خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را


intrusion Prevention در کریو کنترل

intrusion Prevention در کریو کنترل
بسیاری از آنتی ویروس ها و UTM ها و فایروال ها قادر هستند که ترافیک های مخرب را Detect کنند و از آنها جلوگیری بعمل آورند. کریو کنترل هم از قضیه مستثنی نیست و در این مورد می تواند در برابر این گونه تهدیدات شبکه را محافظت کند، ولی چگونه؟ چگونه کریو کنترل قادر به شناسایی این نوع ترافیک ها است؟ همه اینها در ویژگی intrusion Prevention است که به اختصار آن را IPS می شناسیم.IPS ای که در کریو کنترل مورد استفاده قرار می گیرد، Snort نام دارد و در این زمینه بسیار کارآمد عمل می کند. اما اکشن کریو در این محیط Severity یا شدتی دارد که آن را میتوانید دستی خودتان تعیین کنید.

سیستم یکپارچۀ سازمانی راهکار
اجازه دهید این موارد را به صورت عملی در کریو کنترل بررسی کنیم. لطفا به کنسول مدیریتی کریو کنترل وارد شده و به قسمت intrusion Prevention بروید.



intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

به صورت By Default تیک گزینه Enabled intrusion Prevention در کریو کنترل فعال است و Level های امنیتی را هم در قسمت Severity level مشاهده می کنید که 3 سطح دارد. این وموارد را توضیح می دهیم.
کریو بر اساس الگوریتم های بکار رفته در IPS شروع به تحلیل و بررسی ترافیک ها می کند و طبق یکی از این سه سطح با ان ترافیک برخورد می کند. مثلا اگر ترافیکی از نظر کریو به شدت مخرب شناسایی شد، High Severity که اکشن آن Log and drop است روی آن اعمال می شوذ. یعنی از آن ترافیک لاگ برداری و سپس Drop می شود.
گزینه دوم که Medium severity است، زمانی است که ترافیک مشکوک به مخرب است ولی احتمال مخرب نبودن آن بیشتر از مخرب بودن آن است. مثلا وب سروری در شبکه دارید که بصورت پیشفرض از پروتکل Http با پورت 80 استفاده می کند. حال اگر در IIS شماره پوره را از 80 به عدد دیگری تغییر دهید، در این صورت در کریو با این ترافیک با سطح Medium severity که لاگ برداری از آن است، برخورد می کند. دقت کنید که همیشه باید لاگ ها را بررسی کنید و ترافیک های مخرب در این سطح را شناسایی و بلاک کنید.
Low severity هم سطح شوم است که ترافیک های از این دست در کریو با هیچ اکشنی مواجه نمی شوند.
چنانچه برخی موارد به اشتباه توسط کریو بلاک شده اند می توانید آنها را Exclude کنید که دیگر کریو انها را بلاک نکند. برای این منظور در این قسمت دکمه advanced را کلیک کنید.

intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

اما قبل از اینکه بخواهید در این فرم موردی را اضافه و Exclude کنید از این پس کریو آن ترافیک را مجاز به حساب بیاورد، باید Rule ID آن ترافیک خاص را از طریق Log بیابید. کافیست به قسمت Log رفته و از قسمت security، به سراغ آن ترافیک لاگ گرفته شده بروید و Rule ID آن را کپی و در فرم بالا Paste کنید.

intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

من در مجموع لاگ ها مورد نداشتم که بخواهم آن را به عنوان Exclude معرفی کنم و اصلا Rule ID هم نداشتم که از آن برای مثال استفاده کنم ولی فرض کنید که Rule ID مربوط 1:3000001 را میخ واهم Exclude کنم.
کافیست آن را در Rule ID وارد کنم، به صورت خودکار این ID توسط کریو شناسایی می شود.

intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

اگر هم که برای یک پروتکل استاندارد، از شماره پورت دیگری می خواهید استفاده کنید، می توانید در جدول قسمت Protocol-specific detection، و در ستون Ports، شماره پورت مربوط به آن پروتکل خاص را با , جدا کرده و وارد کنید. مثلا برای Telnet که بصورت پیشفرض از شماره پورت 23 استفاه می کند، اگر شماره پورت دیگری قصد استفاده دارید، کافیست شماره پورت را وارد کنید. مثلا در شکل زیر علاوه بر 23، من شماره پورت 9900 را هم مجاز اعلام کردم.

intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

کریو کنترل در قسمت IPS دارای IP Black List ای است که به صورت داینامیک و خودکار تکمیل می شود. دوستان حتما از لایسنسی استفاده کنید که این بروزرسانی Black list ها بصورت خودکار انجام شود. گفتیم که این لیست شما نمی توانید تعریف مکنید و لی اکشن را می توانید تعیین کنید که کریو چه رفتاری با این تیپ ترافیک ها داشته باشد.

intrusion Prevention در کریو کنترل . آموزشگاه رایگان خوش آموز

فقط کافیست در ستون Action برای آن Black list دابل کلیک کنید و اکشن را طبق صلاحدیدتان تغییر دهید.


براي مشاهده سرفصل هاي آموزشي Kerio Control به اين لينک مراجعه کنيد.



نمایش دیدگاه ها (0 دیدگاه)

دیدگاه خود را ثبت کنید:

انتخاب تصویر ویرایش حذف
توجه! حداکثر حجم مجاز برای تصویر 500 کیلوبایت می باشد.