پیشگیری از نفوذ در فایروال FortiGate

پیشگیری از نفوذ در فایروال FortiGate، یکی از قابلیت های کاربردی موجود در فایروال FortiGate پیشگیری از نفوذ (intrusion Detection ) می باشد. در این مقاله قصد داریم IPS و نحوه استفاده از آن در فایروال FortiGate را مورد بررسی قرار دهیم.

پیشگیری از نفوذ در فایروال FortiGate

فهرست مطالب

1. پیشگیری از نفوذ (IPS) چیست
2. پیکربندی Intrusion Detection

پیشگیری از نفوذ (IPS) چیست

IDS یا Intrusion Detection System سیستمی است کل فعالیت های شبکه را نظارت و بررسی می نماید و با توجه به سیاست ها و Rule های موجود در سخت افزار و یا نرم افزار، کلیه فعالیت های مشکوک در شبکه را شناسایی می نماید و Log آن را ثبت و به ادمین گزارش می فرستد. اما امروزه فایروال های فورتی گیت به قابلیت Intrusion Prevention System مجهز می باشند.

سیستم Intrusion Prevention System یک بار فرایند IDS را در شبکه اجرا می نماید و در مرحله اول فرایند IDS را طی می نماید و کلیه ترافیک های شبکه را مانیتور نموده و فعالیت های خارج از سیاست ها را شناسایی می نماید و Log را ثبت می نماید. و در مرحله بعدی فعالیت های شناسایی شده را متوقف می کند. بنابراین Intrusion Pretension یک قابلیت در جهت بالا بردن سطح امنیت شبکه می باشد. در اینجا می توان یک وجه تمایز بین Intrusion Prevention و Firewall ایجاد نمود. در فایروال ترافیک های ورودی و خروجی شبکه کنترل و نظارت می گردد و با استفاده از Rule هایی بر پایه آدرس IP و پورت این ترافیک ها را محدود می شوند. اما در Intrusion Prevention System شبکه و فعالیت های درون آن را مانیتور می گردد و در ترافیک ها، الگوهای مخرب را جستجو م نماید. در چنین سناریویی تهدید های داخلی نیز مدیریت بازرسی شده و از آن جلوگیری به عمل می آید.

پیکربندی Intrusion Detection

تنظیمات IPS در فایروال فورتی گیت در قسمت Security Profiles قرار دارد. با کلیک بر روی Intrusion Prevention می توان به تنظیمات این قسمت دسترسی پیدا نمود. جهت ایجاد یک پروفایل گزینه + را انتخاب می نماییم. در پنجره باز شده یک اسم برای پروفایل در نظر می گیریم. پس از ایجاد پروفایل signature مختلفی برای این پروفایل در دسترس قرار می گیرد که بسته به نیاز می توان آن ها را فعال نمود. این Signature ها در واقع الگو هایی هستند که فایروال فورتی گیت در دستگاه قرار داده که به واسطه آن شناسایی ترافیک های مخرب توسط این Signature ها انجام می گیرد و زمانی که فایروال FortiGate را بروز رسانی می کنیم این Signature ها نیز بروز رسانی خواهند شد. جهت مشاهده کلیه Signature های موجود در فایروال فورتی گیت می توان در بالای صفحه بر روی گزینه View IPS Signatures کلیک نماییم.

چنانچه قصد داشته باشیم IPS را بر اساس Signature و فیلترهای مبتنی بر الگو پیاده سازی کنیم در قسمت Pattern Based Signatures and Filters بر روی Create New کلیک می کنیم.

در پنجره باز شده در قسمت Sensor Type دو گزینه وجود دارد. چنانچه گزینه Specify Signatures انتخاب شود این قابلیت وجود دارد که از بین Signature های موجود در فایروال FortiGate گزینه های مورد نظر را انتخاب نمود. پس از انتخاب موارد مورد نیاز می بایست در پایین صفحه نوع واکنش به آن ها را انتخاب نمود که به صورت پیش فرض Signature Defaults انتخاب شده است. می توان از بین گزینه یکی از حالت های Monitor، Block، Reset و Quarantine را انتخاب نمود. فایروال FortiGate واکنش پیش فرض هر الگو را بسته به نیاز مشخص نموده که با توجه به سیاست های سازمان می توان آن ها را مشخص نمود.

با انتخاب Monitor ترافیک مخرب فقط مانیتور خواهد شد و یک log برای آن ایجاد می گردد. با انتخاب Block ترافیک مسدود و گزینه Reset ارتباط را reset خواهد نمود. Quarantine به مدت زمان مشخصی ترافیک مورد نظر را مسدود می نماید. همچنین چنانچه گزینه Packet Logging را فعال نماییم برای بسته های مورد نظر Log ایجاد خواهد شد.

چنانچه قسمت Sensor Type را بر روی Filter Based قرار دهیم این امکان وجود دارد که فیلترینگ بر اساس درجه اهمیت (Severity) انجام دهیم به عنوان مثال کلیه Signature هایی که Critical هستند را انتخاب نموده و در قسمت Target می توان سیستم های هدف را مشخص نمود به عنوان مثال کلاینت و یا سرور ها. همچنین امکان فیلتر بر اساس سیستم عامل (OS) نیز وجود دارد که بر اساس سیاست های سازمان می توان موارد مورد نیاز را انتخاب نمود.

با انتخاب گزینه Advanced نیز گزینه های بیشتری در دسترس قرار خواهد گرفت که فیلتر بر اساس Application و Protocol را شامل خواهد شد. استفاده از روش Filter Based همواره راحت تر و منطبق بر تنظیمات کمپانی Fortinet خواهد بود. همچنین باید تا جای ممکن گزینه های انتخابی را محدود به سناریو در نظر گرفت و موارد بیشتر از نیاز را تا حد امکان غیر فعال نمود تا سربار اضافه به سیستم تحمیل نگردد.

گزینه دیگری که در IPS فایروال FortiGate وجود دارد Rate Based Signatures می باشد. این ترافیک های مجازی هستند که چنانچه تعداد آن ها در بازه زمانی مشخصی از مقدار تعریف شده تجاوز نماید به عنوان ترافیک های مخرب محسوب خواهند شد. جهت استفاده از این قابلیت کافی است بر اساس سیاست ها موارد مورد نظر را فعال نماییم. تمرکز این قسمت بیشتر بر جلوگیری از حملات Brute Force می باشد. این امکان وجود دارد که آستانه های سیاست های از پیش تعریف شده را تغییر داد.

در نهایت با کلیک بر روی Apply پروفایل ایجاد شده را ذخیره م ی نماییم. در مرحله نهایی مطابق مقاله های قبل پروفایل ایجاد شده را می بایست به یک Policy اعمال نماییم. به همین منظور در منوی فایروال فورتی گزینه Policy & Objects را انتخاب و از زیر منوی Policy گزینه IPv4 را انتخاب می نماییم. اکنون Policy مورد نظر را انتخاب نموده و آن را ویرایش می کنیم. در قسمت Security Profiles  می بایست گزینه IPS را فعال و پروفایل ساخته شده را انتخاب نماییم.

با انجام پیکربندی های فوق مکانیزم IPS به Policy مورد نظر اعمال خواهد شد و امنیت در سطح شبکه با توجه به سیاست های اعمال شده برقرار خواهد شد. استفاده از مکانیزم های پیشگیری از نفوذ (intrusion Detection ) یکی از ارکان اصلی در امنیت شبکه محسوب می گردد و استفاده از IPS در سازمان ها و شرکت ها دیگر یک نیاز نیست بلکه یک الزام محسوب می شود.