Bu makalemizde Fortigate firewall cihazındaki DLP özelliğini nasıl ayarlayabileceğimizi göreceğiz.
Bu örnekte; DLP fonksiyonunu kullanarak;
1) Çalıştırılabilir türdeki dosyaların indirilmesini engelleyeceğiz,
2) Kurum iç ağında internete doğru yüklenen (Upload) Microsoft ofis, pdf ve arşiv dokümanlarını log tutacağız.
Öncelikle; Kurum iç ağı ile internet arasındaki tüm trafiği "ssl deep inspection" (ssl decryption) yaparak gözlemlemeliyiz. Bu konu, başka bir makalenin konusu olduğunda burada değinilmeyecektir.
Ön gereklilik:
Öncelikle Fortigate üzerinde "ssl deep inspection" profilimizin ayarlarına giriş yaparak
Security Profiles bölümündeki "Data Leak Prevention" bölümüne giriyoruz ve "Reputable websites" ile ilgili kutucuğun işaretini kaldırıyoruz ki yahoo mail gibi "reputable" yani saygın olan web sitelerinde de ssl çözme işlemi yapabilelim.
Bu sayede; ssl çözme işlemi sonucunda yüklenen (upload edilen) dosyalardan haberdar olabileceğiz.
Eğer internete doğru oluşturduğumuz kurallarda 443 dışında bir http portu açmış isek ve bağlanılan sayfa 443 portu dışında çalışan bir ssl sayfa ise; bu durumda o sayfa bağlantısı sırasında ssl çözme işleminin yapılabilmesi için "inspect all ports" seçeneği de aktif duruma getirilmelidir (ispect all ports dememiz durumunda webcache çalışmayacaktır.)
Şimdi DLP kurallarımızı oluşturmaya başlayabiliriz:
Bu sayede; ssl çözme işlemi sonucunda yüklenen (upload edilen) dosyalardan haberdar olabileceğiz.
Eğer internete doğru oluşturduğumuz kurallarda 443 dışında bir http portu açmış isek ve bağlanılan sayfa 443 portu dışında çalışan bir ssl sayfa ise; bu durumda o sayfa bağlantısı sırasında ssl çözme işleminin yapılabilmesi için "inspect all ports" seçeneği de aktif duruma getirilmelidir (ispect all ports dememiz durumunda webcache çalışmayacaktır.)
Şimdi DLP kurallarımızı oluşturmaya başlayabiliriz:
Açılan pencerede Sağ üst taraftaki "+" işaretine tıklayarak yeni bir profil adı tanımlıyoruz.Örneğimizde "Kurum Client DLP Kuralı" adını verdik. Daha sonra, alt taraftaki "Create New" butonuna tıklayarak ilk kuralımızı belirliyoruz:
1) İlk kural, internetten executable (çalıştırılabilir) dosyanın indirilmesini engellemek için:
"File types: executable (exe)" olarak seçtikten sonra garanti olsun diye çalıştırılabilir diğer uzantıları (*.msi, *.bat) da file name patterns bölümüne giriyor ve en alttaki action bölümünü "block" olarak ayarlıyoruz. İndirme işlemlerini engellemek istediğimizden "HTTP-GET" seçiyoruz.
(Mail yoluyla gelen çalıştırılabilir ekleri engelleme işlemini Fortimail veya diğer mail koruma sistemi üzerinden yapabileceğimizden, burada SMTP, POP3,IMAP, MAPI gibi mail servislerini seçmiyoruz.)
2) İkinci kural ise http-post veya ftp yöntemiyle internete yüklenen (upload edilen) Microsoft Ofis, pdf ve arşiv dokümanlarının kaydını tutmak için:
Engelleme yapmayıp sadece log tutmak istediğimiz için Action bölümünde "Log only" seçeceğiz.
Tüm kuralları tanımladıktan sonra artık profil sayfasının altındaki "Apply" butonuna basıp ayarlarımızı kaydedebiliriz.
İzleme:
Log & Report altındaki "Data Leak Prevention" bölümüne tıklayarak oluşan engelleme (block) ve diğer kaydı tutulan olayları gözleyebiliriz. Aşağıdaki log kaydında çalıştırılabilir bir dosyanın engellenmiş olduğunu görebiliriz:
Aşağıdaki log kaydında ise pdf dokümanın yahoo mail ile upload edildiğine dair log görmekteyiz:
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder