Hocam Selam…
Sizlere bu yazımda Firewall ürünlerinde gözden kaçan fakat çok önemli ve devreye alınmasını önerdiğim “DOS Policy / DOS Protection” kavramlarına bir dostunuz olarak acı durumlar olmadan önlem alınması için bilgiler vermeye çalışacağım.
DOS/DDOS atak tipleri başlıkta da belirttiğim gibi acı durumlar ortaya çıkaran, kurumları büyük ölçüde etkileyen atak tiplerindendir. Önlem olarak ISP ve kurumların kendi aldıkları DOS ve DDOS cihazları ile bu atakları engellemeye çalışmaktadır. Fakat pentest hizmetleri alındığında ve performans testlerinde özellikle UDP DOS/DDOS ataklarında bu hizmetlerin yükün miktarına cevap veremez hale geldiğini gözlemliyoruz.
DDOS koruma üreticileri önde gelen Arbor, F5,FortiDDOS, Barracuda, ChekPoint DDOS Protector…. gibi ürünler appliance olarak kurumlarda kullanılıyor. Günümüzde Cloud yaygınlaşmasıyla CDN mimarisi ile kuruma bir cihaz alana kadar cloud ortamlarda public hizmetlerini korumak adına CloudFlare, Amazon, Azure, Akamia gibi bir çok üretici çözüm sağlamaktadır. Bu ataklardan tam anlamıyla pürüzsüz kuruturulum durumunu göremedim fakat büyüklüğüne göre elimizdeki ürünler ile engellemek Network Adminlerinin farkındalığını artıracaktır.
Son yıllarda Siber-Atakların artık devletlerin desteklediği ve artık bir “Siber Savaş” anlamlarının yüklendiği zamanlardayız. Türkiyedeki internet bandwith altyapılarının yetersizliği artık yavaş yavaş düzeltilmeye başlandı fakat gözlemlediğim kurumların internet hizmetlerinin fiyat pahalılığından hızlarını artıramamasıdır. Herkesin bildiği 2015 yılında Türkiyeye gerçekleşen DDOS atağın Bankacılık ve Devlet kurumlarını çalışamaz hale geldiğini hatırlıyoruz. Bu atağın 200Gbps olduğu söylentileri düşünülürse dünyadaki internet altyapı sıralamamızın aşağıda olduğunu rahatlıkla görebiliriz. Dünya nezdinde ise aşağıdaki DDOS atak örneklerine görede aynı sonuca çıkabiliriz.
1. GitHub Saldırısı (2018)
- Bant Genişliği: 1.35 Tbps
- GitHub, 2018’de tarihteki en büyük DDoS saldırılarından birine maruz kaldı. Saldırıda Memcached amplification (büyütme) tekniği kullanılmıştır. Memcached, genellikle veri hızlandırması için kullanılan bir hizmettir, ancak saldırganlar bu servisi kullanarak trafik hacmini büyük ölçüde artırdı.
- GitHub’ın güçlü saldırı hafifletme (mitigation) teknikleri sayesinde saldırı yaklaşık 20 dakika içinde kontrol altına alındı, ancak bu kısa sürede bile hizmet kesintisi yaşanmıştır.
2. Dyn Saldırısı (2016)
- Bant Genişliği: 1.2 Tbps
- DNS sağlayıcısı Dyn, Mirai botnet tarafından düzenlenen büyük çaplı bir DDoS saldırısına uğradı. Mirai, zayıf güvenlik ayarlarına sahip IoT cihazlarını ele geçirerek oluşturulmuş bir botnet atağıdır. Saldırı, popüler web siteleri olan Twitter, Netflix, Reddit, GitHub, CNN ve PayPal’ın erişilemez hale gelmesine neden oldu.
- Bu saldırı, IoT cihazlarının güvenlik zafiyetlerine dikkat çekti ve birçok servis gün boyu erişim sorunları yaşadı.
3. Google Saldırısı (2017)
- Bant Genişliği: 2.54 Tbps
- Google, 2017’de tarihin en büyük DDoS saldırılarından birine maruz kaldı. Saldırı, dört yıl sonra 2020’de Google tarafından kamuoyuna açıklandı. Saldırganlar, Google’ın altyapısına büyük bir trafik göndererek hizmet kesintisi yaratmaya çalıştı.
- Sonuç: Google’ın güçlü altyapısı sayesinde saldırı kontrol altına alındı. Bu saldırı, tarihin bilinen en büyük DDoS saldırısı olarak kayıtlara geçti.
DOS/DDOS Nedir?
Günümüzde siber saldırılar, özellikle DoS (Denial of Service – Hizmet Engelleme) saldırıları, internet üzerinden hizmet veren kurumlar ve ağ yöneticileri için büyük bir tehdit oluşturmaktadır. DoS saldırıları, bir sistemi veya ağı aşırı trafik yükü altında bırakarak hizmet veremez hale getirmeyi amaçlar. Güçlü güvenlik duvarları, bu tür saldırılara karşı kapsamlı koruma sağlar.
Bu makalede de Fortigate ve PaloAlto DoS saldırılarına karşı sunduğu çözümleri derinlemesine inceleyeceğiz.
DoS Saldırı Türleri
1. Flood Saldırıları: Flood saldırıları, hedef sisteme çok sayıda istek göndererek bant genişliğini doldurmayı ve sistemin işlevini yitirmesini hedefler. Bu saldırılar genellikle UDP, TCP SYN, ICMP (ping) gibi protokoller kullanılarak gerçekleşir.
- SYN Flood: Saldırgan, hedefe sahte IP adreslerinden sürekli SYN paketleri gönderir. Hedef, bu paketlere yanıt olarak SYN-ACK gönderirken sistem kaynakları tükenmektedir.
- UDP Flood: Hedefe aşırı miktarda UDP paketi gönderilerek ağ trafiği boğulur ve hedef hizmet veremez hale gelmektedir
2. ICMP Flood (Ping of Death): Bu tür saldırılar, büyük boyutlu ICMP (ping) paketleriyle sistemi etkisiz hale getirmeyi amaçlar. Aşırı ping isteği, sistem kaynaklarını tüketerek ağın çökmesine neden olmaktadır.
**** Buraya kadar her şey bilindik hocam diyorsunuzdur, şimdi bizler elimizdeki ürünleri ile neler yapabilirize bakalım;
Fortigate Firewall DOS Policy Nasıl Yapılır?
Fortigate’in DoS Koruma Mekanizmaları
Fortigate, DoS saldırılarına karşı bir dizi gelişmiş koruma mekanizması sunar. Bu mekanizmalar, hem ağ performansını korur hem de saldırılara karşı hızlı tepki verir. İşte bazı anahtar özellikler:
1. Threshold-Based Protection (Eşik Tabanlı Koruma)
2. Anomaly Detection (Anomali Tespiti)
3. Rate Limiting (Hız Sınırlaması)
4. Session Limitations (Oturum Sınırlamaları)
Fortigate DoS Protection Ayarları Nasıl Yapılır?
Öncelikle Dos-Policy yazabilmemiz için system>>feature visibility nin altında “DoS Policy” açılması gerekir.
Firewall Policy altında IPV4 DOS Policy altından, Creat new diyerek kuralımızın nerden gelecek paketlere göre monitör etmesini sağlayabiliriz. Burda all all all seçebilirsiniz.
Aşağı taraflarda ise” L3 – L4 Anomalies” leri göreceksiniz. Burada bazı eşik değerleri kullanarak. Bloklama ve Monitör edebilirisiniz. Bu L3 ve L4 bildiğiniz üzere OSI katmanlarındaki karşılıklar.
L3 Ataklar (Network Layer – Ağ Katmanı)
L3 atakları, OSI modelinin ağ katmanında gerçekleşir ve genellikle IP tabanlı saldırılar olarak bilinir. Bu saldırılar, doğrudan IP paketlerini hedef alarak ağın bant genişliğini aşırı yüklemek veya ağ kaynaklarını tükenmek amacı taşır.
- IP Flood (IP Paket Taşkını): IP flood, büyük miktarda sahte IP paketinin gönderildiği bir DoS saldırısı türüdür. Saldırgan, hedefe IP başlıklarını manipüle ederek sahte paketler yollar. Bu durum, ağ trafiğinde ciddi bir artışa ve hedef sistemin kaynaklarını tüketmesine yol açar.
L4 Ataklar (Transport Layer – Taşıma Katmanı)
L4 atakları, OSI modelinin taşıma katmanında gerçekleşir ve genellikle TCP veya UDP trafiğini hedef alır. Bu ataklar, bağlantıların oluşturulmasını ve veri iletimini bozmaya çalışır.
- TCP SYN Flood: Saldırgan, sahte IP adreslerinden sürekli olarak SYN (synchronize) istekleri gönderir. Hedef sunucu, bu isteklere yanıt vermeye çalışırken, açık bağlantılar için kaynak ayırır ve kısa sürede kaynak tükenmesi yaşar.
- UDP Flood: Hedefe çok sayıda UDP paketi göndererek sistemin veya ağın bant genişliğini dolduran bir saldırı türüdür. Bu tür ataklar genellikle çok yüksek bant genişliği kullanımı gerektirir.
- ICMP Flood (Ping Flood): Aşırı miktarda ICMP echo request (ping) paketi göndererek hedefin bant genişliğini tüketmeye yönelik bir saldırıdır.
Burada önemli olan “Logging” açmaktır, kuralların logunu görebilmeniz için. Eşik değerlerini kendi kurum yapınıza göre dönüştürebilirsiniz. Burdaki değerler önemlidir, olması gereken bir trafiğide engellemek istemezsiniz. Şöyle bir tiyo verebiliirim örneğin port_scan lerin değerlerini düşürebilirisiniz. Size WAN dan gelen tek bir IP aynı anda 100 farklı portunuza gelmez,burda bir port taraması yapan bir vatandaş olabilir.
Önemli: BTK nın IP bloklarını exclude etmeniz gerekebilir, çünkü size yazılı olarak istek gönderir. BTK zafiyet taramaları yapmaktadır.
Burda hemen bir Kali üzerinden hping3 ile sync_flood ve port_scan yaparak testimizi de yapalım;
Loglarda da görüldüğü gibi atak tipini anlayıp bloklandığını gözlemleyebildik.
PaloAlto DoS Policy Nasıl Yapılır?
PaloAlto DoS Koruma Mekanizmaları
1. Flood Protection (Taşkın Koruma)
2. Resource Protection (Kaynak Koruma)
4. Aggregate vs. Classified DoS Protection
Palo Alto, iki temel DoS koruma yaklaşımı sunar:
- Aggregate DoS Protection: Bu koruma tipi, belirli bir trafiğin tamamına yönelik genel koruma sağlar. Tüm kaynaklardan gelen toplam trafik miktarına göre eşik değerleri belirlenmektedir. Ağ genelinde trafik aşırı yüklenmeye başladığında devreye girer.
- Classified DoS Protection: Bu yaklaşım, bireysel IP adreslerine veya gruplarına karşı daha ince ayarlı koruma sağlar. Belirli IP adreslerinden gelen anormal trafik, sınıflandırılarak filtrelenmektedir. Bu, belirli saldırı kaynaklarını daha etkili bir şekilde hedef almak için kullanılmaktadır.
5. SYN Cookies
6. Random Early Drop (RED)
7. Rate Limiting (Hız Sınırlandırma)
8. Botnet Algılama ve Önleme
PaloAlto DoS Protection Ayarları Nasıl Yapılır?
Öncelikle PaloAlto arayüzümüzde Object>>Dos Protection kısmında profilimizi oluşturuyoruz. Burda verdiğimiz profil ismini Policy kısmında kullanacağız.
Sonrasında Syn Flood, UDP Flood ve Other Flood sekmelerini enable ediyoruz.
Resources Protection, Cihaz kaynaklarının aşırı yüklenmesini önlemek için çeşitli kaynak yönetimi özellikleri içerir. Bir kaynaktan belirli bir zaman diliminde çok fazla bağlantı isteği geldiğinde, bu bağlantılar otomatik olarak kısıtlanmaktadır. Bu, oturumlar üzerinden yapılan DoS saldırılarını önlemek için etkilidir.
Profilimizi oluşturduğumuza göre Policy kısmına geçebiliriz.
Yine WAN tarafından LAN tarafına yapılan trafiklerde Anomalileri tespite göre kurgumuzu yapıyoruz.
DoS rule içerisinde Action>> Deny seçebiliriz Aggregate ve Profil sekmelerinden oluşturduğumuz profili seçebiliriz. Burda yine port kısıtını Any olabilir ben farklılık olması için http/https servislerini seçiyoruz.
Yine Kali üzerinden bu sefer udp_port_scan atak gerçekleştirdiğimizde PaloAlto log ekranıda aşağıdaki gibi bizi karşılamaktadır.
Buraya kadar okuduysanız teşekkür ederim.
Sorularınız olması durumunda her zaman iletişim sağlayabiliriz.
Herkese kesintisiz günler dilerim…..
HAP Bilgi Severim…. : Bu olayın mühendislik boyutunada istersek. Aşağıdaki resimdeki gibi DOS Policy Firewall ürünlerinde PacketFlow akışına baktığınızda ilk uğradığı yer interface sonra TCP/IP sonra DOS Policy. Buradan şunu rahatlıkla anlarım ki DOS Policy de engellediğim IP benim ASIC mimarideki NPU yapımı CPU yapımı hiç yormaz. Neden…. çünkü paketleri IPS, Antivirü motorlarına sokmuyorum, NAT kuralına sokmuyorum, bir firewall kuralına hit ettirmiyorum, bir SSL/Inspection uğramadığından anlayabiliyorum. Böylece performans kazanımım da üst seviyeye çıkartmış oluyoruçok teşekkürler
Buraya kadar okuyanlar gerçek gurmedir 🙂 teşekkürler