Fortigate Firewall’da Replacement Message ’ı kapatbilmek aslında önemli bir durumdur. Bunun sebebini bu yazıda değineceğim DDoS Protection özelliği ile vurgulamak isterim.
Fortigate Firewall’da Replacement Message özelliği kapatmadığımız durumda saldırganı DDoS denemesinden dolayı blocklandığını gösteren bir Fortigate sayfası karşılayacaktır. Dolayısıyla saldırgana DDoS denemelerinden dolayı block yediğini ancak karşısına yeniden bir saldırı deneyebileceği bir HTTPS veya HTTP sayfası çıkardığımızı aslında bildirmiş oluyoruz. Replacement Message’ı kapatmadığımız durumlarda, bir saldırgan bir WEB sitenize HTTPS üzerinden DDoS saldırıları denediğinde karşılaştığı sayfa aşağıdaki gibi olacaktır;
Bu durumda bahsetmiş olduğum gibi aslında saldırgana bir dönüş yaptığı için ona bu dönüş sayfasına da saldırabilmesi için olanak vermiş oluyoruz.
Bunun için DDoS saldırısı yapıldığında saldırgana bu sayfanın gösterilip DoS Attack’tan kaynaklı blocklandığının bilgisini vermiyor olmamız ve sadece trafiğini keserek erişimini kapatmış olmamız gereklidir.
Fortigate Firewall üzerinden GUI tarafından ne yazık ki bu replacement messageları tamamen kapatamıyoruz, sadece değişiklik yapabiliyoruz(görseli değiştirmek, metni değiştirmek, sadece bir tane nokta simgesi koymak gibi). Ancak yine saldırgana bir HTTPS trafiği dönmüş oluyoruz, bunu tamamen kapatabilmek için ise Firewall tarafına CLI üzerinden bir kaç küçük kod ile müdahale etmemiz gerekmektedir.
Fortigate Firewall’da Replacement Message ’ı kapattıktan sonra, saldırganın karşılaşacağı sayfa ise aşağıdaki şekilde olacak ve firewall tarafından blocklandıktan sonra onu hiç bir isteğine yanıt alamaz hale getirip bunun sebebini de sunmamış olacağız;
Şimdi gelelim, Fortigate Firewall cihazında CLI üzerinden yapmamız gereken küçük işlemlere, bunu bir kalemde yazıyor olacağım, oldukça küçük bir kod olup, sadece DDoS Attackları için replacement message özelliğini tamamen kapatmış olacağız.
Küçük kodlarımızı ekledikten sonraki görmemiz gereken DoS replacement message configi şu şekilde olmalıdır;
Bunun için ise, aşağıdaki 2 komutu Firewall cihazımıza CLI üzerinden bağlantı sağlayıp girmemiz yeterli olacaktır;
Öncelikle config etmek istediğimiz DoS replacement message modülünün içine aşağıdaki komutla giriyoruz;
Bunun sonrasında ise işlemimizi tamamlamış oluyoruz. Kaydetmemiz gereken bir config bulunmamaktadır. Fortigate Firewall cihazına Putty uygulaması ile bağlanıp işlemi bitirdikten sonra configi kaydetmeniz beklenmez. Direk olarak Putty uygulamasını kapatıp testlerinizi gerçekleştirebilirsiniz.
İşlemler bittikten sonra tekrar DDoS Attack deneyip testimizi gerçekleştirdiğimizde Firewall cihazımızın test IP adresimizi blockladığını ve bize herhangi bir bildirim çıkarmadığını görebiliyoruz. Aşağıda blocklanan örnek IP adreslerini ve blocklandıktan sonra karşımıza çıkardığı sayfayı görebilirsiniz. IP adresi bilgilerini kapatıyor olacağım fakat kapatılan yerlerde bu saldırıları deneyen IP adreslerinin bilgileri yer almaktadır, kendi IP adresimizde test sırasında blocklandığı için bu kısmı kapatıyor olacağım.
Ek olarak blocklanan IP adresine sağ tıklayarak “Delete” diyerek IP adresini banlistten çıkarabilirsiniz.
Blocklanan IP adreslerinin örnekleri;
DoS Attack neticesinde blocklanmış bir IP adresinin block sonrasında karşılaştığı sayfanın örneği ise aşağıdaki gibidir;
Diğer yazılarımızı okumak için tıklayabilirsiniz.