Partager via

Atténuation des attaques par déni de service

  • Article

Il est recommandé d'utiliser les techniques de prévention suivantes pour protéger les services et les serveurs BizTalk contre les attaques par déni de service. Vous devez choisir les techniques adaptées à votre environnement.

  • Utilisation de la propriété Authentification requise dans le port de réception. Par défaut, BizTalk envoie tous les messages qu’il reçoit à la base de données MessageBox, même s’ils proviennent d’une partie inconnue ou non résolue (Invité). Pour atténuer le risque qu’un attaquant envoie un grand nombre de messages à BizTalk Server et inonde (remplissage) la base de données MessageBox, vous pouvez utiliser la propriété Authentification requise dans le port de réception pour recevoir uniquement les messages provenant de parties que BizTalk Server connaissez. Vous pouvez soit abandonner les messages envoyés par un tiers inconnu, soit les suspendre. Pour plus d’informations sur la propriété Authentification requise , consultez Authentification de l’expéditeur d’un message. En plus de la propriété Authentification requise , vous devez envisager l’utilisation d’un mécanisme externe tel que le filtrage des ports de pare-feu ou le blocage des adresses IP pour vous protéger contre les attaques par déni de service.

  • Limitation de la taille des messages reçus par BizTalk. Par exemple, lorsque vous utilisez l’adaptateur de réception SOAP, vous pouvez éviter de recevoir des messages de très grande taille en définissant l’attribut maxRequestLength dans l’élément <httpRuntime> sur une taille acceptable. L’élément <httpRuntime> est défini dans le fichier Machine.config, qui se trouve dans le < répertoire drive> :\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG. Pour plus d’informations sur l’élément <httpRuntime> , consultez le site Web Microsoft MSDN à l’adresse https://go.microsoft.com/fwlink/?LinkId=60948.

  • Utilisation de listes de contrôle d'accès discrétionnaire renforcées pour les emplacements de réception. Il est recommandé d'utiliser des listes de contrôle d'accès discrétionnaire renforcées dans les emplacements de dépôt des emplacements de réception. Par exemple, vous devez utiliser des listes de contrôle d'accès discrétionnaire renforcées pour le répertoire dans lequel l'emplacement de réception des fichiers sélectionne des messages, afin que seuls les utilisateurs autorisés puissent déposer des messages dans cet emplacement.

  • Utilisation d'IPSec. Si vous n'utilisez aucun pare-feu logiciel ou matériel, utilisez le protocole IPSec (Internet Protocol security) pour protéger les messages et les données lorsque BizTalk Server les transfère entre deux serveurs. Pour plus d’informations sur IPSec, consultez la référence technique IPSec.

Voir aussi

Identification des menaces potentiellesPlanification pour la sécurité