Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
5 de 5 pessoas classificaram isso como útil - Avalie este tópico

Proteção de rede do ISA Server: Proteção contra inundações e ataques

As empresas precisam eliminar os efeitos danosos de software mal-intencionado (também chamado malware) e de invasores utilizando ferramentas abrangentes para examinar e bloquear conteúdo, arquivos e sites da Web nocivos. A ajuda do Microsoft® Internet Security and Acceleration (ISA) Server 2006 Standard Edition e do ISA Server 2006 Enterprise Edition oferece proteção de acesso com detecção de intrusões, redução de inundações, detecção de falsificações e outros recursos sofisticados de detecção de ataques.

Resumo dos recursos da proteção de rede do ISA Server 2006

A tabela a seguir resume o modo como o ISA Server 2006 aborda as principais preocupações dos administradores de tecnologia da informação que precisam proteger seus ambientes de TI.

Preocupações

Recursos do ISA Server 2006

Os worms que se propagam de um usuário para outro e de rede para rede prejudicam usuários, parceiros e clientes.

O pool simplificado de alertas IP do cliente e as cotas de conexão melhoram a resiliência contra worms e minimiza o impacto dos computadores infectados na rede. Os recursos avançados de proteção contra inundações e detecção de intrusões ajudam a bloquear os ataques de inundação, como os ataques de negação de serviço (DoS) e os ataques de negação de serviço distribuída (DDoS).

O número crescente de ataques a recursos voltados para o exterior precisa ser combatido.

A proteção contra ataques pode ser facilmente configurada para proteger a rede corporativa contra uma ampla variedade de ataques, incluindo o envenenamento do Dynamic Host Configuration Protocol (DHCP), detecção de intrusões e fragmentação de IP.

A proteção é necessária contra os ataques de falsificação de IP ilegítimo.

A proteção contra a falsificação de IP é fornecida por meio de um sofisticado mecanismo anti-falsificação. O ISA Server protege contra falsificação de IP, verificando se o endereço de IP de origem do pacote é válido.

Os ataques passam despercebidos por horas, ou mesmo dias, salientando a necessidade de encontrar melhores maneiras para detectar os ataques no momento em que ocorrem e tomar as providências apropriadas.

A proteção aperfeiçoada contra ataques por meio de disparadores de alertas e respostas abrangentes pode notificar rapidamente os administradores sobre problemas de rede.

Cenário: Como o ISA Server reduz os ataques

Devido ao predomínio de hackers mal-intencionados, a capacidade do ISA Server de combater os ataques é fundamental para a sua capacidade de proteger a rede. A funcionalidade padrão de redução de ataques ajuda a proteger a rede, bloqueando as tentativas de ataques e alertando-o para comportamentos suspeitos.

Essa combinação entre detecção e redução pode ajudar a proteger sua rede contra uma gama de ataques em potencial. Alguns deles estão listados na tabela a seguir.

Ataque

Descrição

Propagação interna de worms pelo TCP

Os computadores cliente infectados tentam se conectar a endereços arbitrários em uma porta específica para infectar os hosts cuja vulnerabilidade é conhecida.

Exploração da tabela de conexões

Um invasor utiliza muitos endereços IP ou hosts zombie para criar um número excessivo de conexões, que esgotam os recursos do ISA Server até que o ISA Server não possa ser administrado.

Exploração de sistema de nome de domínio (DNS) pendente durante propagação de worm

Os clientes infectados tentam se conectar a endereços arbitrários em portas específicas. Como a diretiva do ISA Server pode ser baseada em nomes DNS, o ISA Server precisa reverter-resolver os endereços arbitrários.

Conexões TCP seqüenciais durante ataque de inundação

Um invasor utiliza um host interno para iniciar um ataque de negação de serviço contra o ISA Server ou contra outro servidor atrás do ISA Server abrindo em seqüência muitas conexões TCP e fechando-as imediatamente, para tentar desviar do mecanismos de cotas. Isso consome uma grande quantidade de recursos.

DDoS de protocolo HTTP utilizando conexões existentes

Um invasor envia solicitações de protocolo HTTP a uma taxa alta em uma conexão TCP (manutenção de funcionamento) persistente. O proxy da Web do ISA Server precisa autorizar cada solicitação. Isso consome uma grande quantidade de recursos do ISA Server. O ISA Server inclui essa redução especificamente para as sessões HTTP, mantidas em funcionamento por um período determinado, com várias conexões como parte de uma única sessão.

Considere um cenário no qual vários computadores da rede corporativa são infectados por um worm. Esses computadores propagam o worm em toda a rede. Cada host infectado produz uma alta taxa de solicitações de conexões TCP para uma porta específica e para endereços IP aleatórios, tentando encontrar outros computadores a serem infectados.

Nesse meio tempo, o ISA Server mede a taxa de conexão permitida para cada endereço IP de origem, gerando alertas sobre cada endereço IP específico pertencente a um host infectado. Esse alerta é gerado porque o host infectado excedeu um limite pré-configurado para o número de conexões permitidas e negadas por minuto.

Antes de bloquear esse endereço IP suspeito, o ISA Server verifica se o endereço IP não foi falsificado. Se o endereço IP de origem for mal-intencionado, o ISA Server aciona um alerta com as informações sobre o ataque e sobre o invasor. A partir desse ponto, o ISA Server limita o tráfego do host afetado a um por minuto. Após um minuto, o ISA Server permite novamente o tráfego do endereço IP em questão. Se o limite for excedido novamente, e se você redefinir manualmente o alerta, um alerta será gerado novamente e o tráfego será bloqueado.

Quando esse alerta é gerado, são contadas apenas as tentativas de conexão permitidas pela diretiva de firewall. Se uma tentativa de conexão é negada pela diretiva de firewall, o ISA Server conta a conexão que falhou separadamente, e gera um alerta diferente.

Um mecanismo de registro em log interno do ISA Server limita os recursos do sistema consumidos registrando o tráfego de worms, e gerando um alerta quando um limite é excedido por um endereço IP de origem específico. Esse mesmo mecanismo também limita o número total de registros por segundo, para o tráfego que é bloqueado pela diretiva do ISA Server. O ISA Server registra as solicitações negadas, até que não haja mais recursos suficientes. Nesse ponto, o ISA Server pára de registrar os pacotes negados em log. Além disso, o ISA Server pode estar trabalhando para gerar alertas. Por esse motivo, o ISA Server limita-se a um número específico de alertas por segundo.

Se o endereço IP pertencer a um usuário que não esteja iniciando um ataque mal-intencionado de propósito, o usuário poderá ligar para o suporte técnico e reclamar de perda de conectividade com a Internet. O engenheiro de suporte técnico examina os alertas do ISA Server e observa que o host do usuário violou a diretiva de inundação. Quando o computador é verificado, um worm é encontrado. Após a remoção do worm do computador host, o host não inunda mais o ISA Server com solicitações. O tráfego do host não é mais limitado, e o cliente pode acessar a Internet.

Recursos de proteção de rede do ISA Server

O ISA Server pode ajudar a reduzir os surtos de vírus e a conseqüente inundação de conexões que é uma realidade nas corporações atuais.

É possível configurar os recursos para reduzir os ataques, descritos na seção Configuração dos recursos de redução de ataques. Além disso, o ISA Server inclui recursos internos para protegê-lo contra ataques mal-intencionados. Eles são descritos naseção Proteção contra ataque pré-configurada do ISA Server .

O ISA Server gera os alertas, com base em sua configuração, que podem ser usados para controlar e reduzir os ataques. Esses alertas são detalhados na seção Alertas.

Configuração dos recursos de redução de ataques

O ISA Server inclui recursos de redução de ataques que podem ser configurados e monitorados para ajudar a garantir que sua rede permaneça protegida contra ataques mal-intencionados. Dependendo da implantação, é possível configurar os seguintes recursos:

  • Recursos de redução de ataques contra inundação e propagação de worms

  • Limites de conexão HTTP

  • Proteção contra ataques específicos, incluindo proteção de pacote IP, envenenamento de DHCP e detecção de intrusão

Esta seção descreve os recursos de redução de ataques.

Redução de ataque contra inundação e propagação de worms

Uma inundação ocorre quando um usuário mal-intencionado tenta atacar uma rede com vários métodos em evolução. Um ataque de inundação pode causar uma das seguintes reações:

  • Carga de disco pesada e consumo de recursos no firewall

  • Carga de CPU alta

  • Consumo de memória alto

  • Consumo de largura de banda de rede alto

Ao configurar as definições de redução para os ataques de inundação e propagação de worm, você pode limitar a capacidade que os invasores mal-intencionados têm de infiltrarem-se em sua rede corporativa.

O ISA Server limita o número de conexões em determinado momento. É possível configurar o limite, especificando um número máximo de conexões simultâneas. Quando o número máximo de conexões é atingido, todas as novas solicitações de cliente são negadas.

As definições de configuração padrão de redução de inundação ajudam a garantir que o ISA Server continue funcionando, mesmo em caso de ataque de inundação. Isso é realizado porque o ISA Server classifica o tráfego, e oferece níveis diferentes de serviços para tipos diferentes de tráfego. O tráfego que é considerado mal-intencionado (com a intenção de causar um ataque de inundação) pode ser negado, enquanto o ISA Server continua servindo todo o tráfego restante.

A tabela a seguir lista os ataques de inundação e as propagações de worm em potencial e descreve rapidamente o modo como o ISA Server oferece proteção.

Ataque

Redução do ISA Server

Padrões

Ataque de inundação. Um endereço IP específico tenta muitas conexões com muitos endereços IP diferentes, causando uma inundação de tentativas e encerramentos de conexões.

Solicitações de conexões TCP por minuto, por endereço IP. O ISA Server reduz os ataques de inundação que ocorrem quando um endereço IP invasor envia inúmeras solicitações de conexão TCP. O ISA Server também protege contra as propagações de worms que ocorrem quando um host infectado procura hosts vulneráveis na rede.

Por padrão, o ISA Server limita o número de solicitações TCP por cliente a 600 por minuto.

É possível configurar exceções personalizadas de limites para endereços IP específicos. Por padrão, esse limite é definido como 6.000 solicitações por minuto.

Ataque de inundação. Um endereço IP específico tenta inundar o ISA Server mantendo várias conexões TCP simultâneas.

Conexões TCP simultâneas por endereço IP. O ISA Server reduz um ataque de inundação TCP que ocorre quando um host afetado mantém inúmeras conexões TCP com o ISA Server ou com outros servidores.

Por padrão, o ISA Server limita o número de conexões simultâneas TCP por cliente a 160.

É possível configurar exceções personalizadas de limites para endereços IP específicos. Por padrão, esse limite é definido como 400 conexões simultâneas por cliente.

Ataque SYN. Existe uma tentativa de inundar o ISA Server com inúmeras conexões TCP semi-abertas.

Conexões TCP semi-abertas. O ISA Server reduz os ataques SYN. Em um ataque SYN, um host afetado envia mensagens TCP SYN sem concluir o handshake TCP.

Por padrão, o ISA Server limita o número de conexões TCP semi-abertas simultâneas à metade do número de conexões simultâneas configurado para as conexões TCP simultâneas.

Não é possível alterar esse padrão.

Ataque DoS (HTTP). Um endereço IP específico tenta iniciar um ataque de negação de serviço enviando inúmeras solicitações HTTP.

Solicitações HTTP por minuto, por endereço IP. O ISA Server reduz os ataques DoS. Em um ataque DoS, um host afetado envia inúmeras solicitações HTTP na mesma conexão TCP para sites da Web vítimas.

Por padrão, o ISA Server limita o número de solicitações HTTP por cliente a 600 por minuto.

É possível configurar exceções personalizadas de limites para endereços IP específicos. Por padrão, esse limite é definido como 6.000 solicitações por minuto.

Ataque DoS (não TCP). Um host zombie tenta iniciar um ataque de negação de serviço enviando várias solicitações não TCP, as quais são negadas por uma rega do ISA Server.

Novas sessões não TCP por minuto, por regra. O ISA Server reduz os ataques DoS não TCP. Em um ataque DoS não TCP, os hosts mal-intencionados enviam inúmeros pacotes não TCP para um servidor vítima. O tráfego não TCP específico é permitido por uma regra do ISA Server.

Por padrão, o ISA Server limita o número de sessões não TCP por minuto a 1.000 para o protocolo específico (regra).

Ataque de inundação de protocolo UDP. Um endereço IP específico tenta iniciar um ataque de negação de serviço abrindo inúmeras sessões UDP simultâneas.

Sessões UDP simultâneas por endereço IP. O ISA Server reduz os ataques de inundação UDP. Em um ataque de inundação UDP, um host afetado envia inúmeras mensagens UDP para hosts vítimas.

Quando ocorre um ataque de inundação UDP, o ISA Server descarta as sessões mais antigas, para que o número permitido de conexões especificadas simultaneamente não seja excedido.

Por padrão, o ISA Server limita o número de sessões UDP simultâneas por endereço IP a 160.

É possível configurar exceções personalizadas de limites para endereços IP específicos. Por padrão, esse limite é definido como 400 sessões por cliente.

Para cada redução de inundação que você configura, o ISA Server monitora o momento em que o limite especificado é ultrapassado. Quando esse limite é excedido, o ISA Server faz o seguinte:

  • Rejeita as novas solicitações de conexão. Após um minuto, o ISA Server redefine a cota para esse endereço IP. O tráfego não é mais bloqueado. Se o cliente exceder novamente a cota, o ISA Server bloqueará novamente o tráfego.

Observação:

Para as conexões TCP, não são permitidas novas conexões após o limite de redução de inundação ter sido excedido. Para outras conexões (IP e UDP não processados), as conexões mais antigas são encerradas quando se excede o limite de redução de inundação para que possam ser criadas novas conexões.

  • Continua servindo o tráfego para as conexões existentes.

  • Continua servindo as conexões de sistema do host local.

Antes de o ISA Server bloquear um endereço IP específico, ele verifica se o endereço IP não foi falsificado.

Ao analisar os ataques de inundação, as informações mais críticas são o endereço IP dos clientes que geram padrões suspeitos de tráfego. O ISA Server pode identificar esses endereços IP e o notifica usando alertas. Para evitar sobrecarga de informações, o ISA Server gera um único alerta por endereço IP afetado, mesmo que o endereço IP gere continuamente um padrão suspeito de tráfego (que é o padrão normal de tráfego dos clientes infectados). Um alerta é gerado não mais do que uma vez por minuto por endereço IP, indicando que um limite foi excedido (ou que o limite não está mais sendo excedido).

No ISA Server Enterprise Edition, os limites personalizados que você configura para reduções de inundação aplicam-se a todos os membros da matriz. Ao contar as conexões, a contagem é aumentada em relação ao lado da conexão que a iniciou.

Ataque DoS aos Recursos do ISA Server

Em alguns ataques DoS, o host mal-intencionado tenta atacar o firewall do ISA Server explorando seus recursos de sistema. O ISA Server reduz esse ataque diminuindo o tempo limite para a conexão ociosa, quando há pouca reserva de memória não-paginada. Se o ataque continuar, o ISA Server bloqueará as conexões novas de entrada quando estiver com a reserva de memória não-paginável extremamente baixa. O ISA Server também desconecta as sessões que ficaram ociosas pelo menos por seis minutos.

Registro em log de manipulação de inundação

O ISA Server permite a configuração global dos recursos de redução de inundação. Para todas as reduções de inundação, é possível configurar o log do tráfego bloqueado pela redução de inundação.

A tabela a seguir mostra o código de erro retornado pelo serviço Microsoft Firewall que pode aparecer no log de firewall quando você ativa o registro do tráfego bloqueado.

Código de resultado

ID Hex

Detalhes

WSA_RWS_QUOTA

0x80074E23

Uma conexão foi recusada porque uma cota foi excedida.

FWX_E_RULE_QUOTA_EXCEEDED_DROPPED

0xC0040033

Uma conexão foi rejeitada porque o número máximo de conexões criadas por segundo para essa regra foi excedido.

FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED

0xC0040037

Uma conexão foi rejeitada porque a taxa máxima de conexões para um único foi excedida.

FWX_E_DNS_QUOTA_EXCEEDED

0xC0040035

Um consulta DNS não pode ser realizada porque o limite de consultas foi atingido.

Para ativar o log
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Configurar definições de redução de inundação.

  3. Na guia Redução de inundação, selecione Log do tráfego bloqueado por definições de redução de inundação.

Lista de exceções

Algumas cotas de redução de inundação têm dois valores:

  • Um valor aplica-se a uma lista de exceções de endereços IP.

  • Um valor aplica-se a todas as outras.

Para essas reduções de inundação, é possível especificar endereços IP aos quais os limites de redução de inundação não devem ser aplicados. Um limite personalizado será aplicado a esses endereços IP.

É possível configurar uma lista de exceções para os servidores publicados, para atualização de matriz, e em alguns cenários de firewall consecutivos. Por exemplo, uma lista de exceções seria aplicada ao conjunto de computadores Remote Management Computers e membros da matriz (para o ISA Server Enterprise Edition). A lista de exceções também poderia incluir endereços IP de servidores proxy upstream ou downstream ou outros dispositivos de conversão de endereços de rede (NAT) ou roteadores. Esses endereços IP podem exigir muitas conexões e, portanto, precisam de um limite maior.

É possível configurar cotas de listas de exceções de endereço IP para as seguintes reduções de inundação:

  • Solicitações de conexões TCP por minuto, por endereço IP

  • Conexões TCP simultâneas por endereço IP

  • Solicitações HTTP por minuto, por endereço IP

  • Sessões UDP simultâneas por endereço IP

Importante:

Um invasor pode gerar um ataque de inundação ao utilizar endereços IP falsificados, os quais estão inclusos na lista de exceções. Para reduzir essa ameaça, recomendamos implantar uma diretiva Internet Protocol Security (IPSec, segurança de protocolo da Internet) entre o ISA Server e todo endereço IP confiável incluído na lista de exceções de endereço IP. Uma diretiva IPsec exige a autenticação do tráfego desses endereços IP, bloqueando efetivamente o tráfego falsificado.

Para configurar as exceções IP
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Configurar definições de redução de inundação.

  3. Na guia Exceções de IP, clique em Adicionar.

  4. Na caixa de diálogo Definições do computador, adicione as definições de computador desejadas.

Entradas e alertas de log negados por endereço IP

O mecanismo de alertas por endereço IP gera um alerta quando o número de pacotes negados de um endereço IP específico excede um limite pré-configurado. É possível configurar um limite geral a ser aplicado aos endereços IP. Também é possível configurar exceções de limite personalizadas para uma lista de endereços IP específicos.

Quando esse recurso é configurado, os alertas são disparados para todas as reduções de inundação.

Para configurar alertas de tráfego bloqueado
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Configurar definições de redução de inundação.

  3. Na guia Redução de inundação, ao lado de Definir disparador de eventos para pacotes negados, clique em Configurar.

  4. Em Limite, digite o limite de redução de inundação.

Configuração dos limites de conexão HTTP

Além do ataque de inundação e de redução de propagação de worms, também é possível limitar o número de conexões proxy da Web permitidas simultaneamente em um computador do ISA Server. É possível evitar ataques que sobrecarregam os recursos do sistema. Isso é particularmente útil quando se publicam servidores da Web. Você pode limitar o número de computadores conectados, permitindo que clientes específicos continuem se conectando, mesmo quando o limite é ultrapassado.

Também é possível configurar os limites de conexão do proxy da Web no ISA Server Management para servidores publicados (no ouvinte da Web) e para solicitações da Web de saída (em uma rede específica).

Você pode especificar limites de conexão para um ouvinte da Web específico. Os ouvintes da Web são usados nas regras de publicação da Web. Um ouvinte da Web pode ter várias regras. Quando você especifica um limite de conexão no ouvinte da Web, está limitando o número de conexões permitidas nos sites da Web publicados usando o ouvinte específico.

É possível especificar um limite de conexão nas propriedades de proxy da Web de um objeto de rede específico. O Web Proxy Filter processa o tráfego HTTP de saída na porta 80. Ao especificar esse limite de conexão em uma rede específica, você limita o número de conexões da Web de saída simultaneamente e que são permitidas em uma rede específica em um determinado momento.

Configuração de proteção contra ataques

Além da redução de ataque de inundações e de propagação de worms e dos limites de conexão HTTP, o ISA Server inclui vários mecanismos que podem ser configurados para ajudar a proteger sua rede contra ataques:

  • Proteção de pacotes IP

  • Proteção de transmissão

  • Proteção contra envenenamento do DHCP

  • Detecção de intrusão

  • Detecção de falsificação

As seções a seguir detalham esses mecanismos.

Configuração de proteção de pacotes IP

Você pode configurar o modo como o ISA Serve manipula os pacotes IP, configurando o seguinte:

  • Filtragem de fragmentos de IP

  • Roteamento de IP

  • Opções de IP

Configuração da filtragem de fragmentos IP

Um único datagrama IP pode ser dividido em vários datagramas de tamanho menor, conhecidos como fragmentos de IP. O ISA Server pode filtrar esses fragmentos.

Todos os pacotes fragmentados são suspensos quando o ISA Server filtra os fragmentos de pacote. O ataque teardrop e suas variantes envolve o envio de pacotes fragmentados e, em seguida, a sua remontagem de forma a causar danos ao sistema. O ataque teardrop funciona diferentemente do ping de ataque mortal, mas com resultados semelhantes.

O programa teardrop cria fragmentos de IP, que são partes de um pacote IP nas quais um pacote original pode se dividir ao viajar pela Internet. O problema é que os campos deslocados desses fragmentos, que devem indicar a parte (em bytes) do pacote original que está contido no fragmento, sobrepõem-se.

Por exemplo, os campos normalmente deslocados em dois fragmentos apareceriam como:

Fragment 1:  (offset) 100 - 300
Fragment 2:  (offset) 301 - 600

Isso indica que o primeiro fragmento contém os bytes 100 a 300 do pacote original e o segundo fragmento contém os bytes 301 a 600.

A sobreposição dos campos deslocados seria mais ou menos assim:

Fragment 1:  (offset) 100 - 300
Fragment 2:  (offset) 200 - 400

Quando o computador de destino tenta remontar esses pacotes, ele não consegue. Ele pode falhar, parar de responder ou reinicializar.

Para bloquear fragmentos de IP
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Definir preferências de IP.

  3. Na guia Fragmentos IP, selecione Bloquear fragmentos IP.

Observação:

A filtragem de fragmentos pode interferir na transmissão de áudio e vídeo. Além disso, o protocolo L2TP nas conexões IPsec pode não ser estabelecido com êxito, porque a fragmentação de pacotes pode ocorrer durante a troca de certificados. Desative a filtragem de fragmentos se você tiver problemas com a transmissão de mídia e com as conexões VPN baseadas em IPsec.

Configuração do roteamento IP

Para proteger contra o encerramento não autorizado da conexão, o ISA Server implementa o seguinte:

  • Redução de inundação de conexão. O ISA Server verifica se os pacotes do three-way handshake exigidos em uma seqüência são válidos. Isso evita o estabelecimento de conexões TCP para ou por intermédio do ISA Server de endereços IP de fonte falsificada.

  • Redução de ataque RST. O ISA Server valida o número de seqüência dos pacotes RST e SYN. Isso reduz a capacidade de um invasor encerrar as conexões existentes de outros clientes.

O sistema operacional básico também inclui um mecanismo semelhante. Para ativar o mecanismo do sistema operacional, que é útil na publicação de servidor ou em cenários de encadeamento, desative o recurso de roteamento IP do ISA Server.

Quando o roteamento IP é desativado, o ISA Server envia apenas os dados (e não o pacote de rede original) para o destino. Da mesma forma, quando desativado, o ISA Server copia cada pacote e o reenvia pelo driver no modo de usuário.

Importante:

Quando o roteamento IP está desativado, o ISA Server cria dois soquetes adicionais para cada conexão, resultando em maior consumo de recursos no firewall do ISA Server, aumentando a exposição do ISA Server a ataques de inundação. Por esse motivo, se você desativar o roteamento IP, recomendamos implantar um roteador para proteger o ISA Server contra os ataques de inundação de conexão TCP.

Quando o roteamento IP está ativado, o ISA Server age como um roteador. Parte da filtragem é realizada pelo driver no modo de usuário no tráfego que passa pelo ISA Server.

Quando o roteamento IP está ativado, o ISA Server cria conexões separadas entre o cliente e o servidor. O ISA Server faz a análise total e, em seguida, reconstrói os cabeçalhos IP e TCP, transferindo apenas as partes de dados. Se um cliente mal-intencionado tentar explorar uma vulnerabilidade de IP ou TCP, o ISA Server bloqueia o tráfego e este não atinge o computador de destino, que está protegido pelo ISA Server.

Para desativar o roteamento IP
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Definir preferências de IP.

  3. Na guia Roteamento IP, limpe a caixa de seleção Ativar roteamento IP.

Configuração de opções IP

É possível configurar o ISA Server para recusar todos os pacotes com Opções IP no cabeçalho.

As opções mais problemáticas são as opções de roteamento de origem. O TCP/IP suporta o roteamento de origem, que é um meio de permitir que o remetente dos dados de rede roteie os pacotes por intermédio de um ponto específico da rede. Existem dois tipos de roteamento de origem:

  • Roteamento restrito (strict source). O remetente dos dados pode especificar a rota exata (raramente usado).

  • Rota de registro de origem livre (loose source). O remetente pode especificar determinados roteadores (hops) por meio dos quais o pacote deve passar.

A opção de rota de origem do cabeçalho IP permite que o remetente substitua as decisões de roteamento que normalmente são tomadas pelos roteadores entre os computadores de origem e destino. Você pode usar o roteamento de origem para mapear a rede ou para solucionar problemas de roteamento e comunicações. O roteamento de origem também pode ser usado para forçar o tráfego por uma rota, oferecendo o melhor desempenho.

Infelizmente, os invasores podem explorar o roteamento de origem. Por exemplo, um intruso pode usar o roteamento de origem para acessar endereços da rede interna que normalmente não seriam acessados de outras redes, roteando o tráfego por intermédio de outro computador que pode se acessado de outra rede e da rede interna. Isso essencialmente causa uma inundação. É possível aperfeiçoar o desempenho do ISA Server durante uma inundação desativando a filtragem de opções IP.

Para desativar a filtragem de opções IP
  1. Na árvore de console do ISA Server Management, clique em Geral.

  2. No painel de detalhes, clique em Definir preferências de IP.

  3. Na guia Opções IP, limpe a caixa de seleção Ativar opções de filtragem IP.

Configuração de proteção contra envenenamento do DHCP

O ISA Server pode detectar ofertas DHCP inválidas. Uma oferta DHCP é considerada válida apenas se estiver contida no intervalo do objeto de rede associado ao adaptador de rede no qual o endereço IP foi atribuído. Quando uma oferta DHCP inválida é detectada, o ISA Server aciona um alerta de Oferta DHCP inválida e ignora a oferta DHCP inválida.

O ISA Server continua fazendo a proteção contra os ataques de oferta DHCP, mesmo depois que você reconhece esse alerta.

Observação:

Para o ISA Server Enterprise Edition, se você aceitar um novo endereço IP para a rede interna, verifique se o servidor de armazenamento de configuração pode ser acessado por meio desse endereço IP.

O ISA Server mantém uma lista de endereços IP permitidos para cada adaptador de rede DHCP. Os endereços permitidos provêm do conjunto de endereços de uma rede que contém o endereço do adaptador. Quando o ISA Server recebe um pacote de oferta DHCP, ele verifica se a oferta está dentro do intervalo de endereços permitidos. Se a validação falhar, o pacote será suspenso, e um alerta de Oferta DHCP inválida será acionado.

Se o adaptador de rede receber o endereço oferecido, você poderá renovar endereços DHCP. Ao fazer isso, o mecanismo de implantação é desativado temporariamente e um novo comando ipconfig /renew é emitido. Nesse período, nenhum endereço oferecido é suspenso pelo ISA Server. Após os adaptadores receberem seus endereços, o ISA Server reativa o mecanismo.

As ofertas DHCP podem ser suspensas nos seguintes cenários:

  • Se você alternar entre dois adaptadores DHCP. Por exemplo, você alterna entre o adaptador que está conectado à rede interna e o adaptador que está conectado à rede externa.

  • Um adaptador DHCP foi movido para uma rede diferente. Por exemplo, o adaptador de rede externa do ISA Server foi conectado a uma rede local, atrás de um roteador conectado à Internet. Quando você substitui o roteador pelo adaptador de rede externa do ISA Server, deve renovar o endereço DHCP para permitir a atribuição do DHCP.

Após a atribuição ser autorizada, você não precisará autorizá-la novamente.

Em alguns casos, você pode mover um adaptador de rede de uma rede para outra, usando um endereço recebido do servidor DHCP. Você aceitará uma oferta que o ISA Server, em geral, considera inválida.

Para aceitar uma oferta DHCP
  1. Em um prompt de comando, digite ipconfig /renew. (Você receberá uma mensagem de erro).

  2. No ISA Server Management, configure o alerta de oferta DHCP inválida.

  3. Verifique se o endereço IP do adaptador de rede está atribuído adequadamente.

  4. Verifique se o objeto de rede associado ao adaptador de rede reflete o novo endereço IP.

Configuração de detecção de intrusão

O mecanismo de detecção de intrusão do ISA Server identifica uma tentativa de ataque contra sua rede e executa um conjunto de ações configuradas, ou alertas, em caso de ataque. Para detectar invasores indesejados, o ISA Server compara o tráfego de rede e as entradas de log com métodos de ataque conhecidos. As atividades suspeitas acionam alertas. As ações incluem encerramento de conexão, encerramento de serviço, alertas de email e log.

A tabela a seguir relaciona os alertas que o ISA Server pode acionar se a detecção de intrusão estiver ativada.

Ataque

Descrição

Todas as portas verificam ataques

Esse alerta informa que foi feita uma tentativa de acessar mais do que o número pré-configurado de portas. Você pode especificar um limite, indicando o número de portas que podem ser acessadas.

Ataque de verificação de porta enumerada

Esse alerta informa que foi feita uma tentativa de contar os serviços em execução em um computador, testando a resposta de cada porta.

Se esse alerta ocorrer, você deverá identificar a origem da verificação de porta. Compare isso aos serviços que estão sendo executados no computador de destino. Identifique também a origem e a intenção da verificação. Verifique os registros de acesso em busca de indicações de acesso não autorizado. Se detectar indicações de acesso não autorizado, você deve considerar o sistema comprometido e tomar as medidas apropriadas.

Ataque de semi-verificação de IP

Esse alerta informa que foram feitas tentativas repetidas de enviar pacotes TCP com sinalizadores inválidos. Durante uma conexão TCP normal, a origem inicia a conexão enviando um pacote SYN para uma porta no sistema de destino. Se um serviço estiver ouvindo a porta em questão, ele responderá com um pacote SYN/ACK. Em seguida, o cliente que inicia a conexão responderá com um pacote ACK e a conexão será estabelecida. Se o host de destino não for válido para uma conexão na porta especificada, ele responderá com um pacote RST. A maior parte dos logs de sistema não registra as conexões concluídas até o pacote ACK final ser recebido da origem. O envio de outros tipos de pacotes que não seguem essa seqüência pode dar origem a respostas úteis do host de destino, sem que haja o registro de uma conexão. Isso é conhecido como semi-verificação de TCP, ou verificação stealth, porque não gera uma entrada de log no host verificado.

Ataque por terra

Esse alerta informa que um pacote TCP SYN foi enviado com um endereço IP de origem falsificada, e um número de porta que coincide com o endereço IP e porta de destino. Se o ataque for montado com êxito, ele poderá fazer com que algumas implementações TCP entrem em um loop que causa falha do computador.

Ping de ataque mortal

Esse alerta informa que um fragmento IP foi recebido com mais dados do que o tamanho máximo do pacote IP. Se o ataque for montado com êxito, um buffer de kernel estourará, causando falha do computador.

Ataque de bomba a UDP

Esse alerta notifica que houve uma tentativa de enviar um pacote UDP ilegal. Um pacote UDP que é construído com valores ilegais em determinados campos causa falha em alguns sistemas operacionais mais antigos, quando o pacote é recebido. É difícil determinar a causa quando o computador de destino falha.

Ataque OOB (out-of-band) do Windows

Esse alerta notifica que foi tentado um ataque de negação de serviço OOB contra um computador protegido pelo ISA Server. Se montado com êxito, esse ataque causa falha do computador ou perda da conectividade de rede em computadores vulneráveis.

O ISA Server inclui filtros de detecção de intrusão:

  • O filtro de detecção de intrusão DNS funciona com as regras de publicação de servidor DNS. O filtro intercepta e analisa todo o tráfego DNS recebido e destinado à rede publicada.

  • O filtro de detecção de intrusão POP verifica ataques de estouro de buffer POP3.

Filtro de detecção de intrusão DNS

O filtro DNS, instalado com o ISA Server, intercepta e analisa o tráfego DNS destinado à rede publicada. O filtro DNS verifica o estouro de comprimento DNS e, opcionalmente, bloqueia as transferências de zona.

Além disso, é possível configurar qual dos seguintes ataques DNS acionam alertas:

  • Estouro de nome de host DNS. Um estouro de nome de host DNS ocorre quando uma resposta do DNS para um nome de host excede determinado comprimento fixo (255 bytes). Os aplicativos que não verificam o comprimento dos nomes de host podem retornar buffers internos de estouro ao copiar esse nome de host, permitindo que um invasor remoto execute comandos arbitrários em um computador-alvo.

  • Estouro de comprimento DNS. As respostas DNS para endereços IP contêm um campo de comprimento, que deve ter 4 bytes. Ao formatar uma resposta DNS com um valor maior, alguns aplicativos que executam pesquisas DNS estouram os buffers internos, permitindo que um invasor remoto execute comandos arbitrários em um computador-alvo. O ISA Server também verifica se o valor RDLength não excede o tamanho do restante da resposta DNS.

  • Transferência de zona DNS. Uma transferência de zona DNS ocorre quando um sistema cliente utiliza um aplicativo cliente DNS para transferir zonas de um servidor DNS interno.

Filtro de detecção de intrusão POP

O filtro de detecção de intrusão POP intercepta e analisa o tráfego POP destinado à rede interna. Especificamente, o filtro de aplicativo verifica os ataques de estouro de buffer POP.

Um ataque de estouro de buffer POP ocorre quando um invasor remoto tenta ganhar acesso à raiz de um servidor POP, estourando um buffer interno no servidor.

Proteção contra ataque pré-configurada do ISA Server

O ISA Server inclui proteção pré-configurada contra ataques específicos. Isso inclui detecção de falsificação e proteção de transmissão.

Esses recursos são descritos nas próximas seções.

Alertas de detecção de falsificação

Sempre que um adaptador de rede recebe um pacote, o ISA Server verifica se a origem do pacote foi falsificada. O ISA Server verifica se o endereço IP da origem do pacote é um endereço IP válido para o adaptador de rede específico que o recebeu. Se o endereço for considerado inválido, o ISA Server informa que ocorreu um ataque de falsificação de IP.

Um endereço IP é considerado válido para um adaptador de rede específico quando as duas condições a seguir são verdadeiras:

  • O endereço IP reside na rede do adaptador através do qual ele foi recebido.

  • A tabela de roteamento indica que o tráfego destinado àquele endereço pode ser roteado por meio de um dos adaptadores que pertencem àquela rede.

Observação:

Para o ISA Server Enterprise Edition, a detecção de falsificação não é aplicada ao tráfego de um endereço entre matrizes. Todo o tráfego de endereços entre matrizes passa diretamente ao mecanismo para uma verificação de diretiva.

Considere o cenário a seguir, no qual uma rede inclui endereços IP no intervalo 10.X.X.X. A tabela de roteamento mostra o seguinte:

Network  Netmask   DestinationGateway interface
10.0.0.0 255.0.0.0   10.0.0.1  10.1.1.1
20.0.0.0 255.0.0.0   20.0.0.1  10.1.1.1
0.0.0.0  0.0.0.0     140.0.0.1 140.1.1.1

Os pacotes recebidos na interface 10.1.1.1 com endereços IP de origem no intervalo entre 10.0.0.1 e 10.255.255.255 não serão descartados como falsificados, porque tais endereços podem ser roteados de volta por intermédio dessa interface e pertencem ao intervalo de endereços da rede. Entretanto, os pacotes com endereços IP de origem fora desse intervalo (incluindo o intervalo entre 20.0.0.2 e 20.255.255.255, que podem ser roteados por intermédio da interface 10.1.1.1) serão descartados como falsificados, porque não pertencem à rede.

O ISA Server também verifica se todos os pacotes que são enviados por um adaptador têm um endereço IP de destino válido. Isso evita que os pacotes sejam roteados por adaptadores errados, caso haja um problema de configuração de tabela de roteamento.

Quando o ISA Server detecta um pacote falsificado, o ISA Server aciona um alerta indicando o motivo pelo qual o pacote foi considerado falsificado. Examine o alerta cuidadosamente e tente solucionar o problema da seguinte maneira:

  • Corrija os erros de configuração em potencial. Verifique se os pacotes do endereço IP específico devem ser considerados falsificados. Caso contrário, determine o motivo pelo qual o ISA Server considera esses pacotes falsificados.

  • Bloqueie o tráfego do endereço IP. Se o tráfego do endereço IP deve ser considerado falsificado, bloqueie todo o acesso desse endereço IP.

Proteção de transmissão

Transmissão é o envio de uma única mensagem (datagrama) para vários destinatários, usando um protocolo sem conexão como o UDP. Existem três tipos de endereços de transmissão:

  • Endereço de transmissão limitada. O endereço de transmissão limitada é 255.255.255.255.

  • Endereço de transmissão de rede. O endereço de transmissão de rede tem um endereço IP com todos os bits um e uma ID de rede específica. Por exemplo, considere uma rede 22.0.0.0 classe A. Seu endereço de transmissão de rede é 22.255.255.255.

  • Endereço de transmissão de subrede. O endereço de transmissão de subrede tem um endereço IP com todos os bits 1 e uma ID de subrede específica. Por exemplo, considere uma rede 22.0.0.0 classe A com uma máscara de subrede 255.255.0.0. O endereço 22.0.255.255 é uma transmissão de subrede.

O ISA Server não permite o envio de nenhuma mensagem de transmissão entre os adaptadores de rede no computador do ISA Server. O ISA Server determina se uma regra se aplica aos endereços de transmissão:

  • Se o endereço de destino não for um endereço de transmissão de subrede, o ISA Server o considerará como endereço de transmissão de subrede do adaptador de rede no computador do ISA Server no qual o pacote foi recebido.

  • Se os pacotes estiverem na transmissão de entrada (para a rede do host local), o ISA Server considerará o destino como o adaptador de rede no computador do ISA Server (host local).

  • Se for uma transmissão de saída (da rede do host local), o ISA Server considerará a origem como o adaptador de rede no computador do ISA Server (host local).

Por exemplo, digamos que um serviço ouça uma porta UDP 1500 da rede do host local (o computador ISA Server) do adaptador de rede com endereço de subrede 22.0.1.1. Para permitir o tráfego de transmissão daquele serviço da rede interna, por exemplo, é preciso criar uma regra de acesso que permita o tráfego na porta UDP 1500 da rede interna para o endereço de transmissão de subrede 22.0.255.255. Alternativamente, é possível criar uma regra de acesso que permita o tráfego da porta UDP 1500 da rede interna para o host local.

Alertas

O ISA Server pode disparar alertas e registrar em log comportamento suspeito ao detectar os ataques. Esta seção relaciona alguns alertas de detecção de ataques.

Alertas de redução de inundação

A tabela a seguir relaciona todos os alertas possíveis que podem ser gerados em caso de ataque de inundação.

Título do alerta

Descrição do evento

Reserva de memória não-paginável baixa

O tamanho da reserva de memória não-paginável está abaixo do mínimo definido pelo sistema.

Reserva de memória não-paginável recuperada baixa

O tamanho da reserva de memória não-paginável livre não excede mais o mínimo definido pelo sistema.

Limite de uso dos recursos de solicitações DNS pendentes excedido

A porcentagem de threads utilizados nas solicitações DNS pendentes em relação ao número total de threads disponíveis excede o máximo definido pelo sistema.

Uso dos recursos de solicitações DNS pendentes dentro dos limites

A porcentagem de threads utilizados nas solicitações DNS pendentes em relação ao número total de threads disponíveis está abaixo do máximo definido pelo sistema e as conexões que exigem resolução de nomes DNS podem ser aceitas.

Limite de conexões TCP por minuto de um endereço IP excedido

O número de conexões TCP por minuto permitidas de um endereço IP foi excedido.

Limite de conexões TCP simultâneas de um endereço IP excedido

O número de conexões TCP simultâneas permitidas de um endereço IP foi excedido.

Limite de sessões não-TCP de um endereço IP excedido

O número de sessões não-TCP permitidas de um endereço IP foi excedido.

O limite de conexões para uma regra foi excedido

O número de sessões não-TCP por segundo permitidas por uma regra excede o limite configurado.

Limite de conexões negadas por minuto de um endereço IP excedido

O número de conexões por minuto de um endereço IP bloqueado pela diretiva de firewall excede o limite configurado.

Limite global de sessões negadas por minuto excedido

O número total de sessões TCP e não-TCP bloqueadas por minuto excede o limite configurado.

Limite de solicitações HTTP de um endereço IP excedido

O número de solicitações HTTP por minuto de um endereço IP excede o limite configurado.

A tabela a seguir lista alguns eventos disparados pelo ISA Server quando o limite de redução de inundação é excedido.

ID de evento

Mensagem

15112

O cliente Nome_do_cliente excedeu seu limite de conexão. A nova conexão foi rejeitada.

15113

O ISA Server desconectou o seguinte cliente: Nome_do_cliente porque seu limite de conexão esgotou.

15114

O ISA Server desconectou uma conexão porque seu limite de conexão foi excedido.

15116

A solicitação foi negada porque o número de conexões por segundo permitidas para uma regra foi excedido.

15117

A solicitação foi negada porque o número de conexões por segundo permitidas para a regra rulename foi excedido.

Os eventos do ISA Server gerados podem disparar os avisos de alerta do ISA Server listados na tabela a seguir.

Aviso de alerta

Descrição

Limite de conexões excedido

Os limites de conexões de um endereço IP foram excedidos.

O limite de conexões para uma regra foi excedido

O número de conexões por segundo para uma regra foi excedido.

Limite de uso dos recursos de solicitações DNS pendentes excedido

A porcentagem de threads utilizados nas solicitações DNS pendentes em relação ao número total de threads disponíveis excede o máximo definido pelo sistema.

Limite de uso dos recursos de solicitações DNS pendentes dentro dos limites

A porcentagem de threads utilizados nas solicitações DNS pendentes em relação ao número total de threads disponíveis está abaixo do máximo definido pelo sistema e as conexões que exigem resolução de nomes DNS podem ser aceitas.

Alertas de proteção contra ataques

A tabela a seguir lista os alertas que podem ser gerados em caso de outros ataques.

Título do alerta

Descrição do evento

Detecção de intrusão anti-envenenamento do DHCP desativada

O mecanismo de detecção de intrusão anti-envenenamento DHCP está desativado.

Intrusão DNS

Ocorreu um estouro de nome de host, estouro de comprimento ou ataque de transferência de zona.

Intrusão de transferência de zona DNS

Ocorreu um ataque de transferência de zona.

Intrusão detectada

Houve uma tentativa de intrusão por um usuário externo.

Oferta de DHCP inválida

O endereço IP da oferta de DHCP não é válido.

Falsificação de IP

O endereço da origem do pacote IP não é válido.

Intrusão POP

Estouro de buffer POP detectado.

Ataque SYN

O ISA Server detectou um ataque SYN.

Práticas Recomendadas

Esta seção descreve algumas diretrizes de práticas recomendadas que você deve seguir ao configurar o ISA Server para obter melhor proteção de sua rede.

Detecção de ataques de inundação

Siga estas diretrizes para detectar se sua rede está sofrendo um ataque de inundação:

  • Verifique um surto repentino no uso da CPU, aumento do consumo da memória, ou taxas de log muito altas no computador do ISA Server. Esses sintomas freqüentemente indicam que o ISA Server está sofrendo um ataque de inundação.

  • Verifique os alertas correspondentes.

  • Use os registros do ISA Server para inspecionar o tráfego, validando se ele corresponde ao tráfego esperado e permitido:

    • Inspecione o tráfego iniciado por qualquer tipo de cliente (cliente Firewall, cliente Web Proxy, cliente SecureNAT, cliente VPN e clientes externos). Valide se o tráfego é esperado e permitido.

    • Inspecione o tráfego, independentemente de sua direção (entrada ou saída).

  • Identifique clientes potencialmente comprometidos, com base nos seguintes critérios:

    • Clientes que produzem um volume alto de conexões ou solicitações por segundo

    • Clientes que consomem muita largura de banda (bytes por segundo)

    • Clientes que produzem falhas de conexão com endereços de destino diferentes a uma taxa alta

    • Clientes que tentam desviar da diretiva de firewall do ISA Server

Se você determinar que o computador do ISA Server está sofrendo um ataque de inundação, use o visualizador de logs para determinar a fonte do tráfego afetado. Procure especificamente pelo seguinte:

  • Entradas de log de tráfego negado. Preste atenção particularmente ao tráfego que é negado porque a cota foi excedida, os pacotes foram falsificados e aos pacotes que contêm CHECKSUM corrompido. Em geral, eles indicam cliente mal-intencionado. No ISA Server Standard Edition, as conexões que são encerradas porque o limite de conexões foi excedido têm um código de resultado 0x80074E23. No ISA Server Enterprise Edition, o resultado aparece como texto, indicando claramente o motivo do encerramento da conexão.

  • Logs que indicam inúmeras conexões criadas e fechadas imediatamente. Isso quase sempre indica que um computador cliente está examinando um intervalo de endereços IP procurando uma vulnerabilidade específica.

Recomendamos que você limite o número de conexões, porque isso pode ajudar a evitar ataques de inundação. Quando ocorre um ataque de inundação de UDP ou IP bruto, muitas solicitações são enviadas dos endereços IP de origem falsificados, resultando finalmente em negação de serviço.

Redução de ataques de inundação

Quando ocorre um alerta, determine se a sua rede está sendo atacada, ou se simplesmente está havendo uma carga alta de tráfego válido. Se o limite foi excedido devido a tráfego mal-intencionado, tente fazer o seguinte:

  • Se o tráfego mal-intencionado parece se originar da rede interna, pode haver vírus na rede interna. Identifique o endereço IP de origem e desconecte imediatamente o computador da rede.

  • Se o tráfego mal-intencionado parece se originar de um intervalo pequeno de endereços IP em uma rede externa, crie uma regra negando acesso a um conjunto de computadores que inclui os endereços IP de origem.

  • Se o tráfego parecer se originar de um intervalo grande de endereços IP, avalie o status geral da sua rede. Considere a definição de um limite de conexões menor, para que o ISA Server possa proteger melhor sua rede.

  • Se o limite for excedido devido a carga pesada, considere a definição de um limite de conexão maior.

Outra forma de reduzir os ataques é criar uma nova rede. A rede deve incluir os endereços IP dos clientes infectados, os quais foram detectados com base nos registros e alertas. Em seguida, exclua esses endereços IP das redes às quais eles pertenciam originalmente (a rede interna). Essencialmente, você está criando uma incompatibilidade entre a tabela de roteamento do firewall do ISA Server e a rede interna. Esses endereços IP são considerados falsificados e o tráfego de e para os endereços IP é suspenso.

Log em caso de ataque

Sempre que um limite de redução é excedido, o ISA Server gera um alerta, indicando o endereço IP do cliente afetado. Após identificar a lista de endereços IP incorretos e para evitar registro em log desnecessário, realize o seguinte procedimento para ajudar a melhorar o desempenho do ISA Server durante a inundação.

Para melhorar o desempenho do ISA Server durante uma inundação
  1. Desative o log de entradas de log relacionadas à inundação Siga as instruções da seção Log de reduções de inundação deste documento.

  2. Desative o log. Desative o log na regra específica que compara a inundação ou desative-o totalmente até que o ataque de inundação seja interrompido.

  3. Reconfigure os alertas Limite de conexões (ou qualquer outro tipo de alertas que possam ser disparados repetidamente como resultado do ataque específico) como Redefinir manualmente.

Importante:

Ao desativar o log de entradas de log negadas, você pode identificar apenas os alertas em potencial. As dicas listadas naseção Detecção de ataques de inundação deste documento não serão relevantes.

Personalização dos limites de redução de inundação

Recomendamos a utilização dos limites de redução de inundação padrão. Entretanto, esses padrões podem não ser apropriados nos seguintes cenários de conversão de endereços de rede (NAT):

  • Cenário de perímetro consecutivo. Neste cenário, o firewall interno do ISA Server aplica o protocolo NAT às solicitações de saída de clientes internos, e as solicitações são encaminhadas para o firewall de borda com o endereço do firewall interno do ISA Server. No servidor de borda, todas as conexões parecem vir de um único cliente. Por exemplo, 20 solicitações de clientes diferentes aparecem para o computador de borda do ISA Server como 20 solicitações do mesmo endereço IP. O limite padrão de conexão desse endereço IP pode se esgotar rapidamente.

  • Cenário de encadeamento de firewall ou da Web. O encadeamento da Web roteia as solicitações ao proxy da Web para um servidor proxy superior. O encadeamento de firewalll configura o computador ISA Server inferior como um cliente SecureNAT ou cliente Firewall do proxy superior. Em ambos os casos, o NAT é aplicado às solicitações do cliente que são roteadas para um servidor superior. O servidor superior considerará as diferentes solicitações de clientes da mesma rede como tendo o mesmo endereço IP. O limite padrão de conexão desse endereço IP pode se esgotar rapidamente.

  • Cenário VPN de cada site. Os limites de conexão são implantados para as conexões de rede privada virtual (VPN) de cada site. Embora o NAT seja aplicado ao tráfego entre as redes remotas, o endereço IP que substitui os endereços internos é atribuído automaticamente a um limite personalizado. Um erro de limite excedido em geral não ocorre nesse cenário.

Para responder a um alerta de redução de inundação.
  1. Determine se a sua rede está sendo atacada, ou se existe uma carga pesada de tráfego válido. Use as ferramentas de monitoramento de rede para determinar isso.

  2. Se o limite foi excedido devido a uma carga pesada de tráfego não-TCP, pense em definir um limite de conexão mais alto por regra. Se o limite foi excedido devido a tráfego mal-intencionado, tente fazer o seguinte:

    • Se o tráfego mal-intencionado parece se originar da rede interna, pode haver vírus na rede interna. Identifique o endereço IP de origem e desconecte imediatamente o computador da rede.

    • Se o tráfego mal-intencionado parece se originar de um intervalo pequeno de endereços IP em uma rede interna ou externa, crie uma regra negando acesso a um conjunto de computadores que inclui os endereços IP de origem.

    • Se o tráfego parecer se originar de um intervalo grande de endereços IP, avalie o status geral da sua rede. Considere a definição de um limite de conexões significativamente mais baixo, para que o ISA Server possa proteger melhor sua rede, e ainda fornecer os serviços aos clientes que não são mal-intencionados.

  3. Se você publicar mais de um serviço baseado em UDP ou IP bruto na rede externa, configure limites menores para ajudar a manter sua rede segura contra ataques de inundação.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.