OzzTech - Fortinet Best Practise-En iyi Öneriler-6

Fortinet Best Practise-En iyi Öneriler-6

Güvenlik Profilleri

Güvenlik Profilleri (AV, Web Filtreleme vb.)

Birden fazla kaynaktan virüs vb. enfeksiyonlar gelebilir ve farklı şekilde etkileyebilir. Bu nedenle, ağınızı etkili bir şekilde korumanın tek bir yolu yoktur. Bunlarla uğraşmak yerine, FortiGate biriminizin size sunduğu çeşitli güvenlik profilleri UTM araçları sayesinde ağınızı en iyi şekilde koruyabilirsiniz.

Güvenlik profilleri araçları aşağıda verilmiştir:

Firewall (Güvenlik Duvarı)

  1. Firewall ayarlarını devre dışı bırakırken veya silerken dikkatli olmalısınız. GUI veya CLI kullanarak firewall yapılandırmasında yaptığınız değişiklikler kaydedilir ve hemen etkinleştirilir.
  2. Policy listesinde firewall ilkeleri özelden genele doğru düzenleyin. Firewall, policy listesinin en üstünden başlayıp aşağı doğru çalışarak eşleşen bir policy arar. Mesela, genel bir policy tüm bağlantı denemeleriyle eşleşir. Ancak genel bir policy için istisnalar oluşturmak istiyorsanız, bunları genel policynin üstündeki policy listesine ekleyin.
  3. Kaynak ve hedef adresleri için Tümü (All) seçimini tercih etmeyin. Bunun yerine, adresleri veya adres gruplarını kullanın.
  4. Eğer policylerin hepsini güvenlik duvarından kaldırırsanız, policy eşleşmesi gerçekleşmez ve tüm bağlantılar kesilir.
  5. Yapabiliyorsanız, güvenlik nedenlerinden dolayı , servislerde bağlantı noktası (port) aralıklarından kaçının.
  6. Firewall policysinin ayarları mümkün olduğunca özel ve spesifik olmalıdır. Adres olarak 0.0.0.0 tercih etmeyin veya hiçbirini hizmet olarak kullanmayın. Bunun yerine, kaynak ve hedef adreslerde subnetleri veya belirli IP adreslerini kullanın ve ayrıca bireysel hizmetleri veya hizmet gruplarını kullanabilirsiniz.
  7. Tek bir host adresi oluştururken 32 bitlik bir subnet maskesi kullanın. (örneğin, 255.255.255.255).
  8. Poliçelerde log girişini sadece gerektiği zaman kullanın ve performans etkisini takip edin. Örneğin, tüm kesilen bağlantıları günlüğe kaydetmek (logging) isteyebilirsiniz, ancak kullanmayacağınız log bilgileri yerine trafik verilerini örnekleyerek daha dikkatli bir yol seçebilirsiniz.
  9. 'Herhangi bir' arayüze dayalı güvenlik policylerini de kullanabilirsiniz. Ancak, daha ayrıntılı olması açısından ve daha sıkı güvenlik için açık arabirimleri öneririz.
  10. Yönetim verilerini girmek için yorum alanını kullanın. Örneğin: kuralı kim istedi, kim yetkilendirdi, vb. sorular
  11. Dahili olmadığı sürece, FQDN adreslerini kullanmayın. Çünkü, DNS sorguları üzerinde performans etkisine ve DNS sahtekarlığından kaynaklanan güvenlik sorunu oluşabilir.
  12. Vlan olmayan arabirimler için, üyeler için yalnızca tek bir arabiriminiz olsa bile aşağıdakilere izin vermek için bölgeleri kullanın:
    • Güvenlik policylerinde kullanılacak arabirimin açık adı ("internal", "port10"dan daha belirgindir).
    • Donanım yükseltmeleri sırasında gerçekleştirildiği gibi, bağlantı noktasının yeniden eşlenmesine (örneğin 1G arabiriminden 10G arabirimine geçiş) izin vermek için veya yapılandırma tercümesini kolaylaştırmak için fiziksel bağlantı noktası ile işlevini birbirinden ayırın.

Güvenlik

  • FortiGate ve core network sistemlerinde zamanı senkronize etmek için NTP'yi kullanın. (örneğin; e-posta sunucuları, web sunucuları ve kayıt hizmetleri gibi..)
  • Şirket policyleriyle eşleşmesi için log kurallarını etkinleştirin. Örneğin, yönetim kimlik doğrulama olaylarını ve güvenilmeyen arabirimlerden sistemlere erişimi loga kaydedin.
  • Networkteki kesintileri en aza indirebilmeniz için canlı sistemlerde geçici anlık değişiklikleri en aza indirmelisiniz. Yapamazsanız, FortiAnalyzer ve FortiManager kullanarak yedekleme yapılandırmaları oluşturun ve sound denetim sistemleri uygulayın.
  • Yalnızca belirli bir bağlantı noktasındaki bir sisteme erişime izin vermeniz gerekiyorsa, mümkün olan en katı kuralı oluşturarak erişimi sınırlandırın.

Kimlik Doğrulama

  • Firewal policy yapılandırma sayfasında Kimlik Doğrulama (Authentication) onay kutusunu etkinleştirebilmeniz için geçerli bir kullanıcı grubu eklemelisiniz.
  • Kullanıcılar, HTTP veya FTP kullanarak güvenlik duvarı ile kimlik doğrulaması yapabilir. Kullanıcıların kimliklerini doğrulayabilmeleri için, kimlik doğrulama için yapılandırılmış bir HTTP veya FTP policysi eklemelisiniz.

Antivirüs

  • Tüm hizmetler için networkun ucunda virüsten koruma taramasını etkinleştirin.
  • Networkunuza giren tehditlere karşı koruma için FortiClient uç nokta antivirüs taramasını kullanmanızı öneririz.
  • FortiGuard AntiVirus Güncellemelerine abone olun ve FortiGate ünitenizi push güncellemelerini alacak şekilde yapılandırın. Böylece, antivirüs imza güncellemelerini hazır olur olmaz hemen kullanabilirsiniz.
  • Tüm AV push güncellemelerinin gerçekleştiğinden emin olmak için, bir güvenlik policysinde etkinleştirilmiş bir AV profiliniz bulunmalıdır.
  • Yalnızca taramanız gereken protokolleri etkinleştirin. SMTP sunucusunda meydana gelen antivirüs taramalarınız varsa veya FortiMail kullanıyorsanız, FortiGate biriminde ayrıca tarama yapmanıza gerek yoktur.
  • Taranacak maksimum dosya boyutunu küçültün. Çünkü, virüsler genellikle yaklaşık 1 ila 2 megabaytlık gibi küçük dosyalarda seyahat eder.
  • Dosyaları düzenli olarak takip etmediğiniz sürece karantinaya almamalısınız. Aksi durumda, karantinaya almanız hem yer israfı olur hem de performansı etkiler.
  • Virüsten koruma raporlarını inceleyin ve mesajları düzenli olarak loga (günlüğe) kaydedin. Özellikle tekrarlanan algılamalara dikkat edin. Örneğin, SMTP trafiğinde tekrarlanan virüs tespiti, ağınızdaki bir sisteme virüs bulaştığını ve bir toplu mail kullanarak enfeksiyonu yaymak için diğer sistemlerle iletişim kurmaya çalıştığını gösterebilir.

Anti Spam

  • Mümkünse, FortiMail birimi kullanın. Çünkü Antispam motorları daha dirençlidir.
  • Hızlı DNS sunucuları kullanın.
  • Antispam kullanacak kuralları için belirli güvenlik profillerini kullanın.
  • DNS kontrolleri, HELO DNS aramasında false pozitife neden olabilir.
  • İçerik analizi (yasaklanmış kelimeler) performans yükü oluşturabilir.

Saldırı Önleme Sistemi (IPS)

FortiGate'inizin IPS sistemi, bu güvenlik açığından yararlanmaya çalışan trafiği tespit edebilir. IPS, virüslü sistemlerin talimat almak için sunucularla iletişim kurduğunu da algılayabilir. IPS ile ilgili aşağıdaki en iyi uygulamalar listesine bakın.

  • Tüm hizmetler için network ucunda IPS taramasını etkinleştirin.
  • Ağınıza giren tehditlere karşı koruma sağlamak için FortiClient uç nokta (endpoint) IPS taramasını kullanın.
  • FortiGuard IPS Güncellemelerine abone olun ve FortiGate ünitenizi push güncellemelerini alması için ayarlayın. Bu şekilde, IPS imza güncellemelerini hazır olur olmaz alabilirsiniz.
  • Herkese açık hale getirdiğiniz hizmetlere yönelik saldırılara karşı korunmak riskli ve kritik olduğu için, IPS imzalarını eşleşen imzaları engelleyecek şekilde yapılandırmalısınız. Örneğin, bir web sunucunuz varsa, web sunucusu imzalarının eylemini Block (Engelle) olarak yapılandırın.
  • Her arayüz ve her kural başına ihtiyaç duyacağınız belirli imzalara ve anormalliklere sahip güvenlik profilleri oluşturun ve bunları kullanın.
  • Genel veya daha önceden tanımlanmış profiller kullanmayın. Bu profiller anında koruma sağlayabilse de, ağ ortamınıza uygun profiller oluşturmalısınız.
  • Varsayılan profilleri kullanacaksanız, işlem süresini ve belleği korumak için profilde etkinleştirilen IPS imzalarını/anomalilerini azaltın.
  • Anormallikleri etkinleştirecekseniz, eşikleri ortamınıza göre ayarladığınızdan emin olun.
  • Korumaya ihtiyacınız varsa, ama bilgileri denetlemeniz gerekmiyorsa, günlüğe (logging) kaydetme seçeneğini devre dışı bırakın.
  • IP protokolü parametresini buna göre ayarlayın.

Gelişmiş algılama için CLI seçeneklerini kullanarak Skype'ı engelleme

Skype oturumlarını tanımlamak veya engellemek istiyorsanız, algılamayı geliştirmek için FortiGate'inizin genel IP adresiyle aşağıdaki CLI komutunu kullanmalısınız. (FortiOS 4.3.12+ ve 5.0.2+):

Güvenlik Profilleri

Yukarıdaki syntax'ın ağ yapılandırmanıza bağlı olarak tek bir adresin yeterli olabileceği birden fazla public IP ile oluşturulduğunu unutmayın.

Güvenlik Profilleri araçlarında: E-posta Filtresi

Spam, saldırılarda yaygın olarak kullanılan araçtır. Kullanıcılar spamlı e-posta eklerini açar ve kendi cihazlarına bu spamı bulaştırırlar.

  • Her tür e-posta trafiği için ağ ucunda e-posta filtrelemeyi etkinleştirin.
  • Ağınıza giren tehditlere karşı koruma için FortiClient uç nokta IPS taramasını kullanın.
  • FortiGuard AntiSpam Hizmetine abone olun.

Güvenlik Profilleri araçlarında: URL Filtreleme

URL filtrelemesi yapmanız için sıklıkla karşınıza çıkan kategoriler;

  1. Flow based vs Proxy based filtreleme
  2. Yerel kategori/derecelendirme özelliği
  3. URL filtresi "Exempt" işlemi

1. Flow Based vs Proxy Based

IPS veya Uygulama Denetimi kullanmıyorsanız, flow based ve proxy based özellikleri aynı profilde birlikte kullanmayın.

2. Yerel kategorilendirme özelliği

Yerel kategoriler ve yerel derecelendirme özellikleri, büyük miktarlarda CPU kaynağı kullanır. bu yüzden bu özellikleri mümkün olduğunca az kullanmalısınız. "Override (Geçersiz kılma)" özelliği daha karışık ve sorun çözümü daha zor olduğundan dolayı bu özellik yerine Yerel kategorileri kullanmanızı öneririz.

3. URL filtresi "Exempt" işlemi

URL filtresi 'Exempt' seçeneği kullanıldığında, web filtresi, antivirüs ve dlp taramaları varsayılan olarak atlanır, bu nedenle bu seçeneği yalnızca güvenilir siteler için kullanmalısınız.

Yapılandırma notları: FortiGuard Web Filtresini ikinci yol olarak kullanmak istiyorsanız, URL filtresinde 'Exempt' işlemini yapılandırmalısınız. config webfilter urlfilter altında yapacağınız bir giriş için set exempt komutunu kullanarak hangi denetimleri atlamak istediğinizi ayarlayabilirsiniz.

Web Filtreleme

Güvenlik profilleri araçlarından bir diğeri olan Web Filtrelemeyi kullanmanız sizi malware sitelerinden korumayı sağlar. Böylelikle virüs bulaşması durumunda iletişimi önlemeyi sağlayacaktır.

  • Ağ kenarında FortiGuard Web Filtrelemeyi etkinleştirin.
  • FortiClient uygulamasını yükleyin ve FortiGate biriminizi atlayan tüm sistemlerde FortiGuard Web Filtreleme'yi kullanın.
  • Tehlikeli olma olasılığı daha yüksek olan, Pornografi, Malware (Kötü amaçlı yazılım), Casus Yazılım ve Phishing gibi kategorileri engelleyin.

Patch Yönetimi

Yazılım satıcıları yazılımlarda güvenlik açığı bulunduğunda, bu sorunları düzelten güncellemeler yayınlarlar. Bu sebeple, yazılımınızı ve işletim sisteminizi güncel tutmanız sizlerin olası saldırılara karşı korunmanızı ve bulaşmaları engellemenizi sağlar.

  • Güncellemeler yayınlandıkça, güncellemeleri tüm yazılımlara uygulayın.
  • FortiGuard Vulnerability Management, ağınızdaki güvenlik zayıflıklarını belirlemenize yardımcı olabilir. Bu abonelik hizmeti FortiScan ve FortiAnalyzer birimleri aracılığıyla kullanılabilirsiniz.
  • Firmware güncellemelerini FortiGate ünitenize yayınlandıkça uygulayın.
  • Yeni sürüm yayınlandığında AntiVirus ve IPS tarama motorlarının otomatik olarak güncellenmesi için FortiGuard AntiVirus ve IPS hizmetlerine abone olun.


Fortigate en iyi öneriler (fortigate best practise) serimizin beşinci bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yaracaktır.

Fortinet Best Practise serimizin bir önceki bölümü olan Firmware konulu yazımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.