Защита от потоков ISA Server 2006 Flood Mitigation - Обеспечение безопасности

Главная » Защита от потоков ISA Server 2006 Flood Mitigation

Начиная с ISA Server 2000, компания Microsoft использовала некоторые элементарные параметры обнаружения и защиты от вторжений и спуфинга (получения доступа путем обмана). ISA Server 2004 имел больше параметров для борьбы с такими атаками. ISA Server 2006 обладает дополнительным параметрами борьбы против спама. К новым технологиям, включенным в ISA Server 2006, относится установка Flood Mitigation (меры по предотвращению потоков), которая создана для защиты от угроз. Данная статья посвящена параметру ISA Server 2006 Flood mitigation.Угрозы и контрмерыВ нашем мире существуют различные угрозы. В таблице, расположенной ниже, приведены некоторые из этих угроз, а также соответствующие параметры ISA Server 2006 для борьбы с ними. Таблица 1: Угрозы и параметрыУгрозаПараметрЧерви, передающиеся от пользователя пользователю и от сети к сетиПредупреждение (IP alert spoofing) Квоты соединения (Connection Quotas) Улучшенная защита потоков (Enhanced Flood Protection) Обнаружение вторжений (Intrusion Detection) Защита против отказа от обслуживания (Denial of Service (DoS)) и распространяемых атак с целью нарушения нормального обслуживания пользователей (Distributed Denial of Service attacks)Повышающееся количество атак внешних ресурсов (externally facing resources)Возможные атаки посредством заражения DHCP, обнаружение вторжений и IP фрагментация могут быть легко настроены на защиту корпоративных сетей.Защита против атак IP-подмен (IP spoofing attacks)Защита против IP-подмен в ISA Server 2006. ISA Server 2006 защищает от IP-подмен путем проверки достоверности IP адреса источника в пакете.Типы атакЧтобы понять принцип работы хакеров, вам нужно знать об искусстве хакинга и о том, какие типы атак существуют. Следующая таблица дает обзор некоторых типов атак. Таблица 2: Типы атакАтакаОписаниеВнутренняя атака червей через TCP соединениеКлиенты заражаются червем, и будут распространять его через различные порты на другие компьютеры в сети. Средство атаки в виде таблицы соединения (Connection table exploit)Мошенник пытается заполнить таблицу соединения фальшивыми данными, чтобы сервер ISA не смог выполнить подлинные запросы.Последовательные TCP соединения во время потоковых атакМошенник пытается последовательно открывать и одновременно закрывать множество TCP соединений, чтобы пройти механизм лимита ресурсов и потреблять большое количество ресурсов ISA.HTTP распределенная атака типа DDoS с использованием существующих соединенийМошенник посылает большое количество HTTP запросов через существующее TCP соединение, которое использует интервал активности (Keep alive interval).Настройка параметров защиты от атак (Attack Mitigation)ISA Server 2006 включает некоторые параметры защиты от атак, которые можно настроить и контролировать с помощью консоли управления.Лимиты HTTP соединения Параметры потоковых атак (Flood Attack) и распространения червя (Worm propagation) Ограничение количества параллельных пользователей Защита от определенных атак типа IP-подмены, DNS переполнение, DHCP заражение и обнаружение вторжений Защита от потоковых атак и распространения червяПотоковая атака – это атака, исходящая от вредоносного пользователя, который пытается наводнить машину или сеть бесполезными TCP пакетами. Потоковая (или лавинная) атака может стать причиной одной из следующих реакций:Большая загрузка диска и высокий уровень потребления ресурсов на брандмауэре Высокий уровень загрузки центрального процессора Высокий уровень потребления памяти Высокий уровень потребления пропускной способности сети На ISA Server 2006 можно устанавливать максимальное количество подключений в течение определенных промежутков времени или максимальное количество подключений для определенного IP адреса. Когда максимальное количество запросов клиента достигнуто, новые запросы клиента отвергаются и соединение прерывается.Настройки по умолчанию помогают обеспечить работу ISA Server, даже когда он подвергся лавинной атаке. Таблица 3: Защита ISAАтакаПараметр защиты ISA MitigationУмолчанияЛавинная атака. Определенный IP адрес пытается открыть множество соединений различным IP адресам.Количество запросов TCP соединений в минуту, для IP адреса.По умолчанию, ISA Server ограничивает количество TCP запросов на клиента до 600 в минуту. Необходимо помнить о том, что существуют определенные законные приложения, которые могут создавать высокое количество попыток соединения.Лавинная атака. Определенный IP адрес пытается наполнить ISA Server, поддерживая определенное количество TCP соединений параллельно.Количество параллельных TCP соединений на IP адрес.ISA Server ограничивает количество параллельных TCP соединений на клиента до 160.Синхронная атака (SYN attack). Вредоносный клиент пытается наполнить ISA Sever 2006 большим количеством полуоткрытых TCP соединений.ISA Server снижает синхронные атаки.ISA Server ограничивает количество параллельных полуоткрытых TCP соединений до половины количества параллельных соединений, настроенных для параллельных TCP соединений. Эту настройку нельзя изменить.Лавинная атака через протокол (User Datagram Protocol (UDP)). IP адрес пытается начать атаку типа «отказ от обслуживания».Количество параллельных UDP сеансов на IP адрес. Когда лавинная атака UDP имеет место, ISA Server закрывает более старые сеансы, поэтому количество разрешенных параллельных соединений не превышает установленного значения. ISA Server ограничивает количество параллельных UDP сеансов на IP адрес до 160. Это значение можно изменять в переделах до 400 параллельных UDP сеансов.Конфигурация лавинных атакМожно настроить защиту от атак (Flood Mitigation) с помощью консоли управления ISA Server 2006 Management console.Все параметры защиты от атак в ISA Server 2006, а также настройки против DNS атак можно найти во вкладке Конфигурация - Общие.

Рисунок 1: Дополнительная политика безопасности ISA ServerНа странице Настройка параметров защиты от потоковых атак (Flood Mitigation) можно активировать защиту от потоков и распространения червя, а также загрузки заблокированного трафика.

Рисунок 2: Общие параметры защитыМногие из параметров защиты от потоковых атак позволяют вам устанавливать собственные лимиты для определенных IP адресов. После чего вы можете быть спокойны, что эти IP адреса не подвергаются риску, а трафик легитимный.

Рисунок 3: Собственные лимиты для IP исключенийДля определенных параметров, таких как ограничения полуоткрытых TCP соединений, вы не можете назначить исключения.

Рисунок 4: Параметры соединений без исключенийIP исключенияНе каждая атака исходит от хакера или вредоносного пользователя. Есть несколько причин, по которым определенные клиенты могут создавать больше соединений в определенное время или для определенного IP адреса. После того, как вы убедились, что клиент имеет законные причины для такого объема трафика, а ISA сервер обладает достаточным количеством ресурсов для дополнительных соединений, вы можете создавать IP исключения, как показано на рисунке.

Рисунок 5: Параметры соединенийНастройка предупрежденийКак администратору вам нужно знать о возникновении потоковых атак или атак спуфинга. ISA Server 2006 позволяет вам настраивать параметры предупреждений, чтобы предупреждать вас по электронной почте, журналу событий и т.д.

Рисунок 6: Настройка параметров предупрежденияМожно создавать сообщения для нескольких предупреждений, таких как синхронная атака и превышение лимита соединений в секунду или на IP адрес.

Рисунок 7: Настройка предупреждений для превышения TCP соединений в минутуРегистрация потоковых манипуляций (Flood Manipulation)ISA Server 2006 регистрирует попытки манипуляции потоков, как показано в следующей таблице. Категория: Обеспечение безопасности | Просмотров: 180

Навигация