Раздел: Документация

0 ... 53 54 55 56 57 58 59 ... 131

146

Конфигурированиедоступа в Интернет

Глава 4

Резюме

Хотя правила политики доступа и лраиила публикации чаще всего применяют для разрешения и запрещения доступа из Интернета в локальную сеть и из локальной сети в Интернет, иногда вместо них применяют фильтры IP-пакетов. Например, при публикации серверов в сети периметра или если на ISA-сервере выполняются приложения и службы, которым нужно прослушивать Интернет. Кроме того, фильтры IP-пакетов используют,, когда необходимы разрешения доступа по протоколам, не основанным на TCP или UDP. Фильтры IP-пакетов бывают разрешающие и блокирующие.

В фильтрах IP-пакетов настраивают три типа параметров: фильтрацию IP-фрагментов, фильтрацию параметров протокола Р ижурналов разрешающих фильтров. При вклю-

ченной фильтрации IP-фрагментов все фрагментированные IP-пакеты блокируются, что позволяет защититься от некоторых видов сетевых атак, но препятствует прохождению через ISA-сервер потоков аудио и видео. При включении фильтрации параметров протокола IP ISA-сервер блокирует все пакеты, содержащие слова options» в заголовке. И, наконец, иногда настраивают на ведение журналов разрешающихкогда регистрируются

все пакеты — как разрешенные, так и за(июкированные. По умолчанию в журналах регистрируются лишь последние.

---

Занятие (5. Настройка ISA-сервера на обнаружение внешних атак и вторжений

ISA-сервер настраивают на обнаружение стандартных сетевых атак. По умолчанию при включенном механизме обнаружения вторжений ISA-сервер регистрирует сообщение об атаке в журнале событий Windows 2000. Можно также сконфигурировать его для выполнения ответных действий, таких как отправка сообщения по электронной почте, запуск определенной программы, а также запуск или остановка определенных служб.

Изучив материал этоговы сможете:

f рассказать о том, какие типы сетевых атак способен обнаружить ISA-сервер; « настроить ISA-сервер на обнаружение внешних атак и вторжений.

Продолжительность занятия — около 25 минут.

ISA-сервер способен обнаруживать атаки на сеть. В этом случае он выполняет ряд заранее определенных действий (или оповещений). ISA-сервер способен определять следующие типы вторжений (рис. 4-14):

•сканирование портов (port scan и enumerated port scan);

•IP-атакубез создания подключения (IP half scan);

•атаку с обратной адресацией (land attack);

•«ping смерти» (Ping of Death);

•VDP-бомбу (UDP-bomb);

•передачу срочных данных в Windows (Windows out-of-band attack).

W yndowicju»o(tur«lfyr«uKej f? HOP bomb

Detect <*w eN»du on fiowrt-knowi pons

Типы вторжений и оповещения

finned I P***i F#«r* \Ш)&т Delectan РРГР

T о lecaiws afcriv about muusicn attack*. Ж the дореЛвз 1л fiVib: alert* >i 111!? l.o(:\ ioUk*

Inbiijion GetecHur. hnctk)t«% b»e«J gn lecJrtolugy irem I ntwnai Seemly Sjulwrn;, Inc.AHarfa GA, USA. www.its.nel

OK { Caned.......j tofr j

Рис. 4-14. Типы атак, обнаруживаемых ISA-сервером

---

Сканирование портов

ISA-сервер оповещает о двух типах сканирования портов: All Ports Scan (сканирование всех портов) и Enumerated Port Scan (атака перечисления портов).

Сканирование всех портов (all ports scan)

Оповещение об этой атаке инициируется при попытке извне обратиться к большему количеству портов, чем указано в параметрах ISA-сервера. Максимальное количество доступных портов указывают при настройке ISA-сервера.

Атака перечисления портов (enumerated port scan]

Оповещение об этой атаке инициируется, когда выполняется попытка перечислить все работающие на компьютере службы. Для этого запросы извне направляются на все порты с целью получения ответов.

При оповещении о такой атаке следует определить источник сканирования портов. Сравните его со службами, работающими на компьютере и являющимся целью атаки. Попробуйте выяснить цель сканирования. Проверьте журналы доступа, чтобы выявить признаки неправомочного доступа. Если такие признаки найдены, следует считать систему взломанной и предпринимать соответствующие действия.

IP-атака без создания подключения (IP half scan)

Оповещение об этой атакекогда предпринимаются многократные попыт-

ки подключения к компьютеру, однако атакующий уклоняется от создания подключения.

Стандартное TCP-подключение осуществляется путем отправки адресату пакета SYN (запрос синхронизации). Если адресат ожидает подключение на данном порту, он отвечает пакетом SYN/ACК (подтверждение синхронизации). Инициатор подключения отправляет пакет АС К, и подключение устанавлн пастся. Если адресат не ожидает подключения на данном порту, он отправляет в ответ пакет RST (сброс).

Многие системы не записывают в журнал информацию о подключении, пока не получат от инициатора подключения пакет АСК. Отправка пакета RST вместо завершающего пакета АСК прерывает процесс создан ы подключения и, следовательно, не учитывается в журнале. Инициатор в состоянии определить, какой пакет отправил адресат — SYN/ АСК или RST. Таким образом, злоумышленник выясняет, какие порты открыты для подключения, а адресат ничего не знает опортов.

Если система оповестит об этом типе атаки, выясните по журналам адрес, с которого ведется сканирование, и затем настроите правила политики ISA-сервера или фильтры [IP-пакетов на блокирование трафика с этого адреса.

Атака с обратной адресацией (Land attack)

При атаках такого типа создается TCP-подключение, в котором ложный IP-адрес и порт источника совпадает с IP-адресом и номером порта атакуемого компьютера. В некоторых реализациях протокола TCP такая атака вызывает зацикливание и аварийный отказ компьютера.

В случае оповещения об этом типе атаки настройте правила политики ISA-сервера или фильтры IP-пакетов на запрещение трафика от источника пакетов.

0 ... 53 54 55 56 57 58 59 ... 131