چگونه تنظیمات IPS ( سیستم جلوگیری از نفوذ ) فورتی وب را انجام دهیم؟ یکی از مهمترین بخش های دستگاه امنیتی فورتی وب ( Web Application Firewall ) اعمال تنظیمات IPS می باشد ،که در این آموزش به نحوه پیکربندی و آموزش IPS می پرداخته میشود.قابلیت IPS در فورتی وب به عنوان Known attack در web protection معرفی شده است ،بسیاری از Attack ها توسط Signature های فورتی وب قابل بلاک شدن می باشند.فورتی وب می تواند حملات OWASP TOP10 و سایر حملات را شناسایی و بلاک نماید:
فورتی وب موارد زیر را در ترافیک HTTP مورد بررسی قرار می دهد:
ویژگی IPS در فورتی وب از تعداد زیادی Signature تشکیل شده است. برای هر نوع حمله در IPS می توانیم Category مخصوص به ان حمله را مشاهده کنیم . هر category در فورتی وب signature های مخصوص به خود را دارد.این signature ها قابلیت اپدیت شدن را دارند در واقع وقتی اپدیت IPS دریافت می کنیم این Signature ها هستند که به روز رسانی خواهند شد در بعضی اپدیت ها نیز ممکن است که IPS Engine به روز رسانی شود.برای پیکربندی IPS مراحل زیر را طی کنید:
در بخش Known attacks ، signatures می توانیم پروفایل های پیش فرضی که فورتی نت برای Signature ها پیشنهاد داده است را مشاهده کنیم و از ان ها استفاده کنیم.هرکدام از این پروفایل ها signature های مخصوص به خود را دارند مثلا High level security باعث می شود که IPS با حساسیت بیشتری در ترافیک HTTP به دنبال حمله باشد یا اگر سایت ما با استفاده از WordPress طراحی شده باشد می توانیم از پروفایل WordPress که شامل Signatureهای مربوط به این CMS است را استفاده کنیم .
استفاده از پروفایل هایی که فقط شامل signature های مخصوص وب سایت ما است باعث می شود که Performance بهتری داشته باشیم.به صورت کلی برای ایجاد تغییر در signature ها مثلا فعال کردن یا غیر فعال کردن ان ها باید پروفایل مخصوص به خود را ایجاد نمایم چرا که امکان اعمال تغییر روی profile های پیش فرض امکان پذیر نمی باشد.برای اینکار در مسیر Known attacks ، signatures گزینه ی Signature wizard را انتخاب می کنیم.
در این wizard ابتدا نوع دیتابیس استفاده شده در وبسایت را تعیین می کنیم.
در مرحله ی بعد نوع وب سرور استفاده شده را تعیین می کنیم.
در این مرحله Profile خود را نامگذاری می کنیم.با اینکار فقط signature های مطابق با وبسایت ما در پروفایل add خواهد شد مثلا اگر وب سرور خود را IIS انتخاب کنیم در پروفایل خود signature های مربوط به وب سرور Apache وجود نخواهد داشت ،با استفاده نکردن از سایر signature ها در پروفایل عملکرد بهتر و سرعت بیشتری خواهیم داشت
بعد از ایجاد پروفایل مورد نظر ما با کلیک کردن روی ان می توانیم وضعیت signature ها را بر اساس نوع حمله مدیریت و مانتیور کنیم:برای مشاهده جزیات دقیق signature ها گزینه ی signature details را کلیک کنید. در صفحه ی لود شده با کلیک کردن روی هر Category از حملات می توانیم signatureها ی مربوط به ان category را مشاهده کنیم در بخش Match example می توانیم نمونه ای از حمله ای که در ان Signature مورد نظر استفاده شده است را مشاهده کنیم . در این قسمت می توانیم signature خاصی را فعال یا غیر فعال کرد یا اینکه Exception برای ان تعریف کنیم.
کنار نام بعضی از حملات عبارت Extended را مشاهده می کنید این Category از حملات شامل تعدادی signature هستند که با حساسیت بیشتری در ترافیک وب به دنبال حمله می باشند استفاده از این Signature ها باعث ایجاد false positive می شود. به صورت کلی استفاده از این Signature ها پیشنهاد نمی شود اما در بعضی سناریو ها ممکن است این Signature ها کارایی داشته باشند.در بعضی موارد ممکن است شما طراح سایت باشید یا به معماری وبسایت خود اشنا باشید و بخواهید به صورت جداگانه برای سایت خود signature بنویسید این قابلیت در فورتی وب پشتیبانی می شود. برای اینکار به مسیر Known attacks ،custom signature رفته و custom signature مورد نظر خورد را ایجاد نمایید:
و در ادامه نحوه تعریف signature مطابق با سیاست سازمان:
اگر فورتی وب پشت Load balancer یا دستگاهی که عملیات SNAT انجام می دهد قرار بگیرد به دلیل اینکه در پکت ادرس ارسال کننده به ادرس دستگاهی که عملیات SNAT و Load balance را انجام می دهد تغییر می کند باید X-forwarded-for پیکر بندی شود تا ادرس IP واقعی کاربر بلاک شود نه ادرس دستگاه Load balancer , در غیر این صورت ممکن است تمامی connection ها به سمت فورتی وب بلاک شود.قابلیت X-forwarded-for در اموزش های بعدی توضیح داده خواهد شد.
بعد از ایجاد Custom signature می توانیم Rule های مربوطه را در ان ADD کنیم.:
بعد از ایجاد Custom signature می توانیم Rule های مربوطه را در آن ADD نماییم.
در مرحله ی بعد Custom signature های خود را در در قالب یک Group در می اوریم:
وSignature group خود را در profile که در ابتدای پیکربندی IPS ایجاد کردیم اضافه می کنیم
در نهایت Profile خود را در Web protection profile و متعاقبا در Policy مربوطه قرار می دهیم.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود