Freigeben über

Entschärfen von Denial-of-Service-Angriffen

  • Artikel

Es wird empfohlen, dass Sie die im Folgenden beschriebenen Vermeidungstechniken verwenden, um Ihre BizTalk-Server und -Dienste vor Denial-of-Service-Angriffen zu schützen. Dabei müssen Sie entscheiden, welche dieser Vermeidungstechniken für Ihre Umgebung geeignet sind.

  • Verwenden Sie im Empfangsport die Eigenschaft Authentifizierung erforderlich. Standardmäßig sendet BizTalk alle empfangenen Nachrichten an die MessageBox-Datenbank, auch wenn sie von einer unbekannten oder nicht aufgelösten Partei (Gast) stammen. Um das Potenzial eines Angreifers zu verringern, der eine große Anzahl von Nachrichten an BizTalk Server sendet und die MessageBox-Datenbank überflutet (auffüllt), können Sie die Eigenschaft Authentifizierung erforderlich im Empfangsport verwenden, um nur Nachrichten zu empfangen, die von Parteien stammen, die BizTalk Server kennt. Sie können wählen, ob die von einer unbekannten Partei kommenden Nachrichten gelöscht oder angehalten werden sollen. Weitere Informationen zur Authentifizierung erforderlich-Eigenschaft finden Sie unter Authentifizieren des Absenders einer Nachricht. Zusätzlich zur Eigenschaft Authentication Required sollten Sie die Verwendung eines externen Mechanismus wie Firewallportfilterung oder IP-Adressblockierung zum Schutz vor Denial-of-Service-Angriffen in Betracht ziehen.

  • Begrenzen Sie die Größe der Nachrichten, die BizTalk empfangen kann. Wenn Sie beispielsweise den SOAP-Empfangsadapter verwenden, können Sie den Empfang sehr großer Nachrichten vermeiden, indem Sie das maxRequestLength-Attribut im <httpRuntime-Element> auf eine akzeptable Größe festlegen. Das <httpRuntime-Element> wird in der datei Machine.config definiert, die < sich im Verzeichnis laufwerk>:\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG befindet. Weitere Informationen zum <httpRuntime-Element> finden Sie auf der Microsoft MSDN-Website unter https://go.microsoft.com/fwlink/?LinkId=60948.

  • Verwenden Sie für Empfangsspeicherorte sichere DACLs. In den Ablageverzeichnissen für die Empfangsspeicherorte sollten Sie sichere freigegebene Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) verwenden. So müssen Sie sichere DACLs beispielsweise in dem Verzeichnis verwenden, aus dem der Dateiempfangsspeicherort Nachrichten abruft, damit dort nur autorisierte Benutzer Nachrichten ablegen können.

  • Verwenden Sie IPSec. Wenn Sie keine Hardware- oder Softwarefirewalls einsetzen, verwenden Sie IPSec (Internet Protocol Security) für den Schutz der Nachrichten und Daten, während sie von BizTalk Server von einem Server auf einen anderen übertragen werden. Weitere Informationen zu IPSec finden Sie in der technischen Referenz zu IPSec.

Weitere Informationen

Identifizieren potenzieller BedrohungenPlanung für die Sicherheit