Browse Ask a Question
 
Tools Add
Rss Categories

Configuring a Protection Profile for Inline Topologies

Author: Partian Co Reference Number: AA-00330 Views: 3038 Created: 2017-08-21 13:49 Last Updated: 2017-09-17 13:53 0 Rating/ Voters
ایجاد یک Protection Profile برای توپولوژی های از نوع Inline

 Inline Protection Profile تمامی Rule ها، Policy ها و پروفایل هایی که در آموزش های قبلی به بررسی چگونگی ایجاد آن ها پرداختیم را با یکدیگر ترکیب کرده و به صورت یک مجموعه ی جامع جهت اعمال در یک Server policy مهیا می کند. 

 Inline Protection Profile تنها شامل ویژگی هایی می باشد که توسط توپولوژی های از نوع Inline پشتیبانی می شوند. هدف اولیه ی Inline Protection Profile را می توان Block کردن حملات دانست، مخصوصا برای استفاده در AutoLearning Profile

Inline Protection Profile اگر در رابطه با Auto-Learning Profile مورد استفاده قرار گیرد، باید تنظیمات مربوط به Offline Protection Profile را جهت عملیات Log گیری انجام دهید.

تنظیمات مربوط به ایجاد یک Inline Protection Profile

  • قبل از انجام تنظیمات مربوط به ایجاد یک Inline Protection Profile ابتدا باید هر کدام از Rule های زیر که مورد نیاز می باشد را جهت اعمال در پروفایل فوق ایجاد کنید:
  1. ایجاد یک X-Forwarded-For Rule یا X-header Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Defining X-Headers مراجعه نمایید.
  2. ایجاد یک File Upload Restriction Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Restricting Uploads by File Type and Size مراجعه نمایید.
  3. ایجاد یک Allowed method Set Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Specifying Allowed HTTP Methods مراجعه نمایید.
  4. ایجاد یک URL Access Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Restricting Access to Specific URLs مراجعه نمایید.
  5. ایجاد یک Signature Set Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blocking Known Attacks and Data Leaks مراجعه نمایید.
  6. ایجاد یک Padding Oracle Protection Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Defeating Cipher Padding Attacks on Individually Encrypted Inputs مراجعه نمایید.
  7. ایجاد یک Cookie Security Policy. جهت آشنایی با تنظیمات مربوط به این Policy به آموزش  Published  Protecting Against Cookie Poisoning and other Cookie-based Attacks مراجعه نمایید.
  8. ایجاد یک Cross-Site Request Forgery (CSRF) Protection Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Defeating Cross-Site Request Forgery (CSRF) Attacks مراجعه نمایید.  
  9. ایجاد یک Page Order Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Enforcing Page Order that Follows Application Logic مراجعه نمایید.
  10. ایجاد یک Parameter Validator Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Validating Parameters مراجعه نمایید.
  11. ایجاد یک Hidden Fields Protector Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Preventing Tampering with Hidden Inputs مراجعه نمایید.
  12. ایجاد یک Start Pages Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Specifying URLs Allowed to Initiate Sessions مراجعه نمایید.
  13. ایجاد یک Brute Force Login Attack Detector Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Preventing Brute Force Logins مراجعه نمایید.
  14.  ایجاد یک Protocol Constraints Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش HTTP/HTTPS Protocol Constraints مراجعه نمایید. 
  15.  ایجاد یک Rewriting or Redirection Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Rewriting and Redirecting مراجعه نمایید.   
  16.  ایجاد یک Content Caching Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش  Caching مراجعه نمایید.     
  17.  ایجاد یک User Tracking Policy . جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Tracking Users مراجعه نمایید.       
  18.  ایجاد یک Authentication Policy. جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Offloading HTTP Authentication and Authorization مراجعه نمایید.       
  19.  ایجاد یک Site Publishing Policy . جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Single sign-on - site publishing مراجعه نمایید.
  20.  ایجاد یک File Compression Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Compression and Decompression مراجعه نمایید.
  21.  ایجاد یک File Decompression Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Compression and Decompression مراجعه نمایید.
  22.  ایجاد یک DoS Protector Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش DoS Prevention مراجعه نمایید.      
  23.  ایجاد یک Client IP Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blacklisting and Whitelisting Clients مراجعه نمایید.
  24.  ایجاد یک IP Reputation Policy. جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Blacklisting and Whitelisting Clients مراجعه نمایید.
  25.  ایجاد یک Device Tracking Feature and Device Reputation Security Policy . جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blocking Client Devices with Poor Reputation مراجعه نمایید.      
  26.  ایجاد یک FortiGate that Provides a List of Quarantined Source IPsg Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Receive Quarantined Source IP Addresses from FortiGate مراجعه نمایید.         
  27.  ایجاد یک Trigger If You Plan to Use Policy-Wide Log and Alert Settings Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Viewing Log Messages مراجعه نمایید.
  • از منوی سمت چپ به مسیر Policy > Web Protection Profile رفته و از نوار بالای صفحه بر روی گزینه ی Inline Protection Profile کلیک کرده و در ادامه گزینه ی Create New را انتخاب کنید.



نکته:

  • برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 63 کاراکتر باشد.
  • Session Management: با فعال کردن این گزینه یک کوکی به Reply اضافه می شود. در نتیجه دستگاه FortiWeb قادر خواهد بود وضعیت وب اپلیکیشن ها را در چندین درخواست دنبال کند. در موارد زیر باید این گزینه را فعال کنید:
  1. اگر قصد دارید از ویژگی هایی که نیازمند Session Cookie هستند استفاده کنید به عنوان مثال: DoS Protection ،Start Pages ،Page Access یا Hidden Fields Protection
  2. اگر قصد دارید این Inline Protection Profile را به همراه یک Auto-Learning Profile در یک Policy انتخاب کنید.
  3. اگر قصد دارید ترافیک مربوط به این Inline Protection Profile  را در Traffic Log مشاهده کنید.
  •   اگر گزینه ی Session Management را فعال کنید یک فیلد دیگر به نام Session Timeout به تنظیمات اضافه خواهد شد.برای این فیلد باید زمان انقضای HTTP Session را بر حسب ثانیه وارد کنید. مقدار پیش فرض برای این گزینه 1200 ثانیه می باشد. شما می توانید از 20 تا 3600 ثانیه این فیلد را مقدار دهی کنید.
  • X-Forwarded-For: در صورت نیاز  اقدام به ایجاد یک X-Forwarded-For Rule کرده و آن را برای این فیلد انتخاب نمایید. توجه شود پیکربندی این فیلد در صورتی که IP Address مربوط به کاربر از دید دستگاه FortiWeb مخفی شده باشد، ضروری می باشد. دلیل این موضوع می تواند قرار گرفتن یک Load Balancer یا Web Proxy جلوی دستگاه FortiWeb باشد. در این مورد باید یک Xheader Rule ایجاد کنید در نتیجه دستگاه FortiWeb تنها درخواست هایی که ازسمت کاربران مخرب باشد را Block خواهد کرد. در غیر این صورت دستگاه FortiWeb هر مرتبه که یک حمله رخ دهد تمامی درخواست ها را Block خواهد کرد زیرا همه ی درخواست ها با IP Address مربوط به Web Proxy ظاهر می شوند.
  • Signatures: برای این فیلد نام یک Signature را از لیست موجود انتخاب کنید. از این Signature جهت Match شدن Request استفاده می شود. لازم به ذکر است که با انتخاب یک Signature سه گزینه ی زیر به تنظیمات اضافه خواهد شد:
  1. Enable AMF3 Protocol Detection
  2. Enable XML Protocol Detection
  3. Enable JSON Protocol Detection
  • Enable AMF3 Protocol Detection: با فعال کردن این گزینه، Request هایی که از فرمت Action Message 3.0 - AMF3 برای موارد زیر استفاده می کنند، اسکن خواهند شد:
  1. Cross-Site Scripting (XSS) Attacks
  2. SQL Injection attacks
  3. Common Exploits

        AMF3 فرمت باینری دارد. AMF3 می تواند توسط کاربرانی که از Adobe Flash/Flex استفاده می کنند جهت فرستادن اطلاعات ورودی به سمت سرور استفاده شود.

  • Enable XML Protocol Detection: جهت اسکن Request توسط Attack Signatures و Data Leak Signature به منظور تایید Web 2.0 (XML AJAX), SOAP و دیگر XML های ارسال شده توسط کاربران، این گزینه را فعال کنید. با فعال کردن این گزینه یک گزینه ی دیگر به نام Illegal XML Format تنظیمات اضافه خواهد شد.
  • Illegal XML Format: جهت تایید اعتبار و حصول اطمینان از این که عناصر XML در یک درخواست از استانداردهای W3C XML 1.1 و XML 2.0 پیروی می کنند، این گزینه را فعال کنید. اگر این تایید اعتبار با خطا مواجه شد، Action ای که برای این گزینه تنظیم کرده اید توسط دستگاه FortiWeb اجرا می شود:
  • توسط فیلد Action می توانید تعیین کنید که دستگاه FortiWeb چه اقدامی را در هنگام تشخیص یک Violation انجام دهد. این فیلد دارای گزینه های زیر می باشد:
  1. Alert: با انتخاب این گزینه Request مربوطه Accept شده و یک Alert Email و یا Log Message تولید می شود.
  2. Alert & Deny:  با انتخاب این گزینه Request مربوطه Block شده و یک Alert Email و یا Log Message تولید می شود.
  3. Period Block: با انتخاب این گزینه Request های بعدی از سمت این Client برای مدت زمانی مشخص Block می شود. در این مورد شما باید فیلد Block Period را نیز مقدار دهی کنید.

  • برای فیلد Block Period باید مدت زمانی که Request های بعدی از سمت کاربر مربوطه Block می شود را تعیین کنید. این فیلد تنها در صورتی که گزینه ی Period Block را برای فیلد Action انتخاب کنید قابل مقدار دهی می باشد. مقدار مجاز برای این فیلد از 1 تا 3600 ثانیه می باشد. مقدار پیش فرض برای این فیلد 1ثانیه می باشد.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده خواهد کرد. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High

        مقدار پیش فرض برای این گزینه High می باشد.

  • توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.
  • Enable JSON Protocol Detection: جهت اسکن Request توسط Attack Signatures و Data Leak Signature به منظور تایید داده های JSON که توسط کاربران ارسال شده، این گزینه را فعال کنید. با فعال کردن این گزینه یک گزینه ی دیگر به نام Illegal JSON Format به تنظیمات اضافه خواهد شد.
  • Illegal JSON Format: جهت اسکن فرمت های غیر مجاز در داده های JSON این گزینه را فعال کنید. اگر دستگاه FortiWeb فرمت غیر مجازی را شناسایی کرد Action ای که برای این گزینه تنظیم کرده اید اجرا می شود. تنظیمات مربوط به Action همانند تنظیمات مربوط به Action در گزینه ی Illegal XML Format می باشد.
  • Custom Policy: برای این فیلد از بین گزینه های موجود نام یک Custom Policy را انتخاب کنید. بواسطه ی این Policy ترکیبی از Rule های Source IP ،Rate Limit ،HTTP Header و URL Access را خواهید داشت. جهت آشنایی بیشتر به آموزش  Published  Combination Access Control and Rate Limiting  مراجعه نمایید.
  • Padding Oracle Protection: برای این فیلد در صورت نیاز Rule مربوط به Padding Oracle Protection که قبلا ایجاد کردید را انتخاب کنید.
  • HTTP Header Security: برای این فیلد در صورت نیاز نام Policy مربوط به HTTP Header Security که قبلا ایجاد کرده اید را انتخاب کنید. جهت آشنایی بیشتر به آموزش Addressing Security Vulnerabilities by HTTP Security Headers مراجعه نمایید.
  • CSRF Protection:  برای این فیلد در صورت نیاز نام Rule مربوط به Cross-Site Request Forgery Protectionکه قبلا ایجاد کرده اید را انتخاب کنید. این گزینه تنها زمانی جهت تنظیمات فعال خواهد بود که گزینه ی Session Management را فعال کرده باشید.
  • Cookie Security Policy: برای این فیلد در صورت نیاز نام Policy مربوط به Cookie Security که قبلا ایجاد کرده اید را انتخاب کنید. جهت آشنایی بیشتر به آموزش  Published  Protecting Against Cookie Poisoning and other Cookie-based Attacks مراجعه نمایید.
  • Parameter Validation: برای این فیلد در صورت نیاز نام Rule مربوط به Parameter Validation که قبلا ایجاد کرده اید را انتخاب کنید.
  • Hidden Fields Protection:  برای این فیلد در صورت نیاز نام Rule مربوط به Hidden Fields Protection که قبلا ایجاد کرده اید را انتخاب کنید.
  • File Upload Restriction: برای این فیلد در صورت نیاز نام Policy مربوط به File Upload Restriction که قبلا ایجاد کرده اید را انتخاب کنید.
  • HTTP Protocol Constraints: برای این فیلد در صورت نیاز نام Rule مربوط به HTTP Parameter Constraint که قبلا ایجاد کرده اید را انتخاب کنید.
  • Brute Force Login: برای این فیلد در صورت نیاز نام Rule مربوط به Brute Force Login attack که قبلا ایجاد کرده اید را انتخاب کنید.
  • URL Access: برای این فیلد در صورت نیاز نام Rule مربوط به URL access که قبلا ایجاد کرده اید را انتخاب کنید.
  • Page Access: برای این فیلد در صورت نیاز نام Rule مربوط به Page Access که قبلا ایجاد کرده اید را انتخاب کنید. جهت آشنایی بیشتر به آموزش Enforcing Page Order that Follows Application Logic مراجعه نمایید.
  • Start Pages:  برای این فیلد در صورت نیاز نام Rule مربوط به Start Pages که قبلا ایجاد کرده اید را انتخاب کنید.
  • Allow Method: برای این فیلد در صورت نیاز نام Policy مربوط به Allow Method که قبلا ایجاد کرده اید را انتخاب کنید.
  • IP List: برای این فیلد در صورت نیاز نام Rule مربوط به Client IP که قبلا ایجاد کرده اید را انتخاب کنید. 
  • Geo IP: برای این فیلد در صورت نیاز نام Rule مربوط به Client IP که قبلا ایجاد کرده اید را انتخاب کنید.
  • DoS Protection: برای این فیلد در صورت نیاز نام Policy مربوط به DoS Prevention که قبلا ایجاد کرده اید را انتخاب کنید. جهت آشنایی بیشتر به آموزش DoS Prevention مراجعه نمایید.
  • IP Reputation: جهت اعمال هوشمند IP Reputation این گزینه را فعال کنید.
  • FortiGate Quarantined IPs: جهت شناسایی IP Address هایی که دستگاه FortiGate از فعل و انفعال آن ها با شبکه و سیستم های تحت حفاظت ممانعت به عمل می آورد این گزینه را فعال کنید. در صورتی که دستگاه FortiWeb این IP Address را شناسایی کند، Action ای که برای این گزینه تنظیم کرده اید اجرا می شود.
  • توسط فیلد Action می توانید تعیین کنید که دستگاه FortiWeb چه اقدامی را در هنگام تشخیص یک Violation انجام دهد. این فیلد دارای گزینه های زیر می باشد:
  1. Alert: با انتخاب این گزینه Request مربوطه Accept شده و یک Alert Email و یا Log Message تولید می شود.
  2. Alert & Deny:  با انتخاب این گزینه Request مربوطه Block شده و یک Alert Email و یا Log Message تولید می شود.
  • Allow Known Search Engines: با فعال کردن این گزینه، Spider های موتور های جستجو توسط Rule های زیر، اسکن نخواهند شد.
  1.  DoS Sensors
  2. Brute Force Login Sensors
  3. HTTP Protocol Constraints
  4. Combination Rate and Access Control
  5.  Geo IP

 به طور پیش فرض  تمامی موتور های جستجوی معروف توسط گزینه ی Allow Known Search Engines مجاز شناخته می شوند. لازم به ذکر است IP Address مربوط به Indexer های هر موتور جستجوی معروف توسط سرویس FortiGuard آپدیت می شوند. جهت مشخص کردن اینکه کدام موتور جستجو از اسکن شدن معاف است بر روی لینکی که روبروی فیلد Allow Known Search Engines جهت نمایش جزئیات تعبیه شده است کلیک کنید در پنجره ای که در سمت راست ظاهر می گردد می توانید موتور های جستجوی مورد نظر را فعال یا غیر فعال کنید.این گزینه دسترسی به وب سرور را از طریق موتورهای جستجو آسان می کند. نرخ دسترسی سریع، استفاده ی غیر عادی HTTP و دیگر کاراکتر هایی که برای مرورگر غیر معمول و مشکوک به نظر می رسد برای موتور های جستجو نرمال می باشند. اگر این کاراکتر ها را Block کنید، رتبه و نرخ بازدید وب سایت تحت تاثیر قرار گرفته و کاهش می یابد.

  • URL Rewriting: برای این فیلد در صورت نیاز نام Rule مربوط به Rewriting یا Redirection که قبلا ایجاد کرده اید را انتخاب کنید.
  • HTTP Authentication: برای این فیلد در صورت نیاز نام Policy مربوط به Authorization که قبلا ایجاد کرده اید را انتخاب کنید.
  • Site Publish: برای این فیلد در صورت نیاز نام Policy مربوط به Site Publishing که قبلا ایجاد کرده اید را انتخاب کنید. 
  • File Compress: برای این فیلد در صورت نیاز نام Policy مربوط به فشرده سازی یا همان File Compression که قبلا ایجاد کرده اید را انتخاب کنید.  
  • File Uncompress: برای این فیلد در صورت نیاز نام Policy مربوط به غیر فشرده سازی یا همان File Decompression که قبلا ایجاد کرده اید را انتخاب کنید.  
  • Web Cache: برای این فیلد در صورت نیاز نام Policy مربوط به Content Caching که قبلا ایجاد کرده اید را انتخاب کنید.  
  • User Tracking: برای این فیلد در صورت نیاز نام Policy مربوط به User Tracking که قبلا ایجاد کرده اید را انتخاب کنید.   
  • Device Tracking: جهت دنبال کردن یک کاربر از طریق دستگاهی که کاربر فوق با آن Request می فرستد این گزینه را فعال کنید. زمانی که این گزینه را فعال می کنید یک گزینه ی دیگر به نام Device Reputation Security Policy جهت تنظیمات اضافه می شود. خطاهای امنیتی می توانند توسط این گزینه و صرف نظر از مکان یا IP Address کاربر، تعریف شوند. برای این گزینه نام Policy مربوط به Device Tracking Feature and Device Reputation Security که قبلا ساخته اید را انتخاب کنید.
  • Redirect URL: برای این فیلد یک URL وارد کنید. این URL می تواند یک FQDN یا یک IP Addrtess باشد. Request یک کاربر در شرایط زیر به سمت این URL فرستاده و یا Redirect می شود:
  1. Request فوق باعث ایجاد خطا در یکی از Rule های استفاده شده در این Inline Protection Profile شود.
  2. و برای فیلد Action در Rule فوق گزینه ی Redirect انتخاب شده باشد.
    به عنوان مثال شم می توانید برای فیلد Redirect URL مقدار زیر راوارد کنید:
    /www.example.com/products
اگر این فیلد را مقدار دهی نکنید، بر اساس نوع خطای روی داده و همچنین تنظیمات انجام شده، دستگاه FortiWeb یکی از عملیات زیر را انجام می دهد:

عملیات Log گیری - بخشی که منجر به خطا شده را حذف می کند - Connection مورد نظر را Reset می کند - یک پیام با محتوی 403Access Forbidden یا 404File Not Found را نمایش می دهد.

  • Redirect URL With Reason: اگر Redirect شدن ترافیک توسط گزینه ی Redirect URL انجام شود، با فعال کردن گزینه ی Redirect URL With Reason دلیل و علت Redirect شدن ترافیک در غالب یک پارامتر در URL ظاهر می شود. به عنوان مثال:

  reason=Parameter%20Validation%20Violation

دستگاه FortiWeb همچنین عبارت fortiwaf=1 را به URL اضافه می کند. این عمل جهت شناسایی و کنسل کردن یک Redirect Loop انجام می شود. توصیه می شود در صورتی که گزینه ی Redirect URL را پیکربندی کردید، گزینه ی Redirect URL With Reason را نیز فعال کنید.

  • Data Analytics: جهت جمع آوری آمار مربوط به Hit ،Attack و Traffic Volume برای هر Server Policy ای که از این Inline Protection Profile استفاده می کند، این گزینه را فعال کنید.

  • در پایان بر روی گزینه ی OK کلیک کنید.
  • جهت اعمال  Inline Protection Profile فوق، آن را در یک Server Policy انتخاب کنید.
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved