ozztech_logo_white

FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

FORTIWEB Üzerinde Slow Saldırıları

Öncelikle FORTIWEB Üzerinde Slow Saldırıları nedir sizlere açıklayayım.

FORTIWEB Üzerinde Slow Saldırıları

FortiWEB üzerinde Low ve Slow saldırıları, çok yavaş bir hızda küçük bir trafik akışı gönderen bir DoS saldırısı türüdür. Amacı uygulama ve sunucu kaynaklarını hedeflemektir. Bu saldırının Normal bir web trafiğinden ayırt edilmesi zordur. En popüler saldırı araçları arasında Slowloris ve RUDY Slowloris kullanılmaktadır. Bu saldırıda saldırganın amacı hedef web adresine http session süresini uzatarak bağlantıyı en uzun tutabileceği kadar açık bırakmaktır.

                Hedef sunucuya sürekli bağlantı istekleri göndererek eski session’I kapatmadan uzun süre sistemde bağlı kalmaktadır. Bu sayede hedef sunucunun session havuzu dolacak ve en sonunda istemcilere cevap veremeyecek duruma gelecektir.

Peki şimdi gelelim FortiWeb üzerinde Slow Saldırıları nasıl engelleyebilirsiniz.

  1. Fortiweb üzerinde Bot Mitigation Paneline girilir.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 1
  1. Threshold Based Detection sekmesine girilir.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 2
  1. Create New Butonuna Basılır
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 3
  1. Açılan panelde ayarlarımızı yapacağız.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 4

Name = Threshold Based Detection kuralına vereceğiniz isimdir.

Slow Attack Detection = Slow attacklar için işlem yapacağımız için enable duruma getirilir.

HTTP Transaction TimeOut= Http isteklerinin ne kadar süre işleneceğinin belirleneceği değerdir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) session sonlana kadar devam edecek anlamına gelecektir.

Packet Interval Timeout = Sunucu veya İstemci tarafından gelen paketler arasındaki zaman aşımı değeridir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) paketlerin gönderilene veya alınana kadar devam edecek anlamına gelecektir.

Occurrence = HTTP response tiplerinin değişkenlerini tanımlamaktadır.

Within (Seconds)  = Slow saldırı olaylarının ne kadar süre sürdüğünde algınlaması gerektiğinin belirtildiği değerdir. Bu değer saniye cinsinden belirlenmektedir.

Action = Detect olan saldırının ne yapılacağı durumdur.

FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 5

Alert = Yaşanılan olayın herhangi bir işlem yapılmadan monitor (log) edilmesine yarayan action’dır

Alert&Deny = Yaşanılan olayın Blocklanmasını ve Log edilmesini sağlamaktadır.

Deny = Yaşanılan olayın Blocklanmasını fakat loglanmamasına yarayan action’dır

Period Block = Yaşanılan olayın Periyodik olarak Blocklanmasına yaşayan action’dır.

Severity = Bu kurala match eden olayların hangi seviyede değerlendireceğini belirlemektedir.

Trigger Policy = Bu kurala match eden bir olay yaşandığında sizin isteğinize bağlı olarak sistem yöneticisine mail at gibi işlemlerin yapıldığı alandır.

Şimdi tüm alanlarımızı tanıdığımıza göre gelelim kuralımızı yazmaya.

Not: Aşağıda oluşturduğum değerler daha önceden yaklaşık 2 hafta monitör ettikten sonra sistemin en stabil çalıştığı değerlerdir. Bu değerler her sisteme göre farklılık göstermektedir. LÜTFEN BEST PRACTİCE OLARAK DEĞERLENDİRMEYİNİZ!!!Sizlere tavsiyem kuralı Alert Modda açarak 2 hafta izlemeniz sonucu değerleri belirlemenizdir.

Slow Saldırı görsel anlatım 6
  1. Gerekli değerleri tamamladıktan sonra Ok butonuna tıklayarak politikamızı yazmış oluyoruz.

Şimdi gelelim bu politikayı bir web protection profile ‘a match etmeye…

Slow Detection Politikasının Web Protection Profile’a eklenmesi Nasıl Yapılır?

1- Policy seklemesine girilir.

Slow Saldırı görsel anlatım 7

2- Web Protection Profile sekmesine girilir.

Slow Saldırı görsel anlatım 8

3- Politikayı eklemek istediğiniz Protection profile seçilir ve Edit edilir.

Slow Saldırı görsel anlatım 9

4- Bot Mitigation alanında yeni oluşturmuş olduğumuz politika seçilir ve save edilir.

Slow Saldırı görsel anlatım 10

Artık Slow saldırılardan korunuyorsunuz.

Okuduğunuz için teşekkür ederim… Umarım sizlere yararı olur… Başka yazılarımıza ulaşmak için tıklayabilirsiniz.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »