Condividi tramite

Mitigazione degli attacchi Denial of Service

  • Articolo

Si consiglia di utilizzare le strategie di attenuazione dei rischi descritte di seguito per la protezione dei server e dei servizi BizTalk da attacchi Denial of Service. Spetta all'utente scegliere le strategie di attenuazione appropriate per l'ambiente in uso.

  • Utilizzare la proprietà Autenticazione richiesta nella porta di ricezione. Per impostazione predefinita, BizTalk invia tutti i messaggi ricevuti al database MessageBox, anche se provengono da un'entità sconosciuta o non risolta (Guest). Per attenuare il potenziale di un utente malintenzionato che invia un numero elevato di messaggi a BizTalk Server e inondazione (riempimento) del database MessageBox, è possibile usare la proprietà Authentication Required nella porta di ricezione per ricevere solo messaggi provenienti da parti BizTalk Server conosce. È possibile scegliere di eliminare i messaggi provenienti da un'entità sconosciuta oppure di sospenderli. Per altre informazioni sulla proprietà Authentication Required , vedere Autenticazione del mittente di un messaggio. Oltre alla proprietà Authentication Required , è consigliabile considerare l'uso di un meccanismo esterno, ad esempio il filtro delle porte del firewall o il blocco degli indirizzi IP per proteggere dagli attacchi Denial of Service.

  • Limitare la dimensione dei messaggi che BizTalk può ricevere. Ad esempio, quando si usa l'adattatore di ricezione SOAP, è possibile evitare di ricevere messaggi di dimensioni molto grandi impostando l'attributo maxRequestLength nell'elemento <httpRuntime> a una dimensione accettabile. L'elemento <httpRuntime> viene definito nel file Machine.config, che si trova nella < directory drive>:\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG. Per altre informazioni sull'elemento <httpRuntime> , vedere il sito Web Microsoft MSDN all'indirizzo https://go.microsoft.com/fwlink/?LinkId=60948.

  • Utilizzare elenchi di controllo di accesso discrezionale (DACL) avanzati per gli indirizzi di ricezione. Si consiglia di utilizzare DACL avanzati nelle destinazioni degli indirizzi di ricezione. È ad esempio necessario utilizzare DACL avanzati nella directory in cui l'indirizzo di ricezione file preleva i messaggi, in modo da consentire solo agli utenti autorizzati di inserire messaggi in questo indirizzo.

  • Utilizzare IPSec. Se non si utilizzano firewall hardware o software, utilizzare Internet Protocol Security (IPSec) per la protezione dei messaggi e dei dati durante il trasferimento da un server a un altro. Per altre informazioni su IPSec, vedere Informazioni di riferimento tecnico IPSec.

Vedere anche

Identificazione di potenziali minacceper la pianificazione della sicurezza