FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

Öncelikle Slow Saldırıların ne olduğunu sizlere açıklayayım.

Low ve Slow saldırı, çok yavaş bir hızda küçük bir trafik akışı gönderen bir DoS saldırısı türüdür. Amacı uygulama ve sunucu kaynaklarını hedeflemektir. Bu saldırının Normal bir web trafiğinden ayırt edilmesi zordur. En popüler saldırı araçları arasında Slowloris ve RUDY Slowloris kullanılmaktadır. Bu saldırıda saldırganın amacı hedef web adresine http session süresini uzatarak bağlantıyı en uzun tutabileceği kadar açık bırakmaktır. 

Hedef sunucuya sürekli bağlantı istekleri göndererek eski session’I kapatmadan uzun süre sistemde bağlı kalmaktadır. Bu sayede hedef sunucunun session havuzu dolacak ve en sonunda istemcilere cevap veremeyecek duruma gelecektir.

Peki şimdi gelelim FortiWeb üzerinde bu saldırıyı nasıl engelleyeceğimize.

1-    Fortiweb üzerinde Bot Mitigation Paneline girilir.

2-  Threshold Based Detection sekmesine girilir.

3-   Create New Butonuna Basılır

4-    Açılan panelde ayarlarımızı yapacağız.

Name = Threshold Based Detection kuralına vereceğiniz isimdir.

Slow Attack Detection = Slow attacklar için işlem yapacağımız için enable duruma getirilir.

HTTP Transaction TimeOut= Http isteklerinin ne kadar süre işleneceğinin belirleneceği değerdir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) session sonlana kadar devam edecek anlamına gelecektir.

Packet Interval Timeout = Sunucu veya İstemci tarafından gelen paketler arasındaki zaman aşımı değeridir. Default değeri 0 (sıfır) ‘dır. 0 (sıfır) paketlerin gönderilene veya alınana kadar devam edecek anlamına gelecektir.

 Occurrence = HTTP response tiplerinin değişkenlerini tanımlamaktadır.

Within (Seconds) = Slow saldırı olaylarının ne kadar süre sürdüğünde algınlaması gerektiğinin belirtildiği değerdir. Bu değer saniye cinsinden belirlenmektedir.

 Action = Detect olan saldırının ne yapılacağı durumdur. 

Alert = Yaşanılan olayın herhangi bir işlem yapılmadan monitor (log) edilmesine yarayan action’dır

 Alert&Deny = Yaşanılan olayın Blocklanmasını ve Log edilmesini sağlamaktadır.

 Deny = Yaşanılan olayın Blocklanmasını fakat loglanmamasına yarayan action’dır

Period Block = Yaşanılan olayın Periyodik olarak Blocklanmasına yaşayan action’dır.

 Severity = Bu kurala match eden olayların hangi seviyede değerlendireceğini belirlemektedir.

Trigger Policy = Bu kurala match eden bir olay yaşandığında sizin isteğinize bağlı olarak sistem yöneticisine mail at gibi işlemlerin yapıldığı alandır.

Şimdi tüm alanlarımızı tanıdığımıza göre gelelim kuralımızı yazmaya.

Not: Aşağıda oluşturduğum değerler daha önceden yaklaşık 2 hafta monitör ettikten sonra sistemin en stabil çalıştığı değerlerdir. Bu değerler her sisteme göre farklılık göstermektedir. LÜTFEN BEST PRACTİCE OLARAK DEĞERLENDİRMEYİNİZ!!!

 Sizlere tavsiyem kuralı Alert Modda açarak 2 hafta izlemeniz sonucu değerleri belirlemenizdir.

5-    Gerekli değerleri tamamladıktan sonra Ok butonuna tıklayarak politikamızı yazmış oluyoruz.

Şimdi gelelim bu politikayı bir web protection profile ‘a match etmeye…

Slow Detection Politikasının Web Protection Profile’a eklenmesi Nasıl Yapılır?

1- Policy seklemesine girilir

2- Web Protection Profile sekmesine girilir.

3- Politikayı eklemek istediğiniz Protection profile seçilir ve Edit edilir.

4- Bot Mitigation alanında yeni oluşturmuş olduğumuz politika seçilir ve save edilir.

Artık Slow saldırılardan korunuyorsunuz.

Okuduğunuz için teşekkür ederim… Umarım sizlere yararı olur…

Özen ÖZER