|
FAQ Kerio Control - блокируем подозрительные IP-адреса |
Как правило, фильтрация нежелательных IP-адресов осуществляется в Kerio Control по следующей схеме:
- в начале перечня правил фильтрации трафика создается несколько правил (детализация зависит от любознательности пользователя и определяется исключительно им) блокировки групп адресов, сформированных по какому-либо внешнему признаку - по географическому, по назначению и т.п.. Такой перечень правил может выглядеть, например, вот так:
Далее, ниже по списку располагаются правила, разрешающие доступ в Интернет и, в данном случае важно для нас - из Интернета к каким-либо сервисам, находящимся в локальной сети - почтовому или веб-серверу, торрент-клиенту и т.д.. Доступ к этим сервисам также может ограничиваться какой-то группой адресов, но обычно такое ограничение не делается в силу чрезвычайной трудоемкости процесса, поскольку группы адресов в Kerio Control создаются только вручную (или копированием заранее подготовленных кусков сформатированного текста в файл конфигурации).
Понятно, что для ее наполнения требуются какие-то условия - просто так заранее перечислить се диапазоны аадресов, угадав с их разделением на плохие и хорошие весьма затруднительно. Проблема в данном случае сводится к тому, что блокировав изначально какую-то группу скомпрометировавших себя адресов и лишив их доступа к нашим ресурсам, мы заранее знаем, что перечень блокированных адресов не окончательный и его надо пополнять регулярно, а основанием для его пополнения может быть как использование черных списков сторонних поставщиков, так и неприемлемая сетевая активность какого-то конкретного клиента, отмеченная на конкретном хосте Kerio Control.
Помимо создаваемых вручную списков адресов (групп адресов) в консоли Kerio Control, имеется встроенный модуль IDS Snort, в котором используются автоматически пополняемые черные списки адресов. Пакет KUAS предоставляет дополнительную возможность блокировать диапазоны адресов по странам мира и городам России и Украины методами, используемыми IDS Snort. Применение данного механизма блокировки практически исключает ручную работу по отслеживанию всего потока сведений о сетевой активности хостов, позволяя сосредоточить внимание на аномалиях такой активности, что существенно снижает трудозатраты на управление защитой. Такой метод блокировки входящих соединений аналогичен по своему назначению созданию групп адресов для их блокировки в консоли Kerio Control.
Использование такого способа автоматизации управленческих действий несмотря на свою высокую эффективность по алгоритму решения проблем, имеет существенный недостаток: вся информация, применяемая для блокировки адресов, носит очень обобщенный характер и не учитывает локальных проблем конкретного шлюза. Внешне это проявляется в том, что несмотря на все фильтры любые доступные из Интернета локальные сервисы непрерывно подвергаются каким-либо нежелательным воздействиям с целью отыскать в них уязвимости. Внешне ничем себя не скомпрометировавший и отсутствующий в черных списках хост может весьма активно исследовать состояние нашего веб-сервера и обнаружить его нежелательную активность будет весьма непросто. Конечно, правила анализа трафика в IDS Snort и применение инспектора протокола в Kerio Control снижают эффективность такого вредного воздействия, но совершенно очевидно, что лучшим решением будет полная блокировка такого злодея, для чего его надо сначала выявить. Как - путем здравого смысла.
Эта страница расположена в закрытой зоне сайта, доступ к которой ограничен.
Подробности смотреть здесь.
Удачи !
