В этом разделе описывается порядок планирования защиты сети Forefront TMG от распространенных атак и DNS-атак. Здесь описывается следующее:

Обнаружение распространенных атак

К распространенным атакам относятся следующие типы атак:

  • Атака переполнения на системы Windows (WinNuke). Злоумышленник проводит атаку типа «отказ в обслуживании» на компьютер, защищаемый Forefront TMG. В случае успеха эта атака может привести к отказу в работе компьютера или прекращению работы сети на уязвимых компьютерах.

  • Land-атака. Злоумышленник отправляет TCP-пакет SYN с поддельным IP-адресом, совпадающим с IP-адресом получателя, и номером порта, разрешенным правилами политики Forefront TMG. В результате компьютер получателя пытается установить сеанс TCP с самим собой. В случае успеха эта атака может привести к зацикливанию некоторых реализаций протокола TCP и, как следствие, к нарушению работы компьютера.

  • Атака «PING смерти». Злоумышленник прикрепляет к эхо-запросу ICMP (PING) большое количество данных, превышающее максимально допустимый размер IP-пакета. В случае успеха эта атака может привести к переполнению буфера ядра и, как следствие, к нарушению работы компьютера.

  • IP-атака полусканирования. Злоумышленник производит повторяющиеся попытки подключения к атакуемому компьютеру, не отправляя, однако, пакеты ACK при получении пакетов SYN/ACK. Нормальное TCP-подключение инициируется так: источник отправляет пакет SYN на определенный порт системы получателя. Если этот порт прослушивается службой, она отправляет в ответ пакет SYN/ACK. Клиент, инициирующий подключение, отправляет в ответ пакет ACK, и после этого оно считается установленным. Если узел получателя не ожидает подключений на определенном порту, он возвращает в ответ пакет RST. В большинстве систем подключения не регистрируются в журнале как установленные, пока от источника не будет получен финальный пакет ACK. Отправка других типов пакетов с нарушением указанной последовательности позволяет без регистрации подключения в журнале получить от узла получателя нужные данные.

  • UDP-бомба. Злоумышленник пытается отправить датаграмму UDP, содержащую недопустимые значения в некоторых полях. На некоторых старых версиях операционных систем получение подобной датаграммы может привести к прекращению их работы. По умолчанию оповещение для данного типа атак не настроено.

  • Сканирование портов. Злоумышленник пытается подсчитать службы, выполняемые на компьютере, методом последовательного опроса каждого из портов. Можно указать пороговое значение, определяющее число портов, которые могут быть просканированы, прежде чем будет сгенерировано событие.

Если на сервере Forefront TMG включено обнаружение атак, то при обнаружении подозрительных пакетов они отбрасываются и создается событие, которое инициирует оповещение об обнаружении вторжения. По умолчанию сброс оповещения о попытке вторжения происходит через минуту. В течение этого времени Forefront TMG блокирует подозрительные пакеты, не выдавая оповещение. Существует возможность настройки уведомлений по электронной почте при срабатывании этого оповещения. Кроме того, отброшенные пакеты могут регистрироваться в журнале.

Названия типов обнаруженных атак соответствуют дополнительному условию в определении события обнаружения вторжения. Для каждого дополнительного условия (типа атаки) можно настроить и включить оповещение, которое определяет реакцию на событие и выдается службой межсетевого экрана Microsoft при соблюдении всех условий, указанных в оповещении. Действия, вызываемые при срабатывании оповещения, могут включать: отправку сообщения по электронной почте, вызов команды, запись в журнал и запуск или остановку служб Forefront TMG.

Обнаружение DNS-атак

Фильтр DNS, который содержится в Forefront TMG, перехватывает и анализирует весь входящий DNS-трафик, направленный во внутреннюю сеть и другие защищенные сети. Если обнаружение DNS-атак включено, можно настроить фильтр DNS на проверку следующих типов подозрительной активности.

  • Переполнение имен узлов DNS. Когда ответ DNS для имени узла превышает 255 байт, приложения, которые не проверяют длину имен узлов, могут вызвать переполнение внутреннего буфера при копировании имени узла, позволяя удаленному злоумышленнику выполнить произвольный код на компьютере получателя.

  • Переполнение длины DNS. Когда ответ DNS для IP-адреса превышает 4 байта, некоторые приложения, выполняющие поиск DNS, могут вызвать переполнение внутреннего буфера, что позволит удаленному злоумышленнику выполнить произвольный код на компьютере получателя. Forefront TMG также проверяет, чтобы значение поля RDLength не превышало длины оставшейся части DNS-ответа.

  • Передача зон DNS. Клиентская система использует приложение DNS-клиента для передачи зон с внутреннего DNS-сервера.

При обнаружении подозрительных пакетов они отбрасываются, и генерируется событие, которое выдает предупреждение о DNS-атаке. Можно настроить оповещения, предупреждающие об обнаружении атаки. Если в течение одной секунды событие обнаружения DNS-атаки для передачи зон DNS возникает пять раз, выдается оповещение «Атака передачи зон DNS». По умолчанию повторное срабатывание предопределенных оповещений возможно только после сброса их вручную.

См. также