Zapobiegania włamaniom IPS + DoS[Konfiguracja Fortigate]

Wstęp

W dzisiejszych czasach chcemy jak najlepiej zabiezpieczyć nasze dane, nie chcemy doprowadzić do wycieków. Dlatego deweloperzy fortigate tworzą coraz to lepsze zabezpieczenia. Jednym z nich jest IPS, które dobrze współpracuje z polityką DoS.

Intrusion Prevention System (IPS) jest mechanizmem bezpieczeństwa, który analizuje ruch sieciowy w czasie rzeczywistym w poszukiwaniu podejrzanych lub złośliwych aktywności. Głównym celem IPS jest wykrywanie i blokowanie prób włamań oraz ataków na systemy i sieci.

Polityka DoS (Denial of Service) w FortiGate odnosi się do mechanizmu, który pomaga w ochronie sieci przed atakami, które mają na celu wyłączenie dostępności usług lub zasobów sieciowych, uniemożliwiając użytkownikom korzystanie z nich. Działanie atakującego polega na przeciążeniu zasobów systemowych lub aplikacji.

Konfigurację video obejrzysz TUTAJ.

Stworzenie polityki DoS dla komputera
Dobór anomalii
Stworzenie polityki DoS dla serwera
Dobór anomalii
Stworzenie IPS
Sygnatura dla komputera
Sygnatura dla serwera
Stworzenie reguł na firewallu

Topologia jakiej użyję

Konfiguracja Polityki DoS

Zrobimy 2 reguły, 1 dla komputera gdzie ruch będzie wychodził z Fortigate, a druga reguła będzie dotyczyć serwera, gdzie ruch będzie wchodził do naszej sieci

Przechodzimy do zakładki Policy & Objects > IPv4 DoS Policy, klikamy „Create New” by utworzyć nowy wpis i uzupełniamy pola

Name: nazwa reguły

Incoming Interface: port wychodzący z sieci lan

Source Address: możemy wyszczególnić adresy, ja zostawię all

Destination Address: Klikamy „Create Address” by utworzyć wpis zawierający adres z sieci lan (możemy też podać adres całej sieci)

Service: all

Teraz wybieramy spośród listy co chcemy kontrolować. Mamy do wyboru wartości z warstwy Sieci (L3) i transportowej (L4). Zaznaczamy wedle uznania

Możemy ustawić próg danej wartości. Jeśli przekroczy się go wtedy będzie zastosowana wybrana akcja np. zablokowanie pingów

Czynność powtarzamy dla serwera

Incoming interface: tutaj wybieramy port WAN, gdyż ruch będzie pochodzić z zewnątrz

I zaznaczamy opcje przydatne dla serwera

Konfiguracja IPS

Teraz skonfigurujemy IPS. Przechodzimy do zakładki Security Profiles > Intrusion Prevention, klikamy „Create New”

Dla komputera z LAN zaznaczamy opcje Block malicious URLs by zablokować dostęp do niebezpiecznych lub złośliwych adresów URL

Dodajemy teraz sygnaturę, klikając „Create New”

Na wstępie zaznaczamy Status na Enable, możemy również Packet logging by zbierać logi.

Dodajemy teraz filtry by zredukować wszystkie sygnatury do najbardziej dla nas potrzebnych (Target, Severity, Protocol, OS, Application). Wybieramy z listy

Finalnie wygląda tak

I tworzymy teraz dla serwera

I mamy utworzone 2 reguły

Możemy teraz utworzyć reguły pozwalające na wychodzenie ruchu do internetu. Przechodzimy do zakładki Policy & Objects > Firewall policy, „Create New” i uzupełniamy pola

Name: nazwa reguły

Incoming interface: interfejs wychodzący

Outgoing interface: interfejs wchodzący

Możemy wyszczególnić dane adresy czy usługi, ja dam all

I wybieramy z listy wcześniej utworzony wpis

Czynność powtarzamy dla serwera