آموزش پیکربندی IPS در فورتی گیت (FortiGate) + فیلم

یکی از ماژول های مهم موجود در UTMهای فورتی گیت ماژول IPS می باشد. به واسطه این ماژول حملات زیادی در لبه شبکه قابل کنترل و بررسی است. بنابراین نحوه پیکربندی و اعمال تنظیمات این ماژول در فورتی گیت از اهمیت بسزایی برخوردار است. همچنین نحوه امضانویسی (Signature) این ماژول جهت جلوگیری از حملات احتمالی مهم می باشد.

در ادامه یک سناریوی تست و کلی که در اکثر سازمان های مهم و بزرگ مورد استفاده قرار می گیرد، پیاده سازی شده است و IPS به عنوان یک ماژول واسط کنترل های لازم روی درخواست های ارسالی را انجام می دهد. گام های زیر برای انجام سناریوهای تست اجرا می شود.

1. overview model
2. set ip addr on systems
3. set ips on fortigate and configuration ips rule
4. send packet from machines
5. monitor actions on fortigate

در این سناریو دو ماشین لینوکسی در دو طرف IPS قرار گرفته اند و از این ماشین ها درخواست های صادر می شود و IPS براساس امضای که دارد  درخواست ها را مسدود (Block) یا اجازه (Allow) می دهد. هر کدام از این ماشین های لینوکسی می توانند حکم سرور و ماشین دیگر نقش کلاینت یا کاربر درخواست کننده را داشته باشند. این سناریو غالبا در اکثر وب سرویس ها و شبکه ها مورد استفاده قرار می گیرد.

در این سناریو برای IPS ابتدا تعریف شده است درخواست هایی که از IPv4 استفاده می کنند مسدود شود و سایر درخواست ها اجازه عبور داشته باشند. همچنین در سناریوی تست دوم برای IPS قانونی تنظیم شده که همه درخواست های ICMP که از پروتکل IPv4 بهره می برند مسدود و سایر درخواست هایی که از پروتکل های دیگر مثل TCP، UDP و غیره استفاده می کنند اجازه عبور داشته باشند. شما نیز می توانید سناریوهای تست بیشتری براساس امضاها و قوانینی که در ادامه مشاهده می کنید، اجرا نماید.

همانطور که در قسمت قبل اشاره شد، امضانویسی یا قانون نویسی برای IPSها خیلی اهمیت دارد و امروزه اکثر IPSها ساختاری شبیه IPS-Snort برای امضانویسی دارند. ساختار برخی از امضاهایی که برای IPS فورتی گیت مورد استفاده قرار می گیرد عبارتنداز:

IPv4)
F-SBID(–name “IPv4_Version”; –ipver 4;)
F-SBID(–name “IP.Total_Length”; –ipver 4; –ip.total_length = 84;)
F-SBID( –name “IPv4_ID”; –ipver 4;–ip_id 22333;)
F-SBID( –name “IPv4_Flags”; –ipver 4; –ip.flags=0x02;)

IPv6)
F-SBID(–name “IPv6_Version”; –ipver 6;)
F-SBID( –name “IPv6_Hop_Limit”; –ipver 6; –ip6.hop_limit !=10;)
F-SBID( –name “IPv6_Hop”; –ipver 6; –ipv6h 58;)
F-SBID(–name “IPv6_Addr”; –ipver 6; –src_addr 3011:0db8:0002; –dst_addr 3111:0db8:0002;)

ICMPv4)
F-SBID(–name “ICMP_Type”; –ipver 4; –protocol icmp; –icmp_type 13;)
F-SBID( –name “ICMP_Code”; –ipver 4; –icmp_code 0;)
F-SBID(–name “ICMP_Checksum”; –ipver 4;–protocol ICMP; –icmp.checksum !=0xab1d;)

نسخه کامل ساختار امضانویسی در IPS فورتی گیت : custom-ips-application-control-signature-syntax

معماری کلی برای تست سناریوها :


فیلم نحوه پیکربندی و اعمال سناریوهای تست :

 

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.