Параметры доступа, правила трафика межсетевого экрана
Previous 

Дополнительные параметры и защита от flood-атак

 Next

Окно "Параметры" подменю "Настройки" правил дополнительной фильтрации содержит список дополнительных опций межсетевого экрана.

clip0043

Окно состоит из трех вкладок. Первые две, "Соединения" и "Flood-атака", предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Переход между вкладками осуществляется нажатием сочетания клавиш <Ctrl + →> и <Ctrl + ←>.

Вкладка Соединения содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP\TCP\UDP соединениями в обычном режиме и в режиме после обнаружения атаки.

Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец).

IP0603~1_img155

Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений:

UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы;

ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы;

IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов;

TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются.

Совместимость с FULL TRANSP. RiverBed – переключатель, который активирует на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных).

Сброс TCP-пакетов с неверными флагами – переключатель, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP.

Вкладка Flood-атака содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов.

Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%.

В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке "Соединения", а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками.

IP0603~1_img156

ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев:

Максимальное кол-во новых TCP соединений (шт./сек.) –количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду;

Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду;

Максимальное кол-во новых ICMP обменов (шт./сек.) –количество новых ICMP- обменов в секунду;

Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду;

Во время защиты от flood-атаки, ФПСУ-IP начитает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр "Максимальное кол-во соединений с IP-адреса (шт./сек.)", то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться.

Если переключатель "[  ] Flood control" установлен, то IP-адрес будет находится в стоп-листе время, указанное в поле "Время нахождения в стоп-листе (мин.)". Если переключатель "[  ] Flood control" не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP.

Переключатель "[  ] Flood control" влияет на действие/бездействие параметров "Максимальное кол-во новых TCP соединений (шт./сек.)", "Максимальное кол-во новых UDP соединений (шт./сек.)", "Максимальное кол-во новых ICMP обменов (шт./сек.)", " Максимальное кол-во соединений с IP-адреса (шт./сек.)" Если переключатель снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов.

СОВ – команда перехода в интерфейс настройки взаимодействия ФПСУ-IP со сторонними средствами обнаружения вторжений (подробнее см. пункт "Взаимодействие со средствами обнаружения вторжений").

На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле "Процент flood-соединений – атака считается завершенной" доли соединений, по сравнению с количеством соединений на начало атаки.

После первоначального уменьшения соединений до процентного значения, указанного в поле "Процент flood-соединений – атака считается завершенной", ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле "Начальный интервал ожидания flood-атаки (мин.)" значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы.

Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле "Максимальный интервал ожидания Flood-атаки (мин.)".

Вкладка Spoofing содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи.

IP0603~1_img157

Если в общих настройках правила трафика выключена опция Spoof (см. пункт "Общие настройки правил трафика"), то настройки на вкладке Spoofing никак не влияют на обработку и передачу пакетов, подпадающих под описываемое правило.

Если опция Spoof включена в общих настройках правила трафика, то ФПСУ-IP отправляет подтверждение о передаче пакета получателем отправителю самостоятельно, не дожидаясь такого подтверждения от получателя. После этого ФПСУ-IP буферизирует пакеты отправителя и периодически отправляет их получателю, повторяя при необходимости отправку в отсутствие подтверждения о получении.

Некоторые параметры такой отправки можно изменить:

Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя;

Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд.