DoS (Hizmet Reddi) saldırıları, bir hizmeti yavaşlatmayı veya tamamen devre dışı bırakmayı amaçlayan saldırılardır. Bu saldırılar, özellikle kritik hizmet sağlayan kurumlar için büyük bir tehdittir. DoS saldırısının belirtileri arasında aşırı trafik, sistemin yavaşlaması veya kullanılamaz hale gelmesi, ve çok fazla UDP, SYN, GET/POST isteği alınması bulunur.
Fortigate Üzerinde DoS Politikası
Fortigate cihazları, DoS saldırılarına karşı koruma sağlamak amacıyla IPv4 DoS policy özelliğini sunar. Bu özellik, kaynak ve hedef IP adreslerine göre anormal trafiği tespit eder ve gerekli aksiyonları (izin verme, engelleme veya izleme) gerçekleştirir. Fortigate, saldırıları güvenlik politikalarından önce kontrol ederek kaynak kullanımını optimize eder ve saldırıların daha fazla kaynak yoğun güvenlik kontrollerini tetiklemesini önler.
DoS Politikası Yapılandırması
Fortigate üzerinde DoS politikası yapılandırması adımları:
Feature Visibility Ayarları
- Fortigate sistem ayarları altında “Feature Visibility” alanına gidin.
- “DoS Policy” seçeneğini etkinleştirin.
DoS Politikası Oluşturma
- “Policy & Objects” menüsünden “IPv4 DoS Policy” seçeneğini seçin.
- Yeni bir DoS politikası oluşturun.
DoS Politikası İçin Gerekli Alanlar
- Name: Politika için belirleyici ve açıklayıcı bir isim verin.
- Incoming Interface: DoS saldırısının hangi interface’den geleceğini seçin.
- Source Address: Saldırının hangi adresten veya adreslerden geleceğini belirtin.
- Destination Address: Saldırının hangi adreslere yapılabileceğini seçin.
- Service: Saldırının hangi servislere yapılabileceğini belirtin.
L3 Anomalies
L3 Anomalies, Layer 3 seviyesindeki DoS saldırılarına yönelik yapılan kurallardır. Bu alanlar yöneticinin manuel olarak değiştiremeyeceği alanlardır. Sadece threshold (eşik) değerleri yönetici tarafından belirlenir.
- ip_src_session: Bir kaynak IP adresinden gelen eşzamanlı IP bağlantılarının sayısı belirlenen eşik değerini aşarsa, belirlenen eylem yürütülür.
- ip_dst_session: Bir hedef IP adresine eşzamanlı IP bağlantısı sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
L4 Anomalies
L4 Anomalies, Layer 4 seviyesindeki DoS saldırılarına yönelik yapılan kurallardır.
- Tcp_syn_flood: Tek bir hedef IP adresine gelen TCP SYN paketlerinin hızı eşik değerini aşarsa, eylem yürütülür.
- Tcp_port_scan: Bir kaynak IP adresinden gelen TCP SYN paketlerinin hızı eşik değerini aşarsa, eylem yürütülür.
- Tcp_src_session: Bir kaynak IP adresinden gelen eşzamanlı TCP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Tcp_dst_session: Bir hedef IP adresine gelen eşzamanlı TCP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Udp_flood: Bir hedef IP adresine giden UDP trafiği eşik değerini aşarsa, eylem yürütülür.
- Udp_scan: Bir kaynak IP adresinden gelen UDP oturumlarının sayısı eşik değerini aşarsa, eylem yürütülür.
- Udp_src_session: Bir kaynak IP adresinden gelen eşzamanlı UDP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Udp_dst_session: Bir hedef IP adresine gelen eşzamanlı UDP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Icmp_flood: Bir hedef IP adresine gönderilen ICMP paketlerinin sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Icmp_sweep: Bir kaynak IP adresinden gelen ICMP paketlerinin sayısı eşik değerini aşarsa, eylem yürütülür.
- Icmp_src_session: Bir kaynak IP adresinden gelen eşzamanlı ICMP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Icmp_dst_session: Bir hedef IP adresine gelen eşzamanlı ICMP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Sctp_flood: Bir hedef IP adresine gönderilen SCTP paketlerinin sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Sctp_scan: Bir kaynak IP adresinden gelen SCTP oturumlarının sayısı eşik değerini aşarsa, eylem yürütülür.
- Sctp_src_session: Bir kaynak IP adresinden gelen eşzamanlı SCTP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
- Sctp_dst_session: Bir hedef IP adresine gelen eşzamanlı SCTP bağlantılarının sayısı belirlenen eşik değerini aşarsa, eylem yürütülür.
Kuralı devreye aldıktan sonra Log&Reports bölümünde engellenen saldırıları izlemeye başlayabilirsiniz. Ancak, Fortigate varsayılan olarak gelen saldırılar nedeniyle IP adreslerini karantinaya almaz. Bu işlemi gerçekleştirmek için CLI üzerinden ek ayarlar yapmanız gereklidir. CLI komutlarıyla, saldırgan IP adreslerini belirli bir süre boyunca karantinaya alacak şekilde yapılandırabilirsiniz. Bu ek ayarlar, Fortigate’in saldırganları etkili bir şekilde izole etmesini sağlar.
Fortigate üzerinde Dos Policy yapılandırması anlatıldı. Şimdi, karantina işlemi üzerine odaklanalım.
Karantina İşleminin Amacı ve Yapılandırılması
Fortigate üzerindeki Dos policy karantina işlemi, saldırıyı gerçekleştiren adresin belirli bir süre boyunca ban listesinde tutulmasını sağlar. Bu işlem, özellikle ağınızı kötü niyetli trafiklerden korumak için kritik bir öneme sahiptir. Karantina işlemi için ilgili kural üzerinde CLI kullanmanız gerekmektedir. İşlemleri sırasıyla şöyle yapabilirsiniz:
- CLI’a Erişim: İlk olarak CLI’a erişim sağlayın ve aşağıdaki komutları girin:
- config firewall DoS-policy
- edit
- config anomaly
- edit xxxxxx
- set quarantine attacker
- set quarantine-expiry 29d23h59m
Karantina Ayarları ve Seçenekler
Karantina işlemi sırasında kullanabileceğiniz diğer ayarlar ve seçenekler ise şunlardır:
- Karantina Metodu:
quarantine {none | attacker}: Karantina metodunu belirler.nonekarantinayı devre dışı bırakırken,attackersaldırganın IP adresini bloke eder ve ban listesine ekler.
- Karantina Süresi:
quarantine-expiry <###d##h##m>: Karantina süresini gün, saat ve dakika cinsinden ayarlar. Örneğin,29d23h59m29 gün, 23 saat ve 59 dakika anlamına gelir.
- Karantina Logları:
quarantine-log {enable | disable}: Karantina loglamasını etkinleştirir veya devre dışı bırakır.
- Eşik Değeri:
threshold <integer>: Anomali aksiyonunu tetikleyen tespit edilen örneklerin sayısını belirler.
Karantina Durumları ve Yönetimi:
Karantina Listesini Görüntüleme
Karantinaya alınan IP adreslerini ve ilgili detayları görüntülemek için şu komutu kullanabilirsiniz:
diagnose user quarantine list: Karantinadaki kullanıcıların listesini görüntüler.
Karantinaya eklenmesi için şu komutu kullanabilirsiniz:
diagnose user quarantine add <ip>: Belirli bir IP adresini karantinaya ekler.
Karantinadan silinmesi için şu komutu kullanabilirsiniz:
diagnose user quarantine delete <ip>: Belirli bir IP adresini karantinadan çıkarır.
Karantinada bulunan tüm ip adreslerini şu komutla kullanabilirsiniz:
diagnose user quarantine clear: Tüm karantinadaki kullanıcıları temizler.
diagnose user quarantine stat: Karantina istatistiklerini görüntüler.
diagnose user quarantine statTotal banned IPs: 1
IP: 192.168.1.100
Created: Wed Jun 20 14:47:54 2024
Expires: Wed Jun 20 15:47:54 2024
Cause: DOS
About the Author
