Saldırı Önleme Sistemi (IPS), ağ saldırılarını algılar ve tehditlerin korunan cihazlar da dahil olmak üzere ağı tehlikeye atmasını önler. IPS, bağımsız bir cihaz veya FortiGate gibi Yeni Nesil Güvenlik Duvarı’nın (NGFW) özellik setinin bir parçası olabilir. IPS, bilinen ve bilinmeyen sıfırıncı gün tehditlerinin istismarını önlemek için imzaları, protokol kod çözücülerini, sezgisel yöntemleri (veya davranışsal izlemeyi), tehdit istihbaratını (FortiGuard Labs gibi) ve gelişmiş tehdit tespitini kullanır. FortiGate IPS, saldırganlardan gelen tehditleri tespit etmek ve önlemek için şifrelenmiş yükleri taramak üzere derin paket incelemesi bile gerçekleştirebilir.
Profesyonel iş ortağı ve danışmanınız için; destek@kolayteknoloji.com
IPS profilleri uygulanırken Fortinet, sensörün koruduğu ortamı yansıtacak şekilde ayarlanmasını önerir. Bu, yalnızca koruması amaçlanan hizmetler ve cihazlarla eşleşen imzaları seçmeyi ve seçili anomaliler için eşikleri ortamınıza uyacak şekilde ayarlamayı içerir. |
Ağlar ve cihazlar genellikle güvenlik açıkları aracılığıyla istismar edilir. Yazılım güvenlik açıkları, koddaki bir hatanın veya içsel zayıflığın saldırganlara yazılıma erişim sağlama fırsatı sağladığı bir örnektir. Daha ciddi güvenlik açıkları yetkisiz erişime, veri kaybına ve kötü amaçlı kod yürütülmesine izin verir. Bu güvenlik açıklarının istismarı makineye zarar verebilir ve başkalarını enfekte edebilir. En iyi çözüm, yamalar kullanılabilir olur olmaz güvenlik açıklarını yamalamak olsa da, IPS imzaları, ağa girmeden önce birçok güvenlik açığının istismarını tespit etmek ve engellemek için bir çözüm sunar.
Güncellenmiş IPS tanımlarını indirebilmek için, IPS taraması olan bir güvenlik profiline sahip en az 1 politikanın etkinleştirilmesi gerekir. |
Fortinet’in çözümü, en son tehditleri belirlemek ve ağınıza girmelerini önlemek için FortiGuard Labs’ın sektör lideri tehdit istihbaratını FortiGate NGFW ile birleştirir. IPS imzaları, en son korumayı sunmak için bu tür bir yöntemdir. FortiGuard Labs, her gün milyarlarca olayı analiz etmek için AI ve Makine Öğrenimini (ML) kullanır. FortiGuard Labs araştırma ekibi ayrıca yeni güvenlik açıklarını ve istismarları keşfetmek için proaktif olarak tehdit araştırması gerçekleştirir ve bu tür tehditleri belirlemek için imzalar üretir. Bu IPS imzaları her FortiGate’e günlük olarak iletilir, böylece IPS motoru en son tehditlerle eşleşmesi için en son veritabanlarıyla donatılır.
FortiGate IPS sensörü, IPS sensörü uygulandığında IPS motorunun tarayacağı kapsamı tanımlayan bir IPS imzaları ve filtreleri koleksiyonudur. Bir IPS sensöründe birden fazla imza ve/veya filtre seti bulunabilir. Bir IPS imza seti, elle seçilen imzalardan oluşurken, bir IPS filtre seti hedef, önem derecesi, protokol, işletim sistemi ve uygulama gibi imza niteliklerine dayalı filtrelerden oluşur. Her imzanın önceden tanımlanmış nitelikleri ve engelleme, izin verme, izleme (geçme), karantinaya alma ve sıfırlama gibi bir eylemi vardır. Ayrıca bir IPS sensörüne uygulanacak özel IPS imzaları oluşturmak da mümkündür.
Güvenlik Profilleri > Saldırı Önleme bölmesinden yeni IPS sensörleri oluşturabilir ve önceden tanımlanmış sensörlerin listesini görüntüleyebilirsiniz.
Profesyonel iş ortağı ve danışmanınız için; destek@kolayteknoloji.com
FortiOS, ilişkili önceden tanımlanmış imzalara sahip aşağıdaki önceden tanımlanmış IPS sensörlerini içerir:
Önceden tanımlanmış IPS sensörleri | Tanım |
tüm_varsayılan | Tüm önceden tanımlanmış imzaları filtreler ve eylemi imzanın varsayılan eylemine ayarlar. |
tüm_varsayılan_geçiş | Tüm önceden tanımlanmış imzaları filtreler ve eylemi geçir/izle olarak ayarlar. |
varsayılan | Kritik/Yüksek/Orta önem derecesine sahip tüm önceden tanımlanmış imzaları filtreler. Eylemi imzanın varsayılan eylemine ayarlar. |
yüksek_güvenlik | Kritik/Yüksek/Orta öneme sahip tüm önceden tanımlanmış imzaları filtreler ve eylemi Engelle olarak ayarlar. Düşük öneme sahip imzalar için eylemi imzanın varsayılan eylemi olarak ayarlar. |
istemciyi_koru | . filtrelemesi ile istemci tarafındaki güvenlik açıklarına karşı koruma sağlar Target=Client. Eylemi imzanın varsayılan eylemine ayarlar. |
e-posta_sunucusunu_koru | Target=Serverve Protocol=IMAP, POP3veya üzerinde filtreleme yaparak e-posta sunucusu tarafındaki güvenlik açıklarına karşı koruma sağlar SMTP. Eylemi imzanın varsayılan eylemine ayarlar. |
http_sunucusunu_koru | HTTP sunucu tarafındaki güvenlik açıklarına karşı Target=Serverve üzerinde filtreleme yaparak koruma sağlar Protocol=HTTP. Eylemi imzanın varsayılan eylemine ayarlar. |
wifi-varsayılan | Kritik/Yüksek/Orta önem derecesine sahip tüm önceden tanımlanmış imzaları filtreler. Eylemi imzanın varsayılan eylemine ayarlar. WiFi trafiğini boşaltmak için profilde kullanılır. |
Yeni güvenlik açıkları keşfedildiğinde ve FortiGuard ekibi bunlarla eşleşen imzalar oluşturduğunda öncelik kötü amaçlı trafiği eşleştirmek ve imzayı mümkün olduğunca çabuk yayınlamaktır. Sonuç olarak, imzalar başlangıçta daha geniştir ve zamanla rafine hale gelir, bu arada bazı yanlış pozitiflere neden olur. Bu nedenle, imzalar genellikle bir geçiş eylemiyle yayınlanır.
Potansiyel yanlış pozitiflerle koruma ve kullanılabilirlik arasındaki dengeyi belirlemelisiniz. Yanlış pozitiflerin daha yüksek bir güvenlik seviyesi sağlamak için kabul edilebilir olduğu durumlarda high_security IPS sensörü (veya Medium/High/Critical varsayılan eylemini geçersiz kılan herhangi bir özel sensör) kullanılmalıdır.
Tehditlere ve güvenlik açıklarının istismarına karşı koruma sağlamanın yanı sıra, IPS motoru ayrıca saldırganların dağıtılmış sistemlerden gelen trafikle hedefi boğarak bir hizmeti çökertmeye çalıştığı Hizmet Reddi (DoS) saldırılarını azaltmaktan da sorumludur. Anormallik tabanlı savunmayı kullanarak FortiGate çeşitli L3 ve L4 anormalliklerini tespit edebilir ve bu saldırılara karşı önlem alabilir. Bu, DoS politikası altında ayrıntılı olarak ele alınan IPv4 ve IPv6 DoS Politikaları altında yapılandırılabilir .
Profesyonel iş ortağı ve danışmanınız için; destek@kolayteknoloji.com