Защита от потоков ISA Server 2006 Flood Mitigation

Начиная с ISA Server 2000, компания Microsoft использовала некоторые элементарные параметры обнаружения и защиты от вторжений и спуфинга (получения доступа путем обмана). ISA Server 2004 имел больше параметров для борьбы с такими атаками. ISA Server 2006 обладает дополнительным параметрами борьбы против спама. К новым технологиям, включенным в ISA Server 2006, относится установка Flood Mitigation (меры по предотвращению потоков), которая создана для защиты от угроз. Данная статья посвящена параметру ISA Server 2006 Flood mitigation.

Угрозы и контрмеры

В нашем мире существуют различные угрозы. В таблице, расположенной ниже, приведены некоторые из этих угроз, а также соответствующие параметры ISA Server 2006 для борьбы с ними.

Таблица 1: Угрозы и параметры

Угроза	Параметр
Черви, передающиеся от пользователя пользователю и от сети к сети	Предупреждение (IP alert spoofing) Квоты соединения (Connection Quotas) Улучшенная защита потоков (Enhanced Flood Protection) Обнаружение вторжений (Intrusion Detection) Защита против отказа от обслуживания (Denial of Service (DoS)) и распространяемых атак с целью нарушения нормального обслуживания пользователей (Distributed Denial of Service attacks)
Повышающееся количество атак внешних ресурсов (externally facing resources)	Возможные атаки посредством заражения DHCP, обнаружение вторжений и IP фрагментация могут быть легко настроены на защиту корпоративных сетей.
Защита против атак IP-подмен (IP spoofing attacks)	Защита против IP-подмен в ISA Server 2006. ISA Server 2006 защищает от IP-подмен путем проверки достоверности IP адреса источника в пакете.

Типы атак

Чтобы понять принцип работы хакеров, вам нужно знать об искусстве хакинга и о том, какие типы атак существуют. Следующая таблица дает обзор некоторых типов атак.

Таблица 2: Типы атак

Атака	Описание
Внутренняя атака червей через TCP соединение	Клиенты заражаются червем, и будут распространять его через различные порты на другие компьютеры в сети.
Средство атаки в виде таблицы соединения (Connection table exploit)	Мошенник пытается заполнить таблицу соединения фальшивыми данными, чтобы сервер ISA не смог выполнить подлинные запросы.
Последовательные TCP соединения во время потоковых атак	Мошенник пытается последовательно открывать и одновременно закрывать множество TCP соединений, чтобы пройти механизм лимита ресурсов и потреблять большое количество ресурсов ISA.
HTTP распределенная атака типа DDoS с использованием существующих соединений	Мошенник посылает большое количество HTTP запросов через существующее TCP соединение, которое использует интервал активности (Keep alive interval).

Настройка параметров защиты от атак (Attack Mitigation)

ISA Server 2006 включает некоторые параметры защиты от атак, которые можно настроить и контролировать с помощью консоли управления.

• Лимиты HTTP соединения
• Параметры потоковых атак (Flood Attack) и распространения червя (Worm propagation)
• Ограничение количества параллельных пользователей
• Защита от определенных атак типа IP-подмены, DNS переполнение, DHCP заражение и обнаружение вторжений

Защита от потоковых атак и распространения червя

Потоковая атака – это атака, исходящая от вредоносного пользователя, который пытается наводнить машину или сеть бесполезными TCP пакетами. Потоковая (или лавинная) атака может стать причиной одной из следующих реакций:

• Большая загрузка диска и высокий уровень потребления ресурсов на брандмауэре
• Высокий уровень загрузки центрального процессора
• Высокий уровень потребления памяти
• Высокий уровень потребления пропускной способности сети

На ISA Server 2006 можно устанавливать максимальное количество подключений в течение определенных промежутков времени или максимальное количество подключений для определенного IP адреса. Когда максимальное количество запросов клиента достигнуто, новые запросы клиента отвергаются и соединение прерывается.

Настройки по умолчанию помогают обеспечить работу ISA Server, даже когда он подвергся лавинной атаке.

Таблица 3: Защита ISA

Атака	Параметр защиты ISA Mitigation	Умолчания
Лавинная атака. Определенный IP адрес пытается открыть множество соединений различным IP адресам.	Количество запросов TCP соединений в минуту, для IP адреса.	По умолчанию, ISA Server ограничивает количество TCP запросов на клиента до 600 в минуту. Необходимо помнить о том, что существуют определенные законные приложения, которые могут создавать высокое количество попыток соединения.
Лавинная атака. Определенный IP адрес пытается наполнить ISA Server, поддерживая определенное количество TCP соединений параллельно.	Количество параллельных TCP соединений на IP адрес.	ISA Server ограничивает количество параллельных TCP соединений на клиента до 160.
Синхронная атака (SYN attack). Вредоносный клиент пытается наполнить ISA Sever 2006 большим количеством полуоткрытых TCP соединений.	ISA Server снижает синхронные атаки.	ISA Server ограничивает количество параллельных полуоткрытых TCP соединений до половины количества параллельных соединений, настроенных для параллельных TCP соединений. Эту настройку нельзя изменить.
Лавинная атака через протокол (User Datagram Protocol (UDP)). IP адрес пытается начать атаку типа «отказ от обслуживания».	Количество параллельных UDP сеансов на IP адрес. Когда лавинная атака UDP имеет место, ISA Server закрывает более старые сеансы, поэтому количество разрешенных параллельных соединений не превышает установленного значения.	ISA Server ограничивает количество параллельных UDP сеансов на IP адрес до 160. Это значение можно изменять в переделах до 400 параллельных UDP сеансов.

Конфигурация лавинных атак

Можно настроить защиту от атак (Flood Mitigation) с помощью консоли управления ISA Server 2006 Management console.

Все параметры защиты от атак в ISA Server 2006, а также настройки против DNS атак можно найти во вкладке Конфигурация - Общие.

Рисунок 1: Дополнительная политика безопасности ISA Server

На странице Настройка параметров защиты от потоковых атак (Flood Mitigation) можно активировать защиту от потоков и распространения червя, а также загрузки заблокированного трафика.

Рисунок 2: Общие параметры защиты

Многие из параметров защиты от потоковых атак позволяют вам устанавливать собственные лимиты для определенных IP адресов. После чего вы можете быть спокойны, что эти IP адреса не подвергаются риску, а трафик легитимный.

Рисунок 3: Собственные лимиты для IP исключений

Для определенных параметров, таких как ограничения полуоткрытых TCP соединений, вы не можете назначить исключения.

Рисунок 4: Параметры соединений без исключений

IP исключения

Не каждая атака исходит от хакера или вредоносного пользователя. Есть несколько причин, по которым определенные клиенты могут создавать больше соединений в определенное время или для определенного IP адреса. После того, как вы убедились, что клиент имеет законные причины для такого объема трафика, а ISA сервер обладает достаточным количеством ресурсов для дополнительных соединений, вы можете создавать IP исключения, как показано на рисунке.

Рисунок 5: Параметры соединений

Настройка предупреждений

Как администратору вам нужно знать о возникновении потоковых атак или атак спуфинга. ISA Server 2006 позволяет вам настраивать параметры предупреждений, чтобы предупреждать вас по электронной почте, журналу событий и т.д.

Рисунок 6: Настройка параметров предупреждения

Можно создавать сообщения для нескольких предупреждений, таких как синхронная атака и превышение лимита соединений в секунду или на IP адрес.

Рисунок 7: Настройка предупреждений для превышения TCP соединений в минуту

Регистрация потоковых манипуляций (Flood Manipulation)

ISA Server 2006 регистрирует попытки манипуляции потоков, как показано в следующей таблице.

Таблица 4: Регистрация ISA Flood Mitigation (Источник: Microsoft)

Код результата	Шестнадцатеричный ID	Детали
WSA_RWS_QUOTA	0x80074E23	Соединение было прервано из-за превышения квоты.
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED	0xC0040033	Соединение было прервано, потому что максимальное количество соединений в секунду для этого правила было превышено.
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED	0xC0040037	Соединение было прервано, потому что максимальный уровень соединений для хоста одного клиента был превышен.
FWX_E_DNS_QUOTA_EXCEEDED	0xC0040035	DNS запрос не может быть выполнен, потому что достигнут лимит запросов.

Заключение

Microsoft ISA Server 2006 обладает новой характеристикой защиты под названием Flood Mitigation. С помощью Flood Mitigation вы можете ограничивать количество текущих TCP и UDP сеансов. Это может помочь ограничить эффект воздействия атак на ISA Server, таких атак как синхронные атаки, атаки червя и многие другие известные типы атак.

Дополнительные ссылки

• Параметры ISA Firewall Flood Mitigation
• ISA Server 2006 как кухонная утварь: часть 2 – внутренние атаки
• Настройка параметров защиты от потоковых атак
• Обзор ISA Server 2006
• Защита сети ISA Server: Защита от потоков и атак