Mitigación de ataques por denegación de servicio
Se recomienda utilizar las siguientes técnicas de mitigación para ayudar a proteger los servidores y servicios de BizTalk Server contra los ataques de denegación de servicio. Tendrá que decidir si estas técnicas de mitigación son apropiadas para su entorno.
Usar la propiedad de autenticación necesaria en el puerto de recepción. De forma predeterminada, BizTalk envía todos los mensajes que recibe a la base de datos de cuadro de mensajes, incluso si proceden de una entidad desconocida o sin resolver (Invitado). Para mitigar el potencial de un atacante que envía un gran número de mensajes a BizTalk Server e inundación (rellenando) la base de datos de cuadro de mensajes, puede usar la propiedad Authentication Required en el puerto de recepción para recibir solo mensajes procedentes de partes BizTalk Server sabe. Puede elegir entre quitar los mensajes procedentes de una entidad desconocida o colocarlos en estado de suspensión. Para obtener más información sobre la propiedad Authentication Required , vea Authenticating the Sender of a Message. Además de la propiedad Authentication Required , debe considerar el uso de un mecanismo externo, como el filtrado de puertos de firewall o el bloqueo de direcciones IP para protegerse frente a ataques de denegación de servicio.
Limite el tamaño de los mensajes que BizTalk puede recibir. Por ejemplo, al usar el adaptador de recepción SOAP, puede evitar recibir un tamaño de mensajes muy grande estableciendo el atributo maxRequestLength en el <elemento httpRuntime> en un tamaño aceptable. El <elemento httpRuntime> se define en el archivo Machine.config, que se encuentra en el < directorio drive>:\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG. Para obtener más información sobre <el elemento httpRuntime> , vea el sitio web de Microsoft MSDN en https://go.microsoft.com/fwlink/?LinkId=60948.
Use listas DACL seguras para las ubicaciones de recepción. Se recomienda utilizar listas de control de acceso discrecional (DACL) seguras en las ubicaciones de descarga para las ubicaciones de recepción. Por ejemplo, utilice listas DACL seguras en el directorio en el que la ubicación de recepción de archivos recoge los mensajes, de modo que sólo los usuarios autorizados puedan descargar mensajes en esta ubicación.
Use IPSec. Si no dispone de servidores de seguridad de hardware o software, utilice la seguridad del Protocolo de Internet (IPSec) para proteger los datos y los mensajes mientras BizTalk Server los transfiere de un servidor a otro. Para obtener más información sobre IPSec, consulte la Referencia técnica de IPSec.
Consulte también
Identificación del planeamiento de posibles amenazaspara la seguridad
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de