FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

Öncelikle Slow Saldırıların ne olduğunu sizlere açıklayayım.

Slow Saldırı Nedir?

Low ve Slow saldırı, çok yavaş bir hızda küçük bir trafik akışı gönderen bir DoS saldırısı türüdür. Amacı uygulama ve sunucu kaynaklarını hedeflemektir. Bu saldırının Normal bir web trafiğinden ayırt edilmesi zordur. En popüler saldırı araçları arasında Slowloris ve RUDY Slowloris kullanılmaktadır. Bu saldırıda saldırganın amacı hedef web adresine http session süresini uzatarak bağlantıyı en uzun tutabileceği kadar açık bırakmaktır.

                Hedef sunucuya sürekli bağlantı istekleri göndererek eski session’I kapatmadan uzun süre sistemde bağlı kalmaktadır. Bu sayede hedef sunucunun session havuzu dolacak ve en sonunda istemcilere cevap veremeyecek duruma gelecektir.

Peki şimdi gelelim FortiWeb üzerinde bu saldırıyı nasıl engelleyeceğimize.

  1. Fortiweb üzerinde Bot Mitigation Paneline girilir.
Slow Saldırı görsel anlatım 1
  1. Threshold Based Detection sekmesine girilir.
Slow Saldırı görsel anlatım 2
  1. Create New Butonuna Basılır
Slow Saldırı görsel anlatım 3
  1. Açılan panelde ayarlarımızı yapacağız.
Slow Saldırı görsel anlatım 4

Name = Threshold Based Detection kuralına vereceğiniz isimdir.

Slow Attack Detection = Slow attacklar için işlem yapacağımız için enable duruma getirilir.

HTTP Transaction TimeOut= Http isteklerinin ne kadar süre işleneceğinin belirleneceği değerdir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) session sonlana kadar devam edecek anlamına gelecektir.

Packet Interval Timeout = Sunucu veya İstemci tarafından gelen paketler arasındaki zaman aşımı değeridir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) paketlerin gönderilene veya alınana kadar devam edecek anlamına gelecektir.

Occurrence = HTTP response tiplerinin değişkenlerini tanımlamaktadır.

Within (Seconds)  = Slow saldırı olaylarının ne kadar süre sürdüğünde algınlaması gerektiğinin belirtildiği değerdir. Bu değer saniye cinsinden belirlenmektedir.

Action = Detect olan saldırının ne yapılacağı durumdur.

Slow Saldırı görsel anlatım 5

Alert = Yaşanılan olayın herhangi bir işlem yapılmadan monitor (log) edilmesine yarayan action’dır

Alert&Deny = Yaşanılan olayın Blocklanmasını ve Log edilmesini sağlamaktadır.

Deny = Yaşanılan olayın Blocklanmasını fakat loglanmamasına yarayan action’dır

Period Block = Yaşanılan olayın Periyodik olarak Blocklanmasına yaşayan action’dır.

Severity = Bu kurala match eden olayların hangi seviyede değerlendireceğini belirlemektedir.

Trigger Policy = Bu kurala match eden bir olay yaşandığında sizin isteğinize bağlı olarak sistem yöneticisine mail at gibi işlemlerin yapıldığı alandır.

Şimdi tüm alanlarımızı tanıdığımıza göre gelelim kuralımızı yazmaya.

Not: Aşağıda oluşturduğum değerler daha önceden yaklaşık 2 hafta monitör ettikten sonra sistemin en stabil çalıştığı değerlerdir. Bu değerler her sisteme göre farklılık göstermektedir. LÜTFEN BEST PRACTİCE OLARAK DEĞERLENDİRMEYİNİZ!!!Sizlere tavsiyem kuralı Alert Modda açarak 2 hafta izlemeniz sonucu değerleri belirlemenizdir.

Slow Saldırı görsel anlatım 6
  1. Gerekli değerleri tamamladıktan sonra Ok butonuna tıklayarak politikamızı yazmış oluyoruz.

Şimdi gelelim bu politikayı bir web protection profile ‘a match etmeye…

Slow Detection Politikasının Web Protection Profile’a eklenmesi Nasıl Yapılır?

1- Policy seklemesine girilir.

Slow Saldırı görsel anlatım 7

2- Web Protection Profile sekmesine girilir.

Slow Saldırı görsel anlatım 8

3- Politikayı eklemek istediğiniz Protection profile seçilir ve Edit edilir.

Slow Saldırı görsel anlatım 9

4- Bot Mitigation alanında yeni oluşturmuş olduğumuz politika seçilir ve save edilir.

Slow Saldırı görsel anlatım 10

Artık Slow saldırılardan korunuyorsunuz.

Okuduğunuz için teşekkür ederim… Umarım sizlere yararı olur…


İlginizi Çekebilecek Makaleler
Exchange Server eDiscovery Problemi HK.
Microsoft Exchange Server

Exchange Server eDiscovery Problemi HK.

Haziran 10, 2021 9:39

Bu makalemde, Exchange Server üzerinde eDiscovery ile kullanıcının mailboxında belirli bir mail için arama...

Active Directory Health Check Nasıl Yapılır?
Active Directory

Active Directory Health Check Nasıl Yapılır?

Haziran 7, 2021 7:33

İlk adım olarak Microsoft MVP’lerinden birisi olan Sukhija Vikas’ın bu işlem için yazdığı PowerShell...

FortiAnalyzer Disk Kapasitesini Nasıl Arttırabiliriz?
Siber Güvenlik

FortiAnalyzer Disk Kapasitesini Nasıl Arttırabiliriz?

Mayıs 28, 2021 6:12

Bugün FortiGate Firewall’umda Log kontrolleri yaparken, FortiAnalyzer’ımdaki disk kapasitemin oldukça azaldığını gördüm ve bunu...

Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?
Siber Güvenlik

Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?

Mayıs 28, 2021 5:16

Fortigate Firewall’larda SSL-VPN ile iç networkümüze aldığımız kullanıcılarımızın erişimlerini Firewall Policylerle kontrol altında tutabiliyoruz...

Seo Danışmanlığı
SEO (Search engine optimization)

Seo Danışmanlığı

Mayıs 27, 2021 2:32

SEO danışmanlığı, arama motoru optimizasyonu konusunda uzmanlaşmış kurumların, web sitelerinin performansını artırmak ve internetteki...

Bitlocker – Son Dönemin Kripto Saldırısı!!!
Siber Güvenlik

Bitlocker – Son Dönemin Kripto Saldırısı!!!

Mayıs 19, 2021 8:34

Güvenlik teknolojilerinin gelişimi ile günümüzde saldırganlarda kendilerini değiştirmekte ve evrilmektedir. Crypto saldırılarında daha önceden...

VMware Ortamında “swap” Dosyası Problemi Nasıl Giderilir?
Vmware VCenter

VMware Ortamında “swap” Dosyası Problemi Nasıl Giderilir?

Mart 23, 2021 5:56

Aşağıda bahsedeceğim tüm işlemleri yapmadan önce, sorun yaşadığınız sanal makinenin “Powered Off” konumda olmasına...

Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında
Microsoft Exchange Server

Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında

Şubat 11, 2021 10:17

Microsoft Exchange Server yönetimi sırasında, genellikte CU yükseltmeleri sonrasında meydana gelen ancak Exchange üzerinde...

Robots.txt Nedir? Nasıl Oluşturulur?
SEO (Search engine optimization)

Robots.txt Nedir? Nasıl Oluşturulur?

Aralık 22, 2020 10:10

Robots.txt nedir? Robot.txt dosyası arama motoru tarayıcılarına web sitenizim hangi noktalarının taranması gerektiğini bildirir....

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.