Полное руководство по Citrix MetaFrame XP

         

Безопасность сети


Другой аспект обеспечения безопасности сети состоит в защите сервера от атак типа отказа в обслуживании (DoS). Атаки DoS делают серверы недоступными, насыщая порты сервера мусорными пакетами и препятствуя прохождению пользовательских пакетов или приводя к отказу сервера. Один из очевидных способов уменьшить уязвимость для атак DoS состоит в том, чтобы блокировать порты для служб, которые вы не используете - например, сервер MetaFrame, не выполняющий IIS, не должен иметь открытым порт 80. Помимо блокирования неиспользуемых портов, Microsoft рекомендует, чтобы вы редактировали параметры настройки системного реестра для стека TCP/IP, которые перечислены в таблице, чтобы сделать сервер менее уязвимым. Эти ключи главным образом расположены в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters (NoNameReleaseOnDemand запрещает сообщать серверу MetaFrame свое имя NetBIOS кому попало и находится в подключе Services\NetBT\Parameters).

Параметр реестра

Значение по умолчанию

Рекомендованное Значение

SynAttackProtect

0

2

TcpMaxHalfOpen

100 для Win2KPro и Win2K Server, 500 для Advanced Server



Default

TcpMaxHalfOpenRetried

80 для Win2KPro и Win2K Server, 400 для Advanced Server

Default

Enable PMTU Discovery

1 (True)

0 (False)

NoNameReleaseOnDemand

0 (False)

1 (True)

EnableDeadGWDetect

1 (True)

0 (False)

KeepAliveTime

7,200,000 (2 часа)

300,000

PerformRouterDiscovery

2 (управляется DHCP, но по умолчанию выключено)

0 (disabled)

EnablelCMPRedirects

1 (True)

0 (False)

В дополнение к редактированию реестра сервера MetaFrame, вы также можете найти полезным поместить серверы MetaFrame за межсетевым экраном (firewall). Чтобы использовать межсетевой экран, но разрешать пользователям из внешнего мира использовать сервер MetaFrame, вы должны использовать трансляцию сетевых адресов (NAT), метод представления публичного адреса IP для внешнего мира и приватного (немаршрутизируемого) адреса IP - для внутреннего мира. Внутренние адреса имеют префиксы 192, 172 или 10 в следующих диапазонах:


  • 10.0.0.0 - 10.254.254.254


  • 172.16.0.0 - 172.31.254.254


  • 192.168.0.0 - 192.168.254.254


  • Как работает NAT? Маршрутизатор поддерживает таблицу трансляции адресов, хранящую исходный адрес IP, тип протокола и порт, с которого посланы пакеты, а также адрес IP, тип протокола и номер порта адресата. Когда пакет проходит через таблицу трансляции, маршрутизатор заменяет исходный адрес IP адресом порта маршрутизатора WAN, но сохраняет тип протокола и адрес порта.

    Чтобы использовать NAT, вам необходим маршрутизатор или межсетевой экран, которые поддерживают NAT, и вы должны настроить маршрутизатор для пересылки пакетов, посланных на публичный адрес. (Удостоверьтесь, что вы настроили маршрутизатор только для пересылки пакетов, посылаемых на порт ICA, чтобы уменьшить риск. Неразборчивая пересылка портов с публичных адресов на внутренние позволяет сэкономить на публичных адресах, но не улучшает безопасность). Вы также должны сказать серверу MetaFrame, какие адреса IP ему принадлежат. Используйте утилиту командной строки altaddr для сопоставления публичных и приватных адресов IP на каждом сервере.

    Файлы .ICA поддерживают NAT, поэтому если вы указываете некоторый адрес IP для соединения, используйте публичный адрес. Для клиентов, использующих NFuse, редактируйте файл NFUSE.CONF так, чтобы установить AlternateAddress=Off или включить AlternateAddress в файле ICA.

    Каждый раз при запуске службы IMA она читает параметры altaddr, чтобы обнаружить внешний адрес IP сервера (или адреса, если сервер имеет несколько сетевых карт). Если нет никаких сопоставлений, процесс идет как обычно. Если есть сопостваление, сервер MetaFrame знает, что должен принять пакеты, направленные на публичный адресу IP, который используют пользователи. IMA проверяет параметры настройки сопоставления адресов только во время запуска, поэтому после создания сопоставлений вы должны перезагрузить сервер.

    Чтобы создать сопоставление публичного и приватного адресов IP, введите команду altaddr /set nnn.nnn.nnn.nnn

    где nnn - публичный адрес IP. Если сервер имеет несколько сетевых карт, вы должны указать, какой карте назначить публичный адрес, введя команду altaddr /set xxx.xxx.xxx.xxx nnn.nnn.nnn.nnn



    где xxx - приватный адрес IP, а nnn - публичный. Чтобы прекратить использование NAT на сервере, удалите сопоставление, дав команду altaddr /delete

    Опять же, если сервер MetaFrame имеет несколько сетевых карт, то вы должны указать приватный адрес IP карты.

    Вы будете должны редактировать сопоставление IP на каждом сервере MetaFrame, использующем NAT. Чтобы не подключаться каждый раз к каждой консоли, altaddr позволяет вам определить сервер, на котором вы хотите выполнить команду: altaddr /server:servername /set nnn.nnn.nnn.nnn

    Вам все равно нужно перезагрузить удаленные серверы, но вы можете это сделать с командной строки: tsshutdn /server:servername /reboot

    где servername - имя сервера, который вы хотите перезагрузить.

    Наконец, вы должны сделать еще несколько вещей. Microsoft выпустил сборник всех заплат, относящихся к безопасности и выпущенных после SP2. Загрузите и установите его. Кроме того, не устанавливайте IIS на серверах, которые в нем не нуждаются, чтобы эти серверы не были открытыми для внешнего мира. Вирус CodeRed, например, не требовал вмешательства, чтобы сделать IIS незащищенным - для него было достаточно только наличия самой службы. То же самое относится для любой другой службы. Если вы не нуждаетесь в службе на сервере MetaFrame, не устанавливайте ее.


    Содержание раздела