Чтобы оградить себя от разрушительных воздействий вредоносных программ и сетевых атак, предприятия испытывают острую необходимость в комплексных средствах сканирования и блокировки опасного содержимого, файлов и веб-узлов. Microsoft® ISA (Internet Security Аnd Acceleration) Server 2006 Standard Edition и ISA Server 2006 Enterprise Edition позволяют обеспечивать защиту доступа, реализуя множество совершенных функций обнаружения вторжений, предотвращения flood-атак, обнаружения подделки IP-адресов и т.д.
Обзор функций защиты сети ISA Server 2006
В следующей таблице перечислены функции ISA Server 2006, играющие наиболее важную роль для администраторов, занимающихся защитой своей информационной среды.
| Области применения | Функций ISA Server 2006 |
|
Вирусы-черви, распространяющиеся по сети от одного пользователя к другому и причиняющие вред пользователям, партнерам и заказчикам. |
Упрощенное группирование оповещений об IP-адресах и квоты подключений повышают отказоустойчивость сети к вирусам-червям и сводят к минимуму негативные последствия заражения компьютеров в ней. Улучшенные функции обнаружения вторжений и защиты от атак позволяют блокировать flood-атаки и другие атаки типа «отказ в обслуживании» — как обычные (DoS), так и распределенные (DDoS). |
|
Все возрастающее число атак в отношении ресурсов внешнего доступа заставляет заботиться об их защите. |
И такую защиту можно легко организовать, защитив сеть предприятия от множества различных видов атак: подделки протокола DHCP, фрагментирования IP-адресов и других видов вторжений. |
|
Необходима также защита от подделки IP-адресов. |
Ее обеспечивает предназначенный специально для этой цели комплексный защитный механизм. ISA Server производит проверку правильности адреса источника для каждого пакета. |
|
Иногда может пройти несколько часов или даже дней, пока атака будет обнаружена, поэтому крайне необходимы методы оповещения, позволяющие вовремя принять необходимые меры. |
Улучшенный набор триггеров и оповещений позволяет быстро уведомить администраторов о возникновении проблем в сети. |
Сценарий: предотвращение атак
Возможности ISA Server, позволяющие противостоять атакам, играют ключевую роль в процессе защиты сети от хакеров. Поставляемые по умолчанию функции предотвращения атак помогают защищать сеть, блокируя предпринимаемые атаки и оповещая администратора о подозрительной активности узлов.
Такое сочетание функций обнаружения и предотвращения помогает защищать сеть от всевозможных типов атак, некоторые из которых перечислены в следующей таблице.
| Атака | Описание |
|
Внутреннее распространение вирусов-червей по протоколу TCP |
Зараженные клиентские компьютеры производят подключения к произвольным узлам по определенному порту, пытаясь заразить их через известную им уязвимость. |
|
Переполнение таблицы подключений |
Атакующий со множества IP-адресов или зомби-узлов создает огромное число подключений, что приводит к быстрому исчерпанию ресурсов ISA Server и, как следствие, к невозможности его администрирования. |
|
Переполнение очереди DNS при распространении вирусов-червей |
Зараженные клиентские компьютеры производят попытки подключения по определенному порту к произвольным узлам. Если политика ISA Server основана на DNS-именах, то у ISA Server возникает потребность обратного преобразования этих адресов. |
|
Последовательные подключения по протоколу TCP при flood-атаках |
Атакующий пользуется внутренним узлом для атаки типа «отказ в обслуживании» на ISA Server или другой сервер позади него, последовательно открывая и закрывая огромное число подключений, пытаясь таким образом обойти механизм ограничения по квотам. При этом потребляются огромные ресурсы. |
|
Распределенная атака типа «отказ в обслуживании» по протоколу HTTP через существующие подключения |
Атакующий с высокой скоростью отправляет HTTP-запросы через устойчивое (keep-alive) TCP-подключение. При этом веб-прокси ISA Server производит авторизацию каждого запроса, потребляя огромные ресурсы. ISA Server обеспечивает предотвращение таких атак, особенно в тех случаях, когда множественные подключения являются частью единого HTTP-сеанса, активного в течение определенного периода времени. |
Предположим, несколько компьютеров в сети предприятия заражены вирусом-червем и пытаются распространить его по всей сети. Каждый зараженный узел с большой скоростью рассылает огромное число TCP-запросов на подключение по определенному порту к различным случайным IP-адресам, пытаясь обнаружить другие уязвимые для заражения компьютеры, имеющие некоторую известную уязвимость.
Поскольку ISA Server отслеживает допустимую частоту подключений для каждого IP-адреса источника, он выдаст оповещения о тех из них, которые относятся к зараженным узлам. Если узел превысит определенное в конфигурации пороговое число подключений в минуту, будет выдано оповещение.
Прежде чем блокировать подозрительный IP-адрес, ISA Server проверяет, не является ли он поддельным. Если IP-адрес определен как вредоносный, ISA Server выдает оповещение, содержащее сведения об атакующем и о характере атаки, и с этого момента на одну минуту ограничивает трафик с данного узла. По прошествии минуты обмен данными с этим IP-адресом возобновляется. Если пороговое значение превышено еще раз и оповещение сброшено вручную, оно выдается снова и трафик опять блокируется.
После этого оповещения учитываются только попытки подключения, разрешенные политикой брандмауэра. Если попытка подключения запрещена политикой брандмауэра, ISA Server учитывает ошибочные подключения отдельно и выдает еще одно оповещение.
Встроенный механизм ведения журнала ISA Server ограничивает системные ресурсы при регистрации трафика, создаваемого вирусами, выдавая оповещение только тогда, когда превышено пороговое значение для отдельного IP-адреса источника. Этот же механизм ограничивает общее число записей журнала в секунду для трафика, блокированного в соответствии с политикой ISA Server. Журнал запрещенных запросов ведется до тех пор, пока не закончатся системные ресурсы, после чего регистрация запрещенных пакетов прекращается. Кроме этого, работа ISA Server заключается в выдаче оповещений, и в этом отношении он также ограничивается определенным числом оповещений в секунду.
Если IP-адрес принадлежит пользователю, нечаянно инициировавшему вредоносную атаку, он может обратиться в группу технической поддержки с жалобой на отсутствие подключения к сети Интернет. Технический специалист просмотрит оповещения ISA Server и обнаружит, что узел данного пользователя нарушает политику ограничения интенсивности запросов. После проверки компьютера на нем будет обнаружен вирус-червь, после удаления которого передача многочисленных запросов к ISA Server прекратится. С этого узла будут сняты ограничения на трафик, и клиент сможет получить доступ к сети Интернет.
Функции защиты сети ISA Server
ISA Server позволяет предотвращать заражение вирусами и последующие flood-атаки, которые для многих предприятий, к сожалению, уже стали обыденностью.
Настройка функций предотвращения атак описана в разделе «Настройка функций предотвращения атак». Кроме этого, ISA Server включает ряд встроенных функций защиты от вредоносных атак, которые описаны в разделе Предварительная настройка ISA Server для защиты от атак.
В соответствии с параметрами настройки ISA Server выдает оповещения, которые позволяют выявлять и предотвращать атаки. Все эти оповещения подробно описаны в разделе «Оповещения».
Настройка функций предотвращения атак
ISA Server включает ряд настраиваемых функций предотвращения атак, позволяющих гарантировать защиту сети от вредоносных атак. В зависимости от условий развертывания можно настроить следующие функции:
| • |
Функции предотвращения flood-атак и распространения вирусов-червей |
| • |
Ограничение числа подключений по протоколу HTTP |
| • |
Функции защиты от ряда атак: защита IP-пакетов, подделка протокола DHCP и обнаружение вторжений |
В данном разделе описаны функции предотвращения атак.
Предотвращение flood-атак и распространения червей
Flood-атакой называется попытка атаки на сеть, предпринимаемая злоумышленником при использовании множества непрерывно совершенствуемых методов. Ее следствием может быть:
| • |
сильная загрузка диска и большое потребление ресурсов на брандмауэре |
| • |
высокая загрузка ЦП |
| • |
чрезмерное потребление памяти |
| • |
снижение пропускной способности сети |
Настроив параметры настройки для предотвращения flood-атак и распространения вирусов-червей, можно ограничить возможности атакующих по проникновению в сеть предприятия.
ISA Server ограничивает число подключений на момент времени. Это ограничение можно настроить, указав максимальное число параллельных подключений. Когда оно достигнуто, все новые запросы клиентов будут отклоняться.
Установленные по умолчанию параметры конфигурации даже в условиях flood-атаки позволяют гарантировать стабильную работу ISA Server благодаря диверсификации трафика и обеспечению различных уровней обслуживания для разных его типов. Предположительно вредоносный трафик (вызванный flood-атакой) может быть запрещен, тогда как весь остальной трафик продолжает обслуживаться.
В следующей таблице перечислены возможные случаи flood-атак и распространения вирусов-червей и кратко описаны методы, которые ISA Server предпринимает для защиты от них.
| Атака | Предотвращение | По умолчанию |
|
Flood-атака. Определенный IP-адрес предпринимает большое число попыток подключения к разным IP-адресам, вызывая переполнение. |
Запросы на TCP-подключение в минуту на IP-адрес. ISA Server предотвращает flood-атаку, когда атакующий рассылает множество запросов на подключение по протоколу TCP. А также защищает против распространения вирусов-червей, когда зараженные узлы сканируют сеть в поисках уязвимых узлов. |
По умолчанию ISA Server ограничивает число запросов на подключение по протоколу TCP до 600 в минуту на каждого клиента. Для некоторых IP-адресов можно настроить исключения. По умолчанию это значение равно 6 000 запросам в минуту. |
|
Flood-атака. Определенный IP-адрес пытается открыть множество параллельных TCP-подключений к ISA Server. |
Параллельные TCP-подключения на IP-адрес. ISA Server предотвращает flood-атаки по протоколу TCP, когда атакующий узел создает множество TCP-подключений к ISA Server или другим серверам. |
По умолчанию ISA Server ограничивает число параллельных подключений по протоколу TCP до 160 на каждого клиента. Для некоторых IP-адресов можно настроить исключения. По умолчанию это значение равно 400 параллельным подключениям в минуту. |
|
SYN-атака. Это попытка завалить ISA Server множеством наполовину открытых подключений по протоколу TCP. |
Наполовину открытые TCP-подключения. ISA Server предотвращает SYN-атаки. В таких случаях атакующий узел присылает множество TCP-сообщений SYN, не завершая процедуру открытия подключения. |
По умолчанию ISA Server ограничивает число параллельных не полностью открытых TCP-подключений до половины значения, указанного для параметра «Параллельных TCP-подключений на IP-адрес». Это значение изменить нельзя. |
|
Атака типа «отказ в обслуживании» (DoS) по протоколу HTTP. Определенный IP-адрес производит атаку «отказ в обслуживании», отправляя множество запросов по протоколу HTTP. |
HTTP-запросов в минуту на IP-адрес. ISA Server предотвращает DoS-атаки. Атакующий узел отправляет на веб-узел жертвы множество HTTP-запросов при использовании одного и того же TCP-подключения. |
По умолчанию ISA Server ограничивает число HTTP-запросов до 600 в минуту на каждого клиента. Для некоторых IP-адресов можно настроить исключения. По умолчанию это значение равно 6 000 запросам в минуту. |
|
Атака типа «отказ в обслуживании» (DoS) не по протоколу TCP. Узел-зомби пытается произвести атаку типа «отказ в обслуживании», отправляя многочисленные запросы не по протоколу TCP, что запрещено правилом ISA Server. |
Новых сеансов не по протоколу TCP в минуту для правила. ISA Server предотвращает DoS-атаки не по протоколу TCP. При этом атакующий узел отправляет на сервер жертвы многочисленные пакеты не по протоколу TCP. Правило ISA Server разрешает некоторые виды трафика не по протоколу TCP. |
По умолчанию ISA Server ограничивает число сеансов не по протоколу TCP в минуту до 1 000, для указанного протокола (правила). |
|
Flood-атака по протоколу UDP. Определенный IP-адрес производит атаку «отказ в обслуживании», открывая множество параллельных сеансов по протоколу UDP. |
Параллельных UDP-подключений на IP-адрес. ISA Server предотвращает flood-атаки по протоколу UDP. Атакующий узел отправляет узлам-жертвам многочисленные UDP-сообщения. В таких случаях ISA Server отменяет предыдущие сеансы, чтобы параллельно было открыто не более указанного числа подключений. |
По умолчанию ISA Server ограничивает число параллельных UDP-сеансов до 160 на каждого клиента. Для некоторых IP-адресов можно настроить исключения. По умолчанию это значение равно 400 сеансам в минуту. |
Для каждого настроенного ограничения ISA Server отслеживает его превышение, и, если достигнуто пороговое значение:
| • |
Отклоняет все новые запросы на подключение. Через одну минуту ISA Server сбрасывает квоту для этого IP-адреса, снимая блокировку трафика. Если клиент снова превышает квоту, трафик опять блокируется. |
После достижения предельного числа TCP-подключений открытие новых подключений запрещается. Для остальных подключений (чистого IP и UDP), если превышено предельное число подключений, то при создании новых подключений закрываются более старые.
| • |
Продолжается обслуживание трафика по существующим подключениям. |
| • |
Продолжается обслуживание системных подключений от локального узла. |
Прежде чем ISA Server блокирует некоторый IP-адрес, он проверяет, не является ли тот поддельным.
При анализе flood-атак наибольшую важность представляют IP-адреса клиентов, создающих подозрительные шаблоны трафика. ISA Server способен выявлять эти адреса и уведомлять о них администраторов через оповещения. Чтобы не вызывать лишней нагрузки, для каждого из атакующих IP-адресов он выдает единственное оповещение, даже если с этого адреса создание подозрительных шаблонов трафика производится непрерывно (так обычно ведут себя зараженные клиентские компьютеры). Для каждого из IP-адресов, для которого превышен предел (или наоборот, при прекращении превышения предела) выдача оповещения производится не чаще одного раза в минуту.
В версии ISA Server Enterprise Edition назначенные администратором предельные значения для предотвращения flood-атак применяются ко всем членам массива. Подсчет подключений производится следующим образом: каждое подключение учитывается со стороны его инициатора.
Атака типа «отказ в обслуживании» через ресурсы ISA Server
В некоторых из атак типа «отказ в обслуживании» атакующий узел пытается взломать брандмауэр ISA Server через уязвимости его системных ресурсов. ISA Server предотвращает такие атаки, снижая время бездействия подключения при нехватке невыгружаемого пула памяти. Если атака не прекратилась, то при очень большой загрузке невыгружаемого пула памяти ISA Server блокирует вновь создаваемые подключения. Он также отсоединяет сеансы, которые бездействовали более шести минут.
Управление ведением журнала flood-атак
ISA Server предоставляет возможность глобальной настройки функций предотвращения flood-атак. Для всех видов атак можно настроить ведение журнала блокированного трафика.
Следующая таблица показывает коды ошибок, которые служба брандмауэра может записать в журнал, когда разрешено ведение журнала для блокированного трафика.
| Код результата | 16-ричный идентификатор | Подробное описание |
|
WSA_RWS_QUOTA |
0x80074E23 |
Подключение было отменено по причине превышения квоты. |
|
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED |
0xC0040033 |
Соединение было отменено по причине превышения максимального числа подключений, создаваемых в секунду для данного правила. |
|
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED |
0xC0040037 |
Соединение было отменено по причине превышения максимальной частоты подключений на клиента. |
|
FWX_E_DNS_QUOTA_EXCEEDED |
0xC0040035 |
Запрос к DNS-серверу не может быть выполнен, поскольку достигнуто ограничение на число запросов. |
Включение ведения журнала:
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Настроить параметры предотвращения flood-атак. |
|
3. |
На вкладке Предотвращение flood-атак выберите Параметры ведения журнала для блокированного трафика. |
Список исключений
Для некоторых квот предотвращения flood-атак устанавливаются два значения:
| • |
Одно из них применяется к IP-адресам, содержащимся в списке исключений. |
| • |
Второе значение применяется ко всем остальным адресам. |
Это позволяет указать IP-адреса, к которым ограничения предотвращения flood-атак применяться не должны. Вместо этого к ним применяются особые ограничения.
Можно настроить список исключений для опубликованных серверов, обслуживания массива и ряда сценариев со смежными брандмауэрами. К примеру, можно применить список исключений к группе компьютеров Remote Management Computers или к членам массива (для версии ISA Server Enterprise Edition). В список исключений можно также включить IP-адреса вышестоящих или подчиненных прокси-серверов или других устройств преобразования сетевых адресов (маршрутизаторов). Эти адреса в процессе работы открывают множество подключений, поэтому им требуется повышенные ограничения.
Квоты для IP-адресов в списке исключений можно настроить для следующих функций предотвращения flood-атак:
| • |
Запросов на TCP-подключение в минуту на IP-адрес |
| • |
Параллельных TCP-подключений на IP-адрес |
| • |
HTTP-запросов в минуту на IP-адрес |
| • |
Параллельных UDP-подключений на IP-адрес |
Атакующий может производить flood-атаку при использовании поддельного IP-адреса, включенного в список исключений. Чтобы избавиться от этой проблемы, рекомендуется между ISA Server и компьютерами с IP-адресами, включенными в список исключений, произвести развертывание политики безопасности протокола IP (IPsec). Она включает проверку подлинности всего трафика между этими IP-адресами, таким образом эффективно исключая их подделку.
Настройка списка исключений
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Настроить параметры предотвращения flood-атак. |
|
3. |
На вкладке За исключением IP-адресов нажмите кнопку Добавить. |
|
4. |
В диалоговом окне Группы компьютеров добавьте нужные группы компьютеров. |
Записи журнала и оповещения относительно заблокированных IP-адресов
Механизм оповещений по IP-адресам выдает оповещение, если число запрещенных пакетов от указанного адреса превышает предварительно установленное пороговое значение. Можно настроить общее ограничение, применяемое ко всем IP-адресам, а также исключения для определенного списка IP-адресов.
При настройке этой функции оповещения будут срабатывать для всех flood-атак.
Настройка оповещений для блокированного трафика
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Настроить параметры предотвращения flood-атак. |
|
3. |
На вкладке Предотвращение flood-атак рядом с полем Задать триггер события для запрещенных пакетов нажмите кнопку Настроить. |
|
4. |
В поле Ограничение введите пороговое значение для предотвращения flood-атак. |
Настройка ограничений для HTTP-подключений
Кроме предотвращения flood-атак и распространения вирусов-червей, можно также ограничить число максимально возможных одновременных подключений веб-прокси к компьютеру ISA Server. Это позволяет предотвращать атаки, злоупотребляющие ресурсами системы, и особенно полезно при публикации веб-серверов. Можно ограничить число подключенных компьютеров, разрешив некоторым клиентам подключение даже в том случае, если это ограничение достигнуто.
Можно настроить ограничения на подключение к веб-прокси как для опубликованных серверов (на веб-прослушиватель), так и для исходящих веб-запросов (на определенные сети).
Можно указать ограничение на число подключений для конкретного веб-прослушивателя. Веб-прослушиватели используются в правилах веб-публикации, и для одного веб-прослушивателя может быть определено несколько правил. Установка ограничения на число подключений для веб-прослушивателя ограничивает число подключений, допустимых для публикуемых веб-узлов через данный прослушиватель.
Можно указать ограничение на число подключений в свойствах веб-прокси определенного сетевого объекта. Фильтр веб-прокси обрабатывает исходящий HTTP-трафик по порту 80. Указание этого ограничения на число подключений для определенной сети ограничивает число исходящих веб-подключений, которые одновременно допускаются в данной сети.
Настройка защиты от атак
Кроме предотвращения flood-атак и распространения вирусов-червей, а также ограничения HTTP-подключений, ISA Server включает ряд настраиваемых механизмов, помогающих защитить сеть от атак.
| • |
Защита IP-пакетов |
| • |
Защита широковещательных пакетов |
| • |
Защита от подделки протокола DHCP |
| • |
Обнаружение вторжений |
| • |
Обнаружение подделки IP-адресов |
Все эти механизмы более подробно описаны в последующих разделах.
Настройка защиты IP-пакетов
Можно настроить способ, которым ISA Server обрабатывает IP-пакеты:
| • |
Фильтрация фрагментов IP-пакетов |
| • |
Маршрутизация IP-пакетов |
| • |
Параметры протокола IP |
Настройка фильтрации фрагментов IP-пакетов
IP-датаграмма может быть разбита на несколько датаграмм меньшего размера, которые называются IP-фрагментами. ISA Server умеет производить фильтрацию таких фрагментов.
При этом все фрагментированные пакеты уничтожаются. Атака Teardrop и ее варианты заключаются в отправке фрагментов пакетов, которые затем собираются в пакеты, которые могут нанести вред системе. По принципу работы она немного отличается от атаки «ping смерти», но приводит к похожему результату.
Teardrop-программа делит исходный IP-пакет на фрагменты, которые передаются через Интернет. В полях смещения этих фрагментов должна указываться позиция (в байтах) в исходном пакете, однако в передаваемых фрагментах она указана с перекрытием.
Например, обычно поля смещений в двух фрагментах выглядят так:
Fragment 1: (offset) 100 - 300 Fragment 2: (offset) 301 - 600
Это означает, что первый фрагмент содержит байты с 100-го по 300-й исходного пакета, а второй — байты с 301-го по 600-й.
Поля смещений с перекрытием выглядят так:
Fragment 1: (offset) 100 - 300 Fragment 2: (offset) 200 - 400
Когда компьютер получателя пытается произвести сборку такого пакета, у него ничего не выходит. Он может выдать ошибку, зациклиться или перезагрузиться.
Блокировка IP-фрагментов
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Определить параметры настройки IP. |
|
3. |
На вкладке IP-фрагменты установите флажок Блокировать IP-фрагменты. |
Фильтрация фрагментов может сказаться на передаче потокового видео и аудио. Кроме этого, могут оказаться безуспешными подключения по туннельному протоколу уровня 2 (L2TP) через IPsec, поскольку при обмене сертификатами иногда возникает фрагментация пакетов. При возникновении проблем с потоковым видео и аудио или с VPN-подключениями на основе IPsec отключите фильтрацию фрагментов.
Настройка маршрутизации IP
Чтобы оградить систему от нежелательных обрывов подключения, ISA Server реализует:
| • |
Предотвращение flood-атак через подключения. ISA Server проверяет правильность последовательности трехстороннего обмена пакетами при установлении подключения. Это позволяет избежать установления TCP-подключений к или через ISA Server от источников с поддельными IP-адресами. |
| • |
Предотвращение RST-атак. ISA Server проверяет последовательные номера пакетов RST и SYN. Это позволяет предотвратить возможность закрытия атакующим существующих подключений, открытых другими клиентами. |
Аналогичный механизм содержит также и операционная система. Он может оказаться полезным в случаях публикации и последовательного подключения серверов. Чтобы его включить, отключите функцию IP-маршрутизации ISA Server.
В этом случае ISA Server отправляет получателю только данные (а не весь исходный сетевой пакет). Кроме этого, каждый пакет копируется и пересылается через драйвер в пользовательском режиме
Если IP-маршрутизация отключена, ISA Server создает для каждого подключения два дополнительных сокета, что повышает потребление ресурсов брандмауэром ISA Server, подвергая его опасности воздействия flood-атак. Поэтому при отключении IP-маршрутизации рекомендуется произвести развертывание маршрутизатора, чтобы защитить ISA Server от flood-атак по TCP-подключениям.
Если IP-маршрутизация разрешена, ISA Server сам выступает в роли маршрутизатора. Частично фильтрация трафика, проходящего через ISA Server, выполняется драйвером в пользовательском режиме.
Если IP-маршрутизация разрешена, ISA Server создает отдельные подключения между сервером и клиентом. Он производит полный разбор и воссоздание заголовков IP и TCP, передавая только данные. Если злоумышленник пытается воспользоваться уязвимостью протокола IP или TCP, его трафик блокируется, прекращая доступ к получателю, защищаемому ISA Server.
Отключение маршрутизации IP
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Определить параметры настройки IP. |
|
3. |
На вкладке Маршрутизация IP сбросьте флажок Включить маршрутизацию IP. |
Настройка параметров IP
Можно настроить ISA Server таким образом, чтобы все пакеты, имеющие в заголовке флажок «Параметры IP», автоматически получали отказ.
Наиболее проблемными являются параметры исходной маршрутизации. Эта поддерживаемая протоколом TCP/IP функция позволяет отправителю данных производить маршрутизацию пакетов в определенную точку сети. Существует два типа исходной маршрутизации:
| • |
Строгая исходная маршрутизация. Отправитель данных может точно указать узел (редко используется). |
| • |
Нестрогая исходная маршрутизация. Отправитель может указать определенные маршрутизаторы (ретрансляторы), через которыедолжен пройти пакет. |
Параметр исходной маршрутизации в заголовке IP позволяет отправителю переопределить процесс принятия решения о маршруте пакета, который обычно определяется маршрутизаторами, находящимися между компьютерами отправителя и получателя. Исходная маршрутизация применяется для переотображения сети или диагностики проблем маршрутизации и передачи данных, а также при необходимости передачи трафика по маршруту, обеспечивающему наибольшую производительность.
К сожалению, она также представляет собой также и угрозу взлома. Например, атакующий может воспользоваться этой функцией чтобы добраться до адресов внутренней сети, которые обычно недоступны из других сетей, перенаправляя трафик с компьютера, доступного в обеих сетях. В сущности, это может послужить причиной flood-атак. Производительность ISA Server при flood-атаке можно увеличить, отключив функции фильтрации параметров IP.
Отключение фильтрации параметров IP
|
1. |
В дереве консоли управления ISA Server выберите Общие. |
|
2. |
На панели подробностей нажмите Определить параметры настройки IP. |
|
3. |
На вкладке Параметры IP сбросьте флажок Включить фильтрацию параметров IP. |
Настройка защиты от подделки протокола DHCP
ISA Server умеет обнаруживать неверные пакеты предложений DHCP. Предложение DHCP считается верным только в том случае, если оно содержится в диапазоне объекта сети, связанного с сетевой платой, которой назначен данный IP-адрес. Если обнаружено неверное предложение, ISA Server выдает оповещение Недопустимое предложение DHCP и не обрабатывает его.
Защита от недопустимых предложений DHCP продолжается даже после подтверждения этого оповещения.
В выпуске ISA Server Enterprise Edition, принимая новый IP-адрес для внутренней сети, проверьте, доступен ли через этот адрес сервер хранилища конфигураций.
ISA Server содержит список допустимых IP-адресов для каждой из сетевых плат DHCP. Допустимыми являются адреса, входящие в адресный набор сети, к которой относится адрес сетевой платы. Когда ISA Server получает пакет предложения DHCP, он проверяет, находится ли его отправитель в диапазоне допустимых адресов. Если проверка не пройдена, пакет отклоняется и выдается оповещение Недопустимое предложение DHCP.
Если сетевая плата получила предложенный адрес, можно обновить адреса DHCP. В этом случае контролирующий механизм временно отключается и выдается команда ipconfig /renew. В этот момент не отклоняются никакие предложения адресов. После того как платы получили свои адреса, ISA Server возобновляет работу механизма.
Предложения DHCP могут отклоняться в следующих случаях:
| • |
При переключении между двумя сетевыми платами DHCP. Например, если производится переключение между платой, подключенной к внутренней сети и платой, подключенной к внешней. |
| • |
Плата DHCP перемещается в другую сеть. Например, если плата внешней сети ISA Server подключается к домашней сети через маршрутизатор, подключенный к Интернету. При замене маршрутизатора внешней сетевой платой ISA Server необходимо обновить адрес DHCP, чтобы разрешить DHCP его назначение. |
После того как назначение разрешено, его не нужно разрешать еще раз.
В некоторых случаях может понадобиться переключить сетевую плату с одной сети на другую с использованием адреса, полученного от сервера DHCP. Для этого понадобится принять предложение, которое ISA Server вообще-то считает недопустимым.
Принятие предложения DHCP
|
1. |
В командной строке введите следующую команду: ipconfig /renew. При этом будет выдано сообщение об ошибке. |
|
2. |
В управлении ISA Server произведите настройку оповещения о недопустимых предложениях DHCP. |
|
3. |
Убедитесь в том, что для сетевой платы назначен соответствующий IP-адрес. |
|
4. |
Убедитесь в том, что объект сети, связанный с сетевой платой, отражает новый IP-адрес. |
Настройка обнаружения вторжений
Реализованный в ISA Server механизм обнаружения вторжений определяет факт атаки на сеть и в случае ее наличия выполняет набор определенных действий или оповещений. Для обнаружения непрошенных гостей ISA Server сравнивает сетевой трафик и записи журнала, соответствующие общеизвестным методам атак. При обнаружении подозрительной активности срабатывает оповещение. Действия могут включать завершение подключения, завершение сеанса, оповещения по электронной почте и запись в журнал.
В следующей таблице перечислены оповещения, которые ISA Server способен выдавать, если включена функция обнаружения вторжения.
| Атака | Описание |
|
Сканирование любых портов |
Это оповещение уведомляет о том, что предпринята попытка доступа большему числу портов, чем указано в параметрах. Можно указать пороговое значение, определяющее число портов, к которым может производиться доступ. |
|
Последовательное сканирование портов |
Это оповещение уведомляет, что произведена попытка выяснить, какие службы выполняются на компьютере, методом последовательного опроса каждого из портов. Если возникло данное оповещение, необходимо определить источник сканирования портов. Сверьте список портов со службами, работающими на компьютере получателя. Затем выясните источник и цель сканирования. Проверьте журнал доступа на предмет неавторизованного доступа. Если в нем найдены свидетельства, указывающие на неавторизованный доступ, следует считать систему скомпрометированной и принять соответствующие меры. |
|
Полусканирование IP |
Это оповещение уведомляет о том, что производятся повторяющиеся попытки отправки TCP-пакетов с недопустимыми флажками. Нормальное TCP-подключение инициируется так: источник отправляет пакет SYN на определенный порт системы получателя. Если этот порт прослушивается службой, она отправляет в ответ пакет SYN/ACK. Клиент инициирует подключение, отправляет в ответ пакет ACK, и после этого оно считается установленным. Если узел получателя не ожидает подключений на определенном порту, он возвращает в ответ пакет RST. В большинстве систем подключения не регистрируются в завершенных, пока от источника не будет получен финальный пакет ACK. Отправка других типов пакетов, не вписывающихся в эту последовательность, позволяет без регистрации подключения получить от узла получателя множество полезных сведений. Этот прием называется полусканированием (или скрытым сканированием) по протоколу TCP, поскольку в журнал сканируемого узла никаких записей не заносится. |
|
Land-атака |
Это оповещение уведомляет о том, что был отправлен TCP-пакет SYN с поддельным IP-адресом и номером порта, совпадающим с IP-адресом и номером порта получателя. Если бы эта атака удалась, это могло бы привести к зацикливанию некоторых реализаций протокола TCP и, как следствие, к нарушению работы компьютера. |
|
Атака «Ping смерти» |
Это оповещение уведомляет, что был получен IP-фрагмент, содержащий данных больше максимально допустимого размера IP-пакета. Если бы эта атака удалась, это могло бы привести к переполнению буфера ядра и, как следствие, к нарушению работы компьютера. |
|
Атака «UDP-бомба» |
Это оповещение уведомляет о том, что была произведена попытка отправки недопустимого UDP-пакета. Этот пакет содержит недопустимые значения в некоторых полях, что на некоторых старых версиях операционных систем может привести к прекращению их работы. Если компьютер получателя отказывает в работе, зачастую очень трудно выявить причину этого. |
|
Атака переполнения на системах Windows |
Это оповещение уведомляет, что была произведена атака типа «отказ в обслуживании» на компьютер, защищаемый ISA Server. В случае успеха эта атака могла бы привести к отказу в работе компьютера или прекращению работы сети на уязвимых компьютерах. |
ISA Server включает следующие фильтры обнаружения вторжения:
| • |
Фильтр обнаружения вторжения DNS работает с правилами публикации DNS-сервера. Он перехватывает и анализирует весь входящий DNS-трафик, предназначенный опубликованной сети. |
| • |
Фильтр обнаружения вторжения POP следит за атаками переполнения буфера POP3. |
Фильтр обнаружения вторжения DNS
Фильтр DNS, устанавливаемый в составе ISA Server, перехватывает и анализирует весь DNS-трафик, предназначенный опубликованной сети. Он следит за переполнением длины DNS-запросов, а также может блокировать передачу зон.
Кроме этого, можно настроить, какие из следующих DNS-атак вызывают срабатывание оповещений:
| • |
Переполнение DNS-имени узла. Возникает, когда ответ на запрос DNS-имени узла превышает определенную фиксированную длину (255 байт). Приложения, которые не проверяют длину имен узлов, могут вызвать переполнение внутреннего буфера при копировании имени узла, позволяя удаленному атакующему выполнить произвольный код на компьютере получателя. |
| • |
Переполнение длины DNS. Ответ DNS-запроса для IP-адресов содержит поле длины, которое должно быть 4 байта длиной. Указав в нем большее значение, некоторые приложения могут вызвать переполнение внутреннего буфера, что также позволит удаленному атакующему выполнить произвольный код на компьютере получателя. ISA Server также проверяет, чтобы значение поля RDLength не превышало длины оставшейся части DNS-ответа. |
| • |
Передача зон DNS. Возникает, когда клиентская система использует клиентское приложение DNS для передачи зон от внутреннего DNS-сервера. |
Фильтр обнаружения вторжения POP
Этот фильтр перехватывает и анализирует весь POP-трафик, предназначенный опубликованной сети. В частности, фильтр приложения следит за атаками переполнения буфера POP3.
Эта атака заключается в том, что удаленный атакующий пытается получить к POP-серверу доступ пользователем root, вызвав на нем переполнение внутреннего буфера.
Предварительная настройка ISA Server для защиты от атак
ISA Server включает предварительную настройку для защиты от ряда атак: обнаружение подделки IP-адресов и защиту широковещательных пакетов.
Эти функции описаны в следующих разделах.
Оповещения обнаружения подделки IP-адресов
Каждый раз при получении пакета сетевой платой ISA Server проверяет, не является ли адрес его отправителя поддельным. При этом производится проверка, является ли он действительным IP-адресом, относящимся к сетевой плате, которой он получен. Если обнаружилось, что адрес не является действительным, ISA Server оповещает об атаке подделки IP-адреса.
IP-адрес считается действительным для данной сетевой платы, если выполняются два следующих условия:
| • |
IP-адрес находится в сети платы, через которую поступил пакет. |
| • |
Таблица маршрутизации показывает, что трафик, предназначенный данному адресу, может быть маршрутизован через одну из сетевых плат, принадлежащих этой сети. |
В ISA Server Enterprise Edition обнаружение подделки не применяется к трафику, поступающему от адреса, находящегося внутри массива. Весь трафик от адресов внутри массива передается непосредственно ядру для проверки политик.
Рассмотрим случай, при котором сеть включает IP-адреса в диапазоне 10.X.X.X. Таблица маршрутизации выглядит так:
Network Netmask DestinationGateway interface 10.0.0.0 255.0.0.0 10.0.0.1 10.1.1.1 20.0.0.0 255.0.0.0 20.0.0.1 10.1.1.1 0.0.0.0 0.0.0.0 140.0.0.1 140.1.1.1
Пакеты с IP-адресом источника в диапазоне от 10.0.0.1 до 10.255.255.255, полученные интерфейсом 10.1.1.1, не будут отклоняться как поддельные, поскольку эти адреса могут маршрутизоваться обратно через этот интерфейс и принадлежат диапазону адресов сети. А вот пакеты с IP-адресом источника, находящимся за пределами этого диапазона (то есть в диапазоне от 20.0.0.1 до 20.255.255.255, которые могут маршрутизоваться через интерфейс 10.1.1.1), будут отклонены как поддельные, поскольку они не принадлежат этой сети.
ISA Server также гарантирует, что все пакеты, отправленные через сетевую плату, имеют действительный IP-адрес получателя. Это предотвращает маршрутизацию пакетов через не ту сетевую плату в случае возникновения проблем с таблицей маршрутизации.
Если ISA Server обнаружил поддельный пакет, он выдает оповещение об этом с указанием причины того, почему пакет сочтен поддельным. Необходимо внимательно рассмотреть это оповещение и в зависимости от причины его появления:
| • |
Исправить возможные ошибки в конфигурации. Проверьте, действительно ли IP-адрес, с которого поступают пакеты, является поддельным. Если нет, определите, почему ISA Server счел эти пакеты поддельными. |
| • |
Блокировать трафик от данного IP-адреса. Если трафик от IP-адреса признан поддельным, блокируйте доступ от этого адреса. |
Защита широковещательных пакетов
Широковещанием называется отправка единственного сообщения (датаграммы) нескольким получателям при использовании какого-либо протокола без установления подключения (например, UDP). Существует три типа широковещательных адресов:
| • |
Ограниченный. Это адрес 255.255.255.255. |
| • |
Сети. Соответствует IP-адресу, состоящему из идентификатора сети и всех остальных битов, установленных в единицу. Например, для сети класса А, имеющей идентификатор 22.0.0.0, широковещательным адресом сети будет 22.255.255.255. |
| • |
Подсети. Соответствует IP-адресу, состоящему из идентификатора подсети и всех остальных битов, установленных в единицу. Например, для сети класса А, имеющей идентификатор 22.0.0.0 с маской подсети 255.255.0.0, широковещательный адрес подсети будет равен 22.0.255.255. |
ISA Server не допускает пересылки широковещательных сообщений любого типа между платами компьютера ISA Server. Он решает, применять ли правило к широковещательным адресам, следующим образом:
| • |
Если адрес получателя не является широковещательным адресом сети, ISA Server считает его широковещательным адресом подсети сетевой платы компьютера ISA Server, на котором принят данный пакет. |
| • |
Если широковещательные пакеты являются входящими (по отношению к сети локального узла), ISA Server считает получателем сетевую плату компьютера ISA Server (локальный узел). |
| • |
Если это исходящие широковещательные пакеты (от сети локального узла), ISA Server считает источником сетевую плату компьютера ISA Server (локальный узел). |
Предположим, служба прослушивает UDP-порт 1500 сети локального узла (компьютера ISA Server) на сетевой плате с адресом подсети 22.0.1.1. Чтобы разрешить передачу данных этой службе, например, из внутренней сети, следует создать правило, которое разрешает трафик по UDP-порту 1500 из внутренней сети по широковещательному адресу подсети 22.0.255.255. Или же можно создать правило доступа, разрешающее UDP-трафик по порту 1500 из внутренней сети к локальному узлу.
Оповещения
При обнаружении атаки ISA Server умеет выдавать оповещения и регистрировать в журнале подозрительную активность. В данном разделе перечислены некоторые из оповещений об обнаружении атак.
Оповещение о предотвращении flood-атаки
В следующей таблице перечислены все возможные оповещения, которые могут быть выданы в случае flood-атак.
| Название оповещения | Описание события |
|
Не хватает невыгружаемого пула |
Размер свободного места в невыгружаемом пуле ниже определенного системой минимума. |
|
Нехватка невыгружаемого пула закончилась |
Размер свободного места в невыгружаемом пуле превысил определенный системой минимум. |
|
Превышен предел ресурсов, занятых ожидающими обработки DNS-запросами |
Процентное соотношение потоков для обработки ожидающих обработки DNS-запросов к общему числу доступных потоков превысило определенный системой максимум. |
|
Превышение предела ресурсов, занятых ожидающими обработки DNS-запросами, закончилось |
Процентное соотношение потоков для обработки ожидающих обработки DNS-запросов к общему числу доступных потоков стало ниже определенного системой максимума, поэтому может быть продолжен прием подключений, требующих разрешения DNS-имен. |
|
Превышено допустимое число TCP-подключений в минуту от одного IP-адреса |
Превышено число TCP-подключений в минуту, допустимых от одного IP-адреса. |
|
Превышено максимальное число одновременных TCP-подключений от одного IP-адреса |
Превышено число параллельных TCP-подключений, допустимых от одного IP-адреса. |
|
Превышено максимальное число сеансов не по протоколу TCP от одного IP-адреса |
Превышено число сеансов не по протоколу TCP, допустимых от одного IP-адреса. |
|
Превышено число подключений для правила |
Допускаемое правилом число сеансов в секунду не по протоколу TCP превысило допустимый предел. |
|
Превышено допустимое число заблокированных подключений в минуту от одного IP-адреса |
Число подключений в минуту от одного IP-адреса, блокированного в соответствии с политикой брандмауэра, превысило определенный в конфигурации предел. |
|
Превышено число глобальных заблокированных подключений в минуту |
Общее число блокированных TCP-подключений и сеансов не по протоколу TCP в минуту превысило определенный в конфигурации предел. |
|
Превышено число HTTP-запросов от одного IP-адреса |
Число HTTP-запросов в минуту от одного IP-адреса превысило определенный в конфигурации предел. |
В следующей таблице перечислены некоторые сообщения, которые ISA Server выдает в случае превышения максимальных значений при предотвращении flood-атак.
| Идентификатор события | Сообщение |
|
15112 |
Клиент «ИмяКлиента» превысил максимальное число подключений. Новое подключение отклонено. |
|
15113 |
ISA Server отключил клиента «ИмяКлиента» по причине исчерпания его максимального числа подключений. |
|
15114 |
ISA Server разорвал подключение, поскольку превышено максимальное число подключений. |
|
15116 |
Запрос был запрещен, поскольку превышено максимальное число подключений в секунду, допускаемое правилом. |
|
15117 |
Запрос был запрещен, поскольку превышено максимальное число подключений в секунду, допускаемое правилом «ИмяПравила». |
События ISA Server могут вызвать срабатывание оповещений-предупреждений, перечисленных в следующей таблице.
| Оповещение-предупреждение | Описание |
|
Превышено максимальное число подключений |
Для IP-адреса превышено максимальное число подключений. |
|
Превышено число подключений для правила |
Превышено максимальное число подключений в секунду, допускаемых правилом. |
|
Превышен предел ресурсов, занятых ожидающими обработки DNS-запросами |
Процентное соотношение потоков для обработки ожидающих обработки DNS-запросов к общему числу доступных потоков превысило определенный системой максимум. |
|
Превышение предела ресурсов, занятых ожидающими обработки DNS-запросами, закончилось |
Процентное соотношение потоков для обработки ожидающих обработки DNS-запросов к общему числу доступных потоков стало ниже определенного системой максимума, поэтому может быть продолжен прием подключений, требующих разрешения DNS-имен. |
Оповещения защиты от атак
В следующей таблице перечислены оповещения, которые могут быть выданы в случае прочих атак.
| Название оповещения | Описание события |
|
Отключено обнаружение вторжения через подделку протокола DHCP |
Отключен механизм обнаружения вторжений через подделку протокола DHCP. |
|
Вторжение DNS |
Произошла атака переполнения имени узла, переполнения длины или передачи зоны. |
|
Вторжение передачи зоны DNS |
Произошла атака передачи зоны. |
|
Обнаружено вторжение |
Внешним пользователем была предпринята попытка вторжения. |
|
Недопустимое предложение DHCP |
Недопустимый IP-адрес предложения DHCP. |
|
Подделка IP-адреса |
Недопустимый IP-адрес отправителя пакета. |
|
Вторжение POP |
Обнаружено переполнение буфера POP. |
|
SYN-атака |
ISA Server обнаружил SYN-атаку. |
Рекомендации
Данный раздел содержит ряд практических рекомендаций, которых следует придерживаться в процессе настройки ISA Server, чтобы обеспечить лучшую защиту сети.
Обнаружение flood-атак
Чтобы определить, что сеть подверглась flood-атаке, придерживайтесь следующих рекомендаций:
| • |
Проверьте наличие внезапных пиков в загрузке ЦП, потреблении памяти или очень интенсивного протоколирования на компьютере ISA Server. Данные симптомы очень часто указывают на то, что ISA Server подвергся flood-атаке. | ||||||||
| • |
Проверьте соответствующие оповещения. | ||||||||
| • |
Воспользуйтесь журналами ISA Server для исследования трафика. Проверьте, весь ли трафик является допустимым и ожидаемым:
| ||||||||
| • |
Выявите потенциально скомпрометированных клиентов по следующим критериям:
|
Если выяснилось, что компьютер ISA Server подвергается flood-атаке, воспользуйтесь средством просмотра журнала, чтобы определить ее источник. В особенности обратите внимание на:
| • |
Записи журнала, касающиеся запрещенного трафика. Обратите особое внимание на трафик, запрещенный вследствие превышения квот, подделки пакетов и пакеты, содержащие неверное значение в поле CHECKSUM. Это обычно указывает на вредоносность клиента. В выпуске ISA Server Standard Edition подключения, разорванные вследствие превышения числа подключений, имеют код результата 0x80074E23. В выпуске ISA Server Enterprise Edition результат отображается в текстовом виде, что ясно указывает на причину разрыва подключения. |
| • |
Записи о создании и немедленном закрытии большого числа подключений. Это часто указывает, что клиентский компьютер производит сканирование диапазона IP-адресов на наличие какой-либо уязвимости. |
Рекомендуется уменьшить число подключений, так как это может помочь предотвратить flood-атаки. В случае flood-атаки по протоколу UDP или чистого IP многие запросы содержат поддельный адрес источника, что в конце концов приведет к отказу от обслуживания.
Предотвращение flood-атак
При возникновении оповещения определите, подверглась ли сеть атаке, или же это просто перегрузка обычного трафика. Если трафик, вызвавший превышения предельных значений, является вредоносным:
| • |
Если его источник находится во внутренней сети, это может указывать на наличие в ней вируса. Выясните IP-адрес источника и немедленно отключите компьютер от сети. |
| • |
Если источник трафика находится в небольшом диапазоне IP-адресов во внешней сети, создайте правило, запрещающее доступ к группе компьютеров, включающей IP-адрес источника. |
| • |
Если же его источником является широкий диапазон IP-адресов, оцените общее состояние сети. Можно попробовать уменьшить максимальное число подключений, чтобы ISA Server смог лучше обеспечить ее защиту. |
| • |
Если же превышение пределов было вызвано высокой нагрузкой, можно попробовать увеличить максимальное число подключений. |
Еще один способ предотвращения атак заключается в создании новой сети. Эта сеть должна включать IP-адреса зараженных клиентов, выявленных по журналам и оповещениям. Затем исключите эти IP-адреса из сети, в которую они входили (внутренней сети). В сущности, при этом создается несоответствие между таблицей маршрутизации на брандмауэре ISA Server и внутренней сети. Эти IP-адреса будут считаться поддельными и поэтому весь трафик к ним и от них соответствующим образом отклоняется.
Ведение журнала в случае атаки
Каждый раз при превышении предельного значения при предотвращении flood-атак ISA Server выдает оповещение, указывающее IP-адрес атакующего клиента. Чтобы предотвратить ненужное ведение журнала, после получения списка адресов выполните следующую процедуру, которая позволяет повысить производительность ISA Server во время flood-атаки.
Повышение производительности ISA Server во время flood-атаки
|
1. |
Отключите регистрацию записей журнала, относящихся к flood-атакам. Следуйте инструкциям, приведенным в разделе «Ведение журнала предотвращения flood-атак» данного документа. |
|
2. |
Отключите ведение журнала. До окончания flood-атаки отключите ведение журнала либо для соответствующего правила, либо полностью. |
|
3. |
Перенастройте оповещения о максимальном числе подключений (или любой другой тип оповещения, который постоянно срабатывает в результате атаки) на Ручной сброс. |
После отключения регистрации запрещенных записей остается возможность получения только потенциальных оповещений, поэтому советы, приведенные в разделе Обнаружение flood-атак этого документа, могут не пригодиться.
Настройка предельных значений предотвращения flood-атак
Рекомендуется пользоваться значениями по умолчанию. Однако эти значения в ряде случаев не подходят при преобразовании сетевых адресов:
| • |
Смежный периметр. В этом случае внутренний брандмауэр ISA Server применяет преобразование сетевых адресов к исходящим запросам от внутренних клиентов, и они переадресуются фронтальному брандмауэру с адресами внутреннего брандмауэра ISA Server. На фронтальном сервере все подключения выглядят так, будто они поступили от одного и того же клиента. Например, 20 запросов от различных клиентов преобразуются компьютером ISA Server в 20 запросов, поступивших от одного и того же IP-адреса. Максимальное число подключений по умолчанию для этого IP-адреса может быстро закончиться. |
| • |
Последовательное подключение брандмауэров и веб-цепочки. Веб-цепочка маршрутизует запросы к веб-прокси вышестоящему прокси-серверу. Последовательное подключение брандмауэров настраивает подчиненный компьютер ISA Server в качестве клиента SecureNAT или клиента брандмауэра вышестоящего прокси. В обоих случаях к запросам клиентов применяется преобразование сетевых адресов и они маршрутизуются к вышестоящему серверу, который считает, что запросы клиентов от одной и той же сети должны иметь тот же IP-адрес. В таких случаях, опять-таки, максимальное число подключений для этого адреса может быстро закончиться. |
| • |
Виртуальная частная сеть (VPH) типа «сеть-сеть». Ограничение на число подключений включено для подключений виртуальной частной сети типа «сеть-сеть». Хотя к трафику между удаленными сетями применяется преобразование сетевых адресов, IP-адресу, заменяющему внутренние адреса, автоматически назначается специальное ограничение. Ошибки превышения пределов в этом случае обычно не происходит. |
Реакция на оповещение предотвращения flood-атак
|
1. |
Определите, подверглась ли сеть атаке, или же это просто перегрузка обычного трафика. Для этого воспользуйтесь средствами сетевого мониторинга. | ||||||
|
2. |
Если предел исчерпан из-за перегрузки по трафику не по протоколу TCP, попробуйте увеличить максимальное число подключений для каждого из правил. Если трафик, вызвавший превышения предельных значений, является вредоносным:
| ||||||
|
3. |
Если во внешней сети опубликовано более одной службы на основе протокола UDP или чистого IP, предельные значения следует уменьшить, что позволит снизить угрозу возникновения flood-атак. |