Browse Ask a Question
 
Tools Add
Rss Categories

Blocking Known Attacks and Data Leaks

Author: Partian Co Reference Number: AA-00310 Views: 2973 Created: 2017-07-30 11:28 Last Updated: 2017-11-26 14:10 0 Rating/ Voters
Blocking Known Attacks and Data Leaks

 بسیاری از حملات و Data Leak ها می توانند بوسیله ی Signature ها در دستگاه FortiWeb شناسایی شوند. جهت دفاع در برابر این حملات باید Signature های زیر را فعال کنید.

  • Cross-Site Scripting (XSS)
  • SQL Injection and Many other Code Injection Styles
  • Remote File Inclusion (RFI)
  • Local File Inclusion (LFI)
  • OS Commands
  • Trojans/Viruses
  • Exploits
  • Sensitive Server Information Disclosure
  • Credit Card Data Leaks

 دستگاه FortiWeb موارد زیر را اسکن می کند:

  • Parameters in the URL of HTTP GET Requests
  • Parameters in the Body of HTTP POST Requests
  • XML in the Body of HTTP POST Requests (if Enable XML Protocol Detection is Enabled)
  • Cookies
  • Headers
  • JSON Protocol Detection
  • Uploaded Filename (MULTIPART_FORM_DATA_FILENAME)

علاوه بر اسکن درخواست های استاندارد، دستگاه FortiWeb همچنین می تواند XML و Action Message Format 3.0 (AMF3) را اسکن کند.

تنظیمات Signature

شما می توانید Rule مربوط به محافظت از سرور را بوسیله ی آیتم های Severity ،Action و تنظیمات مربوط به Notification یا همان Trigger ایجاد و تنظیم کنید. این Rule مشخص می کند دستگاه FortiWeb چگونه هر Violation را مدیریت می کند. برای مثال زمانی که دستگاه FortiWeb حملاتی که در دسته ی Cross-Site Scripting و SQL Injection قرار می گیرند را شناسایی می کند، آیتم های فوق می توانند این گونه تنظیم گردند: گزینه ی Alert_Deny برای آیتم Action و گزینه ی High برای آیتم Severity انتخاب شود و همچنین Trigger یک Alert Email بفرستد.

 ایجاد یک Signature Policy

  • قبل از ایجاد یک Signature Rule باید یک Custom Signature را جهت اضافه کردن به Rule ایجاد کنید.جهت اشنایی با تنظیمات مربوط به Custom Signature به آموزش Defining Custom Data Leak & Attack Signatures مراجعه کنید.
  • از منوی سمت چپ به مسیر Web Protection > Known Attacks > Signatures بروید. از نوار بالای صفحه یکی از دو گزینه ی زیر را انتخاب کنید:
  1. Signature Wizard: جهت محدود و غیر فعال کردن Signature های غیر مرتبط با نوع پایگاه داده و نوع وب سرور، این گزینه را انتخاب کنید. در واقع بر اساس نوع پایگاه داده و نوع وب سرور، Signature های غیر مرتبط را غیر فعال می کنید. این امر کارایی را بهبود می بخشد.
  2. Create New: جهت ایجاد یک Signature جدید بر اساس Signature های موجود، از این گزینه استفاده می کنید. 

در این مثال گزینه ی Signature Wizard را انتخاب کنید.


نکته:

Database مورد نظر خود را انتخاب کرده و بر روی گزینه ی Next کلیک کنید.



نکته:

نوع وب سرور مورد نظر خود را از بین گزینه های موجود انتخاب کرده و بر روی گزینه ی Next کلیک کنید.

 


نکته:

یک نام برای Signature Policy انتخاب کنید. توجه شود که یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر باشد. در ادامه بر روی گزینه ی Create کلیک کنید.

 


نکته:

  • Custom Signature Group: برای این فیلد یک Custom Signature انتخاب کنید. در ادامه ی آموزش تنظیمات مربوط به ایجاد یک Custom Signature را توضیح خواهیم داد.
  • در ستون Name انواع Signature را مشاهده می کنید که هر کدام به یک Attack اشاره می کند.
  • Status: توسط این فیلد می توانید Signature های مورد نظر را برای این Policy فعال و یا غیر فعال کنید.
  • False Positive Mitigation: برای Signature هایی که دستگاه FortiWeb از آن ها جهت اسکن حملات SQL Injection استفاده می کند این گزینه را فعال کنید. شما همچنین می توانید SQL Syntax Validation اضافی را غیر فعال کنید. زمانی که این گزینه فعال شود و Validation یا همان تایید اعتبار موفقیت آمیز باشد، دستگاه FortiWeb در نتیجه Action مشخص شده را اعمال می کند. Log Message ای که توسط Signature هایی که این ویژگی را پشتیبانی می کنند تولید می شود دارای یک فیلد به نام False Positive Mitigation می باشد. این فیلد دارای دو مقدار Yes و No می باشد. اگر دستگاه FortiWeb یک حمله را با استفاده از  Signature و SQL Syntax Validation شناسایی کند این فیلد با مقدار  Yes مشخص می شود.
  • توسط فیلد Action می توانید تعیین کنید که دستگاه FortiWeb چه اقدامی را در هنگام تشخیص یک Violation انجام دهد. این فیلد دارای گزینه های زیر می باشد:
  1. Alert: با انتخاب این گزینه، درخواست مربوطه پذیرفته شده و یک Alert Email و یا Log Message تولید می شود.
  2. Alert & Deny: با انتخاب این گزینه، درخواست مربوطه بلاک شده و یک Alert Email و یا Log Message تولید می شود.
  3. Period Block: با انتخاب این گزینه، درخواست های بعدی از سمت این کاربر برای مدت زمانی مشخص بلاک می شود. در این مورد شما باید فیلد Block Period را نیز مقدار دهی کنید.
  4. Redirect: با انتخاب این گزینه، درخواست مربوطه به سمت URL ای که در Protection Profile مشخص کرده اید Redirect می شود و یک Alert Email یا Log Message تولید می شود.
  5. Send HTTP Response: با انتخاب این گزینه، درخواست مربوطه بلاک و یک پیغام خطا را به سمت کاربر می فرستد و یک Alert Email یا Log Message تولید می شود.
  6. Alert & Erase: با انتخاب این گزینه هنگامی که وب سرور اطلاعات حساسی را Reply می کند، این اطلاعات توسط دستگاه FortiWeb مخفی می شود. این عمل Cloaking نیز نامیده می شود.در هنگام تشخیص یک خطای امنیتی درخواست مربوطه بلاک یا اطلاعات حساس حذف می شوند و یک Alert Email یا Log Message تولید می شود.
  7. Erase, no Alert: با انتخاب این گزینه هنگامی که وب سرور اطلاعات حساسی را Reply می کند این اطلاعات توسط دستگاه FortiWeb مخفی می شود. این عمل Cloaking نیز نامیده می شود. در هنگام تشخیص یک خطای امنیتی  درخواست مربوطه بلاک  یا اطلاعات حساس حذف می شود ولی Alert Email یا Log Message تولید نمی شود.
  • برای فیلد Block Period باید مدت زمانی که درخواست های بعدی از سمت کاربر مربوطه بلاک می شود را تعیین کنید. این فیلد تنها در صورتی که گزینه ی Period Block را برای فیلد Action انتخاب کنید قابل مقدار دهی می باشد. مقدار مجاز برای این فیلد از 1 تا 3600 ثانیه و مقدار پیش فرض برای این فیلد 1 ثانیه می باشد.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده خواهد کرد. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High

مقدار پیش فرض برای این گزینه High می باشد.

  • توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.

  •  اگر  Signature های Information Disclosure ،Trojans یا Credit Card Detection را فعال کرده اید تنظیمات مربوط به Decompression Rule را نیز انجام دهید. تنظیمات Decompression Rule را در آموزش های بعدی مورد بررسی قرار خواهیم داد.
  •  جهت اعمال Signature Rule فوق، آن را در یک Inline Protection Profile یا Offline Protection Profile انتخاب کنید.
  • اگر در Web Protection Profile ویژگی Device Tracking را فعال کرده اید و Device Reputation Policy انتخاب شده از Signatures استفاده می کند باید Threat Weight را برای هر Signature تنظیم کنید. بدین منظور بر روی گزینه ی Signature Details در پایین صفحه ی تنظیمات فوق کلیک کرده و سپس یک Signature انتخاب کرده و از نوار بالای صفحه گزینه ی Threat Weight را انتخاب و به Signature فوق یک Weight اختصاص دهید.


  • جهت آزمایش درستی انجام تنظیمات از یک درخواست که باید توسط تنظیمات فوق شناسایی و بلاک شود به عنوان یک حمله ی  شبیه سازی شده استفاده کنید. اگر آزمایش فوق با خطا مواجه شد:
  1. بررسی شود که Routing و TCP/IP-Layer Firewalling از ایجاد اتصال ممانعت به عمل نیاورد.
  2. بررسی شود که حمله ی شبیه سازی شده بر روی HTTP Header یا بر روی HTTP Body عمل می کند.
  3. اگر  درخواست فوق بر روی HTTP Body عمل می کند، بررسی شود که سایز Http-Cache به اندازه ی کافی بزرگ است یا خیر. یا این که Body Length Block Request را به گونه ای که بزرکتر از Buffer Limit باشد تنظیم کرده اید؟
  4. اگر  HTTP Body فشرده شده است بررسی شود که آیا ماکزیمم سایز بافر مربوط به آنتی ویروس به اندازه ی کافی بزرگ است و یا این که شما تنظیمات Buffer Limit را جهت بلاک کردن در خواستهایی که Body Length از حد مجاز بیشتر است، انجام داده اید
  5.  اگر Trojanرا فعال کرده اید بررسی شود که آیا تنظیمات مربوط به آن را نیز انجام داده اید. 
  6.  اگر  درخواست بر روی پارامتر های URL در HTTP Header عمل می کند بررسی شود که مجموع طول پارامتر از سایز بافر مربوط به مجموع طول پارامتر های URL بزرگتر نباشد.


















 
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved