Fortigate ile USOM Zararlı Bağlantılar Listesini Engelleme
Fortigate ile USOM Zararlı Bağlantılar Listesini Engelleme
Merhabalar, 2018 yılının Mart ayında Fortinet’in yayınlamış olduğu Fortigate FortiOS 6.0 versiyonu ile birçok yeni özellik Fortigate firewallara entegre oldu. Bu özelliklerden, belki de en önemlilerinden bir tanesi olan USOM (Ulusal Siber Olaylara Müdahale Merkezi) bağlantısı Fortigate firewallara eklendi. Fortiguard servisleri her ne kadar zararlı içerikli siteleri engellese de özellikle yeni açılan bazı siteleri engelleyememektedir. Bu sitelerin doğru kategoride olmaması son kullanıcılar için tehlikeli olabilir. USOM, düzenli olarak zararlı içerik barındıran URL adresleri kara liste olarak güncel şekilde yayınlanmaktadır. Bu liste ile tespit edilen ya da gelen ihbarlar sonrasında zararlı içerikleri olan siteleri biz bilgi yöneticileri ve son kullanıcılar ile paylaşmaktadır.
Fortigate firewalların USOM’a entegre olması güvenlik anlamında bilgi yöneticilerine ve son kullanıcılara büyük bir kolaylık sağlamaktadır.
Fortigate Firewall ile USOM Bağlantısı Nasıl Sağlanır?
Fortigate firewallda öncelikle FortiOS versiyonunuzun 6.0 ve üzeri olması gerekmektedir. Security Fabric altında Fabric Connectors alt menüsüne geliyoruz.
Resim 1
Fabric Connectors altından Create New diyerek Threat Feeds altından “FortiGuard Category” seçerek devam ediyoruz.
Resim 2
Fabric Connector için bir isim belirliyoruz. Örneğin ben USOM_Blacklist ismini tanımladım. Daha sonra “URI of external resource” alanına USOM zararlı bağlantı listesini içeren adresi yazıyoruz.
USOM Zararlı Bağlantı Listesi : https://www.usom.gov.tr/url-list.txt Bir doğrulama işlemi gerekiyor ise “HTTP basic authentication” alanından bu bilgiler doldurulur. USOM için bir doğrulama işlemi gerekmemektedir. O yüzden HTTP basic authentication kısmı kapalıdır. Son olarak da bu verilerin kaç dakika da bir güncelleneceğini belirliyoruz. Ok tuşuna basarak işlemi tamamlıyoruz.
Resim 3
Oluşturmuş olduğumuz kara listeye tıklayıp içerisine girebilir, Last Update kısmında en son ne zaman başarıyla güncellendiğini görebilir ya da “View Entries” butonuna tıklayarak USOM’dan başarıyla çekilebilen Url’leri görebilirsiniz.
Tanımlama sonrasında son olarak oluşturmuş olduğumuz USOM_Blacklist listesini Security Profiles > Web Filter altına gelerek kullanacağımız Web Filter profilde yasaklamamız gerekmektedir.
Resim 4
Umarım sizler için faydalı bir makale olmuştur. Bir sonraki makalede görüşmek üzere.
Merhaba,
Fortigate text içindeki kayıtları 131.072 adet ile sınırlandırıyor. Bu adetten sonrasını kabul etmiyor bunu aşmak için ne yapabiliriz?
Aşağıdaki powershell script ile içeriği ip-domain-url şeklinde bölüp web sunucunuz üzerinden ayrı kaynaklar olarak ekleyebilirsiniz.
$url=”https://www.usom.gov.tr/api/address/index”
$criticality_level = 5;
$dataip=””;
$datadom=””;
$dataurl=””;
$pageCount = 1;
$folderpath=”C:\inetpub\wwwroot”;
#Create IP list
for($clindex = $criticality_level; $clindex -le 10;$clindex++)
{
# get first page with pagecount and add to data
$params = @{type = “ip”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,models, page, pageCount
$pageCount = $response.pageCount;
foreach ($model in $response.models){
$dataip += $model.url + “`n”;
}
Start-Sleep -Seconds 3
if($pageCount -gt 1){
#get other pages
for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
$params = @{type = “ip”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
foreach ($model in $response.models){
$dataip += $model.url + “`n”;
}
Start-Sleep -Seconds 3
}
}
}
$dataip | Out-File -Encoding “UTF8” -FilePath $folderpath\iplist.txt
#Create Domain list
for($clindex = $criticality_level; $clindex -le 10;$clindex++)
{
# get first page with pagecount and add to data
$params = @{type = “domain”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,page, pageCount, models
$pageCount = $response.pageCount;
foreach ($model in $response.models){
$datadom += $model.url + “`n”;
}
Start-Sleep -Seconds 3
if($pageCount -gt 1){
#get other pages
for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
$params = @{type = “domain”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
foreach ($model in $response.models){
$datadom += $model.url + “`n”;
}
Start-Sleep -Seconds 3
}
}
}
$datadom | Out-File -Encoding “UTF8” -FilePath $folderpath\domainlist.txt
$datadom | Out-File -Encoding “UTF8” -FilePath $folderpath\domainplusurllist.txt
#Create URL list
for($clindex = $criticality_level; $clindex -le 10;$clindex++)
{
# get first page with pagecount and add to data
$params = @{type = “url”; criticality_level = $clindex; page=0; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select totalCount,page, pageCount, models
$pageCount = $response.pageCount;
foreach ($model in $response.models){
$dataurl += $model.url + “`n”;
}
Start-Sleep -Seconds 3
if($pageCount -gt 1){
#get other pages
for($pindex = 1; $pindex -lt $pageCount; $pindex++) {
$params = @{type = “url”; criticality_level = $clindex; page=$pindex; ‘per-page’ = 5000}
$response = Invoke-WebRequest $url -Method Get -Body $params -UseBasicParsing | ConvertFrom-Json | Select models
foreach ($model in $response.models){
$dataurl += $model.url + “`n”;
}
Start-Sleep -Seconds 3
}
}
}
$dataurl | Out-File -Encoding “UTF8” -FilePath $folderpath\urllist.txt
Add-Content -Path $folderpath\domainplusurllist.txt -Value $dataurl
exit
Teşekkür ederim.
Sağlıkla kalın.
Merhaba,
FortiGate firewallarda dış kaynak miktarı maksimum 131.072 olacak şekilde tanımlıdır. Bu limit bir kaynak için olabilecek maksimum kayıt sayısıdır.
Burada 2 türlü çözüm olabilir;
1. Yeni bir dış kaynak daha açıp tanımlama yapmak,
2. Fortinet Support aracılığıyla ilgili talebin Fortinet mühendislerine bildirilmesi. Çıkacak yeni firmware versiyonda bu limitin artırımı sağlanabilir.
İyi çalışmalar.
Merhaba,
Keyifli okumalar.
Eline sağlık.
Eline sağlık
Uyguladım… Ellerinize sağlık… Teşekkürler…
Merhaba
Son versiyon da bu sınırlama yükseltildi mi acaba? (Versiyon 7)
Teşekkürler.
Merhaba,
7 versiyon için limit değeri aynı görülmekte. 131.072 en son valid count.
İyi çalışmalar.
Teşekkür ederim hızlı cevabınız için.