Infrastructura IT pentru întreprinderea dvs.
Măsuri suplimentare pentru a proteja împotriva atacurilor împotriva TCP
Setările TCP / IP din registru
Ecran 1. Comenzi generate pentru TCP / IP.
Ecranul 2. Controalele adaptorului specific TCP / IP.
Secțiunea TcpipParameters conține elemente care definesc comportamentul TCP / IP pentru toate interfețele. Când configurați adaptorul care furnizează comunicații TCP / IP, sistemul copiază mulți dintre acești parametri în secțiunea Interfețe a acestui adaptor. Dacă același element este inclus în TcpipParameters și în secțiunea unui adaptor specific, puteți schimba modul TCP / IP al unui adaptor individual prin editarea parametrilor corespunzători. Având în vedere modificările din registri, cu ajutorul cărora puteți reduce vulnerabilitatea sistemului, trebuie să vă amintiți despre parametrii și parametrii obișnuiți specifici fiecărui adaptor.
Dacă elementul pe care l-am menționat în secțiunea corespunzătoare lipsește, trebuie creat. La crearea înregistrărilor de regiștri, este necesar să se acorde atenție corectitudinii tipului și valorilor datelor de intrare. Este imposibil să se prevadă modul în care sistemul va reacționa (dacă răspunde deloc) la introducerea datelor incorecte. Modificările setărilor de configurare TCP vor intra în vigoare după ce sistemul este repornit.
Protecție împotriva atacului tip SYN DoS
Atacuri pe TCP SYN DoS - o arma preferata de spargeri. Înainte de a lua în considerare modalitatea de protecție împotriva acestor atacuri, trebuie să înțelegeți mecanismul TCP / IP.
Prin inițierea unei sesiuni TCP în conexiunea IP, sistemul A trimite un pachet de sincronizare (SYN) la sistemul B. Sistemul B răspunde prin trimiterea pachetului A ca confirmare pachetului SYN-ACK. Dacă sistemul B nu primește confirmarea primirii SYN-ACK din sistemul A, expedierea SYN-ACK se repetă de până la cinci ori. Fără a primi un răspuns de la sistemul A, sistemul B mărește intervalul înainte de următoarea încercare de a trimite SYN-ACK. Datorită acestor întârzieri, sistemele reușesc să stabilească o conexiune pe canalele de comunicare lentă.
Dacă sistemul A nu răspunde, după un anumit timp, sistemul B rupe conexiunea. Timeout proces poate dura 3-4 minute, la fel ca înainte de a opri o sesiune, sistemul B trebuie să fie un anumit număr de ori pentru a face apel la sistemul A. Când sistemul B se termină conexiunea, TCP eliberează resursele alocate pentru conexiunile de intrare. Procesul de eliberare a resurselor poate dura încă 3-5 minute.
Folosind comanda
Ecranul 3. Există un tip de atac SYN - DoS.
Pe sistemele care sunt conectate la Internet, acest parametru trebuie să fie setat la 1 sau 2. Ca urmare, reduce numărul de retransmisii de pachete SYN-ACK, intervalul dintre ele și, în consecință, a redus timpul alocat să aștepte pentru cererile normale si false. Pentru protecția cea mai fiabilă împotriva atacurilor SYN DoS, trebuie să atribuiți parametrului 2 o valoare.
Pentru sistemele care pot fi accesate direct de pe internet (mai ales nu sunt protejate de un firewall), elementul SynAttackProtect trebuie setat la 1 sau 2. ConsultaĠi puse în aplicare măsurile de protecție firewall împotriva atacurilor SYN, și Ping of Death poate fi furnizor. Se va aprecia că prin creșterea valorilor SynAttackProtect schimbat comportamentul sistemului în prelucrarea atât normale, cât și solicitarea DoS-conexiune.
Protecție împotriva atacurilor ca Dead-Gateway
Două intrări de registry sunt asociate cu gateway-urile "moarte". Primul, DeadGWDetectDefault, este situat în secțiunea TcpipParameters și definește modul standard pentru detectarea unui gateway "mort". Se utilizează pentru a activa și bloca procedura de căutare a gateway-urilor "moarte" în toate interfețele TCP / IP. Dacă este necesar, puteți utiliza cel de-al doilea element, EnableDeadGWDetect din secțiunea AdapterclassID din interfața Parametri interfață Tcpip, pentru a activa sau a bloca modul de detectare a porții moarte pentru un anumit adaptor. În modul de detectare a gateway-ului "mort", mecanismul TCP instruiește IP să folosească un gateway de rezervă în cazul în care TCP nu primește un răspuns de la gateway după mai multe încercări de a trimite pachetul. Dacă modul descoperire este dezactivat, atunci TCP nu poate transmite pachetele către alt gateway.
Pentru a activa sau a dezactiva manual detectarea unor gateway-uri moarte prin mecanismul TCP, trebuie să setați parametrul DeadGWDetectDefault la 0 (dezactivare) sau 1 (permite). În acest scop, adăugați sau modificați parametrul DeadGWDetect din secțiunea InterfacesadapterclassID pentru acest scop.
În cazul în care detectarea modului de blocare „mort“ este oprit, în caz de defecțiune a mecanismului gateway-ului TCP primar poate redirecționa dinamic pachetele către alte routere. Incapacitatea de a transfera pachetele în afara subnetului local duce la deconectarea tuturor conexiunilor, cu excepția celor locale. Din acest motiv, și pentru că atacul prin poarta de acces de rezervă - eveniment este mult mai rar decât atacul SYN DoS si Ping of Death, recomand ca dezactivează detectarea „moarte“ blochează numai pe acele părți ale rețelei, care necesită o confidențialitate deosebit de stricte .
Protecția împotriva atacurilor PMTU
După cum puteți vedea din Tabelul 1, pentru o rețea de fiecare tip fizic, de exemplu Ethernet și X.25, dimensiunea maximă a cadrului, numită Unitate de transmisie maximă (MTU), este dimensiunea maximă a blocului de date transmis. Acesta determină cantitatea de date care pot fi transmise prin rețea printr-un bloc separat. Atunci când mesajele traversează limita diferitelor tipuri de rețele (de exemplu, Ethernet și Token Ring), MTU-ul rețelei sursă poate fi mai mic sau mai mare decât MTU-ul rețelei de receptoare.
Când un pachet de rețea de 16 K traversează limita rețelei cu un MTU de 1500 de octeți, informațiile MTU sunt schimbate între computerele din ambele rețele. Apoi, aparatul de trimitere împarte (fragmente) mesajul în mai multe pachete, fiecare dintre care este atribuit un număr de secvență care determină secvența de pachete mici în mesajul original mai mare.
Amplasarea pachetelor este un factor important în degradarea performanțelor. Atunci când se împarte un pachet în mai multe fragmente, mașina de expediere consumă ciclurile și memoria procesorului, introduce numărul de ordine și transmite pachetul redus. Sistemul receptorului consumă ciclurile CPU-ului și resursele de memorie, stocând pachetele în tampon, aranjează pachetele cu numărul și restabilește cadrul.
Pentru a evita acest lucru, ar trebui să blocați procesul de determinare a PMTU. Puteți controla procesul utilizând elementul EnablePMTUDiscovery din secțiunea TcpipParameters. Parametrul este de tip REG_DWORD și poate lua valorile 0 ("false") și 1 ("true"). În mod implicit, procesul de detectare PMTU este activat.
Cu o abordare rezonabilă, interzicerea detectării PMTU poate împiedica un atacator să atribuie un MTU și, prin urmare, un PMTU, o valoare inacceptabil de mică. În același timp, un algoritm important pentru optimizarea rețelei este blocat. După întărirea modului pe un sistem care trasează mesajele de rețea, administratorul stabilește aceeași dimensiune (576 octeți) pentru toate pachetele trimise către subrețelele din afara subrețelei locale. Dimensiunea unui astfel de pachet este puțin mai mare de o treime din pachetul standard Ethernet (1500 de octeți).
Protecția împotriva atacurilor comune de refuz al serviciilor
KeepAlive are sens să se activeze pe mașinile care furnizează resurse unui număr limitat de utilizatori. KeepAlive utilizează două elemente din secțiunile TcpipParameters - KeepAliveTime și KeepAliveInterval pentru a gestiona cererile.
Un sistem cu funcția activată KeepAlive trimite pachetul ACK către mașina țintă în cazul în care conexiunea nu a fost utilizată pentru perioada de timp definită de elementul KeepAliveTime. Valoarea standard a KeepAliveTime este de 7.200.000 ms (2 ore). Dacă mașina de la distanță răspunde la mesajul KeepAlive, dar în caz contrar conexiunea nu este activă, sistemul sursă va trimite următoarea solicitare ACK după 2 ore.
Dacă sistemul sursă nu primește un răspuns, acesta replică solicitarea ACK în intervalul de timp specificat de parametrul KeepAliveInterval. Valoarea standard a KeepAliveInterval este de 1000 ms (1 s). Sistemul sursă înaintează până la cinci interogări către sistemul la distanță la intervale de câte o secundă (numărul de reîncercări este determinat de elementul TCPMaxDataRetransmissions din secțiunea TcpipParameters). Dacă sistemul de la distanță nu răspunde după numărul maxim de încercări, sistemul sursă închide conexiunea.
Valoarea KeepAliveTime poate fi redusă de la 2 ore la 30-45 de minute pentru a închide rapid conexiunile TCP neutilizate și pentru a elibera resurse pentru alți utilizatori. Rețineți că acest parametru afectează toate conexiunile TCP, inclusiv cele locale, deci trebuie să cântăriți cu atenție consecințele acestei modificări. Pentru a proteja împotriva atacurilor DoS, dezvoltatorii Microsoft recomandă reducerea KeepAliveTime la 300.000 ms (5 minute). Cu excepția cazurilor speciale, se recomandă utilizarea valorii standard a KeepAliveInterval (1 s).
Prevenirea atacurilor asupra NetBT Name-Release
Folosind comanda Nbstat -n, puteți verifica dacă există de fapt un conflict de nume. Această comandă afișează numele NetBIOS înregistrate curent marcate Conflict pentru nume conflictuale.
Buletinul Microsoft Security Bulletin MS00-047 (patch pentru «NetBIOS Name Server Protocol Spoofing» Vulnerabilitate) avertizează că, atunci când elementul de activare NoNameReleaseOnDemand în jurnalul de evenimente in mai multe rapoarte despre ID-ul evenimentului 4320. Sistemul va înregistra mesajul cu acest număr de identificare de fiecare dată când primiți o cerere de difuzare pentru a elibera numele grupurilor de eșantioane. Aceste cereri provin de la sisteme care au înregistrat deja nume de grup și nume de lansare în timpul procesului de închidere standard. Mesajele pot fi ignorate.
Securitate maximă
Tehnicile descrise în acest articol vizează sisteme cu destinație specială care conțin informații confidențiale. Cu ajutorul acestora, puteți îmbunătăți toleranța la defecțiuni a sistemelor, dar există pericolul încetinirii performanțelor și a degradării funcționalității rețelei. După fiecare modificare, aparatul trebuie repornit.
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: