Firewall - Grenzwert Angriffsalarm einrichten Angriffsbenachrichtigungen sind der erste Schritt zur Verteidigung gegen DoS-Angriffe. Bei DoS-Angriffen verwendet Prestige Grenzwerte, um zu bestimmen, wann eine Sitzung zurückgewiesen wird, wenn Sie nicht vollständig hergestellt wurde. Diese Grenzwerte werden global auf alle Sitzungen angewandt. Sie können die Standard-Grenzwerte verwenden, oder Sie können sie gemäß Ihrer Sicherheitsanforderungen anpassen. Grenzwerte Ändern Sie diese Werte nur geringfügig, wenn etwas nicht funktioniert und nachdem Sie die Firewall-Zähler überprüft haben. In Standard-Büroumgebungen mit ADSL-Bandbreite sollten die Standardwerte völlig ausreichen. Die Wahl der Grenzwerte hängt von den folgenden Faktoren ab:
Falls Ihr Netzwerk bei einigen dieser Werte zu langsam ist (besonders, wenn Sie einen langsamen Server haben oder er viele Aufgaben bearbeitet, sodass er häufig ausgelastet ist), sollten Sie sie leicht verringern. Bevor Sie die Firewall-Regeln einrichten, sollten Sie zunächst mögliche Änderungen an den Grenzwerten durchführen. Nicht vollständig geöffnete Sitzung Wenn eine ungewöhnlich hohe Anzahl nicht vollständig geöffneter Sitzungen (entweder ein absoluter Wert oder ein prozentualer) festgestellt wird, so ist dies ein Anzeichen für einen möglichen DoS-Angriff. Bei TCP bedeutet "nicht vollständig geöffnet", dass die Sitzung nicht den Status "offen" erreicht hat - das Dreiwege-Handshake von TCP wurde noch nicht vollständig abgeschlossen. Bei UDP bedeutet dies, dass der Firewall keinen antwortenden Datenverkehr festgestellt hat. Prestige überwacht sowohl die gesamte Anzahl nicht vollständig geöffneter Sitzungen als auch den prozentualen Wert von Versuchen, eine Sitzung zu öffnen. Bei der Ermittlung der gesamten Anzahl bzw. des prozentualen Werts nicht vollständig geöffneter Sitzungen werden sowohl TCP- als auch UDP-Sitzungen berücksichtigt. Die Messungen werden einmal pro Minute durchgeführt. Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen einen bestimmten Grenzwert (Obere Grenze unvollst. Sitzungen), trennt Prestige so viele nicht vollständig geöffnete Sitzungen wie zum Herstellen neuer Verbindungen erforderlich sind. Prestige wird so viele nicht vollständig geöffnete Verbindungen trennen, bis Ihre Anzahl unterhalb eines weiteren Grenzwertes (Untere Grenze unvollst. Sitzungen) liegt. Übersteigt der prozentuale Wert der neuen Verbindungen einen bestimmten Grenzwert (Obere Grenze 1 Min.), werden so viele nicht vollständig geöffnete Sitzungen getrennt, bis die neuen Verbindungsanfragen bearbeitet werden können. Prestige wird so viele nicht vollständig geöffnete Verbindungen löschen, bis der prozentuale Wert der neuen Anfragen unter einen weiteren Grenzwert (Untere Grenze 1 Min.) fällt. Der prozentuale Wert bezieht sich dabei auf die Anzahl der innerhalb der letzten Minute ermittelten neuen Anfragen. Maximum unvollst. TCP und Abwehrdauer Eine ungewöhnlich hohe Anzahl nicht vollständig geöffneter Sitzungen mit derselben Host-Zieladresse ist ein Indiz dafür, dass möglicherweise ein DoS-Angriff auf den Host stattfindet. Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen mit derselben Host-Zieladresse einen bestimmten Grenzwert (Maximum unvollst. TCP), werden nicht vollständig geöffnete Sitzungen gemäß eines der folgenden Verfahren gelöscht:
Zusätzlich werden bei Überschreiten der Grenze Maximum unvollst. TCP Benachrichtigungen versendet. Die globalen Werte für Grenzwert und Zeitintervall beziehen sich auf alle TCP-Verbindungen. |
Beschreibung | ||
DoS-Grenzwerte | ||
Untere Grenze 1 Min. |
Dies ist der prozentuale Wert neuer, nicht vollständig geöffneter Sitzungen, ab dem die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet. | |
Obere Grenze 1 Min. |
Dies ist der prozentuale Wert neuer, nicht vollständig geöffneter Sitzungen, ab dem die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet. Der Standardwert beträgt "100". Übersteigt der prozentuale Wert der neuen Verbindungen einen bestimmten Grenzwert, werden so viele nicht vollständig geöffnete Sitzungen getrennt, bis die neuen Verbindungsanfragen bearbeitet werden können. Prestige beendet den Löschvorgang nicht vollständig geöffneter Sitzungen, wenn ihre Anzahl unterhalb des Wertes Untere Grenze 1 Min. sinkt. | |
Untere Grenze unvollst. Sitzungen |
Dies ist die Anzahl neuer, nicht vollständig geöffneter Sitzungen (Standardwert "80"), ab der die Firewall das Löschen nicht vollständig geöffneter Sitzungen beendet. | |
Obere Grenze unvollst. Sitzungen |
Dies ist die Anzahl neuer, nicht vollständig geöffneter Sitzungen (Standardwert "100"), ab der die Firewall das Löschen nicht vollständig geöffneter Sitzungen startet. Überschreitet die Anzahl nicht vollständig geöffneter Sitzungen diesen Wert, trennt Prestige so viele nicht vollständig geöffnete Sitzungen wie zum Herstellen neuer Verbindungen erforderlich. Prestige beendet den Löschvorgang nicht vollständig geöffneter Sitzungen, wenn ihre Anzahl unterhalb des Wertes Untere Grenze unvollst. Sitzungen sinkt. | |
Maximum unvollst. TCP |
Dies ist die Anzahl vorhandener, nicht vollständig geöffneter TCP-Sitzungen (Standardwert "10") mit derselben Host-IP-Zieladresse, die die Firewall dazu veranlassen, nicht vollständig geöffnete Sitzungen für diese IP-Zieladresse zu löschen. Geben Sie einen Wert zwischen 1 und 256 ein. | |
Maßnahme, wenn die Grenze Maximum unvollst. TCP erreicht ist | ||
Bei neuer Verbindungsanfrage letzte nicht vollst. geöffnete Sitzung schließen | Wählen Sie diese Optionsschaltfläche, um die ältesten nicht vollständig geöffneten Sitzungen zu löschen, wenn eine neue Sitzungsanfrage eingeht. | |
Intervall zum Abwehren neuer Verbindungsanfragen: | Wählen Sie diese Optionsschaltfläche, und geben Sie die Abwehrdauer an, die gewartet werden soll, sobald der Wert Maximum unvollst. TCP erreicht wird. Die Abwehrdauer muss zwischen 1 und 256 Minuten liegen. | |
Zurück |
Klicken Sie auf Zurück, um zum Bildschirm Firewall-Funktionen zurückzukehren. | |
Anwenden | Klicken Sie auf Anwenden, um die Änderungen zu speichern. | |
Abbrechen |
Klicken Sie auf Abbrechen, um alle Felder dieses Bildschirms zu löschen und sie erneut zu definieren. |