5 lépés a biztonsághoz, ablakok pro
IT infrastruktúra az Ön vállalkozása számára
További intézkedések a TCP elleni támadásokkal szemben
TCP / IP beállításokat a rendszerleíró adatbázisban
1. képernyő: Generált vezérlők a TCP / IP számára.
2. képernyő: TCP / IP-specifikus vezérlők.
A TcpipParameters szakasz olyan elemeket tartalmaz, amelyek meghatározzák a TCP / IP viselkedését minden interfész számára. A TCP / IP kommunikációt biztosító adapter konfigurálásakor a rendszer számos ilyen paramétert átmásol ezen adapter interfészszekciójára. Ha ugyanaz az elem szerepel a TcpipParameters és egy adott adapter szakaszában, módosíthatja az egyedi illesztő TCP / IP módját a megfelelő paraméterek szerkesztésével. Figyelembe véve a rendszerleíró adatbázis módosításait, amelyekkel csökkentheti a rendszer sebezhetőségét, ne feledkezzen meg az egyes adapterekre jellemző közös paraméterekről és paraméterekről.
Ha a megfelelő szakaszban említett elem hiányzik, létre kell hozni. Rendszerleíró bejegyzések létrehozásakor figyelmet kell fordítani a bemeneti adatok típusának és értékeinek helyességére. Nem lehet megjósolni, hogy a rendszer hogyan reagál (ha egyáltalán reagál) a helytelen adatok bevitelére. A megváltozott TCP konfigurációs beállítások a rendszer újraindítása után lépnek érvénybe.
A SYN DoS típusú támadás elleni védelem
Támadás a TCP-nél SYN DoS - a betörők kedvenc fegyvere. Mielőtt megvizsgálná, hogyan védekezhet az ilyen támadásokkal szemben, meg kell értened a TCP / IP mechanizmust.
Az IP-kapcsolat TCP-munkamenetének kezdeményezésével az A rendszer szinkronizálási csomagot (SYN) küld a B rendszernek. A B rendszer válaszol, ha az A-csomagot megerősítésként elküldi a SYN-ACK csomagnak. Ha a B rendszer nem kapja meg a SYN-ACK átvételének az A rendszertől történő megerõsítését, a SYN-ACK küldését legfeljebb ötször ismételjük meg. Az A rendszerből érkező válasz hiányában a B rendszer megnöveli az intervallumot a SYN-ACK következő kísérletének megkezdése előtt. Ezeknek a késleltetéseknek köszönhetően a rendszerek lassú kommunikációs csatornákon keresztül kapcsolódnak össze.
Ha az A rendszer nem válaszol, akkor egy bizonyos idő elteltével a B rendszer megszakítja a kapcsolatot. A folyamat időtúllépés eltarthat 3-4 percig, mint korábban, hogy hagyja abba a munkamenet, B rendszerbe kell egy bizonyos számú alkalommal, hogy fellebbezni rendszer A. Ha a B rendszer bontja a kapcsolatot, TCP szabadít források a bejövő kapcsolatokat. Az erőforrások felszabadításának folyamata további 3-5 percet vesz igénybe.
A parancs használata
3. képernyő. A SYN-DoS támadási típus van.
Azon rendszerek, amelyek az internethez csatlakozik, ezt a paramétert kell beállítani, hogy az 1. vagy 2. Ennek eredményeként csökkenti az ismételt átvitelek számát SYN-ACK csomagot, az intervallum között, és ennek következtében csökken az idő lejárta várni a normál és a hamis kérelmeket. A legmegbízhatóbb védelem a SYN DoS támadások ellen, a paraméterhez 2 értéket kell rendelni.
Azoknál a rendszereknél, amelyek közvetlenül elérhető az interneten (főleg nem egy tűzfallal védett), SynAttackProtect elem kell állítani az 1. vagy 2. Consult végre a tűzfal védelmi intézkedéseket SYN támadásokat, és Ping of Death lehet a szállító. Meg kell jegyezni, hogy a SynAttackProtect értékének növekedésével a rendszer viselkedése akkor is megváltozik, ha mind a normál, mind a DoS kapcsolat kéréseket feldolgozzák.
Olyan támadások elleni védelem, mint a Dead-Gateway
Két regisztrációs bejegyzés kapcsolódik a "halott" átjárókhoz. Az első, DeadGWDetectDefault, a TcpipParameters szakaszban található, és meghatározza a "halott" átjáró észlelésének szabványos módját. Az összes TCP / IP interfészen "halott" átjárók keresésére szolgáló eljárás aktiválására és blokkolására szolgál. Szükség esetén használhatja a második elemet, az EnableDeadGWDetect-et a Tcpip Parameters Interfaces adapterclassID szakaszból, hogy aktiválja vagy blokkolja a halott kapu felismerési módját egy adott adapterhez. A "halott" átjáró felderítési módban a TCP-mechanizmus arra utasítja az IP-t, hogy biztonsági átjárót használjon, ha a TCP nem kap többféle küldési kísérletet követően az átjárót. Ha a felfedezési mód le van tiltva, akkor a TCP nem továbbíthatja a csomagokat egy másik átjáróra.
Ahhoz, hogy manuálisan engedélyezze vagy letiltsa a halott átjárók felismerését a TCP mechanizmus segítségével, a DeadGWDetectDefault paramétert 0-ra (letiltás) vagy 1-re (allow) kell beállítani. Erre a célra adja hozzá vagy módosítsa a DeadGWDetect paramétert az InterfacesadapterclassID szakaszban erre a célra.
Ha az észlelési „halott” lock üzemmód ki van kapcsolva, meghibásodása esetén az elsődleges átjáró TCP mechanizmus dinamikusan átirányított csomagokat más forgalomirányítók. A helyi alhálózaton kívüli csomagok átvitelének képtelensége az összes kapcsolat lekapcsolását eredményezi, kivéve a helyi hálózatokat. Emiatt, és azért is, mert a támadás a tartalék átjáróra - az esemény sokkal ritkább, mint a támadás SYN DoS és Ping of Death, azt javasoljuk, hogy letiltja az észlelési „halott” zárak csak azokat a részeket a hálózat, amelyek előírják különösen szigorú titoktartási .
Védelem a PMTU támadásokkal szemben
Amint az 1. táblázatból látható, az egyes fizikai típusok hálózata, például Ethernet és X.25 esetében a maximális keretméret, az úgynevezett Maximális átviteli egység (MTU), a továbbított adatblokk maximális mérete. Meghatározza az adatmennyiséget, amelyet egy külön blokkon keresztül lehet továbbítani a hálózaton keresztül. Amikor az üzenetek átkerülnek a különböző típusú hálózatok határain (például Ethernet és Token Ring), a forráshálózat MTU kisebb vagy nagyobb lehet, mint a vevőkészülék MTU-ja.
Ha egy 16K-os hálózati csomag keresztezi a hálózati határt egy 1500 bájtos MTU-vel, az MTU-információkat a két hálózat között lévő számítógépek között cserélik. Ezután a küldő gép osztja (töredék) az üzenetet több csomagba, amelyek mindegyikéhez hozzárendelt egy sorszámot, amely meghatározza a kisebb csomagok sorrendjét a nagyobb eredeti üzenetben.
A csomag fragmentációja fontos tényező a teljesítmény romlásában. Ha a csomagot több részre osztja, a küldő gép CPU-ciklust és memóriát vesz fel, beírja a sorszámot és továbbítja a csökkentett csomagot. A vevõrendszer processzor ciklusokat és memóriaforrásokat használ, csomagokat tárol a pufferben, a csomagokat sorszámmal rendezi és helyreállítja a keretet.
Ennek elkerülése érdekében tiltsuk le a PMTU meghatározásának folyamatát. A folyamatot a TcpipParameters szakasz EnablePMTUDiscovery elemével vezérelheti. A paraméter REG_DWORD típusú, és 0 ("false") és 1 ("true") értéket vehet fel. Alapértelmezés szerint a PMTU felismerési folyamat aktiválva van.
Megfelelő megközelítéssel a PMTU kimutatásának tilalma megakadályozza, hogy egy támadó egy MTU-t és egy PMTU-t egy elfogadhatatlanul kis értékhez rendeljen. Ugyanakkor a hálózati optimalizálás fontos algoritmusa blokkolva van. Miután megkeményítette a hálózati üzenetet irányító rendszer módját, a rendszergazda azonos méretű (576 byte) méretűre állítja be a helyi alhálózaton kívüli alhálózatokra küldött összes csomagot. Az ilyen csomag mérete valamivel több mint egyharmada a szabványos Ethernet csomagból (1500 bájt).
A közös szolgáltatásmegtagadási támadásokkal szembeni védelem
A KeepAlivenek érdemes aktiválni azokat a gépeket, amelyek korlátozott számú felhasználó számára biztosítanak forrásokat. A KeepAlive a TcpipParameterek - KeepAliveTime és KeepAliveInterval szakaszok két elemét használja a kérelmek kezelésére.
Az aktív funkcióval rendelkező rendszer, a KeepAlive elküldi az ACK csomagot a célgépnek, ha a kapcsolatot nem használták a KeepAliveTime elem által meghatározott ideig. A KeepAliveTime standard értéke 7,200,000 ms (2 óra). Ha a távoli gép egy KeepAlive üzenetet reagál, de egyébként a kapcsolat nem aktív, a forrásrendszer a következő ACK kérést elküldi 2 óra múlva.
Ha a forrásrendszer nem kap választ, az ACK kérést a KeepAliveInterval paraméter által megadott időintervallumon belül ismétli. A KeepAliveInterval standard értéke 1000 ms (1 s). A forrás rendszer elküldi a távoli rendszer öt kéréseket időközönként egy második (az ismétlések számát határozza meg az elem TcpMaxDataRetransmissions TcpipParameters szakasz). Ha a távoli rendszer nem reagál a maximális számú kísérlet után, a forrásrendszer bezárja a kapcsolatot.
A KeepAliveTime értéke 2 óra és 30-45 perc között csökkenthető a nem használt TCP kapcsolatok gyors bezárásához és az erőforrások felszabadításához más felhasználók számára. Ne feledje, hogy ez a paraméter az összes TCP kapcsolatot érinti, beleértve a helyieket is, ezért gondosan mérlegelni kell a változás következményeit. A DoS-támadások elleni védelem érdekében a Microsoft fejlesztői javasolják, hogy csökkentse a KeepAliveTime-et 300 000 ms-ra (5 perc). Különleges esetek kivételével a KeepAliveInterval (1 másodperces) standard értékét kell használni.
A NetBT Name-Release elleni támadások megelőzése
Az Nbstat -n paranccsal ellenőrizheti, hogy létezik-e névkonfliktus. Ezzel a paranccsal megjelenítheti az ütköző nevek ütközésével megjelölt NetBIOS neveket.
A Bulletin Microsoft Security Bulletin MS00-047 (Javítás érhető «NetBIOS Name Server Protocol Spoofing» biztonsági rés) arra figyelmeztet, hogy amikor működtető eleme NoNameReleaseOnDemand az eseménynaplóban sok tudósít az esemény azonosítója 4320 lesz a rendszer rögzíti az üzenetet az azonosító számot minden alkalommal amikor egy broadcast kérést kap a mintacsoportok nevének kiadására. Ezek a kérelmek azokról a rendszerekről származnak, amelyek a szokásos leállítási folyamat során már regisztrálták a csoportneveket és a kiadási neveket. Az üzeneteket figyelmen kívül lehet hagyni.
Maximális biztonság
Az ebben a cikkben leírt technikák különleges információs rendszereket célozzanak, amelyek bizalmas információkat tartalmaznak. Segítségükkel javíthatja a rendszerek hibatűrését, de fennáll a veszélye a teljesítmény lassításának és a hálózati működés leépítésének. Minden változtatás után a gépet újra kell indítani.
Ossza meg az anyagot kollégákkal és barátokkal