NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Механизм защиты от атак SYN Flood Принцип механизма защиты от атак SYN Flood заключается в выполнения 3-кратного подтверждения установления соединения с клиентом. В системе NetDefendOS могут происходить перегрузки по причине использования новейших средств обработки ресурсов и отсутствия ограничений, как правило, расположенных в других операционных системах. В то время как у других операционных систем могут возникнуть проблемы с 5 полуоткрытыми соединениями, не получившими подтверждение от клиента, NetDefendOS может заполнить всю таблицу состояний, прежде чем что-то произойдет. Когда таблица состояний заполнена, старые неподтвержденные соединения будут отброшены, чтобы освободить место для новых соединений. Обнаружение SYN Floods Атаки TCP SYN flood регистрируются в журналах NetDefendOS как большое количество новых соединений (или отброшенных пакетов, если атака направлена на закрытый порт). IP-адрес отправителя может быть подделан. ALG автоматически обеспечивает защиту от flood-атак Следует отметить, что нет необходимости включать функцию защиты от атак SYN Flood на объекте службы, с которым связан ALG. ALG автоматически обеспечивает защиту от атак SYN flood. 6.6.9. Атака Jolt2 Принцип работы атаки Jolt2 заключается в отправке непрерывного потока одинаковых фрагментов компьютеру-жертве. Поток из нескольких сотен пакетов в секунду останавливает работу уязвимых компьютеров до прекращения потока. NetDefendOS обеспечивает комплексную защиту от данной атаки. Обычно первый фрагмент ставится в очередь, ожидая прихода ранних фрагментов, таким образом, фрагменты передаются по порядку, но в данном случае этого не произойдет, так как не пройдет даже первый фрагмент. Следующие фрагменты будут отброшены, так как они идентичны первому фрагменту. Если выбранное злоумышленником значение смещения фрагмента больше, чем ограничения, налагаемые настройкой Advanced Settings>LengthLim в NetDefendOS, пакеты будут немедленно отброшены. Атаки Jolt2 могут быть зарегистрированы в журналах NetDefendOS. Если злоумышленник выбирает слишком большое значение смещения фрагмента для атаки, это будет зарегистрировано в журналах NetDefendOS как отброшенные пакеты с указанием на правило «LogOversizedPackets». Если значение смещения фрагмента достаточно низкое, регистрации в журнале не будет. IP-адрес Отправителя может быть подделан. 6.6.10. Атаки Distributed DoS (DDoS) Наиболее сложной DoS-атакой является атака Distributed Denial of Service. Хакеры используют сотни или тысячи компьютеров по всей сети Интернет, устанавливая на них программное обеспечение DDoS и управляя всеми этими компьютерами для осуществления скоординированных атак на сайтыжертвы. Как правило, эти атаки расходуют полосу пропускания, обрабатывающую способность маршрутизатора, или ресурсы сетевого стека, нарушая сетевые соединения с жертвой. Хотя последние атаки DDoS были выполнены как в частных, так и в публичных сетях, хакеры, как правило, часто предпочитают корпоративные сети из-за их открытого, распределенного характера. Инструменты, используемые для запуска DDoS-атак, включают Trin00, TribeFlood Network (TFN), TFN2K и Stacheldraht. 324
6.7. «Черный список» хостов и сетей Обзор NetDefendOS предоставляет «черный список» адресов хоста или IP-адресов сети, который используется для обеспечения защиты. Некоторые подсистемы NetDefendOS поддерживают возможность дополнительно занести в «черный список» хост или сеть при определенных условиях. Это следующие подсистемы: • Обнаружение и предотвращение вторжений (IDP) • Правила порога (доступно только на некоторых моделях межсетевых экранов NetDefend – для получения более подробной информации см. Раздел 10.3, «Правила порога») Функции «черного списка» Можно включить функцию автоматического занесения в «черный список» хоста или сети в IDP и в правилах порога, указав действие Protect при срабатывании правила. Существует три функции «черного списка»: Time to Block Host/Network in Seconds Хост или сеть, которые являются источником трафика, остаются в «черном списке» в течение указанного времени, а затем удаляются. Если тот же источник инициирует другую запись в «черном списке», то в таком случае будет восстановлено первоначальное время блокировки, «истинное значение» (другими словами, не «накопленное»). Block only this Service По умолчанию «черный список» блокирует все сервисы для запуска хоста. Exempt already established connections from Blacklisting Если существуют установленные соединения с тем же источником, что и новая запись в «черном списке», то они не будут удалены, если данная опция настроена. IP-адреса или сети добавляются в список, далее трафик с этих источников блокируется на указанный период времени. «Белый список» Примечание: Повторный запуск не повлияет на «черный список» Содержимое «черного списка» не будет утеряно при отключении межсетевого экрана NetDefend и его перезапуске. Для того чтобы Интернет-трафик, поступающий из надежных источников, таких как рабочие станции управления, не попал в «черный список» ни при каких обстоятельствах, система NetDefendOS также поддерживает «белый список». Любой IP-адрес объекта может быть добавлен в этот «белый список». Совет: Важные IP-адреса следует заносить в «белый список» Рекомендуется добавить межсетевой экран NetDefend в «белый список», а также IP-адрес или сеть рабочей станции управления, так как их занесение в «черный список» может иметь серьезные последствия для 325
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
- Page 321 and 322: от атак DoS. 6.6.2. Меха
- Page 323: потребление всего
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
Механизм защиты от атак SYN Flood<br />
Принцип механизма защиты от атак SYN Flood заключается в выполнения 3-кратного<br />
подтверждения установления соединения с клиентом. В системе NetDefendOS могут происходить<br />
перегрузки по причине использования новейших средств обработки ресурсов и отсутствия<br />
ограничений, как правило, расположенных в других операционных системах. В то время как у<br />
других операционных систем могут возникнуть проблемы с 5 полуоткрытыми соединениями, не<br />
получившими подтверждение от клиента, NetDefendOS может заполнить всю таблицу состояний,<br />
прежде чем что-то произойдет. Когда таблица состояний заполнена, старые неподтвержденные<br />
соединения будут отброшены, чтобы освободить место для новых соединений.<br />
Обнаружение SYN Floods<br />
Атаки TCP SYN flood регистрируются в журналах NetDefendOS как большое количество новых<br />
соединений (или отброшенных пакетов, если атака направлена на закрытый порт). IP-адрес<br />
отправителя может быть подделан.<br />
ALG автоматически обеспечивает защиту от flood-атак<br />
Следует отметить, что нет необходимости включать функцию защиты от атак SYN Flood на объекте<br />
службы, с которым связан ALG. ALG автоматически обеспечивает защиту от атак SYN flood.<br />
6.6.9. Атака Jolt2<br />
Принцип работы атаки Jolt2 заключается в отправке непрерывного потока одинаковых фрагментов<br />
компьютеру-жертве. Поток из нескольких сотен пакетов в секунду останавливает работу уязвимых<br />
компьютеров до прекращения потока.<br />
NetDefendOS обеспечивает комплексную защиту от данной атаки. Обычно первый фрагмент<br />
ставится в очередь, ожидая прихода ранних фрагментов, таким образом, фрагменты передаются по<br />
порядку, но в данном случае этого не произойдет, так как не пройдет даже первый фрагмент.<br />
Следующие фрагменты будут отброшены, так как они идентичны первому фрагменту.<br />
Если выбранное злоумышленником значение смещения фрагмента больше, чем ограничения,<br />
налагаемые настройкой Advanced Settings>LengthLim в NetDefendOS, пакеты будут немедленно<br />
отброшены. Атаки Jolt2 могут быть зарегистрированы в журналах NetDefendOS. Если<br />
злоумышленник выбирает слишком большое значение смещения фрагмента для атаки, это будет<br />
зарегистрировано в журналах NetDefendOS как отброшенные пакеты с указанием на правило<br />
«LogOversizedPackets». Если значение смещения фрагмента достаточно низкое, регистрации в<br />
журнале не будет. IP-адрес Отправителя может быть подделан.<br />
6.6.10. Атаки Distributed DoS (DDoS)<br />
Наиболее сложной DoS-атакой является атака Distributed Denial of Service. Хакеры используют сотни<br />
или тысячи компьютеров по всей сети Интернет, устанавливая на них программное обеспечение<br />
DDoS и управляя всеми этими компьютерами для осуществления скоординированных атак на сайтыжертвы.<br />
Как правило, эти атаки расходуют полосу пропускания, обрабатывающую способность<br />
маршрутизатора, или ресурсы сетевого стека, нарушая сетевые соединения с жертвой.<br />
Хотя последние атаки DDoS были выполнены как в частных, так и в публичных сетях, хакеры, как<br />
правило, часто предпочитают корпоративные сети из-за их открытого, распределенного характера.<br />
Инструменты, используемые для запуска DDoS-атак, включают Trin00, TribeFlood Network (TFN),<br />
TFN2K и Stacheldraht.<br />
324