Дополнительные параметры и защита от flood-атак
|
|
Дополнительные параметры и защита от flood-атак |
|
|
Команда «Параметры» меню «Параметры доступа» правил дополнительной фильтрации содержит список дополнительных опций межсетевого экрана. Окно состоит из трех вкладок. Первые две, Соединения и Анти-флуд и СОВ, предназначены для настройки системы защиты ФПСУ-IP от атак отказа в обслуживании (flood-атак). Переход между вкладками осуществляется установлением курсора на вкладке и нажатием сочетания клавиш <Ctrl →> и <Ctrl ←> или клавиш <→> и <←>. Вкладка Соединения содержит установленные по умолчанию параметры работы межсетевого экрана ФПСУ-IP с IP/TCP/UDP соединениями в обычном режиме и в режиме после обнаружения атаки. Здесь настраиваются таймауты, по истечению которых неактивное соединение будет удалено из внутренней таблицы контроля соединений межсетевого экрана. Указывается два типа таймаутов – время удаления записи о соединении из таблицы при штатном режиме работы ФПСУ-IP (первый столбец), и время обнаружения атаки отказа в обслуживании (второй столбец).
Учитываются таймауты удаления из таблицы контроля соединения межсетевого экрана для следующих типов соединений: UDP без обмена – соединением в этом случае считается трафик между уникальными UDP портами разных IP-адресов абонентов ФПСУ-IP. В случае отсутствия UDP-трафика по указанным портам, по таймауту запись о соединении удаляется из таблицы; ICMP без обмена – соединением в этом случае считается ICMP обмен между двумя абонентами ФПСУ-IP. В случае отсутствия обмена ICMP-сообщениями в течение указанного таймаута, запись о соединении удаляется из таблицы; IP без обмена – соединением в этом случае считаются все прочие виды трафика между двумя абонентами, не являющиеся TCP, UDP или ICMP. Запись удаляется из таблицы по таймауту при отсутствии новых обменов; TCP в состоянии … – учитывается каждое соединение с разными TCP портами отправителя и получателя между любой парой абонентов ФПСУ-IP. По таймауту запись будет удалена из таблицы, и дальнейшее взаимодействие между этой парой абонентов должно будет начаться с повторного установления TCP-соединения. Новые пакеты, не относящиеся к установлению TCP-соединения, после удаления записи из таблицы будут сброшены. Для каждого состояния TCP-соединения используется одна запись в таблице контроля соединений межсетевого экрана ФПСУ-IP, но таймауты различаются. Совместимость с FULL TRANSP. RiverBed – флаг, активирующий на ФПСУ-IP механизм совместимости с оптимизаторами трафика RiverBed, которые отклоняются от стандартных схем работы TCP-соединений (в том разрешение на пропуск ACK без данных). Сброс TCP-пакетов с неверными флагами – флаг, указывающий межсетевому экрану ФПСУ-IP сбрасывать пакеты, в IP-заголовке которых обнаружены некорректные (не соответствующие рекомендуемым RFC) комбинации флагов протокола TCP. Вкладка Анти-флуд и СОВ содержит параметры, по которым ФПСУ-IP определяет начало атаки в свои адреса или адреса защищаемых абонентов и управляет списком заблокированных IP-адресов. Следует учитывать, что ФПСУ-IP безусловно переходит в режим защиты от flood-атаки, если оперативная память ФПСУ-IP загружается на 100%. В режиме защиты от flood-атаки ФПСУ-IP использует тайминги удаления соединений, указанные во вкладке Соединения, а также заносит в стоп-лист IP-адреса абонентов, передающих больше пакетов в секунду, чем разрешено настройками.
ФПСУ-IP переходит в режим защиты от атаки, если превышен хотя бы один из следующих критериев: Максимальное кол-во новых TCP соединений (шт./сек.) – количество новых, то есть отсутствующих в таблице контроля соединений межсетевого экрана, TCP- соединений в секунду; Максимальное кол-во новых UDP соединений (шт./сек.) – количество новых, то есть между новыми парами IP-адрес: UDP-порт, UDP- обменов в секунду; Максимальное кол-во новых ICMP обменов (шт./сек.) – количество новых ICMP- обменов в секунду; Максимальное кол-во новых ICMP пакетов (шт./сек.) – общее количество ICMP эхо-запросов (и только эхо-запросов) в секунду. Во время защиты от flood-атаки, ФПСУ-IP начинает считать количество пакетов в секунду, отправленных с IP-адресов абонентов. Если это число превышает параметр «Максимальное кол-во соединений с IP-адреса (шт./сек.)», то этот IP-адрес заносится в стоп-лист, то есть все исходящие от него пакеты будут блокироваться. Анти-флуд включен. Если флаг «Анти-флуд включен» установлен, то IP-адрес будет находится в стоп-листе время, указанное в поле «Время нахождения в стоп-листе (мин.)». Если флаг «Анти-флуд включен» не установлен, то IP-адрес будет находится в стоп-листе до перезагрузки ФПСУ-IP. Флаг «Анти-флуд включен» влияет на действие/бездействие параметров «Максимальное кол-во новых TCP соединений (шт./сек.)», «Максимальное кол-во новых UDP соединений (шт./сек.)», «Максимальное кол-во новых ICMP обменов (шт./сек.)», «Максимальное кол-во соединений с IP-адреса (шт./сек.)». Если флаг снят, то ФПСУ-IP будет переходить в режим защиты от flood-атаки только в случаях полной загрузки оперативной памяти и в случае превышения порога ICMP эхо-запросов. СОВ включена. Опция недоступна в данной версии. Интеграция с внешней СОВ – команда перехода в интерфейс настройки взаимодействия ФПСУ-IP со сторонними средствами обнаружения вторжений (подробнее см. пункт «Взаимодействие со средствами обнаружения вторжений»). На момент начала атаки ФПСУ-IP запоминает общее количество всех типов соединений – это значение потребуется для определения времени завершения атаки. Для начала выхода ФПСУ-IP из режима защиты от flood-атак, общее количество соединений сначала должно упасть до указанной в поле «Процент flood-соединений – атака считается завершенной» доли соединений, по сравнению с количеством соединений на начало атаки. После первоначального уменьшения соединений до процентного значения, указанного в поле «Процент flood-соединений – атака считается завершенной», ФПСУ-IP запускает таймер обратного отсчета, с указанным в поле «Начальный интервал ожидания flood-атаки (мин.)» значением. Если в течение этого времени общее количество соединений не поднялось обратно выше порога, то атака считается завершенной и ФПСУ-IP переходит в обычный режим работы. Если общее количество соединений за указанное время превысило пороговое значение, то ФПСУ-IP остается в режиме защиты от flood-атаки, таймер увеличивается в полтора раза и запускается заново. Максимальное значение таймера указывается в поле «Максимальный интервал ожидания Flood-атаки (мин.)». Вкладка Spoofing содержит параметры, отвечающие за работу ФПСУ-IP c TCP-соединениями в режиме spoofing на медленных каналах связи.
Если в общих настройках правила трафика выключена опция Spoof (см. пункт «Общие настройки правил трафика»), то настройки на вкладке Spoofing никак не влияют на обработку и передачу пакетов, подпадающих под описываемое правило. Если опция Spoof включена в общих настройках правила трафика, то ФПСУ-IP отправляет подтверждение о передаче пакета получателем отправителю самостоятельно, не дожидаясь такого подтверждения от получателя. После этого ФПСУ-IP буферизирует пакеты отправителя и периодически отправляет их получателю, повторяя при необходимости отправку в отсутствие подтверждения о получении. Некоторые параметры такой отправки можно изменить: Таймаут повторной пересылки задержанного пакета (мс.) – время в миллисекундах, через которое ФПСУ-IP будет проводить повторную пересылку пакета, в отсутствие ответа от получателя; Шаг увеличения таймаута (мс.) – с каждым разом повторной отправки пакета, время очередного повтора пересылки увеличивается на указанное в этом параметре количество миллисекунд. |
