Раздел: Документация

0 ... 10 11 12 13 14 15 16 ... 131

Правила пропускной способности

Правила пропускной способности определяют приоритеты подключений. Средства управления пропускной способностью ISA-сервера не ограничивают ее, а лишь информируют службу качества обслуживания (QoS) Windows 2000 о приоритетах тех или иных сетевых подключений. Подключениям, с которыми не связаны никакие правила пропускной способности, присваивается приоритет по умолчанию. Любое подключение с таким правилом пользуется преимуществом перед подключением с приоритетом по умолчанию.

Интегрированная поддержка VPN

ISA-сервер облегчает администраторам установку и обеспечение безопасности виртуальных частных сетей (VPN). Как показано на рис. 1-8, VTN — это расширение частной сети, про-далеко за ее пределы через совместно используемые или общедоступные сети, такие как Интернет. VPN позволяет пересылать данные между двумя компьютерами через открытые сети так, как это происходит по связи типа «точка — точка* в частной сети. ISA-сервер можно сконфигурировать как сервер VPN для обеспечения безопасной связи между шлюзами или для поддержки удаленного доступа между клиентами и шлюзами через Интернет.

Удаленная сеть

Рис. 1-8. Поддержка VPN средствами ISA-сервера

---

8

Основные сведения об ISA-cepnepo

Глава 1

На ISA-сервере в локальной сети выполняется мастер создания локальной VPN. а на ISA-сервере в удаленной сети - мастер создания удаленной VPN. ISA-серверы подключаются к своим интернет-провайдерам < ISP). В процессе обмена информацией данные инкапсулируются и пересылаются через VPN-туннель. Основанные на отраслевых стандартах службы VPN в Windows 2000 поддерживают туннельные протоколы РРТР и L2TP/ IPSec. Эти протоколы используются для управления туннелями и инкапсуляции частных данных. Для создания полноценного VPN-iвыключенияданные, пересылаемые по туннелю, следует шифровать.

Встроенные механизмы обнаружения вторжений

В ISA-сервер встроены механизмы, которые позволяют обнаруживать атаки на сеть. Администраторы брандмауэра обычно or ределяют оповещения, инициируемые при обнаружении вторжения, а также ответные предпринимаемые системой. В числе последних — отправка сообщения администратору по электронной почте или на пейджер, остановка службы брандмауэра, создание записи в журнале событий Windows 2000 или

запуск заранее определенной программы или сценария. Обнаружение вторжений на ISA-

сервере выполняется как на уровне фильтров пакетов, так и фильтров приложений.

Примечание Функции обнаружения аторжений ISA-сервер основываются на технологии, полученной по лицензии от компании Internet Security Systems Inc. (ISS), расположенной в Атланте, штат Джорджия (адрес в Интернете - http://www.iss.net).

Обнаружение вторжений сфильтров пакетов

Перечисленные далее типы атак ISA-сгрвер обнаруживает на уровне фильтров пакетов.

•Сканирование всех портов (port scan) — попытка подключиться к большему числу портов, чем настроено на сервере.

•Атака перечисления портов (еишги-гаled port scan) — попытка перечислить все работающие на компьютере службы путем направления запросов на все порты и получения ответов.

•IP-атака без создания подключения (IP ha if scan) — выполняется много попыток подключиться к атакуемому компьютеру, однако атакующий уклоняется от создания подключения. Таким образом нападающий пытается обнаружить открытые порты и при этом избежать регистрации подключения системой.

•Атака с обратной адресацией (land attack) - предусматривает создание ТСР-подключе-ния, в котором ложный IP-адрес и порт источника совпадает с IP-адресом и номером порта атакуемого компьютера. Впротокола TCP такая атака вызывает зацикливание и аварийный отказ компьютера.

•«Ping смерти» (Ping of Death) — к пакету запроса или контроля связи (ping) по протоколу ICMP (Internet Control Message Protocol) добавляются избыточные данные. Успешно выполненное нападение приводит к переполнению буферов ядра при попытке ответить и аварийному отказу компьютера.

•— отправка атакуемому некорректногоВ некоторых ранних версиях операционных систем получение UDP-пакета с ошибочными значениями в определенных полях нызм влет разрушение ОС.

•Атака передачи срочных данных в Windows (Windows out-of-band attack) — предпринимается в попытке вызвать отказ в обслуживании компьютера, защищенного ISA-сервером. Успешное нападение вызывает аварийный отказ компьютера или нарушение его подключения к сети.

---

На ISA-сервере также предусмотрены фильтры приложений с падщержхой POP и DN", которые анализируют весь входящий трафик на предмет обнаружения атак. Фильтр обнаружения атак на DNS перехватывает и анализирует весь трафик DNS, направленный во внутреннюю сеть. Фильтр обнаружения атак по POP перехватывает и анализирует весь трафик протокола POP, поступающий во внутреннюю сеть. Фильтры конфигурируются на обнаружение типов атак, описанных далее.

•Переполнение буфера имен узлов в DNS (DNS Hostname Overflow) происходит, когда ответ DNS на запрос имени узла превышает установленную длину. Приложения, не проверяющие длину имен узлов, могут, возвращая слишком длинное имя, вызывать переполнение внутреннего буфера, что позволяет удаленному злоумышленнику выполнять свои команды на атакуемом компьютере.

•Переполнение буфера номера узла в DNS (DNS Length Overflow) обусловлено ограниченной 4 байтами длиной поля IP-адресов. Создавая ответ DNS большей длины, некоторые приложения поиска в DNS переполняют внутренние буферы, предоставляя удаленному злоумышленнику возможность выполнить любые команды.

•Зонная передача в DNS (DNS Zone Transfer) с привилегированных портов <с номерами .1 - 1024) выполняется, когда приложение клиента DNS применяется для передачи лл; -ных зоны с внутреннего сервера DNS. Номер порта источника относится к диапазону привилегированных номеров порта, указывая на клиентский процесс.

•Зонная передача в DNS с портов верхнего диапазона (с номерами более 1024) выполняется, когда приложение клиента DNS применяется для передачи зоны с внутреннего сервера DNS. Номер порта источника относится к диапазону номеров портов верхнего диапазона, указывая на клиентский процесс.

•Переполнение буфера POP (POP Buffer Overflow) — нападающий пытается получить корневой доступ к серверу POP путем переполнения внутреннего буфера на сервере.

Безопасная публикация

Для обработки ьхидащнч запросов на внутренние серверы, например SMTP, FTP, серверы базы данных и другие, на ISA-сервере применяется механизм публикации серверов. Запросы перенаправляются внутреннему серверу, расположенному ниже по иерархии, чем ISA-сервер.

Публикация серверов позволяет опубликовать в Интернете практически любой компьютер внутренней сети. При этом защита не нарушается, так как все входящие запросы и исходящие ответы проходят через [SA-сервер. При публикации сервера компьютером ISA-сервера, его IP-адресом фактически становится адрес ISA-сервера. Посетители, запрашивающие объекты, полагают, что общаются с ISA-сервером — компьютером, IP-адрес которого они используют, а на самом деле взаимодействие осуществляется с опубликованным сервером.

Например, при наличии Microsoft Exchange Server и ISA-сервера вы вправе создавать

правила публикации сервера, в которых оговорена публикация сервера электронной почты

в Интернете. В описанной ситуации брандмауэр ISA-сервера перехватывает электронную почту, приходящую на Exchange Server, а значит, ISA-сервер выглядит для клиентов, как сервер электронной почты. ISA-сервер позволят фильтровать трафик, пересылаемый на Exchange Server, в соответствии с любыми, заранее определенными администратором правилам и политикам. Доступ к Exchange Server никогда не предоставляет внешним пользователям напрямую — сервер расположен в своей безопасной среде и продолжает действовать с другими внутренним сетевыми службами напрямую.

0 ... 10 11 12 13 14 15 16 ... 131