Fortinet

Fortigate ile USOM Zararlı Bağlantılar Listesini Engelleme

Fortigate ile USOM Zararlı Bağlantılar Listesini Engelleme

Merhabalar, 2018 yılının Mart ayında Fortinet’in yayınlamış olduğu Fortigate FortiOS 6.0 versiyonu ile birçok yeni özellik Fortigate firewallara entegre oldu. Bu özelliklerden, belki de en önemlilerinden bir tanesi olan USOM (Ulusal Siber Olaylara Müdahale Merkezi) bağlantısı Fortigate firewallara eklendi. Fortiguard servisleri her ne kadar zararlı içerikli siteleri engellese de özellikle yeni açılan bazı siteleri engelleyememektedir. Bu sitelerin doğru kategoride olmaması son kullanıcılar için tehlikeli olabilir. USOM, düzenli olarak zararlı içerik barındıran URL adresleri kara liste olarak güncel şekilde yayınlanmaktadır. Bu liste ile tespit edilen ya da gelen ihbarlar sonrasında zararlı içerikleri olan siteleri biz bilgi yöneticileri ve son kullanıcılar ile paylaşmaktadır.

Fortigate firewalların USOM’a entegre olması güvenlik anlamında bilgi yöneticilerine ve son kullanıcılara büyük bir kolaylık sağlamaktadır.

Fortigate Firewall ile USOM Bağlantısı Nasıl Sağlanır?

Fortigate firewallda öncelikle FortiOS versiyonunuzun 6.0 ve üzeri olması gerekmektedir. Security Fabric altında Fabric Connectors alt menüsüne geliyoruz.

Resim 1

Fabric Connectors altından Create New diyerek Threat Feeds altından “FortiGuard Category” seçerek devam ediyoruz.

Resim 2

Fabric Connector için bir isim belirliyoruz. Örneğin ben USOM_Blacklist ismini tanımladım. Daha sonra “URI of external resource” alanına USOM zararlı bağlantı listesini içeren adresi yazıyoruz.

USOM Zararlı Bağlantı Listesi : https://www.usom.gov.tr/url-list.txt Bir doğrulama işlemi gerekiyor ise “HTTP basic authentication” alanından bu bilgiler doldurulur. USOM için bir doğrulama işlemi gerekmemektedir. O yüzden HTTP basic authentication kısmı kapalıdır. Son olarak da bu verilerin kaç dakika da bir güncelleneceğini belirliyoruz. Ok tuşuna basarak işlemi tamamlıyoruz.

Resim 3

Oluşturmuş olduğumuz kara listeye tıklayıp içerisine girebilir, Last Update kısmında en son ne zaman başarıyla güncellendiğini görebilir ya da “View Entries” butonuna tıklayarak USOM’dan başarıyla çekilebilen Url’leri görebilirsiniz.

Tanımlama sonrasında son olarak oluşturmuş olduğumuz USOM_Blacklist listesini Security Profiles > Web Filter altına gelerek kullanacağımız Web Filter profilde yasaklamamız gerekmektedir.

Resim 4

Umarım sizler için faydalı bir makale olmuştur. Bir sonraki makalede görüşmek üzere.

İlgili Makaleler

11 Yorum

  1. Merhaba,

    Fortigate text içindeki kayıtları 131.072 adet ile sınırlandırıyor. Bu adetten sonrasını kabul etmiyor bunu aşmak için ne yapabiliriz?

    1. Aşağıdaki powershell script ile içeriği ip-domain-url şeklinde bölüp web sunucunuz üzerinden ayrı kaynaklar olarak ekleyebilirsiniz.

      $url=”https://www.usom.gov.tr/api/address/index”
      $criticality_level = 5;
      $dataip=””;
      $datadom=””;
      $dataurl=””;
      $pageCount = 1;
      $folderpath=”C:\inetpub\wwwroot”;
      #Create IP list
      for($clindex = $criticality_level; $clindex -le 10;$clindex++)
      {
      # get first page with pagecount and add to data
      $params = @{type = “ip”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,models, page, pageCount
      $pageCount = $response.pageCount;
      foreach ($model in $response.models){
      $dataip += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      if($pageCount -gt 1){
      #get other pages
      for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
      $params = @{type = “ip”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
      foreach ($model in $response.models){
      $dataip += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      }
      }
      }

      $dataip | Out-File -Encoding “UTF8” -FilePath $folderpath\iplist.txt

      #Create Domain list
      for($clindex = $criticality_level; $clindex -le 10;$clindex++)
      {
      # get first page with pagecount and add to data
      $params = @{type = “domain”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,page, pageCount, models
      $pageCount = $response.pageCount;
      foreach ($model in $response.models){
      $datadom += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      if($pageCount -gt 1){
      #get other pages
      for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
      $params = @{type = “domain”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
      foreach ($model in $response.models){
      $datadom += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      }
      }
      }

      $datadom | Out-File -Encoding “UTF8” -FilePath $folderpath\domainlist.txt
      $datadom | Out-File -Encoding “UTF8” -FilePath $folderpath\domainplusurllist.txt

      #Create URL list
      for($clindex = $criticality_level; $clindex -le 10;$clindex++)
      {
      # get first page with pagecount and add to data
      $params = @{type = “url”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,page, pageCount, models
      $pageCount = $response.pageCount;
      foreach ($model in $response.models){
      $dataurl += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      if($pageCount -gt 1){

      #get other pages
      for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
      $params = @{type = “url”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
      $response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
      foreach ($model in $response.models){
      $dataurl += $model.url + “`n”;
      }
      Start-Sleep -Seconds 3
      }
      }
      }
      $dataurl | Out-File -Encoding “UTF8” -FilePath $folderpath\urllist.txt
      Add-Content -Path $folderpath\domainplusurllist.txt -Value $dataurl
      exit

  2. Merhaba,
    FortiGate firewallarda dış kaynak miktarı maksimum 131.072 olacak şekilde tanımlıdır. Bu limit bir kaynak için olabilecek maksimum kayıt sayısıdır.
    Burada 2 türlü çözüm olabilir;
    1. Yeni bir dış kaynak daha açıp tanımlama yapmak,
    2. Fortinet Support aracılığıyla ilgili talebin Fortinet mühendislerine bildirilmesi. Çıkacak yeni firmware versiyonda bu limitin artırımı sağlanabilir.
    İyi çalışmalar.

  3. Merhaba
    Son versiyon da bu sınırlama yükseltildi mi acaba? (Versiyon 7)
    Teşekkürler.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu