Saldırganlar belli başlı portların tünellenmesi ile IPS/IDS sistemlerini atlatabilmektedirler. Bu sebeple güvenlik yöneticileri erişim izni verdiği portların sadece kendi görevi amacı ile kullanılması için çalışmalar gerçekleştirmektedirler.
Örneğin Content filter ile tüm internet trafiğini engellendiğini düşünelim. Fakat bir saldırgan veya kullanıcı yasaklı olan adreslere erişim sağlamayı hedeflemektedir. Saldırgan veya kullanıcı herhangi bir filtreye veya log’a takılmadan nasıl internete çıkabilir? Tabii ki de protokol tünelleme ile. DNS paketleri içerisinden herhangi bir tcp yada udp paketini taşıma işlemine dns tünelleme denir. Detaylı bilgi için dns tünelleme nedir?
Peki sistem yöneticileri olarak bu zafiyeti nasıl engelleyeceğiz? Fortigate Firewall üzerinde Application Control ile Non-Default portların kullanımını engelleyebilirsiniz.
Fortigate Firewall Üzerinde Non-Default Portlar Nasıl Engellenir ?
Firewall arayüzünüzde Security Profiles > Application Control paneline giriş yapılır.
Açılan pencerede Create New butonuna basılır.
Application Control profiline bir isim verilir.
Ardından tüm categoriler block olarak seçilir.
Biz bu işlemi DNS trafiği için yapacağımız için sadece DNS’e Application and Filter Overrides ekleyeceğiz. Burayı kendi tercih ve isteklerinize göre değiştirebilirsiniz.
Application and Filter Overrides panelinde create new butonuna basılır.
Açılan pencerede search alanına dns yazılır ve network service dns’e sağ tıklanarak add selected seçilir.
Burada dikkat etmeniz gereken nokta Action olarak Monitör seçmenizdir. Allow verirseniz trafiğe izin verilecektir fakat log tutamayacaksınız demektedir.
Şimdi sıra geldi, DNS iznimizden non default dışında geçişleri engellemeye. Tekrar profil sekmemizde Block applications detected on non-default ports alanı enable edilir ve non-default geçişleri artık engellenmiş olacaktır.
Sıra geldi kurallarımızı oluşturmaya. Öncelikle ben bu kuralı, Trust to DNSServer için, Lan to Wan’a giden ve dns izni olan özel ip adresleriniz olabilir onlar için ve wan to lan açık olan dış dns servisim var ise onlar için yapıyorum.
TRUST to DNS Server Kuralı;
Wan to DNSServer Kuralı;
Lan to WAN kuralı;
Artık dns trafiklerinde farklı bir protokol geçişi yaşanmayacağı için güvenli şekilde non-default port engellenmiştir.
Bunu tüm categorilerde de uygulayabilirsiniz. Fakat bu durumda bazı exeption’lar yazmanız gerekebilir. Sadece o portlara doğru en tepeye allow kuralı bırakırsanız tüm non-default trafiği şirketinize göre düzenleyebilirsiniz.