Fortigate – DoS Policy

Günümüzde siber dünya çok gelişmiş olup tüm finansal ve hayati işlemler siber ortamlarda işlenip depolanmaktadır. Hackerlar bu durumu avantaja çevirip kendilerine haksız pay almaktadır. Yada karşı tarafı zor durumda bırakıp internet bağlantısını düşürmektedir. Bir çok saldırı çeşidi olsa da bu yazımızda Fortigate Firewall üzerinde Dos/DDos saldırısını engellemeyi konu alacağım.
Eğer lokasyonunuzda güvenlik duvarı kullanıyorsanız mutlaka gerekli IPS ve DoS/DDoS koruma ayarlarını yapın yada yaptırın.
Fortigate güvenlik duvarlarında model 100 ve üstü modellerinde Policy & Objects menüsü altında “DoS” adında bir menü bulunmaktadır. Bu menü altında “wan” üzerinden gelen DoS/DDoS saldırılarına eşik değeri belirlenebilir. Belirlenen eşik değeri aşılırsa ilgili saldırının geldiği IP adresi engellenir. Eğer Log açık ise Loglama işlemi yapılabilir.
Yukarıdaki resimde 110C modelinin DoS menüsü yer almaktadır.
Incoming Interface : Saldırının gelebileceği interface seçilir.İnternet bacağımız olan “wan1” portunu seçiyoruz.
Source Address : Saldırının geleceği IP adresi yazılır. Fakat kaynak bilinmediği için ALL olarak seçiyoruz.
Destination Address : Saldırının yapıldığı hedef IP adresi yazılır. Her yöne olabilecek saldırı seçmek amacıyla ALL olarak seçiyoruz.
Service : Saldırının hangi protokol ile olacağını belirtiyoruz. Burayı da tüm protokolleri belirtmek amacıyla ALL seçiyoruz.
“Anomalles” altında saldırı çeşitleri ve eşik değerleri yer almaktadır.
Name : Saldırı çeşidi ve adı yer alır.
-
- tcp_syn_flood : TCP SYN saldırısı
-
- tcp_port_scan : TCP protokolüne göre açık ve kapalı portların taranması
-
- tcp_src_session : TCP prokolünde bağlantının saniyedeki kaynak oturum paket limidi
- tcp_dst_session : TCP prokolünde bağlantının saniyedeki hedef oturum paket limidi
-
- udp_src_session : UDP prokolünde bağlantının saniyedeki kaynak oturum paket limidi
- udp_dst_session : UDP prokolünde bağlantının saniyedeki hedef oturum paket limidi
-
- icmp_flood : ICMP saldırsı
-
- icmp_sweep : ICMP keşif saldırısı
-
- icmp_src_session : ICMP kaynak oturumu
- icmp_dst_session : ICMP hedef oturumu
-
- ip_src_session : Bir bağlantının saniyedeki kaynak bağlantı paket limidi
- ip_dst_session : Bir bağlantının saniyedeki hedef bağlantı paket limidi
-
- sctp_flood : Akış kontrol iletişim protokolü saldırısı
-
- sctp_scan : SCTP port taraması
-
- sctp_src_session : SCTP kaynak oturum limidi
- sctp_dst_session : SCTP hedef oturum limidi
Status : Bu kısım işaretlenirse ilgili saldırı kuralı etkindir. İşaret kaldırılırsa pasiftir.
Logging : Eğer bu kısım işaretlenirse ilgili saldırı kuralı görevini yaptığında saldırıyı sisteme Log olarak kaydeder.
Action : İlgili saldırı gerçekleşip eşik değeri aşıldığında yapılması gereken işlem seçilir.
-
- Pass : Eşik değeri aşılınca herhangi bir işlem yapılmaz.
- Block : Eşik değeri aşılınca paketler engellenir.
Threshold : İlgili saldırının saniyedeki paket sayısına göre eşik değeridir. Her saldırı çeşidine göre farklı eşik değeri belirtilebilir.
Enable this Policy : Yapılan ayarların tamamı etkin olması için bu seçeneğin ON olarak seçilmesi gereklidir.
Burada yer alan saldırılarının yanında port tarama ve oturum limitleride yer almaktadır. Dikkat etti iseniz genellikle saldırılar block edilmiş port tarama ve oturum limitlendirme pass olarak ayarlanmıştır.
Eğer mevcut fortigate ürününüz modeli 100 değilde altında ise o zaman bu menü yer almamaktadır. Bu kısımda aşağıdaki kodu fortigate cihazınızın Dashboard->Status menüsünde bulunan CLI Console ile cihaza girebilirsiniz. Kodu eksiksiz kopyalayıp CLI komut satırına girmeniz yeterlidir. İsteğe bağlı model 100 ve üstü cihazlara da CLI Console ile girip DoS menüsünden yönetebilirsiniz.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 |
config firewall DoS-policy edit 1 set interface "wan1" set srcaddr "all" set dstaddr "all" set service "ALL" config anomaly edit "tcp_syn_flood" set status enable set log enable set action block set threshold 1000 next edit "tcp_port_scan" set status enable set log enable set threshold 100 next edit "tcp_src_session" set status enable set log enable set threshold 5000 next edit "tcp_dst_session" set status enable set log enable set threshold 5000 next edit "udp_flood" set status enable set log enable set action block set threshold 2000 next edit "udp_scan" set status enable set log enable set threshold 2000 next edit "udp_src_session" set status enable set log enable set threshold 5000 next edit "udp_dst_session" set status enable set log enable set threshold 5000 next edit "icmp_flood" set status enable set log enable set action block set threshold 250 next edit "icmp_sweep" set status enable set log enable set threshold 100 next edit "icmp_src_session" set status enable set log enable set threshold 300 next edit "icmp_dst_session" set status enable set log enable set threshold 1000 next edit "ip_src_session" set status enable set log enable set threshold 5000 next edit "ip_dst_session" set status enable set log enable set threshold 5000 next edit "sctp_flood" set status enable set log enable set action block set threshold 2000 next edit "sctp_scan" set status enable set log enable set threshold 1000 next edit "sctp_src_session" set status enable set log enable set threshold 5000 next edit "sctp_dst_session" set status enable set log enable set threshold 5000 next end next end |
Sercan TEK
Hocam merhaba bu işlemi deneme amaçlı yaptıktan sonra geri alma imkanımız var mıdır ? Şuan FG 60D kullanıyorum
FG 60D de bu işlem terminalden yapılıyor. Disable etmek için terminal komutlarına bakmak gerek. ezberimde yok maalesef. Sürekli kullandığım bir cihaz değil.
Hocam Fortigate ürünlerinde bu işlemi yapmak birşey değilde ürün ne kadar başarılı oluyor. ?
ACABA demekten kendimi alamıyorum..
Hocam ayni düşünceyi paylaşıyoruz..