Schutz vor DNS- und anderen Angriffen

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

In Forefront TMG wird der gesamte DNS-Datenverkehr, der für veröffentlichte DNS-Server bestimmt ist (d. h. DNS-Server, auf die aufgrund von Veröffentlichungsregeln zugegriffen werden kann), vom DNS-Filter abgefangen und analysiert. Wenn die Erkennung von DNS-Angriffen aktiviert ist, können Sie die Arten von verdächtiger Aktivität festlegen, die vom DNS-Filter überprüft werden sollen.

Weitere Informationen zur Erkennung von DNS-Angriffen finden Sie unter Planen des Schutzes vor häufig auftretenden sowie DNS-Angriffen.

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Eindringschutzsystem.

  2. Klicken Sie im Detailbereich der Registerkarte Verhaltensbasierte Eindringversuchserkennung auf Konfigurieren von Erkennungseinstellungen für allgemeine Netzwerkangriffe.

  3. Klicken Sie auf der Registerkarte DNS-Angriffe auf Ermittlung und Filterung von DNS-Angriffen aktivieren.

  4. Wählen Sie einen oder mehrere der folgenden Arten von verdächtiger Aktivität aus:

    • DNS-Hostnamenüberlauf – Wählen Sie diese Option, wenn Forefront TMG Versuche hinsichtlich DNS-Hostnamenüberläufen prüfen soll. Der DNS-Filter fängt den für das interne Netzwerk bestimmten DNS-Datenverkehr ab und analysiert ihn. Ein DNS-Hostnamenüberlauf tritt auf, wenn eine DNS-Antwort für einen Hostnamen eine angegebene Länge überschreitet (255 Bytes).

    • DNS-Längenüberlauf – Wählen Sie diese Option, wenn Forefront TMG Versuche hinsichtlich DNS-Längenüberläufen prüfen soll. Ein DNS-Längenüberlauf tritt auf, wenn eine DNS-Antwort für IP-Adressen die vorgegebene Länge von vier Bytes überschreitet.

    • DNS-Zonentransfer – Wählen Sie diese Option, wenn Forefront TMG Versuche hinsichtlich DNS-Zonentransfers prüfen soll. Ein DNS-Zonentransferversuch tritt auf, wenn ein Clientsystem eine DNS-Clientanwendung für die Übertragung von Zonen von einem internen DNS-Server verwendet.

  5. Klicken Sie auf OK.

  6. Klicken Sie im Detailbereich auf Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

noteHinweis:
  • Die DNS-Angriffsermittlung ist in der Standardeinstellung für die Erkennung von Eindringversuchen hinsichtlich DNS-Hostnamenüberläufen und DNS-Längenüberläufen aktiviert.

  • Wenn die DNS-Angriffsermittlung aktiviert ist und gefährliche Pakete erkannt werden, dann werden diese verworfen und ein Ereignis generiert, das eine DNS-Eindringversuchswarnung auslöst.

 
Anzeigen: