ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Fortinet

Fortigate Firewall’da IPS Imzası Nasıl Ayarlanır

Firewallımızdan web sunucumuza atak algılandığını loglardan gördüğümüz vakit yapmamız gereken 2 çözüm mevcut.
Çözüm 1 - öncelikle dışardan içeriye yapılan atakla ilgili loglardan yapılan atağın imzasını alırız ve buna göre dışarıdan içeri gelen port üzerine bu atak ile alakalı ayarlama yapılır.
Çözüm 2 – Dışarıdan hep aynı ip adresinden saldırı oluyorsa bu ipnin dışardan içeri erişimini bir policy yazarak deny yaparak kesebiliriz.
Ama bilinmesi gereken 2. İşlemi yaptığımız vakit eğer atak yapan kişi sizi kafaya taktı ise farklı ipler üzerinden de bunu denemeye çalışacaktır.
Önerilen yapılan atak ile alakalı ips imzası yazmaktır.peki madem ips var neden biz bunu manuel yapıyoruz. Bazı özel uygulamalar direk olarak drop edilerek kapatılırsa sorun yaşayabiliyoruz
Aynı zamanda yapılan bu droplar firewall performanıda etkilemekte.Bu yüzden ips loglarını takip ederek gereken atağa karşı gerekli uygulamayı yapmalıyız.
Aşağıda sırası ile işlemleri takip edelim
Önce dışardan web sunuculara gelen policyde hangi profile kullanıyor ona bakıyoruz

Resim 1

image001

Sonra firewall-protection profile kısmından burda seçilmiş olan protection profile’ı edit yapıyoruz.

Resim 2

image002

Ips kısmında hangi hangi ips sensor kullanılıyor onu görmek için koruma profilini edit yapıyoruz.

Resim 3

image003

Sonra ips kısmından ips sensor den kullanılan ips i bulup edit yap

Resim 4

image004

 

Add Pre-defined Override kısmından var olan ips imzasını buluyoruz.Add Custom Override kısmından manuel bir ips imzası yazdık ise onu seçebiliriz.
Signature kısmında explorer simgesine basıp göz at diyebiliriz.

Resim 5

image005

Lazım olan imzayı buluyoruz aşağıdaki gibi.Tablo harf sıralamasına göre gitmektedir.

Resim 6

image006

İşlem yapılacak imzayı seçtikten sonra enable,action,logging,packet log kısımlarından ayarlarımızı yapıyoruz

 

Resim 7

image007

Son olarak aşağıdaki resimdeki gibi imzamızı eklemiş olduk.Ok deyip devam ediyoruz.


Resim 8

image008

Görmüş olduğunuz üzere ips korumamız bu atak için hazır ve kullanılabilinir.

Attack type = Web_app: awstats.Configdir.Remote.Command.Execution

Yorumlar

 

Hakan UZUNER

Eline sağlık Savaş hocam

Aralık 28, 2008 05:02
 

Bekir AKGUL

çok yararlı , elinize sağlık.

Aralık 28, 2008 19:54
 

Aykut Sinan ES

Emeğine Saglık.

Mayıs 15, 2009 00:59
 

Erdem Bayazit

hocam elinize saglık

Haziran 18, 2010 13:22
 

Aydın

elinize sağlık güzel çalşma

Nisan 2, 2012 11:26
 

refik yorgancı

eliize saglik hocam

Ağustos 20, 2014 18:29
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Savas Demir

Fortinet Security Products Logs&Reports Software Fortinet FCNSP,FCNSA FCESP Watchguard WCSP-XTM Cyber-Security McAfee AV Security Partner

Bu Kategori

Hızlı aktarma

Etiketler