OzzTech - Fortigate Firewall’da Replacement Message’ı Kapatabilmek

Fortigate Firewall’da Replacement Message’ı Kapatabilmek

Fortigate Firewall’da Replacement Message ’ı kapatbilmek aslında önemli bir durumdur. Bunun sebebini bu yazıda değineceğim DDoS Protection özelliği ile vurgulamak isterim.

Fortigate Firewall’da Replacement Message özelliği kapatmadığımız durumda saldırganı DDoS denemesinden dolayı blocklandığını gösteren bir Fortigate sayfası karşılayacaktır. Dolayısıyla saldırgana DDoS denemelerinden dolayı block yediğini ancak karşısına yeniden bir saldırı deneyebileceği bir HTTPS veya HTTP sayfası çıkardığımızı aslında bildirmiş oluyoruz. Replacement Message’ı kapatmadığımız durumlarda, bir saldırgan bir WEB sitenize HTTPS üzerinden DDoS saldırıları denediğinde karşılaştığı sayfa aşağıdaki gibi olacaktır;

Blocked because of DoS Attack

Bu durumda bahsetmiş olduğum gibi aslında saldırgana bir dönüş yaptığı için ona bu dönüş sayfasına da saldırabilmesi için olanak vermiş oluyoruz.

Bunun için DDoS saldırısı yapıldığında saldırgana bu sayfanın gösterilip DoS Attack’tan kaynaklı blocklandığının bilgisini vermiyor olmamız ve sadece trafiğini keserek erişimini kapatmış olmamız gereklidir.

Fortigate Firewall üzerinden GUI tarafından ne yazık ki bu replacement messageları tamamen kapatamıyoruz, sadece değişiklik yapabiliyoruz(görseli değiştirmek, metni değiştirmek, sadece bir tane nokta simgesi koymak gibi). Ancak yine saldırgana bir HTTPS trafiği dönmüş oluyoruz, bunu tamamen kapatabilmek için ise Firewall tarafına CLI üzerinden bir kaç küçük kod ile müdahale etmemiz gerekmektedir.

Fortigate Firewall’da Replacement Message ’ı kapattıktan sonra, saldırganın karşılaşacağı sayfa ise aşağıdaki şekilde olacak ve firewall tarafından blocklandıktan sonra onu hiç bir isteğine yanıt alamaz hale getirip bunun sebebini de sunmamış olacağız;

Fortigate Firewall’da Replacement Message’ı kapattıktan sonra, saldırganın karşılaşacağı sayfa ise aşağıdaki şekilde olacak ve firewall tarafındna blocklandıktan sonra onu hiç bir isteğine yanıt alamaz hale getirip bunun sebebini de sunmamış olacağız;

Şimdi gelelim, Fortigate Firewall cihazında CLI üzerinden yapmamız gereken küçük işlemlere, bunu bir kalemde yazıyor olacağım, oldukça küçük bir kod olup, sadece DDoS Attackları için replacement message özelliğini tamamen kapatmış olacağız.

Küçük kodlarımızı ekledikten sonraki görmemiz gereken DoS replacement message configi şu şekilde olmalıdır;

Fortigate Firewall’da Replacement Message

Bunun için ise, aşağıdaki 2 komutu Firewall cihazımıza CLI üzerinden bağlantı sağlayıp girmemiz yeterli olacaktır;

Öncelikle config etmek istediğimiz DoS replacement message modülünün içine aşağıdaki komutla giriyoruz;

Fortigate Firewall’da Replacement Message

Bunun sonrasında ise işlemimizi tamamlamış oluyoruz. Kaydetmemiz gereken bir config bulunmamaktadır. Fortigate Firewall cihazına Putty uygulaması ile bağlanıp işlemi bitirdikten sonra configi kaydetmeniz beklenmez. Direk olarak Putty uygulamasını kapatıp testlerinizi gerçekleştirebilirsiniz.

İşlemler bittikten sonra tekrar DDoS Attack deneyip testimizi gerçekleştirdiğimizde Firewall cihazımızın test IP adresimizi blockladığını ve bize herhangi bir bildirim çıkarmadığını görebiliyoruz. Aşağıda blocklanan örnek IP adreslerini ve blocklandıktan sonra karşımıza çıkardığı sayfayı görebilirsiniz. IP adresi bilgilerini kapatıyor olacağım fakat kapatılan yerlerde bu saldırıları deneyen IP adreslerinin bilgileri yer almaktadır, kendi IP adresimizde test sırasında blocklandığı için bu kısmı kapatıyor olacağım.

Ek olarak blocklanan IP adresine sağ tıklayarak “Delete” diyerek IP adresini banlistten çıkarabilirsiniz.

Blocklanan IP adreslerinin örnekleri;

Blocklanan IP adreslerinin örnekleri;

DoS Attack neticesinde blocklanmış bir IP adresinin block sonrasında karşılaştığı sayfanın örneği ise aşağıdaki gibidir;

DoS Attack neticesinde blocklanmış bir IP adresinin block sonrasında karşılaştığı sayfanın örneği ise aşağıdaki gibidir;

Diğer yazılarımızı okumak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.