Quarantine - Uzaktan IP Gonderimi

Fortinet

Son Cevaplar gön: Yilmaz BARCIN 8 yıl önce

4 Yazılar

3 Üyeler

0 Reactions

576 Görüntüleme

RSS

Cagri Celikbilek

(@CagriCelikbilek)

Gönderiler: 4

Active Member

Konu başlatıcı

Projelerim için belirli zaman aralıklarında IIS loglarını okuyarak saat ve saniye bazında anormal request sayısına ulaşan ipleri otomatik olarak "IP Address and Domain Restrictions" listesine deny olarak atıyorum. Bu listeyi aynı zamanda cihaza otomatik gönderim yapabileceğim bir yol var mı?(web-servis vb...) ya da cevap olarak 403 dönen kayıtları otomatik olarak Quarantine içerisine at şeklinde bir rule tanımlayabilir miyim?

Gönderildi : 24/04/2017 14:31

Yilmaz BARCIN

(@yilmazbarcin)

Gönderiler: 315

Illustrious Member

Merhaba,

evet teknik olarak yapabilirsiniz. Bunun için bir windows pc/server 'da zamanlanmış görevleri kullanarak bir zamanlanmış görev oluşturarak ssh çalıştırabilirsiniz. SSH çalıştırdığınızda aşağıdakine benzer bir çalışma yapabilirsiniz.

C:\Putty.exe -ssh <Fortigate IP> -l <UserLoginName> -pw <UserPassword> -m C:\update.txt

Update.txt 'de siz sürekli update ederseniz sorun olmaz.

Update txt içerisini de http://kb.fortinet.com/kb/documentLink.do?externalID=FD36211 örneğini kullanarak doldurabilirsiniz.

kolay gelsin,

Gönderildi : 25/04/2017 02:03

Turan COŞKUN

(@turancoskun)

Gönderiler: 4100

Üye

Yılmaz bey,

bu talebi dos policy üzerinde, ilgili dnat'a özel profil oluşturarak çözmek daha kolay olmaz mı ?

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

Gönderildi : 25/04/2017 02:38

Yilmaz BARCIN

(@yilmazbarcin)

Gönderiler: 315

Illustrious Member

Merhaba,

her durumda DoS policy olduğunu ve burada action 'ı block olan tanımlar olduğunu varsayıyorum ve gerekli Threshold değerleri de girilmiş olmalıdır.

bunu zaten bir firewall için Default olarak yapılmasını öneriyoruz.

bu case 'de talep doğrudan IIS'te tespit edilen IP'lerin bloklanlanmasına yönelik olduğu için statik bir engelleme için gerekli yönlendirmeyi yaptım.

DoS policy ile Threshold 'lara göre kısıtladığınızda bu case'e uygun olmayan durumlar çıkabilir, bazı değerleri çok düşürürsenizde genel problem yaşayabilirsiniz.

İzlenilen yöntem doğru, bende geçmişte anlık 10.000 kişinin üzerinde işlem yaptığı platformlar yönettim, IIS üzerinde alınan aksiyonu firewall tarafında sabit olarak bloklamak en temizi, tecrübe ile sabit.

kolay gelsin.

Gönderildi : 25/04/2017 14:39