• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

ISA配置教程之配置ISA Server以检测外部攻击和入侵

发布: 2007-6-21 12:06 | 作者:   | 来源:   | 查看: 17次 | 进入软件测试论坛讨论

领测软件测试网

   


  可以通过配置ISA Server来检测常见的网络攻击。默认状态下,启用入侵检测后,ISA Server一检测到攻击,就会往Windows 2000事件日志中发消息。也可以把ISA Server配置为对检测到的攻击做出其他的反应,例如给管理员发送电子邮件、启动一个特定的程序、以及启动或停止选定的ISA Server服务。
  
  本节学习目标
  l     描述ISA Server能检测到的网络攻击类型
  
  l     配置ISA Server来检测外部网络攻击和入侵
  
  估计学习时间:25分钟
  4.6.1 入侵类型和警报
  ISA Server的一个功能就是入侵检测。有人试图攻击您的网络时,入侵检测能够将其鉴别出来。检测到攻击(参见图4.14)后,ISA Server就会采取一系列预先配置的措施(或警报)。下面是一些入侵类型:
   ISA配置教程之配置ISA Server以检测外部攻击和入侵(图一)
  l     端口扫描攻击
  
  l     IP 半扫描攻击
  
  l     登录攻击
  
  l     Ping of Death攻击
  
  l     UDP轰炸攻击
  
  l     Windows out-of-band攻击
  
  4.6.2 端口扫描攻击
  引发ISA Server警报的两种端口扫描攻击类型:全部端口扫描攻击和枚举端口扫描攻击。
  
  4.6.2.1 全部端口扫描攻击
  该警报通知您,有人试图访问的端口数目超过了您预先设定的数字。您可以规定一个极限值,指定允许访问的端口数目。
  
  4.6.2.2 枚举端口扫描攻击
  该警报通知您,有人通过探测每个端口的反应,试图统计计算机上所运行的服务。
  
  如果有该警报,您应该识别端口扫描的来源。将它与目标计算机上运行的服务进行对比。同时,鉴别扫描的来源和目的。检查访问日志,看有没有未经授权的访问。如果确实发现了未经授权的访问,您应该考虑到这可能会危及系统的安全,并采取适当的措施。
  
  4.6.3 IP 半扫描攻击
  该警报通知您,有人一再试图访问目的计算机,但却没有传送相应的ACK(确认)数据包。
  
  标准的TCP链接是通过给目的计算机发送一个SYN(同步/开始)数据包来建立的。如果该目的正在等待连接到某个端口,就会发送一个SYN/ACK (同步确认)数据包。最初的发送者回应一个ACK数据包,链接就建立起来了。如果该目的计算机的没有等待指定端口上的连接,就发送一个RST(重置)数据包。
  
  多数的系统日志收到源头发送的最终的ACK数据包之后,才将该链接记入日志。发送的是RST数据包而不是最终的ACK数据包,说明该链接没有真正建立起来,因此它不会记入日志中。因为源头能够鉴别目的计算机发送的是SYN/ACK数据包,还是RST数据包,所以黑客能够精确地判断哪个端口是公开连接的,而且目的计算机意识不到这是黑客的探测行为。
  
  如果发生了该警报,就将产生扫描的地址记入日志。适当的话,配置ISA Server策略规则或者IP数据包筛选器来阻止来自该扫描源的通信。
  
  4.6.4 登录攻击
  该警报通知您,发送的TCP SYN 数据包还带有与目的IP地址和端口匹配的伪源IP地址和端口数。如果该攻击成功了,它将使某些TCP执行程序陷入死循环而死机。
  
  如果发生了该警报,配置ISA Server策略规则或者IP数据包筛选器使其禁止来自该扫描源头的通信。
  
  4.6.5 Ping of Death攻击
  该警报通知您,Internet控制报文协议(ICMP)的回应请求(ping)数据包中附加有大量的信息。如果该攻击成功了,它将使计算机的内核缓冲区溢出而死机。
  
  如果发生了该警报,创建一个协议规则,明确地拒绝来自Internet的传入ICMP回应请求数  据包。
  
  4.6.6 UDP轰炸攻击
  该警报通知您,有人试图给您发送非法的UDP数据包。这些UDP数据包的某些字段上有非法值。接收到这样的数据包时,会导致一些旧的操作系统崩溃。而一旦目标机器崩溃之后,通常就很难找出原因了。
  
  4.6.7 Windows Out-of-Band攻击(WinNuke)
  该警报通知您,有人试图通过OOB denial-of service(拒绝服务)攻击一台由ISA Server保护的计算机。如果该攻击成功了,它将导致计算机崩溃或者导致某些易受攻击的计算机失去网络链接。
  
   注意 入侵检测功能是基于美国亚特兰大Internet安全系统公司(Internet Security Systems, Inc., Atlanta, Georgia)的有关技术。
  
  4.6.8 配置入侵检测
  为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。
  
  要启用这个功能,选择IP Packet Filters Properties对话框上的Enable Intrusion Detection复选框,如图4.15所示。
   ISA配置教程之配置ISA Server以检测外部攻击和入侵(图二)
  ISA Server包括一个为入侵检测预先配置的名为Intrusion Detected的警报,如图 4.16所示。默认状态下,启用入侵检测后,只要一检测到任何一种入侵类型,该警报就会往Windows 2000事件日志中发消息。也可以修改Intrusion Detected警报,让它在检测到入侵时,作出另外的响应。也可以创建一个新警报,当检测到一个特定的入侵类型时,作出其他可能的警报反应。另外,配置端口扫描警报时,可以设定触发警报的端口攻击数量。
  ISA配置教程之配置ISA Server以检测外部攻击和入侵(图三)
    按如下步骤配置入侵检测:
  
  1.  在ISA Management控制台树上,右击IP Packet Filters,然后单击Properties。
  
  2.  在General选项卡上,选中Enable Packet Filtering复选框(如果尚未选择它),同时选定Enable Intrusion Detection复选框。
  
  3.  在Intrusion Detection选项卡中,单击能引起事件的攻击类型:
  
  u     Windows Out-Of-Band (WinNuke)
  
  u     登录
  
  u     Ping of Death
  
  u     IP半扫描
  
  u     UDP轰炸
  
  u     端口扫描
  
  4.  如果选择了Port Scan,那么执行以下步骤:
  
  u     在Well-Known Ports文本框中,输入引起事件之前所能扫描的常用端口的最大 号码。
  
  u     在Ports文本框中,输入触发警报之前所能扫描的端口数目。
  
  
   注意 Well-Known Ports(常用端口)就是从0到1023之间的任一端口。
  
  
  4.6.9 练习:在ISA Server上配置入侵检测
  在本练习中,您将启用ISA Server上的入侵检测。这样,无论什么时候检测到入侵,ISA Server就会往事件日志上写警报。
  
  练习:启动入侵检测
  在本练习中,您将学习启动ISA服务器来检测所有6种入侵类型。
  
  Ø     启动入侵检测来检测所有的入侵类型:
  
  1.  在ISA Management中,依次找到Servers And Arrays、MyArray、Access Policy、以及IP Packet Filters。
  
  2.  右击IP Packet Filters文件夹,然后单击Properties。
  
  出现一个IP Packet Filters Properties对话框。
  
  3.  在General选项卡中,单击Enable Intrusion Detection复选框。
  
  4.  单击Intrusion Detection选项卡。
  
  5.  单击Windows Out-Of-Band (WinNuke)、Land、Ping Of Death、IP Half Scan、UDP Bomb以及Port Scan等复选框。
  
    两个Detect After Attacks On文本框变为可输入状态。
  
  6.  保留这些文本框中的默认设置,然后单击OK。
  
  4.6.10 小结
  在ISA Management的IP数据包筛选属性对话框中启用入侵检测,可以把ISA Server配置为能够检测6种常见的网络攻击。这些攻击包括端口扫描攻击、IP半扫描攻击、登录攻击、Ping of Death攻击、UDP轰炸攻击以及Windows out-of-band (WinNuke)攻击。默认状态下,启用入侵检测,ISA Server只要检测到其中任何一种攻击,就会往Windows 2000事件日志中写信息。这些消息在事件观察器中就是警报。也可以配置ISA Server针对攻击做出其他的反应,例如给管理员发送电子邮件、启动一个特定的程序、或者启动或停止选定的ISA Server服务。
  
  4.7 本章复习
  下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录A中。
  
  1.   下面哪一种情况下,John可以通过ISA Server访问Internet? 假定默认状态为设置了允许站点和内容规则,并且没有配置其他的规则或筛选器。
  
  a.  配置一个协议规则,允许任何请求都可以访问所有的IP通信。然后再配置一个协议规则,拒绝用户John访问所有的IP通信。假定传出Web请求的阵列默认属性没有修改。请问John可以通过安全网络地址转换客户端上的Web浏览器访问Internet吗?
  
  b.  配置一个协议规则,允许Domain Users组内的每个成员都可以访问所有的IP通信。John是Domain Guests组(不是Domain Users)的一个成员,并且传出Web请求的阵列默认属性没有变化。请问John可以通过安全网络地址转换客户端上的Web浏览器访问Internet吗?
  
  c.  配置一个协议规则,允许任何请求都可以访问所有的IP通信。然后再配置一个协议规则,拒绝Domain Guests访问所有的IP通信。John是(且仅是)Domain Guests组的一个成员,并且传出Web请求的阵列默认属性已经修改为

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网