Merhaba bu yazımız da sizlere FortiOS 6.2‘de dışardan alacağımız zararlı bağlantı listelerini nasıl firewall cihazımızla entegre edeceğimizi ve kurallarda nasıl kullanacağımızı göstereceğiz. Fortiguard servisleri her ne kadar zaralı içerikli siteleri engellese de yeni açılan bazı siteler doğru kategoride olmadığında kullanıcılarımız için tehlikeli olabilir. Biz de bu yüzden ülkemizdeki USOM(Ulusal Siber Olaylara Müdahale Merkezi) listesini kullanarak zararlı bağlantılara erişimin şirketimiz içinden engellenmesini sağlayacağız. USOM bu liste ile kendi yakaladığı veya gelen ihbarlar sonrasında eklediği zararlı içerikleri olan siteleri bizimle paylaşmaktadır.
Adım 1 : Fabric Connectors altından yeni bir Threat Feeds ekleme
Öncelikle firewall cihazımız da oturum açtıktan sonra, Security Fabric altında Fabric Connectors alanına geliyoruz.
Resim-1
Fabric Connectors altından Create New diyerek Threat Feeds altından Domain Name ‘i seçerek devam ediyoruz. Burada eğer eliniz de bir IP listesi var ise onu da bu şekilde sisteme ekleyebilirsiniz.
Resim-2
Karşımıza gelen ekranda ilgili alanları dolduruyoruz.
Resim-3
Yeni ekleyeceğimiz Fabric Connector için bir isim belirliyoruz. Daha sonra URI of external resource alanına bu verileri hangi adres üzerinden alacak isek , bu alana o adresi yazıyoruz. Biz USOM zararlı bağlantı listesini kullanacağız.
USOM Zararlı Bağlantı Listesi : https://www.usom.gov.tr/url-list.txt
Ekleyeceğimiz adreste bir doğrulama işlemi gerekiyor ise http basic authentication alanından bu bilgileri dolduruyoruz. Son olarak da bu verilerin kaç dakika da bir güncelleneceğini belirliyoruz. Ok tuşuna basarak işlemi tamamlıyoruz.
Resim-4
Listeyi eklediğimiz de sol alt kısımdan erişim olup olmadığını görebiliriz. Eğer bağlantımız geçerli oldu ise sağ alt kısımdaki alan yeşil olmaktadır.
Resim-5
Adım 2 : Listeyi kontrol etme
Listemizi sisteme ekledikten sonra Domain Name Threat Feed de eklediğimiz alana sağ tıklayıp Views Entries alanına gelerek listemizin içindeki site adreslerini görebiliriz.
Resim-6
Resim-7
Bu alanda geçerli ve geçerli olmayan adresleri görebiliriz. Biz domain name olarak ekleme işlemi yaptığımız için domain name bilgisi haricinde gelen veriler invalid olarak gözükmektedir. Sadece IP adresleri olan listeyi de IP address olarak aynı şekilde ekleyebiliriz.
Adım 3 : DNS Filter da eklediğimiz listeyi kullanma
Listemizi ekledikten sonra kurallarımız da kullandığımız veya yeni oluşturacağımız kurallar için DNS Filter ayarlarını yapmamız gerekmektedir. Biz örneğimiz de varsayılan olarak yapılandırılmış olan dns filter da bu listeyi aktif edeceğiz. Bu işlemi yapmak için Security Profiles menüsü altından DNS Filter’a geliyoruz. Ve varsayılan profili düzenle diyerek ilgili alanı aktif ediyoruz. Bizim eklediğimiz DNS listesi kategori bazlı alanda remote categories altında gözükmektedir. Burada action alanında Redirect to block portal seçeneğini aktif ediyoruz. Ok tuşuna basarak işlemi tamamlıyoruz.
Resim-8
Adım 4 : Kuralda USOM listesini kullanma
Bu listeyi mevcut bir kuralda kullanabileceğimiz gibi yeni bir kural da yazabiliriz. Biz örneğimiz de mevcut kuralda kullanacağız. Bu işlemi yapmak için Policy & Objects altından IPv4 Policy alanına gelip mevcut kuralımızı seçip edit butonuna basarak düzenlemeye geçiyoruz.
Resim-9
Kuralımız da Security Profiles altından DNS Filter alanını aktif edip düzenlediğimiz security profilini seçerek aktif ediyoruz. Daha sonra ok tuşuna basarak kuralımızı kayıt edip çıkıyoruz. Böylece USOM zararlı bağlantılar listesini cihazımıza entegre edip kurallarımız da nasıl kullanacağımızı görmüş olduk.
Aynı işlemi IP bazlı da yapabilirsiniz. IP bazlı yaptığınız da ise yeni bir kural oluşturup destination alanında bu listeyi kullanarak engelleme yapabilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org
TAGs: Fortigate, Fortigate usom entegrasyonu, Fortigate harici domain listesi engelleme, Fortigate External Block list