Anhang D: Einstellen der TCP/IP-Reaktion auf Angriffe
TCP/IP-Sicherheitseinstellungen
Zusätzlich zu den oben aufgeführten Einstellungen können die folgenden Schlüssel verändert werden, damit das System wirksamer auf Angriffe reagieren kann. Dabei ist zu beachten, dass diese Empfehlungen auf keinen Fall das System gegen Angriffe unverwundbar machen und es hier nur darum geht, die Reaktion des TCP/IP-Stapels für den Fall eines Angriffs zu optimieren. Die Einstellung dieser Schlüssel wirkt sich nicht auf die vielen anderen Komponenten im System aus, die zum Angriff auf das System verwendet werden können. Wie bei jeder Änderung an der Registrierung muss der Administrator einen umfassenden Überblick darüber haben, wie sich diese Veränderungen auf die Standardfunktion des Systems auswirken und ob sie in der eigenen Umgebung angebracht sind.
SynAttackProtect
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD
Gültiger Bereich: 0, 1, 2
0 (kein Schutz gegen SYN-Angriffe)
1 (weniger Wiederholungsversuche bei der Übertragung und verzögerte Erstellung des RCE (Route Cache Entry), wenn die Einstellungen von TcpMaxHalfOpen und TcpMaxHalfOpenRetried erfüllt sind.)
2 (zusätzlich zu 1 erfolgt eine verzögerte Mitteilung an Winsock.)
Anmerkung Wenn sich das System angegriffen sieht, können folgende Optionen an allen Sockets nicht mehr aktiviert sein: Skalierbare Fenster (RFC 1323) und pro Adapter konfigurierte TCP-Parameter (Anfängliche RTT, Fenstergröße). Das liegt daran, dass der Schutz nicht funktioniert, wenn der RCE nicht abgefragt wird, bevor die SYN-ACK gesendet wird und die Winsock-Optionen nicht auf dieser Stufe der Verbindung verfügbar sind.
Standard: 0 (False)
Empfehlung: 2
Beschreibung: Der Schutz gegen SYN-Angriffe erfordert das Herabsetzen der Anzahl der Neuübertragungen für die SYN-ACKS, wodurch die Zeit verkürzt wird, während derer die Ressourcen zugewiesen bleiben müssen. Die Zuweisung der RCE-Ressourcen wird verzögert, bis eine Verbindung aufgebaut ist. Wenn synattackprotect = 2, wird die Verbindungsmitteilung an AFD verzögert, bis der Drei-Wege-Handshake abgeschlossen ist. Bitte beachten Sie auch, dass die von dem Schutzmechanismus ergriffenen Maßnahmen nur dann wirksam werden, wenn die Einstellungen von TcpMaxHalfOpen und TcpMaxHalfOpenRetried überschritten werden.
TcpMaxHalfOpen
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD—Anzahl
Gültiger Bereich: 100–0xFFFF
Standard: 100 (Professional, Server), 500 (Advanced Server)
Beschreibung: Dieser Parameter steuert die Anzahl der Verbindungen, die im SYN-RCVD-Zustand zulässig sind, bevor der SYN-ATTACK-Schutz ausgeführt wird. Wenn SynAttackProtect auf 1 gesetzt wird, stellen Sie sicher, dass dieser Wert niedriger ist als das die Zahl der AFD-Rückstellungen für den Port, den Sie schützen möchten (weitere Informationen finden Sie unter dem Stichpunkt "Zurückstellungsparameter" in Anhang C). Weitere Informationen finden Sie unter SynAttackProtect-Parameter.
TcpMaxHalfOpenRetried
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD—Anzahl
Gültiger Bereich: 80–0xFFFF
Standard: 80 (Professional, Server), 400 (Advanced Server)
Beschreibung: Dieser Parameter steuert die Anzahl von Verbindungen im SYN-RCVD-Zustand, für die mindestens einmal das SYN erneut übertragen wurde, bevor der Angriffsschutz SYN-ATTACK ausgeführt wird. Weitere Informationen finden Sie unter SynAttackProtect-Parameter.
EnablePMTUDiscovery
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD—Boolean
Gültiger Bereich: 0, 1 (False, True)
Standard: 1 (True)
Empfehlung: 0
Beschreibung: Wenn dieser Parameter auf 1 (True) gesetzt ist, versucht TCP, die MTU über den Pfad zu einem Remotehost festzustellen. Durch das Feststellen der PMTU und das Einschränken der TCP-Segmente auf diese Größe kann TCP die Fragmentierung an den Routern entlang des Pfades eliminieren, die eine Verbindung zu Netzwerken mit anderen maximalen Übertragungseinheiten herstellen. Die Fragmentierung wirkt sich negativ auf den TCP-Durchsatz und die Netzwerküberlastung aus. Wenn dieser Parameter auf 0 gesetzt wird, führt dies dazu, dass eine maximale Übertragungseinheit von 576 Bytes für alle Verbindungen verwendet wird, die nicht zu Hosts in dem lokalen Subnetz sind.
NoNameReleaseOnDemand
Schlüssel: Netbt\Parameter
Werttyp: REG_DWORD—Boolean
Gültiger Bereich: 0, 1 (False, True)
Standard: 0 (False)
Empfehlung: 1
Beschreibung: Mit diesem Parameter wird festgelegt, ob der Computer seinen NetBIOS-Namen freigibt, wenn er eine Aufforderung zur Freigabe seines Namens vom Netzwerk erhält. Er wurde hinzugefügt, um dem Administrator den Schutz des Computers gegen bösartige Namensfreigabeangriffe zu ermöglichen.
EnableDeadGWDetect
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD—Boolean
Gültiger Bereich: 0, 1 (False, True)
Standard: 1 (True)
Empfehlung: 0
Beschreibung: Wenn dieser Parameter auf 1 gesetzt ist, darf TCP die Identifizierung deaktivierter Gateways durchführen. Wenn diese Funktion aktiviert ist, kann TCP IP auffordern, zu einem Reservegateway zu wechseln, falls bei einer Reihe von Verbindungen Schwierigkeiten auftreten. Reservegateways können in Erweiterte TCP/IP-Einstellung in den Netzwerk- und DFÜ-Verbindungen definiert werden. Weitere Informationen dazu finden Sie im Abschnitt "Identifzierung deaktivierter Gateways" dieses Whitepapers.
KeepAliveTime
Schlüssel: Tcpip\Parameter
Werttyp: REG_DWORD—Zeit in Millisekunden
Gültiger Bereich: 1–0xFFFFFFFF
Standard: 7.200.000 (zwei Stunden)
Empfehlung: 300,000
Beschreibung: Der Parameter steuert, wie oft TCP zu überprüfen versucht, ob eine im Leerlauf befindliche Verbindung noch intakt ist, indem es ein ein Keepalive-Paket sendet. Wenn das Remotesystem noch erreichbar ist und funktioniert, bestätigt es die Keepalive-Übertragung. Keepalive-Pakete werden nicht standardmäßig versendet. Diese Funktion kann von einer Anwendung für eine Verbindung aktiviert werden.
PerformRouterDiscovery
Schlüssel: Tcpip\Parameter \Interfaces\Schnittstelle
Werttyp: REG_DWORD
Gültiger Bereich: 0, 1, 2
0 (deaktiviert)
1 (aktiviert)
2 (nur aktivieren, wenn DHCP die Routersuchoption sendet)
Standard: 2, DHCP-gesteuert, aber standardmäßig aus.
Empfehlung: 0
Beschreibung: Dieser Parameter steuert, ob Windows 2000 versucht, eine Routersuche nach RFC 1256 für einzelne Schnittstellen durchzuführen. Siehe auch SolicitationAddressBcast.
© 2000 Microsoft Corporation. Alle Rechte vorbehalten.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
Microsoft, Windows und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Weitere in diesem Dokument aufgeführte Produkt- oder Firmenbezeichnungen können geschützte Marken ihrer jeweiligen Inhaber sein.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA
02/00
1 Spezifikationen und Programmierinformationen finden Sie im Windows NT Device Driver Kit (DDK). Einige Informationen sind auch über die Microsoft Internet-Website erhältlich.
2 Die meisten NICs können in einen Modus geschaltet werden, in dem die NIC die Adressen der Rahmen, die in den Medien erscheinen, nicht filtert. Stattdessen gibt sie jeden Rahmen weiter, der den CRC (Cyclic Redundancy Check) besteht. Diese Funktion wird von mancher Protokollanalyse-Software, wie Microsoft Netzwerkmonitor, verwendet.
3 Die 6 von DiffServ definierten Bits wurden zuvor als TOS-Bits bezeichnet. Durch DiffServ wird die Verwendung des früheren TOS überflüssig. Daher wird die Einstellung der TOS-Bits durch Winsock nicht unterstützt. Alle Anforderungen von IP TOS müssen über die GQoS-API erfolgen, sofern nicht der Registrierungsparameter DisableUserTOSSetting modizifiert wurde (Anhang A).
4 Das Erhöhen eines der Registrierungsparameter TcpMaxDataRetransmissions oder TcpMaxConnectRetransmissions um 1 verdoppelt ungefähr die Zeitüberschreitungsfrist für die gesamte Neuübertragung. Wenn es erforderlich ist, längere Zeitüberschreitungen zu konfigurieren, sollten diese Parameter schrittweise erhöht werden.
5 Statt zu Beginn ein TCP-Segment zu senden, beginnt Windows NT/Windows 2000 TCP mit zwei Segmenten. Dadurch muss der Zeitgeber für die verzögerte ACK nicht warten, bis die erste Sendung auf dem Zielcomputer abgelaufen ist, wodurch die Leistung für einige Anwendungen verbessert wird.
6 Informationen zu den Redirectordienst-Registrierungsparametern finden Sie im Microsoft Windows NT/Windows 2000 Resource Kit oder der Microsoft Knowledge Base.
7 Stevens, Richard. TCP/IP Illustrated, Volume 1: The Protocols. Reading, MA: Addison-Wesley Publishing Co., 1993.
8 Beide Spezifikationen finden Sie in der Microsoft Internet-Website unter www.microsoft.com (englischsprachig) und ftp.microsoft.com(englischsprachig).
9 Die automatische IP-Konfiguration kann mit dem Registrierungsschlüssel IPAutoconfigurationEnabled deaktiviert werden. Das Subnetz und die Subnetzmaske kann mit den Registrierungsschlüsseln IPAutoconfigurationSubnet und IPAutoconfigurationMask gesteuert werden. Diese Schlüssel werden in Anhang A beschrieben.
10 Siehe "draft-ietf-dhc-dhcp-dns-*.txt"
|
