Anasayfa » Sonicwall ve Procurve Kullanım Senaryosu

Makaleyi Paylaş

SonicWALL

Sonicwall ve Procurve Kullanım Senaryosu

Bu makalemizde sizlere Sonicwall UTM cihazı ile HP Procurve switch’ lerin birlikte kullanım senaryosunu uygulamalı olarak anlatacağım.

İlk olarak lab ortamımız hakkında bilgi vermek istiyorum.

 

Procurve 3500yl: Üzerindeki trafiği remote mirror ile 5406’ya gönderecek olan switch

Procurve 5406zl : Sonicwall UTM cihazının bağlı olduğu switch çevre switchlerden ve kendi portlarından mirror ile taşınan datayı A22 portundan Sonicwall’a iletiyor.

Sponsor

 

Adım Adım Immunity Manager

 

Öncelikle UTM cihazının Procurve Manager’da tanınmış olduğundan emin olunmalı. Bu işlem için Procurve Manager kurulu olan makina ile UTM cihazı aynı networkte ise yapılması gereken bir şey yok aşağıdaki gibi gelmesi gerekir.

 

image001

 

 

UTM cihazı ile Procurve Manager aynı networkte değilse Procurve manager’ın UTM cihazının subnet’inide taraması sağlanmalı. Bunun için PCM+ TOOLS, Preference kısmından Discovery altındaki subnets seçilerek UTM cihazın subnet’i öncelikle UNMANAGED Subnet’e oradan MANAGED subnet’e eklenir.

image002

 

Bu aşamadan sonra PCM+’ta 5406 switch üzerinde mirroring ayarlaması yapmak gerekir.

 

image003

 

 

5406 seçiliyken PORT LISTTEN 5406’nın UTM cihaza bağlı interface seçiliyken yukarıdaki icon tıklanır ve Configure Mirror Port seçilir. Ardından aşağıdaki Konfigurasyon ekranı gelir. Buradan Tremote mirroring seçilir.

 

image004

 

ENABLE MIRROR PORT dendiğinde aşağıdaki ekran gelir ve kendisni bu switch’e mirrorlayabilecek switchlerin listesi gözükür (Buradaki switchler 3500 ve üzeri olan remote mirror destekleyen switchlerdir)

 

image005

 

 

5406’ya mirror’ lamak istediğiniz switchleri bu listeden seçip devam edin.

 

Böylece 3500, 5406’ya mirrorlanırken 5406’nın A22 interfce’i UTM’e mirrorlanmış olur. (Yani mirror sabit bir şekilde beklemede duracak. Switchlerde monitor edilen portlar olursa bu mirrordan yönlendirilecek)

 

IMMUNITY MANAGER POLICY

 

Procurve Manager’da aşağıdaki ikon tıklanarak POLICY MANAGER çalıştırılır

 

image006

 

Çıkan Policy ekranından POLICIES seçilir ve (İsmi önemli değil Ben Remote mirror on Protocol Anomaly yaptım) bir policy oluşturulur.

 

image007

 

 

Policy isim ekranı onaylanınca policy ayarlarını konfigure etmek için aşağıdaki ekran gelir.

 

image008

 

Buradaki ayarlar aşağıdaki şekilde olamlıdır.

Times               : Any

Sources           : 5406zl, 3500yl

Targets             : Targets all sources (devices and ports) that triggered this policy

Alerts               : Protocol Anomaly

Herhangi bir zaman 5406 veya 3500 switchler üzerinde, Protocol anomaly algılanırsa, hedef Protocol Anomaly’nin kaynak cihazının, kaynak portudur.

 

Bundan sonra Protocol Namaly algılanırsa alınmasını isteyeceğimiz ACTION’ı oluşturucağız. Bunu için ACTIONS altına NEW ile Port mirroring eklenir.

 

image009

 

 

Ekleme yapılırken daha önce oluşturduğumuz remote mirror Port mirroring kısmına gelmiş olacaktır. Aşağıdaki gibi seçilerek bu ACTION bitirilir.

 

image010

 

Bundan sonra Remote mirror on Protocol Anomaly POLICY tekrar editlenir ve Action kısmına aşağıdaki gibi biraz önce oluşturduğumuz action eklenir. İstenirse bu action’ın belli bir süre sonra etkinliğini kaybetmesi Rollback ile sağlanabilir.

 

image011

 

 

 

BURADAN sonraki kısım UTM’den gelecek uyarı sonucu portun kapanmasını sağlamak olacak.

POLICY manager’da, Alerts tabı altındaki External altından UTM seçilip TRAP source kısmına Sonicwall IP’si yazılır.

 

image012

 

Bundan sonra Action ksımına daha önce anlattığımız gibi ama farklı olarak PORT Settings: ENABLE\DISABLE durumunu belirleyen PORT SHUTDOWN adında yeni bir action eklenir. Action’da port durumu disable olarak ayarlanır.

 

image013

 

Daha önce Action oalrak Mirror yapan bir POLICY oluşturmuştuk. Şimdi Sonciwall’dan alınan mesajla SHUTDOWN yapan bir policy daha oluşturacağız.

Policy oluşturma adımları daha önceki adımların aynısı olacak ayarlarda action dışında aynı olacak. Ben Policy’Nin adına Sonicwall port Shutdown verdim, Action kısmına ise Port Shutdown adındaki action’ı ekledim;

 

image014

 

 

Sonuç olarak ilk Policy Protocol anomaly algılanınca Anomaly olan portları Monitor etmeye başlayıp remote mirror portlarından sonicwall’a iletecek.

 

İkinci kural sonicwall’un mesajı ile portu disable edecek. Bundan sonrası bir saldırı geliştirip denemeye kalıyor.

 

Unutmadan Defaultta action ne olursa olsun Procurve Maneger gizli bir ayar ile actionların uygulanmasını engeller (Tedbir). Yani sadece Log oluşturulur. Action alanları bilmesini sağlamak için

Procurve Mnager’da TOOLS preference altındaki POLICY MANAGEMENTA aşağıdaki durum seçilir.

 

image015

Makaleyi Paylaş

Cevap bırakın