Bu yazımızda sizlere FortiWeb hata toleransınının iyileştirilmesi ve cihazınızın yanlış pozitifleri azaltabilmeniz için yapmanız gereken uygulamaları açıklayacağız.
- Hata Toleransının İyileştirilmesi
- Yanlış Pozitifleri Azaltmak
Hata toleransının iyileştirilmesi
Kullanılabilirlik özelliklerini arttırabilmek için, aktif-pasif yüksek kullanılabilirlik (HA/ High availability) çifti olarak çalışacak iki FortiWeb aracı kurun. Ana FortiWeb aracınız arızalanırsa, yedek FortiWeb aracınız sadece küçük bir kesintisinin ardından web trafiğini işleyemeye devam eder.
Bir HA çifti kurulumu yaparken dikkat etmeniz gerekenler:
- HA arabirim bağlantılarını genel ağınızdan ayırın.
- Sinyal ve senkronizasyon paketleri, hassas konfigürasyon verileri içerir ve önemli miktarda ağ bant genişliği tüketebilir. Daha iyyi bir sonuç için, çapraz kablo kullanarak iki HA arabirimini doğrudan birbirine bağlayın. Sisteminiz HA sinyal arabirimlerini bağlarken çapraz kablo kullanmak yerine switchleri kullanıyorsa, bu arabirimlere layer2 çoklu yayın aracılığıyla erişilebilmelidir.
- Bir HA çiftini yapılandırırken, FortiWeb yüksek kullanılabilirlik (HA) seçeneklerine çok dikkat edin.
- FortiWeb, tam zamanında yük devredebilmek için ARP/NS paketlerini ağa yayınlar. Gecikmeli yayın aralıkları performansı yavaşlatabilir. Bundan dolayı FortiWeb yüksek kullanılabilirlik (HA) değerini gerekenden yüksek olmayacak şekilde ayarlayın.
- FortiWeb, ARP/NS paketlerini yayınlarken bunu düzenli aralıklarla yapar. Performansı etkilememesi için FortiWeb yüksek kullanılabilirlik (HA) değerini gerekenden geniş olmayacak şekilde ayarlayın.
- Bu seçenekleri optimum değerlerine ayarlamak için birkaç deneme yapmanız gerekebilir.
HA birincil aygıtı değiştirdiğinde SNMP yöneticisini uyarma
- HA sinyali başarısız olursa mesaj oluşturabilmek için SNMP (Basit Ağ Yönetim Protokolü) kullanın.
- Bir SNMP topluluğu konfigüre edin ve ardından ve HA heartbeat failed seçeneğini etkinleştirin.
Yanlış Pozitifleri Azaltmak
Çalışırken ve sistemlerinizin korunması için enerjinizi gerçek saldırılara odaklamalısınız. Ancak genellikle bu saldırılar, karışıklığa neden olabilecek ince ayrıntılarla normal trafikten farklıdır. Gerçekleşen saldırı loglarının aslında kaç tanesi gerçek bir saldırıya ait kaç tanesi yanlış pozitif? Kendinize sormanız gereken sorular;İstemci başına saniyede 20 istek bir DoS saldırısı mıdır? 250 karakterlik bir istek URL’si anormal derecede uzun mu? Form girdileri SQL sorgularına izin vermeli mi?
Bu soruların cevabını belirlemede size en büyük yardımcı olacak şey normal trafik verilerinizdir. Bu yüzden normal trafik verilerinizi FortiWeb’inizin koruma ayarlarını düzenlemek ve anlamlı olmayan saldırı loglarını azaltmak için kullanın.
Bununla birlikte, URL’lerin ve parametrelerin kısa olduğu web uygulamalarında, uzun parametreler olarak URL’ler şüpheli olabilir bunun nedeni ise bir tıklama, URL kodlu shell kodunun veya padded exploitlerden (destekli açıklardan) yararlanıldığı için olabilir. Bu tarz durumlarda, daha kısa olan bir HTTP kısıtlaması oluşturabilirsiniz.
Benzer şekilde, tek bir kurumsal ön sayfa veya Zenphoto galeri sayfası, resimler, JavaScript’ler, CSS sayfaları ve diğer harici bileşenler için 81 istek içerebilir. Bununla birlikte, bir arama sayfası normalde yalnızca 6 istek içerebilir ve hız sınırlamasını yapılandırırken daha düşük bir eşiğe hak kazanır.
Burada normal olarak değerlendirilen web uygulamalarınıza göre olmasıdır.
SQL Enjeksiyon algılaması için, False Positive Mitigation (Yanlış Pozitif Azaltma) etkinleştirerek yanlış pozitifleri de azaltabilirsiniz.
Bir imza yanlış pozitiflere yol açıyorsa, ancak devre dışı bırakıldığında saldırılara izin veriyorsa, tipik trafiğiniz ve saldırılar arasındaki farkları analiz etmek için Wireshark gibi paket yakalama ve analiz araçlarını kullanabilirsiniz, ardından saldırıları hedefleyen ancak normal trafiği hariç tutan özel bir imza oluşturabilirsiniz.
Eğer kendiniz bir saldırı imzası yazdıysanız veya hız sınırlaması uygulayacağınız büyük web sayfası kümelerini tanımlamak için normal ifadeler kullandıysanız, URL isteme ve diğer benzer ayarları kontrol etmek için >> (test) düğmesini kullanmalısınız:
- normal ifadenizin syntax’ı
- tüm beklenen eşleşmeler
- tüm eşleşmeyen ifadeler
Yeterince saldırı olasılığıyla eşleşmeyen düzenli ifadeler yanlış negatiflere yol açar ve istenmeyen trafikle eşleşen normal ifadeler yanlış pozitiflere neden olur.
Bu yazımızda sizlere hata toleransınızı iyileştirebilmeniz ve yanlış pozitifleri azaltıp önleyebilmeniz için yapmanız gereken uygulamalardan bahsettik. Zamandan tasarruf etmeniz gerekiyorsa veya bu adımları yaparken kendinizi rahat hissetmiyorsanız, profesyonel hizmet ve destek almak için Ozztech Bilgi Teknolojileri ile iletişime geçebilirsiniz.