ISA Server 2006 - Konfiguration der Flutabwehreinstellungen (Flood Mitigation)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
Dieser Artikel beschreibt die Konfiguration der ISA Server 2006 Flutabwehreinstellungen zum Schutz von ISA Server vor Denial of Service Attacken (DoS).
Microsoft ISA Server 2006 stellt eine als Flutabwehr bezeichnete Methode zur Verfügung mit dessen Hilfe Sie versuchen können den Ausbruch von Viren und nachfolgende Flutangriffe auf Netzwerkverbindungen zu entschärfen. Die Flutabwehrfunktion in ISA Server 2006 umfasst mehrere Optionen, welche Sie so konfigurieren und überwachen können, dass Ihr Netzwerk vor Angriffen geschützt wird. Die Flutabwehrfunktion in ISA Server 2006 enthält die folgenden neuen Funktionen:
- Bessere Konfiguration des Verbindungslimits
- Möglichkeit zum Einschränken der Anzahl globaler Verbindungen auf der Grundlage der vor längerer Zeit verwendeten Verbindungen.
- Bessere Protokollierung der Flutabwehr.
Die Standardkonfigurationseinstellungen für die Flutabwehr sorgen dafür, dass ISA Server 2006 selbst bei einem Flutangriff weitestgehend funktionsfähig bleibt. Dieses Ziel wird erreicht, indem ISA Server den Datenverkehr analysiert und auf vom Administrator festgelegte Schwellwerte reagiert und den Datenverkehr dann verweigert und den Flutangriff protokolliert. Einige rudimentäre Verbindungslimit-Einstellungen waren bereits in ISA Server 2004 vorhanden, jedoch enthält ISA Server 2006 wesentlich erweiterte und leistungsfähigere Funktionen.
Durch die Flutabwehrfunktion von ISA Server 2006 können Sie Flutangriffe erkennen und entsprechende automatisierte Maßnahmen zur Reduzierung der Datenflut einleiten. ISA Server 2006 trägt insbesondere dazu bei, Clients zu erkennen, die übermäßig starken Datenverkehr erzeugen und somit wahrscheinlich mit einem Wurm, einem Virus oder mit Spyware infiziert sind.
Schutz gegen Angriffe
ISA Server 2006 kann gegen folgende Bedrohungen schützen:
|
Bedrohung |
ISA Server 2006 Feature |
|
Bedrohung durch Würmer |
IP Adressen Alarmierungsfunktionen |
|
Grosse Anzahl an Attacken von Extern |
Schutz gegen gängige Attacken wie DNS Poisoning, DHCP Poisoning, Intrusion Detection und IP Fragmentation |
|
IP Spoofing Attacken |
IP Spoofing Detection. ISA erkennt Spoof Angriffe und verweigert die Verbindungen |
|
Verteilte Attacken über Tage hinweg |
Erweiterte Alarmierungsfunktionen wenn bestimmte Trigger ausgelöst werden |
Schutz gegen Angriffe mit Hilfe von Verbindungslimits
ISA Server 2006 kann gegen eine Vielzahl von Bedrohungen mit Hilfe von TCP/UDP Verbindungslimits schützen. Die folgende Tabelle (Quelle: Microsoft) gibt Auskunft über mögliche Bedrohungen und Gegenmaßnahmen von ISA Server 2006.
Konfiguration der Flutabwehreinstellungen
Die Konfiguration der Flutabwehr kann in der ISA Server 2006-Verwaltungskonsole im Knoten Konfiguration/Allgemein/Zusätzliche Sicherheitsrichtlinie vorgenommen werden.
Eindringversuchserkennung
ISA Server 2006 bietet neben der Firewall- und Proxyfunktionalität auch eine Eindringversuchserkennung. Mit Hilfe der Eindringversuchserkennung versucht der ISA Server 2004, bekannte Angriffsmuster in Datenpaketen von bestimmten Protokollen zu erkennen und den unbefugten Zugriff zu blockieren. Microsoft hat die Eindringversuchskomponenten von der Firma ISS (http://www.iss.net/isaserver) lizenziert. Die Firma ISS bietet darüber hinaus für ISA Server 2004/6 weitere Software an, mit deren Hilfe eine erweiterte Eindringversuchserkennung möglich ist. Sobald die Eindringversuchserkennung aktiviert ist, erkennt ISA Server 2006 Angriffsversuche und kann darauf entsprechend reagieren. Es besteht die Möglichkeit, den Eindringversuch im Ereignisprotokoll festzuhalten, dem Administrator eine E-Mail zu senden, Dienste zu beenden oder bestimmte Anwendungen auszuführen.
Schutz vor DNS-Angriffen
ISA Server 2006 kann unter anderem gegen eine Reihe von DNS-Attacken schützen. Es steht zum Beispiel ein Schutz gegen einen DNS-Hostnamenüberlauf zur Verfügung. Ein DNS-Hostnamenüberlauf tritt ein, wenn eine Antwort eines DNS-Servers für einen Hostnamen eine bestimmte feste Länge überschreitet. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, welche die Länge des Hostnamens nicht überprüfen, bewirken, dass die internen Puffer überlaufen, sobald der Hostname kopiert wird. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen.
IP-Einstellungen
Bei den IP-Optionen handelt es sich um einen speziellen Bereich im IP-Header
mit dem Namen IP-Options. IP-Optionen definieren zusätzliche Möglichkeiten des
IP Protokolls wie z. B. die bekannteste IP-Option 9 - Strict Source Route. Es
gibt die Möglichkeit 256 IP-Optionen zu konfigurieren (0-255).
ISA Server 2006 blockiert einige IP-Optionen weil diese für Angriffe genutzt
werden können. Nehmen wir als Beispiel die IP-Option 9: Die einfachste Routing –
Attacke benutzt die Internet – Protokolloption 9 bzw. 3 In beiden Fällen kann
die Route durch das Netzwerk vom Sender des IP-Paketes bestimmt werden. Bei
Verwendung von "Strict Source Routing" muss dabei jeder Vermittlungsknoten in
der richtigen Reihenfolge angegeben werden. Im Gegensatz zu "Loose Source
Routing" welches auch zusätzliche Hops zwischen zwei angegebenen IP –
Adressknoten zulässt. Der Datenstrom der Zielstation kann damit problemlos an
das Computersystem des Eindringlings "umgeleitet" werden. Dazu simuliert der
Angreifer wiederum die IP – Adresse eines internen Systems (IP – Adress –
Spoofing) und öffnet unter Aktivierung der Option "Loose Source Routing" eine
Verbindung zur Zielstation, wobei als Route für die Antwortpakete ein Pfad, der
über das angreifende System führt, angegeben wird. Damit stehen dem
eingedrungenem System alle Möglichkeiten der simulierten, internen Station zur
Verfügung
Flutabwehreinstellungen
Sie können in der Verwaltungskonsole verschiedene Limits für die Anzahl gleichzeitiger TCP-Verbindungen, die maximale Anzahl halb geöffneter TCP-Verbindungen, die maximale Anzahl von HTTP-Anforderungen pro IP-Adresse und weitere Einstellungen konfigurieren. Je nach Einstellung können Sie Limits pro IP-Adresse oder der Anzahl der stattgefundenen Ereignisse pro Minute konfigurieren.
Für eine Vielzahl der Flutabwehreinstellungen können Sie eigene Grenzwerte festlegen, allerdings mit einer Ausnahme. Die Anzahl der maximal halb geöffneten TCP-Verbindungen beträgt automatisch die Hälfte der Anzahl gleichzeitiger TCP-Verbindungen pro IP-Adresse.
Auf der Registerkarte IP-Ausnahmen können Sie IP-Adressen festlegen, für die Ausnahmen der Flutabwehreinstellungen gelten sollen. Diese Ausnahmen können Sie in den einzelnen Optionen der Registerkarte Flutabwehr konfigurieren, indem Sie dort Einstellungen für Benutzerdefinierte Ausnahmen konfigurieren.
Alarmierungsoptionen
ISA Server 2006 bietet die Möglichkeit, eine vordefinierte Reaktion auf ein
bestimmtes Ereignis auszuführen. Der ISA Server-Alarmierungsdienst fungiert dann
als Verteiler und als Ereignisfilter. Er ist für das Erfassen von Ereignissen
verantwortlich, überprüft die Erfüllung bestimmter Bedingungen (z.B.
Schwellenwerte) und führt die entsprechenden Aktionen aus. Eine solche Aktion
kann zum Beispiel ein Eintrag im Ereignisprotokoll oder eine E-Mail an den
Firewalladministrator sein.
Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server
standardmäßig eine ganze Reihe Alarmdefinitionen mit. Um die Alarmdefinitionen
zu konfigurieren öffnen Sie den Aufgabenbereich im Knoten Überwachung /
Alarme.
Sie können die Alarmdefinitionen bearbeiten und Alarmierungsbenachrichtigungsoptionen festlegen (e-Mail / SMS, Skriptbenachrichtigung usw.) oder neue Alarme erstellen. Zu den Alarmaktionen gehört zum Beispiel auch die Möglichkeit beim Eintreten bestimmter Ereignisse ISA Dienste zu beenden.
Um die Verarbeitungsleistung von ISA Server 2006 während eines Flutangriffs zu verbessern beziehungsweise nicht negativ zu beeinflussen, desaktivieren Sie die Protokollierung entweder für die bestimmt Regel, die mit dem Flutangriff übereinstimmt, oder desaktivieren Sie bis zum Ende des Flutangriffs die gesamte Protokollierung. Konfigurieren Sie zusätzlich Alarme für Verbindungslimits oder alle sonstigen Alarmtypen, die aufgrund des speziellen Angriffs ausgelöst werden.
Stand: Friday, 28. August 2009/MG. - http://www.it-training-grote.de
