Forum

Quarantine - Uzakta...
 
Bildirimler
Hepsini Temizle

Quarantine - Uzaktan IP Gonderimi

4 Yazılar
3 Üyeler
0 Reactions
596 Görüntüleme
(@CagriCelikbilek)
Gönderiler: 4
Active Member
Konu başlatıcı
 

Projelerim için belirli zaman aralıklarında IIS loglarını okuyarak saat ve saniye bazında anormal request sayısına ulaşan ipleri otomatik olarak "IP Address and Domain Restrictions" listesine deny olarak atıyorum. Bu listeyi aynı zamanda cihaza otomatik gönderim yapabileceğim bir yol var mı?(web-servis vb...) ya da cevap olarak 403 dönen kayıtları otomatik olarak Quarantine içerisine at şeklinde bir rule tanımlayabilir miyim?

 
Gönderildi : 24/04/2017 14:31

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

evet teknik olarak yapabilirsiniz. Bunun için bir windows pc/server 'da zamanlanmış görevleri kullanarak bir zamanlanmış görev oluşturarak ssh çalıştırabilirsiniz. SSH çalıştırdığınızda aşağıdakine benzer bir çalışma yapabilirsiniz.

 

C:\Putty.exe -ssh <Fortigate IP> -l <UserLoginName> -pw <UserPassword> -m C:\update.txt

 

Update.txt 'de siz sürekli update ederseniz sorun olmaz.

 

Update txt içerisini de  http://kb.fortinet.com/kb/documentLink.do?externalID=FD36211  örneğini kullanarak doldurabilirsiniz.

 

kolay gelsin,

yB

 
Gönderildi : 25/04/2017 02:03

(@turancoskun)
Gönderiler: 4100
Üye
 

Yılmaz bey,

bu talebi dos policy üzerinde, ilgili dnat'a özel profil oluşturarak çözmek daha kolay olmaz mı ?

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/04/2017 02:38

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

her durumda DoS policy olduğunu ve burada action 'ı block olan tanımlar olduğunu varsayıyorum ve gerekli Threshold değerleri de girilmiş olmalıdır.

bunu zaten bir firewall için Default olarak yapılmasını öneriyoruz.

 

bu case 'de talep doğrudan IIS'te tespit edilen IP'lerin bloklanlanmasına yönelik olduğu için statik bir engelleme için gerekli yönlendirmeyi yaptım.

DoS policy ile Threshold 'lara göre kısıtladığınızda bu case'e uygun olmayan durumlar çıkabilir, bazı değerleri çok düşürürsenizde genel problem yaşayabilirsiniz.

İzlenilen yöntem doğru, bende geçmişte anlık 10.000 kişinin üzerinde işlem yaptığı platformlar yönettim, IIS üzerinde alınan aksiyonu firewall tarafında sabit olarak bloklamak en temizi, tecrübe ile sabit. 

 

kolay gelsin.

yB

 
Gönderildi : 25/04/2017 14:39

Paylaş: