ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

SonicWALL

Ransomware Saldırılarına Karşı Ağımızı SonicWall ile nasıl Koruyabiliriz?

Bu makalemde, ana hatları ile network ağını fidye saldırıları gibi zararlı yazılımlara karşı savunma çözümlerini belirteceğim. Ransomware saldırıları, son birkaç yıl içerisinde sıfırıncı gün(zero-day), solucan(worm), trojan ve bir çok şekilde karşımıza çıkmaktadır. 12 Mayıs 2017'de, WannaCry olarak bilinen bir fidye virüs türü, 150'den fazla ülkede 200.000'den fazla sisteme bulaştı. Güvenlik hizmetleri ve planlı ağ yapılandırmaları ile fidye virüsü ve diğer sıfırıncı gün saldırıları önlenebilir.

Fidye saldırıları, son yıllarda direkt zararlı olarak önümüze düşmenin yanı sıra, sıfırıncı gün(zero-day), solucan(worm), trojan saldırıları gibi akıllı yayılım tekniklerinde büyük bir gelişme gösterdi. Günümüzde, saldırılar kadar savunma tarafı da mecburen aynı zekaya sahip olmak zorunda. Kullanıcı olarak, bizlerin yapması gereken şey, sahip olduğumuz akıllı savunma sistemlerimizi doğru aktif etmek, doğru yere, doğru şekilde konumlandırmaktır.

 

Makalemde, fidye yazılımlarını önlemek için SonicWall Ağ Güvenliği Cihazlarının yapılandırılmasına ilişkin kısa bir kılavuz yer almaktadır. Kılavuz, kuruluşların trafiği denetlemek ve ihlalleri önlemek için uygulanması gereken güvenlik uygulama katmanlarını içermektedir. Kılavuz, SonicWall TZ SOHOW’ dan  SuperMassive 9800’ e kadar olan firmware 6.2.7.1x ve daha üstü (Nesil 6)  destekleyen cihazlar için geçerlidir. Gelişmiş tehdit koruması Capture ATP, TZ300 modeli ve üzeri cihazlarda mevcuttur.

 

Ransomware saldırılarına karşı SonicWall cihazımızda hangi önlemleri almalıyız?

1. Güvenllik servisleri lisanslarının aktif olduğundan emin olun.

Tüm Sonicwall cihazları için Gateway Security Suite (AGSS) tavsiye edilir. AGSS içerisindeki servisler: GAV, IPS, Anti-Spyware, içerik filtreleme, Botnet filtreleme, Geo IP filtreleme, Application firewall, DPI-SSL, DPI-SSH ve capture ATP. Eğer AGSS lisansı aktif değil ise, kurulum ve güncellemeler yapılamayacağından hizmetler ile ağı koruyamayacaktır.

2. Gateway Antivirüs’ ü aktif edin

GAV imzalarının güncel olduğundan emin olun.

GAV etkin olmalı.

Cloud GAV aktif olmalı.

clip_image002Gelen ve giden Enable Inspection on Inbound and Outbound for all HTTP, FTP, IMAP, SMTP, POP3, CIFS/NetBIOS, ve TCP Stream trafikleri için denetimi aktif edin.

Settings içerisindeki, aşağıdaki protokollerin aktif olduğundan emin olun.

Şifre korumalı ZIP dosylarıı engelleyin. “Restrict Transfer of password-protected ZIP files.”

Macro içeren MS-Office dosyalarını engelleyin(VBA 5 ve üzri)- “Restrict Transfer of MS-Office type files containing macros (VBA 5 and above)”

Çalıştırılabilir dosyaları engelleyin(UPX,FSG, vs.)- “Restrict Transfer of packed executable files (UPX, FSG, etc.,)”

 

clip_image004

“Configure Gateway AV Settings” kısmına tıklayın

“ Block files with multiple levels of zip/gzip compression” kısmını işaretleyin


clip_image006

 

3. Intrusion Prevention özelliğini aktif edin

Günümüzde ransomware, trojan ve worm dosyaları network iletişimine ve sistemlere zarar vermektedir. Instrusion Prevention, ağlardaki bu saldırıların önlenmesinde önemli, temel bir korumadır.

 

SonicWall cihazınızın SanicWall Capture Labs tarafından son imza güncellemesine sahip olduğundan emin olun.

IPS Servisini aktif edin.

En azından high ve medium tehditlere karşı Prevention servisini aktif ediniz. Ağ ve kullanım gereksinimlerine göre “Low Priority based” kısmını da işaretlemeniz güvenlik anlamında yararınıza olacaktır.

 

clip_image008

Instrusion Detection loglamasını gerektiğinde aktif edin. Sonicwall Instrusion Detection, gelen saldırıların kaydını tutar. Eğer aktif edilmez ise kayıt tutmayacaktır.

 

4:  Geo-IP Filtresini Aktif Edin

Geo-IP Filter, farklı lkelerden gelecek olan trafiği kontrol etmenize yarar. CGSS ve AGSS ile birlikte gelir.

Geo-IP Filtreyi aktif edin.

Tüm bağlantılar ve firewall tabanlı kurallarda uygulanabilir.

Tüm bağlantılar, tüm trafiği içerecektir. Fakat varsayılan kurallar ile subnet adresleri hariç tutulacaktır.

Firewall Erişim Kuralları, içindekiler tek tek kurallar üzerinde hizmetin etkinleştirilmesini gerektirir. Her kural için, WAN->WAN, WAN->LAN, and LAN->WANşeklinde aktif edilmelidir.

 

En düşük güvenlik seviyesi için de olsa ülke seçeneklerinden bilinmeyen ülkelerin seçili olmasına dikkat ediniz. “Anonymous Proxy / Private IP”

“Block all UNKNOWN subnets” kısmını işaretleyiniz. Özellikle BOGON IP adreslerinden korunmak için de etkin bir yöntemdir.

clip_image010

 

5: Botnet Filtrelemeyi aktif edin
Botnet filtreleme, gelen ve veya giden tarafta ağı bilinen zararlı botnet sunucularından koruyacaktır.

 

Botnet Filtrelemeyi aktif edin

Tüm bağlantılar ve firewall tabanlı kurallarda uygulanabilir.

Tüm bağlantılar, tüm trafiği içerecektir. Fakat varsayılan kurallar ile subnet adresleri hariç tutulacaktır.

Firewall Erişim Kuralları, içindekiler tek tek kurallar üzerinde hizmetin etkinleştirilmesini gerektirir. Her kural için, WAN->WAN, WAN->LAN, and LAN->WANşeklinde aktif edilmelidir.

clip_image012

 

6:  DPI-SSL Client Inspection ısmını aktif edin
Firewall DPI-SSL özelliği, şifreli gelen trafiği Firewall üzerinde çözerek çoklu protokolleri ve uygulamaların kullanılmasını sağlar. DPI-SSL, güvenlik duvarının web-posta, sosyal medya ve HTTPS bağlantı kullanan diğer web işlemcileri gibi şifrelenmiş kaynakları denetlemek için bir Proxy olarak hareket edilmesini sağlar.

SonicWall DPI-SSL servisini aktif edin.

DPI-SSL menüsü içerisinde tüm alt servislerde aktif olduğundan emin olun.

Intrusion Prevention

Gateway Anti-Virus

Gateway Anti-Spyware

Application Firewall

Content Filter

clip_image014

 

7. Content Filtering Service, CFS (İçerik filtreleme Servisi) özelliğini düzenleyin

CFS v4.0, SonicWall firmware 6.2.7.1 ile gelen bir servistir. Zararlı bağlantılardan korunmak için bunlara erişimi kısıtlamak tavsiye edilir. Temel olarak kısıtlanması önerilen kategoriler; Malware, Hacking / Proxy Avoidance, ve Not Rated.

”Not Rated” kategorisini engelemek, Tüm web sitelerinin engellenmediğini düşünürsek cihaz üzerinde işlem yoğunluğu yaşatabileceğini unutmayalım. Not Rated siteler için taleplerinizi ilgili link üzerinden işleme alabilirsiniz:   https://cfssupport.sonicwall.com.

Grup ve kullanıcı kurallarında Malware, Hacking / Proxy Avoidance ve Not Rated kategorilerinin engellendiğinden emin olunuz.

 

clip_image016

 

 

8:  Firewall uygulama kurallarını aktif edin, Application Firewall Rules

Ransomware gibi zararlı yazılımlardan korunmak amacı ile Uygulama kurallarının( Appilication Firewall Rules) aktif edilmesi önerilir. DNS, SSH ve Proxy-Access uygulamalarının kısıtlanması önerilir.

DNS portları TCP/UDP 53 dışında diğer standart dışıportları da kullanabilir. Kötü amaçlı uygulamalar tarafından DNS öbnelleği istenmeyen şekilde etkilenebilir veya istenmeyen yasa dışı sitelere yönlendirilebilir. Çözüm olarak, güvenilir ”Trusted” dışındaki DNS sunucularının erişim kuralları engellemenin yanı sıra, Adress Object ve Application Rule ile de kısıtlanması gerekir.

Bu güvenlik mekanizması alternatif olarak SonicWall'ın DNS Proxy yapılandırması ile de uygulanabilir, ancak yine de DNS' i güvenilmeyen kaynaklara sınırlamak için Uygulama(Application) ve Erişim Kuralları (Access Rules) gerekecektir.

clip_image018

 

 

 

SSH bağlantılarını güvenilir kaynak, hedef ve kullanıcılar ile sınırlanmalıdır.

Standart SSH TCP 22 yapılandırmasının sapması mümkün olduğu için bu denetimi Uygulama Firewall Uygulama(Application) kuralı olarak oluşturmanız önerilir.

 

clip_image020

 

Oluşturulması gereken son Firewall Uygulama kuralı, tüm Proxy Erişim uygulamalarında bu güvenliği aktif etmektir.

The last Application Firewall policy that should be created is the prevention of all Proxy-

Access Applications

 

clip_image022

 

Tüm kategoriyi bloke etmenin dezavantajı, yasal ve belki de kullanılması gereken uygulamaların da düzgün şekilde çalışması veya işlevinin kesilmesi olasılığı vardır. Kontrolün sağlanması, gerekli durumlarda belirli uygulamalar için kaynak ve hedefe istisnalar (exception) oluşturulması önerilir.

 

 

9:  Capture Özelliğini aktif edin

Sürekli olarak yeni zararlı yazılımların oluştuğunu göz önünde bulundurursak, SonicWall Capture çözümü bu bu zararlı yazılımlardan korunmak adına önerilir. SonicWall Capture, AGSS (Advanced Gateway Security Suite) lisansı ile birlikte gelmedir.

 




clip_image024

 

 

 

clip_image026

 

Capture ATP özelliğini aktif edin ve Gateway AV’ ün tüm servislerde aktif olduğundan emin olun.

Denetleme için tüm dosya türlerinin seçili olduğundan emin olun.

 

clip_image028

 

Capture özelliğini “Block until verdict” modunda aktif edilmesi tavsiye edilmektedir. Bu şekilde zararlı yazılım düzgün test edilinceye kadar sisteme geçmesi önlenecektir.

Fidye yazılımlarından korunmak adına aşağıda bir takım tavsiyeleri uygulayabilirsiniz:

Kullaıcılara end-point Antivirüs yazılımı yükleyin ve güncel oluğundan emin olun.

Sağlayıcı sistemlerin ve tarayıcıların son güvenlik yamaları ile güncel tutulması gerekmektedir.

Düzenli olarak offline sistem back up alınmalıdır.

Kullanıcıları tehditler ve bilmedikleri dosyaları açmamaları konusunda bilinçlendirilmelidir.

 

 

 

Yorumlar

Henuz Yorum Yok
Kimliksiz yorumlar seçilemez kılınmış durumdadır.
 

Bu Kategori

Hızlı aktarma

Etiketler