Защита информации в инфокоммуникационных системах и сетях
..pdf
Рис. 5. Диалоговое окно «Расширение (Extension)»
Вкладка Headers
На вкладке Headers (Заголовки) представлены следующие параметры:
Allow all headers except the following (Разрешить все заголовки,
кроме следующих);
Server header (Заголовок сервера);
Via header (Заголовок VIA).
Рис. 6. Вкладка «Заголовки (Headers)»
251
HTTP-заголовок содержит характерную для HTTP-сообщения информацию, которая включается в HTTP-запросы, сделанные Web-клиентом
(таким как Web-обозреватель), и HTTP-ответы, посылаемые Web-сервером обратно Web-клиенту. Эти заголовки выполняют многочисленные функции,
такие как определение статуса и состояния HTTP-коммуникаций и других характеристик HTTP-сеанса связи.
Кобщим HTTP-заголовкам относятся следующие:
размер содержимого (Content-length);
директива (Pragma);
пользователь-агент (User-Agent);
принятое кодирование (Accept-Encoding).
Можно принимать все HTTP-заголовки или запретить конкретные,
заданные HTTP-заголовки. Существуют определенные HTTP-заголовки,
которые рекомендуется блокировать всегда, например такие, как заголовок P2PAgent, используемый многими одноранговыми (peer-to-peer) приложениями.
Если нужно запретить конкретный HTTP-заголовок, щелкните мышью кнопку
Add (Добавить).
В диалоговом окне Header (Заголовок) выберите вариант Request headers (Заголовки запросов) или вариант Response headers (Заголовки ответов) в
раскрывающемся списке Search in (Искать в). Введите HTTP-заголовок, который вы хотите запретить, в текстовое поле HTTP header (HTTP-заголовок). Щелкните мышью кнопку ОК.
252
Рис.7. Диалоговое окно «Заголовок»
Можно настроить заголовок сервера, возвращаемый в HTTP-ответах,
выбрав вариант Server Header (Заголовок сервера) в раскрывающемся списке.
Заголовок сервера – это HTTP-заголовок, посылаемый Web-сервером обратно
Web-клиенту и информирующий последнего о типе Web-сервера, с которым соединяется клиент. Злоумышленники могут использовать эту информацию для атаки Web-сервера. Имеются следующие возможности:
отправить исходный заголовок;
вырезать заголовок из ответа;
изменить заголовок в ответе.
Вариант Send original header (Отправить исходный заголовок)
позволяет передать неизмененным заголовок, посланный Web-сервером.
Вариант Strip header from response (Вырезать заголовок из ответа) разрешает брандмауэру ISA убрать заголовок сервера, а вариант Modify header in response
(Изменить заголовок в ответе) позволяет изменить заголовок. Следует
изменять заголовок, чтобы запутать злоумышленников. Поскольку Web-клиенты
253
не требуют этот заголовок, можно изменить его на Private, CompanyName или другое понравившееся вам имя.
Перечисленные варианты помогут помешать злоумышленникам (или, по крайней мере, задержать их). Им придется потратить больше усилий и использовать альтернативные методы для просмотра идентификационной информации («fingerprint») вашего Web-сервера.
Рис.8. Параметр «Заголовок сервера (Server Header)»
Параметр Via Header (Маршрутный заголовок) позволяет управлять маршрутным заголовком, посылаемым Web-клиенту. Если между клиентом и
Web-сервером располагаются серверы Web-прокси, то сервер Web-прокси вставляет маршрутный заголовок в HTTP-сообщение, информирующий клиента о том, что запрос был обработан сервером Web-прокси в процессе передачи.
Каждый сервер Web-прокси на пути запроса может добавить свой собственный маршрутный заголовок, и каждый отправитель на пути следования ответа удаляет свой маршрутный заголовок и пересылает ответ на сервер, заданный в следующем маршрутном заголовке, хранящемся в «стеке» маршрутных заголовков. Параметры маршрутного заголовка позволяют изменить имя
254
брандмауэра ISA, включенное в его собственный маршрутный заголовок, или скрыть это имя. Установка по умолчанию на брандмауэре ISA – включать имя компьютера, на котором размещен брандмауэр, в маршрутный заголовок.
Имеются два возможных варианта:
послать заголовок, установленный по умолчанию;
изменить заголовок в запросе и ответе.
Вариант Send default header (Отправить заголовок, установленный по
умолчанию) оставляет маршрутный заголовок без изменений. Вариант Modify
header in request and response (Изменить заголовок в запросе и ответе)
позволяет изменить имя, включенное в маршрутный заголовок, вставляемый вашим брандмауэром ISA. Cоветуем изменять его, чтобы скрыть действительное имя вашего брандмауэра ISA и тем самым помешать злоумышленникам определить настоящее имя компьютера вашего брандмауэра ISA.
Введите другой маршрутный заголовок в текстовое поле Change To (Заменить на).
Вкладка Signatures
На вкладке Signatures (Подписи) можно управлять доступом через брандмауэр ISA с помощью НТТР-сигнатур или подписей, созданных вами. Эти сигнатуры представляют собой строки, содержащиеся в следующих компонентах HTTP-сообщения:
URL-адресе запроса;
заголовке запроса;
тексте запроса;
заголовке ответа;
тексте ответа.
255
Рис. 9. Вкладка «Подписи (Signatures)»
Получить доступ к диалоговому окну Signatures (Сигнатуры) можно,
щелкнув мышью кнопку Add (Добавить).
Рис.10. Диалоговое окно «Подпись (Signature)»
В диалоговом окне Signature (Сигнатура) введите имя сигнатуры в текстовое поле Name (Имя) и описание сигнатуры в текстовое поле Description
256
(Описание). Последнее особенно полезно для того, чтобы знать о назначении и смысле этой сигнатуры.
В раскрывающемся списке Search in (Поиск в) укажите, где брандмауэру
ISA искать заданную строку. Возможны следующие варианты:
Request URL (URL-адрес запроса). Выбор этого варианта позволяет ввести строку, обнаружение которой в URL-адресе запроса Web-
клиента вызовет блокирование соединения. Например, если нужно предотвратить любые запросы к сайтам, содержащим строку
―Kazaa‖ в URL-адресе, включенном в запрос Web-клиента, введите
―Kazaa‖ в текстовое поле Signature (Подпись).
Request headers (Заголовки запроса). При выборе этого варианта
введите в
текстовое поле HTTP header (Заголовок HTTP) конкретный HTTP-
заголовок, который должен проверять брандмауэр ISA, и в текстовое поле Signature – строку в заголовке, которую необходимо блокировать. Например, если необходимо блокировать приложения Р2Р (одноранговые) файлообменной сети eDonkey, можно выбрать этот вариант, а затем User-Agent (Пользователь-агент) в текстовом поле HTTP header. Далее в текстовое поле Signature (Подпись)
введите ed2k. Обратите внимание на то, что этот вариант предоставляет более тонкое управление, чем на вкладке
Headers (Заголовки), – простая блокировка заголовков. Если запретить конкретный заголовок на вкладке Headers (Заголовки), то будут блокироваться все HTTP-сообщения, использующие заданный заголовок. Создав сигнатуру, встроенную в указанный заголовок,
можно разрешить этот заголовок во всех сообщениях, не содержащих строку, которая введена как сигнатура.
Request body (Текст запроса). Можно блокировать HTTP-сообщения,
основываясь на теле Web-запроса, информации, не входящей ни в
257
HTTP-команды, ни в заголовки. Несмотря на то, что это очень мощная функциональная возможность, она может потреблять большой объем ресурсов на компьютере брандмауэра ISA. По этой причине следует определить диапазон проверяемых брандмауэром
ISA байтов в текстовых полях From (От) и То (До) в области вкладки
Byte range (Диапазон, в байтах).
Response headers (Заголовки ответов). Если выбран этот вариант, то вводится конкретный HTTP-заголовок, который следует блокировать, основываясь на HTTP-ответе, возвращенном Web-
сервером. Введите этот заголовок в текстовое поле HTTP header, а
строку, включенную в HTTP-заголовок, – в текстовое поле Signature.
Response body (Текст ответа). Этот вариант функционирует так же,
как вариант Request body (Текст запроса), за исключением того, что он применяется к содержимому, возвращаемому Web-клиенту с
Web-сервера. Например, если нужно блокировать Web-страницы,
содержащие конкретные строки, которые определяются как опасные или неподходящие, можно создать сигнатуру для блокирования этих строк. Вспомните об этом, узнав о новейшей Web-ориентированной атаке, и создайте сигнатуру, блокирующую соединения,
организующие подобные атаки.
|
Таблица 2. |
Пример политики HTTPS-фильтра |
||||
|
|
|
|
|
|
|
Вкладка |
|
Параметр |
|
|
|
|
|
|
|
|
|
|
|
General (Общие) |
|
|
Максимальная |
|
длина |
|
|
|
|
заголовка – 32768 |
|
|
|
|
|
|
Установлен |
|
флажок |
|
|
|
|
«Разрешать |
любую |
длину |
|
|
|
|
полезных даных» |
|
|
|
|
|
|
Максимальная |
длина |
URL- |
|
|
|
|
|
|
|
|
258
|
|
адреса – 260 |
|
|
|
|
Максимальная |
длина запроса |
|
|
|
– 4096 |
|
|
|
|
Установлен |
|
флажок |
|
|
«Проверять нормализацию» |
||
|
|
Сброшен |
|
флажок |
|
|
«Блокировать |
|
символы |
|
|
расширенного набора» |
||
|
|
|
|
|
Methods (Методы) |
|
Разрешить только |
указанные |
|
|
|
способы |
|
|
|
|
GET |
|
|
|
|
HEAD |
|
|
|
|
POST |
|
|
|
|
|
|
|
Extensions (Расширения) |
|
Блокировать |
все |
указанные |
|
|
расширения, |
|
разрешить |
|
|
остальные |
|
|
|
|
.exe, .bat, .cmd, .com, .htw, .ida, |
||
|
|
.idq, .htr, .idc, .shtm, .shtml, |
||
|
|
.stm, .printer, .ini, .log, .pol, .dat |
||
|
|
|||
Headers (Заголовки) |
Никаких изменений по сравнению с |
|||
|
установками по умолчанию |
|||
|
|
|
||
Signatures (Подписи) (Request URL, |
Блокировать |
содержимое, |
||
URL-адрес запроса) |
содержащее эти сигнатуры: |
|||
|
./ |
|
|
|
|
|
|
|
|
259
\
%
$
Дополнительная политика безопасности
Обнаружение и предотвращение типовых атак
Получить доступ к диалоговому окну «Обнаружение вторжений» можно,
открыв консоль управления Microsoft Internet Security and Acceleration Server 2006, раскрыв окно, связанное с именем сервера, а затем раскрыв узел
«Конфигурация». Щелкните кнопкой узел «Общие».
В узле «Общие» щелкните кнопкой мыши ссылку «Включить обнаружение вторжений и обнаружение DNS-атак». На экране появится вкладка «Распространенные атаки».
На вкладке «Распространенные атаки» установите флажок «Включить обнаружение вторжений». Установите флажки, расположенные слева от тех типов атак, которые необходимо предотвращать. Если включается атака типа
260