Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

irfanCyberoam, Güvenlik0 Yorum7 Nisan 2017

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü bir çok firma tarafından kullanılmasa da aktif edildiğinde gayet başarılı bir şekilde görevini yerine getirmektedir.Güvenlik anlamında bir çok fiziksel cihazdan daha başarılı olan Cyberoam firewall bu modül sayesinde de ihtiyaçlara fazlası ile cevap verebilmektedir.

Cyberoam IPS üzerindeki ayarlara geçmeden önce kısaca saldırı tiplerinden bahsetmek gerekirse aşağıdaki detaylar ön bilgi için yeterli olacaktır.

Cyberoam’da uygun DoS Ayarlarını yapılandırarak IPv4 ve IPv6 trafiği için DoS saldırılarına karşı ağınızı koruyabilirsiniz. DoS Ayarlarını aşağıda verilen adımları izleyerek yapılandırabilirsiniz.

Denial of Service (DoS saldırısı), İnternet üzerinden çok sayıda istemci bilgisayar kullanılarak yapılan bir saldırı çeşididir. Çoğunlukla virüs bulaştırılarak zombi haline getirilen bilgisayarların, bir sunucu bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek göndermesi, sunucunun kapasitesinin aşılması sonucunda da hizmet veremez hale getirilmesi ilkesine dayanır. Yeterli sayıda zombi bilgisayar mevcut olduğunda ddos saldırılarını engellemenin bilinen bir yolu yoktur. Onbinlerce istemciden sürekli olarak gelen istekler öncelikle yanıtlanmaya çalışılır ve bir süre sonra kapasite aşılarak sunucu devre dışı kalır. Güvenlik duvarları bu saldırıları engellemek konusunda yetersizdir. Hangi isteğin saldırı hangisinin gerçek olduğunu ayırt edemezler. Dolayısıyla IP bazında engelleme yapmak mümkün değildir.

Günümüzde internet güvenliğini tehdit eden en tehlikeli saldırı Ddos’tur. Engellenemez oluşu ve sistemi çalışamaz hale getirmesi nedeniyle hacker aktivist gruplarınca bir tehdit unsuru olarak kullanılmaktadır. Kimi zaman hükümetlere ve büyük şirketlere ait sunuculara açık olarak önceden bildirilerek saldırılar yapılmaktadır.

DoS saldırısı (Distributed Denial of Service attack), çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.

Kötü amaçlı yazılımlar Ddos saldırı mekanizması taşıyabilir; en iyi bilinen örneklerden biri MyDoom virüsüydü. Onun Dos mekanizması belirli bir saat ve tarihte tetiklenirdi.

Bir sistem, saldırgan bir zombi adı verilen ajanları indirmeyi sağlayan bir trojan virüsü ile bozulabilir. Saldırganlar aynı zamanda uzak konaklardan host bağlantıları dinlemek için program içindeki hatalardan faydalanan otomatik araçları kullanarak sistemlere zarar verebilir. Bu senaryo aslında web sunucuları gibi davranan sistemlerle ilgilidir.

ICMP Flood : Birden fazla farklı ip den ping yöntemi ile kurbanın bant genişliğini tüketmek amacı ile yapılan saldırılardır.

SYN/TCP Flood : SYN saldırısı (SYN flood), hizmeti engelleme saldırısının bir biçimidir. Bu saldırı biçiminde bir saldırgan sistemin yasal trafiğini isteklere cevap veremeyecek duruma getirmek için yeterli sunucu kaynaklarını tüketme girişiminde bulunarak, hedef alınan sisteme ardışık SYN istekleri (SYN requests) gönderir.

Bir SYN saldırısı, sunucuya beklenen ACK kodunu göndermeyerek çalışan bir ataktır. Kötü niyetli istemci ya basit bir şekilde beklenen ACK‘yı göndermez ya da sahte IP adresi kullanarak SYN‘deki IP adres kaynağını zehirler(spoofing). Çünkü sunucu sahte IP adresine SYN-ACK göndermeye çalışır. Ancak ACK gönderemeyecektir çünkü o adresle bir SYN gönderilmediğini bilir.

Sunucu bir süre acknowledgement(kabul) için bekleyecektir. Fakat saldırılarda bu istekler sürekli artan şekilde olduğundan sunucu yeni bağlantı oluşturamaz duruma gelir. Ve sunucu devre dışı kalır.

UDP Flood :  (User DataGram Protocol) protokolünü kullanarak yapılan bir DoS saldırısıdır.

UDP’yi kullanan DoS saldırıları, TCP (Transmission Control Protocol)’yi kullananlara göre daha karmaşıktır. UDP saldırısı uzaktaki bir bilgisayarın rastgele portlarına çok sayıda UDP paketi göndererek başlatılabilir. Bu durumda saldırıya uğrayan uzaktaki makine:

  1. Portu dinleyen bir uygulama var mı diye kontrol eder;
  2. Hiçbir uygulamanın o portu dinlemediğini görür;
  3. ICMP “Hedefe Ulaşılamıyor” paketi ile cevap verir.

Böylece, çok sayıda UDP paketi gönderilmesi durumunda, mağdur sistem de yanıt olarak çok sayıda ICMP paketi göndermeye zorlanır ve bu da onun diğer istemciler tarafından erişilemez duruma gelmesine yol açabilir. Saldırganın UDP paketlerinde sahte IP adresi olabilir, bu durum geri dönen ICMP paketlerinin ona ulaşmamasını sağlar ve saldırganın bağlantı konumunu anonimleştirir.

Bu saldırı, istenmeyen ağ trafiğini filtrelemek üzere ağ içindeki kilit noktalara güvenlik duvarları kurularak yönetilebilir. Böylece, hedefteki makine UDP paketlerini asla almaz ve kötü niyetli UDP paketlerine asla cevap vermez. Çünkü güvenlik duvarı onları durdurur.

Şimdi gelelim Cyberoam Firewall IPS Modülü sayesinde gelecek olan saldırıları durdurmak için yapmamız gereken işlemleri adım adım incelemeye.

Not : Resimlerin üzerine tıklayarak orjinal boyutlarında görüntüleyebilirsiniz.

Cyberoam web arayayünüze erişim sağladıktan sonra Firewall > DoS > Settings bölümündeki ayarları aşağıdaki ekran görüntüsündeki şekilde ayarlıyoruz.

Yukarıdaki işlemi gerçekleştirdikten sonra DDOS Saldırılarından korunmak için gerekli IPS kuralımızı oluşturmaya başlıyoruz.

IPS > Policy > Policy > Add sekmelerini takip ederek yeni IPS kuralı için ‘DDoS_Protection’ şeklinde bir isim tanımlıyoruz.

DDoS_Protection ismi ile oluşturmuş olduğumuz rolü düzenleyerek ayarlarımızı yapmaya başlıyoruz.Select Individual Signature seçeneğini tıklayarak arama bölümünü aktif ediyoruz ve DDoS şeklinde aramaya yaparak listelenen ögeleri işaretleyip ekranın altında yer alan Action bölümünden Drop Packet seçeneğini seçerek ayarlarımızı kaydediyoruz.

Yukarıdaki işlemleri yaparak yeni bir IPS rule ve policy oluşturma işlemini tamamladık.Bu sayede makalenin başında bahsetmiş olduğumuz saldırı türlerinden Cyberoam veri tabanında kayıtlı olanları aktif hale getirdik.Şimdi sırada oluşturmuş olduğumuz yeni IPS kuralımızı internet trafiğimiz üzerinde aktif etmeye geldi.

Aşağıdaki adımı takip ederek IPS kuralını aktif ederek gelecek saldırıları engelleyebilirsiniz.

Firewall > Rule > adımlarını takip ederek oluşturmuş olduğumuz IPS kuralını LAN_WAN_LiveUserTraffic isimli rule aşağıdaki şekilde ekleyerek aktif ediyoruz.

IPS kuralını uygulandıktan sonra gelecek olan saldırılar Cyberoam IPS imza veritabanında taranacak ve eşleşen saldırı türleri Cyberoam tarafından durdurulacaktır.

Yukarıda anlatmış olduğum ayarları bende kullanmakta olduğum cihazlarda kullanmaktayım ve bu güne kadar azda olsa gelen saldırı türlerinden hepsini başarılı bir şekilde durdurduğunu gönül rahatlığı ile söyleyebilirim.

Yukarıdaki ayarlar haricinde IPS > Policy >  adımlarını takip ederek daha katı kurallar yazmanız mümkündür bu tamamen sizin yapınızın riskine , büyüklüğüne ve sizin keyfinize bağlıdır 🙂

Cyberoam IPS ayarlarını elimden geldiğince sizlere anlatmaya çalıştım umarım faydalı olur.

 

Etiketler: , , , , ,

Sponsor Reklam Sponsor Reklam Sponsor Reklam Sponsor Reklam
Cyberoam Captive Portal Kaldırma

Cyberoam Captive Portal Kaldırma

Merhaba ; Googlede Cyberoam ile ilgili kelimeleri ararken en çok

irfan8 Yorum17 Aralık 2015
Cyberoam SSL VPN Kurulumu

Cyberoam SSL VPN Kurulumu

Merhaba ; Cyberoam güvenlik duvarının en çok tercih edilme nedenlerinden

irfan7 Yorum7 Mayıs 2015
Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam ve Active Directory Entegrasyonu (CTAS)

Cyberoam Transparent Authentication Suite (CTAS) :  Şeffaf kimlik doğrulama sistemi

irfan6 Yorum31 Mayıs 2015
Cyberoam DHCP Kuralı Oluşturma

Cyberoam DHCP Kuralı Oluşturma

Merhaba ; Bu makalemizde güvenlik duvarı üzerinde dhcp oluşturmayı elimden

irfan5 Yorum23 Nisan 2015
Cyberoam Log Viewer Nedir?

Cyberoam Log Viewer Nedir?

Cyberoam Firewall bir çok işlemi yönetim panelinden extra bir cihaz

irfan4 Yorum3 Ekim 2015
WannaCry Nedir , Nasıl Engellenir?

WannaCry Nedir , Nasıl Engellenir?

Cryptolocker ve benzeri fidye yazılımı özelliklerini içinde barındıran WannaCry şifreleyici

irfan0 Yorum14 Mayıs 2017
Cyberoam ile  DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam ile DDOS Saldırılarını Engelleme (Prevent DoS and DDoS Attacks)

Cyberoam güvenlik duvarının en önemli modüllerinden birisi olan IPS modülü

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği – Hukuki Dayanağı

Kurumsal Bilgi Güvenliği kişi ve kurumları ilgilendirdiği kadar yasal zorunlulukları

irfan0 Yorum7 Nisan 2017
Kurumsal Bilgi Güvenliği Nedir

Kurumsal Bilgi Güvenliği Nedir

Son zamanlarda sıkça karşımıza çıkan Bilgi güvenliği , kişisel verileri

irfan0 Yorum27 Mart 2017
Sophos Intercept X (Anti Fidye Yazılımı)

Sophos Intercept X (Anti Fidye Yazılımı)

Sophos tarafından yeni nesil uç nokta güvenlik çözümü olarak geliştirilen Intercept

irfan0 Yorum17 Ekim 2016
Sera Sistemleri
Merhaba, Faydalı bir bilgi paylaşımı olmuş. İşime yaradı. Teşekkürler. İyi çalışmalar
Ayna
Makaleniz için teşekkür ederim, çok faydalı bilgiler teşkler.
irfan
Merhaba , Hattınızda Load Balance varsa bu söylemiş olduğunuz sitelere girişlerde sorun yaratabilir.Eğer hatta load balance yoksa sorun…
cemal
Merhaba, Kurumumuzda server alt yapısında cyberoam firewall bulunmaktadır. Fakat bundan 2 3ay öncesine kadar biruni.tuik.gov.tr ve 2…
irfan
Merhaba ; Active directory üzerindeki kullanıcıların logon ve logoff bilgilerini firewallun çekebilmesi için control panali/administary tools/ local security policy/…

Sponsonr Reklamlar