Блокировка IP-фрагментов
1. |
В дереве консоли управления ISA Server выберите
Общие. |
2. |
На панели подробностей нажмите Определить параметры настройки
IP. |
3. |
На вкладке IP-фрагменты установите флажок Блокировать
IP-фрагменты. |
Фильтрация фрагментов может сказаться на передаче потокового видео и
аудио. Кроме этого, могут оказаться безуспешными подключения по
туннельному протоколу уровня 2 (L2TP) через IPsec, поскольку при обмене
сертификатами иногда возникает фрагментация пакетов. При возникновении
проблем с потоковым видео и аудио или с VPN-подключениями на основе IPsec
отключите фильтрацию фрагментов.
Настройка маршрутизации IP
Чтобы оградить систему от нежелательных обрывов подключения, ISA Server
реализует:
• |
Предотвращение flood-атак через подключения. ISA Server
проверяет правильность последовательности трехстороннего обмена
пакетами при установлении подключения. Это позволяет избежать
установления TCP-подключений к или через ISA Server от источников с
поддельными IP-адресами. |
• |
Предотвращение RST-атак. ISA Server проверяет
последовательные номера пакетов RST и SYN. Это позволяет
предотвратить возможность закрытия атакующим существующих
подключений, открытых другими клиентами. |
Аналогичный механизм содержит также и операционная система. Он может
оказаться полезным в случаях публикации и последовательного подключения
серверов. Чтобы его включить, отключите функцию IP-маршрутизации ISA
Server.
В этом случае ISA Server отправляет получателю только данные (а не весь
исходный сетевой пакет). Кроме этого, каждый пакет копируется и
пересылается через драйвер в пользовательском режиме
Если IP-маршрутизация отключена, ISA Server создает для каждого
подключения два дополнительных сокета, что повышает потребление ресурсов
брандмауэром ISA Server, подвергая его опасности воздействия flood-атак.
Поэтому при отключении IP-маршрутизации рекомендуется произвести
развертывание маршрутизатора, чтобы защитить ISA Server от flood-атак по
TCP-подключениям.
Если IP-маршрутизация разрешена, ISA Server сам выступает в роли
маршрутизатора. Частично фильтрация трафика, проходящего через ISA Server,
выполняется драйвером в пользовательском режиме.
Если IP-маршрутизация разрешена, ISA Server создает отдельные
подключения между сервером и клиентом. Он производит полный разбор и
воссоздание заголовков IP и TCP, передавая только данные. Если
злоумышленник пытается воспользоваться уязвимостью протокола IP или TCP,
его трафик блокируется, прекращая доступ к получателю, защищаемому ISA
Server.
Отключение маршрутизации IP
1. |
В дереве консоли управления ISA Server выберите
Общие. |
2. |
На панели подробностей нажмите Определить параметры настройки
IP. |
3. |
На вкладке Маршрутизация IP сбросьте флажок Включить
маршрутизацию IP. |
Настройка параметров IP
Можно настроить ISA Server таким образом, чтобы все пакеты, имеющие в
заголовке флажок «Параметры IP», автоматически получали отказ.
Наиболее проблемными являются параметры исходной маршрутизации. Эта
поддерживаемая протоколом TCP/IP функция позволяет отправителю данных
производить маршрутизацию пакетов в определенную точку сети. Существует
два типа исходной маршрутизации:
• |
Строгая исходная маршрутизация. Отправитель данных может
точно указать узел (редко используется). |
• |
Нестрогая исходная маршрутизация. Отправитель может
указать определенные маршрутизаторы (ретрансляторы), через
которыедолжен пройти пакет. |
Параметр исходной маршрутизации в заголовке IP позволяет отправителю
переопределить процесс принятия решения о маршруте пакета, который обычно
определяется маршрутизаторами, находящимися между компьютерами отправителя
и получателя. Исходная маршрутизация применяется для переотображения сети
или диагностики проблем маршрутизации и передачи данных, а также при
необходимости передачи трафика по маршруту, обеспечивающему наибольшую
производительность.
К сожалению, она также представляет собой также и угрозу взлома.
Например, атакующий может воспользоваться этой функцией чтобы добраться до
адресов внутренней сети, которые обычно недоступны из других сетей,
перенаправляя трафик с компьютера, доступного в обеих сетях. В сущности,
это может послужить причиной flood-атак. Производительность ISA Server при
flood-атаке можно увеличить, отключив функции фильтрации параметров
IP.
Отключение фильтрации параметров IP
1. |
В дереве консоли управления ISA Server выберите
Общие. |
2. |
На панели подробностей нажмите Определить параметры настройки
IP. |
3. |
На вкладке Параметры IP сбросьте флажок Включить
фильтрацию параметров IP. |
Настройка защиты от подделки протокола DHCP
ISA Server умеет обнаруживать неверные пакеты предложений DHCP.
Предложение DHCP считается верным только в том случае, если оно содержится
в диапазоне объекта сети, связанного с сетевой платой, которой назначен
данный IP-адрес. Если обнаружено неверное предложение, ISA Server выдает
оповещение Недопустимое предложение DHCP и не обрабатывает его.
Защита от недопустимых предложений DHCP продолжается даже после
подтверждения этого оповещения.
В выпуске ISA Server Enterprise Edition, принимая новый IP-адрес для
внутренней сети, проверьте, доступен ли через этот адрес сервер хранилища
конфигураций.
ISA Server содержит список допустимых IP-адресов для каждой из сетевых
плат DHCP. Допустимыми являются адреса, входящие в адресный набор сети, к
которой относится адрес сетевой платы. Когда ISA Server получает пакет
предложения DHCP, он проверяет, находится ли его отправитель в диапазоне
допустимых адресов. Если проверка не пройдена, пакет отклоняется и
выдается оповещение Недопустимое предложение DHCP.
Если сетевая плата получила предложенный адрес, можно обновить адреса
DHCP. В этом случае контролирующий механизм временно отключается и
выдается команда ipconfig /renew. В этот момент не отклоняются
никакие предложения адресов. После того как платы получили свои адреса,
ISA Server возобновляет работу механизма.
Предложения DHCP могут отклоняться в следующих случаях:
• |
При переключении между двумя сетевыми платами DHCP.
Например, если производится переключение между платой, подключенной
к внутренней сети и платой, подключенной к внешней. |
• |
Плата DHCP перемещается в другую сеть. Например, если
плата внешней сети ISA Server подключается к домашней сети через
маршрутизатор, подключенный к Интернету. При замене маршрутизатора
внешней сетевой платой ISA Server необходимо обновить адрес DHCP,
чтобы разрешить DHCP его назначение. |
После того как назначение разрешено, его не нужно разрешать еще
раз.
В некоторых случаях может понадобиться переключить сетевую плату с
одной сети на другую с использованием адреса, полученного от сервера DHCP.
Для этого понадобится принять предложение, которое ISA Server вообще-то
считает недопустимым.
Принятие предложения DHCP
1. |
В командной строке введите следующую команду: ipconfig
/renew. При этом будет выдано сообщение об ошибке. |
2. |
В управлении ISA Server произведите настройку оповещения о
недопустимых предложениях DHCP. |
3. |
Убедитесь в том, что для сетевой платы назначен соответствующий
IP-адрес. |
4. |
Убедитесь в том, что объект сети, связанный с сетевой платой,
отражает новый IP-адрес. |
Настройка обнаружения вторжений
Реализованный в ISA Server механизм обнаружения вторжений определяет
факт атаки на сеть и в случае ее наличия выполняет набор определенных
действий или оповещений. Для обнаружения непрошенных гостей ISA Server
сравнивает сетевой трафик и записи журнала, соответствующие общеизвестным
методам атак. При обнаружении подозрительной активности срабатывает
оповещение. Действия могут включать завершение подключения, завершение
сеанса, оповещения по электронной почте и запись в журнал.
В следующей таблице перечислены оповещения, которые ISA Server способен
выдавать, если включена функция обнаружения вторжения.
Сканирование любых портов |
Это оповещение уведомляет о том, что предпринята
попытка доступа большему числу портов, чем указано в параметрах.
Можно указать пороговое значение, определяющее число портов, к
которым может производиться доступ. |
Последовательное сканирование портов |
Это оповещение уведомляет, что произведена попытка выяснить,
какие службы выполняются на компьютере, методом последовательного
опроса каждого из портов.
Если возникло данное оповещение, необходимо определить источник
сканирования портов. Сверьте список портов со службами, работающими
на компьютере получателя. Затем выясните источник и цель
сканирования. Проверьте журнал доступа на предмет неавторизованного
доступа. Если в нем найдены свидетельства, указывающие на
неавторизованный доступ, следует считать систему скомпрометированной
и принять соответствующие меры. |
Полусканирование IP |
Это оповещение уведомляет о том, что
производятся повторяющиеся попытки отправки TCP-пакетов с
недопустимыми флажками. Нормальное TCP-подключение инициируется так:
источник отправляет пакет SYN на определенный порт системы
получателя. Если этот порт прослушивается службой, она отправляет в
ответ пакет SYN/ACK. Клиент инициирует подключение, отправляет в
ответ пакет ACK, и после этого оно считается установленным. Если
узел получателя не ожидает подключений на определенном порту, он
возвращает в ответ пакет RST. В большинстве систем подключения не
регистрируются в завершенных, пока от источника не будет получен
финальный пакет ACK. Отправка других типов пакетов, не вписывающихся
в эту последовательность, позволяет без регистрации подключения
получить от узла получателя множество полезных сведений. Этот прием
называется полусканированием (или скрытым сканированием) по
протоколу TCP, поскольку в журнал сканируемого узла никаких записей
не заносится. |
Land-атака |
Это оповещение уведомляет о том, что был
отправлен TCP-пакет SYN с поддельным IP-адресом и номером порта,
совпадающим с IP-адресом и номером порта получателя. Если бы эта
атака удалась, это могло бы привести к зацикливанию некоторых
реализаций протокола TCP и, как следствие, к нарушению работы
компьютера. |
Атака «Ping смерти» |
Это оповещение уведомляет, что был получен
IP-фрагмент, содержащий данных больше максимально допустимого
размера IP-пакета. Если бы эта атака удалась, это могло бы привести
к переполнению буфера ядра и, как следствие, к нарушению работы
компьютера. |
Атака «UDP-бомба» |
Это оповещение уведомляет о том, что была
произведена попытка отправки недопустимого UDP-пакета. Этот пакет
содержит недопустимые значения в некоторых полях, что на некоторых
старых версиях операционных систем может привести к прекращению их
работы. Если компьютер получателя отказывает в работе, зачастую
очень трудно выявить причину этого. |
Атака переполнения на системах Windows |
Это оповещение уведомляет, что была произведена
атака типа «отказ в обслуживании» на компьютер, защищаемый ISA
Server. В случае успеха эта атака могла бы привести к отказу в
работе компьютера или прекращению работы сети на уязвимых
компьютерах. |
ISA Server включает следующие фильтры обнаружения вторжения:
• |
Фильтр обнаружения вторжения DNS работает с правилами публикации
DNS-сервера. Он перехватывает и анализирует весь входящий
DNS-трафик, предназначенный опубликованной сети. |
• |
Фильтр обнаружения вторжения POP следит за атаками переполнения
буфера POP3. |
Фильтр обнаружения вторжения DNS
Фильтр DNS, устанавливаемый в составе ISA Server, перехватывает и
анализирует весь DNS-трафик, предназначенный опубликованной сети. Он
следит за переполнением длины DNS-запросов, а также может блокировать
передачу зон.
Кроме этого, можно настроить, какие из следующих DNS-атак вызывают
срабатывание оповещений:
• |
Переполнение DNS-имени узла. Возникает, когда ответ на
запрос DNS-имени узла превышает определенную фиксированную длину
(255 байт). Приложения, которые не проверяют длину имен узлов,
могут вызвать переполнение внутреннего буфера при копировании имени
узла, позволяя удаленному атакующему выполнить произвольный код на
компьютере получателя. |
• |
Переполнение длины DNS. Ответ DNS-запроса для IP-адресов
содержит поле длины, которое должно быть 4 байта длиной. Указав
в нем большее значение, некоторые приложения могут вызвать
переполнение внутреннего буфера, что также позволит удаленному
атакующему выполнить произвольный код на компьютере получателя. ISA
Server также проверяет, чтобы значение поля RDLength не превышало
длины оставшейся части DNS-ответа. |
• |
Передача зон DNS. Возникает, когда клиентская система
использует клиентское приложение DNS для передачи зон от внутреннего
DNS-сервера. |
Фильтр обнаружения вторжения POP
Этот фильтр перехватывает и анализирует весь POP-трафик,
предназначенный опубликованной сети. В частности, фильтр приложения следит
за атаками переполнения буфера POP3.
Эта атака заключается в том, что удаленный атакующий пытается получить
к POP-серверу доступ пользователем root, вызвав на нем переполнение
внутреннего буфера.
Предварительная настройка ISA Server для защиты от атак
ISA Server включает предварительную настройку для защиты от ряда атак:
обнаружение подделки IP-адресов и защиту широковещательных пакетов.
Эти функции описаны в следующих разделах.
Оповещения обнаружения подделки IP-адресов
Каждый раз при получении пакета сетевой платой ISA Server проверяет, не
является ли адрес его отправителя поддельным. При этом производится
проверка, является ли он действительным IP-адресом, относящимся к сетевой
плате, которой он получен. Если обнаружилось, что адрес не является
действительным, ISA Server оповещает об атаке подделки IP-адреса.
IP-адрес считается действительным для данной сетевой платы, если
выполняются два следующих условия:
• |
IP-адрес находится в сети платы, через которую поступил пакет.
|
• |
Таблица маршрутизации показывает, что трафик, предназначенный
данному адресу, может быть маршрутизован через одну из сетевых плат,
принадлежащих этой сети. |
В ISA Server Enterprise Edition обнаружение подделки не применяется к
трафику, поступающему от адреса, находящегося внутри массива. Весь трафик
от адресов внутри массива передается непосредственно ядру для проверки
политик.
Рассмотрим случай, при котором сеть включает IP-адреса в диапазоне
10.X.X.X. Таблица маршрутизации выглядит так:
Network Netmask DestinationGateway interface
10.0.0.0 255.0.0.0 10.0.0.1 10.1.1.1
20.0.0.0 255.0.0.0 20.0.0.1 10.1.1.1
0.0.0.0 0.0.0.0 140.0.0.1 140.1.1.1
Пакеты с IP-адресом источника в диапазоне от 10.0.0.1 до
10.255.255.255, полученные интерфейсом 10.1.1.1, не будут отклоняться как
поддельные, поскольку эти адреса могут маршрутизоваться обратно через этот
интерфейс и принадлежат диапазону адресов сети. А вот пакеты с IP-адресом
источника, находящимся за пределами этого диапазона (то есть в диапазоне
от 20.0.0.1 до 20.255.255.255, которые могут маршрутизоваться через
интерфейс 10.1.1.1), будут отклонены как поддельные, поскольку они не
принадлежат этой сети.
ISA Server также гарантирует, что все пакеты, отправленные через
сетевую плату, имеют действительный IP-адрес получателя. Это предотвращает
маршрутизацию пакетов через не ту сетевую плату в случае возникновения
проблем с таблицей маршрутизации.
Если ISA Server обнаружил поддельный пакет, он выдает оповещение об
этом с указанием причины того, почему пакет сочтен поддельным. Необходимо
внимательно рассмотреть это оповещение и в зависимости от причины его
появления:
• |
Исправить возможные ошибки в конфигурации. Проверьте,
действительно ли IP-адрес, с которого поступают пакеты, является
поддельным. Если нет, определите, почему ISA Server счел эти пакеты
поддельными. |
• |
Блокировать трафик от данного IP-адреса. Если трафик от
IP-адреса признан поддельным, блокируйте доступ от этого
адреса. |
Защита широковещательных пакетов
Широковещанием называется отправка единственного сообщения (датаграммы)
нескольким получателям при использовании какого-либо протокола без
установления подключения (например, UDP). Существует три типа
широковещательных адресов:
• |
Ограниченный. Это адрес 255.255.255.255. |
• |
Сети. Соответствует IP-адресу, состоящему из
идентификатора сети и всех остальных битов, установленных в единицу.
Например, для сети класса А, имеющей идентификатор 22.0.0.0,
широковещательным адресом сети будет 22.255.255.255. |
• |
Подсети. Соответствует IP-адресу, состоящему из
идентификатора подсети и всех остальных битов, установленных в
единицу. Например, для сети класса А, имеющей идентификатор 22.0.0.0
с маской подсети 255.255.0.0, широковещательный адрес подсети будет
равен 22.0.255.255. |
ISA Server не допускает пересылки широковещательных сообщений любого
типа между платами компьютера ISA Server. Он решает, применять ли правило
к широковещательным адресам, следующим образом:
• |
Если адрес получателя не является широковещательным адресом сети,
ISA Server считает его широковещательным адресом подсети сетевой
платы компьютера ISA Server, на котором принят данный пакет.
|
• |
Если широковещательные пакеты являются входящими (по отношению к
сети локального узла), ISA Server считает получателем сетевую плату
компьютера ISA Server (локальный узел). |
• |
Если это исходящие широковещательные пакеты (от сети локального
узла), ISA Server считает источником сетевую плату компьютера ISA
Server (локальный узел). |
Предположим, служба прослушивает UDP-порт 1500 сети локального узла
(компьютера ISA Server) на сетевой плате с адресом подсети 22.0.1.1. Чтобы
разрешить передачу данных этой службе, например, из внутренней сети,
следует создать правило, которое разрешает трафик по UDP-порту 1500 из
внутренней сети по широковещательному адресу подсети 22.0.255.255. Или же
можно создать правило доступа, разрешающее UDP-трафик по порту 1500
из внутренней сети к локальному узлу.
Оповещения
При обнаружении атаки ISA Server умеет выдавать оповещения и
регистрировать в журнале подозрительную активность. В данном разделе
перечислены некоторые из оповещений об обнаружении атак.
Оповещение о предотвращении flood-атаки
В следующей таблице перечислены все возможные оповещения, которые могут
быть выданы в случае flood-атак.
Не хватает невыгружаемого пула |
Размер свободного места в невыгружаемом пуле
ниже определенного системой минимума. |
Нехватка невыгружаемого пула закончилась |
Размер свободного места в невыгружаемом пуле
превысил определенный системой минимум. |
Превышен предел ресурсов, занятых ожидающими
обработки DNS-запросами |
Процентное соотношение потоков для обработки
ожидающих обработки DNS-запросов к общему числу доступных потоков
превысило определенный системой максимум. |
Превышение предела ресурсов, занятых ожидающими
обработки DNS-запросами, закончилось |
Процентное соотношение потоков для обработки
ожидающих обработки DNS-запросов к общему числу доступных потоков
стало ниже определенного системой максимума, поэтому может быть
продолжен прием подключений, требующих разрешения
DNS-имен. |
Превышено допустимое число TCP-подключений в
минуту от одного IP-адреса |
Превышено число TCP-подключений в минуту,
допустимых от одного IP-адреса. |
Превышено максимальное число одновременных
TCP-подключений от одного IP-адреса |
Превышено число параллельных TCP-подключений,
допустимых от одного IP-адреса. |
Превышено максимальное число сеансов не по
протоколу TCP от одного IP-адреса |
Превышено число сеансов не по протоколу TCP,
допустимых от одного IP-адреса. |
Превышено число подключений для правила |
Допускаемое правилом число сеансов в секунду не
по протоколу TCP превысило допустимый предел. |
Превышено допустимое число заблокированных
подключений в минуту от одного IP-адреса |
Число подключений в минуту от одного IP-адреса,
блокированного в соответствии с политикой брандмауэра, превысило
определенный в конфигурации предел. |
Превышено число глобальных заблокированных
подключений в минуту |
Общее число блокированных TCP-подключений и
сеансов не по протоколу TCP в минуту превысило определенный в
конфигурации предел. |
Превышено число HTTP-запросов от одного
IP-адреса |
Число HTTP-запросов в минуту от одного IP-адреса
превысило определенный в конфигурации
предел. |
В следующей таблице перечислены некоторые сообщения, которые ISA Server
выдает в случае превышения максимальных значений при предотвращении
flood-атак.
15112 |
Клиент «ИмяКлиента» превысил максимальное число
подключений. Новое подключение отклонено. |
15113 |
ISA Server отключил клиента «ИмяКлиента» по
причине исчерпания его максимального числа подключений. |
15114 |
ISA Server разорвал подключение, поскольку
превышено максимальное число подключений. |
15116 |
Запрос был запрещен, поскольку превышено
максимальное число подключений в секунду, допускаемое
правилом. |
15117 |
Запрос был запрещен, поскольку превышено
максимальное число подключений в секунду, допускаемое правилом
«ИмяПравила». |
События ISA Server могут вызвать срабатывание
оповещений-предупреждений, перечисленных в следующей таблице.
Превышено максимальное число подключений |
Для IP-адреса превышено максимальное число
подключений. |
Превышено число подключений для правила |
Превышено максимальное число подключений в
секунду, допускаемых правилом. |
Превышен предел ресурсов, занятых ожидающими
обработки DNS-запросами |
Процентное соотношение потоков для обработки
ожидающих обработки DNS-запросов к общему числу доступных потоков
превысило определенный системой максимум. |
Превышение предела ресурсов, занятых ожидающими
обработки DNS-запросами, закончилось |
Процентное соотношение потоков для обработки
ожидающих обработки DNS-запросов к общему числу доступных потоков
стало ниже определенного системой максимума, поэтому может быть
продолжен прием подключений, требующих разрешения
DNS-имен. |
Оповещения защиты от атак
В следующей таблице перечислены оповещения, которые могут быть выданы в
случае прочих атак.
Отключено обнаружение вторжения через подделку
протокола DHCP |
Отключен механизм обнаружения вторжений через
подделку протокола DHCP. |
Вторжение DNS |
Произошла атака переполнения имени узла,
переполнения длины или передачи зоны. |
Вторжение передачи зоны DNS |
Произошла атака передачи зоны. |
Обнаружено вторжение |
Внешним пользователем была предпринята попытка
вторжения. |
Недопустимое предложение DHCP |
Недопустимый IP-адрес предложения
DHCP. |
Подделка IP-адреса |
Недопустимый IP-адрес отправителя
пакета. |
Вторжение POP |
Обнаружено переполнение буфера POP. |
SYN-атака |
ISA Server обнаружил
SYN-атаку. |
Рекомендации
Данный раздел содержит ряд практических рекомендаций, которых следует
придерживаться в процессе настройки ISA Server, чтобы обеспечить лучшую
защиту сети.
Обнаружение flood-атак
Чтобы определить, что сеть подверглась flood-атаке, придерживайтесь
следующих рекомендаций:
• |
Проверьте наличие внезапных пиков в загрузке ЦП, потреблении
памяти или очень интенсивного протоколирования на компьютере ISA
Server. Данные симптомы очень часто указывают на то, что ISA Server
подвергся flood-атаке. |
• |
Проверьте соответствующие оповещения. |
• |
Воспользуйтесь журналами ISA Server для исследования трафика.
Проверьте, весь ли трафик является допустимым и ожидаемым:
• |
Просмотрите трафик по типу клиента (клиент брандмауэра,
веб-прокси, SecureNAT, VPN или внешний клиент). Проверьте,
весь ли трафик является ожидаемым и допустимым |
• |
Проверяйте весь трафик, независимо от его направления
(входящий или исходящий). | |
• |
Выявите потенциально скомпрометированных клиентов по следующим
критериям:
• |
Клиенты, производящие огромное количество подключений или
запросов в секунду |
• |
Клиенты, потребляющие пропускную способность сети (байт в
секунду) |
• |
Клиенты, с высокой скоростью получающие отказы подключения
к различным адресам |
• |
Клиенты, пытающиеся обойти политику брандмауэра ISA
Server | |
Если выяснилось, что компьютер ISA Server подвергается flood-атаке,
воспользуйтесь средством просмотра журнала, чтобы определить ее источник.
В особенности обратите внимание на:
• |
Записи журнала, касающиеся запрещенного трафика. Обратите
особое внимание на трафик, запрещенный вследствие превышения квот,
подделки пакетов и пакеты, содержащие неверное значение в поле
CHECKSUM. Это обычно указывает на вредоносность клиента. В выпуске
ISA Server Standard Edition подключения, разорванные вследствие
превышения числа подключений, имеют код результата 0x80074E23. В
выпуске ISA Server Enterprise Edition результат отображается в
текстовом виде, что ясно указывает на причину разрыва
подключения. |
• |
Записи о создании и немедленном закрытии большого числа
подключений. Это часто указывает, что клиентский компьютер
производит сканирование диапазона IP-адресов на наличие какой-либо
уязвимости. |
Рекомендуется уменьшить число подключений, так как это может помочь
предотвратить flood-атаки. В случае flood-атаки по протоколу UDP или
чистого IP многие запросы содержат поддельный адрес источника, что в конце
концов приведет к отказу от обслуживания.
Предотвращение flood-атак
При возникновении оповещения определите, подверглась ли сеть атаке, или
же это просто перегрузка обычного трафика. Если трафик, вызвавший
превышения предельных значений, является вредоносным:
• |
Если его источник находится во внутренней сети, это может
указывать на наличие в ней вируса. Выясните IP-адрес источника и
немедленно отключите компьютер от сети. |
• |
Если источник трафика находится в небольшом диапазоне IP-адресов
во внешней сети, создайте правило, запрещающее доступ к группе
компьютеров, включающей IP-адрес источника. |
• |
Если же его источником является широкий диапазон IP-адресов,
оцените общее состояние сети. Можно попробовать уменьшить
максимальное число подключений, чтобы ISA Server смог лучше
обеспечить ее защиту. |
• |
Если же превышение пределов было вызвано высокой нагрузкой, можно
попробовать увеличить максимальное число
подключений. |
Еще один способ предотвращения атак заключается в создании новой сети.
Эта сеть должна включать IP-адреса зараженных клиентов, выявленных по
журналам и оповещениям. Затем исключите эти IP-адреса из сети, в которую
они входили (внутренней сети). В сущности, при этом создается
несоответствие между таблицей маршрутизации на брандмауэре ISA Server и
внутренней сети. Эти IP-адреса будут считаться поддельными и поэтому весь
трафик к ним и от них соответствующим образом отклоняется.
Ведение журнала в случае атаки
Каждый раз при превышении предельного значения при предотвращении
flood-атак ISA Server выдает оповещение, указывающее IP-адрес атакующего
клиента. Чтобы предотвратить ненужное ведение журнала, после получения
списка адресов выполните следующую процедуру, которая позволяет повысить
производительность ISA Server во время flood-атаки.
Повышение производительности ISA Server во время flood-атаки
1. |
Отключите регистрацию записей журнала, относящихся к
flood-атакам. Следуйте инструкциям, приведенным в разделе «Ведение
журнала предотвращения flood-атак» данного документа. |
2. |
Отключите ведение журнала. До окончания flood-атаки отключите
ведение журнала либо для соответствующего правила, либо полностью.
|
3. |
Перенастройте оповещения о максимальном числе подключений (или
любой другой тип оповещения, который постоянно срабатывает в
результате атаки) на Ручной сброс. |
После отключения регистрации запрещенных записей остается возможность
получения только потенциальных оповещений, поэтому советы, приведенные в
разделе Обнаружение
flood-атак этого документа, могут не пригодиться.
Настройка предельных значений предотвращения flood-атак
Рекомендуется пользоваться значениями по умолчанию. Однако эти значения
в ряде случаев не подходят при преобразовании сетевых адресов:
• |
Смежный периметр. В этом случае внутренний брандмауэр ISA
Server применяет преобразование сетевых адресов к исходящим запросам
от внутренних клиентов, и они переадресуются фронтальному
брандмауэру с адресами внутреннего брандмауэра ISA Server. На
фронтальном сервере все подключения выглядят так, будто они
поступили от одного и того же клиента. Например, 20 запросов от
различных клиентов преобразуются компьютером ISA Server в 20
запросов, поступивших от одного и того же IP-адреса. Максимальное
число подключений по умолчанию для этого IP-адреса может быстро
закончиться. |
• |
Последовательное подключение брандмауэров и веб-цепочки.
Веб-цепочка маршрутизует запросы к веб-прокси вышестоящему
прокси-серверу. Последовательное подключение брандмауэров
настраивает подчиненный компьютер ISA Server в качестве клиента
SecureNAT или клиента брандмауэра вышестоящего прокси. В обоих
случаях к запросам клиентов применяется преобразование сетевых
адресов и они маршрутизуются к вышестоящему серверу, который
считает, что запросы клиентов от одной и той же сети должны иметь
тот же IP-адрес. В таких случаях, опять-таки, максимальное число
подключений для этого адреса может быстро закончиться. |
• |
Виртуальная частная сеть (VPH) типа «сеть-сеть».
Ограничение на число подключений включено для подключений
виртуальной частной сети типа «сеть-сеть». Хотя к трафику между
удаленными сетями применяется преобразование сетевых адресов,
IP-адресу, заменяющему внутренние адреса, автоматически назначается
специальное ограничение. Ошибки превышения пределов в этом случае
обычно не происходит. |
Реакция на оповещение предотвращения flood-атак
1. |
Определите, подверглась ли сеть атаке, или же это просто
перегрузка обычного трафика. Для этого воспользуйтесь средствами
сетевого мониторинга. |
2. |
Если предел исчерпан из-за перегрузки по трафику не по протоколу
TCP, попробуйте увеличить максимальное число подключений для каждого
из правил. Если трафик, вызвавший превышения предельных значений,
является вредоносным:
• |
Если его источник находится во внутренней сети, это может
указывать на наличие в ней вируса. Выясните IP-адрес источника
и немедленно отключите компьютер от сети. |
• |
Если источник трафика находится в небольшом диапазоне
IP-адресов во внешней или внутренней сети, создайте правило,
запрещающее доступ к группе компьютеров, включающей IP-адрес
источника. |
• |
Если же его источником является широкий диапазон
IP-адресов, оцените общее состояние сети. Попробуйте
установить значительно меньшее предельное число подключений,
дав возможность ISA Server лучше защищать сеть, продолжая при
этом обслуживать обычных клиентов.
| |
3. |
Если во внешней сети опубликовано более одной службы на основе
протокола UDP или чистого IP, предельные значения следует уменьшить,
что позволит снизить угрозу возникновения
flood-атак. |