مکانیزم های امنیتی در کریو کنترل

مکانیزم های امنیتی در کریو کنترل، در این مقاله قصد داریم مکانیزم های برقراری امنیت توسط کریو کنترل را مورد بررسی قرار دهیم. جهت مشاهده و دسترسی به تنظیمات امنیتی کریو کنترل، روی گزینه Security Settings کلیک می نماییم. در پنجره باز شده اولین تب در دسترس MAC Filter می باشد.

مکانیزم های امنیتی در کریو کنترل

فهرست مطالب

تنظیمات MAC Filter
تنظیمات IPv6
تنظیمات Zero-Configuration Networking
تنظیمات Connection Limits
تنظیمات GeoIP Filter
تنظیمات Miscellaneous

تنظیمات MAC Filter

در قسمت MAC Filter قابلیت فیلترینگ بر اساس آدرس فیزیکی ( MAC Address ) را فراهم می آورد. صرف نظر از آدرس IP دستگاه ها فیلترینگ می تواند بر حسب MAC Address انجام گیرد. جهت استفاده از این قابلیت می بایست تیک گزینه Enable MAC Filter فعال شود. در مرحله بعدی باید اینترفیسی که قصد داریم MAC Filter روی آن انجام گیرد را انتخاب نماییم. این گزینه قاعدتا اینترفیس متصل به شبکه داخلی می باشد. در نظر داشته باشید که دو مکانیزم جهت پیاده سازی MAC Filtering در کریو کنترل وجود دارد.

در روش اول می توان مشخص نمود که آدرس های فیزیکی خاصی در شبکه Block شوند و اجازه دسترسی به شبکه از آن ها سلب گردد که برای اجرای این روش از گزینه Prevent listed computers from accessing the network استفاده می نماییم. در این روش تمامی آدرس های MAC به غیر از آدرس های مشخص شده امکان دسترسی به شبکه را خواهند داشت. این روش سادگی و سازگاری بیشتری دارد اما اگر دستگاه جدیدی به شبکه اضافه شود، از ورود این دستگاه به شبکه جلوگیری نخواهد شد.

در روش دوم می توان تمامی آدرس های فیزیکی ( MAC Address ) که در شبکه فعالیت می نمایند را با استفاده از گزینه Permit only listed computers to access the network به کریو کنترل معرفی نماییم و به صورت پیش فرض هر آدرس فیزیکی خارج از این لیست دسترسی به شبکه را نخواهد داشت. پیاده سازی این روش دشوار است چرا که باید آدرس فیزیکی تمامی دستگاه های درون شبکه را به صورت دستی به کریو معرفی نمود اما مزیت این روش امنیت بالای آن می باشد.

گزینه MAC Filter

پس از انتخاب نوع سیاست مورد نظر در مورد نحوه فیلترینگ آدرس فیزیکی با انتخاب گزنه Add می توان آدرس های MAC مورد نظر را به راحتی اضافه نمود.

آدرس فیزیکی

چنانچه گزینه Permit only listed computers to access the network را انتخاب نموده اید به صورت پیش فرض قابلیت Also permit MAC addresses used in DHCP reservations or automatic login نیز فعال می باشد که این قابلیت را در اختیار ما قرار می دهد که تمامی آدرس های MAC که در قسمت DHCP Reservation وجود دارند و یا آدرس های فیزیکی که به واسطه آن ها Automatic user login را فعال نموده ایم در لیست آدرس های مورد تایید اضافه شده و اجازه فعالیت در شبکه را داشته باشند.

تنظیمات IPv6

در کریو کنترل به دلیل پیشگیری از برخی مشکلات امنیتی به صورت پیش فرض فعالیت کلاینت ها از طریق IPv6 در شبکه مجاز نمی باشد. جهت غیر فعال کردن این سیاست می بایست Check boxگزینه Block Tunneled IPv6 (6to4, 6in4, Teredo) را از حالت انتخاب خارج نماییم. اما به جای اینکه این قابلیت را به صورت کامل غیر فعال نماییم بهتر است از گزینه Except for the following IPv4 hosts استفاده نموده و فقط کلاینت هایی که از آدرس IPv6 استفاده می نمایند را از این قانون مستثتی کنیم.

تب IPv6

تنظیمات Zero-Configuration Networking

در این تب گزینه ای به نام Enable service Discovery Forwarding وجود دارد که با فعال نمودن این سرویس، تمامی کاربرانی که از طریق VPN به شبکه متصل می گردند، می توانند به دستگاه هایی مانند پرینتر و تمامی دستگاه هایی که پشت فایروال و در شبکه داخلی قرار دارند دسترسی داشته و از آن ها استفاده نمایند. این سرویس فقط برای Kerio Control VPN Clients قابل دسترسی می باشد و IPsec VPN از این قابلیت پشتیبانی نمی نماید. چنانچه کریو کنترل دومی داریم که از طریق VPN با کریو کنترل اول در ارتباط هستند این قابلیت می بایست در هردو کریو کنترل فعال شده باشد.

تب Zero-Configuration

تنظیمات Connection Limits

در این قسمت تعداد اتصال های TCP، UDP و ترافیک های موجود در شبکه بر اساس آدرس مبدا و مقصد محدود می گردد. به این واسطه تعداد Connection ها از یک تعداد مشخصی بالاتر نخواهند رفت. این قابلیت در جلوگیری از حملات DoS مورد استفاده قرار می گیرد. حملات DoS از طریق یک پورت تعداد زیادی Connection و اتصال را برقرار می کنند. با برقراری تعداد زیادی Connection، تمامی منابع سرور به این Connection ها تخصیص می یابد و سرور در سرویس دهی به کاربران شبکه ناتوان خواهد شد. با استفاده از Connection Limits و با محدود شدن تعداد Connection هایی که بر اساس آدرس مبدا یا مقصد می توان ایجاد نمود از شکل گیری چنین حملاتی جلوگیری خواهد شد. در این قسمت مقادیر پیش فرضی وجود دارد که در صورت نیاز می توان آن ها را تغییر داد.

اما اگر قصد داشته باشیم این تنظیمات روی یک یا گروهی از آدرس های IP اعمال نگردد می توان گزینه Use different settings for any connection from/to this IP address group را فعال و آدرس های مورد نظر را انتخاب نماییم و مقادیر محدودیت متفاوتی برای این گروه از آدرس ها در نظر بگیریم.

تب Connection Limits

تنظیمات GeoIP Filter

این قسمت جهت فیلتر نمودن ترافیک های آدرس های IP خاصی که از سمت کشور های خاص دریافت می گردند مورد استفاده قرار می گیرد. در این قسمت با فعال نمودن گزینه Block incoming traffic from the following countries و انتخاب گزینه Add کشور مورد نظر را انتخاب نموده و ترافیک هایی که از سمت کشور خاصی ارسال می گردند را فیلتر نماییم.

تب GeoIP Filter

تنظیمات Miscellaneous

در این تب قابلیت Anti-spoofing را می توان فعال نمود. کریو کنترل با استفاده از الگوریتم های خود و با مانیتور نمودن شبکه، فعالیت های جاسوسی (Spoofing) را شناسایی می نماید و از آن ها جلوگیری می نماید. این قابلیت امنیتی در شبکه بسیار کاربردی می باشد. اما باید در نظر گرفت که ممکن است یک سری از ترافیک های شبکه توسط کریو کنترل به عنوان فعالیت های Spoofing محسوب و باعث ایجاد اختلال در برخی از سرویس ها گردد. در چنین سناریو هایی باید این قابلیت را غیر فعال نمود. همچنین با استفاده از تیک گزینه Log می توان به وسیله Log file ها از ترافیک های شناسایی شده توسط این سرویس مطلع گردید.

DHCP scopes نیز یک قابلیت امنتی مربوط به DHCP Sever می باشد. برای بهره مندی از این قابلیت باید حتما از DHCP Server موجود در کریو کنترل در شبکه استفاده شده باشد و کلاینت ها و دستگاه ها از DHCP Server کریو کنترل آدرس IP دریافت نموده باشند. اما با فعال نمودن گزینه Block IP Addresses which are not assigned by DHCP server ، تمامی کلاینت هایی که آدرس IP خود را از DHCP Server دریافت نکرده باشند مسدود می گردند.

تب Miscellaneous