USOM Zararlı Listesini Fortigate Güvenlik Duvarında Engelleme

USOM Zararlı Listesini Fortigate Güvenlik Duvarında Engelleme

Bu yazımda Fortigate 6.0 sürümü ile gelen “External Dynamic Block List” özelliği kullanılarak USOM listesinin Fotigate ' e yüklenmesi anlatılmaktadır.

Fortigate'in 2018 Mart ayının sonunda çıkardığı yeni versiyonu olan 6.0 sürümü ile birçok yeni özellik tanıtıldı. Bunlardan bir tanesi de “External Dynamic Block List”. Bu özellik sayesinde bir web sitesinde (ör: https://www.usom.gov.tr/url-list.txt )  yayınlanmış olan adreslerden bir liste oluşturup, engelleme yapabilir, bu listenin hangi aralıklarla güncelleneceğini ayarlayabilirsiniz.

Şu anda USOM’un yayınladığı zararlı URL listesinde 20+ bin adres bulunmakta ve bu listede yer alan zararlı URL’lerin birçoğu kötü niyetli saldırılarını Türkiye içerisinde yapmaktadır. Dolayısıyla bu nitelikteki bir havuzun engellenmesi karşılaşılma ihtimali olan saldırıları azalacaktır.

Aşağıdaki adımları takip ederek USOM ‘un yayınladığı zararlı url listesini engelleyebilirsiniz. Fortios 6.0.0 ile sonrasında çıkan veryisonlarda (6.0.1 , 6.0.2 …) USOM listesinin nasıl içeri aktarılacağı değişkenlik gösterir. Eğer Fortigate versiyonunuz 6.0.0 ise 1.1 adımını gerçekleştirip sonrasında 2. adıma geçeiblirsiniz. Eğer Fortios versiyonunuz 6.0.1 ve üstü ise madde 1.2 den başlayıp devam edebilirsiniz.;

1.1 FORTIOS 6.0.0 için –> System > External Resources altına gelin Create New butonuna basarak yeni bir dinamik liste oluşturun. Burada 3 tip liste oluşturma seçeneğimiz var. Bu tipler arasındaki temel farklar aşağıdaki gibidir:

a-Fortiguard Category – Oluşturulan liste “Web filter” profillerinin içerisinde kategorilerde “Remote Category” altında görünür.

b-Firewall IP Address – Oluşturulan liste “DNS filter” profillerinin içerisinde “External Domain Block list” altında görünür. (Güvenlik duvarını Proxy mode’da kullanıyorsanız “Source/Destination” altında)

c-Domain Name – Oluşturulan liste “DNS filter” profillerinin içerisinde kategorilerde “Remote Category” altında görünür.

Engellemenin yapılabileceği bu 3 noktadan size en uygun veya kolay olan bir tanesini seçip, uygulayabilirsiniz:

1-Fortiguard category type kullanılarak engellemek isterseniz: Aşağıdaki görseldeki gibi ayarları yapın, Refresh rate kısmından bu listenin ne sıklıkla güncelleneceğini dakika cinsinden belirleyin.

Fortigate USOM

1.2 FORTIOS 6.0.1 , FORTIOS 6.0.2 ve sonrası versiyonlar için Securtiy Fabric > Fabric Connectors altına gelin. Burada “Threat Feeds” başlığı altında 3 tip liste oluşturma seçeneğimiz var.

usom block list

Bu tipler arasındaki temel farklar aşağıdaki gibidir:

a-Fortiguard Category – Oluşturulan liste “Web filter” profillerinin içerisinde kategorilerde “Remote Category” altında görünür.

b-IP Address – Oluşturulan liste “DNS filter” profillerinin içerisinde “External Domain Block list” altında görünür. (Güvenlik duvarını Proxy mode’da kullanıyorsanız “Source/Destination” altında)

c-Domain Name – Oluşturulan liste “DNS filter” profillerinin içerisinde kategorilerde “Remote Category” altında görünür.

Hangisini kullanmak istediğinizi (3’ünü aynı anda kullanmanızda sakınca yok) belirledikten sonra simgenin üzerine tıklayın ve aşağıda ekran görüntüsündeki gibi isimlendirerek “OK” tuşuna basıp kaydedin.

OK tuşuna basıp kaydettikten bir sure sonra Fabric Connectors altında “Threat Feed” yani Tehdit Girdilerinin sağ alt köşesindeki aşağı bakan kırmızı okların yukarı dönüp yeşik olduğunu göreceksiniz.  Bu URL’lerin başarı ile indirilebildiğini gösterir.

Bu kısımda oluşturduğumuz dinamik listeye tıklayıp içerisine girebilir, Last Update kısmında en son ne zaman başarıyla güncellendiğini görebilir veya “View Entries” butonuna tıklayarak USOM’dan başarıyla çekilebilen URL’leri görebilirsiniz.

2. Daha sonra oluşturduğunuz dinamik engelleme listesini Security Profiles > Web filter altına gelerek istediğiniz profilde yasaklayın:

Usom block

3. Firewall IP Address type kullanarak engellemek isterseniz: Madde 1 deki gibi ayarları yapın, yalnızca type kısmından Firewall IP addressi seçin, daha sonra Security Profiles > DNS Filter altına gelin, Static Domain filter başlığı altında “External IP Block List” seçeneğini aktif hale getirin ve “+” butonuna basarak olduşturduğunuz listeyi seçin:

ip block fortigate

 

4. Domain name type kullanarak engellemek isterseniz: Madde 1 deki gibi ayarları yapın, yalnızca type kısmından Domain Name seçin; daha sonra Security profiles > DNS filter altına gelin, Fortiguard category based filter seçeneğinin aktif durumda olduğundan emin olun, Remote Categories altında madde 3 de oluşturduğunuz engelleme listesini göreceksiniz, bu kategori üzerine sağ tıklayıp Block seçeneğini seçin.

Yukarıdaki 3 seçenekten birini uyguladıktan sonra testlerinizi yapabilirsiniz. Ayrıca System > External Resources altında oluşturduğunuz listelere (Fortios 6.0.0 için) çift tıklayıp liste güncellemesinin en son ne zaman başarıyla yapıldığını görebilirsiniz.

 

Referans: FortiOS™ Handbook – Security Profiles 6.0.0

Ref:https://alperensoyalp.com/

Muhammet Hasan Güngör
Orta Doğu Teknik Üniversitesi Bilgisayar Mühendisliği
Yorum Yaz

Yorum yazabilmek için üye girişi yapmanız gerekiyor!

Yukarı Git