orig_1.gif 深入了解ISAServer***检测及配置 tuijian_1.gif


2008-11-08 22:05:26
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 [url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]
深入了解ISAServer***检测及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

ISAServer的***检测功能可以在遭受***时以右键通知、中断连接、中断所选服务、记录***行为或执行其他指定的操作等。我分两个方面来说:ISAServer支持的***检测项目和启用***检测与报警设置。
一、ISAServer支持的***检测项目
ISAServer支持以下几种***检测与数据包阻止功能:
Ø  一般***的***检测
Ø  DNS***的***检测

Ø  POP***检测

Ø  阻止包含IP选项的数据包

Ø  阻止IP片段的数据包

Ø  淹没缓解
(一)、一般***的***检测
ISAServer可以检测到以下的一般***行为,并发出报警;
î  All prots scan attack
ISAServer会检测***者扫描端口的行为。可以指定端口的数量,只要被扫描的端口数量超过指定数量,就会发出报警。
î  IP half scan attack
一个完整的连接是由提出连接请求这一端发出SYN信号、然后由被连接端发出一个响应信号SYN/ACK、最后提出一个连接请求这一端会再发出一个响应信号ACK。而一般来说,被连接端必须等收到ACK信号后,这个连接操作才算完成,被连接端才会有此连接的记录,可是IP half scan attack的***行为却是利用故意不返回ACK信号的方式,来规避被连接端记录此连接行为。ISAServer具备检测此类***行为能力。
î  Land attack
这种***行为是***者将TCP数据包内的源IP地址与端口改为欺假的源IP地址与端口,也就是它会将源IP地址、端口都改为与目的地IP地址、端口。这种***行为会造成某些系统死机。
î  Ping of death attack
***者会发出异常的ICMP echo request数据包给被***者,此异常数据包包含大量数据,会造成某些系统死机
î  UDP bomb attack
***者会发出不合法的UDP数据包,造成某些系统死机。
î  Windows out-of-band attack
一个被称为WinNuke的程序会送出Out-of-bandOOB)的数据包给被***者的端口139,这将造成被***者不是网络不通,就是系统死机。
(二)、DNS***的***检测
ISAServer包含的DNS筛选器可以检测以下的DNS***行为,并发出报警;
î  DNS主机名溢出
查询DNS主机名的响应数据包内,其主机名的字段有固定的长度,而DNS主机名溢出的***行为就是故意让主机名超过此长度。有些应用程序不会检查主机名长度,因此在复制主机名时会造成内部缓冲溢出,让***者有机会执行***代码。
î  DNS长度溢出
查询IP地址的DNS响应数据包内,有一个正常为4bytes的长度字段,而DNS长度溢出的***行为就是故意让DNS响应数据包超过长度,造成有些应用程序在执行DNS查询时发生内部缓冲溢出的现象,让***者有机会执行***程序代码。
î  DNS区域转移
它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般含有内部网络的重要信息,不应该被利用区域转移的方式发送到外部。
(三)、POP***检测
ISAServerPOP***检测筛选器会拦截与分析送到内部网络的POP流量,来检查是否有POP缓冲溢出的***行为。
(四)、阻止包含IP选项的数据包
有些***行为是通过IP头内的IP选项来***的,尤其是通过源路由选项来***内部网络的计算机。可以设置让ISAServer拒绝包含这类IP选项的数据包。
(五)、阻止IP片段的数据包
一个IP数据包可以被拆解为数个小的数据包来发送,这些小的数据包就是IP片段。当目的的计算机接收到这些IP片段后,会根据数据包内的offset(间距)数据来将它们重新组合成原始的数据包。例如正常的IP片段的offset数据可能是:
IP片段1offset 100300
IP片段2offset 301600
表示第1IP片段是占用原始数据包的第100300的位置、而第2IP片段是占用原始数据包的第301600的位置。
IP片段的***方式就是故意让offset数据重叠,例如;
IP片段1offset 100300
IP片段2offset 200400
如此当目的地计算机收到数据后,就无法将这些IP片段组合成原始的数据包,它可能会造成计算机停止反应,甚至重新开机。
可以设置让ISAServer阻止IP片段数据包,不过需注意启用此功能后,可能会干扰到视/音频流的功能,而且可能无法成功建立L2TP/IPSec ×××连接,因为在执行证书交换操作时可能会有IP片段的发生。如果有串流影音与L2TP/IP Server ×××连接问题,请不要启用IP片段筛选功能。
(六)、淹没缓解
它可以避免大量异常数据包通过ISAServer进入内部网络。
二、启用***检测与警报设置
系统默认已经启用了***检测功能,而且会自动记录***事件,除此之外我们还可以另外设置一旦发生***事件后,就自动执行指定的操作,列入发送电子邮件通知系统管理员、执行指定的程序等。
(一)、启用***检测
         一般***检测与DNS***检测的启用设置可以通过下图所示,选择“配置”“常规”单击“启用***检测和DNS***检测”的方法。
    上图中的选项前面我已经介绍过了,再次只补充说明其中“端口扫描”处发生此端口扫描***次数后进行检测:
î  常用端口
也就是说只要常用的端口中有超过 10 个被扫描,就被视为是***行为。图中的端口数量可自行调整。所谓常用端口为 1 2048 之间的 TCP/UDP 端口。
î  所有端口
也就是说所有的端口中,只要有超过 20 个端口被扫描,就视为***行为。图中的端口数量可自行调整。
有一些数据包会被 ISAServer 丢弃,因为 ISAServer 检测到这些数据包是***数据包。若要 ISAServer 记录被丢弃的数据包,请选择上图中的“记录丢弃的数据包”。
可以通过下图中“ DNS ***”标签来设置 DNS 的***检测。
至于 POP ***检测只要启用 POP ***检测筛选器即可,而系统默认已经启用了这个筛选器,如下图所示,由下图中还可以看出 DNS 筛选器默认也被启用了。
(二)、警报设置
一旦 ISAServer 检测到***行为,系统就会发出警报,并且附带执行警报,而这些警报可以自定义。可以通过下图所示选择“监视” →“警报”的方法来查看警报记录, ISAServer 会将相同类型的警报事件集合在一起,如下图中几个检测到***事件被放在一起,而且系统默认是相同的事件每隔 1 分钟才会记录一次,以避免记录太多的重复数据。
    另外在“仪表盘”内也会有相关的摘要记录。
如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”,则它的的状态会改为“已确认收到”,同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”,则改事件会被从警报窗口内删除。
也可以通过“开始” “所有程序” “事件查看器” “应用程序” →双击警告事件(来源为Microsoft Firewall)的方法来产看此事件,如下图所示:

如果要更改警报配置或者配置警报,请单击前面警报图片中右边的“配置警报定义”,之后可以从下图中看出 ISAServer 支持各种不同类型的警报项目。
选择上图中的“检测到***”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击下图中的“事件”标签,我来解释图中的部分选项设置:
î  触发警报之前的事件发生的次数
可以在“发生次数”处指定事件发生多少次后,才发出警报;也可以在“每秒钟的事件数”处指定每秒发生事件多少次后,才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置,则必须两个条件都达到才会发出警报。
î  在后面每次到达阈值时,触发警报
用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时,是否要发出警报:
²  立即
表示只要前面的临界值到达时,就立即发出警报。
²  只有在手动重设警报时
表示必须按前面警报图片中“重置选择的警报”后,才会发出警报。
²  如果在上次执行后的分钟数超过了
前一次发出警报后,必须间隔此处所设置的事件后,才会发出警报。这是默认值,而且默认是 1 分钟。
可以通过下图中“操作”标签来设置发生警报事件时,是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到 Windows 事件日志中、停止或启动选择的服务等,其中的“发送电子邮件”处需要指定用来发送电子邮件的 SMTP 服务器,并指定发件人与收件人。
(三)、阻止 IP 选项与 IP 片段数据包
阻止 IP 选项与 IP 片段数据包的设置方法为如下图所示选择“常规” →单击 “配置 IP 保护”。
然后就可以通过下图中的“ IP 选项”标签来启用刷选 IP 选项数据包功能,系统默认已经启用此功能,并且阻止了部分的 IP 选项数据包。
而启用阻止 IP 片段数据包的方法是通过下图中“ IP 片段”便签来设置,系统默认并没有启用此功能。注意如果会有视 / 音频流与 L2TP/IPSec ××× 连接问题,请不要启动 IP 片段阻止功能。
(四)、启用淹没缓解功能
淹没缓解可以便面大量异常数据包通过 ISA Server 进入内部网络,其设置方法在 ISA 服务管理器控制台中单击“常规” →单击 “配置淹没缓解设置”,然后通过下图来进行设置。
î  每个 IP 地址每分钟的最大 TCP 连接请求数
用来限制每个 IP 地址在每一分钟内最多被允许的 TCP 连接数量。
î  每个 IP 地址的最大 TCP 并行连接数
用来限制每个 IP 地址在同一时间内最多被允许的 TCP 链接数量。
î  最大 TCP 半开连接数
用来限制最多可允许的 IP hakf scan 数据包数量
î  每个 IP 地址每分钟的最大 HTTP 请求数
用来限制每个 IP 地址在每一分钟内最多被允许的 HTTP 请求数量。
î  每个规则每分钟的最大非 TCP 新会话数
用来限制每个规则、每个 IP 地址在每分钟内最多被允许的非 TCP 新会话数量。
î  每个 IP 地址的最大 UDP 并行会话数
用来限制每个 IP 地址在同一时间内最多被允许的 UDP 连接数量。
î  指定触发警报的拒绝数据包数
指定某一 IP 地址被拒绝的数据包超过指定数量时就触发警报。
î  记录被淹没缓解设置阻止的通信
请求系统记录因为淹没缓解设置而被阻止的通信
可以单击每个项目右边的“编辑”按钮来设置其限制值,如下图所示,图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值,请他哦难过图中的自定义限制选项来设置。
而这些特定的计算机的 IP 地址可以通过下图来指定添加。
好了关于 ISAServer ***检测及配置,我就写到这里。本文基本涵盖 ISAServer ***检测及配置大部分内容,希望能对大家做好ISA Server安全防护已经内网客户端管理能有所帮助!
 
本文出自 “ 周海鹏微软技术社区” 博客,请务必保留此出处 [url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]