Sercanca Çözümler..

Sophos UTM 9 – IPS yapılandırma

06.08.2016
275
Sophos UTM 9 – IPS yapılandırma

Daha önce Fortigate üzerinde DoS policy hakkında yazı yazmıştım. Bu sefer benzer olarak IPS korumasını Sophos UTM 9 üzerinde nasıl yapılacağını anlatacağım.

Fortigate – DoS Policy

DDos ataklar günümüzde bir çok sistemi yoran ve zorlayan saldırılardır. Eğer sisteminizde bir Firewall var ise bir nebzede olsa DoS saldırılarını engelleyecektir. Sophos tarafında IPS korumasının sağlam olduğunu görebilirsiniz. Az sonra yapılandırmayı adım adım yazacağım. Eğer bir şekilde Sophos kullanıyorsanız yada bir yere kurdu iseniz mutlaka IPS ayarlarını yapmayı ihmal etmeyin.

İlk olarak Sophos UTM 9 cihazınızın web arayüzüne erişim sağlayın. Eğer cihazın IP adresi 192.168.1.1 olarak kabul edersek standart erişimiz https://192.168.1.1:4444 olacaktır.

Web arayüzüne girdiğinizde sağ taraftaki menüden Network Protection / Intrusion Prevention menüsüne girin.

Global sekmesinde aşağıdaki gördüğünüz gibi ekran gelecek. Sağ üstte bulunan ve özelliği Aktif/Pasif yapan butona tıklayarak Aktifleştirin.

Local Networks penceresinde hangi networklerden gelen saldırıları izleyip devre dışı yapacağını belirtiyoruz.

Genellikle IPS saldırıları internetten gelse de Localdeki bir PC den de gelebilir diyerekten hem interneti hemde Locali Network olarak ekliyoruz.

Policy seçeneğinde ise Terminate connection seçeneğini seçiyoruz.

1-Global

Attack Patterns sekmesine geçtiğimizde Sophos UTM 9 veritabanındaki platforma göre tanıdığı saldırı biçimleri yer almaktadır. Burada saldırıyı engelleyip size bilgi verecek şekilde ayarlar hazır halde gelecektir. Dilerseniz burayı özelleştirip değişiklik yapabilirsiniz.

2-Attack-Pattern

Anti-Dos/Flooding Sekmesine geçin. Burada DoS ataklar ile ilgili ayarları göreceksiniz. Ayarları yapmanız gerekiyor. TCP SYN Flood Proction penceresindeki Use TCP SYN Flood Proction seçeneğini seçin ve Apply tuşuna basın. Aynı işlemi aşağıdaki pencereler içinde yapmanız gerekmektedir. Burada UDP Flood protection altında bulunan packet rate değerini aşağıdaki gibi yapın. yoksa normal paketleride atak olarak algılayabilir.

3-Anti-Dos-flooding

Anti-Portscan sekmesinde cihazınız üzerindeki açık portlar tarandığında nasıl tepki vereceğini seçiyorsunuz. Yerine göre Action seçeneğinde Log event Only  seçerek Log attırabilir yada Drop Traffic seçip engelleyebilirsiniz. Tabiki önce özelliği sağ üst köşeden aktif hale getirin.

4-anti-portscan

Exceptions sekmesinde yapılan ISP ayarlarının uygulanmasını istemediğiniz IP adreslerini girebilirsiniz. Örnek vermek gerekirse içeride bir SIP server kurulu ve IPS ayarlarınıza takılırsa ses kesik kesik gidecektir. Böyle durumlarda burada oluşturulan bir kural ile cihazın takılmamasını sağlayabilirsiniz.

5-Exceptions---temiz

Yeri gelmişken bir örnek yapmak istedim. Local ağımda bulunan 192.168.3.3 IP adresim Benim SIP sunucum ve IPS kurallarıma takılmasını istemiyorum diyelim. O zaman Exceptions sekmesindeki sol üstte bulunan New Exception List butonuna basıyorum ve aşağıda kural oluşturma çıkıyor.

Name kısmına kuralın adını yazıyorum ve IPS kurallarımı seçiyorum.

For all requests kısmından Coming from these source networks seçiyorum.

Hemen altında Networks penceresi oluşuyor ve buraya 192.168.3.3 IP adresini ekliyorum.

5-Exceptions

Save tuşuna basınca aşağıdaki gibi kural oluşacaktır. Kuralın başındaki aktif etme tuşu ile kuralı aktif edin. Bu sayede artık 192.168.3.3 IP li SIP server IPS kurallarına takılmayacaktır.

5-Exceptions-tanımlama

Advanced sekmesinde daha gelişmiş ayarlar yer alıyor. Local ağınızdaki bazı serverları burada tanımlayarak koruma sağlanabilir.

6-Advanced

Bu işlemlerden sonra artık Sophos IPS koruması sağlayarak Dos saldırılarını ve diğer saldırıları engelleyecektir.

Eğer Saldırıları canlı görmek isterseniz Global sekmesinde bulunan Open Live Log butonuna basarak Saldırı varsa anlık görebilirsiniz.

Esen Kalın

Sercan TEK

 

BİR YORUM YAZIN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ZİYARETÇİ YORUMLARI - 5 YORUM
  1. ömer dedi ki:

    üstad emeğine. sağlık konuyu net bir şekilde açıklamışsın.

  2. eylül sedef dedi ki:

    Sercan bey IPS konusunda ne kadar başarılı bir cihaz acaba ? saha tecrübelerinizden yola çıkarsanız sevinirim.

    1. Sercan TEK dedi ki:

      Merhaba

      Bence yeterince başarılı bir sistem. Bir çok resmi kurumda kullanılıyor hem yönetim hemde güvenlik gayet başarılı.

  3. cengiz aras dedi ki:

    Sophos daha önce kullanmıştım kullanımı çok kolay ama sophos XG serisi ile devam etme kararı aldığını duymustum

    1. Sercan TEK dedi ki:

      Aynı şeyi bende duymuştum artık zamanla görecegiz..

Yayımlanan tüm yazılar Sercan TEK tarafından yazılmaktadır. İzinsiz kullanımı yasaktır.