サービス拒否攻撃の軽減

サービスの拒否攻撃から BizTalk Server とサービスを保護するには、次の緩和方法を使用することをお勧めします。 どの緩和方法が環境に適しているのかを判断してください。

• 受信ポートの Authentication Required プロパティの使用。 既定では、BizTalk は、不明または未解決のパーティ (ゲスト) から送信された場合でも、受信したすべてのメッセージを MessageBox データベースに送信します。攻撃者が多数のメッセージをBizTalk Serverに送信し、MessageBox データベースをフラッディング (塗りつぶす) 可能性を軽減するために、受信ポートの Authentication Required プロパティを使用して、認識しているパーティからのメッセージのみを受信BizTalk Server。 不明なパーティからのメッセージをドロップするか、それらのメッセージを保留するかを選択できます。 Authentication Required プロパティの詳細については、「メッセージの送信者の認証」を参照してください。 Authentication Required プロパティに加えて、サービス拒否攻撃から保護するために、ファイアウォール ポート フィルタリングや IP アドレス ブロックなどの外部メカニズムの使用を検討する必要があります。

• BizTalk が受信できるメッセージのサイズの制限。 たとえば、SOAP 受信アダプターを使用する場合、httpRuntime> 要素の maxRequestLength 属性<を許容可能なサイズに設定することで、非常に大きなメッセージ サイズの受信を回避できます。 <httpRuntime> 要素は、drive>:\Windows ディレクトリ\Microsoft.NET\Framework\<vX.X.XXXXX\CONFIG ディレクトリ>にある < Machine.config ファイルで定義されます。 httpRuntime> 要素の詳細<については、 の Microsoft MSDN Web サイトhttps://go.microsoft.com/fwlink/?LinkId=60948を参照してください。

• 受信場所への強力な DACL の使用。 受信場所のドロップ場所には強力な随意アクセス制御リスト (DACL) を使用することをお勧めします。 たとえば、認証されたユーザーだけがこの場所にメッセージをドロップできるように、ファイルの受信場所がメッセージを取得するディレクトリに強力な DACL を使用する必要があります。

• IPSec の使用。 ハードウェアとソフトウェアのファイアウォールをどちらも使用しない場合、あるサーバーから別のサーバーにメッセージとデータを移動するときに、インターネット プロトコル セキュリティ (IPSec) を使用してメッセージとデータを保護します。 IPSec の詳細については、「 IPSec テクニカル リファレンス」を参照してください。

参照

セキュリティのための潜在的な脅威計画の特定