаточным количеством ресурсов для дополнительных соединений, вы можете создавать IP исключения, как показано на рисунке.

Подделка IP адреса и защита isa

Рисунок 5: Параметры соединений

Настройка предупреждений

Как администратору вам нужно знать о возникновении потоковых атак или атак спуфинга. ISA Server 2006 позволяет вам настраивать параметры предупреждений, чтобы предупреждать вас по электронной почте, журналу событий и т.д.

Isa server отключил не TCP

Рисунок 6: Настройка параметров предупреждения

Можно создавать сообщения для нескольких предупреждений, таких как синхронная атака и превышение лимита соединений в секунду или на IP адрес.

Isa 2006 превышено IP

Рисунок 7: Настройка предупреждений для превышения TCP соединений в минуту

Регистрация потоковых манипуляций (Flood Manipulation)

ISA Server 2006 регистрирует попытки манипуляции потоков, как показано в следующей таблице.

Таблица 4: Регистрация ISA Flood Mitigation (Источник: Microsoft)
Код результата Шестнадцатеричный ID Детали
WSA_RWS_QUOTA 0x80074E23 Соединение было прервано из-за превышения квоты.
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED 0xC0040033 Соединение было прервано, потому что максимальное количество соединений в секунду для этого правила было превышено.
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED 0xC0040037 Соединение было прервано, потому что максимальный уровень соединений для хоста одного клиента был превышен.
FWX_E_DNS_QUOTA_EXCEEDED 0xC0040035 DNS запрос не может быть выполнен, потому что достигнут лимит запросов.

Заключение

Microsoft ISA Server 2006 обладает новой характеристикой защиты под названием Flood Mitigation. С помощью Flood Mitigation вы можете ограничивать количество текущих TCP и UDP сеансов. Это может помочь ограничить эффект воздействия атак на ISA Server, таких атак как синхронные атаки, атаки червя и многие другие известные типы атак.

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]