深入了解ISAServer***檢測及配置

---

2008-11-08 22:05:26 標簽：ISAServer ***檢測 *** 淹沒緩解 DNS***　　　 [推送到技術圈]

版權聲明：原創作品，允許轉載，轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]

深入了解ISAServer***檢測及配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> ? ISAServer的***檢測功能可以在遭受***時以右鍵通知、中斷連接、中斷所選服務、記錄***行為或執行其他指定的操作等。我分兩個方面來說：ISAServer支持的***檢測項目和啟用***檢測與報警設置。 一、ISAServer支持的***檢測項目 ISAServer支持以下幾種***檢測與數據包阻止功能： ?? 一般***的***檢測 ?? DNS***的***檢測 ?? POP***檢測 ?? 阻止包含IP選項的數據包 ?? 阻止IP片段的數據包 ?? 淹沒緩解 （一）、一般***的***檢測 ISAServer可以檢測到以下的一般***行為，并發出報警； ?? All prots scan attack ISAServer會檢測***者掃描端口的行為。可以指定端口的數量，只要被掃描的端口數量超過指定數量，就會發出報警。 ?? IP half scan attack 一個完整的連接是由提出連接請求這一端發出SYN信號、然后由被連接端發出一個響應信號SYN/ACK、最后提出一個連接請求這一端會再發出一個響應信號ACK。而一般來說，被連接端必須等收到ACK信號后，這個連接操作才算完成，被連接端才會有此連接的記錄，可是IP half scan attack的***行為卻是利用故意不返回ACK信號的方式，來規避被連接端記錄此連接行為。ISAServer具備檢測此類***行為能力。 ?? Land attack 這種***行為是***者將TCP數據包內的源IP地址與端口改為欺假的源IP地址與端口，也就是它會將源IP地址、端口都改為與目的地IP地址、端口。這種***行為會造成某些系統死機。 ?? Ping of death attack ***者會發出異常的ICMP echo request數據包給被***者，此異常數據包包含大量數據，會造成某些系統死機 ?? UDP bomb attack ***者會發出不合法的UDP數據包，造成某些系統死機。 ?? Windows out-of-band attack 一個被稱為WinNuke的程序會送出Out-of-band（OOB）的數據包給被***者的端口139，這將造成被***者不是網絡不通，就是系統死機。 （二）、DNS***的***檢測 ISAServer包含的DNS篩選器可以檢測以下的DNS***行為，并發出報警； ?? DNS主機名溢出 查詢DNS主機名的響應數據包內，其主機名的字段有固定的長度，而DNS主機名溢出的***行為就是故意讓主機名超過此長度。有些應用程序不會檢查主機名長度，因此在復制主機名時會造成內部緩沖溢出，讓***者有機會執行***代碼。 ?? DNS長度溢出 查詢IP地址的DNS響應數據包內，有一個正常為4bytes的長度字段，而DNS長度溢出的***行為就是故意讓DNS響應數據包超過長度，造成有些應用程序在執行DNS查詢時發生內部緩沖溢出的現象，讓***者有機會執行***程序代碼。 ?? DNS區域轉移 它是發生在DNS客戶端應用程序與內部DNS服務器執行區域轉移操作的時候。內部DNS服務器的區域內一般含有內部網絡的重要信息，不應該被利用區域轉移的方式發送到外部。 （三）、POP***檢測 ISAServer的POP***檢測篩選器會攔截與分析送到內部網絡的POP流量，來檢查是否有POP緩沖溢出的***行為。 （四）、阻止包含IP選項的數據包 有些***行為是通過IP頭內的IP選項來***的，尤其是通過源路由選項來***內部網絡的計算機。可以設置讓ISAServer拒絕包含這類IP選項的數據包。 （五）、阻止IP片段的數據包 一個IP數據包可以被拆解為數個小的數據包來發送，這些小的數據包就是IP片段。當目的的計算機接收到這些IP片段后，會根據數據包內的offset（間距）數據來將它們重新組合成原始的數據包。例如正常的IP片段的offset數據可能是： IP片段1：offset 100－300 IP片段2：offset 301－600 表示第1個IP片段是占用原始數據包的第100到300的位置、而第2個IP片段是占用原始數據包的第301到600的位置。 IP片段的***方式就是故意讓offset數據重疊，例如； IP片段1：offset 100－300 IP片段2：offset 200－400 如此當目的地計算機收到數據后，就無法將這些IP片段組合成原始的數據包，它可能會造成計算機停止反應，甚至重新開機。 可以設置讓ISAServer阻止IP片段數據包，不過需注意啟用此功能后，可能會干擾到視/音頻流的功能，而且可能無法成功建立L2TP/IPSec ×××連接，因為在執行證書交換操作時可能會有IP片段的發生。如果有串流影音與L2TP/IP Server ×××連接問題，請不要啟用IP片段篩選功能。 （六）、淹沒緩解 它可以避免大量異常數據包通過ISAServer進入內部網絡。 二、啟用***檢測與警報設置 系統默認已經啟用了***檢測功能，而且會自動記錄***事件，除此之外我們還可以另外設置一旦發生***事件后，就自動執行指定的操作，列入發送電子郵件通知系統管理員、執行指定的程序等。 （一）、啟用***檢測 ???????? 一般***檢測與DNS***檢測的啟用設置可以通過下圖所示，選擇“配置”→“常規”→單擊“啟用***檢測和DNS***檢測”的方法。 ??? 上圖中的選項前面我已經介紹過了，再次只補充說明其中“端口掃描”處發生此端口掃描***次數后進行檢測： ?? 常用端口 也就是說只要常用的端口中有超過10個被掃描，就被視為是***行為。圖中的端口數量可自行調整。所謂常用端口為1～2048之間的TCP/UDP端口。 ?? 所有端口 也就是說所有的端口中，只要有超過20個端口被掃描，就視為***行為。圖中的端口數量可自行調整。 有一些數據包會被ISAServer丟棄，因為ISAServer檢測到這些數據包是***數據包。若要ISAServer記錄被丟棄的數據包，請選擇上圖中的“記錄丟棄的數據包”。 可以通過下圖中“DNS***”標簽來設置DNS的***檢測。 至于POP***檢測只要啟用POP***檢測篩選器即可，而系統默認已經啟用了這個篩選器，如下圖所示，由下圖中還可以看出DNS篩選器默認也被啟用了。 （二）、警報設置 一旦ISAServer檢測到***行為，系統就會發出警報，并且附帶執行警報，而這些警報可以自定義。可以通過下圖所示選擇“監視”→“警報”的方法來查看警報記錄，ISAServer會將相同類型的警報事件集合在一起，如下圖中幾個檢測到***事件被放在一起，而且系統默認是相同的事件每隔1分鐘才會記錄一次，以避免記錄太多的重復數據。 ??? 另外在“儀表盤”內也會有相關的摘要記錄。 如果在上一個警報圖片中選擇某個警報事件后單擊右方的“確認收到選擇的警報”，則它的的狀態會改為“已確認收到”，同時儀表板內就會將此事件刪除。而如果是單擊“重置選擇的警報”，則改事件會被從警報窗口內刪除。 也可以通過“開始”→“所有程序”→“事件查看器”→“應用程序”→雙擊警告事件（來源為Microsoft Firewall）的方法來產看此事件，如下圖所示： 如果要更改警報配置或者配置警報，請單擊前面警報圖片中右邊的“配置警報定義”，之后可以從下圖中看出ISAServer支持各種不同類型的警報項目。 選擇上圖中的“檢測到***”警報然后單擊“編輯”按鈕來更改其警報配置與警報動作。單擊下圖中的“事件”標簽，我來解釋圖中的部分選項設置： ?? 觸發警報之前的事件發生的次數 可以在“發生次數”處指定事件發生多少次后，才發出警報；也可以在“每秒鐘的事件數”處指定每秒發生事件多少次后，才發出警報。如果“發生次數”與“每秒鐘的事件數”處都有設置，則必須兩個條件都達到才會發出警報。 ?? 在后面每次到達閾值時，觸發警報 用來設置“每次發生次數”或“每秒鐘的事件數處”所設置的臨界值到達時，是否要發出警報： 2? 立即 表示只要前面的臨界值到達時，就立即發出警報。 2? 只有在手動重設警報時 表示必須按前面警報圖片中“重置選擇的警報”后，才會發出警報。 2? 如果在上次執行后的分鐘數超過了 前一次發出警報后，必須間隔此處所設置的事件后，才會發出警報。這是默認值，而且默認是1分鐘。 可以通過下圖中“操作”標簽來設置發生警報事件時，是否要發送電子郵件給指定的使用者、運行指定的程序、將事件記錄到Windows事件日志中、停止或啟動選擇的服務等，其中的“發送電子郵件”處需要指定用來發送電子郵件的SMTP服務器，并指定發件人與收件人。 （三）、阻止IP選項與IP片段數據包 阻止IP選項與IP片段數據包的設置方法為如下圖所示選擇“常規”→單擊“配置IP保護”。 然后就可以通過下圖中的“IP選項”標簽來啟用刷選IP選項數據包功能，系統默認已經啟用此功能，并且阻止了部分的IP選項數據包。 而啟用阻止IP片段數據包的方法是通過下圖中“IP片段”便簽來設置，系統默認并沒有啟用此功能。注意如果會有視/音頻流與L2TP/IPSec ×××連接問題，請不要啟動IP片段阻止功能。 （四）、啟用淹沒緩解功能 淹沒緩解可以便面大量異常數據包通過ISA Server進入內部網絡，其設置方法在ISA服務管理器控制臺中單擊“常規”→單擊“配置淹沒緩解設置”，然后通過下圖來進行設置。 ?? 每個IP地址每分鐘的最大TCP連接請求數 用來限制每個IP地址在每一分鐘內最多被允許的TCP連接數量。 ?? 每個IP地址的最大TCP并行連接數 用來限制每個IP地址在同一時間內最多被允許的TCP鏈接數量。 ?? 最大TCP半開連接數 用來限制最多可允許的IP hakf scan數據包數量 ?? 每個IP地址每分鐘的最大HTTP請求數 用來限制每個IP地址在每一分鐘內最多被允許的HTTP請求數量。 ?? 每個規則每分鐘的最大非TCP新會話數 用來限制每個規則、每個IP地址在每分鐘內最多被允許的非TCP新會話數量。 ?? 每個IP地址的最大UDP并行會話數 用來限制每個IP地址在同一時間內最多被允許的UDP連接數量。 ?? 指定觸發警報的拒絕數據包數 指定某一IP地址被拒絕的數據包超過指定數量時就觸發警報。 ?? 記錄被淹沒緩解設置阻止的通信 請求系統記錄因為淹沒緩解設置而被阻止的通信 可以單擊每個項目右邊的“編輯”按鈕來設置其限制值，如下圖所示，圖中限制選項用來設置限制值。如果要給予某些特定計算機不同限制值，請他哦難過圖中的自定義限制選項來設置。 而這些特定的計算機的IP地址可以通過下圖來指定添加。 好了關于ISAServer***檢測及配置，我就寫到這里。本文基本涵蓋ISAServer***檢測及配置大部分內容，希望能對大家做好ISA Server安全防護已經內網客戶端管理能有所幫助！ ? 本文出自 “周海鵬微軟技術社區” 博客，請務必保留此出處[url]http://zhouhaipeng.blog.51cto.com/447669/111153[/url]本文出自 51CTO.COM技術博客

轉載于:https://blog.51cto.com/cj2536/124749

總結

以上是生活随笔為你收集整理的ISA Server***检测及配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。