OzzTech - Fortigate Üzerinde DOS Policy Yapılandırması

Fortigate Üzerinde DOS Policy Yapılandırması

Bu yazımızda sizlere Fortigate üzerinde Dos policy yapılandırmasının nasıl yapılacağını anlatacağız. Öncelik Dos’un ne olduğundan bahsedelim. DOS Hizmet reddi saldırısıdır. Fortigate source (kaynak) ve destination (hedef)’e göre Dos kontrollerini sağlamaktadır. Dos kontrolü bilinen veya yaygın kullanılan trafik hareketlerine uymayan ağ trafiğinin algılama özelliğidir. Anormal bir trafik için en bilinen örneklerden biri Dos yani hizmet reddi saldırılarıdır. Saldırgan tarafından bir hizmete anormal derece oturum başlatıldığından hizmet reddi gerçekleşmektedir. Çok sayıda istek ve oturum hedef sistemi yavaşlatır veya devre dışı bırakır, bu sayede gerçek kullanıcılar uygulamayı kullanamaz hale gelir.

Dos politikaları trafiğin akışına izin vermek yerine bilinen trafik modellerini izleyerek trafiği görüntüler ve saldırıyı algıladığında belirlemiş olduğunuz politikaya göre izin verir, monitor eder veya reddeder. Dos politikaları kaynak, hedef, port veya saldırı çeşidine göre sınırlandırılabilir.

 Fortigate 6.0 versiyonu sonrası Dos policy özelliği etkinleştirildiği anda bir paket Fortigate’e girdiğinde ilk olarak dos policy kontrol edilir. Dos politikaları ayrıca çok az kaynak kullanan fakat çok verimli savunma sistemleridir. Çünkü herhangi bir saldırı tespit edildiği anda drop edilir. Bu sayede paket AntiVirüs veya Policy kontrollerine gelmeden sistemden dışarı atılmış olur.

Fortigate Üzerinde DOS Policy Yapılandırması

Benim vereceğim örnekte sizlere topolojimi çok kısa anlatmak isterim. Öncelikle bilinmesi gerekir ki firewall un asıl görevi Dos Protection değildir. Bu sebeple çok şiddetli gelen bir saldırı esnasında dış bacağınızda bulunan Fortigate üzerinde dos policy açarsanız tüm sisteminiz down olabilir ve kesinlikle saldırı durdurulana veya sizin sistem odasına koşup dışa açık sunucu kuralınızı disable edene kadar sistem up olmayabilir.

Benim yapımda Fortigate Wan Firewall olarak kullanılmaktadır. Http ve Https trafiği için Fortigate’in hemen arkadasında bir adet WAF cihazım bulunmaktadır.

Topoloji görseli aşağıdaki gibidir.

Fortigate Üzerinde DOS Policy

Görselden şu şekilde bir topoloji çıkarabilirsiniz. Benim sistemimde Http ve Https trafiği Fortigate firewall üzerinden hiç kontrol edilmeden FortiWeb’e aktarılmaktadır. Çünkü ben web kontrollerimi FortiWeb üzerinden yapmaktayım. Smtp, imap, pop, rdp gibi diğer uygulama kontrollerini ise Fortigate üzerinde gerçekleştirmekteyim.

Fortigate üzerinde DOS Policy Nasıl Yazılır?

  1. System altında bulunan Feature visibility alanında bulunan DoS Policy seçeneği açılır.
Fortigate Üzerinde DOS Policy
  1. Policy & Object altında IPv4 Dos Policy sekmesine girilir ve Create New butonuna tıklanır.
Fortigate Üzerinde DOS Policy
  1. Create New butonuna tıkladığında açılan alanlar ile ilgili kısa bir bilgi vereyim.
Fortigate Üzerinde DOS Policy
  • Name: Dos policy’e isim vermenizi için belirlenen ayardır. Unutmayınki kurallara belirleyici isim vermek güvenlik yöneticisinin en önemli yardımcılarından biridir.
  • Incoming Interface: Saldırının nereden geleceğinin belirlendiği alandır.
  • Source Address: Saldırının hangi adresten/adreslerden gelebileceğinin belirleneceği alandır.
  • Destination Address: Saldırının nereye yapılacağının belirleneceği alandır.
  • Service: Saldırının hangi servislere yapıldığında engellenmesi istenen alandır.
Fortigate Üzerinde DOS Policy
  1. L3 Anomalies alanı yöneticinin manuel olarak değiştiremeyeceği alanlardır. Sadece Threshold alanı yönetici tarafından belirlenmektedir. L3 alanı layer 3 seviyesindeki Dos saldırılarına yönelik yapılan kurallardır.
  • Logging: Gelen saldırının loglanmasının sağlanıp, sağlanmayacağının belirlendiği alandır.
  • Disable: Belirtilen saldırı çeşidinde engellemenin yapılmamasını sağlayan alandır.
  • Block: Belirtilen saldırının engellenmesinin sağlandığı alandır.
  • Monitör: Belirtilen saldırının sadece izlenmesini fakat blocklanmamasının sağlandığı alandır.
  • ip_src_session: Bir kaynak IP adresinden gelen eşzamanlı IP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, belirlenen eylem yürütülür.       
  • ip_dst_session: Bir hedef IP adresine eşzamanlı IP bağlantısı sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
Fortigate Üzerinde DOS Policy
  1. L4 Anomalies: Layer 4 katmanı için belirlenmiş olan Dos saldırı çeşitlerinin alanıdır.
  • Tcp_syn_flood: Yeniden iletim dahil olmak üzere yeni TCP bağlantılarının tek bir hedef IP adresine SYN paket hızı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Tcp_port_scan: Bir kaynak IP adresinden yeniden iletim dahil olmak üzere yeni TCP bağlantılarının SYN paket hızı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Tcp_src_session: Bir kaynak IP adresinden gelen eşzamanlı TCP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.           
  • Tcp_dst_session: Bir hedef IP adresine gelen eşzamanlı TCP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Udp_flood: Bir hedef IP adresine giden UDP trafiği yapılandırılan eşik değerini aşarsa, eylem yürütülür.
  • Udp_scan: Bir kaynak IP adresinden kaynaklanan UDP oturumlarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Udp_src_session: Bir kaynak IP adresinden gelen eşzamanlı UDP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.           
  • Udp_dst_session: Bir hedef IP adresine gelen eşzamanlı UDP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Icmp_flood: Bir hedef IP adresine gönderilen ICMP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.          
  • Icmp_sweep: Bir kaynak IP adresinden kaynaklanan ICMP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Icmp_src_session: Bir kaynak IP adresinden eşzamanlı ICMP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Icmp_dst_session: Bir hedef IP adresine eşzamanlı ICMP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Sctp_flood: Bir hedef IP adresine gönderilen SCTP paketlerinin sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.          
  • Sctp_scan: Bir kaynak IP adresinden kaynaklanan SCTP oturumlarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.            
  • Sctp_src_session: Bir kaynak IP adresinden eşzamanlı SCTP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Sctp_dst_session: Bir hedef IP adresine eşzamanlı SCTP bağlantılarının sayısı yapılandırılan eşik değerini aşarsa, eylem yürütülür.             
  • Enable this policy: policy nin aktif olmasını sağlayan alandır.
  1. Evet şimdi create new dediğinizde threshold alanında Fortigate’in best practice olarak belirlediği değerler gelmektedir. Fakat benim yapılma bu değerler uygun değildir.
  2. Öncelikle benim yapımda WAF cihazı olduğu için ben ilk başta WAF’a giden trafik için monitor kuralı yazacağım. Monitör kuralı yazma amacım log alabileyim ve Siem yazılımım saldırı esnasında bana bilgi iletsin.
Name: WAF RULE
Incoming Interface: Wan Interface
Source Address: Dış dünyadan gelen herkes
Destination Address: IIS sunucumun dış ip adresi ve Exchange sunucumun dış ip adresi
Service: HTTP ve HTTPS servislerinde
Fortigate Üzerinde DOS Policy

Ben HTTP ve HTTPS Dos saldırılarına Web Application Firewall’da yönettiğim için bu rule’da tüm Anomaly değerlerini monitör’e çekiyorum. Belki aranızda neden firewall üzerinde engelleme yapmadığımı düşenen olacaktır. Hemen açıklayayım, IIS ve Exchange sunucuma gerçekleşecek bir saldırı esnasında DOS Protection cihazım olmadığı için büyük bir saldırı yaşanırsa tüm sistem down olmaması amacıyla bu işlemi yapıyorum. Eğer çok büyük bir saldırı gelirse, network up olacak fakat WAF cihazımın dayanabildiği kadar IIS ve Exhange ayakta kalacak.

Not: WAF kullanmayanlar için kendi best practice ‘im olan değerlerle bir örnek paylaşacağım.

  1. Ben yapımda daha önceden bir çok test denedim ve en doğru değerleri çıkardım. Bu sebeple Fortigate’in vermis olduğu best practice benim yapıma göre çok daha riskli. Bu sebeple benim aynı değerleri kullanabilirsiniz. Sorun yaşarsanız arttırım sağlamak için policy’i edit edebilirsiniz.
Fortigate Üzerinde DOS Policy

Benim belirlemiş olduğum değerlere göre kuralımı düzenledim ve kaydettim.

  1. Şimdi diğer servisler için kuralımı yazıyorum. Bu kuralı eğer sizin sisteminizde WAF yoksa aynı şekilde devreye alabilirsiniz.
Fortigate Üzerinde DOS Policy
  1. Kuralı devreye aldıktan sonra Log&Reports alanında gelen saldırıların engellendiğini görmeye başlayacaksınız. Peki gelen saldırılarca fortigate sizce ip adresini karantinaya alıyor mu ? Hayır almıyor. Çünkü bunun için gerekli ayarları CLI üzerinde yapmamız gerekmektedir.
Forti Dos Policy UI 4

Buraya kadar Fortigate Üzerinde Dos Policy Yapılandırmasını görmüş olduk. Şimdi ise karantina işlemini yapalım.

  1. Fortigate üzerinde Dos policy karantina işlemi, saldırıyı yapan adresin sizin belirlediğiniz süre boyunca ban listesinde kalmasını sağlamaktadır. Bunun için ilgili kural üzerinde cli ‘ a düşmeniz gerekmedir.
  1. Fortigate üzerinde Dos policy karantina işlemi, saldırıyı yapan adresin sizin belirlediğiniz süre boyunca ban listesinde kalmasını sağlamaktadır. Bunun için ilgili kural üzerinde cli ‘ a düşmeniz gerekmedir.
Forti Dos Policy UI 4
  1. CLI a eriştikten sonra, aşağıdaki komutlar sırası ile girilir. Bunu tüm dos anomalyleri üzerinde açmanız gerekmektedir.
-	config firewall DoS-policy
-	edit <policyid>
-	config anomaly
-	edit icmp_dst_session
-	set quarantine attacker
-	set quarantine-expiry 29d23h59m

Şimdi yazdığımız kodlara bir bakalım.

-	Config firewall DoS-Policy : Dos policy üzerinde config yapmak istediğimizi belirttik.
-	Edit 2 : 2 numaralı dos policy üzerinde değişiklik yapmak istediğimi belirttim.
-	Config anomaly: anomaly alanında config yapmak istediğimi belirttim.
-	Edit icmp_dst_session: icmp_dst_session paketleri üzerinde değişiklik yapmak istediğimi belirttim.
-	Set quarantine attacker: Saldırıyı gerçekleştiren adresi karantinaya almasını istedim.
-	Set quarantine-expiry: 29 gün 23 saat 59 dakika bu ip yi banlamasını istedim.
  1. Tüm anomaly değerlerinde bunları açmanız gerekmektedir. Anomaly değerlerini aşağıdaki görselde paylaşıyorum.
Forti Dos Policy UI 5
Forti Dos Policy UI 6

Buraya kadar Fortigate Üzerinde Dos Policy Yapılandırma işlemini anlattık. Sizlere güzel bilgiler katabildiğimi umuyorum.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.