Forum

Forumlar
Güvenlik
Fortinet
Gelen bağlantı sayı...
 
Bildirimler
Hepsini Temizle

Gelen bağlantı sayısına göre IP Bloklama

 
Fortinet
Son Cevaplar gön: Savas Demir 13 yıl önce
3 Yazılar
3 Üyeler
0 Likes
869 Görüntüleme
RSS
 varolk
(@varolk)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Merhaba 

 

Fortigate üzerinde belli bir zaman içerisinde gelen bağlantı sayısına göre istekte bulunan IP adresini belli bir süreliğine kısıtlamak istiyorum. 

Mümkün ise bunu nasıl yapabiliriz.

 

Saygılar 

İyi Çalışmalar 

 
Gönderildi : 20/07/2011 13:51

 Tuncay BAŞ
(@TuncayBAS)
Gönderiler: 139
Estimable Member
 

İki farklı yolla yapılabilir.


1- DOS Policy ile (Yalnız DOS Sensorlerde süreli banlama olayı yapılamıyor)


Anomaly tabanlı olan DOS policylerde belirli porta (yada tüm portlara) belirli bir eşik değerinden fazla bağlantı yapan IP ler bloklana bilir.



 


 


 


 


 


 


 


 


 


 


 


 


 


 



 


 


 


 


 


 


 


 


2. yol ise


Custom IPS yazmak  


Mesala içerde bir DNS sunucunuz var ve sizde olmayan domainler için oldukça fazla sorgu yapılıyor.


config ips custom
    edit "DNS rate limit dst"
        set signature "limit dst     F-SBID( --attack_id 4455; --name dns.rate.limit.dst; --protocol udp; --service DNS; --pattern "|83|" ; --distance 3,packet ; -- within 1,packet; --flow from_server,reversed;--rate 10,60; --track dst_ip)  "
    next
end

Not: 10,60 değeri: 60 saniye  içinde 10 defa bu imzaya yakalanırsa.


Sonra bu imzayı IPS sensor içinde kullanmak gerekiyor.


Örneğin bu IPS imzası için 10 dakika banlama yapmak isteniyorsa;


config ips sensor
    edit "DNS"
            config override
                edit 4455
                    set action block
                    set log-packet enable
                    set quarantine both
                    set quarantine-expiry 10
                next
            end
    next
end


config firewall profile
   edit "DNS"
            config log
                set log-ips enable
                set log-web-ftgd-err enable
            end
        set ips-sensor-status enable
        set ips-sensor "DNS"
end

config firewall policy
    edit 1
        set srcintf "to_client"
        set dstintf "to_server"
            set srcaddr "all"            
            set dstaddr "all"            
        set action accept
        set schedule "always"
            set service "ANY"            
        set profile-status enable
        set profile "DNS"
        set nat enable
    next

DNS sorgusuna yakalanan IP leri görmek için User-> Monitor->Banned tablosuna bakabiliriz.


Burda mesala dışardan sizin DNS sunucunuza www.abcdfrg.com domain sorgusu yapılmak isteniyor devamlı.

Custom IPS bu durumu yakaladığında IP adresini banlayarak listeye alır.

 
Gönderildi : 20/07/2011 18:29

 Savas Demir
(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

tuncay her şeyi ayrıntısı ile anlatmış 🙂

 
Gönderildi : 21/07/2011 14:17

Forum Jump:
  Önceki Konu
Sonraki Konu  
Paylaş: