Netzwerkschutz mit ISA Server
Schützen gegen Überflutungen und Angriffe
Unternehmen sind gezwungen, durch böswillige Software (sogenannte „Malware“) und Angreifer verursachte Schäden zu verhindern, indem sie umfassende Tools verwenden, um schädliche Inhalte, Dateien und Websites zu scannen und zu sperren. Microsoft® Internet Security and Acceleration (ISA) Server 2006 Standard Edition und ISA Server 2006 Enterprise Edition bieten Zugriffschutz, indem sie Eindringversuchserkennung, Überflutungsreduzierung, Spoofermittlung und andere technisch ausgereifte Funktionen zur Erkennung von Angriffen bereitstellen.
Netzwerkschutz mit ISA Server – Zusammenfassung der Schutzfunktionen
In der folgenden Tabelle wird zusammengefasst, wie ISA Server 2006 die wichtigsten Probleme von IT-Administratoren löst, die mit dem Schutz ihrer IT-Umgebung betraut sind.
| Probleme | Funktionen von ISA Server 2006 |
Würmer, die von Benutzer zu Benutzer und von Netzwerk zu Netzwerk weitergegeben werden, schädigen Benutzer, Partner und Kunden. | Vereinfachtes Client-IP-Warnungs-Pooling und Verbindungsquoten verbessern die Widerstandsfähigkeit gegen Würmer und minimieren die Auswirkungen infizierter Computer auf das Netzwerk. Verbesserte Funktionen für Überflutungsschutz und Eindringversuchserkennung wehren Überflutungsversuche wie beispielsweise Denial-Of-Service (DoS)- und verteilte Denial-Of-Service (DDoS)-Angriffe ab. |
Eine zunehmende Zahl von Angriffen auf nach außen gerichtete Ressourcen muss bekämpft werden. | Der Schutz gegen Angriffe kann leicht konfiguriert werden, um das Unternehmensnetzwerk vor einer breiten Palette von Angriffen zu schützen, z. B. Schutz vor DHCP (Dynamic Host Configuration Protocol)-Vergiftung, Eindringversuchserkennung und IP-Fragmentierung. |
Ein Schutz gegen vermeidbare IP-Spoofing-Angriffe wird benötigt. | IP-Spoofing-Schutz wird durch einen technisch ausgereiften Anti-Spoofing-Mechanismus gewährleistet. ISA Server schützt vor IP-Spoofing, indem ISA Server die Quell-IP-Adresse des Pakets auf Gültigkeit überprüft. |
Da Angriffe viele Stunden oder sogar Tage lang unbemerkt bleiben, ist es notwendig, bessere Methoden zu finden, um Angriffe auf Anhieb zu erkennen, und sofort geeignete Maßnahmen zu ergreifen. | Durch einen verbesserten Angriffsschutz mithilfe umfassender Warnungsauslöser und Maßnahmen werden Administratoren rasch über Netzwerkprobleme informiert. |
Szenario: Wie ISA Server Angriffe reduziert
Aufgrund der Flut böswilliger Hacker bildet die Kapazität von ISA Server, Angriffe zu bekämpfen, den Grundstein für Ihre Fähigkeit, Ihr Netzwerk zu schützen. Die Standardfunktionen zur Reduzierung von Angriffen helfen Ihnen, Ihr Netzwerk zu schützen, indem sie Angriffsversuche abblocken und Sie durch Warnungen auf verdächtiges Verhalten hinweisen.
Diese Kombination aus Erkennung und Reduzierung kann Ihnen helfen, Ihr Netzwerk vor zahlreichen potenziellen Angriffen zu schützen, von denen einige in der folgenden Tabelle aufgeführt sind.
| Angriff | Beschreibung |
Interne Weitergabe von Würmern über TCP | Infizierte Clientcomputer versuchen, an einem bestimmten Port Verbindung zu beliebigen Adressen herzustellen, um Hosts zu infizieren, die eine bekannte Schwachstelle haben. |
Ausnutzung der Verbindungstabelle | Ein Angreifer verwendet viele IP-Adressen oder Zombiehosts, um eine übermäßige Anzahl von Verbindungen herzustellen, die die ISA Server-Ressourcen dermaßen stark erschöpfen, dass ISA Server nicht mehr verwaltet werden kann. |
Ausstehende DNS (Domain Name System)-Ausnutzung bei der Weitergabe von Würmern | Infizierte Clients versuchen, an bestimmten Ports Verbindung zu beliebigen Adressen herzustellen. Da die ISA Server-Richtlinie ggf. auf DNS-Namen beruht, muss ISA Server eine Reverseauflösung der beliebigen Adressen durchführen. |
Sequenzielle TCP-Verbindungen bei Überflutungsangriffen | Ein Angreifer verwendet einen internen Host, um auf ISA Server oder einen anderen Server, der sich hinter ISA Server befindet, einen Denial-Of-Service-Angriff zu unternehmen. Bei diesem DoS-Angriff werden viele TCP-Verbindungen sequenziell geöffnet und sofort wieder geschlossen, um zu versuchen, den Quotenmechanismus zu umgehen. Dadurch werden viele Ressourcen in Anspruch genommen. |
HTTP (Hypertext Transfer Protocol)-DDoS unter Verwendung bestehender Verbindungen | Ein Angreifer sendet in einer hohen Rate HTTP-Anforderungen über eine permanente TCP-Verbindung (Keep-Alive-Verbindung). Der ISA Server-Webproxy muss jede einzelne Anforderung autorisieren. Dadurch werden viele ISA Server-Ressourcen in Anspruch genommen. ISA Server stellt diese Reduzierungsfunktion speziell für HTTP-Sitzungen bereit, die über einen feststehenden Zeitraum aktiv gehalten werden, wobei an einer einzigen Sitzung zahlreiche Verbindungen beteiligt sind. |
Betrachten Sie ein Szenario, in dem verschiedene Computer im Unternehmensnetzwerk von einem Wurm infiziert werden. Diese Computer geben den Wurm über das Netzwerk weiter. Jeder infizierte Host sendet eine hohe Rate von TCP-Verbindungsanforderungen an einen bestimmten Port und zufällig gewählte IP-Adressen, um weitere anfällige Computer zu finden, die infiziert werden können.
In der Zwischenzeit misst ISA Server die für jede Quell-IP-Adresse zulässige Verbindungsrate und gibt für jeden infizierten Host eine Warnung in bezug auf die jeweilige IP-Adresse aus. Diese Warnung wird ausgegeben, da der infizierte Host einen vorkonfigurierten Schwellenwert für die zulässigen und verweigerten Verbindungen pro Minute überschritten hat.
Bevor ISA Server die verdächtige IP-Adresse sperrt, wird überprüft, ob die Quell-IP-Adresse manipuliert ist. Falls die Quell-IP-Adresse als bösartig befunden wird, löst ISA Server eine Warnung mit Informationen über den Angriff und den Angreifer aus. Ab diesem Zeitpunkt sperrt ISA Server eine Minute lang den Verkehr vom angreifenden Host. Nach einer Minute lässt ISA Server wieder Verkehr von dieser IP-Adresse zu. Falls der Schwellenwert erneut überschritten wird und Sie die Warnung manuell zurückgesetzt haben, wird erneut eine Warnung ausgelöst und der Verkehr gesperrt.
Wenn diese Warnung ausgelöst wird, werden nur Verbindungsversuche gezählt, die durch die Firewallrichtlinie zugelassen werden. Wenn ein Verbindungsversuch durch die Firewallrichtlinie abgelehnt wird, wird von ISA Server der fehlgeschlagene Verbindungsversuch separat gezählt und eine andere Warnung ausgelöst.
Ein integrierter ISA Server-Protokollmechanismus beschränkt die durch Protokollieren des Wurmverkehrs beanspruchten Systemressourcen, indem er eine Warnung ausgibt, sobald von einer bestimmten Quell-IP-Adresse ein Schwellenwert überschritten wird. Derselbe Mechanismus beschränkt die Gesamtanzahl der pro Sekunde erstellten Protokolleinträge außerdem für Verkehr, der durch die ISA Server-Richtlinie gesperrt wird. ISA Server protokolliert die verweigerten Anforderungen, bis nicht mehr genügend Ressourcen zur Verfügung stehen. An diesem Punkt hört ISA Server auf, verweigerte Pakete zu protokollieren. Zusätzlich ist ISA Server ggf. damit beschäftigt, Warnungen auszulösen. Aus diesem Grund beschränkt sich ISA Server selbst auf eine bestimmte Anzahl von Warnungen pro Sekunde.
Falls es sich bei der IP-Adresse um die Adresse eines Benutzers handelt, der völlig unbeabsichtigt einen böswilligen Angriff startet, wird dieser Benutzer u. U. beim Helpdesk anrufen und sich darüber beschweren, dass seine Verbindung zum Internet unterbrochen wurde. Der Helpdesk-Mitarbeiter wird die ISA Server-Warnungen prüfen und feststellen, dass der Host des Benutzers gegen die Überflutungsrichtlinie verstoßen hat. Bei einer Überprüfung des Computers wird ein Wurm gefunden. Sobald der Wurm vom Hostcomputer entfernt wurde, wird ISA Server von diesem Host nicht mehr mit Anforderungen überflutet. Der Verkehr von diesem Host wird nicht mehr beschränkt, und der Client kann wieder auf das Internet zugreifen.
Funktionen zum Schutz von ISA Server-Netzwerken
ISA Server kann Ihnen helfen, die Infektionen durch Viren und die dadurch verursachten Überflutungen von Verbindungen einzudämmen, die für Unternehmen von großer Bedeutung sind.
Wie im Abschnitt „Konfigurieren von Funktionen zur Angriffsreduzierung“ beschrieben, können Sie als Abhilfemaßnahme Funktionen zur Angriffsreduzierung konfigurieren. Darüber hinaus verfügt ISA Server über integrierte Funktionen, die Sie gegen böswillige Angriffe schützen. Diese Funktionen werden im Abschnitt Vorkonfigurierter Angriffsschutz von ISA Server beschrieben.
ISA Server löst gemäß Ihrer Konfiguration Warnungen aus, mit deren Hilfe Sie Angriffe verfolgen und reduzieren können. Diese Warnungen werden im Abschnitt „Warnungen“ ausführlich beschrieben.
Konfigurieren von Funktionen zur Angriffsreduzierung
ISA Server verfügt über Funktionen zur Angriffsreduzierung, die Sie konfigurieren und überwachen können, um sicherzustellen, dass Ihr Netzwerk jederzeit vor böswilligen Angriffen geschützt ist. Abhängig von der Beschaffenheit Ihrer Bereitstellung können Sie die folgenden Funktionen konfigurieren:
| • | Funktionen zur Reduzierung von Überflutungsangriffen und der Weitergabe von Würmern |
| • | HTTP-Verbindungsbeschränkungen |
| • | Schutz vor bestimmten Angriffen inklusive IP-Paketschutz, Schutz vor DHCP-Vergiftung und Eindringversuchserkennung |
In diesem Abschnitt werden die Funktionen zur Angriffsreduzierung beschrieben.
Reduzierung von Überflutungsangriffen und der Weitergabe von Würmern
Eine Überflutung liegt dann vor, wenn ein böswilliger Benutzer versucht, durch viele sich ständig weiterentwickelnde Methoden ein Netzwerk anzugreifen. Ein Überflutungsangriff kann Folgendes nach sich ziehen:
| • | Starke Datenträgerauslastung und hohe Beanspruchung der Firewall-Ressourcen |
| • | Hohe CPU-Auslastung |
| • | Hoher Speicherverbrauch |
| • | Hoher Verbrauch der Netzwerkbandbreite |
Indem Sie Einstellungen zur Reduzierung von Überflutungsangriffen und der Weitergabe von Würmern konfigurieren, können Sie die Möglichkeiten böswilliger Angreifer zur Infiltrierung Ihres Unternehmensnetzwerks einschränken.
ISA Server beschränkt die Anzahl der Verbindungen, die zu jedem gegebenen Zeitpunkt gestattet sind. Sie können die Beschränkung konfigurieren, indem Sie eine maximale Anzahl gleichzeitiger Verbindungen festlegen. Wenn die maximale Anzahl der Verbindungen erreicht ist, werden alle neuen Clientanforderungen verweigert.
Die standardmäßig vorgegebenen Konfigurationseinstellungen zur Überflutungsreduzierung stellen sicher, dass ISA Server auch während eines Überflutungsangriffs weiterhin funktionieren kann. Dies wird dadurch ermöglicht, dass der Verkehr von ISA Server klassifiziert wird und für unterschiedliche Arten von Verkehr unterschiedliche Dienststufen bereitgestellt werden. Als bösartig erachteter Verkehr (Verkehr zu dem Zweck, einen Überflutungsangriff zu verursachen) kann verweigert werden, während ISA Server allen sonstigen Verkehr weiterhin abwickelt.
In der folgenden Tabelle werden potenzielle Überflutungsangriffe und Angriffe zur Weitergabe von Würmern aufgeführt und die Schutzverfahren von ISA Server kurz beschrieben.
| Angriff | ISA Server-Reduzierung | Standardeinstellungen |
Überflutungsangriff Eine bestimmte IP-Adresse versucht, zu viele Verbindungen mit vielen verschiedenen IP-Adressen herzustellen, und löst dadurch eine Flut von Verbindungsversuchen und Verbindungstrennungen aus. | TCP-Verbindungsanforderungen pro Minute und pro IP-Adresse. ISA Server reduziert Überflutungsangriffe, die dann vorliegen, wenn von einer angreifenden IP-Adresse zahlreiche TCP-Verbindungsanforderungen gesendet werden. ISA Server schützt auch vor der Weitergabe von Würmern, die dann erfolgt, wenn ein infizierter Host das Netzwerk nach anfälligen Hosts absucht. | Standardmäßig beschränkt ISA Server die Anzahl der TCP-Anforderungen pro Client auf 600 Anforderungen pro Minute. Sie können auch für bestimmte IP-Adressen benutzerdefinierte Beschränkungsausnahmen konfigurieren. Standardmäßig ist diese Beschränkung auf 6.000 Anforderungen pro Minute eingestellt. |
Überflutungsangriff Eine bestimmte IP-Adresse versucht, ISA Server durch die gleichzeitige Aufrechterhaltung zahlreicher TCP-Verbindungen zu überfluten. | Gleichzeitige TCP-Verbindungen pro IP-Adresse. ISA Server reduziert TCP-Überflutungsangriffe, die dann vorliegen, wenn ein angreifender Host mit ISA Server oder anderen Servern zahlreiche TCP-Verbindungen aufrecht erhält. | Standardmäßig beschränkt ISA Server die Anzahl der gleichzeitigen TCP-Verbindungen pro Client auf 160 Verbindungen. Sie können auch für bestimmte IP-Adressen benutzerdefinierte Beschränkungsausnahmen konfigurieren. Standardmäßig ist diese Beschränkung auf 400 gleichzeitige Verbindungen pro Client eingestellt. |
SYN-Angriff. Es wird versucht, ISA Server durch zahlreiche halb offene TCP-Verbindungen zu überfluten. | Halb offene TCP-Verbindungen. ISA Server reduziert SYN-Angriffe. Bei einem SYN-Angriff sendet ein angreifender Host TCP-SYN-Nachrichten, ohne den TCP-Handshake abzuschließen. | Standardmäßig beschränkt ISA Server die Anzahl der gleichzeitigen halb offenen TCP-Verbindungen auf die Hälfte der für gleichzeitige TCP-Verbindungen konfigurierten Anzahl. Diese Voreinstellung können Sie nicht ändern. |
DoS-Angriff (HTTP). Eine bestimmte IP-Adresse versucht, durch Senden zahlreicher HTTP-Anforderungen einen Denial-Of-Service-Angriff zu unternehmen. | HTTP-Anforderungen pro Minute und pro IP-Adresse. ISA Server reduziert DoS-Angriffe. Bei einem DoS-Angriff sendet ein angreifender Host über dieselbe TCP-Verbindung zahlreiche HTTP-Anforderungen an Websites, die geschädigt werden sollen. | Standardmäßig beschränkt ISA Server die Anzahl der HTTP-Anforderungen pro Client auf 600 Anforderungen pro Minute. Sie können auch für bestimmte IP-Adressen benutzerdefinierte Beschränkungsausnahmen konfigurieren. Standardmäßig ist diese Beschränkung auf 6.000 Anforderungen pro Minute eingestellt. |
DoS-Angriff (Nicht-TCP). Ein Zombiehost versucht, einen Denial-Of-Service-Angriff zu unternehmen, indem er zahlreiche Nicht-TCP-Anforderungen sendet, die durch eine ISA Server-Regel verweigert werden. | Neue Nicht-TCP-Sitzungen pro Minute und pro Regel. ISA Server reduziert Nicht-TCP-DoS-Angriffe. Bei einem Nicht-TCP-DoS-Angriff senden böswillige Hosts zahlreiche Nicht-TCP-Pakete an einen zu schädigenden Server. Der betreffende Nicht-TCP-Verkehr wird durch eine ISA Server-Regel zugelassen. | Standardmäßig reduziert ISA Server die Anzahl der Nicht-TCP-Sitzungen pro Minute für das betreffende Protokoll (Regel) auf 1.000 Sitzungen. |
UDP (User Datagram Protocol)-Überflutungsangriff. Eine bestimmte IP-Adresse versucht, durch Öffnen zahlreicher gleichzeitiger UDP-Sitzungen einen Denial-Of-Service-Angriff zu unternehmen. | Gleichzeitige UDP-Verbindungen pro IP-Adresse. ISA Server reduziert UDP-Überflutungsangriffe. Bei einem UDP-Überflutungsangriff sendet ein angreifender Host zahlreiche UDP-Nachrichten an zu schädigende Hosts. Wenn ein UDP-Überflutungsangriff unternommen wird, verwirft ISA Server ältere Sitzungen, damit nicht mehr als die festgelegte Anzahl von Verbindungen gleichzeitig zugelassen wird. | Standardmäßig beschränkt ISA Server die Anzahl der gleichzeitigen UDP-Sitzungen pro IP-Adresse auf 160 Sitzungen. Sie können auch für bestimmte IP-Adressen benutzerdefinierte Beschränkungsausnahmen konfigurieren. Standardmäßig ist diese Beschränkung auf 400 Sitzungen pro Client eingestellt. |
Bei jeder von Ihnen konfigurierten Beschränkung zur Überflutungsreduzierung wird von ISA Server überwacht, ob die festgelegte Beschränkung überschritten wird. Sobald dieser Schwellenwert überschritten wird, werden von ISA Server folgende Maßnahmen ergriffen:
| • | ISA Server weist neue Verbindungsanforderungen zurück. Nach einer Minute setzt ISA Server die Quote für diese IP-Adresse zurück. Der Verkehr wird nicht länger gesperrt. Falls der Client die Quote erneut überschreitet, sperrt ISA Server wieder den Verkehr. |
Hinweis:Bei TCP-Verbindungen werden keine neuen Verbindungen zugelassen, sobald die Beschränkung zur Überflutungsreduzierung überschritten wurde. Bei anderen Verbindungen (RAW-IP und UDP) werden ältere Verbindungen beendet, sobald die Beschränkung zur Überflutungsreduzierung überschritten wurde, damit neue Verbindungen erstellt werden können.
| • | ISA Server wickelt den Verkehr der bestehenden Verbindungen weiterhin ab. |
| • | Systemverbindungen vom lokalen Host werden von ISA Server ebenfalls weiterhin bedient. |
Bevor ISA Server eine verdächtige IP-Adresse sperrt, wird überprüft, ob die IP-Adresse manipuliert ist.
Beim Analysieren von Überflutungsangriffen ist es am wichtigsten, die IP-Adressen von Clients zu ermitteln, von denen verdächtige Verkehrsmuster generiert werden. ISA Server kann diese IP-Adressen identifizieren und Sie mithilfe von Warnungen benachrichtigen. Um eine Überladung mit Daten zu vermeiden, gibt ISA Server pro angreifender IP-Adresse nur eine einzige Warnung aus, auch wenn diese IP-Adresse ständig ein verdächtiges Verkehrsmuster (das für infizierte Clients typische Muster) generiert. Pro IP-Adresse wird nicht mehr als eine Warnung pro Minute ausgegeben, um anzuzeigen, dass eine Beschränkung überschritten wurde (bzw. dass die Beschränkung nicht mehr überschritten wird).
In ISA Server Enterprise Edition werden benutzerdefinierte Beschränkungen, die Sie zur Überflutungsreduzierung konfigurieren, auf alle Arraymitglieder angewendet. Beim Zählen von Verbindungen wird die Zahl zu Lasten derjenigen Seite der Verbindung erhöht, von der die Verbindung initiiert wurde.
DoS-Angriff auf ISA Server-Ressourcen
Bei einigen DoS-Angriffen versucht der böswillige Host, den ISA Server-Firewall durch Ausnutzung seiner Systemressourcen anzugreifen. Wenn ISA Server nur noch wenig nicht ausgelagerten Poolspeicher zur Verfügung stehen hat, dämmt es diesen Angriff ein, indem es die Leerlaufzeit bis zum Beenden der Verbindung reduziert. Wird der Angriff fortgesetzt, sperrt ISA Server eingehende neue Verbindungen, wenn ISA Server nur noch über extrem wenig nicht ausgelagerten Poolspeicher verfügt. Darüber hinaus werden von ISA Server Sitzungen getrennt, die mindestens 6 Minuten lang im Leerlauf waren.
Protokollieren von Überflutungsmanipulation
ISA Server erlaubt es, Funktionen zur Überflutungsreduzierung global zu konfigurieren. Für alle Überflutungsreduzierungen können Sie die Protokollierung des durch die Überflutungsreduzierung gesperrten Verkehrs konfigurieren.
In der folgenden Tabelle wird der vom Firewalldienst von Microsoft zurückgegebene Fehlercode angegeben, der ggf. in das Firewallprotokoll aufgenommen wird, wenn Sie die Protokollierung gesperrten Verkehrs aktivieren.
| Ergebniscode | Hexadezimal-ID | Details |
WSA_RWS_QUOTA | 0x80074E23 | Eine Verbindung wurde zurückgewiesen, da eine Quote überschritten wurde. |
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED | 0xC0040033 | Eine Verbindung wurde zurückgewiesen, da die maximale Anzahl der pro Minute erstellten Verbindungen für diese Regel überschritten wurde. |
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED | 0xC0040037 | Eine Verbindung wurde zurückgewiesen, da die maximale Verbindungsrate für einen einzelnen Client-Host überschritten wurde. |
FWX_E_DNS_QUOTA_EXCEEDED | 0xC0040035 | Eine DNS-Abfrage konnte nicht ausgeführt werden, da die Abfragebeschränkung erreicht wurde. |
So aktivieren Sie Protokollierung
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf Einstellungen zur Überflutungsreduzierung konfigurieren. |
3. | Wählen Sie auf der Registerkarte Überflutungsreduzierung die Option Durch Einstellungen zur Überflutungsreduzierung gesperrten Verkehr protokollieren aus. |
Ausnahmeliste
Einige Überflutungsreduzierungsquoten besitzen zwei Werte:
| • | Ein einzelner Wert wird auf eine Ausnahmeliste von IP-Adressen angewendet. |
| • | Ein einzelner Wert wird auf alle anderen angewendet. |
Für diese Überflutungsreduzierungen können Sie IP-Adressen festlegen, auf die diese Beschränkungen zur Überflutungsreduzierung nicht angewendet werden sollen. Diesen IP-Adressen wird eine benutzerdefinierte Beschränkung zugewiesen.
Sie können bei Bedarf eine Ausnahmeliste für veröffentlichte Server, für die Array-Verwaltung und für einige Szenarios mit Back-to-Back-Firewall konfigurieren. So könnte beispielsweise eine Ausnahmeliste für den Computersatz und die Arraymitglieder der Fernverwaltungscomputer gelten (bei ISA Server Enterprise Edition). In der Ausnahmeliste können auch IP-Adressen von Upstream- oder Downstreamproxyservern oder anderen NAT-Geräten (Routern) enthalten sein (NAT steht für „Network Address Translation“, Netzwerkadressübersetzung). Diese IP-Adressen erfordern u. U. viele Verbindungen und daher auch eine erhöhte Beschränkung.
Für die folgenden Überflutungsreduzierungen können Sie Quoten für Ausnamelisten von IP-Adressen konfigurieren:
| • | TCP-Verbindungsanforderungen pro Minute und pro IP-Adresse |
| • | Gleichzeitige TCP-Verbindungen pro IP-Adresse |
| • | HTTP-Anforderungen pro Minute und pro IP-Adresse |
| • | Gleichzeitige UDP-Verbindungen pro IP-Adresse |
Wichtig:Ein Angreifer kann einen Überflutungsangriff ausführen, indem er manipulierte IP-Adressen verwendet, die in der Ausnahmeliste enthalten sind. Um diese Gefahr zu reduzieren, wird empfohlen, dass Sie zwischen ISA Server und jeder in der Ausnahmeliste von IP-Adressen enthaltenen IP-Adresse eine IPsec (Internet Protocol Security)-Richtlinie verwenden. Durch eine IPsec-Richtlinie wird erzwungen, dass von diesen IP-Adressen eintreffender Verkehr authentifiziert wird, wodurch manipulierter Verkehr wirkungsvoll gesperrt wird.
So konfigurieren Sie IP-Ausnahmen
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf Einstellungen zur Überflutungsreduzierung konfigurieren. |
3. | Klicken Sie auf der Registerkarte IP-Ausnahmen auf Hinzufügen. |
4. | Fügen Sie im Dialogfeld Computersätze die gewünschten Computersätze hinzu. |
Pro IP-Adresse verweigerte Protokolleinträge und Warnungen
Der Mechanismus der Warnung pro IP-Adresse löst eine Warnung aus, wenn die Anzahl der verweigerten Pakete von einer bestimmten IP-Adresse einen vorher festgelegten Schwellenwert überschreitet. Sie können eine allgemeine Beschränkung konfigurieren, die für alle IP-Adressen gelten soll. Sie können auch für eine Liste bestimmter IP-Adressen benutzerdefinierte Beschränkungsausnahmen konfigurieren.
Wenn Sie diese Funktion konfigurieren, werden für alle Überflutungsreduzierungen Warnungen ausgelöst.
So konfigurieren Sie Warnungen für gesperrten Verkehr
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf Einstellungen zur Überflutungsreduzierung konfigurieren. |
3. | Klicken Sie auf der Registerkarte Überflutungsreduzierung neben Ereignisauslöser für verweigerte Pakete einstellen auf Konfigurieren. |
4. | Geben Sie im Feld Beschränkung den Grenzwert für die Überflutungsreduzierung ein. |
Konfigurieren von HTTP-Verbindungsbeschränkungen
Zusätzlich zum Reduzieren von Überflutungsangriffen und der Weitergabe von Würmern können Sie auch die Anzahl der gleichzeitig zum ISA Server-Computer zugelassenen Webproxyverbindungen beschränken. Sie können Angriffe verhindern, deren Ziel es ist, die Ressourcen des Systems zu überlasten. Dies ist insbesondere beim Veröffentlichen von Webservern nützlich. Sie können die Anzahl der Computer beschränken, die eine Verbindung herstellen dürfen, und gleichzeitig bestimmten Clients weiterhin die Verbindungsaufnahme gestatten, auch wenn dadurch die Beschränkung überschritten wird.
Sie können in der ISA Server-Verwaltung sowohl für veröffentlichte Server (im Weblistener) als auch für ausgehende Webanfragen (in einem bestimmten Netzwerk) Beschränkungen für Webproxyverbindungen konfigurieren.
Sie können Verbindungsbeschränkungen für einen bestimmten Weblistener festlegen. Weblistener werden in Webveröffentlichungsregeln verwendet, wobei ein einzelner Weblistener mehrere Regeln besitzen kann. Wenn Sie im Weblistener eine Verbindungsbeschränkung festlegen, beschränken Sie die Anzahl der zulässigen Verbindungen für die Websites, die mithilfe des betreffenden Listeners veröffentlicht werden.
Sie können eine Verbindungsbeschränkung für die Webproxyeigenschaften eines bestimmten Netzwerkobjekts festlegen. Der Webproxyfilter wickelt den ausgehenden HTTP-Verkehr auf Port 80 ab. Wenn Sie diese Verbindungsbeschränkung in einem bestimmten Netzwerk festlegen, beschränken Sie die Anzahl der gleichzeitig ausgehenden Webverbindungen, die zu jedem beliebigen Zeitpunkt in einem bestimmten Netzwerk gestattet sind.
Konfigurieren von Angriffsschutz
Zusätzlich zum Reduzieren von Überflutungsangriffen und der Weitergabe von Würmern sowie HTTP-Verbindungsbeschränkungen bietet ISA Server zahlreiche weitere Mechanismen, die Sie konfigurieren können, um Ihr Netzwerk vor Angriffen zu schützen:
| • | IP-Paketschutz |
| • | Broadcast-Schutz |
| • | DHCP-Vergiftungsschutz |
| • | Eindringversuchserkennung |
| • | Spoofermittlung |
Diese Mechanismen werden in den folgenden Abschnitten ausführlich beschrieben.
Konfigurieren von IP-Paketschutz
Sie können festlegen, wie ISA Server IP-Pakete verarbeitet, indem Sie Folgendes konfigurieren:
| • | IP-Fragmentfilterung |
| • | IP-Routing |
| • | IP-Optionen |
Konfigurieren von IP-Fragmentfilterung
Ein einzelnes IP-Datagramm kann in mehrere kleinere Datagramme aufgeteilt werden, die als IP-Fragmente bezeichnet werden. ISA Server kann diese Fragmente filtern.
Wenn ISA Server Paketfragmente filtert, werden alle fragmentierten Pakete gelöscht. Beim so genannten Teardrop-Angriff und seinen Varianten werden fragmentierte Pakete gesendet und anschließend so wieder zusammengesetzt, dass sie dem System Schaden zufügen können. Der Teardrop-Angriff funktioniert etwas anders als der Ping-of-Death-Angriff, führt aber zu ähnlichen Resultaten.
Das Teardrop-Programm erstellt IP-Fragmente, bei denen es sich um Teile eines IP-Pakets handelt, in die das ursprüngliche Paket auf seinem Weg durch das Internet aufgeteilt werden kann. Das Problem dabei ist, dass sich die Offset-Felder dieser Fragmente, die dem Zweck dienen, den im jeweiligen Fragment enthaltenen Abschnitt (in Bytes) anzugeben, überlappen.
Die Offset-Felder in zwei Fragmenten können i. d. R. beispielsweise wie folgt beschaffen sein:
Fragment 1: (offset) 100 - 300 Fragment 2: (offset) 301 - 600
Dadurch wird angegeben, dass im ersten Fragment die Bytes 100 bis 300 des ursprünglichen Pakets und im zweiten Fragment die Bytes 301 bis 600 enthalten sind.
Sich überlappende Offset-Felder könnten ungefähr folgendermaßen aussehen:
Fragment 1: (offset) 100 - 300 Fragment 2: (offset) 200 - 400
Wenn der Zielcomputer versucht, diese Pakete wieder zusammenzusetzen, wird ihm dies nicht gelingen. Der Versuch kann zur Folge haben, dass er versagt, nicht mehr reagiert oder einen Neustart ausführt.
So sperren Sie IP-Fragmente
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf IP-Einstellungen definieren. |
3. | Wählen Sie auf der Registerkarte IP-Fragmente die Option IP-Fragmente sperren aus. |
Hinweis:Fragmentfilterung kann das Audio- und Videostreaming stören. Darüber hinaus wird unter Umständen das Layer-Two-Tunneling-Protokoll (L2TP) über IPsec-Verbindungen nicht erfolgreich eingerichtet, da die Paketfragmentierung ggf. während des Zertifikatsaustauschs erfolgt. Deaktivieren Sie die Fragmentfilterung, falls Probleme mit Streamingmedien und IPsec-basierten VPN (virtuelles privates Netzwerk)-Verbindungen auftreten.
Konfigurieren von IP-Routing
Zum Schutz gegen ungerechtfertigtes Beenden von Verbindungen wird von ISA Server Folgendes implementiert:
| • | Reduzierung von Verbindungsüberflutung. ISA Server überprüft, ob die in einer Sequenz erforderlichen Dreiwegehandshake-Pakete gültig sind. Dadurch wird verhindert, dass von manipulierten Quell-IP-Adressen TCP-Verbindungen zu oder über ISA Server eingerichtet werden. |
| • | Reduzierung von RST-Angriffen. ISA Server überprüft bei RST- und SYN-Paketen die Sequenznummer. Dies mindert die Fähigkeit eines Angreifers, von anderen Clients aus bestehende Verbindungen zu beenden. |
Das zu Grunde liegende Betriebssystem verfügt ebenfalls über einen ähnlichen Mechanismus. Um den Mechanismus des Betriebssystems zu aktivieren, was im Zusammenhang mit Serververöffentlichung oder in Verkettungsszenarios nützlich ist, deaktivieren Sie die IP-Routing-Funktion von ISA Server.
Wenn IP-Routing deaktiviert ist, sendet ISA Server nur die Daten (und nicht etwa das ursprüngliche Netzwerkpaket) zum Ziel. Darüber hinaus kopiert ISA Server bei deaktiviertem IP-Routing jedes Paket und sendet es danach im Benutzermodus erneut durch den Treiber.
Wichtig:Wenn IP-Routing deaktiviert ist, erstellt ISA Server für jede Verbindung zwei zusätzliche Sockets, was einen erhöhten Ressourcenverbrauch des ISA Server-Firewalls zur Folge hat und damit ISA Server anfälliger für Überflutungsangriffe macht. Aus diesem Grund wird bei einer Deaktivierung von IP-Routing empfohlen, eigens einen Router einzusetzen, um ISA Server vor Überflutungsangriffen über eine TCP-Verbindung zu schützen.
Wenn IP-Routing aktiviert ist, arbeitet ISA Server als Router. Der Verkehr, der ISA Server durchläuft, wird im Benutzermodus zu einem gewissen Grad durch den Treiber gefiltert.
Wenn IP-Routing aktiviert ist, richtet ISA Server separate Verbindungen zwischen dem Client und dem Server ein. ISA Server analysiert die IP- und TCP-Header vollständig und rekonstruiert sie anschließend, wobei nur die Datenbestandteile übertragen werden. Falls ein böswilliger Client versucht, eine IP- oder TCP-Schwäche auszunutzen, sperrt ISA Server den Verkehr, wodurch der Verkehr den durch ISA Server geschützten Zielcomputer nicht erreicht.
So deaktivieren Sie IP-Routing
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf IP-Einstellungen definieren. |
3. | Deaktivieren Sie auf der Registerkarte IP-Routing das Kontrollkästchen IP-Routing aktivieren. |
Konfigurieren von IP-Optionen
Sie können ISA Server dafür konfigurieren, alle Pakete abzulehnen, in deren Header das Flag „IP Options“ enthalten ist.
Die problematischsten Optionen sind die Quell-Routing-Optionen. TCP/IP unterstützt Quell-Routing, das dem Sender von Netzwerkdaten erlaubt, die Pakete durch einen bestimmten Punkt im Netzwerk zu leiten. Es gibt zwei Arten von Quell-Routing:
| • | Strict Source Routing (striktes Quell-Routing). Der Absender der Daten kann die genaue Route festlegen (wird selten verwendet). |
| • | Loose Source Record Routing (ungebundenes Quelldatensatz-Routing). Der Absender kann bestimmte Router (Hops) festlegen, die das Paket passieren muss. |
Die Quell-Routing-Option im IP-Header erlaubt dem Absender, Wegwahlentscheidungen zu überschreiben, die normalerweise von den Routern zwischen dem Quell- und dem Zielcomputer getroffen werden. Sie können Quell-Routing für die Netzwerkzuordnung oder zur Fehlerbehebung von Routing- und Kommunikationsproblemen verwenden. Quell-Routing kann auch dazu verwendet werden, den Verkehr zu zwingen, eine Route zu nehmen, die eine optimale Leistung bietet.
Leider kann das Quell-Routing von Angreifern genutzt werden. So kann beispielsweise ein Eindringling das Quell-Routing dazu verwenden, Adressen im internen Netzwerk zu erreichen, die normalerweise nicht von anderen Netzwerken aus erreicht werden können, indem er den Verkehr durch einen anderen Computer leitet, der sowohl vom anderen Netzwerk als auch vom internen Netzwerk aus erreichbar ist. Dies führt praktisch zu einer Überflutung. Sie können die Leistung von ISA Server bei einer Überflutung verbessern, indem Sie die IP-Filterung von Optionen deaktivieren.
So deaktivieren Sie die IP-Filterung von Optionen
1. | Klicken Sie in der Konsolenstruktur der ISA Server-Verwaltung auf Allgemein. |
2. | Klicken Sie im Bereich „Details“ auf IP-Einstellungen definieren. |
3. | Deaktivieren Sie auf der Registerkarte IP-Optionen das Kontrollkästchen IP-Filterung von Optionen aktivieren. |
Konfigurieren von DHCP-Vergiftungsschutz
ISA Server kann ungültige DHCP-Angebote erkennen. Ein DHCP-Angebot wird nur dann als gültig betrachtet, wenn es im Bereich des Netzwerkobjekts enthalten ist, das mit dem Netzwerkadapter verknüpft ist, für den die IP-Adresse zugewiesen wurde. Wenn ein ungültiges DHCP-Angebot erkannt wird, wird vom ISA Server die Warnung Ungültiges DHCP-Angebot ausgelöst und das ungültige DHCP-Angebot ignoriert.
ISA Server schützt weiterhin vor Angriffen durch DHCP-Angebote, auch wenn Sie diese Warnung bestätigen.
Hinweis:Wenn Sie in ISA Server Enterprise Edition eine neue IP-Adresse für das interne Netzwerk akzeptieren, dann vergewissern Sie sich, dass über diese IP-Adresse auf den Konfigurationsspeicherserver zugegriffen werden kann.
ISA Server führt für jeden DHCP-Netzwerkadapter eine Liste zulässiger IP-Adressen. Die zulässigen Adressen stammen aus dem Adressensatz eines Netzwerks, in dem die Adresse des Adapters enthalten ist. Wenn ISA Server ein DHCP-Angebotspaket empfängt, wird überprüft, ob das Angebot innerhalb des Bereichs zulässiger Adressen liegt. Ist das Ergebnis dieser Überprüfung negativ, wird das Paket gelöscht und die Warnung Ungültiges DHCP-Angebot ausgelöst.
Wenn der Netzwerkadapter die angebotene Adresse empfängt, können Sie DHCP-Adressen erneuern. Wenn Sie dies tun, wird der Erzwingungsmechanismus vorübergehend deaktiviert und ein neuer ipconfig /renew-Befehl ausgegeben. Während dieses Zeitraums werden von ISA Server keine angebotenen Adressen gelöscht. Nachdem die Adapter ihre Adressen empfangen haben, reaktiviert ISA Server den Mechanismus.
In den folgenden Szenarios können DHCP-Angebote gelöscht werden:
| • | Wenn Sie zwischen zwei DHCP-Adaptern wechseln. Beispiel. Sie wechseln zwischen dem an das interne Netzwerk und dem an das externe Netzwerk angeschlossenen Adapter. |
| • | Ein DHCP-Adapter wurde in ein anderes Netzwerk verlagert. Beispiel: Der externe Netzwerkadapter von ISA Server wurde hinter einem mit dem Internet verbundenen Router an ein Heimnetzwerk angeschlossen. Wenn Sie den Router durch den externen Netzwerkadapter von ISA Server ersetzen, müssen Sie die DHCP-Adressen erneuern, um die DHCP-Zuweisung zuzulassen. |
Sobald die Zuweisung zugelassen wurde, müssen Sie sie nicht erneut zulassen.
Möglicherweise möchten Sie einen Netzwerkadapter von einem Netzwerk in ein anderes verlagern und eine vom DHCP-Server erhaltene Adresse verwenden. Vielleicht möchten Sie auch ein Angebot akzeptieren, das ISA Server grundsätzlich als ungültig betrachtet.
So akzeptieren Sie ein DHCP-Angebot
1. | Geben Sie in einer Eingabeaufforderung ipconfig /renew ein. (Sie werden eine Fehlermeldung erhalten.) |
2. | Konfigurieren Sie in der ISA Server-Verwaltung die Warnung „Ungültiges DHCP-Angebot“. |
3. | Vergewissern Sie sich, dass die IP-Adresse für den Netzwerkadapter korrekt zugewiesen ist. |
4. | Überprüfen Sie, ob das mit dem Netzwerkadapter verknüpfte Netzwerkobjekt die neue IP-Adresse verwendet. |
Konfigurieren der Eindringversuchserkennung
Der von ISA Server verwendete Mechanismus zur Eindringversuchserkennung erkennt einen Angriffsversuch gegen Ihr Netzwerk und führt bei einem Angriff eine Reihe konfigurierter Aktionen oder Warnungen aus. Um unerwünschte Eindringlinge zu erkennen, vergleicht ISA Server den Netzwerkverkehr und die Protokolleinträge mit bekannten Angriffsmethoden. Verdächtige Aktivitäten lösen Warnungen aus. Die Aktionen umfassen die Beendigung der Verbindung, die Beendigung des Dienstes, E-Mail-Warnungen und Protokolle.
In der folgenden Tabelle sind die Warnungen aufgeführt, die ISA Server auslösen kann, falls die Eindringversuchserkennung aktiviert ist.
| Angriff | Beschreibung |
Scanangriff auf alle Ports | Diese Warnung teilt Ihnen mit, dass ein Versuch unternommen wurde, auf mehr als die vorkonfigurierte Anzahl von Ports zuzugreifen. Sie können einen Schwellenwert festlegen, um die Anzahl der Ports anzugeben, auf die zugegriffen werden kann. |
Zählender Portscanangriff | Diese Warnung informiert Sie darüber, dass versucht wurde, durch Testen aller Ports auf eine Reaktion die Anzahl der auf einem Computer ausgeführten Dienste zu ermitteln. Wenn diese Warnung ausgegeben wird, sollten Sie die Quelle des Portscans identifizieren. Vergleichen Sie diese mit den Diensten, die auf dem Zielcomputer ausgeführt werden. Identifizieren Sie ferner die Quelle und die Absicht des Scanvorgangs. Überprüfen Sie die Zugriffsprotokolle auf Anzeichen eines unbefugten Zugriffs. Falls Sie Anzeichen eines unbefugten Zugriffs entdecken, sollten Sie davon ausgehen, dass das System gefährdet ist, und entsprechende Maßnahmen ergreifen. |
IP-Halbscanangriff | Diese Warnung teilt Ihnen mit, dass mehrmals der Versuch unternommen wurde, TCP-Pakete mit ungültigen Flags zu senden. Während einer normalen TCP-Verbindung initiiert die Quelle die Verbindung, indem sie ein SYN-Paket an einen Port des Zielsystems sendet. Falls ein Dienst diesen Port überwacht, antwortet er mit einem SYN/ACK-Paket. Danach antwortet der Client, der die Verbindung initiiert, mit einem ACK-Paket, und die Verbindung wird hergestellt. Falls der Zielhost nicht auf eine Verbindung am betreffenden Port wartet, antwortet er mit einem RST-Paket. Die meisten Systemprotokolle zeichnen erst dann eine abgeschlossene Verbindung auf, wenn von der Quelle das abschließende ACK-Paket eingegangen ist. Das Senden anderer Paketarten, die nicht dieser Sequenz entsprechen, kann dem Zielhost nützliche Antworten entlocken, ohne dass eine Verbindung protokolliert wird. Diese Methode wird als TCP-Halbscan oder verdeckter Scan bezeichnet, da sie keinen Protokolleintrag beim gescannten Host zur Folge hat. |
Land-Angriff | Diese Warnung teilt Ihnen mit, dass ein TCP-SYN-Paket mit manipulierter Quell-IP-Adresse und Portnummer gesendet wurde, die mit der IP-Adresse und dem Port des Ziels übereinstimmt. Wenn der Angriff gelingt, kann er zur Folge haben, dass einige TCP-Implementierungen in eine Schleife geraten, die zu einem Ausfall des Computers führt. |
Ping-of-Death-Angriff | Diese Warnung teilt Ihnen mit, dass ein IP-Fragment mit Daten empfangen wurde, deren Größe die maximale Größe für IP-Pakete übersteigt. Wenn der Angriff gelingt, entsteht ein Überlauf des Kernelpuffers, der zu einem Ausfall des Computers führt. |
UDP-Bombenangriff | Diese Warnung teilt Ihnen mit, dass der Versuch unternommen wurde, ein ungültiges UDP-Paket zu senden. Ein UDP-Paket, das in bestimmten Feldern unzulässige Werte enthält, führt bei einigen älteren Betriebssystemen beim Empfang des Pakets zu einem Ausfall. Falls der Zielcomputer versagt, ist es häufig schwierig, die Ursache zu ermitteln. |
Windows-Out-of-Band-Angriff | Diese Warnung teilt Ihnen mit, dass versucht wurde, gegen einen von ISA Server geschützten Computer einen Out-of-Band-DoS-Angriff zu unternehmen. Wenn der Angriff gelingt, führt er bei anfälligen Computern entweder zu einem Ausfall des Computers oder zu einem Verlust der Netzwerkkonnektivität. |
ISA Server verfügt über Filter zur Eindringversuchserkennung:
| • | Der DNS-Eindringversuchserkennungs-Filter arbeitet mit DNS-Serververöffentlichungsregeln. Der Filter fängt den gesamten für das öffentliche Netzwerk bestimmten eingehenden DNS-Verkehr ab und analysiert ihn. |
| • | Der POP-Eindringversuchserkennungs-Filter überprüft die Daten auf POP3-Pufferüberlaufangriffe. |
DNS-Eindringversuchserkennungs-Filter
Der DNS-Filter, der zusammen mit ISA Server installiert wird, fängt den für das öffentliche Netzwerk bestimmten DNS-Verkehr ab und analysiert ihn. Der DNS-Filter überprüft die Daten auf DNS-Längenüberlauf und kann optional auch Zonenübertragungen sperren.
Darüber hinaus können Sie konfigurieren, durch welche der folgenden DNS-Angriffe Warnungen ausgelöst werden sollen:
| • | DNS-Hostnamenüberlauf. Ein DNS-Hostnamenüberlauf tritt dann ein, wenn eine DNS-Antwort für einen Hostnamen eine bestimmte feststehende Länge (255 Byte) überschreitet. Anwendungen, von denen die Länge der Hostnamen nicht überprüft wird, lösen ggf. einen Überlauf interner Puffer aus, wenn sie diesen Hostnamen kopieren, wodurch einem Fernangreifer ermöglicht wird, auf dem Zielcomputer beliebige Befehle auszuführen. |
| • | DNS-Längenüberlauf. DNS-Antworten für IP-Adressen enthalten ein Längenfeld, das 4 Byte groß sein sollte. Wird eine DNS-Antwort mit einem größeren Wert formatiert, lösen einige Anwendungen, die DNS-Lookups ausführen, einen Überlauf interner Puffer aus, wodurch einem Fernangreifer ermöglicht wird, auf dem Zielcomputer beliebige Befehle auszuführen. ISA Server überprüft auch, ob der Wert von „RDLength“ die Größe der restlichen DNS-Antwort überschreitet. |
| • | DNS-Zonenübertragung. Eine DNS-Zonenübertragung tritt dann ein, wenn ein Clientsystem eine DNS-Clientanwendung verwendet, um Zonen von einem internen DNS-Server zu übertragen. |
POP-Eindringversuchserkennungs-Filter
Der POP-Eindringversuchserkennungs-Filter fängt den für das interne Netzwerk bestimmten POP-Verkehr ab und analysiert ihn. Der Anwendungsfilter überprüft insbesondere auf POP-Pufferüberlaufangriffe.
Ein POP-Pufferüberlaufangriff tritt dann ein, wenn ein Fernangreifer Stammzugriff auf einen POP-Server zu erlangen versucht, indem er auf dem Server einen Überlauf eines internen Puffers auslöst.
Vorkonfigurierter Angriffsschutz von ISA Server
ISA Server bietet vorkonfigurierten Schutz gegen bestimmte Angriffe. Dieser vorkonfigurierte Schutz umfasst Spoofermittlung und Broadcast-Schutz.
Diese Funktionen werden in den folgenden Abschnitten beschrieben.
Spoofermittlungswarnungen
Jedes Mal, wenn ein Netzwerkadapter ein Paket empfängt, überprüft ISA Server, ob die Quelle des Pakets manipuliert ist. ISA Server prüft nach, ob die Quell-IP-Adresse des Pakets eine für den empfangenden Netzwerkadapter gültige IP-Adresse ist. Wird die Adresse als ungültig erkannt, gibt ISA Server die Warnung aus, dass ein IP-Spoofing-Angriff unternommen wurde.
Eine IP-Adresse wird für einen bestimmten Netzwerkadapter dann als gültig erachtet, wenn die folgenden beiden Bedingungen erfüllt werden:
| • | Die IP-Adresse befindet sich im Netzwerk des Adapters, über den sie empfangen wurde. |
| • | Die Routingtabelle gibt an, dass für diese Adresse bestimmter Verkehr über einen der zu diesem Netzwerk gehörenden Adapter geleitet werden kann. |
Hinweis:Bei ISA Server Enterprise Edition wird die Spoofermittlung nicht auf Verkehr angewendet, der von einer innerhalb des Arrays liegenden Adresse kommt. Jeder Verkehr von innerhalb des Arrays liegenden Adressen wird für eine Richtlinienüberprüfung direkt zum Modul geleitet.
Betrachten Sie folgendes Szenario, in dem ein Netzwerk IP-Adressen im Bereich 10.X.X.X enthält. Die Routingtabelle zeigt Folgendes:
Network Netmask DestinationGateway interface 10.0.0.0 255.0.0.0 10.0.0.1 10.1.1.1 20.0.0.0 255.0.0.0 20.0.0.1 10.1.1.1 0.0.0.0 0.0.0.0 140.0.0.1 140.1.1.1
An Schnittstelle 10.1.1.1 empfangene Pakete mit Quell-IP-Adressen im Bereich von 10.0.0.1 bis 10.255.255.255 werden nicht als manipuliert verworfen, da diese Adressen über diese Schnittstelle zurückgeleitet werden können und zum Adressbereich des Netzwerks gehören. Pakete mit Quell-IP-Adressen, die außerhalb dieses Bereichs liegen (einschließlich des Bereichs von 20.0.0.1 bis 20.255.255.255, der über die Schnittstelle 10.1.1.1 geleitet werden kann), werden jedoch als manipuliert verworfen, da sie nicht zum Netzwerk gehören.
ISA Server stellt auch sicher, dass alle Pakete, die über einen Adapter gesendet werden, eine gültige Ziel-IP-Adresse besitzen. Dadurch wird verhindert, dass Pakete im Falle eines Konfigurationsproblems der Routingtabelle über die falschen Adapter geleitet werden.
Bei Ermittlung eines manipulierten Pakets löst ISA Server eine Warnung aus, in der angegeben wird, aus welchem Grund das Paket als manipuliert betrachtet wird. Sie sollten diese Warnung gründlich prüfen und versuchen, das Problem durch eine der folgenden Maßnahmen zu beheben:
| • | Beheben potenzieller Konfigurationsfehler. Stellen Sie sicher, dass Pakete von der betreffenden IP-Adresse als manipuliert betrachtet werden. Ist dies nicht der Fall, dann finden Sie heraus, weshalb ISA Server diese Pakete als manipuliert einstuft. |
| • | Sperren des Verkehrs von der IP-Adresse. Falls Verkehr von der IP-Adresse als manipuliert betrachtet werden soll, dann sperren Sie jeglichen Zugriff von dieser IP-Adresse. |
Broadcast-Schutz
Unter Broadcast versteht man das Senden einer einzelnen Nachricht (Datagramm) an mehrere Empfänger mithilfe eines verbindungslosen Protokolls wie zum Beispiel UDP. Es gibt drei Arten von Broadcastadressen:
| • | Beschränkte Broadcastadresse. Die beschränkte Broadcastadresse lautet 255.255.255.255. |
| • | Netzwerkbroadcastadresse. Die Netzwerkbroadcastadresse hat eine nur aus 1-Bits bestehende IP-Adresse und eine bestimmte Netzwerkkennung. Betrachten Sie beispielsweise ein Netzwerk 22.0.0.0 der Klasse A. Seine Netzwerkbroadcastadresse lautet 22.255.255.255. |
| • | Subnetzbroadcastadresse. Die Subnetzbroadcastadresse hat eine nur aus 1-Bits bestehende IP-Adresse und eine bestimmte Subnetzkennung. Betrachten Sie beispielsweise ein Netzwerk 22.0.0.0 der Klasse A mit der Subnetzmaske 255.255.0.0. Die Adresse 22.0.255.255 ist eine Subnetzbroadcastadresse. |
ISA Server lässt nicht zu, dass Broadcastnachrichten zwischen Netzwerkadaptern des ISA Server-Computers gesendet werden. ISA Server bestimmt, ob auf Broadcastadressen eine Regel angewendet wird:
| • | Falls die Zieladresse keine Subnetzbroadcastadresse ist, betrachtet ISA Server die Adresse als die Subnetzbroadcastadresse des Netzwerkadapters des ISA Server-Computers, auf dem das Paket empfangen wurde. |
| • | Wenn es sich bei den Paketen um eine eingehende Broadcastnachricht (zum Netzwerk des lokalen Hosts) handelt, betrachtet ISA Server das Ziel als den Netzwerkadapter des ISA Server-Computers (lokaler Host). |
| • | Wenn es sich bei den Paketen um eine ausgehende Broadcastnachricht (vom Netzwerk des lokalen Hosts) handelt, betrachtet ISA Server die Quelle als den Netzwerkadapter des ISA Server-Computers (lokaler Host). |
Angenommen, ein Dienst überwacht den UDP-Port 1500 des Netzwerks des lokalen Hosts (des ISA Server-Computers) auf dem Netzwerkadapter mit der Subnetzadresse 22.0.1.1. Um beispielsweise vom internen Netzwerk kommenden Broadcastverkehr zu diesem Dienst zuzulassen, müssen Sie eine Zugriffsregel einrichten, die auf UDP-Port 1500 den Verkehr vom internen Netzwerk zur Subnetztbroadcastadresse 22.0.255.255 zulässt. Alternativ dazu können Sie eine Zugriffsregel einrichten, die auf UDP-Port 1500 Verkehr vom internen Netzwerk zum lokalen Host zulässt.
Warnungen
ISA Server kann beim Erkennen von Angriffen Warnungen auslösen und verdächtiges Verhalten protokollieren. In diesem Abschnitt werden einige Angriffserkennungswarnungen aufgeführt.
Überflutungsreduzierungswarnungen
In der folgenden Tabelle sind alle Warnungen aufgeführt, die im Falle eines Überflutungsangriffs ausgegeben werden könnten.
| Warnungstitel | Ereignisbeschreibung |
Mangel an nicht ausgelagertem Poolspeicher | Die Größe des verfügbaren nicht ausgelagerten Poolspeichers liegt unter dem für das System definierten Minimalwert. |
Mangel an nicht ausgelagertem Poolspeicher behoben | Die Größe des verfügbaren nicht ausgelagerten Poolspeichers liegt nicht mehr unter dem für das System definierten Minimalwert. |
Beschränkung für Ressourcennutzung durch ausstehende DNS-Anforderungen überschritten | Der prozentuale Anteil der für ausstehende DNS-Anforderungen verwendeten Threads an der Gesamtanzahl der verfügbaren Threads überschreitet den für das System definierten Maximalwert. |
Beschränkung für Ressourcennutzung durch ausstehende DNS-Anforderungen nicht überschritten | Der prozentuale Anteil der für ausstehende DNS-Anforderungen verwendeten Threads an der Gesamtanzahl der verfügbaren Threads liegt unterhalb des für das System definierten Maximalwerts. Verbindungen, die eine DNS-Namensauflösung erfordern, können akzeptiert werden. |
Beschränkung für TCP-Verbindungen pro Minute von einer einzigen IP-Adresse überschritten | Die zulässige Anzahl von TCP-Verbindungen pro Minute von einer einzigen IP-Adresse wurde überschritten. |
Beschränkung für gleichzeitige TCP-Verbindungen von einer einzigen IP-Adresse überschritten | Die zulässige Anzahl gleichzeitiger TCP-Verbindungen von einer einzigen IP-Adresse wurde überschritten. |
Beschränkung für Nicht-TCP-Verbindungen von einer einzigen IP-Adresse überschritten | Die zulässige Anzahl von Nicht-TCP-Sitzungen von einer einzigen IP-Adresse wurde überschritten. |
Verbindungsbeschränkung für eine Regel wurde überschritten | Die Anzahl der durch eine einzelne Regel zugelassenen Nicht-TCP-Sitzungen pro Sekunde hat die konfigurierte Beschränkung überschritten. |
Beschränkung für verweigerte Verbindungen pro Minute von einer einzigen IP-Adresse überschritten | Die Anzahl der durch die Firewallrichtlinie gesperrten von einer einzigen IP-Adresse ausgehenden Verbindungen pro Minute hat die konfigurierte Beschränkung überschritten. |
Globale Beschränkung für verweigerte Sitzungen pro Minute überschritten | Die Gesamtanzahl der gesperrten TCP- und Nicht-TCP-Sitzungen pro Minute überschreitet die konfigurierte Beschränkung. |
Beschränkung für HTTP-Anforderungen von einer einzigen IP-Adresse überschritten | Die Anzahl der HTTP-Anforderungen pro Minute von einer einzigen IP-Adresse überschreitet die konfigurierte Beschränkung. |
In der folgenden Tabelle werden einige Ereignisse aufgeführt, die von ISA Server ausgelöst werden, wenn eine Beschränkung zur Überflutungsreduzierung überschritten wird.
| Ereignis-ID | Meldung |
15112 | Der Client <Clientname> hat seine Verbindungsbeschränkung überschritten. Die neue Verbindung wurde zurückgewiesen. |
15113 | ISA Server hat den folgenden Client getrennt: <Clientname>, da seine Verbindungsbeschränkung überschritten wurde. |
15114 | ISA Server hat eine Verbindung getrennt, da ihre Verbindungsbeschränkung überschritten wurde. |
15116 | Die Anforderung wurde verweigert, da die Anzahl der für eine Regel zulässigen Verbindungen überschritten wurde. |
15117 | Die Anforderung wurde verweigert, da die Anzahl der für die Regel <Regelname> zulässigen Verbindungen überschritten wurde. |
Die generierten ISA Server-Ereignisse können die in der folgenden Tabelle aufgeführten ISA Server-Warnungen auslösen.
| Warnung | Beschreibung |
Verbindungsbeschränkung überschritten | Die für eine IP-Adresse gültigen Verbindungsbeschränkungen wurden überschritten. |
Verbindungsbeschränkung für eine Regel wurde überschritten | Die Anzahl der für eine Regel zulässigen Verbindungen pro Sekunde wurde überschritten. |
Beschränkung für Ressourcennutzung durch ausstehende DNS-Anforderungen überschritten | Der prozentuale Anteil der für ausstehende DNS-Anforderungen verwendeten Threads an der Gesamtanzahl der verfügbaren Threads überschreitet den für das System definierten Maximalwert. |
Beschränkung für Ressourcennutzung durch ausstehende DNS-Anforderungen nicht überschritten | Der prozentuale Anteil der für ausstehende DNS-Anforderungen verwendeten Threads an der Gesamtanzahl der verfügbaren Threads liegt unterhalb des für das System definierten Maximalwerts. Verbindungen, die eine DNS-Namensauflösung erfordern, können akzeptiert werden. |
Angriffsschutzwarnungen
In der folgenden Tabelle sind Warnungen aufgeführt, die im Falle sonstiger Angriffe ausgegeben werden könnten.
| Warnungstitel | Ereignisbeschreibung |
Eindringversuchserkennung zum Schutz gegen DHCP-Vergiftung wurde deaktiviert | Der Mechanismus der Eindringversuchserkennung zum Schutz gegen DHCP-Vergiftung wurde deaktiviert. |
DNS-Eindringversuch | Ein Hostnamenüberlauf-, Längenüberlauf- oder Zonenübertragungsangriff wurde unternommen. |
DNS-Zonentransfer-Eindringversuch | Ein Zonenübertragungsangriff wurde unternommen. |
Eindringversuch erkannt | Ein externer Benutzer hat einen Eindringversuch unternommen. |
Ungültiges DHCP-Angebot | Die IP-Adresse des DHCP-Angebots ist nicht gültig. |
IP-Spoofing | Die Quelladresse des IP-Pakets ist nicht gültig. |
POP-Eindringversuch | Ein POP-Pufferüberlauf wurde erkannt. |
SYN-Angriff | ISA Server hat einen SYN-Angriff erkannt. |
Bewährte Methoden
In diesem Abschnitt werden einige praktische Richtlinien beschrieben, die Sie befolgen sollten, um ISA Server für einen optimalen Schutz Ihres Netzwerks konfigurieren zu können.
Erkennen von Überflutungsangriffen
Folgen Sie diesen Richtlinien, um zu ermitteln, ob Ihr Netzwerk einem Überflutungsangriff ausgesetzt ist:
| • | Überprüfen Sie, ob auf dem ISA Server-Computer eine plötzliche Zunahme der CPU-Nutzung, ein erhöhter Speicherverbrauch oder sehr hohe Protokollierungsraten verzeichnet wurden. Diese Symptome weisen oft darauf hin, dass ISA Server einem Überflutungsangriff ausgesetzt ist. | ||||||||
| • | Überprüfen Sie das System auf relevante Warnungen. | ||||||||
| • | Überprüfen Sie mithilfe der ISA Server-Protokolle, ob der Verkehr erwartet wird und zugelassen ist.
| ||||||||
| • | Identifizieren Sie anhand der folgenden Kriterien Clients, die möglicherweise gefährdet sind:
|
Wenn Sie feststellen, dass der ISA Server-Computer einem Überflutungsangriff ausgesetzt ist, dann ermitteln Sie mithilfe der Protokollanzeige die Quelle des angreifenden Verkehrs. Achten Sie insbesondere auf Folgendes:
| • | Protokolleinträge in Bezug auf verweigerten Verkehr. Achten Sie vor allem auf Verkehr, der verweigert wird, da die Quote überschritten wird, Pakete manipuliert sind und Pakete eine beschädigte Prüfsumme enthalten. Dies sind gewöhnlich Hinweise auf einen böswilligen Client. In ISA Server Standard Edition haben Verbindungen, die aufgrund einer Überschreitung der Verbindungsbeschränkung beendet werden, den Ergebniscode 0x80074E23. In ISA Server Enterprise Edition wird das Ergebnis in Form von Text ausgegeben, der den Grund für die Beendigung eindeutig angibt. |
| • | Protokolleinträge, die anzeigen, dass zahlreiche Verbindungen erstellt und unmittelbar danach geschlossen wurden. Dies weist häufig darauf hin, dass ein Clientcomputer einen Bereich von IP-Adressen auf eine bestimmte Schwäche absucht. |
Es wird empfohlen, die Anzahl der Verbindungen zu beschränken, da dies helfen kann, Überflutungsangriffe zu verhindern. Wenn ein UDP- oder RAW-IP-Überflutungsangriff unternommen wird, werden von manipulierten Quell-IP-Adressen viele Anforderungen gesendet, was letztendlich eine Dienstverweigerung zur Folge hat.
Reduzieren von Überflutungsangriffen
Wenn eine Warnung ausgegeben wird, dann prüfen Sie, ob Ihr Netzwerk angegriffen wird oder ob lediglich eine starke Auslastung durch gültigen Verkehr vorliegt. Falls die Beschränkung aufgrund böswilligen Verkehrs überschritten wurde, dann gehen Sie wie folgt vor:
| • | Falls der böswillige Verkehr aus dem internen Netzwerk kommt, könnte dies auf einen Virus im internen Netzwerk hinweisen. Identifizieren Sie die Quell-IP-Adresse, und unterbrechen Sie sofort die Verbindung des Computers zum Netzwerk. |
| • | Falls der böswillige Verkehr aus einem kleinen Bereich von IP-Adressen in einem externen Netzwerk kommt, dann richten Sie eine Regel ein, die einem Computersatz mit diesen Quell-IP-Adressen den Zugriff verweigert. |
| • | Falls der Verkehr aus einem großen Bereich von IP-Adressen kommt, dann analysieren Sie den Gesamtstatus Ihres Netzwerks. Ziehen Sie in Betracht, die Verbindungsbeschränkung zu senken, damit ISA Server Ihr Netzwerk besser schützen kann. |
| • | Falls die Beschränkung aufgrund einer hohen Auslastung überschritten wurde, dann ziehen Sie in Betracht, die Verbindungsbeschränkung zu erhöhen. |
Eine weitere Möglichkeit, Angriffe zu reduzieren, besteht darin, ein neues Netzwerk einzurichten. Dieses Netzwerk sollte die IP-Adressen der infizierten Clients umfassen, die Sie anhand der Protokolle und Warnungen erkannt haben. Schließen Sie danach diese IP-Adressen von den Netzwerken aus, denen sie ursprünglich angehört haben (dem internen Netzwerk). Sie erzeugen praktisch eine Nichtübereinstimmung zwischen der Routingtabelle des ISA Server-Firewalls und dem internen Netzwerk. Diese IP-Adressen werden als manipuliert betrachtet und dementsprechend wird der Verkehr zu und von diesen IP-Adressen gelöscht.
Protokollierung bei Angriffen
Bei jeder Überschreitung einer Beschränkung zur Überflutungsreduzierung gibt ISA Server eine Warnung aus, in der die IP-Adresse des angreifenden Clients angegeben wird. Gehen Sie nach dem Identifizieren der Liste der angreifenden IP-Adressen zur Vermeidung einer überflüssigen Protokollierung nach dem folgenden Verfahren vor, um die Leistung von ISA Server bei einer Überflutung zu verbessern.
So verbessern Sie die Leistung von ISA Server bei einer Überflutung
1. | Deaktivieren Sie die Protokollierung von Protokolleinträgen, die mit Überflutungen zusammenhängen. Befolgen Sie die Anleitungen im Abschnitt „Protokollieren von Überflutungsreduzierungen“ dieses Dokuments. |
2. | Deaktivieren Sie die Protokollierung. Deaktivieren Sie die Protokollierung entweder für die spezielle Regel, die der Überflutung entspricht, oder deaktivieren Sie sie generell, bis der Überflutungsangriff abgewehrt wurde. |
3. | Konfigurieren Sie die Warnungen zur Verbindungsbeschränkung (oder alle sonstigen Arten von Warnungen, die ggf. durch einen bestimmten Angriff ausgelöst werden) neu auf Manuell zurücksetzen. |
Wichtig:Wenn Sie das Protokoll für verweigerte Protokolleinträge deaktivieren, können Sie nur potenzielle Warnungen identifizieren. Die im Abschnitt Erkennen von Überflutungsangriffen dieses Dokuments aufgeführten Tipps sind nicht relevant.
Anpassen von Beschränkungen zur Überflutungsreduzierung
Es wird empfohlen, die standardmäßig vorgegebenen Beschränkungen zur Überflutungsreduzierung zu verwenden. Diese Standardeinstellungen sind jedoch in den folgenden NAT (Netzwerkadressübersetzung)-Szenarios möglicherweise nicht geeignet:
| • | Szenarios mit Back-to-Back-Umkreis. In diesem Szenario wendet der interne ISA Server-Firewall auf ausgehende Anforderungen von internen Clients NAT an, und Anforderungen werden mit der Adresse des internen ISA Server-Firewalls an den Edge-Firewall weitergeleitet. Für den Edge-Server scheinen alle Verbindungen von einem einzigen Client auszugehen. So erscheinen zum Beispiel 20 Anforderungen, die von unterschiedlichen Clients kommen, dem ISA Server-Edge-Computer als 20 Anforderungen von derselben IP-Adresse. Die standardmäßig vorgegebene Verbindungsbeschränkung für diese IP-Adresse könnte rasch überschritten sein. |
| • | Firewall- oder Webverkettungsszenario. Webverkettung leitet Webproxyanforderungen an einen Upstreamproxyserver weiter. Firewallverkettung konfiguriert den Downstream-ISA Server-Computer als SecureNAT-Client oder als Firewallclient des Upstreamproxyservers. In beiden Fällen wird auf Clientanforderungen, die an einen Upstreamserver geleitet werden, NAT angewendet. Der Upstreamserver behandelt unterschiedliche Clientanforderungen vom selben Netzwerk so, als hätten sie dieselbe IP-Adresse. Auch hier könnte die standardmäßig vorgegebene Verbindungsbeschränkung für diese IP-Adresse rasch überschritten sein. |
| • | Standort-zu-Standort-VPN-Szenario. Für Standort-zu-Standort-VPN-Verbindungen werden Verbindungsbeschränkungen erzwungen. Obwohl auf den Verkehr zwischen den Remotenetzwerken NAT angewendet wird, wird der IP-Adresse, die die internen Adressen ersetzt, automatisch eine benutzerdefinierte Beschränkung zugewiesen. Fehler aufgrund einer überschrittenen Beschränkung treten in diesem Szenario im Allgemeinen nicht auf. |
So reagieren Sie auf eine Überflutungsreduzierungswarnung
1. | Prüfen Sie, ob Ihr Netzwerk angegriffen wird oder ob lediglich eine starke Auslastung durch gültigen Verkehr vorliegt. Ermitteln Sie dies mithilfe von Netzwerküberwachungstools. | ||||||
2. | Falls die Beschränkung aufgrund einer starken Auslastung durch Nicht-TCP-Verkehr überschritten wird, dann ziehen Sie in Erwägung, eine höhere Verbindungsbeschränkung pro Regel einzustellen. Falls die Beschränkung aufgrund böswilligen Verkehrs überschritten wurde, dann gehen Sie wie folgt vor:
| ||||||
3. | Wenn Sie mehr als einen einzigen auf UDP-Basis oder RAW-IP-Basis beruhenden Dienst im externen Netzwerk veröffentlichen, sollten Sie kleinere Beschränkungen konfigurieren, um Ihr Netzwerk besser vor Überflutungsangriffen zu schützen. |