Forum
Cryptolocker için Fortigate v5.2 Konfigürasyonu ve Yapılandırması
Bu makalemizde sıkça rastlanan Cryptolocker
vb şifreleme yazılımlarına karşı alınabilecek temel önlemlerden
bahsedeceğiz. Bu tür fidye programlarının kötü niyetli kişiler açısından
başarılı sonuçlar vermesi, popülerliğinin artmasına sebep olmuş ve
sürekli yeni versiyonlarının yaratılmasına zemin hazırlamıştır.
Bu sebeple antivirüs
benzeri korumalar tek başlarına maalesef yetersiz kalmaktadır. Bu
yazılımlar genel olarak çalıştığı bilgisayardan internete çıkma ihtiyacı
duyarlar. Basitçe ele almak gerekirse kullandığı şifreleme yöntemini
hayata geçirmek için C&C (Command and Control)
sunucularına bağlanmaları gerekir. Bu iletişimi mümkün olduğunca
imkansız kılmak sistemimizin güvenliğini arttıracaktır. Aşağıdaki
makalemizde Fortigate firewall üzerinde güvenlik profilleri
oluşturulurken dikkat edilmesi gereken konfigürasyonları resimleri ile
aktarıyor olacağız. Güvenlik duvarı dışında gelişmiş tehdit tespiti
yapabilen FortiSandbox ve Fortimail gibi profesyonel anti-spam gateway ürünlerini kullanmak, sistem güvenliğini maksimum seviyelere yakınlaştıracaktır.
Ancak unutmamak
gerekir ki kullanıcı bilinci en önemli unsurdur. Güvenli olduğunu
düşündüğümüz bir sistemden dışarı çıkan taşınabilir bir bilgisayar,
zararlı yazılımları farklı internet hatları üzerinden edinip, lokal
ağımızda çalıştırabilir veya zararlı yazılım güvenlik sistemlerimizin
müdahale edemediği güvenli bir kaynaktan gelebilir.
FortiMail ile ilgili makale :
http://www.f1teknoloji.net/makaleler/fortinet-ile-ilgili-konular/122-fortimail-mail-server
FortiSandBox ile ilgili makale :
http://www.f1teknoloji.net/hizmetlerimiz/network-guvenlik-cozumleri/tehdit-onleme-fortisandbox-atp
1.Adım
Antivirüs profili yapılandırılması
Açıklama :
Antivirüs profili oluşturulurken “Detect Connections to Botnet C&C Servers” açık olduğundan emin olunmalıdır.
V5.0 versiyonlarında “Block Connections ot Botnet Servers” işaretlenmelidir.
2.Adım
Web Filter yapılandırılması
Açıklama :
Web filter yapılandırılmasında “Security Risk” Başlığı tamamıyla blocklanmalıdır.
Erişime açık siteler belirlenmişse ve yüksek kısıtlama mümkünse “Unrated” kategorisini blocklamak büyük ölçüde fayda sağlayacaktır.
Unrated Category : Fortigate tarafından tanınmayan kategorize edilmemiş web sitelerini içerir.
3.Adım
Application Control Yapılandırılması
Açıklama :
Application control profili yapılandırılırken “Botnet” kategorisi blocklanmalıdır.
4.Adım
Email Filter Yapılandırılması
Açıklama :
Telekom şirketleriyle mail alış verişi zorunlu değil ise yukarıdakine benzer kelime bazlı bloklamalar yapılabilir.
Mail sunucusu kurum içerisindeyse gelen mailleri bloklar , sunucu dışarıdaysa “Spam” olarak etiketleyip kullanıcıya gönderir.
5.Adım
Data Leak Prevention Yapılandırılması
Açıklama :
Zorunlu olmadıkça .exe , .bat vb. gibi zararlı olabilecek uzantılar engellenmelidir.
6. Adım
Ssl Inspection yapılandırılması
Açıklama :
Cihazın sertifikalı sayfalarda web taraması yapmasını sağlar.
Not : Oluşturulan tüm profiller ilgili kurallara işlenmelidir.
Murat Kapan'a emeği için teşekkürler
Birçok sistem yöneticisi arkadaşa rahat bir nefes aldıracak bu bilgi için teşekkürler hocam
Emeğinize sağlık.
Ek olarak genelde bu virüsler *.rar veya *.zip içerisinde gelmektedir. Ancak zip ve rar dosyalarının tamamını engellersek sanırım personel bizi topa tutar.
Bu yüzden bende DLP bölümünde exe ve bat formatlarının tamamını engellemeye ek olarak:
*ttnet*.rar, *ptt*.rar, *fatura*.rar (hiçbir fatura rar ile gelmez, pdf şeklinde gelir), *vodafone*.rar, *turkcell*.rar, *avea*.rar, *aras*.rar
şeklinde tüm fatura veya kargo bilgisi gelebilecek kurumların anahtar kelimelerinin rar ve zip versiyonlarını da DLP ile engelledim.
Ayrıca IPS bölümünde Client ve Server bazında Medium, High ve Critical seviyesindekilerin hepsini blokladım.
Emeğinize sağlık.
Ek olarak genelde bu virüsler *.rar veya *.zip içerisinde gelmektedir. Ancak zip ve rar dosyalarının tamamını engellersek sanırım personel bizi topa tutar.
Bu yüzden bende DLP bölümünde exe ve bat formatlarının tamamını engellemeye ek olarak:
*ttnet*.rar, *ptt*.rar, *fatura*.rar (hiçbir fatura rar ile gelmez, pdf şeklinde gelir), *vodafone*.rar, *turkcell*.rar, *avea*.rar, *aras*.rar
şeklinde tüm fatura veya kargo bilgisi gelebilecek kurumların anahtar kelimelerinin rar ve zip versiyonlarını da DLP ile engelledim.
Ayrıca IPS bölümünde Client ve Server bazında Medium, High ve Critical seviyesindekilerin hepsini blokladım.
Kayhan Hocam ;
Nasıl engellediğiniz konusunda bilgi rica edebilirmiyiz,
Savaş Hocam elinize sağlık, ben kısmende olsa bu sorunumu office 365 tarafında çözdüm, aşağıdaki linkte bulunan tüm domainleri engelledim. Kişisel mail hesaplarıyla ilgili olarak ise kısmetse makalenizden faydalanmış olacağım.
https://www.usom.gov.tr/zararli-baglantilar/1.html
Saygılarımla,
Öncelikle Savaş beyin de belirttiği gibi,
1. Anti-Virus taramasında "Detect Virus" ve "Detect Botnet" bölümlerini etkinleştirdim.
2. Web Filter da "Security Risk" ve "Unrated" kategorilerini blokladım.
3. Application Control bölümünde ise "Botnet" bölümünü blokladım.
4. Email Filter bölümünde sadece FortiGuard Spam bölümünü ve altındakileri aktifleştirdim. (ttnet ve türkcel vb. kurumlardan gerçekten fatura geldiği için black list yapmadım, ancak DLP bölümünde dosya taraması yaptım)
5. Tüm policylerde "SSL Inspection" bölümünü aktifleştirdim.
6. Client ve Sunucularda IPS bölümünde Medium, High ve Critical seviyesindeki tüm listeyi blokladım.
7. DLP bölümünde "File Types" olarak bat ve exe formatlarını engelledim. (exe indirmek isteyen bana gelsin diye uyarı mesajı verdim)
DLP bölümünde File Name Pattern ile zaten hiçbir fatura veya benzer bilgiler rar formatında gelmeyeceği için (her zaman PDF formatında veya link ile sayfaya yönlendirir) içinde fatura kelimesi geçen tüm rar ve zip dosyalarını engelledim. (*.fatura*.rar gibi)
Ayrıca avea, turkcell,ttnet, Telekom, ptt vb kurumların adını içeren tüm dosyaları da engelledim. Çünkü bu tarz yerlerden hiçbir zaman exe veya rar şeklinde bilgi ve dosya gelmez. Ya e-postanın içeriğinde yazar yada ekte PDF vardır.
Tüm bunlara rağmen en önemlisi ise personelin bilinçlenmesi, personel dikkat etmediği sürece siz ne yaparsanız yapın zararlı yazılımı yazanlar sürekli virüsü güncellediği için personelin açığından faydalanabilmektedir. Personele yazılı veya sözel bilgi verilmesi de gerekmektedir.