Merhaba,
Bu makalede Fortigate Firewall içerisindedeki DDOS korumamızı internetten iç sunucularımıza doğru nasıl devreye alabileceğimizi göreceğiz.
Benzer şekilde iç networkümüzdeki kullanıcı networkümüz ile sunucu networkümüz arasında da DDOS'u devreye almak çok mantıklı olacaktır.
1) DDOS özelliğini aktive etmek
Öncelikle DOS policy özelliğini aktif etmeliyiz. Bunun için System altındaki Feature Select bölümüne giriyoruz ve Additional Features altındaki DoS policy bölümünü aktif moda alıyoruz:
2) Sunucudaki her bir servis için ayrı ayrı DDOS kuralı oluşturmak
Daha sonra her bir sunucumuzdaki çalışan servisler için ayrı ayrı DoS policy yapıyoruz. Mesela dış ip adresi 210.210.210.10 olan bir sunucumuz varsa ve bu sunucu üzerinde web ve dns servisleri çalışıyorsa bu sunucu için hem web hem de dns olmak üzere iki tane ddos kuralı yazmalıyız.
Web için olanı burada örnek olarak oluşturalım:
Fortigate üzerine "Policy Objects" altındaki "IPv4 Dos Policy" bölümüne giriyoruz ve aşağıdaki şekilde ayarlama yapıyoruz:
Source interface : İnternet interface'imiz,
Destination ip: Sunucumuzun dış ip adresini seçiyoruz.(yoksa "addresses" altından oluşturmalıyız)
Services : HTTP ve HTTPS seçiyoruz.
ip_dst_session : 250 (gözlemleyip gerekirse artıralım veya azaltalım)
tcp_dst_session: 250 (gözlemleyip gerekirse artıralım veya azaltalım) (Eğer Dns yani udp bazlı bir servisi DDOS koruması yapacaksak bu durumda udp_dst_session değerini belirlemeliyiz)
ip_dst_session : 250 (gözlemleyip gerekirse artıralım veya azaltalım)
tcp_dst_session: 250 (gözlemleyip gerekirse artıralım veya azaltalım) (Eğer Dns yani udp bazlı bir servisi DDOS koruması yapacaksak bu durumda udp_dst_session değerini belirlemeliyiz)
Diğer default değerleri biraz düşürüyoruz. "Status" ve "logging" değerlerini aktive edip, tüm değerleri "Pass" olarak işaretliyoruz. Çünkü şimdilik sadece "monitor" edeceğiz. Bloklamayı daha sonra yapacağız.
Kuralımız (Policy) hazır. Kuralımızın ID yani numarasını not edelim (Bu örnekte : 8)
3) Kuralı monitör etmek
Değerleri yavaş yavaş düşürerek herhangi bir hit olup olmadığına loglardan bakacağız. Bunun için "Log& Report" bölümündeki "Anomaly" bölümüne giriyoruz:
Burada "Add Filter" bölümüne girip "Policy ID: 8" olarak seçtiğimizde kuralımıza hit eden DDos loglarını göreceğiz:
Bu örneğimizde kural içerisinde "tcp_port_scan: 5" olarak ayarladığımız için 6 kez port scan yapan ip adresini görebiliyoruz. Kural içerisinde "pass" olarak belirlediğimiz için loglarda "Action" değerimiz "detected" olarak görünecek:
Bu şekilde diğer sunuculardaki tüm servisler için ayrı ayrı kural yazıp loglarımızı en az 1 hafta boyunca gözlemlemeliyiz. Değerleri azar azar düşürerek uygun değerleri bulmaya çalışacağız. Eğer çok fazla sayıda ip adresi hit etmiyorsa artık "block" moda geçmeye hazırız demektir.
Kural içerisinde "Block" seçerek ddos saldırılarını engellemeye başlayabiliriz. Burada dikkat edilmesi gereken bir NAT ip adresi arkasından internete çıkan ve dolayısıyla bizim web sayfamıza gelen Kurumsal ip adreslerini bloklamamak önemli. Bunun için en fazla beraber çalıştığımız kurumların ip adres bloklarını öğrenerek onlara özel kural yazmak sağlıklı olacaktır.
Logsign-DDOS alarm oluşturma adlı makalemizde, Fortigate üzerinde oluşan DDOS loglarını Logsign üzerinden güvenlik yöneticilerine alert (uyarı) olarak nasıl gönderebileceğimizi göreceğiz.
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder