OzzTech - FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

FORTIWEB Üzerinde Slow Saldırıları

Öncelikle FORTIWEB Üzerinde Slow Saldırıları nedir sizlere açıklayayım.

FORTIWEB Üzerinde Slow Saldırıları

FortiWEB üzerinde Low ve Slow saldırıları, çok yavaş bir hızda küçük bir trafik akışı gönderen bir DoS saldırısı türüdür. Amacı uygulama ve sunucu kaynaklarını hedeflemektir. Bu saldırının Normal bir web trafiğinden ayırt edilmesi zordur. En popüler saldırı araçları arasında Slowloris ve RUDY Slowloris kullanılmaktadır. Bu saldırıda saldırganın amacı hedef web adresine http session süresini uzatarak bağlantıyı en uzun tutabileceği kadar açık bırakmaktır.

                Hedef sunucuya sürekli bağlantı istekleri göndererek eski session’I kapatmadan uzun süre sistemde bağlı kalmaktadır. Bu sayede hedef sunucunun session havuzu dolacak ve en sonunda istemcilere cevap veremeyecek duruma gelecektir.

Peki şimdi gelelim FortiWeb üzerinde Slow Saldırıları nasıl engelleyebilirsiniz.

  1. Fortiweb üzerinde Bot Mitigation Paneline girilir.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 1
  1. Threshold Based Detection sekmesine girilir.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 2
  1. Create New Butonuna Basılır
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 3
  1. Açılan panelde ayarlarımızı yapacağız.
FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 4

Name = Threshold Based Detection kuralına vereceğiniz isimdir.

Slow Attack Detection = Slow attacklar için işlem yapacağımız için enable duruma getirilir.

HTTP Transaction TimeOut= Http isteklerinin ne kadar süre işleneceğinin belirleneceği değerdir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) session sonlana kadar devam edecek anlamına gelecektir.

Packet Interval Timeout = Sunucu veya İstemci tarafından gelen paketler arasındaki zaman aşımı değeridir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) paketlerin gönderilene veya alınana kadar devam edecek anlamına gelecektir.

Occurrence = HTTP response tiplerinin değişkenlerini tanımlamaktadır.

Within (Seconds)  = Slow saldırı olaylarının ne kadar süre sürdüğünde algınlaması gerektiğinin belirtildiği değerdir. Bu değer saniye cinsinden belirlenmektedir.

Action = Detect olan saldırının ne yapılacağı durumdur.

FORTIWEB Üzerinde Slow Saldırıları görsel anlatım 5

Alert = Yaşanılan olayın herhangi bir işlem yapılmadan monitor (log) edilmesine yarayan action’dır

Alert&Deny = Yaşanılan olayın Blocklanmasını ve Log edilmesini sağlamaktadır.

Deny = Yaşanılan olayın Blocklanmasını fakat loglanmamasına yarayan action’dır

Period Block = Yaşanılan olayın Periyodik olarak Blocklanmasına yaşayan action’dır.

Severity = Bu kurala match eden olayların hangi seviyede değerlendireceğini belirlemektedir.

Trigger Policy = Bu kurala match eden bir olay yaşandığında sizin isteğinize bağlı olarak sistem yöneticisine mail at gibi işlemlerin yapıldığı alandır.

Şimdi tüm alanlarımızı tanıdığımıza göre gelelim kuralımızı yazmaya.

Not: Aşağıda oluşturduğum değerler daha önceden yaklaşık 2 hafta monitör ettikten sonra sistemin en stabil çalıştığı değerlerdir. Bu değerler her sisteme göre farklılık göstermektedir. LÜTFEN BEST PRACTİCE OLARAK DEĞERLENDİRMEYİNİZ!!!Sizlere tavsiyem kuralı Alert Modda açarak 2 hafta izlemeniz sonucu değerleri belirlemenizdir.

Slow Saldırı görsel anlatım 6
  1. Gerekli değerleri tamamladıktan sonra Ok butonuna tıklayarak politikamızı yazmış oluyoruz.

Şimdi gelelim bu politikayı bir web protection profile ‘a match etmeye…

Slow Detection Politikasının Web Protection Profile’a eklenmesi Nasıl Yapılır?

1- Policy seklemesine girilir.

Slow Saldırı görsel anlatım 7

2- Web Protection Profile sekmesine girilir.

Slow Saldırı görsel anlatım 8

3- Politikayı eklemek istediğiniz Protection profile seçilir ve Edit edilir.

Slow Saldırı görsel anlatım 9

4- Bot Mitigation alanında yeni oluşturmuş olduğumuz politika seçilir ve save edilir.

Slow Saldırı görsel anlatım 10

Artık Slow saldırılardan korunuyorsunuz.

Okuduğunuz için teşekkür ederim… Umarım sizlere yararı olur… Başka yazılarımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.