Merhaba, bu makalemizde sizlere SonicWALL ürünü üzerindeki IPS kullanımı hakkında detay vereceğim.
Address obje veya User Gruplara IPS üzerinden Msn, P2p , Multimedia Tarzı uygulamaların nasıl yapıldığını. Belirli Zaman (Schedules) dilimlerinde kuralların işleyişini göreceğiz..
Firmware Versiyons : SonicOS Enhanced 5.2.0.1
Kullanılan Servis : Intrusion Prevention
Kullanılan Cihaz : NSA 240
AÇIKLAMA :
UserGrup İsmi | Yasaklanacak Kategori | IP Range-GRUPX-LAN | ZAMAN (Schedules) |
YONETIM | MSN(Kamera), FTP , SKYPE , LOGMEIN | 192.168.168.10 -30 | 10.00 - 17:00 Arası |
MUHASEBE | IM ,P2P ,MULTIMEDIA ,Remote Acc. | 192.168.168.50 -70 | 08:30 – 18:30 Arası |
SonicWALL IPS LİSANSLAMA
Sonicwall IPS lisansının aktif olup olmadığını kontol edin. Security Services > Intrusion Prevention sayfasından görebilirsiniz. Lisans güncellemeyi www.mysonicwall.com adresinden yapabilirsiniz…
Network /
Address Objects oluşturma
Örnekte verdiğimiz Yönetim ve Muhasebe Gruplarımızı Address Objects menüsünden LAN Zone olarak oluşturalım…
System /
Schedules (Zaman) oluşturma
Örnekte belirttiğimiz gibi Yönetim ve Muhasebe Gruplarına uygulayacağımız IPS kuralların hangi zaman dilimlerinde çalışacağını belirliyoruz.
Yonetim
10:00 – 17:00 arası
Muhasebe
08:30 – 18:30 arası
Security Services /
Intrusion Prevention
1- Security Services menüsünden Intrusion Prevention bölümüne girilir.
2- Intrusion Prevention Servisini Enable ediyoruz.
3- İmzaların hangi tarihte (Signature Database) güncellendiğini görebilirsiniz.
4- IPS servisinin ne zaman sona ereceğini gösterir.( Expiration Date )
5- IPS servisini Default’da gelen zorluk seviyeleri ile Engelleyebilir (Prevent All ) veya izleyebilirsiniz..( Detect All )
6- IPS imzaları 3 ayrı başlık altında sınıflandırılmıştır. Yüksek, Orta ve düşük önem seviyesindeki ataklar olarak.
High Priority Attacks : Trafik Sürekli saldırı pozisyonundadır..uzaktan idare edilen trojanların saldıraları gibi.
Medium Priority Attacks : Sürekli saldırı niteliği taşımazlar, bazen sadece bir programın aktif olması sonucu işlevlik kazanırlar, Ama çoğu zamanlar saldırı pozisyonundadır.
Low Priority Attacks : Burada ise peer to peer , instant Messenger gibi gerçekten atak sayılmayan ancak kullanıcı davranışlarına bağlı network’ü yoran saldırılardır.
7- IPS hizmetinden devre dışı bırakmak istediğiniz ip veya ip aralıklarını belirleyebileceğiniz menüdür.
8- Mevcut IPS ayarlarınızı default ayarlara döndermeye yarar.
Intrusion Prevention /
Kategori
IPS imzaların her biri kategorize edilmiştir. Yani aradığınız bir uygulamayı bulmanız o kadarda zor olmıyacak. İster bir imzaya isterseniz ona ait olan kategoriye müdahale etmeniz söz konusu..
Intrusion Prevention /
Muhasebe Grubu ayarları
Muhasebe Grubumuz IM ,P2P ,MULTIMEDIA ,Remote Acc. Kategorilerini kullanamaması için kurallarımızı oluşturuyoruz.
KATEGORİ -> IM KATEGORİ -> P2P
KATEGORİ -> MULTIMEDIA KATEGORİ -> REMOTE ACCESS
Intrusion Prevention /
Yönetim Grubu ayarları
Yönetim Grubumuz MSN(Kamera), FTP , SKYPE , LOGMEIN imzalarını belirtmiş olduğumuz zaman dilimleri içerisinde engelliyoruz.
Kategori -> IM içinde Outgoing Video Call Kategori -> FTP
Aynı işlemi Incoming içinde yapılabilir.
Kategori -> IM içinde Skype –Login Kategori -> Remote Access içinde
Logmein SSL Connection
Belirlenmiş gruplara özel imzaları istenilen zaman dilimleri içerisinde engellemiş bulunuyoruz… Bundan sonraki adımda Yönetici veya Muhasebe grubu içerisinde bulunan bir ip adresini test edip kuralların çalışıp çalışmadığını test edebilirsiniz… Doğruluğundan emin olmak için Log-View menüsünde engellenen imzayı ve ip adresini sarı renk ile görebilirsiniz…