17.2  Volby pro zvýšení bezpečnosti

WinRoute nabízí několik bezpečnostních voleb, které nelze definovat komunikačními pravidly. Tyto volby lze aktivovat a nastavit v sekci Konfigurace → Další volby, záložka Bezpečnostní volby.

Bezpečnostní volby — Anti-Spoofing a omezení počtu spojení na jeden počítač

Obrázek 17.4. Bezpečnostní volby — Anti-Spoofing a omezení počtu spojení na jeden počítač


Kontrola zdrojových adres (Anti-Spoofing)

Anti-Spoofing je kontrola, zda na jednotlivá rozhraní počítače s WinRoute přicházejí pouze pakety s přípustnými zdrojovými IP adresami. Tato funkce chrání počítač s WinRoute před útoky z vnitřní sítě za použití fiktivní IP adresy (tzv. spoofing — falšování IP adresy).

Z pohledu každého rozhraní je korektní taková zdrojová adresa, která patří do některé subsítě připojené k tomuto rozhraní (buď přímo, nebo přes další směrovače). Na rozhraní, přes které vede výchozí cesta (tj. rozhraní připojené do Internetu, též označováno jako externí rozhraní), je korektní libovolná IP adresa, která není povolena na žádném jiném rozhraní.

Přesnou informaci o tom, jaké subsítě jsou (přímo či nepřímo) připojeny k jednotlivým rozhraním, získává WinRoute ze systémové směrovací tabulky.

K nastavení funkce Anti-Spoofing slouží horní část záložky Bezpečnostní volby.

Povolit kontrolu zdrojových adres

Tato volba zapíná výše popsanou funkci Anti-Spoofing.

Zaznamenat

Po zapnutí této volby budou všechny pakety, které nevyhověly pravidlům kontroly zdrojových adres, zaneseny do záznamu Security (detaily viz kapitola 22.11  Záznam Security).

Omezování počtu spojení

Tato bezpečnostní funkce umožňuje definovat maximální počet síťových spojení, která mohou být navázána z jednoho počítače (pracovní stanice) v lokální síti do Internetu nebo z Internetu na lokální server prostřednictvím mapovaného portu.

Příchozí a odchozí spojení jsou sledována odděleně. Pokud počet všech spojení navázaných z/na jeden lokální počítač v některém směru dosáhne nastavené hodnoty, WinRoute nepovolí otevřít další spojení v daném směru.

Uvedená omezení chrání firewall (počítač s WinRoute) proti přetížení a mohou zabránit útokům na cílový server, případně i zmírnit nežádoucí činnost červa či trojského koně.

Omezení počtu odchozích spojení se uplatní např. v případě, je-li klientský počítač v lokální síti je napaden červem nebo trojským koněm, který se snaží navázat spojení s velkým počtem různých serverů. Omezování počtu příchozích spojení může např. zabránit útoku SYN flood (zahlcení serveru současným navázáním velkého počtu spojení, kterými nejsou přenášena žádná data).