Browse Ask a Question
 
Tools Add
Rss Categories

Configuring a Protection Profile for an Out-of-Band Topology or Asynchronous Mode of Operation

Author: Partian Co Reference Number: AA-00331 Views: 2943 Created: 2017-08-23 12:39 Last Updated: 2017-11-28 11:04 0 Rating/ Voters
بررسی تنظیمات مربوط به Offline Protection Profiles

 Offline Protection Profile تمامی Rule ها، Policy ها و پروفایل هایی که در آموزش های قبلی به بررسی چگونگی ایجاد آن ها پرداختیم را با یکدیگر ترکیب کرده و به صورت یک مجموعه ی جامع جهت اعمال در یک Server Policy مهیا می کند.

 Offline Protection Profile تنها شامل ویژگی هایی می باشد که توسط توپولوژی های از نوع Out-of-Band و Asynchronous Inspection پشتیبانی می شوند و توسط Operation Mode هایی از قبیل Transparent Inspection و Offline Protection استفاده می شوند.

 هدف اولیه ی Offline Protection Profile را می توان بلاک کردن حملات دانست، مخصوصا برای استفاده در AutoLearning Profile

بر اساس Routing و همچنین بار شبکه، به علت محدودیت های مربوط به توپولوژی های از نوع Out-of-Band و Asynchronous Inspection، دستگاه FortiWeb ممکن است قادر به بلاک کردن تمامی حملاتی که شناسایی می کند نباشد. حتی اگر شما گزینه ی Action را بر روی Alert & Deny تنظیم کرده باشید. در حقیقت اگر شما Offline Protection Profile را در رابطه با Auto-Learning استفاده می کنید، باید Offline Protection Profile فوق را به گونه ای تنظیم کنید که عمل log گیری را انجام دهد و نه عمل بلاک کردن حملات.

تنظیمات مربوط به ایجاد یک Offline Protection Profile

  • قبل از انجام تنظیمات مربوط به ایجاد یک Offline Protection Profile ابتدا باید هر کدام از Rule های زیر که مورد نیاز می باشد را جهت اعمال در پروفایل فوق ایجاد کنید:
  1. ایجاد یک X-Forwarded-For Rule یا X-Header Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Defining X-Headers مراجعه نمایید.
  2. ایجاد یک Allowed Method Set Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Specifying Allowed HTTP Methods مراجعه نمایید.
  3. ایجاد یک File Upload Restriction Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Restricting Uploads by File Type and Size مراجعه نمایید.
  4. ایجاد یک URL Access Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Restricting Access to Specific URLs مراجعه نمایید.
  5. ایجاد یک Signature Set Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blocking Known Attacks and Data Leaks مراجعه نمایید.
  6. ایجاد یک Padding Oracle Protection Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Defeating Cipher Padding Attacks on Individually Encrypted Inputs مراجعه نمایید.
  7. ایجاد یک Cookie Security Policy. جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Protecting Against Cookie Poisoning and other Cookie-based Attacks مراجعه نمایید.
  8. ایجاد یک Parameter Validator Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Validating Parameters مراجعه نمایید.
  9. ایجاد یک Hidden Fields Protector Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Preventing Tampering with Hidden Inputs مراجعه نمایید.
  10.  ایجاد یک Brute Force Login Attack Detector Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Preventing Brute Force Logins مراجعه نمایید.
  11.  ایجاد یک Protocol Constraints Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش HTTP/HTTPS Protocol Constraints مراجعه نمایید. 
  12.  ایجاد یک Robot Control Profile. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blacklisting and Whitelisting Clients مراجعه نمایید.
  13.  ایجاد یک IP List. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Blacklisting and Whitelisting Clients مراجعه نمایید.
  14.  ایجاد یک IP Reputation Policy. جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Blacklisting and Whitelisting Clients مراجعه نمایید.
  15.   ایجاد یک File Decompression Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Compression and Decompression مراجعه نمایید.
  16.   ایجاد یک Trigger If You Plan to Use Policy-Wide Log and Alert Settings Rule. جهت آشنایی با تنظیمات مربوط به این Rule به آموزش Viewing Log Messages مراجعه نمایید.
  17.  ایجاد یک User Tracking Policy .  جهت آشنایی با تنظیمات مربوط به این Policy به آموزش Tracking Users مراجعه نمایید.
 
  • از منوی سمت چپ به مسیر Policy > Web Protection Profile رفته و از نوار بالای صفحه بر روی گزینه ی Offline Protection Profile کلیک کرده و در ادامه گزینه ی Create New را انتخاب کنید.


نکته:

  • برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 63 کاراکتر باشد.
  • Session Management: با فعال کردن این گزینه از یک Session ID مربوط به وب اپلیکیشن ها استفاده می شود در نتیجه دستگاه FortiWeb قادر خواهد بود وضعیت وب اپلیکیشن ها را در چندین درخواست دنبال کند. در موارد زیر باید این گزینه را فعال کنید:
  1. اگر قصد دارید از ویژگی هایی که نیازمند Session Cookie هستند استفاده کنید به عنوان مثال: Hidden Fields Protection Rule
  2. اگر قصد دارید این Offline Protection Profile را به همراه یک Auto-Learning Profile در یک Policy انتخاب کنید.
  3. اگر قصد دارید ترافیک مربوط به این Inline Protection Profile را در Traffic Log مشاهده کنید.
  •   اگر گزینه ی Session Management را فعال کنید یک فیلد دیگر به نام Session Timeout به تنظیمات اضافه خواهد شد. برای این فیلد باید زمان انقضای HTTP Session را بر حسب ثانیه وارد کنید. مقدار پیش فرض برای این گزینه 1200 ثانیه می باشد. شما می توانید از 20 تا 3600 ثانیه این فیلد را مقدار دهی کنید.
  • X-Forwarded-For: در صورت نیاز  اقدام به ایجاد یک X-Forwarded-For Rule کرده و آن را برای این فیلد انتخاب نمایید. توجه شود پیکربندی این فیلد در صورتی که IP Address مربوط به کاربر از دید دستگاه FortiWeb مخفی شده باشد، ضروری می باشد. دلیل این موضوع می تواند قرار گرفتن یک Load Balancer یا Web Proxy جلوی دستگاه FortiWeb باشد. در این موارد باید یک Xheader Rule ایجاد کنید در نتیجه دستگاه FortiWeb تنها درخواست هایی که ازسمت کاربران مخرب باشد را Block خواهد کرد. در غیر این صورت دستگاه FortiWeb هر مرتبه که یک حمله رخ دهد تمامی درخواست ها را Block خواهد کرد زیرا همه ی درخواست ها با IP Address مربوط به Web Proxy ظاهر می شوند.
  • Session Key: برای این فیلد در صورت نیاز نام Session ID ای که وب اپلیکیشن در URL به آن اشاره می کند را وارد کنید. از این نام جهت شناسایی هر Session استفاده می شود.
  • Signatures: برای این فیلد نام یک Signature را از لیست موجود انتخاب کنید. از این Signature جهت Match شدن Request استفاده می شود. لازم به ذکر است که با انتخاب یک Signature سه گزینه ی زیر به تنظیمات اضافه خواهد شد:
  1. Enable AMF3 Protocol Detection
  2. Enable XML Protocol Detection
  3. Enable JSON Protocol Detection
  • Enable AMF3 Protocol Detection: با فعال کردن این گزینه، درخواست هایی که از فرمت Action Message 3.0 - AMF3 برای موارد زیر استفاده می کنند، اسکن خواهند شد:
  1. Cross-Site Scripting (XSS) Attacks
  2. SQL Injection Attacks
  3. Common Exploits

       AMF3 فرمت باینری دارد. AMF3 می تواند توسط کاربرانی که از Adobe Flash/Flex استفاده می کنند جهت فرستادن اطلاعات ورودی به سمت سرور استفاده شود.

  • Enable XML Protocol Detection: جهت اسکن یک درخواست توسط Attack Signatures و Data Leak Signature به منظور تایید Web 2.0 (XML AJAX), SOAP و دیگر XML های ارسال شده توسط کاربران، این گزینه را فعال کنید. با فعال کردن این گزینه یک گزینه ی دیگر به نام Illegal XML Format به تنظیمات اضافه خواهد شد.
  • Illegal XML Format: جهت تایید اعتبار و حصول اطمینان از این که عناصر XML در یک Request از استانداردهای W3C XML 1.1 و XML 2.0 پیروی می کنند، این گزینه را فعال کنید. اگر این تایید اعتبار با خطا مواجه شد، Action ای که برای این گزینه تنظیم کرده اید توسط دستگاه FortiWeb اجرا می شود.
  • توسط فیلد Action می توانید تعیین کنید که دستگاه FortiWeb چه اقدامی را در هنگام تشخیص یک Violation انجام دهد. این فیلد دارای گزینه های زیر می باشد:
  1. Alert: با انتخاب این گزینه Request مربوطه Accept شده و یک Alert Email و یا Log Message تولید می شود.
  2. Alert & Deny:  با انتخاب این گزینه Request مربوطه Block شده و یک Alert Email و یا Log Message تولید می شود.
  3. Period Block: با انتخاب این گزینه Request های بعدی از سمت این Client برای مدت زمانی مشخص Block می شود. در این مورد شما باید فیلد Block Period را نیز مقدار دهی کنید.

  • برای فیلد Block Period باید مدت زمانی که Request های بعدی از سمت کاربر مربوطه Block می شود را تعیین کنید. این فیلد تنها در صورتی که گزینه ی Period Block را برای فیلد Action انتخاب کنید قابل مقدار دهی می باشد. مقدار مجاز برای این فیلد از 1 تا 3600 ثانیه می باشد. مقدار پیش فرض برای این فیلد 1ثانیه می باشد.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده خواهد کرد. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High

مقدار پیش فرض برای این گزینه High می باشد.

  • توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.
  • Enable JSON Protocol Detection: جهت اسکن درخواست توسط Attack Signatures و Data Leak Signature به منظور تایید داده های JSON که توسط کاربران ارسال شده ، این گزینه را فعال کنید. با فعال کردن این گزینه یک گزینه ی دیگر به نام Illegal JSON Format به تنظیمات اضافه خواهد شد.
  • Illegal JSON Format: جهت اسکن فرمت های غیر مجاز در داده های JSON این گزینه را فعال کنید. اگر دستگاه FortiWeb فرمت غیر مجازی را شناسایی کرد، Action ای که برای این گزینه تنظیم کرده اید اجرا می شود. تنظیمات مربوط به Action همانند تنظیمات مربوط به Action در گزینه ی Illegal XML Format می باشد.
  • Custom Policy: برای این فیلد از بین گزینه های موجود نام یک Custom Policy را انتخاب کنید. بواسطه ی این Policy ترکیبی از Rule های Source IP, Rate Limit, HTTP Header و URL Access را خواهید داشت. جهت آشنایی بیشتر به آموزش  Published  Combination Access Control and Rate Limiting  مراجعه نمایید.
  • Padding Oracle Protection: برای این فیلد در صورت نیاز Rule مربوط به Padding Oracle Protection که قبلا ایجاد کردید را انتخاب کنید.
  • Parameter Validation: برای این فیلد در صورت نیاز نام Rule مربوط به Parameter Validation که قبلا ایجاد کرده اید را انتخاب کنید.
  • Hidden Fields Protection:  برای این فیلد در صورت نیاز نام Rule مربوط به Hidden Fields Protection که قبلا ایجاد کرده اید را انتخاب کنید.
  • File Upload Restriction: برای این فیلد در صورت نیاز نام Policy مربوط به File Upload Restriction که قبلا ایجاد کرده اید را انتخاب کنید.
  • HTTP Protocol Constraints: برای این فیلد در صورت نیاز نام Rule مربوط به HTTP Parameter Constraint که قبلا ایجاد کرده اید را انتخاب کنید.
  • URL Access Policy : برای این فیلد در صورت نیاز نام Rule مربوط به URL access که قبلا ایجاد کرده اید را انتخاب کنید.
  • Allow Request Method Policy: برای این فیلد در صورت نیاز نام Policy مربوط به Allow method که قبلا ایجاد کرده اید را انتخاب کنید.
  • Brute Force Login: برای این فیلد در صورت نیاز نام Rule مربوط به Brute Force Login attack که قبلا ایجاد کرده اید را انتخاب کنید.
  • IP List Policy: برای این فیلد در صورت نیاز نام Rule مربوط به Client IP که قبلا ایجاد کرده اید را انتخاب کنید.
  • Geo IP: برای این فیلد در صورت نیاز نام Rule مربوط به Client IP که قبلا ایجاد کرده اید را انتخاب کنید.
  • IP Reputation: جهت اعمال هوشمند IP Reputation این گزینه را فعال کنید.
  • Allow Known Search Engines: با فعال کردن این گزینه، Spider های موتور های جستجو توسط Rule های زیر، اسکن نخواهند شد.
  • File Uncompress: برای این فیلد در صورت نیاز نام Policy مربوط به غیر فشرده سازی یا همان File Decompression که قبلا ایجاد کرده اید را انتخاب کنید.  
  • User Tracking: برای این فیلد در صورت نیاز نام Policy مربوط به User Tracking که قبلا ایجاد کرده اید را انتخاب کنید.   
  • Data Analytics: جهت جمع آوری آمار مربوط به Hit ،Attack و Traffic Volume برای هر Server Policy ای که از این Offline Protection Profile استفاده می کند، این گزینه را فعال کنید.
  • در پایان بر روی گزینه ی OK کلیک کنید.
  • جهت اعمال  Offline Protection Profile فوق، آن را در یک Server Policy انتخاب کنید.
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved