Дополнительные параметры и защита от flood-атак |
Окно "Параметры" подменю "Настройки" правил дополнительной фильтрации содержит список дополнительных опций межсетевого экрана.
Окно состоит из трех вкладок. Первые две, "Соединения" и "Flood-атака", предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Переход между вкладками осуществляется нажатием сочетания клавиш <Ctrl + →> и <Ctrl + ←>. Вкладка Соединения содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP\TCP\UDP соединениями в обычном режиме и в режиме после обнаружения атаки. Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец). Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений: •UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы; •ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы; •IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов; •TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются. Совместимость с FULL TRANSP. RiverBed – переключатель, который активирует на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных). Сброс TCP-пакетов с неверными флагами – переключатель, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP. Вкладка Flood-атака содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов. Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%. В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке "Соединения", а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками. ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев: •Максимальное кол-во новых TCP соединений (шт./сек.) –количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду; •Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду; •Максимальное кол-во новых ICMP обменов (шт./сек.) –количество новых ICMP- обменов в секунду; •Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду; Во время защиты от flood-атаки, ФПСУ-IP начитает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр "Максимальное кол-во соединений с IP-адреса (шт./сек.)", то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться. Если переключатель "[ ] Flood control" установлен, то IP-адрес будет находится в стоп-листе время, указанное в поле "Время нахождения в стоп-листе (мин.)". Если переключатель "[ ] Flood control" не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP. Переключатель "[ ] Flood control" влияет на действие/бездействие параметров "Максимальное кол-во новых TCP соединений (шт./сек.)", "Максимальное кол-во новых UDP соединений (шт./сек.)", "Максимальное кол-во новых ICMP обменов (шт./сек.)", " Максимальное кол-во соединений с IP-адреса (шт./сек.)" Если переключатель снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов. СОВ – команда перехода в интерфейс настройки взаимодействия ФПСУ-IP со сторонними средствами обнаружения вторжений (подробнее см. пункт "Взаимодействие со средствами обнаружения вторжений"). На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле "Процент flood-соединений – атака считается завершенной" доли соединений, по сравнению с количеством соединений на начало атаки. После первоначального уменьшения соединений до процентного значения, указанного в поле "Процент flood-соединений – атака считается завершенной", ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле "Начальный интервал ожидания flood-атаки (мин.)" значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы. Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле "Максимальный интервал ожидания Flood-атаки (мин.)". Вкладка Spoofing содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи. Если в общих настройках правила трафика выключена опция Spoof (см. пункт "Общие настройки правил трафика"), то настройки на вкладке Spoofing никак не влияют на обработку и передачу пакетов, подпадающих под описываемое правило. Если опция Spoof включена в общих настройках правила трафика, то ФПСУ-IP отправляет подтверждение о передаче пакета получателем отправителю самостоятельно, не дожидаясь такого подтверждения от получателя. После этого ФПСУ-IP буферизирует пакеты отправителя и периодически отправляет их получателю, повторяя при необходимости отправку в отсутствие подтверждения о получении. Некоторые параметры такой отправки можно изменить: •Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя; •Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд. |