پیشگیری از نفوذ در کریو کنترل – Intrusion Prevention
پیشگیری از نفوذ در کریو کنترل – Intrusion Prevention، یکی از قابلیت های کاربردی موجود در کریو کنترل تشخیص نفود ( Intrusion Detection ) و پیشگیری از نفوذ (intrusion Detection ) می باشد.
پیشگیری از نفوذ در کریو کنترل – Intrusion Prevention
فهرست مطالب
IDS یا Intrusion Detection System یک سخت افزار یا نرم افزاری است کل فعالیت های شبکه را نظارت و بررسی می نماید و با توجه به سیاست ها و Rule های موجود در سخت افزار و یا نرم افزار، کلیه فعالیت های مشکوک در شبکه را شناسایی می نماید و Log آن را ثبت و به ادمین گزارش می فرستد.
اما IPS یا Intrusion Prevention System یک بار فرایند IDS را در شبکه اجرا می نماید و در مرحله اول فرایند IDS را طی می نماید و کلیه ترافیک های شبکه را مانیتور نموده و فعالیت های خارج از سیاست ها را شناسایی می نماید و Log را ثبت می نماید. و در مرحله بعدی فعالیت های شناسایی شده را متوقف می کند. بنابراین Intrusion Pretension یک قابلیت در جهت بالا بردن سطح امنیت شبکه می باشد. در اینجا می توان یک وجه تمایز بین Intrusion Prevention و Firewall ایجاد نمود. در فایروال ترافیک های ورودی و خروجی شبکه کنترل و نظارت می گردد و با استفاده از Rule هایی بر پایه آدرس IP و پورت این ترافیک ها را محدود می شوند. اما در Intrusion Prevention System شبکه و فعالیت های درون آن را مانیتور می گردد. در چنین سناریویی تهدید های داخلی نیز مدیریت بازرسی شده و از آن جلوگیری به عمل می آید.
تنظیمات Intrusion Prevention
جهت دستیابی به تنظیمات Intrusion Prevention در کریو کنترل از منوی پنل مدیریتی بر روی گزینه Intrusion Prevention کلیک می نماییم. جهت استفاده از این قابلیت کافی است تیک گزینه Enable Intrusion Prevention را فعال نماییم. در نظر داشته باشید این گزینه به صورت پیش فرض فعال می باشد.
تنظیمات Severity levels
در این قسمت درجه دقت و حساسیت Intrusion detection پیکربندی می گردد. در قسمت High Severity نوع محدودیت روی فعالیت هایی که تهدید جدی محسوب می گردند، مشخص می شود. در حالت پیش فرض Log and drop می باشد. در این حالت یک Log ثبت و ترافیک مورد نظر Drop خواهد گردید.
در قسمت Medium severity یه صورت پیش فرض تهدید هایی که از نظر تهدید متوسط محسوب می گردند یک Log برای آن ها ثبت خواهد گردید. و در قسمت Low severity محدودیتی اعمال نمی گردد. گزینه High severity به فعالیت هایی مثل Trojan ها در شبکه اعمال می گردد و Medium severity ها به فعالیت هایی با پروتکل های غیر استاندارد در شبکه اطلاق می گردد. بهتر است تنظیمات این قسمت را روی حالت پیش فرض قرار گیرد چرا که تغییر در آن ها بدون داشتن اطلاعات کامل در این زمینه ممکن است فعالیت های شبکه را با مشکل مواجه نماید.
همچنین با کلیک بر روی لینک On the kerio website, you can test these setting می توان تنظیمات انجام شده را تست و بررسی نمود.
چنانچه کریو ترافیک هایی از شبکه را ناخواسته Drop می نماید در قسمت Advanced می توان این ترافیک ها را مستثنی نمود. برای انجام این کار ابتدا با مراجعه به قسمت Security Log ها شماره ID Log مورد نظر را پیدا نموده و در قسمت Rule ID اضافه می نماییم و از این پس سیستم Intrusion prevention ترافیک مشخص شده را محدود نمی نماید. چنانچه یک پروتکل در شبکه شما از پورت متفرقه ای بهره می برد، باید در قسمت Protocol-specific detection پروتکل را انتخاب و پورت مورد نظر را وارد نمایید.
تنظیمات IP blacklists
در این قسمت به صورت پیش فرض لیستی از آدرس های IP قرار دارد که این آدرس ها در شبکه Log and drop خواهند گردید و به عنوان تهدید در شبکه در نظر گرفته خواهند شد.
تنظیمات Updates
در این قسمت به صورت پیش فرض هر 24 ساعت یک بار دیتابیس و اطلاعات Intrusion Prevention به روز رسانی می گردند و در صورت نیاز می توان این مقدار را به تعداد ساعات کمتر و با بیشتر با توجه به سیاست های سازمان تغییر داد. و با استفاده از گزینه Update Now این به روز رسانی در لحظه انجام خواهد گرفت. همچنین در قسمت Last update check زمان اخرین به روز رسانی قابل مشاهده می باشد.
نظرات کاربران