Каждый раз при получении пакета сетевой платой Forefront TMG проверяет, не является ли адрес его отправителя действительным IP-адресом, относящимся к сетевой плате, которой он получен. IP-адрес считается допустимым для определенной сетевой платы, если выполнены два условия.

• IP-адрес относится к диапазону IP-адресов, назначенному сети сетевой платы, через которую он был получен.
  
  
• Таблица маршрутизации указывает, что трафик, направляемый на этот адрес, может быть доставлен через сетевую плату, относящуюся к этой сети.
  
  

Если IP-адрес источника не является допустимым, сервер Forefront TMG отбрасывает пакет и генерирует событие, которое выдает оповещение об атаке путем подделки IP-адреса.

Когда при включенном обнаружении вторжений сервер Forefront TMG обнаруживает подозрительные пакеты, они пропускаются, и генерируется событие, которое выдает оповещение о попытке вторжения. По умолчанию сброс оповещения о попытке вторжения происходит через минуту. В течение этого времени Forefront TMG блокирует подозрительные пакеты, не выдавая оповещение. Существует возможность настройки уведомлений по электронной почте при срабатывании этого оповещения. Кроме того, отброшенные пакеты могут регистрироваться в журнале.

Механизм защиты способен выявлять следующие распространенные типы атак.

• Атака переполнения на системы Windows (WinNuke). Злоумышленник проводит атаку типа «отказ в обслуживании» на компьютер, защищаемый Forefront TMG. В случае успеха эта атака может привести к отказу в работе компьютера или прекращению работы сети на уязвимых компьютерах.
  
  
• Land-атака. Злоумышленник отправляет TCP-пакет SYN с поддельным IP-адресом, совпадающим с IP-адресом получателя, и номером порта, разрешенным правилами политики Forefront TMG. В результате компьютер получателя пытается установить сеанс TCP с самим собой. В случае успеха эта атака может привести к зацикливанию некоторых реализаций протокола TCP и, как следствие, к нарушению работы компьютера.
  
  
• Атака «Ping смерти». Злоумышленник прикрепляет к эхо-запросу ICMP (PING) большое количество данных, превышающее максимально допустимый размер IP-пакета. В случае успеха эта атака может привести к переполнению буфера ядра и, как следствие, к нарушению работы компьютера.
  
  
• IP-атака полусканирования. Злоумышленник производит повторяющиеся попытки подключения к атакуемому компьютеру, не отправляя, однако, пакеты ACK при получении пакетов SYN/ACK. Нормальное TCP-подключение инициируется так: источник отправляет пакет SYN на определенный порт системы получателя. Если этот порт прослушивается службой, она отправляет в ответ пакет SYN/ACK. Клиент, инициирующий подключение, отправляет в ответ пакет ACK, и после этого оно считается установленным. Если узел получателя не ожидает подключений на определенном порту, он возвращает в ответ пакет RST. В большинстве систем подключения не регистрируются в журнале как установленные, пока от источника не будет получен финальный пакет ACK. Отправка других типов пакетов с нарушением указанной последовательности позволяет без регистрации подключения в журнале получить от узла получателя нужные данные.
  
  
• Атака «UDP-бомба». Злоумышленник пытается отправить датаграмму UDP, содержащую недопустимые значения в некоторых полях. На некоторых старых версиях операционных систем получение подобной датаграммы может привести к прекращению их работы. По умолчанию оповещение для данного типа атак не настроено.
  
  
• Атака путем сканирования всех портов. Злоумышленник пытается выяснить, какие службы выполняются на компьютере, методом последовательного опроса каждого из портов. Можно указать пороговое значение, определяющее число портов, которые могут быть просканированы, прежде чем будет сгенерировано событие.
  
  
• Атака путем сканирования стандартных портов. Злоумышленник пытается выяснить, какие службы выполняются на компьютере, методом последовательного опроса каждого из портов. Можно указать пороговое значение в диапазоне от 1 до 2048 включительно, определяющее число портов, которые могут быть просканированы, прежде чем будет сгенерировано событие.
  
  

Названия типов атак, приведенных в этом списке, соответствуют дополнительному условию в определении события обнаружения вторжения. Для каждого дополнительного условия (типа атаки) можно настроить и включить оповещение, которое определяет реакцию на событие и выдается службой межсетевого экрана Microsoft при соблюдении всех условий, указанных в оповещении. Действия, вызываемые при срабатывании оповещения, могут включать оповещения по электронной почте, вызов команды, запись в журнал и запуск или остановку служб Forefront TMG.

Forefront TMG проверяет порядковые номера пакетов RST и SYN и отбрасывает пакеты, нарушающие последовательность. Это позволяет предотвратить возможность закрытия злоумышленником существующих подключений, открытых другими клиентами.

Пакеты RST могут использоваться для сканирования портов. Отправив пакет RST по определенному IP-адресу или на определенный порт, злоумышленник может либо не получить ответ, либо получить сообщение ICMP о недоступности узла (Host Unreachable). Отсутствие ответа служит признаком того, что данный узел работает, а сообщение ICMP о недоступности узла свидетельствует об отсутствии доступного узла с данным IP-адресом.

Фильтр DNS, установленный в составе Forefront TMG, перехватывает и анализирует весь входящий DNS-трафик, направленный во внутреннюю сеть и другие защищенные сети. Если обнаружение DNS-атак включено, можно настроить фильтр DNS на проверку следующих типов подозрительной активности.

• Переполнения имен узлов DNS. Ответ DNS для имени узла превышает определенную фиксированную длину (255 байт). Приложения, которые не проверяют длину имен узлов, могут вызвать переполнение внутреннего буфера при копировании имени узла, позволяя удаленному злоумышленнику выполнить произвольный код на компьютере получателя.
  
  
• Переполнение длины DNS. Ответ DNS для IP-адреса превышает определенную длину (4 байта). При указании в нем большего значения некоторые приложения, выполняющие поиск DNS, могут вызвать переполнение внутреннего буфера, что позволит удаленному злоумышленнику выполнить произвольный код на компьютере получателя. Forefront TMG также проверяет, чтобы значение поля RDLength не превышало длины оставшейся части DNS-ответа.
  
  
• Передача зон DNS. Клиентская система использует приложение DNS-клиента для передачи зон с внутреннего DNS-сервера.
  
  

При обнаружении подозрительных пакетов они отбрасываются, и генерируется событие, которое выдает предупреждение о DNS-атаке. Можно настроить оповещения для данных событий, предупреждающие об обнаружении атаки. Если в течение одной секунды событие обнаружения DNS-атаки для передачи зон DNS возникает пять раз, выдается оповещение «Атака передачи зон DNS». По умолчанию повторное срабатывание предопределенных оповещений возможно только после сброса их вручную.

Фильтр обнаружения вторжения POP перехватывает и анализирует POP-трафик, предназначенный для внутренней сети и других защищенных сетей. В частности, этот фильтр приложений следит за атаками переполнения буфера POP.

Атака переполнения буфера POP заключается в том, что удаленный злоумышленник пытается получить к POP-серверу доступ пользователем root, вызвав на нем переполнение внутреннего буфера.

При обнаружении подозрительного POP-трафика он блокируется, и генерируется событие, которое выдает предупреждение о POP-атаке. После срабатывания этого оповещения, Forefront TMG запрещает передачу подозрительного POP-трафика, однако новое оповещение не выдается до тех пор, пока не будет произведен его сброс вручную.

При включении фильтрации параметров IP можно настроить Forefront TMG таким образом, чтобы отбрасывались все IP-пакеты с указанием в заголовке любых параметров IP, все IP-пакеты с указанием в заголовке параметров IP, включенных в список выбранных параметров, либо все IP-пакеты с указанием в заголовке параметров IP, не включенных в список выбранных параметров.

Наиболее проблемными являются параметры исходной маршрутизации. Эта поддерживаемая протоколом TCP/IP функция позволяет отправителю пакета указывать последовательность IP-адресов шлюзов (маршрутизаторов), через которые он будет передаваться в определенную точку сети. Каждый шлюз (маршрутизатор), включенный в маршрут, использует сведения о маршрутизации для перенаправления пакета по следующему адресу на пути к месту назначения.

Существует два типа исходной маршрутизации:

• Свободный выбор маршрута. Отправитель может указать маршрут в виде последовательности IP-адресов, через которые пакет должен быть передан в определенную точку сети. Однако при пересылке пакета на следующий адрес в последовательности он может быть передан через любое число промежуточных шлюзов (маршрутизаторов).
  
  
• Жесткий выбор маршрута. Отправитель может указать точный маршрут в виде последовательности IP-адресов, через которые пакет должен быть передан в определенную точку сети. Каждый шлюз (маршрутизатор) должен пересылать пакет непосредственно на следующий адрес в последовательности только через прямое подключение (используется редко).
  
  

Параметр исходной маршрутизации в заголовке IP позволяет отправителю переопределить процесс принятия решения о маршруте пакета, который обычно определяется маршрутизаторами, находящимися между компьютерами отправителя и получателя. Исходная маршрутизация применяется для отображения сети или диагностики проблем маршрутизации и передачи данных, а также при необходимости передачи трафика по маршруту, обеспечивающему наибольшую производительность.

К сожалению, исходная маршрутизация может быть использована со злым умыслом. Например, злоумышленник может воспользоваться этой функцией, чтобы добраться до адресов внутренней сети, которые обычно недоступны из других сетей, перенаправляя трафик с компьютера, доступного в обеих сетях. В сущности, это может послужить причиной Flood-атак. Производительность сервера Forefront TMG при flood-атаке можно увеличить, отключив функции фильтрации параметров IP.

Отдельный IP-пакет может быть разбит на несколько пакетов меньшего размера, которые называются IP-фрагментами. Forefront TMG позволяет производить фильтрацию таких фрагментов.

При включении фильтрации IP-фрагментов Forefront TMG отбрасывает все IP-фрагменты. По умолчанию блокировка IP-фрагментов отключена.

Атака Teardrop и ее варианты заключаются в отправке фрагментированных пакетов, которые затем собираются в пакеты, которые могут нанести вред системе. По принципу работы она немного отличается от атаки «Ping смерти», но приводит к похожему результату.

Teardrop-программа делит исходный IP-пакет на фрагменты, которые передаются через Интернет. В полях смещения и общей длины этих фрагментов должны указываться диапазоны байтов в исходном пакете, однако в передаваемых фрагментах они указаны с перекрытием.

Например, обычно диапазоны байтов, определяемые полями смещения и общей длины в двух фрагментах, выглядят так:

• Фрагмент 1: 100 (смещение) - 300 (смещение + общая длина)
  
  
• Фрагмент 2: 301 (смещение) - 600 (смещение + общая длина)
  
  

Это означает, что первый фрагмент содержит байты с 100-го по 300-й исходного пакета, а второй - байты с 301-го по 600-й.

Поля смещений с перекрытием выглядят так:

• Фрагмент 1: 100 (смещение) - 300 (смещение + общая длина)
  
  
• Фрагмент 2: 200 (смещение) - 400 (смещение + общая длина)
  
  

Когда компьютер назначения пытается произвести сборку такого пакета, у него ничего не выходит. Он может выдать ошибку, зациклиться или перезагрузиться.

Примечание.

Блокировка IP-фрагментов может сказаться на передаче потокового видео и аудио. Кроме этого, могут оказаться безуспешными попытки подключения по протоколу L2TP (Layer Two Tunneling Protocol) через IPsec, поскольку при обмене сертификатами иногда возникает фрагментация пакетов. При возникновении проблем с потоковым видео и аудио или с VPN-подключениями на основе IPsec следует отключить фильтрацию фрагментов.

При настройке фильтрации параметров IP и IP-фрагментов также можно настроить перенаправление в режиме ядра. Эта функция позволяет повысить производительность. По умолчанию перенаправление в режиме ядра включено.

При отключении перенаправления в режиме ядра сервер Forefront TMG отправляет получателю только данные (а не весь исходный сетевой пакет). Кроме того, каждый пакет копируется и повторно пересылается Forefront TMG через драйвер в пользовательском режиме.

Если перенаправление в режиме ядра отключено, Forefront TMG создает для каждого подключения два дополнительных сокета, что повышает потребление ресурсов сервером Forefront TMG, подвергая его опасности воздействия Flood-атак. Поэтому при отключении перенаправления в режиме ядра рекомендуется произвести развертывание маршрутизатора, чтобы защитить Forefront TMG от Flood-атак по TCP-подключениям.

Если перенаправление в режиме ядра включено, Forefront TMG сам выступает в роли маршрутизатора. Частично фильтрация трафика, проходящего через Forefront TMG, выполняется драйвером в пользовательском режиме.

Если перенаправление в режиме ядра включено, Forefront TMG создает отдельные подключения между сервером и клиентом. Forefront TMG производит полный разбор и воссоздание заголовков IP и TCP, передавая только данные. Если злоумышленник пытается воспользоваться уязвимостью протокола IP или TCP, Forefront TMG блокирует его трафик, прекращая доступ к компьютеру назначения, защищаемому Forefront TMG.

Forefront TMG умеет обнаруживать неверные пакеты предложений DHCP. Предложение DHCP считается верным только в том случае, если оно содержится в диапазоне IP-адресов, связанном с сетевой платой, которой назначен данный IP-адрес. Если обнаружено неверное предложение, Forefront TMG отменяет назначение данного IP-адреса сетевой плате и выдает оповещение «Недопустимое предложение DHCP». После срабатывания этого оповещения Forefront TMG запрещает подозрительные предложения DHCP, однако новое оповещение не выдается до тех пор, пока не будет произведен его сброс вручную.

Если сетевая плата получила предложенный IP-адрес, можно продлить аренду в любой момент до истечения ее срока. В этом случае контролирующий механизм временно отключается и выдается команда ipconfig /renew. В этот момент механизм обнаружения подделки записей кэша DHCP отключен, и Forefront TMG не отклоняет предложения адресов. После того как платы получили свои адреса, Forefront TMG возобновляет работу механизма.

Предложения DHCP могут отклоняться в следующих случаях.

• При переключении между двумя сетевыми платами DHCP. Например, если производится переключение между сетевой платой, подключенной к внутренней сети, и платой, подключенной к внешней.
  
  
• Сетевая плата DHCP перемещена в другую сеть. Например, если плата внешней сети Forefront TMG подключена к домашней сети через маршрутизатор, подключенный к Интернету. При замене маршрутизатора внешней сетевой платой Forefront TMG необходимо обновить адрес DHCP, чтобы разрешить назначение DHCP.
  
  

После того как назначение разрешено, его не нужно разрешать еще раз.

В некоторых случаях может понадобиться переключить сетевую плату с одной сети на другую с использованием адреса, полученного от сервера DHCP. Для этого понадобится принять предложение, которое Forefront TMG обычно считает недопустимым.

В следующей таблице перечислены все возможные оповещения, которые могут быть выданы в случае обнаружения вышеописанных атак.

В следующей таблице перечислены события, связанные с вышеописанными атаками. Эти события отображаются в окне просмотра событий Windows.