Palo Alto DoS Protection

Merhaba ,

Makale serimizin bu bölümünde Palo Alto Dos Protection modülünden elimden geldiğince bahsedeceğim.

Denial of Service (DoS) Attack : Hedefleri servis dışı bırakma amacı ile yapılan saldırı şeklidir. Sistemlere düzenli bir şekilde paket istekleri göndererek kaynak aşımına sebep olunması sonucu hizmete veremez hale getirme bu saldırı türünün tek amacıdır.

Bir DoS saldırısı yapılmadan önce ya gerekli alt yapı hazırlanır yada saldırı yapacak sistemler ele geçirilir. Sonrasında hazır olan kurbanlar ve sistemler sayesinde saldırı başlatılarak yoğun bir şekilde paket istekleri gönderilir.

En Çok Kullanılan Saldırı Türleri

• SYN (SYN Flood) Saldırılar : Bu Saldırı türü TCP hedef alınarak kurban trafiğinin kapasitesinin üzerine çıkılarak isteklere cevap veremez hale gelene kadar düzenli olarak paket gönderme işlemidir.
• TreaDrop Saldırılar : Parçalanmış UDP paketlerinin hedef sistem üzerinde yeniden birleşim işlemi sırasında sahte paketlerin bozuk olması ile sistem kaynaklarının aşırı kullanımı nedeniyle sistemin cevap veremez hale gelmesi işlemidir.
• Ping Flood : Gönderilecek olan ICMP  paketlerinin önceden belirlenerek sonsuz döngü biçiminde direk hedefe yapılan saldırı işlemidir.
• Smurf Saldırırlar : Çok sayıda tekrarlan ping istekleri ile gerçekleştirilen saldırı biçimidir.Gönderilen sahte istekler ile servisin alması gereken gerçek trafik engellenerek kaynak tüketimine sebep olunması işlemidir. Bu tür saldırılar için genellikle otomatize edilmiş yazılımlar yada zombi bilgisayarlar kullanılmaktadır.

Gelelim şimdi Palo Alto Firewall üzerinde bu tür saldırıları engellemek için yapılacak işlemlere. Aslında cihazın genel prensibi nesne oluştur kurala bağla mantığı olduğu için bizi çok fazla yormadan işlemlerimizi yapmamızı sağlar.

Aşağıdaki adımları takip ederek Palo Alto  güvenlik duvarınızda Dos Protection modülünü aktif hale getirebilirsiniz.

Ben saldırı türlerinde default değerleri kullanarak gerekli Dos Protection nesnemi oluşturdum. Siz isterseniz değerleri istediğiniz gibi düzenleyebilirsiniz.Nesnemizi oluşturduktan sonra kuralımızı hazırlamak için işlemimize devam ediyoruz.

Dışarıdan içeriye gelecek olan saldırıları engellemek amacıyle kural oluşturduğumuz için Source kısmı internetimiz Destination kısmı ise ağımız olacak şekilde seçimimizi yapıyoruz.

Aggregate bölümünde oluşturmuş olduğumuz Palo Alto DoS Protection nesnesini seçiyoruz. Eğer bizde Classified nesnesi oluşturduysanız bunuda kurala ekleyebilirsiniz.

Kuralı oluştururken any olarak geçtiğimiz yerlerde siz isterseniz servis,kullanıcı ve adres sınıflandırması yapabilirsiniz. Ama ben dışarıdan içeriye herhangi bir servise gelecek olan saldırılar için kural oluşturdum.

Tüm adımları tamamladıktan sonra Commit ile yaptığımız değişiklikleri kaydediyoruz.

Palo Alto DoS Protection kuralımız aktif hale geldikten sonra elinizde imkan varsa gerekli testleri yaparak cihaz üzerindeki kontrolleri sağlayabilirsiniz. Dos saldırıları için gerekli kuralları yazdım artık bana saldırı gelsede başarılı olamazlar gibi bir hisse kapılmayın çünkü saldırganın kaynağı sizin kaynağınızdan daha güçlü ve gelişmiş olabilir bu yöntemle saldırıları %100 durduracaksınız diye bir şey yok.

Bundan yıllar yıllar önce exploit database olarak yoğun bir şekilde kullanılan  milw0rm  isimli siteye günlerce yoğun bir şekilde yapılan dos saldırısı nedeniyle Türkiye girişleri kapatılmıştı. O günden bu güne kadar saldırı yöntemleri geliştikçe savunma yöntemleride gelişti.

Faydalı olması dileğiyle. Güvenlik dolu günler dilerim.