Fortigate – DoS Policy

Günümüzde siber dünya çok gelişmiş olup tüm finansal ve hayati işlemler siber ortamlarda işlenip depolanmaktadır. Hackerlar bu durumu avantaja çevirip kendilerine haksız pay almaktadır. Yada karşı tarafı zor durumda bırakıp internet bağlantısını düşürmektedir. Bir çok saldırı çeşidi olsa da bu yazımızda Fortigate Firewall üzerinde Dos/DDos saldırısını engellemeyi konu alacağım.

Eğer lokasyonunuzda güvenlik duvarı kullanıyorsanız mutlaka gerekli IPS ve DoS/DDoS koruma ayarlarını yapın yada yaptırın.

Fortigate güvenlik duvarlarında model 100 ve üstü modellerinde Policy & Objects menüsü altında “DoS” adında bir menü bulunmaktadır. Bu menü altında “wan” üzerinden gelen DoS/DDoS saldırılarına eşik değeri belirlenebilir. Belirlenen eşik değeri aşılırsa ilgili saldırının geldiği IP adresi engellenir. Eğer Log açık ise Loglama işlemi yapılabilir.

Yukarıdaki resimde 110C modelinin DoS menüsü yer almaktadır.

Incoming Interface : Saldırının gelebileceği interface seçilir.İnternet bacağımız olan “wan1” portunu seçiyoruz.

Source Address : Saldırının geleceği IP adresi yazılır. Fakat kaynak bilinmediği için ALL olarak seçiyoruz.

Destination Address : Saldırının yapıldığı hedef IP adresi yazılır. Her yöne olabilecek saldırı seçmek amacıyla ALL olarak seçiyoruz.

Service : Saldırının hangi protokol ile olacağını belirtiyoruz. Burayı da tüm protokolleri belirtmek amacıyla ALL seçiyoruz.

“Anomalles” altında saldırı çeşitleri ve eşik değerleri yer almaktadır.

Name : Saldırı çeşidi ve adı yer alır.

• • tcp_syn_flood : TCP SYN saldırısı

• • tcp_port_scan : TCP protokolüne göre açık ve kapalı portların taranması

• • tcp_src_session : TCP prokolünde bağlantının saniyedeki kaynak oturum paket limidi

• tcp_dst_session : TCP prokolünde bağlantının saniyedeki hedef oturum paket limidi

• • udp_flood : UDP saldırısı
  • udp_scan : UDP protokolüne göre açık ve kapalı portların taranması

• • udp_src_session : UDP prokolünde bağlantının saniyedeki kaynak oturum paket limidi

• udp_dst_session : UDP prokolünde bağlantının saniyedeki hedef oturum paket limidi

• • icmp_flood : ICMP saldırsı

• • icmp_sweep : ICMP keşif saldırısı

• • icmp_src_session : ICMP kaynak oturumu

• icmp_dst_session : ICMP hedef oturumu

• • ip_src_session : Bir bağlantının saniyedeki kaynak bağlantı paket limidi

• ip_dst_session : Bir bağlantının saniyedeki hedef bağlantı paket limidi

• • sctp_flood : Akış kontrol iletişim protokolü saldırısı

• • sctp_scan : SCTP port taraması

• • sctp_src_session : SCTP kaynak oturum limidi

• sctp_dst_session : SCTP hedef oturum limidi

Status : Bu kısım işaretlenirse ilgili saldırı kuralı etkindir. İşaret kaldırılırsa pasiftir.

Logging : Eğer bu kısım işaretlenirse ilgili saldırı kuralı görevini yaptığında saldırıyı sisteme Log olarak kaydeder.

Action : İlgili saldırı gerçekleşip eşik değeri aşıldığında yapılması gereken işlem seçilir.

• • Pass : Eşik değeri aşılınca herhangi bir işlem yapılmaz.

• Block : Eşik değeri aşılınca paketler engellenir.

Threshold : İlgili saldırının saniyedeki paket sayısına göre eşik değeridir. Her saldırı çeşidine göre farklı eşik değeri belirtilebilir.

Enable this Policy : Yapılan ayarların tamamı etkin olması için bu seçeneğin ON olarak seçilmesi gereklidir.

Burada yer alan saldırılarının yanında port tarama ve oturum limitleride yer almaktadır. Dikkat etti iseniz genellikle saldırılar block edilmiş port tarama ve oturum limitlendirme pass olarak ayarlanmıştır.

Eğer mevcut fortigate ürününüz modeli 100 değilde altında ise o zaman bu menü yer almamaktadır. Bu kısımda aşağıdaki kodu fortigate cihazınızın Dashboard->Status menüsünde bulunan CLI Console ile cihaza girebilirsiniz. Kodu eksiksiz kopyalayıp CLI komut satırına girmeniz yeterlidir. İsteğe bağlı model 100 ve üstü cihazlara da CLI Console ile girip DoS menüsünden yönetebilirsiniz.

Sercan TEK