Fortigate IPS (INTRUSION PREVENTION SYSTEM)

IPS /IDS kısmını anlayabilmek açısından buraya tıklayarak ilgili makaleye gidebilirsiniz.

IPS (Intrusion Prevention System) kısaca ağa gelebilecek saldıları engelleyen bir teknolojidir. IPS sayesinde ağa gelecek saldırılarda, paket içeriğine göre analiz edilerek, ilgili kural setlerine yönlendirip block’lanır veya pass edilerek paketin geçmesi sağlanır. Burada önemli olan kısım ise IPS sürekli olarak ağınıza gelen paketlerin analizini yapıyor olmasıdır.

IPS Kullanım Tipi

IPS iki şekilde kullanılabilir ;

• Donanımsal IPS

Donanımsal olarak IPS kullanmak istediğinizde fiziksel bir Fortigate, Palo Alto gibi çeşitli markalardan cihaz almanız gerekmektedir. Bu cihazın içinde entegre olarak gelen IPS sistemini aktifleştirip kullanabilirsiniz. Avantajı, markanın bu sisteme özel cihazların içinde konumlandırdığı işlemcilerin herhangi bir donma veya kesinti yaratmayacak şekilde düşünmüş olmasıdır. Tabi düzgün konfigürasyon edilmediği taktikte satürasyon yaşanabilir.

• Yazılımsal IPS

Yazılımsal IPS genelde tercihen linux sunucu üzerine kurulur. Trafik mevcut sunucunun portuna yönlendirilerek burada trafiği analiz etmesi sağlanır. Dezavantajı ise CPU yükü IPS’in mevcut sunucu üzerine kurulu olduğundan yoracaktır. Karışıklık olmaması için Fortigate IPS yazılımsal olarak bir sunucu üzerine kurulmaz. Kurulamamasının sebebi ise kapalı sistem yazılımı olmasıdır.

IPS daha iyi anlayabilmek adına çalışma prensibini de anlamış olmamız gerekmektedir. Öncelikle IPS kendi veritabanını kullanır ve 15000 ‘den fazla “Signature” vardır. Nedir bu signature?

Nedir bu “Signature” ?

Signature türkçe karşılığı imzadır. Signature zararlı veya ihlali tanımlayan kalıp, bir kural bütünü diyebiliriz. IPS tarafında tüm trafiği tarar ve paketlerin içeriğini bu signature’ler ile karşılaştırır eğer eşleşen bir paket veya trafik olur ise bloklar. Mevcut duruma göre tabikide loglayıp, alarm da üretebilir.

Burada dezavantaj diyebileceğimiz bir konu ise IPS sisteminin inline olarak çalışıyor olmasıdır. Trafiği kendi üzerinden geçirir, üzerinden geçirdiği trafiği aynı zamanda analiz ediyor olması da CPU kısmını oldukça yorar. Yüksek bir trafik veya analiz edilmesi gereken geniş bir ağ bulunuyorsa doğru konfigürasyon edilmemesi sonucu ağda gecikmekler ve paket kayıpları yaşanabilir. Bunu belirtmemizdeki sebep iste doğru konfigürasyon edilmemesi sonucu zararsız paket veya trafik, IPS tarafında zararlı zannedilip kesinti yaşatabilir. IPS signature’ları Fortigate tarafında 1-2 saatte bir güncellenir. İstenilir ise manuel olarak da update edilebilir. Örnek olarak binlerce signature arasından 2 adet signature örneği verebiliriz.

• Protocol Anomaly Signature : Protokol kurallarına aykırı davranışları tespit eder.
• Behavior-Based / DoS Signatures : Trafik durumuna göre aykırı davranışları tespit eder.

Fortigate IPS Nasıl Çalışır?

Fortigate tarafına gelen paketler bir dizi firewall kurallarından geçmektedir. Bu kuralların içinde kural içeriğinde IPS etkinleştirilmiş ise mevcut trafik IPS motoruna yönlendirilir ve burada trafik analiz edilir.

• Trafik firewall kuralına gelir.
• IPS uygulanmış ise trafik IPS motoruna yönlendirilir.
• IPS tarafında signature ve paketler arasında eşleme yapılır.
• Eşleme sonucunda eğer paket eşleşir ise droplanır/loglanır/karantina altına alınır, eşlenmez ise paket geçer.

Fortigate Tarafında IPS Aktifleştirme

Fortigate firewall cihazımızda default olarak IPS aktif gelmez. Aşağıdaki gibi “System / Feature Visibility” sekmesine gidip “Intrusion Prevention” özelliğini aktifleştirmemiz gerekmektedir.

Bu özellik aktif edildiğinde “Security Profiles” kısmında aşağıdaki gözüktüğü üzere “Intrusion Prevention” sekmesi gelir. Bununla birlikte “IPS Signatures” sekmeside bu menüye eklenir.

Intrusion Prevention sekmesinin gelmesinin sebebi, bu sekmede IPS profili/IPS Sensörü oluşturacağımızdır. Burada karşımıza gelen ekranda manuel olarak çeşitli IPS profilleri oluşturabiliriz. Oluşturulan bu profiller policy kısımlarına uygulanarak aktif hale getirilir. Tek başına oluşturulan bir IPS profili kurala uygulanmadığı sürece çalışmaz.

Intrusion Prevention

IPS Signatures sekmesi için mevcut database tarafından gelen veya manuel oluşturulan tüm signature’ları görebildiğimiz sekmedir.

Burada iki seçeneğe dikkat etmemiz gerekiyor. “Block Malicious URLs” kısmını etkinleştirebiliriz. Fakat bu URL olarak database tarafındaki signature’lar ile karşılaştırma yaparak paketi geçirir veya engeller.

IPS Signatures and Filters

Diğer seçenek ise “IPS Signatures and Filtres” tararında yazıldığı gibi ister signature ister isek de filter bazlı engelleme yapabiliriz. Burada mevcut database tarafından gelen signature kullanabileceğimiz gibi bizde manuel olarak oluşturabiliriz.

Creat New seçeneğine tıkladığımızda yukarıdaki ekran karşımıza gelecektir. Bu ekrandaki seçenekleri inceleyecek olur isek;

• Type : Kısıtlama yapmak istediğimiz tipi seçiyoruz. Burada 2 çeşit seçenek karşımıza gelmektedir.
• Action : Yapılacak işlemi belirtiyoruz.

• Packet Logging : Bu seçeneği aktif ettiğimizde analiz edilen tüm paketler loglanır.
• Status : Signature aktif veya pasif etmek için kullanılır.
• Filter : Bu kısımda ise bizi karşılayan target, severity, protocol, OS, application seçenekleridir. Seçenekler arasında ihtiyacımıza göre filtremizi seçiyoruz. Burada istersek işletim sistemi bazlı, istersek protocol bazlı gibi filtreleme yaptırıp aksiyon aldırabiliriz.

New Policy + IPS

Bu kısmı bitirdikten sonra son aşama olarak oluşturduğumuz signature kısmını policy tarafında uygulamak kalıyor. Burada da yeni bir policy oluşturup veya mevcut policy üzerinde aşağıdaki gibi IPS kısmını aktifleştirip oluşturduğumuz signature uygulamamız gerekmektedir.

Böylelikle gelen trafik IPS tarafına yönlendirilerek analiz edilir ve gerekli aksiyon signature ile paketleri karşılaştırarak alır. Burada kaynak ve hedef adresi arasında izin verilen uygulamalar üzerinden paket geçtikten sonra IPS kısmına gelir.