Exporter (0) Imprimer
Développer tout

Protection réseau d'ISA Server : Protection contre les attaques et les submersions

Les entreprises utilisent des outils complets afin d'analyser et de bloquer les contenus, les fichiers et les sites Web infectés pour se protéger des effets néfastes des logiciels malveillants (ou malware) et des pirates. Microsoft® Internet Security and Acceleration (ISA) Server 2006 Édition Standard et ISA Server 2006 Édition Entreprise protègent l'accès à l'aide d'outils de détection des intrusions, de limitation des submersions, de détection des usurpations et d'autres fonctions avancées de détection des attaques.

Récapitulatif des fonctions de protection réseau ISA Server 2006

Le tableau suivant récapitule la stratégie adoptée par ISA Server 2006 pour résoudre les principaux problèmes des administrateurs informatiques chargés de protégér leur environnement informatique.

Problèmes

Fonctionnalités ISA Server 2006

Propagation des vers d'utilisateur à utilisateur et de réseau à réseau affectant les utilisateurs, les partenaires et les clients.

Les quotas de connexion et la généralisation des alertes simplifiés du client IP améliorent la protection contre les vers et réduisent l'impact des ordinateurs infectés sur le réseau. Les fonctionnalités améliorées de détection des intrusions et de protection contre les submersions favorisent le blocage des attaques submersives, telles que les attaques par déni de service et les attaques par déni de service distribuées.

Protection contre le nombre croissant d'attaques sur les ressources exposées extérieurement.

La protection contre les attaques peut être facilement configurée pour protéger le réseau d'entreprise contre divers types d'attaques, notamment la pollution (poisoning) du protocole DHCP (Dynamic Host Configuration Protocol), la détection des intrusions et la fragmentation IP.

Protection requise contre les attaques ponctuelles d'usurpation d'adresses IP.

Un mécanisme anti-usurpation élaboré permet de lutter contre l'usurpation des adresses IP. ISA Server vérifie à cette fin la validité de l'adresse IP de la source du paquet.

Recherche de moyens de détection immédiate des attaques et de prise de mesures appropriées pour éviter qu'elles passent inaperçues pendant des heures, voire des jours.

La protection améliorée contre les attaques via des déclencheurs et des réponses d'alerte exhaustifs notifie rapidement les administrateurs des problèmes réseau.

Scénario : Stratégie de réduction des attaques d'ISA Server

En raison du nombre important de pirates malveillants, la capacité d'ISA Server à lutter contre les attaques est essentielle pour la protection de votre réseau. La fonctionnalité d'atténuation des attaques par défaut permet de protéger votre réseau en bloquant les tentatives d'attaque et en vous indiquant les comportements suspects.

La combinaison des fonctions de détection et d'atténuation favorise la protection de votre réseau contre de nombreuses attaques potentielles, dont certaines sont répertoriées dans le tableau suivant.

Attaque

Description

Propagation interne de vers sur TCP

Les ordinateurs clients infectés essaient de se connecter à des adresses arbitraires sur un port spécifique pour infecter les hôtes vulnérables.

Utilisation de la table de connexion

Un pirate utilise plusieurs adresses IP ou hôtes zombie pour créer un nombre excessif de connexions et saturer les ressources d'ISA Server jusqu'à empêcher sa gestion.

Exploitation du système DNS (Domain Name System) en attente lors de la propagation de vers

Des clients infectés tentent de se conecter à des adresses arbitraires sur des ports spécifiques. La stratégie d'ISA Server peut reposer sur des noms DNS. ISA Server doit donc effectuer une résolution inverse des adresses arbitraires.

Connexions TCP séquentielles lors d'attaques submersives

Un pirate utilise un hôte interne pour lancer une attaque par déni de service contre ISA Server ou un autre serveur derrière ISA Server, en ouvrant de manière séquentielle et en fermant immédiatement plusieurs connexions TCP afin de contourner le mécanisme des quotas. Ces opérations consomment une quantité importante de ressources.

DDoS HTTP (Hypertext Transfer Protocol) utilisant des connexions existantes

Un pirate envoie des requêtes HTTP à un débit élévé sur une connexion TCP persistante (Keep-Alive). Le proxy Web ISA Server doit accorder une autorisation à chaque requête. Cette opération consomme une quantité importante de ressources d'ISA Server. ISA Server possède une fonction d'atténuation principalement dédiée aux sessions HTTP, qui sont conservées pour une période fixe, avec de nombreuses connexions pour chaque session.

Imaginez un scénario dans lequel plusieurs ordinateurs du réseau d'entreprise sont infectés par un ver. Ces ordinateurs propagent le ver à travers le réseau. Tous les hôtes infectés envoient un nombre élevé de requêtes de connexion TCP à un port spécifique et à des adresses IP aléatoires afin d'identifier et d'infecter d'autres ordinateurs vulnérables.

ISA Server mesure alors le taux de connexion autorisé pour chaque adresse IP source et déclenche des alertes pour les adresses IP spécifiques appartenant à un hôte infecté. Ces alertes sont générées car l'hôte infecté a dépassé un seuil préconfiguré de connexions autorisées et refusées par minute.

Avant de bloquer cette adresse IP suspecte, ISA Server vérifie que l'adresse IP source n'est pas usurpée. S'il s'avère que l'adresse IP fait l'objet d'une utilisation malveillante, ISA Server déclenche une alerte avec des informations sur l'attaque et le pirate. À partir de ce stade, ISA Server limite le trafic en provenance de l'hôte incriminé pendant une minute. Au terme de ce délai, ISA Server autorise de nouveau le trafic en provenance de cette adresse IP. Si le seuil est encore dépassé, et que vous réinitialisez l'alerte manuellement, une alerte est de nouveau déclenchée et le trafic est bloqué.

Seules les tentatives de connexion autorisées par la stratégie de pare-feu sont comptabilisées lors du déclenchement de l'alerte. Si une tentative de connexion est refusée par la stratégie de pare-feu, ISA Server comptabilise le problème de connexion séparément et déclenche une autre alerte.

Un mécanisme de journalisation ISA Server intégré limite les ressources système consommées en journalisant le trafic des vers et en déclenchant des alertes lorsqu'une adresse IP spécifique dépasse un seuil. Ce mécanisme limite également le nombre total d'enregistrements consignés par seconde, pour le trafic bloqué par la stratégie ISA Server. ISA Server consigne les demandes refusées jusqu'à l'épuisement des ressources. ISA Server suspend alors la journalisation des paquets refusés. De plus, ISA Server peut ///être utilisé pour déclencher des alertes. C'est la raison pour laquelle ISA Server se limite à un nombre spécifique d'alertes par seconde.

Si l'adresse IP appartient à un utilisateur qui ne lance pas intentionnellement une attaque malveillante, ce dernier peut contacter le support technique pour signaler une perte de connectivité à Internet. L'ingénieur du support technique examine les alertes d'ISA Server et note que l'hôte de l'utilisateur a violé la stratégie de submersion. Un ver est localisé lors de l'inspection de l'ordinateur. Une fois le ver retiré de l'ordinateur hôte, l'hôte ne submerge plus ISA Server de requêtes. Le trafic en provenance de l'hôte n'est plus limité et le client peut accéder à Internet.

Fonctionnalités de protection réseau d'ISA Server

ISA Server permet de réduire la propagation des virus et la submersion consécutive des connexions qui représentent un enjeu récurrent pour les entreprises.

Vous pouvez configurer des fonctionnalités d'atténuation des attaques, tel que décrit dans la section Configuration des fonctionnalités d'atténuation des attaques. De plus, ISA Server comprend des fonctionnalités intégrées pour vous protéger des attaques malveillantes. Celles-ci sont décrites dans la section Protection préconfigurée contre les attaques d'ISA Server.

ISA Server déclenche des alertes en fonction de votre configuration, que vous pouvez utiliser pour suivre et atténuer les attaques. Ces alertes sont décrites dans la section Alertes.

Configuration des fonctionnalités d'atténuation des attaques

ISA Server dispose de fonctionnalités d'atténuation des attaques que vous pouvez configurer et contrôler pour protéger votre réseau des attaques malveillantes. Selon votre déploiement spécifique, vous pouvez configurer les fonctionnalités suivantes :

  • Fonctionnalités d'atténuation de la propagation des vers et des attaques submersives

  • Limites de connexion HTTP

  • Protection contre les attaques spécifiques, notamment la protection des paquets IP, la pollution DHCP et la détection des intrusions

Cette section décrit les fonctionnalités d'atténuation des attaques.

Atténuation de la propagation des vers et des attaques submersives

Un flux se produit lorsqu'un utilisateur malveillant effectue une tentative d'attaque sur un réseau par le moyen de nombreuses méthodes en évolution. Une attaque de flux peut entraîner l'une ou l'autre des réactions suivantes :

  • Surcharge du disque et consommation de ressources sur le pare-feu

  • Charge excessive du processeur

  • Forte consommation de la mémoire

  • Forte consommation de la bande passante

En configurant les paramètres d'atténuation contre les attaques de flux et la propagation de vers, vous pouvez limiter la capacité des pirates malveillants à infiltrer votre réseau d'entreprise.

ISA Server limite le nombre de connexions à n'importe quel moment spécifique. Vous pouvez configurer la limite, en définissant un nombre maximal de connexions simultanées. Lorsque le nombre maximal de connexions est atteint, toute nouvelle demande du client est refusée.

Les paramètres de configuration par défaut d'atténuation des flux contribuent à ce que ISA Server puisse continuer à fonctionner, même sous une attaque de flux. En effet, ISA Server classifie le trafic et fournit plusieurs niveaux de service pour différents types de trafic. Le trafic considéré malveillant (avec intention de provoquer une attaque de flux) peut être refusé, tandis que ISA Server continue à servir le reste du trafic.

Le tableau suivant répertorie les attaques de flux et les propagations de vers potentielles ; il décrit également brièvement le mode de protection ISA Server.

Attaque

Atténuation ISA Server

Paramètres par défaut

Attaque de flux. Une adresse IP spécifique effectue des tentatives de connexion trop nombreuses vers des adresses IP différentes trop nombreuses également. Cela entraîne un flux de tentatives et d'interruptions de connexion.

Demandes de connexion TCP par minute, par adresse IP. ISA Server réduit les attaques de flux se produisant lorsqu'une adresse IP qui attaque envoie de nombreuses demande de connexion TCP. ISA Server protège également contre les propagations de vers se produisant lorsqu'un hôte infecté analyse le réseau pour rechercher des hôtes vulnérables.

Par défaut, ISA Server limite le nombre de demandes TCP par client à 600 par minute.

Vous pouvez configurer des exceptions de limitation personnalisées pour des adresses IP spécifiques. Par défaut, la valeur de cette limite est de 6000 demandes par minute.

Attaque de flux. Une adresse IP spécifique tente de submerger ISA Server en préservant de nombreuses connexions TCP simultanément.

Connexions TCP simultanées par adresse IP. ISA Server réduit une attaque de flux TCP se produisant lorsqu'un hôte malveillant préserve de nombreuses connexions TCP avec ISA Server ou d'autres serveurs.

Par défaut, ISA Server limite le nombre de connexions TCP simultanées par client à 160.

Vous pouvez configurer des exceptions de limitation personnalisées pour des adresses IP spécifiques. Par défaut, la valeur de cette limite est de 400 connexions simultanées par client.

Attaque SYN. Il y a une tentative de submerger ISA Server avec de nombreuses connexions TCP demi-ouvertes.

Connexions TCP demi-ouvertes. ISA Server réduit les attaques SYN. Lors d'une attaque SYN, un hôte malveillant envoie des messages TCP SYN sans avoir réussi la négociation TCP.

Par défaut, ISA Server limite le nombre de connexions TCP demi-ouvertes simultanées à la moitié du nombre de connexions simultanées configurées pour les connexions TCP simultanées.

Ce paramètre par défaut ne peut pas être modifié.

Attaque DoS (HTTP). Une adresse IP spécifique tente de lancer une attaque de refus de service en envoyant de nombreuses demandes HTTP.

Demandes HTTP par minute, par adresse IP. ISA Server réduit les attaques DoS. Lors d'une attaque DoS, un hôte malveillant envoie de nombreuses demandes HTTP sur la même connexion TCP à des sites Web victimes.

Par défaut, ISA Server limite le nombre de demandes HTTP par client à 600 par minute.

Vous pouvez configurer des exceptions de limitation personnalisées pour des adresses IP spécifiques. Par défaut, la valeur de cette limite est de 6000 demandes par minute.

Attaque DoS (non TCP). Un hôte zombie tente de lancer une attaque de refus de service en envoyant de nombreuses demandes non TCP, refusées par une règle ISA Server.

Nouvelles sessions non TCP par minute, par règle. ISA Server réduit les attaques DoS non TCP. Lors d'une attaque DoS non TCP, des hôtes malveillants envoie de nombreux paquets non TCP à un serveur victime. Le trafic non TCP spécifique est autorisé par une règle ISA Server.

Par défaut, ISA Server limite le nombre de sessions non TCP par minute à 1000, pour le protocole (règle) spécifique.

Attaque de flux UDP (User Datagram Protocol) Une adresse IP spécifique tente de lancer une attaque de refus de service en ouvrant de nombreuses sessions UDP simultanées.

Sessions UDP simultanées par adresse IP. ISA Server réduit les attaques de flux UDP. Lors d'une attaque de flux UDP, un hôte malveillant envoie de nombreux messages UDP à des hôtes victimes.

Lorsqu'une attaque de flux UDP se produit, ISA Server ignore les sessions antérieures, de façon à ce que le nombre de connexions simultanées ne dépasse pas le nombre de connexions spécifié.

Par défaut, ISA Server limite le nombre de sessions UDP simultanées par adresse IP à 160.

Vous pouvez configurer des exceptions de limite personnalisées pour des adresses IP spécifiques. Par défaut, la valeur de cette limite est de 400 sessions par client.

Pour chaque limite d'atténuation de flux que vous configurez, ISA Server surveille le moment où la limite spécifiée est dépassée. En cas de dépassement du seuil, ISA Server effectue les opérations suivantes :

  • Il rejette les nouvelles demandes de connexion. Au bout d'une minute, ISA Server réinitialise le quota pour cette adresse IP. Le trafic n'est plus bloqué. Si le client dépasse encore le quota, ISA Server bloque de nouveau le trafic.

Note

Pour les connexions TCP, aucune nouvelle connexion n'est autorisée une fois que la limite d'atténuation du flux est dépassée. Pour les autres connexions (IP et UDP brut), les connexions antérieures sont interrompues lorsque la limite d'atténuation du flux est dépassée pour que de nouvelles connexions soient créées.

  • Continue à servir le trafic vers les connexions existantes.

  • Continue à servir les connexions du système à partir de l'hôte local.

Avant que ISA Server ne bloque une adresse IP spécifique, il valide que l'adresse IP n'est pas usurpée.

Lors de l'analyse d'attaques de flux, l'information la plus essentielle est l'adresse IP des clients générant des modèles de trafic suspects. ISA Server peut identifier ces adresses IP et vous aviser d'utiliser des alertes. Pour empêcher la surcharge d'informations, ISA Server génère une seule alerte par adresse IP malveillante, même si cette adresse IP génère en permanence un modèle de trafic suspect (qui est le modèle de trafic classique pour les clients infectés). Pas plus d'une alerte est générée par minute par adresse IP, pour indiquer qu'une limite a été dépassée (ou que la limite n'est plus dépassée).

Dans ISA Server Enterprise Edition, les limites personnalisées que vous configurez pour les atténuations de flux s'appliquent à tous les membres du groupe. Lors de la comptabilisation de connexions, le compte est incrémenté du côté de la connexion ayant initié la connexion.

Attaque DoS sur les ressources ISA Server

Dans certaines attaques DoS, l'hôte malveillant effectue une tentative d'attaque du pare-feu ISA Server en exploitant ses ressources système. ISA Server réduit cette attaque en limitant l'expiration de la connexion inactive, lorsqu'elle est faible sur une mémoire de réserve non paginée. Si l'attaque se poursuit, ISA Server bloque les nouvelles connexions entrantes, lorsqu'elle est extrêmement faible sur une mémoire de réserve non paginée. ISA Server déconnecte également les sessions qui sont restées inactives pendant au moins six minutes.

Manipulation de flux de journalisation

ISA Server autorise la configuration globale des fonctionnalités d'atténuation du flux. Pour chaque atténuation de flux, vous pouvez configurer la journalisation du trafic bloqué par l'atténuation du flux.

Le tableau suivant indique le code d'erreur renvoyé par le service Microsoft Pare-feu, pouvant s'afficher dans le journal du pare-feu lorsque vous activez la journalisation pour le trafic bloqué.

Code de résultat

Hex ID

Détails

WSA_RWS_QUOTA

0x80074E23

Une connexion a été refusée car un quota a été dépassé.

FWX_E_RULE_QUOTA_EXCEEDED_DROPPED

0xC0040033

Une connexion a été rejetée car le nombre maximal de connexions créées par seconde pour cette règle a été dépassé.

FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED

0xC0040037

Une connexion a été rejetée car le taux de connexions maximal pour un seul hôte client a été dépassé.

FWX_E_DNS_QUOTA_EXCEEDED

0xC0040035

Une demande DNS n'a pas pu être exécutée car la limite de demande a été atteinte.

Pour activer la journalisation
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Configure Flood Mitigation Settings.

  3. Dans l'onglet ///Flood Mitigation, sélectionnez ///Log traffic blocked by flood mitigation settings.

Liste d’exceptions

Certains quotas d'atténuation du flux possèdent deux valeurs :

  • Une valeur s'applique à une liste d'exceptions d'adresses IP.

  • Une valeur s'applique à toutes les autres.

Pour ces atténuations du flux, vous pouvez spécifier des adresses IP sur lesquelles les limites d'atténuation du flux ne doivent pas être appliquées. Une limite personnalisée va s'appliquer à ces adresses IP.

Vous pouvez configurer une liste d'exceptions pour les serveurs publiés, pour la préservation des groupes et dans certains scénarios de pare-feu. Par exemple, une liste d'exception peut s'appliquer à l'ensemble d'ordinateurs Ordinateurs de gestion à distance et aux membres du groupe (pour ISA Server Enterprise Edition). La liste d'exceptions peut aussi inclure des adresses IP de serveurs proxy en amont ou en aval, ou d'autres périphériques (routeurs) NAT (Network Address Translation). Ces adresses IP peuvent nécessiter de nombreuses connexions et donc une augmentation de la limite.

Vous pouvez configurer des quotas pour des listes d'exception d'adresse IP pour les atténuations de flux suivantes :

  • Demandes de connexion TCP par minute, par adresse IP

  • Connexions TCP simultanées par adresse IP

  • Demandes HTTP par minute, par adresse IP

  • Sessions UDP simultanées par adresse IP

Important

Un pirate peut générer une attaque de flux en utilisant des adresses IP usurpées, inclues dans la liste d'exception. Pour réduire cette menace, nous vous recommandons de déployer une stratégie IPSec (Internet Protocol security) entre ISA Server et n'importe quelle adresse IP approuvée inclue dans la liste d'exception de l'adresse IP. Une stratégie IPsec va appliquer ce trafic à partir de ces adresses IP authentifiées, bloquant par là même efficacement le trafic usurpé.

Pour configurer les exceptions IP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Configure Flood Mitigation Settings.

  3. Dans l'onglet ///IP Exceptions, cliquez sur ///Add.

  4. Dans la boîte de dialogue ///Computer sets, ajoutez les ensembles d'ordinateurs souhaités.

Entrées des journaux et alertes refusées par adresse IP

Le mécanisme d'alertes par adresse IP déclenche une alerte si le nombre de paquets refusés à partir d'une adresse IP spécifique dépasse un seuil préconfiguré. Vous pouvez configurer une limite générale à appliquer à toutes les adresses IP. Vous pouvez aussi configurer des exceptions de limite personnalisées.

Lorsque vous configurez cette fonctionnalité, des alertes sont déclenchées pour toutes les atténuations de flux.

Pour configurer des alertes pour le trafic bloqué
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Configure Flood Mitigation Settings.

  3. Dans l'onglet ///Flood Mitigation, à côté de ///Set event trigger for denied packets, cliquez sur Configurer.

  4. Dans ///Limit, saisissez la limite pour l'atténuation de flux.

Configuration de limites de connexion HTTP

En plus de l'atténuation de la propagation des vers et des attaques de flux, vous pouvez aussi limiter le nombre de connexions proxy Web autorisées simultanément sur l'ordinateur ISA Server. Vous pouvez empêcher les attaques qui surchargent les ressources du système. Cela est particulièrement utile lors de la publication de serveurs Web. Vous pouvez limiter le nombre d'ordinateurs se connectant, en autorisant des clients spécifiques à continuer à se connecter, même lorsque la limite est dépassée.

Vous pouvez configurer des limites de connexion proxy Web dans ISA Server Management, pour les serveurs publiés (sur un port d’écoute Web) et pour les demandes Web sortantes (sur un réseau spécifique).

Vous pouvez spécifier des limites de connexion pour un port d'écoute Web spécifique. Les ports d'écoute sont utilisés dans les règles de publication Web et un port d'écoute Web peut avoir plusieurs règles. Lorsque vous spécifiez une limite de connexion sur le port d'écoute Web, vous limitez le nombre de connexions autorisées vers des sites Web publiés utilisant le port d'écoute spécifique.

Vous pouvez spécifier une limite de connexion dans les propriétés proxy Web d'un objet réseau spécifique. Le filtrage du proxy Web traite le trafic HTTP sortant sur le port 80. Lorsque vous spécifiez cette limite de connexion sur un réseau spécifique, vous limitez le nombre de connexions Web sortantes simultanées autorisées sur un réseau spécifique à un moment donné.

Configuration de la protection contre les attaques

En plus de l'atténuation de la propagation des vers et des attaques de flux, ainsi que des limites de connexion HTTP, ISA Server inclut une série de mécanismes que vous pouvez configurer pour protéger votre réseau des attaques :

  • Protection paquet IP

  • Protection de la diffusion

  • Protection contre l'empoisonnement DHCP

  • Détection d'intrusion

  • Détection des usurpations

Les sections suivantes détaillent ces mécanismes.

Configuration de la protection du paquet IP

Vous pouvez configurer le mode de traitement des paquets IP par ISA Server, en configurant les éléments suivants :

  • Filtrage de fragment IP

  • Routage IP

  • Options IP

Configuration du filtrage de fragment IP

Un datagramme IP peut être divisé en plusieurs datagrammes plus petits, appelés fragments IP. ISA Server peut filtrer ces fragments.

Tous les paquets fragmentés sont perdus lorsque ISA Server filtre les fragments du paquet. L'attaque sous forme de larme et ses variantes implique l'envoi de paquets fragmentés pour les réassembler ensuite de façon à nuire au système. L'attaque sous forme de larme fonctionne un peu différemment du ping de la mort (ping of death), mais avec des résultats semblables.

Le programme sous forme de larme crée des fragments IP, qui sont des éléments d'un paquet IP dans lequel un paquet original peut être divisé lors d'une transmission via Internet. Le problème est que les champs décalés sur ces fragments, sensés indiquer la partie (en octets) du paquet original contenu dans le fragment, se chevauchent.

Par exemple, les champs décalés dans deux fragments doivent normalement s'afficher de la manière suivante :

Fragment 1:  (offset) 100 - 300
Fragment 2:  (offset) 301 - 600

Cela indique que le premier fragment contient les octets 100 à 300 du paquet original et le deuxième fragment contient les octets 301 à 600.

Les champs décalés de chevauchement apparaissent de la façon suivante :

Fragment 1:  (offset) 100 - 300
Fragment 2:  (offset) 200 - 400

Lorsque l'ordinateur de destination tente de réassembler ces paquets, il n'y parvient pas. Il échoue, ne répond plus ou redémarre.

Pour bloquer des fragments IP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Define IP Preferences.

  3. Dans l'onglet ///IP Fragments, sélectionnez ///Block IP fragments.

Note

Le filtrage de fragment peut interférer avec la diffusion audio et vidéo. De plus, L2TP (Layer Two Tunneling Protocol) sur les connexions IPSec ne peut pas être établi correctement car la fragmentation du paquet peut avoir lieu lors de l'échange de certificat. Désactivez le filtrage de fragment si vous avez des problèmes avec les connexions Virtual Private Network (réseau privé virtuel) basée sur IPsec et le média de diffusion.

Configuration du routage IP

Pour la protection contre l'arrêt de la connexion non garantie, ISA Server met en œuvre la procédure suivante :

  • Atténuation du flux de connexion. ISA Server atteste la validité des paquets de négociation tridirectionnelle requis dans une séquence. Cela évite l'établissement de connexions TCP vers ou via ISA Server à partir d'adresses IP source usurpées.

  • Atténuation d'attaque RST. ISA Server valide le numéro de séquence sur les paquets RST et SYN. Cela réduit la capacité des pirates à interrompre les connexions existantes d'autres clients.

Le système d'exploitation sous-jacent inclut également un mécanisme semblable. Pour activer le mécanisme du système d'exploitation, utile dans la publication de serveurs ou le chaînage de scénarios, désactivez la fonction de routage IP ISA Server.

Lorsque le routage IP est désactivé, ISA Server envoie uniquement les données (et pas le paquet réseau original) vers la destination. De plus, ISA Server copie chaque paquet et le renvoie via le pilote en mode utilisateur.

Important

Lorsque le routage IP est désactivé, ISA Server crée deux sockets supplémentaires pour chaque connexion, ce qui augmente la consommation de ressources sur le pare-feu ISA Server et l'exposition ISA Server aux attaques de flux. Pour cette raison, si vous désactivez le routage IP, nous vous recommandons de déployer un routeur pour protéger ISA Server des attaques de flux de connexion TCP.

Lorsque le routage IP est activé, ISA Server agit comme un routeur. Une partie du filtrage est effectué par le pilote en mode utilisateur sur le trafic qui transite par ISA Server.

Lorsque le routage IP est activé, ISA Server crée des connexions distinctes entre le client et le serveur. ISA Server analyse entièrement, puis reconstruit les en-têtes TCP/IP, transférant uniquement les parties des données. Si un client malveillant tente d'exploiter une vulnérabilité IP ou TCP, ISA Server bloque le trafic et ce dernier n'atteint pas l'ordinateur de destination, qui est protégé par ISA Server.

Pour désactiver le routage IP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Define IP Preferences.

  3. Dans l'onglet ///IP Routing, désactivez la case ///Enable IP routing.

Configuration des options IP

Vous pouvez configurer ISA Server pour refuser tous les paquets ayant les options d'indicateur IP dans l'en-tête.

Les options les plus problématiques sont les options de routage source. TCP/IP prend en charge le routage source, qui est un moyen pour l'expéditeur de données réseau de permettre l'acheminement des paquets à travers un point spécifique sur le réseau. Il existe deux sortes de routage source :

  • Routage source strict. L'expéditeur des données peut spécifier l'itinéraire exact (rarement utilisé).

  • Route d'enregistrement source détachée. L'expéditeur peut spécifier certains routeurs (tronçons) via lesquels le paquet doit transiter.

L'option itinéraire source dans l'en-tête IP permet à l'expéditeur de remplacer les décisions de routage normalement prises par les routeurs entre les ordinateurs source et de destination. Vous pouvez utiliser le routage source pour établir une correspondance avec le réseau ou pour résoudre les problèmes de routage et de communication. Le routage source peut aussi être utilisé pour forcer le trafic sur un itinéraire fournissant les meilleures performances.

Malheureusement, les pirates peuvent exploiter le routage source. Par exemple, un intrus peut utiliser le routage source pour atteindre des adresses sur le réseau interne qui est normalement non accessible à partir d'autres réseaux, en acheminant le trafic sur un autre ordinateur accessible à partir de l'autre réseau et du réseau interne. Cela génère essentiellement un flux. Vous pouvez améliorer les performances ISA Server lors d'un flux en désactivant le filtrage des options IP.

Pour désactiver le filtrage des options IP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

  2. Dans le volet de détails, cliquez sur ///Define IP Preferences.

  3. Dans l'onglet ///IP Options, désactivez la case ///Enable IP options filtering.

Configuration de la protection contre l'empoisonnement DHCP

ISA Server peut détecter les offres DHCP non valides. Une offre DHCP est considérée comme valide uniquement si elle est contenue dans la plage de l'objet réseau associé avec la carte réseau sur laquelle l'adresse IP a été attribuée. Lorsqu'une offre DHCP non valide est détectée, ISA Server déclenche une alerte d'offre DHCP non valide et l'ignore.

ISA Server poursuit la protection contre les attaques d'offre DHCP, même après que vous avez reconnu cette alerte.

Note

Pour ISA Server Enterprise Edition, si vous acceptez une nouvelle adresse IP pour le réseau interne, vérifiez que le serveur de stockage de configuration est accessible via cette adresse IP.

ISA Server conserve une liste d'adresses IP autorisées pour chaque carte réseau DHCP. Les adresses autorisées proviennent de l'ensemble d'adresses d'un réseau contenant l'adresse de la carte. Lorsque ISA Server reçoit un paquet d'offre DHCP, il vérifie que l'offre est dans la plage des adresses autorisées. Si la validation échoue, le paquet est perdu et une alerte d'offre DHCP non valide se déclenche.

Si la carte réseau reçoit l'adresse proposée, vous pouvez renouveler les adresses DHCP. Lors de cette action, le mécanisme d'application est provisoirement désactivé et une nouvelle commande ipconfig /renew est exécutée. Pendant cette période, aucune adresse proposée n'est perdue par ISA Server. Une fois que les cartes reçoivent leurs adresses, ISA Server réactive le mécanisme.

Les offres DHCP peuvent être perdues dans les scénarios suivants :

  • Si vous basculez entre deux cartes DHCP. Par exemple, vous basculez entre la carte connectée au réseau interne et la carte connectée au réseau externe.

  • Si une carte DHCP a été déplacée vers un réseau différent. Par exemple, la carte réseau externe ISA Server a été connectée à un réseau domestique, derrière un routeur connecté à Internet. Lorsque vous remplacez le routeur avec la carte réseau externe ISA Server, vous devez renouveler l'adresse DHCP, pour permettre l'attribution DHCP.

Une fois que l'attribution est autorisée, vous n'avez pas besoin de l'autoriser de nouveau.

Dans certains cas, vous pouvez souhaiter déplacer une carte réseau d'un réseau à un autre, à l'aide d'une adresse reçue du serveur DHCP. Vous voudrez accepter une offre que ISA Server considère généralement non valide.

Pour accepter une offre DHCP
  1. Lorsque s'affiche une invite de commande, saisissez ipconfig /renew. (Un message d'erreur apparaît.)

  2. Dans Gestion ISA Server, configurez l'alerte d'offre DHCP non valide.

  3. Vérifiez que l'adresse IP pour la carte réseau est attribuée correctement.

  4. Vérifiez que l'objet réseau associé avec la carte réseau reflète la nouvelle adresse IP.

Configuration de la détection d’intrusion

Le mécanisme de détection d'intrusion ISA Server identifie le moment où une attaque est tentée contre votre réseau et effectue un ensemble d'actions ou d'alertes configurées, le cas échéant. Pour détecter les intrus indésirables, ISA Server compare le trafic réseau et les entrées des journaux avec les méthodes d'attaque connues. Les activités suspectes déclenchent des alertes. Les actions possibles sont l'arrêt de la connexion, l'arrêt du service, les alertes par courrier électronique et la journalisation.

Le tableau suivant répertorie les alertes que ISA Server peut déclencher si la détection d'intrusion est activée.

Attaque

Description

Attaque d'analyse de tous les ports

Cette alerte vous prévient qu'une tentative a été effectuée afin d'accéder à davantage de ports que le nombre préconfiguré. Vous pouvez spécifier un seuil, en indiquant le nombre de ports pouvant être accédés.

Attaque d'analyse du port énuméré

Cette alerte vous informe qu'une tentative a été réalisée pour comptabiliser les services en exécution sur un ordinateur en recherchant une réponse sur chaque port.

Si cette alerte se produit, vous devez identifier la source de l'analyse du port. Comparez avec les services en exécution sur l'ordinateur cible. Identifiez également la source et l'objectif de l'analyse. Vérifiez les journaux d'accès pour obtenir des indications sur l'accès non autorisé. Si vous détectez des indications d'accès non autorisé, vous devez prendre en compte le système compromis et prendre les mesures nécessaires.

Attaque d'analyse de semi-balayage IP

Cette alerte vous informe que des tentatives répétées d'envoi de paquets TCP avec des indicateurs non valides ont été effectuées. Lors d'une connexion TCP normale, la source lance la connexion en envoyant un paquet SYN vers un port sur le système de destination. Si un service est à l'écoute sur ce port, le service répond avec un paquet SYN/ACK. Le client lance la connexion, puis répond avec un paquet ACK et la connexion est établie. Si l'hôte de destination n'attend pas de connexion sur le port spécifié, il répond avec un paquet RST. La plupart des journaux système ne consignent pas de connexions établies jusqu'à ce que le paquet ACK ne soit reçu de la source. L'envoi d'autres types de paquets ne suivant pas cette séquence peut provoquer des réponses utiles à partir de l'hôte cible, sans entraîner la consignation d'une connexion. On appelle cela une analyse de semi-balayage, ou analyse furtive, car aucune entrée des journaux sur l'hôte scanné n'est générée.

Attaque terrestre

Cette alerte vous informe qu'un paquet TCP SYN a été envoyé avec un numéro d'adresse IP source et de port usurpé qui correspond à celui à l'adresse IP et au port de destination. Si l'attaque est réussie, certaines implémentations TCP peuvent aller dans une boucle, provoquant une défaillance de l'ordinateur.

Attaque du ping de la mort (ping of death)

Cette alerte vous informe qu'un fragment IP a été reçu avec davantage de données que le paquet IP peut contenir au maximum. Si l'attaque est réussie, il se produit un dépassement de tampon noyau, provoquant une défaillance de l'ordinateur.

Attaque à la bombe UDP

Cette alerte vous informe qu'une tentative d'envoi de paquet UDP illégal s'est produite. Un paquet UDP construit avec des valeurs illégales dans certains champs provoque la défaillance des systèmes d'exploitation les plus anciens lors de la réception du paquet. Si une défaillance se produit sur l'ordinateur cible, il est souvent difficile d'en déterminer la cause.

Attaque hors bande Windows

Cette alerte vous informe qu'une tentative d'attaque de refus de service hors bande s'est produite contre un ordinateur protégé par ISA Server. Si l'attaque est réussie, elle provoque une défaillance de l'ordinateur ou entraîne une perte de connectivité réseau sur les ordinateurs vulnérables.

ISA Server inclut des filtres de détection d’intrusion :

  • Le filtre de détection d'intrusion DNS fonctionne selon les règles de publication du serveur DNS. Le filtre intercepte et analyse tout le trafic DNS entrant destiné au réseau publié.

  • Le filtre de détection d'intrusion POP contrôle les attaques de dépassement de tampon POP3.

Filtre de détection d'intrusion DNS

Le filtre DNS, installé avec ISA Server, intercepte et analyse le trafic DNS destiné au réseau publié. Le filtre DNS vérifie le dépassement de la longueur DNS et peut bloquer des transferts de zone.

De plus, vous pouvez configurer les alertes de déclenchement d'attaque DNS suivantes :

  • Dépassement de nom d'hôte DNS. Un dépassement de nom d'hôte DNS se produit lorsqu'une réponse DNS pour un nom d'hôte dépasse une certaine longueur fixée (255 octets). Les applications ne vérifiant pas la longueur des noms d'hôte risquent de renvoyer des tampons internes de dépassement lors de la copie de ce nom d'hôte, ce qui permet à un pirate distant d'exécuter des commandes arbitraires sur un ordinateur ciblé.

  • Dépassement de longueur DNS. Les réponses DNS pour les adresses IP contiennent un champ de longueur, qui doit être de 4 octets. En formatant une réponse DNS avec une valeur supérieure, certaines applications exécutant des recherches DNS vont provoquer un dépassement des tampons internes, permettant à un pirate distant d'exécuter des commandes arbitraires sur un ordinateur ciblé. ISA Server vérifie aussi que la valeur de RDLength ne dépasse pas la taille du reste de la réponse DNS.

  • Transfert de zone DNS. Un transfert de zone DNS se produit lorsqu'un système client utilise une application client DNS pour transférer des zones à partir d'un serveur DNS interne.

Filtre de détection d'intrusion POP

Le filtre de détection d'intrusion POP intercepte et analyse le trafic POP destiné au réseau interne. En particulier, le filtre d'application contrôle les attaques de dépassement de tampon POP.

Une attaque de dépassement de tampon POP se produit lorsqu'un pirate distant tente d'accéder à un serveur POP en provoquant le dépassement d'un tampon interne sur le serveur.

Protection préconfigurée contre les attaques ISA Server

ISA Server dispose d'une protection préconfigurée contre des attaques spécifiques. Elle comprend la détection des usurpations et la protection de la diffusion.

Ces fonctionnalités sont décrites dans les sections suivantes.

Alertes de détection des usurpations

À chaque fois qu'une carte réseau reçoit un paquet, ISA Server vérifie si la source du paquet est usurpée. ISA Server vérifie si l'adresse IP source du paquet est une adresse IP valide pour la carte réseau spécifique l'ayant reçue. Si l'adresse n'est pas considérée comme étant valide, ISA Server prévient qu'une attaque d'usurpation d’adresse IP s'est produite.

Une adresse IP est considérée comme étant valide pour une carte réseau spécifique si les conditions suivantes sont vraies :

  • L'adresse IP se trouve sur le réseau de la carte via laquelle elle a été reçue.

  • La table de routage indique que le trafic destiné à cette adresse peut être acheminé par l'une des cartes appartenant à ce réseau.

Note

Pour ISA Server Enterprise Edition, la détection des usurpations n'est pas appliquée au trafic provenant d'une adresse intergroupe. Tout le trafic provenant des adresses intergroupe est transmis directement dans le moteur pour une vérification de stratégie.

Examinez le scénario suivant, dans lequel un réseau inclut des adresses IP dans la plage 10.X.X.X. Le tableau de routage affiche les éléments suivants.

Network  Netmask   DestinationGateway interface
10.0.0.0 255.0.0.0   10.0.0.1  10.1.1.1
20.0.0.0 255.0.0.0   20.0.0.1  10.1.1.1
0.0.0.0  0.0.0.0     140.0.0.1 140.1.1.1

Les paquets reçus sur l'interface 10.1.1.1 avec des adresses IP source compris dans la plage 10.0.0.1 à 10.255.255.255 ne seront pas jetés comme étant usurpés, car ces adresses peuvent être acheminées de nouveau vers cette interface et elles appartiennent à la plage d'adresse du réseau. Cependant, les paquets dont les adresses IP source se trouvent hors de cette plage (y compris la plage 20.0.0.1 à 20.255.255.255, pouvant être acheminé via l'interface 10.1.1.1) seront perdus comme étant usurpés, car ils n'appartiennent pas au réseau.

ISA Server veille également à ce que tous les paquets envoyés via une carte disposent d'une adresse IP de destination valide. Cela empêche que des paquets soient acheminés via les mauvaises cartes en cas de problème de configuration de tableau de routage.

Lorsque ISA Server détecte un paquet usurpé, ISA Server déclenche une alerte indiquant la raison pour laquelle le paquet est considéré comme usurpé. Vous devez examiner l'alerte avec attention et tenter de résoudre le problème en effectuant l'une des actions suivantes :

  • Correction d'erreurs de configuration potentielles. Vérifiez que les paquets provenant de l'adresse IP spécifique doivent être considérés comme usurpés. S'ils ne le sont pas, déterminez pourquoi ISA Server considère qu'ils le sont.

  • Blocage du trafic à partir de l'adresse IP. Si le trafic en provenance de l'adresse IP est usurpé, bloquez tout l'accès provenant de cette adresse.

Protection de la diffusion

La diffusion est l'envoi d'un message unique (datagramme) à plusieurs destinataires, à l'aide d'un protocole sans connexion tel que UDP. Il existe trois types d'adresses de diffusion :

  • Adresse de diffusion limitée. L'adresse de diffusion limitée est 255.255.255.255.

  • Adresse de diffusion réseau. L'adresse de diffusion réseau possède une adresse IP composée uniquement de bits dont la valeur est 1 et un identifiant de réseau spécifique. Par exemple, prenez en compte un réseau de classe A 22.0.0.0. Son adresse de diffusion réseau est 22.255.255.255.

  • Adresse de diffusion de sous-réseau. L'adresse de diffusion de sous-réseau possède une adresse IP composée uniquement de bits dont la valeur est 1 et un identifiant de sous-réseau spécifique. Par exemple, prenez en compte un réseau de classe A 22.0.0.0 avec un masque de sous-réseau 255.255.0.0. L'adresse 22.0.255.255 est une diffusion de sous-réseau.

ISA Server ne permet pas que des messages de diffusion soient envoyés entre les cartes réseau sur l'ordinateur ISA Server. ISA Server détermine si une règle s'applique à des adresses de diffusion:

  • Si l'adresse de destination n'est pas une adresse de diffusion de sous-réseau, ISA Server considère l'adresse comme l'adresse de diffusion de sous-réseau de la carte réseau sur l'ordinateur ISA Server sur lequel le paquet a été reçu.

  • Si les paquets sont une diffusion entrante (vers le réseau hôte local), ISA Server considère la destination comme la carte réseau sur l'ordinateur ISA Server (hôte local).

  • S'il s'agit d'une diffusion sortante (du réseau hôte local), ISA Server considère la source comme la carte réseau sur l'ordinateur ISA Server (hôte local).

Par exemple, supposez qu'un service écoute sur le port UDP 1500 du réseau hôte local (ordinateur ISA Server) sur la carte réseau avec l'adresse de sous réseau 22.0.1.1. Pour permettre le trafic de diffusion de ce service à partir du réseau interne, par exemple, vous devez créer une règle d'accès autorisant le trafic sur le port UDP 1500 à partir du réseau interne vers l'adresse de diffusion de sous-réseau 22.0.255.255. Vous pouvez également créer une règle d'accès permettant le trafic du port UDP 1500 à partir du réseau interne vers l'hôte local.

Alertes

ISA Server peut déclencher des alertes et consigner les comportements suspects lors de la détection d'attaques. Cette section répertorie certaines alertes de détection d'attaques.

Alertes d'atténuation du flux

Le tableau suivant répertorie toutes les alertes possibles pouvant être générées en cas d'attaque de flux.

Titre de l'alerte

Description de l'événement

///Pool faible non paginé

La taille du pool non paginé gratuit est inférieur à la valeur minimale définie par le système.

///Pool faible non paginé récupéré

La taille du pool non paginé gratuit ne dépasse plus la valeur minimale définie par le système.

///Limite d'utilisation des ressources de demandes DNS en attente dépassée

Le pourcentage de threads utilisés pour les demandes DNS en attente sur le nombre total de threads disponibles dépasse la valeur maximale définie par le système.

///Utilisation des ressources de demandes DNS en attente dans le cadre de limites

Le pourcentage de threads utilisés pour les demandes DNS en attente sur le nombre total de threads disponibles est inférieur à la valeur maximale définie par le système et les connexions nécessitant une résolution de nom DNS peuvent être acceptées.

///Connexions TCP par minute à partir d'une limite d'adresse IP dépassées

Le nombre de connexions TCP par minute autorisées à partir d'une adresse IP est dépassé.

///Connexions TCP simultanées à partir d'une limite d'adresse IP dépassées

Le nombre de connexions TCP simultanées à partir d'une adresse IP est dépassé.

///Sessions Non-TCP à partir d'une limite d'adresse IP dépassées

Le nombre de sessions Non-TCP à partir d'une adresse IP est dépassé.

///La limite de connexion pour une règle a été dépassée

Le nombre de sessions Non-TCP par seconde autorisées par une règle dépasse la limite configurée.

///Denied Connections per Minute from One IP Address Limit Exceeded

Le nombre de connexions par minute en provenance d'une adresse IP bloquée par la stratégie de pare-feu dépasse la limite configurée.

///Global Denied Sessions per Minute Limit Exceeded

Le nombre total de sessions TCP et non TCP par minute dépasse la limite configurée.

///HTTP Requests from One IP Address Limit Exceeded

Le nombre de demandes HTTP par minute en provenance d'une adresse IP dépasse la limite configurée.

Le tableau suivant répertorie certains événements déclenchés par ISA Server lorsqu'une limite d'atténuation du flux est dépassée.

ID événement

Message

15112

///The client clientname exceeded its connection limit. ///The new connection was rejected.

15113

///ISA Server disconnected the following client: ///clientname because its connection limit was exhausted.

15114

///ISA Server disconnected a connection because its connection limit was exceeded.

15116

///The request was denied because the number of connections per second allowed for a rule was exceeded.

15117

///The request was denied because the number of connections per second allowed for the rulename rule was exceeded.

Les événements ISA Server générés peuvent déclencher des avertissements d'alerte ISA Server répertoriés dans le tableau suivant.

Avertissements d'alerte

Description

///Connection limit exceeded

Les limites de connexion sont dépassées pour une adresse IP.

///La limite de connexion pour une règle a été dépassée

Le nombre de connexions par seconde pour une règle est dépassé.

///Limite d'utilisation des ressources de demandes DNS en attente dépassée

Le pourcentage de threads utilisés pour les demandes DNS en attente sur le nombre total de threads disponibles dépasse la valeur maximale définie par le système.

///Pending DNS Requests Resource Usage Limit within Limits

Le pourcentage de threads utilisés pour les demandes DNS en attente sur le nombre total de threads disponibles est inférieur à la valeur maximale définie par le système, et les connexions nécessitant une résolution de nom DNS peuvent être acceptées.

Alertes de protection des attaques

Le tableau suivant répertorie les alertes pouvant être générées en cas d'autres attaques.

Titre de l'alerte

Description de l'événement

///DHCP Anti-Poisoning Intrusion Detection Disabled

Le mécanisme de détection d’intrusion contre l'empoisonnement DHCP est désactivé.

///DNS Intrusion

Un dépassement de nom d'hôte, un dépassement de longueur ou une attaque de transfert de zone s'est produit.

///DNS Zone Transfer Intrusion

Une attaque de transfert de zone s'est produite.

///Intrusion Detected

Un utilisateur externe a tenté une intrusion.

///Invalid DHCP offer

L'adresse IP de l'offre DHCP n'est pas valide.

///IP Spoofing

L'adresse source du paquet IP n'est pas valide.

///POP Intrusion

Dépassement de tampon POP détecté.

///Attaque SYN

ISA Server a détecté une attaque SYN.

Méthodes recommandées

Cette section décrit certaines instructions des méthodes recommandées que vous devez suivre pour configurer ISA Server afin de mieux protéger votre réseau.

Détection d'attaques de flux

Suivez ces instructions pour détecter si votre réseau subit une attaque de flux :

  • Vérifiez la présence d'une surcharge dans l'utilisation du processeur, une augmentation éventuelle de la consommation de la mémoire ou des taux de journalisation très élevés sur l'ordinateur ISA Server. Ces symptômes indiquent souvent que ISA Server subit une attaque de flux.

  • Vérifiez les alertes importantes.

  • Utilisez les fichiers journaux d’ISA Server pour inspecter le trafic, en validant que le trafic est normal et autorisé :

    • Inspectez le trafic initié par tout type de client (client de pare-feu, client de proxy Web, client SecureNAT, client VPN et clients externes). Validez que le trafic est normal et autorisé.

    • Inspectez le trafic quel que soit sa direction (entrant ou sortant).

  • Identifiez les clients potentiellement compromis, en fonction des critères suivants :

    • Clients produisant un volume élevé de connexions ou de demandes par seconde

    • Clients consommant de la bande passante de manière intensive (octets par seconde)

    • Clients produisant des défaillances de connexion vers différentes adresses de destination à un taux élévé

    • Clients tentant de contourner la stratégie de pare-feu ISA Server

Si vous déterminez que l'ordinateur ISA Server subit une attaque de flux, utilisez la visionneuse du journal pour trouver la source du trafic malveillant. En particulier, recherchez les éléments suivants :

  • Entrées des journaux pour trafic refusé. Apportez une attention particulière au trafic refusé pour dépassement de quota, usurpation de paquets et paquets contenant un TOTAL DE CONTRÔLE corrompu. Elles indiquent généralement la présence d'un client malveillant. Dans ISA Server Standard Edition, les connexions interrompues pour dépassement de la limite des connexions auront un code de résultat de 0x80074E23. Dans ISA Server Standard Edition, le résultat va s'afficher sous forme de texte, indiquant clairement la raison d'interruption de la connexion.

  • Les journaux indiquant plusieurs connexions créées puis fermées immédiatement. Cela indique généralement qu'un ordinateur client analyse une plage d'adresse IP pour rechercher une vulnérabilité spécifique.

Nous vous recommandons de limiter le nombre de connexions, pour empêcher les attaques de flux. Lorsqu'une attaque UDP ou flux IP brut se produit, de nombreuses demandes sont envoyées à partir d'adresses IP source usurpées, entraînant finalement un refus de service.

Atténuation des attaques de flux

Lorsqu'une alerte se produit, déterminez s'il s'agit d'une attaque sur votre réseau ou simplement d'une surcharge du trafic valide. Si la limite a été dépassée en raison de trafic malveillant, essayer les procédures suivantes :

  • Si le trafic malveillant semble provenir du réseau interne, cela peut indiquer la présence d'un virus sur le réseau interne. Identifiez l'adresse IP source et déconnectez l'ordinateur du réseau immédiatement.

  • Si le trafic malveillant semble provenir d'une plage réduite d'adresses IP sur un réseau externe, créez une règle refusant l'accès à un ensemble d'ordinateurs incluant les adresses IP source.

  • Si le trafic semble provenir d'une plage élevée d'adresses IP, évaluez le statut d'ensemble de votre réseau. Définissez une limite de connexion inférieure, de façon à ce que ISA Server puisse mieux protéger votre réseau.

  • Si la limite a été dépassé en raison d'une surcharge, définissez une limite de connexion supérieure.

La création d'un nouveau réseau constitue un autre moyen de réduire les attaques. Le réseau doit inclure les adresses IP des clients infectés, que vous avez détectées en fonction des journaux et des alertes. Ensuite, excluez ces adresses IP des réseaux auxquels ils appartiennent à l'origine (réseau interne). Vous créez essentiellement une différence entre le tableau de routage sur le pare-feu ISA Server et le réseau interne. Ces adresses IP sont considérées comme usurpées et le trafic en provenance et à destination des adresses IP est supprimé en conséquence.

Journalisation en cas d'attaque

À chaque fois qu'une limite d'atténuation de flux est dépassée, ISA Server génère une alerte, indiquant l'adresse IP du client malveillant. Après avoir identifié la liste des adresses IP malveillantes, afin d'empêcher une journalisation inutile, effectuez la procédure suivante pour améliorer les performances de ISA Server lors du flux.

Pour améliorer les performances ISA Server lors d'un flux
  1. Désactivez la journalisation des entrées des journaux liées au flux. Suivez les instructions de la section Atténuations du flux de journalisation de ce document.

  2. Désactivez la journalisation. Désactivez la journalisation sur la règle spécifique correspondant au flux ou à l'ensemble jusqu'à l'arrêt de l'attaque de flux.

  3. Reconfigurez les alertes de limite de connexion (ou tout autre type d'alerte pouvant être déclenché plusieurs fois après une attaque spécifique) sur ///Manually Reset.

Important

Lorsque vous désactivez le journal pour des entrées des journaux refusées, vous pouvez identifier uniquement les alertes potentielles. Les conseils répertoriés dans la section Détection d'attaques de flux de ce document ne sont pas importants.

Personnalisation des limites d'atténuation de flux

Nous vous recommandons d'utiliser les limites d'atténuation de flux par défaut. Cependant ces paramètres par défaut risquent de ne pas convenir dans les scénarios NAT (Network Address Translation) suivants :

  • Scénario périmétrique Dans ce scénario, le pare-feu ISA Server interne applique NAT vers les demandes sortantes des clients internes et les demandes sont transférées au pare-feu de périmètre avec l'adresse du pare-feu ISA Server interne. Sur le serveur de frontière, toutes les connexions semblent être d'un client unique. Par exemple, 20 demandes de clients différents s'affichent sur l'ordinateur ISA Server de frontière comme étant 20 demandes de la même adresse IP. La limite de connexion par défaut pour cette adresse IP peut être saturée rapidement.

  • Scénario chaînage Web ou pare-feu Le chaînage Web achemine les demandes proxy Web vers un serveur proxy en amont. Le chaînage pare-feu configure l'ordinateur ISA Server en aval comme un client SecureNAT ou Pare-feu du proxy en amont. Dans les deux cas, NAT est appliqué aux demandes client acheminées vers un serveur en amont. Le serveur en amont va prendre en compte plusieurs demandes client du même réseau comme ayant la même adresse IP. Une nouvelle fois, la limite de connexion par défaut pour cette adresse IP peut être saturée rapidement.

  • Scénario VPN site à site Les limites de connexion sont appliquées pour les connexions VPN (Virtual Pivate Network) site à site. Même si NAT est appliqué au trafic entre les réseaux à distance, une limite personnalisée est automatiquement attribuée à l'adresse IP remplaçant les adresses internes. Une erreur de limite dépassée ne se produit généralement pas lors de ce scénario.

Pour répondre à une alerte d'atténuation du flux
  1. Déterminez si votre réseau est attaqué ou s'il y a une surcharge de trafic valide. Utilisez les outils de surveillance réseau pour déterminer cette situation.

  2. Si la limite est dépassée en raison d'une surcharge de trafic non-TCP, définissez une limite de connexion par règle supérieure. Si la limite est dépassée en raison de trafic malveillant, essayer les procédures suivantes :

    • Si le trafic malveillant semble provenir du réseau interne, cela peut indiquer la présence d'un virus sur le réseau interne. Identifiez l'adresse IP source et déconnectez l'ordinateur du réseau immédiatement.

    • Si le trafic malveillant semble provenir d'une plage réduite d'adresses IP sur un réseau interne ou externe, créez une règle refusant l'accès à un ensemble d'ordinateurs incluant les adresses IP source.

    • Si le trafic semble provenir d'une plage élevée d'adresses IP, évaluez le statut d'ensemble de votre réseau. Définissez une limite de connexion beaucoup plus inférieure, de façon à ce que ISA Server puisse mieux protéger votre réseau, tout en continuant à fournir des services aux clients qui ne sont pas malveillants.

  3. Si vous publiez plus d'un service IP brut ou UDP vers le réseau externe, vous devez configurer des limites plus réduites, afin de sécuriser votre réseau contre les attaques de flux.


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft