Merhaba. Bu yazımda Fortigate üzerinde IPS (Intrusion Prevention System) Filter nasıl kullanılır bundan bahsedeceğim. IPS Filter’dan bahsetmeden önce IPS nedir bundan bahsedelim.
IPS (Saldırı Önleme Sistemi) Nedir ?
Saldırı Önleme Sistemi (Intrusion Prevention System), güvenlik açığı ihlallerini tespit etmek ve önlemek için ağ trafiği akışlarını inceleyen bir ağ güvenliği-tehdit önleme teknolojisidir. IPS genellikle güvenlik duvarının hemen arkasında bulunur ve tehlikeli içeriği olumsuz , güvenilir içeriği olumlu olarak seçen tamamlayıcı bir analiz katmanı sağlar. IPS, kaynak ve hedef arasındaki doğrudan iletişim yoluna yerleştirilir, paketler aktif olarak analiz edilir ve otomatik eylemler gerçekleştirilir.
Fortigate IPS Filter Neden Kullanılır ?
Öncelikle şunu belirtmekte fayda var. IPS ve AV filter Fortigate tarafında cihazın belleğini yoran özelliklerdir. Bundan dolayı cihaz özelliğinize ve kuralınızın yapısına göre (Örneğin: Windows,Linux) filter uygulamak yararınıza olacaktır. Böyle durumlarda genel olarak dışardan içeriye doğru (WAN-to-LAN) tarafındaki kurallarda uygulanması daha uygun olacaktır.
WAN-LAN arasında devamlı bir paket alışverişi olmaktadır. Bu paket alışverişlerini kontrol edebilen firewalllara UTM firewall denmektedir. Yukarıdaki resimde belirttiğim gibi Kırmızı X bölge bu kontrollerin yapıldığı bölge oluyor. Yani geçen paketleri inceliyor ve herhangi bir atak (saldırı) durumu var ise bunu engelliyor. Bu engelleme sistemine de (Intrusion Prevention System) IPS Saldırı Önleme Sistemi denmektedir. Peki Fortigate üzerinde IPS nasıl yapılandırılır. Şimdi bu kısmı bir örnek ile yapılandıralım.
Fortigate IPS Filter Nasıl Uygulanır ?
Security Profiles menüsü altından Intrusion Prevention‘a geliyoruz. Bizi default IPS’ler karşılayacaktır. Fakat yukarıda belirttiğim gibi IPS yapılandırmalarını kurala göre yapılandırmak hem daha yararlı olacaktır hemde cihazı daha az yoracaktır. Örneğin Windows serverlarınızın olduğu bir kuralda Linux Signatureları eklemek cihazı yoracaktır. Bu işlemi yapmak için Filter ve Signature kısmını kullanacağız.
Action kısmına ait açıklamalar;
- Allow: Geçişe izin verme loglama yapma
- Monitor: Geçişe izip verip loglama yap
- Block: Engelle
- Reset: Trafiği sonlandır
- Default: İmzaların default haline göre yapılandır
- Quarantine: Trafiği karantina altına alır
Filter kısmına tıkladığımızda sağda bulunan kategorilere göre (versiyon değişiklik gösterebilir) filtreleme işlemi yapabiliriz. Target,Severity,Protokol,OS,Application. Ayrıca görüldüğü üzere hiç filter uygulamadan fortigate defaultta bulunan signature sayısı şuanki kullandığım 6.2.8 versiyon haliyle: 12.876 Filter uyguladıkça bu sayıyı düşüreceğiz.
Ben bu örnekte WAN-to-LAN(Client)‘a göre ilerleyeceğim için, Target kısmını Server değil, Client seçeceğim. Eğer Serverlarıma yönelik bir kuralda IPS uygulasaydım Target’ı Server seçebilirdim. Yine seçebiliriz fakat bu sefer Firewall’ımızın performansını etkilemiş oluruz.
Yukarıdaki örnekte olduğu gibi bir filter uyguladığımda Signature sayısının 2.290‘a düştüğünü görmekteyiz.
Filterlardan ziyade belirli bir uygulamaya yönelik bir IPS uygulayacaksınız eğer bunu yukarıdan Signature seçip search edebilirsiniz. Yukarıdaki örnekte wordpress tabanlı Signature araması gerçekleştirdim. WordPress’e ait 182 Signature buldu. Sağ tıklayarak Add Selected diyebilirsiniz.
Son olarak oluştuğumuz bu IPS Filteri kuralımızın Security Profiles kısmında uyguluyoruz.
Makalelerimden ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.
Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.
Sağlıklı ve Güvenli Günler Dilerim.
Bir yanıt yazın