Раздел: Документация
0 ... 54 55 56 57 58 59 60 ... 131 Атака «ping смерти» (Ping of Death) Оповещение об этой атаке инициируется, когда к пакету запроса или контроля связи (ping) по протоколу ICMP (Internet Control Message Protocol) добавляются избыточные данные. Успешно выполненное нападение приводит к переполнению буферов ядра при попытке ответить и аварийному отказу компьютера. В случае оповещения об этом типе атаки создайте правило протоколов, входящие эхо-запросы протокола 1СМР из Интернета. Атака(UDP bomb) Оповещение об этом типе атаки инициируется при попытке отправить атакуемому некорректныйВ некоторых ранних версияхсистем получение пакета с ошибочными значениями в определенных полях вызывает разрушение ОС. Часто достаточно сложно определить причину сбоя. Атака передачи срочных данных в Windows (Windows out-of-band attack или WinNuke) Оповещение об этом типе атаки инициируется, когда предпринимается попытка вызвать отказ в обслуживании компьютера, защищенного ISA-сервером, посредством передачи срочных данных в Windows. Успешное нападение вызывает аварийный отказ компьютера или нарушение его подключения к сети. Примечание Функции обнаружения вторжений ISA-сервер основаны на технологии, полученной по лицензии от компании Internet Security Systems Inc. f(SS), которая расположена в Атланте, штат Джорджия (адрес в Интернете - http://www.iss.net). Настройка обнаружения вторжений В процессе обнаружения вторжений ISA-сервер сравнивает сетевой трафик и записи журналов с методами известных атак. Если есть основания подозревать вторжение, ISA-сервер выполняет определенные в конфигурации действия — оповещения. Поддерживаются следующие оповещения: завершение подключения, завершение работы службы, сообщение по электронной почте, добавление записи в журнал и запуск определенной программы. Чтобы ISA-сервер обнаруживал вторжения, установите флажок Enable Intrusion detection в диалоговом окне IP Packet Filters Properties (рис. 4-15). В состав ISA-сервера входит предустановленное оповещение о вторжении Intrusion Detected (рис. 4-16). По умолчанию, если включено обнаружение вторжений, то при выявлении любого типа вторжения это оповещение инициирует запись сообщения в журнал событий Windows 2000. Оповещение Intrusion Detected иногда настраивают на выполнение дополнительных действий при обнаружении вторжений. Кроме того, администраторы создают новые оповещения для выполнения особых ответных действий и параметров обнаружения определенных типов вторжений. Например, при сканировании портов можно указать пороговое количество опрашиваемых портов,срабатывание оповещения.
Рис. 4-15. Включение обнаружения вторжений InSruMoii detected Properties General Events J.Actions j (optional): P ЕпаЫе JAn i si Mnai . I attempted in n In* on ш i *i OK J - Gahtsei. ; . j Рис. 4-16. Предустановленное оповещение Intrusion Detected * Настройка обнаружения вторжений 1.В дереве консоли ISA Management щелкните правой кнопкой мыши узел IP Packet Filters и в контекстном меню выберите Properties. 2.На вкладке General установите флажок Enable Packet filtering (если он еще не включен) и флажок Enable Intrusion detection. 3.На вкладке Intrusion Detection отметьте флажками типы атак, которые требуется обнаруживать: •Windows out - of-band (WinNuke); •Land; •Ping of death; •IP halfscan; •(IIP bomb: •Port scan. 4. В случае установки флажка Port Scan выполните следующие действия: •в поле well-known рогтобщеизвестные порты) укажите пороговое число общеизвестных портов, после сканирования которых инициируется оповещения об атаке; *в поле Ports укажите пороговое число портов, после сканирования которых инициируется оповещения об атаке. Примечание К общеизвестным относятся порты из диапазона 0-1023. Практикум. Настройка обнаружения вторжений на ISA-сервере I /i Вы включите обнаружение ISA-сервером всех шести типов вторжений. ► Включение обна ру жен ня всех типов вторжений 1.В консоли ISA Management последовательно раскройте узлы Servers and Arrays, Mj Array, Access Policy, найдите узел IP Packet Filters, 2.Щелкните правой кнопкой мыши узел IP Packet Filters и в контекстном меню выберите Properties. Откроется диалоговое окно IP Packet Filters Properties. 3.На вкладке General щелкните флажок Enable Intrusion detection. 4.Перейдите на вкладку Intrusion Detection, 5.Установите флажки Windows out-of-band (WinNuke), Land, Ping of death, IP half scan, UDP bomb и Port scan. 6.Два поля Detect after attacks on (количество портов, по которым определяется атака) станут доступными для ввода. Оставьте в них значения по умолчанию и щелкните кнопку ОК. Резюме При включении обнаружения вторжений в диалоговом окне IP Packet Filters Properties ISA-сервер можно настроить на обнаружение любого из шести типов известных сетевых атак: сканирование портов (port scan и enumerated port scan), IP-атака без создания подключения (IP half scan), атака с обратной адресацией (land attack), «ping смерти* (Ping of Death), UDP-бомба (UDP-bomb) и атака передачи срочных данных в Windows (Windows out-of-band attack или WinNuke). По умолчанию, если включено обнаружение вторжений, при выявлении любого типа вторжения это оповещение инициирует запись сообщения в журнал событий Windows 2000. Сообщения доступны для просмотра в оснастке Event Viewer (Просмотр событий). Если есть основания подозревать вторжение, ISA-сервер выполняет определенные в конфигурации действия — оповещения. Поддерживаются следующие оповещения: завершение подключения, завершение работы службы, сообщение по электронной почте, добавление записи в журнал и запуск определенной программы. 0 ... 54 55 56 57 58 59 60 ... 131
|
|||||||||||||||||||||||||||
