ISA Server 2006 - Konfiguration der Flutabwehreinstellungen


Die Informationen in diesem Artikel beziehen sich auf:


Dieser Artikel beschreibt die Konfiguration der ISA Server 2006 Flutabwehreinstellungen zum Schutz von ISA Server vor Denial of Service Attacken (DoS).

Microsoft ISA Server 2006 stellt eine als Flutabwehr bezeichnete Methode zur Verfügung mit dessen Hilfe Sie versuchen können den Ausbruch von Viren und nachfolgende Flutangriffe auf Netzwerkverbindungen zu entschärfen. Die Flutabwehrfunktion in ISA Server 2006 umfasst mehrere Optionen, welche Sie so konfigurieren und überwachen können, dass Ihr Netzwerk vor Angriffen geschützt wird. Die Flutabwehrfunktion in ISA Server 2006 enthält die folgenden neuen Funktionen:

Die Standardkonfigurationseinstellungen für die Flutabwehr sorgen dafür, dass ISA Server 2006 selbst bei einem Flutangriff weitestgehend funktionsfähig bleibt. Dieses Ziel wird erreicht, indem ISA Server den Datenverkehr analysiert und auf vom Administrator festgelegte Schwellwerte reagiert und den Datenverkehr dann verweigert und den Flutangriff protokolliert. Einige rudimentäre Verbindungslimit-Einstellungen waren bereits in ISA Server 2004 vorhanden, jedoch enthält ISA Server 2006 wesentlich erweiterte und leistungsfähigere Funktionen.

Durch die Flutabwehrfunktion von ISA Server 2006 können Sie Flutangriffe erkennen und entsprechende automatisierte Maßnahmen zur Reduzierung der Datenflut einleiten. ISA Server 2006 trägt insbesondere dazu bei, Clients zu erkennen, die übermäßig starken Datenverkehr erzeugen und somit wahrscheinlich mit einem Wurm, einem Virus oder mit Spyware infiziert sind.

Schutz gegen Angriffe

ISA Server 2006 kann gegen folgende Bedrohungen schützen:

Bedrohung

ISA Server 2006 Feature

Bedrohung durch Würmer

IP Adressen Alarmierungsfunktionen
Warnung bei der Überschreitung von Verbindungslimits
Erweiterte Eindringungsversuchserkennungen
Flutabwehreinstellungen gegen DoS und DDoS Angriffe

Grosse Anzahl an Attacken von Extern

Schutz gegen gängige Attacken wie DNS Poisoning, DHCP Poisoning, Intrusion Detection und IP Fragmentation

IP Spoofing Attacken 

IP Spoofing Detection. ISA erkennt Spoof Angriffe und verweigert die Verbindungen

Verteilte Attacken über Tage hinweg 

Erweiterte Alarmierungsfunktionen wenn bestimmte Trigger ausgelöst werden 

Schutz gegen Angriffe mit Hilfe von Verbindungslimits

ISA Server 2006 kann gegen eine Vielzahl von Bedrohungen mit Hilfe von TCP/UDP Verbindungslimits schützen. Die folgende Tabelle (Quelle: Microsoft) gibt Auskunft über mögliche Bedrohungen und Gegenmaßnahmen von ISA Server 2006.

 

Konfiguration der Flutabwehreinstellungen

Die Konfiguration der Flutabwehr kann in der ISA Server 2006-Verwaltungskonsole im Knoten Konfiguration/Allgemein/Zusätzliche Sicherheitsrichtlinie vorgenommen werden.

Eindringversuchserkennung

ISA Server 2006 bietet neben der Firewall- und Proxyfunktionalität auch eine Eindringversuchserkennung. Mit Hilfe der Eindringversuchserkennung versucht der ISA Server 2004, bekannte Angriffsmuster in Datenpaketen von bestimmten Protokollen zu erkennen und den unbefugten Zugriff zu blockieren. Microsoft hat die Eindringversuchskomponenten von der Firma ISS (http://www.iss.net/isaserver) lizenziert. Die Firma ISS bietet darüber hinaus für ISA Server 2004/6 weitere Software an, mit deren Hilfe eine erweiterte Eindringversuchserkennung möglich ist. Sobald die Eindringversuchserkennung aktiviert ist, erkennt ISA Server 2006 Angriffsversuche und kann darauf entsprechend reagieren. Es besteht die Möglichkeit, den Eindringversuch im Ereignisprotokoll festzuhalten, dem Administrator eine E-Mail zu senden, Dienste zu beenden oder bestimmte Anwendungen auszuführen.

Schutz vor DNS-Angriffen

ISA Server 2006 kann unter anderem gegen eine Reihe von DNS-Attacken schützen. Es steht zum Beispiel ein Schutz gegen einen DNS-Hostnamenüberlauf zur Verfügung. Ein DNS-Hostnamenüberlauf tritt ein, wenn eine Antwort eines DNS-Servers für einen Hostnamen eine bestimmte feste Länge überschreitet. Dieser Angriff kann bei fehlerhaft geschriebenen Anwendungen, welche die Länge des Hostnamens nicht überprüfen, bewirken, dass die internen Puffer überlaufen, sobald der Hostname kopiert wird. Dieser Angriff kann es einem Angreifer ermöglichen, beliebige Befehle auf dem angegriffenen Computer auszuführen.

IP-Einstellungen

Bei den IP-Optionen handelt es sich um einen speziellen Bereich im IP-Header mit dem Namen IP-Options. IP-Optionen definieren zusätzliche Möglichkeiten des IP Protokolls wie z. B. die bekannteste IP-Option 9 - Strict Source Route. Es gibt die Möglichkeit 256 IP-Optionen zu konfigurieren (0-255).

ISA Server 2006 blockiert einige IP-Optionen weil diese für Angriffe genutzt werden können. Nehmen wir als Beispiel die IP-Option 9: Die einfachste Routing – Attacke benutzt die Internet – Protokolloption 9 bzw. 3 In beiden Fällen kann die Route durch das Netzwerk vom Sender des IP-Paketes bestimmt werden. Bei Verwendung von "Strict Source Routing" muss dabei jeder Vermittlungsknoten in der richtigen Reihenfolge angegeben werden. Im Gegensatz zu "Loose Source Routing" welches auch zusätzliche Hops zwischen zwei angegebenen IP – Adressknoten zulässt. Der Datenstrom der Zielstation kann damit problemlos an das Computersystem des Eindringlings "umgeleitet" werden. Dazu simuliert der Angreifer wiederum die IP – Adresse eines internen Systems (IP – Adress – Spoofing) und öffnet unter Aktivierung der Option "Loose Source Routing" eine Verbindung zur Zielstation, wobei als Route für die Antwortpakete ein Pfad, der über das angreifende System führt, angegeben wird. Damit stehen dem eingedrungenem System alle Möglichkeiten der simulierten, internen Station zur Verfügung

Flutabwehreinstellungen

Sie können in der Verwaltungskonsole verschiedene Limits für die Anzahl gleichzeitiger TCP-Verbindungen, die maximale Anzahl halb geöffneter TCP-Verbindungen, die maximale Anzahl von HTTP-Anforderungen pro IP-Adresse und weitere Einstellungen konfigurieren. Je nach Einstellung können Sie Limits pro IP-Adresse oder der Anzahl der stattgefundenen Ereignisse pro Minute konfigurieren.

Für eine Vielzahl der Flutabwehreinstellungen können Sie eigene Grenzwerte festlegen, allerdings mit einer Ausnahme. Die Anzahl der maximal halb geöffneten TCP-Verbindungen beträgt automatisch die Hälfte der Anzahl gleichzeitiger TCP-Verbindungen pro IP-Adresse.

Auf der Registerkarte IP-Ausnahmen können Sie IP-Adressen festlegen, für die Ausnahmen der Flutabwehreinstellungen gelten sollen. Diese Ausnahmen können Sie in den einzelnen Optionen der Registerkarte Flutabwehr konfigurieren, indem Sie dort Einstellungen für Benutzerdefinierte Ausnahmen konfigurieren.

Alarmierungsoptionen

ISA Server 2006 bietet die Möglichkeit, eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuführen. Der ISA Server-Alarmierungsdienst fungiert dann als Verteiler und als Ereignisfilter. Er ist für das Erfassen von Ereignissen verantwortlich, überprüft die Erfüllung bestimmter Bedingungen (z.B. Schwellenwerte) und führt die entsprechenden Aktionen aus. Eine solche Aktion kann zum Beispiel ein Eintrag im Ereignisprotokoll oder eine E-Mail an den Firewalladministrator sein.

Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server standardmäßig eine ganze Reihe Alarmdefinitionen mit. Um die Alarmdefinitionen zu konfigurieren öffnen Sie den Aufgabenbereich im Knoten Überwachung / Alarme.

Sie können die Alarmdefinitionen bearbeiten und Alarmierungsbenachrichtigungsoptionen festlegen (e-Mail / SMS, Skriptbenachrichtigung usw.) oder neue Alarme erstellen. Zu den Alarmaktionen gehört zum Beispiel auch die Möglichkeit beim Eintreten bestimmter Ereignisse ISA Dienste zu beenden.

Um die Verarbeitungsleistung von ISA Server 2006 während eines Flutangriffs zu verbessern beziehungsweise nicht negativ zu beeinflussen, desaktivieren Sie die Protokollierung entweder für die bestimmt Regel, die mit dem Flutangriff übereinstimmt, oder desaktivieren Sie bis zum Ende des Flutangriffs die gesamte Protokollierung. Konfigurieren Sie zusätzlich Alarme für Verbindungslimits oder alle sonstigen Alarmtypen, die aufgrund des speziellen Angriffs ausgelöst werden.

Stand: Montag, 09. April 2007/MG. - http://www.it-training-grote.de