Дополнительные параметры и защита от flood-атак |
Команда «Параметры» меню «Параметры доступа» правил дополнительной фильтрации содержит список дополнительных опций межсетевого экрана.
Окно состоит из трех вкладок. Первые две, Соединения и Анти-флуд и СОВ, предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Переход между вкладками осуществляется установлением курсора на вкладке и нажатием сочетания клавиш <Ctrl →> и <Ctrl ←> или клавиш <→> и <←>. Вкладка Соединения содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP/TCP/UDP соединениями в обычном режиме и в режиме после обнаружения атаки. Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец). Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений: UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы; ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы; IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов; TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются. Совместимость с FULL TRANSP. RiverBed – флаг, активирующий на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных). Сброс TCP-пакетов с неверными флагами – флаг, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP. Вкладка Анти-флуд и СОВ содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов. Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%. В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке Соединения, а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками. ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев: Максимальное кол-во новых TCP соединений (шт./сек.) – количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду; Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду; Максимальное кол-во новых ICMP обменов (шт./сек.) – количество новых ICMP- обменов в секунду; Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду. Во время защиты от flood-атаки, ФПСУ-IP начинает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр «Максимальное кол-во соединений с IP-адреса (шт./сек.)», то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться. Анти-флуд включен. Если флаг «Анти-флуд включен» установлен, то IP-адрес будет находится в стоп-листе время, указанное в поле «Время нахождения в стоп-листе (мин.)». Если флаг «Анти-флуд включен» не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP. Флаг «Анти-флуд включен» влияет на действие/бездействие параметров «Максимальное кол-во новых TCP соединений (шт./сек.)», «Максимальное кол-во новых UDP соединений (шт./сек.)», «Максимальное кол-во новых ICMP обменов (шт./сек.)», «Максимальное кол-во соединений с IP-адреса (шт./сек.)». Если флаг снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов. СОВ включена. На ФПСУ-IP может быть установлена система обнаружения вторжений IDS (см. раздел «IDS») или интегрированы сторонние средства обнаружения вторжений (см. пункт «Взаимодействие со средствами обнаружения вторжений»). Система IDS предотвращает вторжения, отправляя сообщение об угрозе МЭ ФПСУ-IP, МЭ ФПСУ-IP осуществляет блокировку IP-адреса источника угрозы. При установлении флага МЭ ФПСУ-IP блокирует IP-адрес, если флаг выключен блокировка не сработает. Чувствительность COB настраивается в зависимости от установленного уровня серьёзности правил. Если у правила уровень серьёзности больше установленного, то блокировки IP-адреса не будет. Блокировка IP-адреса будет выполнена МЭ, если от системы IDS пришло сообщение: •Низкая – о срабатывании правил с уровнем 1; •Средняя – о срабатывании правил с уровнем 1-2; •Высокая – о срабатывании правил с уровнем 1-3. Пример: В настройках МЭ установлен флаг «СОВ включена» и установлена чувствительность «Низкая», система IDS присылает сообщение МЭ о срабатывании правила с уровнем серьёзности 2, МЭ в данном случае не будет блокировать IP-адрес. Интеграция с внешней СОВ – команда перехода в интерфейс настройки взаимодействия ФПСУ-IP со сторонними средствами обнаружения вторжений (подробнее см. пункт «Взаимодействие со средствами обнаружения вторжений»). На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле «Процент flood-соединений – атака считается завершенной» доли соединений, по сравнению с количеством соединений на начало атаки. После первоначального уменьшения соединений до процентного значения, указанного в поле «Процент flood-соединений – атака считается завершенной», ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле «Начальный интервал ожидания flood-атаки (мин.)» значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы. Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле «Максимальный интервал ожидания Flood-атаки (мин.)». Вкладка Spoofing содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи. Если в общих настройках правила трафика выключена опция Spoof (см. пункт «Общие настройки правил трафика»), то настройки на вкладке Spoofing никак не влияют на обработку и передачу пакетов, подпадающих под описываемое правило. Если опция Spoof включена в общих настройках правила трафика, то ФПСУ-IP отправляет подтверждение о передаче пакета получателем отправителю самостоятельно, не дожидаясь такого подтверждения от получателя. После этого ФПСУ-IP буферизирует пакеты отправителя и периодически отправляет их получателю, повторяя при необходимости отправку в отсутствие подтверждения о получении. Некоторые параметры такой отправки можно изменить: Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя; Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд. Таймаут актуальности уровня доступа (сек.) – клиенты получают по протоколу RADIUS от сервера авторизации текущий уровень доступа. Уровень доступа клиента является одним из критериев, по которым МЭ ФПСУ-IP осуществляет фильтрацию трафика. На ФПСУ-IP для группы клиентов в правиле трафика может быть определено условие, по которому клиенты получают доступ в защищенную сеть на основе заданного уровня доступа. Сервер авторизации может присылать ФПСУ-IP уведомления на изменение уровня доступа для конкретного клиента. Таймаут актуальности уровня доступа - это максимальный период времени реакции на смену уровня доступа клиентов при его изменении. Чем меньше таймаут, тем больше требуется ресурсов. Чем больше таймаут, тем больше задержка реакции на изменение доступа клиента. |