Fortigate Üzerinde DOS Policy Yapılandırması

Bu yazımızda sizlere Fortigate üzerinde Dos policy yapılandırmasının nasıl yapılacağını anlatacağız. Öncelik Dos’un ne olduğundan bahsedelim. Dos Hizmet reddi saldırısıdır.Fortigate source (kaynak) ve destination(hedef)’e göre Dos kontrollerini sağlamaktadır. Dos kontrolü bilinen veya yaygın kullanılan trafik hareketlerine uymayan ağ trafiğinin algılama özelliğidir. Anormal bir trafik için en bilinen örneklerden biri Dos yani hizmet reddi saldırılarıdır. Saldırgan tarafından bir hizmete anormal derece oturum başlatıldığından hizmet reddi gerçekleşmektedir. Çok sayıda istek ve oturum hedef sistemi yavaşlatır veya devre dışı bırakır, bu sayede gerçek kullanıcılar uygulamayı kullanamaz hale gelir.

Dos politikaları trafiğin akışına izin vermek yerine bilinen trafik modellerini izleyerek trafiği görüntüler ve saldırıyı algıladığında belirlemiş olduğunuz politikaya göre izin verir, monitor eder veya reddeder. Dos politikaları kaynak, hedef, port veya saldırı çeşidine göre sınırlandırılabilir.

 Fortigate 6.0 versiyonu sonrası Dos policy özelliği etkinleştirildiği anda bir paket Fortigate’e girdiğinde ilk olarak dos policy kontrol edilir. Dos politikaları ayrıca çok az kaynak kullanan fakat çok verimli savunma sistemleridir. Çünkü herhangi bir saldırı tespit edildiği anda drop edilir. Bu sayede paket AntiVirüs veya Policy kontrollerine gelmeden sistemden dışarı atılmış olur.

Fortigate Üzerinde Dos Policy Yapılandırması

Benim vereceğim örnekte sizlere topolojimi çok kısa anlatmak isterim. Öncelikle bilinmesi gerekir ki firewall un asıl görevi Dos Protection değildir. Bu sebeple çok şiddetli gelen bir saldırı esnasında dış bacağınızda bulunan Fortigate üzerinde dos policy açarsanız tüm sisteminiz down olabilir ve kesinlikle saldırı durdurulana veya sizin sistem odasına koşup dışa açık sunucu kuralınızı disable edene kadar sistem up olmayabilir.

Benim yapımda Fortigate Wan Firewall olarak kullanılmaktadır. Http ve Https trafiği için Fortigate’in hemen arkadasında bir adet WAF cihazım bulunmaktadır.

Topoloji görseli aşağıdaki gibidir.

Forti Dos Policy

Görselden şu şekilde bir topoloji çıkarabilirsiniz. Benim sistemimde Http ve Https trafiği Fortigate firewall üzerinden hiç kontrol edilmeden FortiWeb’e aktarılmaktadır. Çünkü ben web kontrollerimi FortiWeb üzerinden yapmaktayım. Smtp, imap, pop, rdp gibi diğer uygulama kontrollerini ise Fortigate üzerinde gerçekleştirmekteyim.

Fortigate üzerinde Dos Policy Nasıl Yazılır?

  1. System altında bulunan Feature visibility alanında bulunan DoS Policy seçeneği açılır.
Forti Dos Policy UI
  1. Policy & Object altında IPv4 Dos Policy sekmesine girilir ve Create New butonuna tıklanır.
Forti Dos Policy UI 2
  1. Create New butonuna tıkladığında açılan alanlar ile ilgili kısa bir bilgi vereyim.
Forti Dos Policy UI 2
  • Name: Dos policy’e isim vermenizi için belirlenen ayardır. Unutmayınki kurallara belirleyici isim vermek güvenlik yöneticisinin en önemli yardımcılarından biridir.
  • Incoming Interface: Saldırının nereden geleceğinin belirlendiği alandır.
  • Source Address: Saldırının hangi adresten/adreslerden gelebileceğinin belirleneceği alandır.
  • Destination Address: Saldırının nereye yapılacağının belirleneceği alandır.
  • Service: Saldırının hangi servislere yapıldığında engellenmesi istenen alandır.
Forti Dos Policy UI 3
  1. L3 Anomalies alanı yöneticinin manuel olarak değiştiremeyeceği alanlardır. Sadece Threshold alanı yönetici tarafından belirlenmektedir. L3 alanı layer 3 seviyesindeki Dos saldırılarına yönelik yapılan kurallardır.
  • Logging: Gelen saldırının loglanmasının sağlanıp, sağlanmayacağının belirlendiği alandır.
  • Disable: Belirtilen saldırı çeşidinde engellemenin yapılmamasını sağlayan alandır.
  • Block: Belirtilen saldırının engellenmesinin sağlandığı alandır.
  • Monitör: Belirtilen saldırının sadece izlenmesini fakat blocklanmamasının sağlandığı alandır.
  • ip_src_session: Bir kaynak IP adresinden gelen eşzamanlı IP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, belirlenen eylem yürütülür.       
  • ip_dst_session: Bir hedef IP adresine eşzamanlı IP bağlantısı sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
Forti Dos Policy UI 3
  1. L4 Anomalies: Layer 4 katmanı için belirlenmiş olan Dos saldırı çeşitlerinin alanıdır.
  • Tcp_syn_flood: Yeniden iletim dahil olmak üzere yeni TCP bağlantılarının tek bir hedef IP adresine SYN paket hızı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Tcp_port_scan: Bir kaynak IP adresinden yeniden iletim dahil olmak üzere yeni TCP bağlantılarının SYN paket hızı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Tcp_src_session: Bir kaynak IP adresinden gelen eşzamanlı TCP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.           
  • Tcp_dst_session: Bir hedef IP adresine gelen eşzamanlı TCP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Udp_flood: Bir hedef IP adresine giden UDP trafiği yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Udp_scan: Bir kaynak IP adresinden kaynaklanan UDP oturumlarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Udp_src_session: Bir kaynak IP adresinden gelen eşzamanlı UDP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.           
  • Udp_dst_session: Bir hedef IP adresine gelen eşzamanlı UDP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Icmp_flood: Bir hedef IP adresine gönderilen ICMP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.          
  • Icmp_sweep: Bir kaynak IP adresinden kaynaklanan ICMP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Icmp_src_session: Bir kaynak IP adresinden eşzamanlı ICMP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Icmp_dst_session: Bir hedef IP adresine eşzamanlı ICMP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Sctp_flood: Bir hedef IP adresine gönderilen SCTP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.          
  • Sctp_scan: Bir kaynak IP adresinden kaynaklanan SCTP oturumlarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Sctp_src_session: Bir kaynak IP adresinden eşzamanlı SCTP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Sctp_dst_session: Bir hedef IP adresine eşzamanlı SCTP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Enable this policy: policy nin aktif olmasını sağlayan alandır.
  1. Evet şimdi create new dediğinizde threshold alanında Fortigate’in best practice olarak belirlediği değerler gelmektedir. Fakat benim yapılma bu değerler uygun değildir.
  2. Öncelikle benim yapımda WAF cihazı olduğu için ben ilk başta WAF’a giden trafik için monitor kuralı yazacağım. Monitör kuralı yazma amacım log alabileyim ve Siem yazılımım saldırı esnasında bana bilgi iletsin.
Name: WAF RULE
Incoming Interface: Wan Interface
Source Address: Dış dünyadan gelen herkes
Destination Address: IIS sunucumun dış ip adresi ve Exchange sunucumun dış ip adresi
Service: HTTP ve HTTPS servislerinde
Forti Dos Policy UI 4

Ben HTTP ve HTTPS Dos saldırılarına Web Application Firewall’da yönettiğim için bu rule’da tüm Anomaly değerlerini monitör’e çekiyorum. Belki aranızda neden firewall üzerinde engelleme yapmadığımı düşenen olacaktır. Hemen açıklayayım, IIS ve Exchange sunucuma gerçekleşecek bir saldırı esnasında DOS Protection cihazım olmadığı için büyük bir saldırı yaşanırsa tüm sistem down olmaması amacıyla bu işlemi yapıyorum. Eğer çok büyük bir saldırı gelirse, network up olacak fakat WAF cihazımın dayanabildiği kadar IIS ve Exhange ayakta kalacak.

Not: WAF kullanmayanlar için kendi best practice ‘im olan değerlerle bir örnek paylaşacağım.

  1. Ben yapımda daha önceden bir çok test denedim ve en doğru değerleri çıkardım. Bu sebeple Fortigate’in vermis olduğu best practice benim yapıma göre çok daha riskli. Bu sebeple benim aynı değerleri kullanabilirsiniz. Sorun yaşarsanız arttırım sağlamak için policy’i edit edebilirsiniz.
Forti Dos Policy UI 4

Benim belirlemiş olduğum değerlere göre kuralımı düzenledim ve kaydettim.

  1. Şimdi diğer servisler için kuralımı yazıyorum. Bu kuralı eğer sizin sisteminizde WAF yoksa aynı şekilde devreye alabilirsiniz.
Forti Dos Policy UI 4
  1. Kuralı devreye aldıktan sonra Log&Reports alanında gelen saldırıların engellendiğini görmeye başlayacaksınız. Peki gelen saldırılarca fortigate sizce ip adresini karantinaya alıyor mu ? Hayır almıyor. Çünkü bunun için gerekli ayarları CLI üzerinde yapmamız gerekmektedir.
Forti Dos Policy UI 4

Buraya kadar Fortigate Üzerinde Dos Policy Yapılandırmasını görmüş olduk. Şimdi ise karantina işlemini yapalım.

  1. Fortigate üzerinde Dos policy karantina işlemi, saldırıyı yapan adresin sizin belirlediğiniz süre boyunca ban listesinde kalmasını sağlamaktadır. Bunun için ilgili kural üzerinde cli ‘ a düşmeniz gerekmedir.
  1. Fortigate üzerinde Dos policy karantina işlemi, saldırıyı yapan adresin sizin belirlediğiniz süre boyunca ban listesinde kalmasını sağlamaktadır. Bunun için ilgili kural üzerinde cli ‘ a düşmeniz gerekmedir.
Forti Dos Policy UI 4
  1. CLI a eriştikten sonra, aşağıdaki komutlar sırası ile girilir. Bunu tüm dos anomalyleri üzerinde açmanız gerekmektedir.
-	config firewall DoS-policy
-	edit <policyid>
-	config anomaly
-	edit icmp_dst_session
-	set quarantine attacker
-	set quarantine-expiry 29d23h59m

Şimdi yazdığımız kodlara bir bakalım.

-	Config firewall DoS-Policy : Dos policy üzerinde config yapmak istediğimizi belirttik.
-	Edit 2 : 2 numaralı dos policy üzerinde değişiklik yapmak istediğimi belirttim.
-	Config anomaly: anomaly alanında config yapmak istediğimi belirttim.
-	Edit icmp_dst_session: icmp_dst_session paketleri üzerinde değişiklik yapmak istediğimi belirttim.
-	Set quarantine attacker: Saldırıyı gerçekleştiren adresi karantinaya almasını istedim.
-	Set quarantine-expiry: 29 gün 23 saat 59 dakika bu ip yi banlamasını istedim.
  1. Tüm anomaly değerlerinde bunları açmanız gerekmektedir. Anomaly değerlerini aşağıdaki görselde paylaşıyorum.
Forti Dos Policy UI 5
Forti Dos Policy UI 6

Buraya kadar Fortigate Üzerinde Dos Policy Yapılandırma işlemini anlattık. Sizlere güzel bilgiler katabildiğimi umuyorum.


İlginizi Çekebilecek Makaleler
Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında
Microsoft Exchange Server

Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında

Şubat 11, 2021 10:17

Microsoft Exchange Server yönetimi sırasında, genellikte CU yükseltmeleri sonrasında meydana gelen ancak Exchange üzerinde...

Fortigate Firewall’da Replacement Message’ı Kapatabilmek
Siber Güvenlik

Fortigate Firewall’da Replacement Message’ı Kapatabilmek

Aralık 21, 2020 12:52

Fortigate Firewall’da Replacement Message’ı kapatilmek aslında önemli bir durumdur. Bunun sebebini bu yazıda değineceğim...

Vmware VCenter Kurulumu
Vmware VCenter

Vmware VCenter Kurulumu

Aralık 21, 2020 12:46

Bu yazımızda sizlere Vmware vCenter kurmanın çok basit bir yolunu detaylı bir şekilde anlatacağım....

FortiGate IPS Nedir?
Siber Güvenlik

FortiGate IPS Nedir?

Aralık 20, 2020 10:49

Saldırı Önleme Sistemi (IPS) nedir? Bir İzinsiz Girişi Önleme sistemi (IPS), kuruluşların kötü niyetli...

FortiGate Firewall Modelleri Nelerdir?
Siber Güvenlik

FortiGate Firewall Modelleri Nelerdir?

Aralık 18, 2020 11:27

FortiGate Firewall Modelleri Nelerdir? Fortigate Firewall’un oldukça fazla modeli bulunmaktadır. Güvenliğinizi sağlayan fortigate firewall...

.Net Core – Worker Servis Nedir?
Yazılım Geliştirme

.Net Core – Worker Servis Nedir?

Aralık 18, 2020 6:59

Worker, .Net uygulamalarının çalışmaya başladığı andan çalışmayı durdurma anına kadar ki geçen süreçte arka...

Fortigate HA Üzerinde LACP Yapılandırması Nasıl Yapılır?
Siber Güvenlik

Fortigate HA Üzerinde LACP Yapılandırması Nasıl Yapılır?

Aralık 17, 2020 4:56

Yapımızda HA olarak Active – Passive modda çalışan 2 adet Fortigate cihazımız bulunmaktadır. Bu...

Neden Fortigate?
Siber Güvenlik

Neden Fortigate?

Aralık 6, 2020 7:21

Bir kuruluşun hayati bilgilerini çalmak veya zarar vermek için sistemlere yetkisiz erişim sağlama şeklindeki...

FortiGate 100E Serisi
Siber Güvenlik

FortiGate 100E Serisi

Aralık 4, 2020 5:17

FortiGate 100E Serisi FortiGate 100E serisi, kampüste veya kurumsal şubede devreye alınma esnekliği ile...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimlerialanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgive danışmanlık hizmetlerimiz için aşağıdakiformu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.