ISA Server入侵检测及配置_职场 深入了解ISAServer入侵检测及配置 ISA Server入侵检测及配置_职场_02
2008-11-08 22:05:26
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]
深入了解ISAServer入侵检测及配置
 
ISAServer的入侵检测功能可以在遭受攻击时以右键通知、中断连接、中断所选服务、记录入侵行为或执行其他指定的操作等。我分两个方面来说:ISAServer支持的入侵检测项目和启用入侵检测与报警设置。
一、ISAServer支持的入侵检测项目
ISAServer支持以下几种入侵检测与数据包阻止功能:
Ø  一般攻击的入侵检测
Ø  DNS攻击的入侵检测
Ø  POP入侵检测
Ø  阻止包含IP选项的数据包
Ø  阻止IP片段的数据包
Ø  淹没缓解
(一)、一般攻击的入侵检测
ISAServer可以检测到以下的一般攻击行为,并发出报警;
î  All prots scan attack
ISAServer会检测入侵者扫描端口的行为。可以指定端口的数量,只要被扫描的端口数量超过指定数量,就会发出报警。
î  IP half scan attack
一个完整的连接是由提出连接请求这一端发出SYN信号、然后由被连接端发出一个响应信号SYN/ACK、最后提出一个连接请求这一端会再发出一个响应信号ACK。而一般来说,被连接端必须等收到ACK信号后,这个连接操作才算完成,被连接端才会有此连接的记录,可是IP half scan attack的攻击行为却是利用故意不返回ACK信号的方式,来规避被连接端记录此连接行为。ISAServer具备检测此类攻击行为能力。
î  Land attack
这种攻击行为是入侵者将TCP数据包内的源IP地址与端口改为欺假的源IP地址与端口,也就是它会将源IP地址、端口都改为与目的地IP地址、端口。这种攻击行为会造成某些系统死机。
î  Ping of death attack
入侵者会发出异常的ICMP echo request数据包给被攻击者,此异常数据包包含大量数据,会造成某些系统死机
î  UDP bomb attack
入侵者会发出不合法的UDP数据包,造成某些系统死机。
î  Windows out-of-band attack
一个被称为WinNuke的程序会送出Out-of-bandOOB)的数据包给被攻击者的端口139,这将造成被攻击者不是网络不通,就是系统死机。
(二)、DNS攻击的入侵检测
ISAServer包含的DNS筛选器可以检测以下的DNS攻击行为,并发出报警;
î  DNS主机名溢出
查询DNS主机名的响应数据包内,其主机名的字段有固定的长度,而DNS主机名溢出的攻击行为就是故意让主机名超过此长度。有些应用程序不会检查主机名长度,因此在复制主机名时会造成内部缓冲溢出,让入侵者有机会执行攻击代码。
î  DNS长度溢出
查询IP地址的DNS响应数据包内,有一个正常为4bytes的长度字段,而DNS长度溢出的攻击行为就是故意让DNS响应数据包超过长度,造成有些应用程序在执行DNS查询时发生内部缓冲溢出的现象,让入侵者有机会执行攻击程序代码。
î  DNS区域转移
它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般含有内部网络的重要信息,不应该被利用区域转移的方式发送到外部。
(三)、POP入侵检测
ISAServerPOP入侵检测筛选器会拦截与分析送到内部网络的POP流量,来检查是否有POP缓冲溢出的攻击行为。
(四)、阻止包含IP选项的数据包
有些入侵行为是通过IP头内的IP选项来攻击的,尤其是通过源路由选项来攻击内部网络的计算机。可以设置让ISAServer拒绝包含这类IP选项的数据包。
(五)、阻止IP片段的数据包
一个IP数据包可以被拆解为数个小的数据包来发送,这些小的数据包就是IP片段。当目的的计算机接收到这些IP片段后,会根据数据包内的offset(间距)数据来将它们重新组合成原始的数据包。例如正常的IP片段的offset数据可能是:
IP片段1offset 100300
IP片段2offset 301600
表示第1IP片段是占用原始数据包的第100300的位置、而第2IP片段是占用原始数据包的第301600的位置。
IP片段的攻击方式就是故意让offset数据重叠,例如;
IP片段1offset 100300
IP片段2offset 200400
如此当目的地计算机收到数据后,就无法将这些IP片段组合成原始的数据包,它可能会造成计算机停止反应,甚至重新开机。
可以设置让ISAServer阻止IP片段数据包,不过需注意启用此功能后,可能会干扰到视/音频流的功能,而且可能无法成功建立L2TP/IPSec ×××连接,因为在执行证书交换操作时可能会有IP片段的发生。如果有串流影音与L2TP/IP Server ×××连接问题,请不要启用IP片段筛选功能。
(六)、淹没缓解
它可以避免大量异常数据包通过ISAServer进入内部网络。
二、启用入侵检测与警报设置
系统默认已经启用了入侵检测功能,而且会自动记录入侵事件,除此之外我们还可以另外设置一旦发生入侵事件后,就自动执行指定的操作,列入发送电子邮件通知系统管理员、执行指定的程序等。
(一)、启用入侵检测
         一般入侵检测与DNS入侵检测的启用设置可以通过下图所示,选择“配置”“常规”单击“启用入侵检测和DNS攻击检测”的方法。
ISA Server入侵检测及配置_休闲_03
    上图中的选项前面我已经介绍过了,再次只补充说明其中“端口扫描”处发生此端口扫描攻击次数后进行检测:
î  常用端口
也就是说只要常用的端口中有超过10个被扫描,就被视为是攻击行为。图中的端口数量可自行调整。所谓常用端口为12048之间的TCP/UDP端口。
î  所有端口
也就是说所有的端口中,只要有超过20个端口被扫描,就视为攻击行为。图中的端口数量可自行调整。
有一些数据包会被ISAServer丢弃,因为ISAServer检测到这些数据包是入侵数据包。若要ISAServer记录被丢弃的数据包,请选择上图中的“记录丢弃的数据包”。
可以通过下图中“DNS攻击”标签来设置DNS的攻击检测。
ISA Server入侵检测及配置_休闲_04
至于POP入侵检测只要启用POP入侵检测筛选器即可,而系统默认已经启用了这个筛选器,如下图所示,由下图中还可以看出DNS筛选器默认也被启用了。ISA Server入侵检测及配置_休闲_05
(二)、警报设置
一旦ISAServer检测到入侵行为,系统就会发出警报,并且附带执行警报,而这些警报可以自定义。可以通过下图所示选择“监视”→“警报”的方法来查看警报记录,ISAServer会将相同类型的警报事件集合在一起,如下图中几个检测到入侵事件被放在一起,而且系统默认是相同的事件每隔1分钟才会记录一次,以避免记录太多的重复数据。ISA Server入侵检测及配置_职场_06
    另外在“仪表盘”内也会有相关的摘要记录。
ISA Server入侵检测及配置_职场_07
如果在上一个警报图片中选择某个警报事件后单击右方的“确认收到选择的警报”,则它的的状态会改为“已确认收到”,同时仪表板内就会将此事件删除。而如果是单击“重置选择的警报”,则改事件会被从警报窗口内删除。
也可以通过“开始”“所有程序”“事件查看器”“应用程序”→双击警告事件(来源为Microsoft Firewall)的方法来产看此事件,如下图所示:
ISA Server入侵检测及配置_休闲_08
如果要更改警报配置或者配置警报,请单击前面警报图片中右边的“配置警报定义”,之后可以从下图中看出ISAServer支持各种不同类型的警报项目。ISA Server入侵检测及配置_休闲_09
选择上图中的“检测到入侵”警报然后单击“编辑”按钮来更改其警报配置与警报动作。单击下图中的“事件”标签,我来解释图中的部分选项设置:ISA Server入侵检测及配置_休闲_10
î  触发警报之前的事件发生的次数
可以在“发生次数”处指定事件发生多少次后,才发出警报;也可以在“每秒钟的事件数”处指定每秒发生事件多少次后,才发出警报。如果“发生次数”与“每秒钟的事件数”处都有设置,则必须两个条件都达到才会发出警报。
î  在后面每次到达阈值时,触发警报
用来设置“每次发生次数”或“每秒钟的事件数处”所设置的临界值到达时,是否要发出警报:
²  立即
表示只要前面的临界值到达时,就立即发出警报。
²  只有在手动重设警报时
表示必须按前面警报图片中“重置选择的警报”后,才会发出警报。
²  如果在上次执行后的分钟数超过了
前一次发出警报后,必须间隔此处所设置的事件后,才会发出警报。这是默认值,而且默认是1分钟。
可以通过下图中“操作”标签来设置发生警报事件时,是否要发送电子邮件给指定的使用者、运行指定的程序、将事件记录到Windows事件日志中、停止或启动选择的服务等,其中的“发送电子邮件”处需要指定用来发送电子邮件的SMTP服务器,并指定发件人与收件人。ISA Server入侵检测及配置_职场_11
(三)、阻止IP选项与IP片段数据包
阻止IP选项与IP片段数据包的设置方法为如下图所示选择“常规”→单击“配置IP保护”。ISA Server入侵检测及配置_休闲_12
然后就可以通过下图中的“IP选项”标签来启用刷选IP选项数据包功能,系统默认已经启用此功能,并且阻止了部分的IP选项数据包。
ISA Server入侵检测及配置_休闲_13
而启用阻止IP片段数据包的方法是通过下图中“IP片段”便签来设置,系统默认并没有启用此功能。注意如果会有视/音频流与L2TP/IPSec ×××连接问题,请不要启动IP片段阻止功能。ISA Server入侵检测及配置_职场_14
(四)、启用淹没缓解功能
淹没缓解可以便面大量异常数据包通过ISA Server进入内部网络,其设置方法在ISA服务管理器控制台中单击“常规”→单击“配置淹没缓解设置”,然后通过下图来进行设置。ISA Server入侵检测及配置_职场_15
î  每个IP地址每分钟的最大TCP连接请求数
用来限制每个IP地址在每一分钟内最多被允许的TCP连接数量。
î  每个IP地址的最大TCP并行连接数
用来限制每个IP地址在同一时间内最多被允许的TCP链接数量。
î  最大TCP半开连接数
用来限制最多可允许的IP hakf scan数据包数量
î  每个IP地址每分钟的最大HTTP请求数
用来限制每个IP地址在每一分钟内最多被允许的HTTP请求数量。
î  每个规则每分钟的最大非TCP新会话数
用来限制每个规则、每个IP地址在每分钟内最多被允许的非TCP新会话数量。
î  每个IP地址的最大UDP并行会话数
用来限制每个IP地址在同一时间内最多被允许的UDP连接数量。
î  指定触发警报的拒绝数据包数
指定某一IP地址被拒绝的数据包超过指定数量时就触发警报。
î  记录被淹没缓解设置阻止的通信
请求系统记录因为淹没缓解设置而被阻止的通信
可以单击每个项目右边的“编辑”按钮来设置其限制值,如下图所示,图中限制选项用来设置限制值。如果要给予某些特定计算机不同限制值,请他哦难过图中的自定义限制选项来设置。ISA Server入侵检测及配置_职场_16
而这些特定的计算机的IP地址可以通过下图来指定添加。
ISA Server入侵检测及配置_职场_17
好了关于ISAServer入侵检测及配置,我就写到这里。本文基本涵盖ISAServer入侵检测及配置大部分内容,希望能对大家做好ISA Server安全防护已经内网客户端管理能有所帮助!