Sonicwall üzerinde tüm ayarlar doğru görünüyor olmasına rağmen bazı WEB sitelerine erişilemiyor. Bu makalede bu konudaki olası sebepler ve çözümleri üzerinde duracağız.
WAN IP adresinizin ISP firmanız tarafından “blacklist’te” olup olmadığını kontrol ediniz. IP adresiniz blacklist’te ise bu bazı web sitelerine erişimizi engelleyebilir. IP adresinizin blacklist’te olmadığından ve Sonicwall üzerindeki CFS, App Control Advaced, App Rule veya Access Rule kurallarında da bu web siteleri için bir kısıtlama olmadığına emin olduktan sonra hala erişemiyorsanız IPS servisi tarafından engelleniyor olabilir.
Bir web sitesi veya arama motoru Sonicwall IPS servisi tarafından saldırı olarak kabul edilen bir imza kimliğine sahipse, IPS yalnızca bunu algılamaz, aynı zamanda TCP bağlantısını keserek ona erişimi de engeller. PC gibi belirli istemci uygulamaları ve uzak masaüstü Sonicwall IPS imza veri tabanı tarafından düşük öncelikli saldırılar olarak kabul edilir. Bu nedenle, Sonicwall IPS servisini düşük öncelikli saldırıları algılamayacak şekilde yapılandırmanız önerilir.
Alternatif Çözüm: Düşük öncelikli saldırılar için önleme özelliğini kapatmak istemiyorsanız, Sonicwall IPS servisindeki belirli uygulamalar ve web siteleri için İmza ID hariç tutulabilir. Bu İmza ID bulunup prevention(önleme) özelliği devre dışı bırakılarak yapılabilir.
Düşük Öncellikli Saldırılar için IPS servisini kapatma; Aşağıda da görüldüğü gibi IPS servisini düşük öncellikli saldırıları algılamaya kapatmak için ilgili tik işaretleri kaldırılır ve “Accept” butonu tıklanarak onaylanır.
Çözüm Adımları
· Sorunun IPS kaynaklı olduğunu anlamak içinSecurity services | Intrusion Preventionsayfasına gidip “Enable IPS”seçeneğinin tik işareti kaldırılır ve “Accept” butonu tıklanır. Bu servis devre dışıyken şimdi web sitesine erişmeyi tekrar deneyin. Eğer WEB sitesine erişebiliyorsanız, IPS servisinin erişimi engellediği sonucuna varabiliriz.
· Web sitesine erişim engelinin IPS kaynaklı olduğunu anladıktan sonra IPS servisinin hangi imzası tarafından engellendiğini bulmak için tekrar "Enable IPS" seçeneği aktif edilir.
· Hangi imzanın engellediği loglardan takip edilebilir. Bunun içinLog Settings sayfasında ilgili kategori için log ayarlarını yaptığınızdan emin olunuz.
· Web sitesine erişin veya uzaktan uygulamayı başlatın. “Yenile” butonuna tıklayarak logları yenileyin. Sonicwall IPS tarafından gelen uyarıları kontrol edin. Log mesajı ayrıca imza ID ve saldırının önceliğini verir.
· Bu web sitesi veya uygulama için imza ID loglardan tespit edildiğinde, İmza ID, Intrusion Prevention sayfasında “Lookup Signature ID” arama kutusuna yazılır vearabutonu tıklanır. İlgili imza hemen alt kısımda listelenecektir. İmzanın yanındaki düzenle simgesi tıklanır.
· Açılan pencerede,preventionyanındaki açılır menüden"Disable"seçeneği seçilir veOKbutonu tıklanarak kaydedilir.
Böylece ilgili imza için "prevention" özelliği kapatılarak erişim sağlanmış olur. Aynı şekilde istenirse "Dedection"özelliği de kapatılabilir.
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.