Browse Ask a Question
 
Tools Add
Rss Categories

Blocking Client Devices with Poor Reputation

Author: Partian Co Reference Number: AA-00301 Views: 2876 Created: 2017-07-22 14:03 Last Updated: 2017-11-25 11:51 0 Rating/ Voters

بلاک کردن دستگاه کاربران

 زمانی که کنترل دسترسی به وب سرور را بر اساس IP Address انجام می دهید، چون شناسایی هکرها بواسطه ی مقایسه ی IP Address آنها با آدرس های موجود در لیست سیاه در پایگاه داده انجام می گیرد، اگر هکرها بتوانند موارد زیر را انجام دهند، آسیب پذیری امنیت شبکه همچنان به قوت خود باقیست:

  • تغییر IP Address بوسیله ی Anonymous Proxies
  • پنهان شدن پشت Public IP Addresses از طریق NAT،DHCP ،PPPoE

به جای کنترل دسترسی به وب سرور بر اساس IP Address، ویژگی Device Tracking در دستگاه FortiWeb عمل شناسایی هکرها را بر اساس کامپیوترهایشان انجام می دهد. جهت شناسایی دستگاه مربوط به یک هکر، دستگاه FortiWeb بر اساس مجموعه ای از کاراکتر ها از قبیل Time Zone, Source IP, Operating System, Browser, Language, CPU, Color Depth و Screen Size یک شماره شناسایی منحصر بفرد برای دستگاه مربوطه در نظر می گیرد.

چگونگی عملکرد یک Device Reputation

مکانیزم Device Reputation موارد زیر را در نظر می گیرد:

  • Threat weight مربوط به Security Violations
  • سابقه ی دستگاه
  • Risk Level مربوط به دستگاه

زمانی که ویژگی  Device Tracking فعال و یک Device Reputation انتخاب شده باشد، دستگاه FortiWeb به ترتیب زیر عمل می کند:

  1. دستگاه را با استفاده از تکنیک Fingerprint شناسایی کرده و زمانی که یک خطای امنیتی رخ می دهد چک می کند که آیا یک پروفایل دستگاه در حال حاضر وجود دارد. اگر پروفایل فوق موجود نبود یک پروفایل از دستگاه با یک شماره شناسایی منحصر بفرد تولید می شود.
  2. یک Threat Weight مربوط به خطای امنیتی که بوسیله ی دستگاه ایجاد شده را در پروفایل دستگاه مربوطه اضافه می کند.
  3.  سابقه ی دستگاه مورد نظر را  بوسیله مقایسه ی Threat Weigh و Risk Level مربوط به دستگاه بررسی می کند.
  4.  Violation Action را مطابق با Risk Level مشخص می کند.

تنظیمات مربوط به ایجاد یک Device Reputation Policy

جهت تنظیمات باید مراحل زیر را انجام دهید:

  •  Threat Weight مربوط به هر Security Violation یا خطای امنیتی را تعریف کنید.
  • Risk Level هر دستگاه را به همراه Violation Action مربوطه تعریف کنید.
  •  Policy فوق را در یک Protection Profile فعال کنید.
  • یک لیست استثنا برای Policy فوق ایجاد کنید.

تعریف Threat Weight برای هر Security Violation

  • از منوی سمت چپ به مسیر Policy > Threat Weight رفته و تنظیمات مربوط به قسمت Risk Level Values را انجام دهید.


نکته:

  • چهار سطح مختلف برای Risk Levels وجود دارد که میزان و درجه ی جدی بودن یک Security Violation را مشخص می کند. این چهار سطح عبارتند از: Low, Medium, High, Critical
  • مقدار مشخص شده برای هر Risk Level همان Weight می باشد. هنگامی که یک خطای امنیتی رخ می دهد از Weight جهت تعیین سابقه ی یک دستگاه استفاده می شود. برای هر Risk Level می توانید مقدار Weight را از 1 تا 100 در نظر بگیرید.

  •  در ادامه Risk Level مربوط به هر Security Violation را تعریف کنید. بدین منظور، Slider Bar مربوط به هر Security Violation را به سمت چپ یا راست حرکت دهید.
 Security Violation هایی که دستگاه FortiWeb می تواند شناسایی کند عبارتند از:
  1. Signatures
  2. Custom Signature
  3. Illegal Xml Format
  4. Illegal Json Format
  5. DoS Protection
  6. Custom Policy
  7. Padding Oracle Protection
  8. CSRF Protection
  9. HTTP Protocol Constraints
  10. Brute Force Login
  11. URL Access
  12. Page Access
  13. Start Pages
  14. Allow Method
  15. IP List
  16. Geo IP
  17. Parameter Validation
  18. Hidden Field Protection
  19. File Upload Restriction
  20. Cookie Security Policy
  21. IP Reputation
  22. User Tracking
نکته:

برای Signatures و HTTP Protocol Constraints ابتدا گزینه های مربوطه را در تنظیمات بالا فعال کرده سپس از منوی سمت چپ به ترتیب به مسیرهای زیر رفته و تنظیمات را انجام دهید.

  Web Protection > Known Attacks > Signatures

Web Protection > Protocol > HTTP Protocol Constraints

 تعریف Risk Level برای هر دستگاه  و Violation Action مربوط به آن

  • از منوی سمت چپ به مسیر Tracking > Device Reputation رفته و از نوار بالای صفحه بر روی گزینه ی Device Reputation Security Policy کلیک کرده و گزینه ی Create New را انتخاب کنید.



نکته:

  • توسط فیلد Weight Range for Low/Medium/High Risk Level تعیین می کنید که یک دستگاه تا چه حد خطرناک می باشد.
  • توسط فیلد Action for High/Medium/ Low/Unidentified Risk Level Device می توانید Action ای که دستگاه FortiWeb درواکنش به خطای امنیتی انجام می دهد را مشخص کنید. این فیلد دارای گزینه های زیر می باشد:

  1. Alert: با انتخاب این گزینه، درخواست پذیرفته شده و یک Alert Email یا Log Message تولید می شود.
  2. Alert & Deny: با انتخاب این گزینه، درخواست مورد نظر بلاک شده و یک Alert Email یا Log Message تولید می شود.
  3. Period Block: با انتخاب این گزینه، درخواست های بعدی از سمت کاربر فوق برای مدت زمانی مشخص بلاک می شود. با انتخاب این گزینه یک فیلد دیگر نیز جهت تعیین مقدار زمان Block Period فعال می گردد.
  4. Local Action: با انتخاب این گزینه Action مشخص شده در Protection Profile اجرا می شود.
  • از فیلد Device Reputation Exceptions می توانید جهت غیر فعال کردن Device Reputation برای بعضی از دستگاه ها استفاده کنید.

نحوه ی فعال کردن یک  Device Reputation Security Policy در یک Protection Profile

  • از منوی سمت چپ به مسیر  Policy > Web Protection Profile رفته و از نوار بالای صفحه بر روی گزینه ی Inline Protection Profile کلیک کرده و گزینه ی Create New را انتخاب کنید.



نکته:

در قسمت Tracking گزینه ی Device Tracking را فعال کرده سپس Policy مورد نظر را توسط فیلد Device Reputation Security Policy انتخاب کنید.

 

نکته:

  • زمانی که گزینه ی Device Tracking را فعال می کنید دستگاه FortiWeb بر اساس Action ای که در Device Reputation Security Policy انتخاب کرده اید در برابر خطای امنیتی واکنش نشان می دهد و نه بر اساس Security Policy موجود در Protection Profile
  • دستگاه FortiWeb تنها در مواقع زیر یک Device Reputation Security Policy را Bypass کرده و در نظر نگرفته و بر اساس Security Policy موجود در Protection Profile در برابر خطای امنیتی واکنش نشان می دهد:
  1. Device Tracking غیر فعال باشد.
  2. Threat Weight مربوط به Security Violations غیر فعال باشد. توجه شود که اگر Slider Bar مربوط به هر Security Violation را تا انتها به سمت چپ حرکت دهید، مقدار Weight برابر با صفر در نظرگرفته شده و در نتیجه Threat Weight غیر فعال می شود.
  3. Device Reputation Exceptions انتخاب شده باشد.

 ایجاد Device Reputation Exceptions

  • از منوی سمت چپ به مسیر Tracking > Device Reputation رفته و از نوار بالای صفحه بر روی گزینه ی Device Reputation Exceptions کلیک کرده و گزینه ی Create New را انتخاب کنید.

  • پس از انتخاب نام بر روی گزینه ی OK کلیک کرده و گزینه ی Create New را انتخاب کنید.


نکته:

  • ویژگی های امنیتی های مورد نظر را از قسمت Security Feature Name انتخاب کرده و به لیست Selected Security Feature Name در سمت راست بفرستید.
  • ویژگی های امنیتی انتخاب شده، Device Reputation را Bypass خواهند کرد.

 
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved