Forum

Cryptolocker iç...
 
Bildirimler
Hepsini Temizle

Cryptolocker için Fortigate v5.2 Konfigürasyonu ve Yapılandırmas

5 Yazılar
4 Üyeler
0 Reactions
1,175 Görüntüleme
(@savasdemir)
Gönderiler: 1870
Illustrious Member
Konu başlatıcı
 

http://www.f1teknoloji.net/makaleler/fortinet-ile-ilgili-konular/286-cryptolocker-icin-fortigate-v5-2-konfigurasyonu-ve-yapilandirmasi

Cryptolocker için Fortigate v5.2 Konfigürasyonu ve Yapılandırması

Bu makalemizde sıkça rastlanan Cryptolocker
vb şifreleme yazılımlarına karşı alınabilecek temel önlemlerden
bahsedeceğiz. Bu tür fidye programlarının kötü niyetli kişiler açısından
başarılı sonuçlar vermesi, popülerliğinin artmasına sebep olmuş ve
sürekli yeni versiyonlarının yaratılmasına zemin hazırlamıştır.

Bu sebeple antivirüs
benzeri korumalar tek başlarına maalesef yetersiz kalmaktadır.  Bu
yazılımlar genel olarak çalıştığı bilgisayardan internete çıkma ihtiyacı
duyarlar. Basitçe ele almak gerekirse kullandığı şifreleme yöntemini
hayata geçirmek için C&C (Command and Control)
sunucularına bağlanmaları gerekir. Bu iletişimi mümkün olduğunca
imkansız kılmak sistemimizin güvenliğini arttıracaktır. Aşağıdaki
makalemizde Fortigate firewall üzerinde güvenlik profilleri
oluşturulurken dikkat edilmesi gereken konfigürasyonları resimleri ile
aktarıyor olacağız. Güvenlik duvarı dışında gelişmiş tehdit tespiti
yapabilen FortiSandbox ve Fortimail gibi profesyonel anti-spam gateway ürünlerini kullanmak, sistem güvenliğini maksimum seviyelere yakınlaştıracaktır.

Ancak unutmamak
gerekir ki kullanıcı bilinci en önemli unsurdur. Güvenli olduğunu
düşündüğümüz bir sistemden dışarı çıkan taşınabilir bir bilgisayar,
zararlı yazılımları farklı internet hatları üzerinden edinip, lokal
ağımızda çalıştırabilir veya zararlı yazılım güvenlik sistemlerimizin
müdahale edemediği güvenli bir kaynaktan gelebilir.

 

FortiMail ile ilgili makale :

http://www.f1teknoloji.net/makaleler/fortinet-ile-ilgili-konular/122-fortimail-mail-server

 

FortiSandBox ile ilgili makale :

http://www.f1teknoloji.net/hizmetlerimiz/network-guvenlik-cozumleri/tehdit-onleme-fortisandbox-atp

 

      1.Adım

Antivirüs profili yapılandırılması

 

Açıklama :

 Antivirüs profili oluşturulurken “Detect Connections to Botnet C&C Servers” açık olduğundan emin olunmalıdır.

 V5.0 versiyonlarında “Block Connections ot Botnet Servers” işaretlenmelidir.

2.Adım

Web Filter yapılandırılması

 

Açıklama :

 Web filter yapılandırılmasında “Security Risk” Başlığı tamamıyla blocklanmalıdır.

 Erişime açık siteler belirlenmişse ve yüksek kısıtlama mümkünse “Unrated” kategorisini blocklamak büyük ölçüde fayda sağlayacaktır.

 Unrated Category : Fortigate tarafından tanınmayan kategorize edilmemiş web sitelerini içerir.

 

3.Adım

Application Control Yapılandırılması

Açıklama :

Application control profili yapılandırılırken “Botnet” kategorisi blocklanmalıdır.

4.Adım

Email Filter Yapılandırılması

Açıklama :

Telekom şirketleriyle mail alış verişi zorunlu değil ise yukarıdakine benzer kelime bazlı bloklamalar yapılabilir.

Mail sunucusu kurum içerisindeyse gelen mailleri bloklar , sunucu dışarıdaysa “Spam” olarak etiketleyip kullanıcıya gönderir.

 

5.Adım

Data Leak Prevention Yapılandırılması

Açıklama :

Zorunlu olmadıkça .exe , .bat vb. gibi zararlı olabilecek uzantılar engellenmelidir.

 

6. Adım

Ssl Inspection yapılandırılması

 

Açıklama :

Cihazın sertifikalı sayfalarda web taraması yapmasını sağlar.

 

Not : Oluşturulan tüm profiller ilgili kurallara işlenmelidir.

Murat Kapan'a emeği için teşekkürler

 

 

 
Gönderildi : 12/08/2015 13:44

(@vasviuysal)
Gönderiler: 7890
Üye
 

Birçok sistem yöneticisi arkadaşa rahat bir nefes aldıracak bu bilgi için teşekkürler hocam

 
Gönderildi : 12/08/2015 14:05

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
 

Emeğinize sağlık.

Ek olarak genelde bu virüsler *.rar veya *.zip içerisinde gelmektedir. Ancak zip ve rar dosyalarının tamamını engellersek sanırım personel bizi topa tutar.

Bu yüzden bende DLP bölümünde exe ve bat formatlarının tamamını engellemeye ek olarak:

*ttnet*.rar, *ptt*.rar, *fatura*.rar (hiçbir fatura rar ile gelmez, pdf şeklinde gelir), *vodafone*.rar, *turkcell*.rar, *avea*.rar, *aras*.rar

şeklinde tüm fatura veya kargo bilgisi gelebilecek kurumların anahtar kelimelerinin rar ve zip versiyonlarını da DLP ile engelledim.

Ayrıca IPS bölümünde Client ve Server bazında Medium, High ve Critical seviyesindekilerin hepsini blokladım.

 
Gönderildi : 12/08/2015 14:22

(@erkanbbayraktaroglu)
Gönderiler: 376
Reputable Member
 

Emeğinize sağlık.

Ek olarak genelde bu virüsler *.rar veya *.zip içerisinde gelmektedir. Ancak zip ve rar dosyalarının tamamını engellersek sanırım personel bizi topa tutar.

Bu yüzden bende DLP bölümünde exe ve bat formatlarının tamamını engellemeye ek olarak:

*ttnet*.rar, *ptt*.rar, *fatura*.rar (hiçbir fatura rar ile gelmez, pdf şeklinde gelir), *vodafone*.rar, *turkcell*.rar, *avea*.rar, *aras*.rar

şeklinde tüm fatura veya kargo bilgisi gelebilecek kurumların anahtar kelimelerinin rar ve zip versiyonlarını da DLP ile engelledim.

Ayrıca IPS bölümünde Client ve Server bazında Medium, High ve Critical seviyesindekilerin hepsini blokladım.

 

Kayhan Hocam ;

Nasıl engellediğiniz konusunda bilgi rica edebilirmiyiz,

Savaş Hocam elinize sağlık, ben kısmende olsa bu sorunumu office 365 tarafında çözdüm, aşağıdaki linkte bulunan tüm domainleri engelledim. Kişisel mail hesaplarıyla ilgili olarak ise kısmetse makalenizden faydalanmış olacağım.

https://www.usom.gov.tr/zararli-baglantilar/1.html 

Saygılarımla,

 
Gönderildi : 12/08/2015 17:16

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
 

Öncelikle Savaş beyin de belirttiği gibi,

1. Anti-Virus taramasında "Detect Virus" ve "Detect Botnet" bölümlerini etkinleştirdim.

2. Web Filter da  "Security Risk" ve "Unrated" kategorilerini blokladım.

3. Application Control bölümünde ise "Botnet" bölümünü blokladım.

4. Email Filter bölümünde sadece FortiGuard Spam bölümünü ve altındakileri aktifleştirdim. (ttnet ve türkcel vb. kurumlardan gerçekten fatura geldiği için black list yapmadım, ancak DLP bölümünde dosya taraması yaptım)

5. Tüm policylerde "SSL Inspection" bölümünü aktifleştirdim.

6. Client ve Sunucularda IPS bölümünde Medium, High ve Critical seviyesindeki tüm listeyi blokladım.

7. DLP bölümünde "File Types" olarak bat ve exe formatlarını engelledim. (exe indirmek isteyen bana gelsin diye uyarı mesajı verdim)

    DLP bölümünde File Name Pattern ile zaten hiçbir fatura veya benzer bilgiler rar formatında gelmeyeceği için (her zaman PDF formatında veya link ile sayfaya yönlendirir) içinde fatura kelimesi geçen tüm rar ve zip dosyalarını engelledim. (*.fatura*.rar gibi)

Ayrıca avea, turkcell,ttnet, Telekom, ptt vb kurumların adını içeren tüm dosyaları da engelledim. Çünkü bu tarz yerlerden hiçbir zaman exe veya rar şeklinde bilgi ve dosya gelmez. Ya e-postanın içeriğinde yazar yada ekte PDF vardır.

Tüm bunlara rağmen en önemlisi ise personelin bilinçlenmesi, personel dikkat etmediği sürece siz ne yaparsanız yapın zararlı yazılımı yazanlar sürekli virüsü güncellediği için personelin açığından faydalanabilmektedir. Personele yazılı veya sözel bilgi verilmesi de gerekmektedir. 

 
Gönderildi : 12/08/2015 19:04

Paylaş: