SonicWALL – Flood Protection

Bu makalemde sizlere Sonicwall ürünün Flood Protection özelliğini anlatacağım.

TCP Trafik İstatistikleri

• İstatistikleri Temizle– Görüntülenen istatistikler, ekranın sağ üst köşesindeki buton kullanılarak temizlenebilir.

   

• Açılmış Bağlantılar– TCP bağlantı başlatıcısı bir SYN gönderdiğinde veya TCP bağlantı yanıtlayıcısı bir SYN aldığında değeri bir artar.

   

• Kapanmış Bağlantılar– Hem başlatıcı hem de yanıtlayıcı FIN gönderip ACK aldığında, TCP bağlantısı kapanırsa değeri bir artar.

   

• Reddedilmiş Bağlantılar– RST ile karşılaşıldığında ve yanıtlayıcı SYN_RCVD halindeyse değeri bir artar.

   

• İptal Edilmiş Bağlantılar– RST ile karşılaşıldığında ve yanıtlayıcı SYN_RCVD haricinde bir haldeyse değeri bir artar.

   

• Toplam TCP Paketleri– İşlenen her TCP paketiyle değeri bir artar.

   

• Geçen Doğrulanmış Paketler– Aşağıdaki şartlarda değeri bir artar:

• Bir TCP paketi checksum doğrulamasını geçerse (TCP checksum doğrulaması etkinse)

   

• Geçerli bir SYN paketi ile karşılaşıldığında (SYN Flood koruma aöık olmalı)

   

• Bir SYN Cookie’si bir paket üzerinde başarıyla doğrulandığında ACK flag’i set edilmişse (SYN Flood koruma aöık olmalı).

• Düşen Bozulmuş Paketler - Aşağıdaki durumlarda değeri bir artar::

• TCP checksum doğrulamayı geçemezse (TCP checksum doğrulaması etkinse)

   

• TCP SACK’e İzin Verilmiş (Seçili Acknowledgement) seçeneği ile karşılaşıldığında, ancak hesaplanan seçenek değeri hatalıysa.

   

• TCP MSS (Maksimum Segment Büyüklüğü) seçeneği ile karşılaşıldığında, ancak hesaplanan seçenek değeri hatalıysa

   

• TCP SACK seçeneği verisi hesaplandığında, değer en az 6 byte’tan azsa veya modulo eşleşiği blok büyüklüğü 4 byte ise.

   

• TCP seçenek uzunluğu geçersiz bulunmuşsa.

   

• TCP header uzunluğu en az 20 byte’tan az hesaplandığında.

   

• TCP header uzunluğu paketin veri uzunluğundan fazla hesaplandığında

• Düşen Geçersiz Flag Paketleri - Aşağıdaki durumlarda değeri bir artar::

• SYN olmayan bir paket alındığında ve bağlantı-cache’inde saklanamadığında (SYN Flood koruması etkin değilse).

   

• Paketlerinin kurulu session esnasında, SYN, RST+ACK, SYN+ACK haricinde flag’ler taşıdığında (SYN Flood koruması etkin değilse).

   

• Pakette FIN, URG veya PSH flag’leri set edilmişse ve TCP XMAS Taraması loglanır.

   

• Pakette FIN markası set edilmişse TCP FIN Taraması loglanır

   

• Set edilmiş bir paket yoksa TCP Null Taramasıloglanır

   

• Yeni bir TCP bağlantısı başlatma girişiminde SYN flag’inin set edilmesi dışında herhangi bir şey varsa

   

• Kurulu TCP session’ında SYN flag’i set edilmiş bir paket alındığında

   

• Kurulu TCP session’ında ACK flag’i set edilmemiş bir paket alındığında

   

·         Düşen Geçersiz Dizi Paketleri – Aşağıdaki durumlarda değeri bir artar:

o   Kurulu bağlantıyla bir paket alındığında, bağlantının ilk acknowledge edilmiş dizi sayısından daha az olduğunda

o    Kurulu bağlantıyla bir paket alındığında, bağlantının ilk acknowledge edilmiş dizi sayısından ve bağlantının son reklam edilmiş windows büyüklüğünden daha fazla olduğunda.

• Düşen Geçersiz Onay Paketleri– Aşağıdaki durumlarda değeri bir artar:

   

• ACK flag’i set edilmiş bir paket alındığında ve RST ve SYN flag’leri set edilmemişse, ancak SYN Cookie geçersiz döndüğünde (SYN Flood koruması etkinleştirildiğinde)

   

• Paketin ACK değeri bağlantının ilk acknowledge edilmiş dizi sayısından az olduğunda (dizi sayısı rastgeleleştirme ofset’iyle düzenlendi).

   

• Paketin ACK değeri bağlantının bir sonraki beklenen dizi sayısından çok olduğunda (dizi sayısı rastgeleleştirme ofset’iyle düzenlendi).

 TCP Ayarları

• TCP Durumsal Teftişini Etkinleştir– TCP durumsal teftişini etkinleştirir böylece tüm TCP bağlantıları aşağıdaki TCP kurulum gereksinimlerine katıca uymaya gereksinim duyar.

TCP session oluşturmada iki ana sunucu arasında 3 yönlü handshake yapar ve aşağıdakileri içinde bulundurur:

• Başlatıcı --> SYN --> Yanıtlayıcı

   

• Başlatıcı <-- SYN/ACK <-- Yanıtlayıcı

   

• Başlatıcı --> ACK --> Yanıtlayıcı

   

• (Session oluştu)

İlk SYN’den sonra, client için bir RST veya bir SYN yada sunucu için bir SYN/ACK veya bir RST gönderilmeye izin verilebilir. Diğer tüm TCP flag’leri genellikle geçersiz veya potansiyel kötü niyetli olarak değerlendirilir. “TCP durumsal teftişini etkinleştir” seçeneği bunu kılavuz edinmeyi zorlar ve bunu ihlal eden herhangi bir trafiği düşürür.

Not: Bazı meşru TCP/IP uygulama yığınları bu kurallara uymaz,“TCP durumsal teftişini etkinleştir”in kapalı olmasını ister. Bu uygulamanın uyumlu olması için, “TCP durumsal teftişini etkinleştir” seçeneğini varsayılan olarak kapalı bırakın. Ancak yükseltilmiş güvenlik durumunda veya herhangi bir potansiyel uyumsuzluğun olmayacağını bildiğiniz durumlarda etkinleştirin.

·         TCP Checksum Doğrulamasını Etkinleştir– (Önceden ‘Firewall > Gelişmiş’ sayfasıydı). Geçersiz bir TCP checksum hesaplandığında, paket düşürülür.

• Varsayılan TCP Bağlantı Zamanaşımı– (Önceden ‘Firewall > Gelişmiş sayfasıydı). TCP trafiği için Erişim Kuralları’na atanan varsayılan zamandır. Bu seçeneğin haricinde TCP session’ı bir süreliğine aktifse, TCP bağlantısı SonicWALL tarafından temizlenir. Varsayılan değer 5 dakika, minimum değer 1 dakika ve maksimum değeri 999 dakikadır. Not: Aşırı uzun zamanaşımlı bağlantılar kurmak kaynakların geri kullanımını yavaşlatabilir. Bazı uç durumlarda, bağlantı cache’inin tükenmesine neden olur.

• Maksimum Segment Ömrü (saniye)– TCP paketinin süresi geçmeden önce saniye bazında ne kadar geçerli olacağını bulur. Bu seçenek aynı zamanda aktif kapanan TCP bağlantısının temizlenmesi için uygun FIN/ACK değişimini sağlanmasındaTIME_WAIT durumunda ne kadar kaldığını belirlemede kullanılır (Maksimum Segment Ömrünün iki katı kadar hesaplanır yada 2MSL).

   

• Varsayılan değer: 8 saniye

   

• Minimum değer: 1 saniye

   

• Maximum değer: 60 saniye

•  

SYN Flood Koruması ile Çalışmak

SYN Flood koruması ana sunuları SonicWALL’ın arkasından “Hizmet Verememe” (DoS) veya “Dağıtılmış DoS” ataklarından korur. Bu ataklar aşağıdaki saldırı yollarını kullanarak ana sunucunun kullanılabilir kaynaklarının tükenmesine neden olur.

• Geçersiz veya aldatıcı IP adresleriyle TCP SYN paketleri gönderme

   

• Aşırı sayıda yarı-açık TCP bağlantısı oluşturma

Bir SYN Flood saldırısı, SonicWALL tarafından gönderilen cevaplanmamış SYN/ACK (yarı-açık TCP bağlantısı) sayısı, “saldırı kayda geçene kadarki Flood oranı” eşik değerini geçerse “işleme devam etmekte” görünür; varsayılan değer 20, minimum değer 5 ve maksimum değer 999’dur.

TCP Handshake’i (El Sıkışmasını) Anlamak

Tipik bir TCP handshake’i (basitçe) başlatıcının 32-bit sıralı (SEQi) sayısıyla TCP SYN paketi göndermesiyle başlar. Sonrasında yanıtlayıcı alıcıyı bilgilendiren bir SYN/ACK gönderir. (Değeri SEQi+1’e eşit olan bir ACK) alınan dizinin rastgele 32-bit dizideki sayısının (SEQr) tahmin edilebilmesi zordur. Yanıtlayıcı bu zamanda başlatıcıdan ACK beklediği halini korur. Başlatıcının ACK’sına, yanıtlayıcından aldığı dizinin bilgisiyle beraber bir sonraki dizinin (SEQi+1) de dahil edilmesi gerekir (Değeri SEQi + 1’e eşit olan bir ACK). Değişim aşağıdakji gibidir:

1. Başlatıcı -> SYN (SEQi=0001234567, ACKi=0) -> Yanıtlayıcı

    

2. Başlatıcı <- SYN/ACK (SEQr=3987654321, ACKr=0001234568) <- Yanıtlayıcı

    

3. Başlatıcı -> ACK (SEQi=0001234568, ACKi=3987654322) -> Yanıtlayıcı

    

Yanıtlayıcı, tüm yarı-açık TCP bağlantılarının halini korumak zorunda olduğu için (2 yönlü handshake’in tamamlanmasıyla kurulmuş halinin değişmediği TCP bağlantıları), SYN’lerin yanıtlayıcı tarafından işlenme veya temizlenme hızından daha hızlı gelmesi durumunda memory’de tükenme görülebilir. SonicWALL başlatıcı ve yanıtlayıcının arasındayken, TCP bağlantılarını koruduğu asıl yanıtlayıcıya (özel sunucu) ayarlayan ve proxy eden etkin bir yanıtlayıcı haline gelir.

SYN Flood Koruma Metodları

Aşağıdaki bölüm bazı SYN Flood koruma metodlarını açıklar.

Cookie’ler Kullanarak SYN Flood Koruma

SonicOS Enhanced 3.0 ile başlayan SYN Flooad koruma yöntemi, halsiz stateless (belli bir halde olmayan) SYN Cookie’leri kullanır. Bu durum, SYN Flood tespitinin güvenilirliğini artırır ve SonicWALL’un genel kaynak kullanımını geliştirir. Stateless SYN Cookie’leri ile birlikte, SonicWALL yarı-açılmış bağlantılarda state’i kaydetmek zorunda kalmaz. Bunun yerine, SEQr’ı öğrenmek için (rastgele algoritmasından farklı) şifrelenmiş hesap kullanır.

Katmana Özel SYN Flood Koruma Metodları

SonicOS 3.1, iki değişik ortamdan üretilen SYN Flood’larına karşı belirli korumalar sağlar: Güvenilir ortam (iç) veya Güvenilmeyen (dış) ağlar. Güvenilmeyen WAN ağlarından bir saldırı sunucu tarafından korunan genellikle bir veya daha fazla sunucuda olur. Güvenilen LAN ağlarından olan saldırılar, bir veya daha fazla güvenilir ağın içinden bir virüs bulaşması sonucunda oluşur. Bir veya birden fazla local veya uzak ana sunucularda saldırı gerçekleşir.

Her iki saldırı senaryosuna karşı bir firewall defansı sağlamak için, SonicOS 3.1 iki değişik katmanda iki ayrı SYN Flood koruma mekanizması sağlar. Her biri SYN Flood istatistikleri toplar ve görüntüler ve kayda değer SYN Flood event’leri için log mesajları üretirler.

·         SYN Proxy (Katman 3)– Bu mekanizma güvenli ağ içinde sunuculara WAN-tabanlı SYN flood saldırılarına karşı kalkan görevi görür. WAN client’larını doğrulamak için daha bağlantı istekleri korunmuş sunuculara yönlendirilmeden SYN proxy uygulaması kullanır. SYN Proxy’yi yalnızca WAN arayüzlerinde etkinleştirebilirsiniz.

• SYN Karaliste (Katman 2)– Bu mekanizma belli aygıtları SYN flood saldırısı yönlendirmemek veya üretmemek için bloklar. SYN Karaliste’yi her arayüz üzerinde etkinleştirebilirsiniz.

SYN İzleme Listesini Anlamak

Her iki SYN Flood koruma mekanizmalarının iç mimarisi tek bir Ethernet adres listesi tabanlıdır. Bunlar Firewall’a ilk SYN paketlerini gönderen en aktif aygıtlardır. Bu listeye SYN İzleme Listesi denir. Bu liste Ethernet adreslerinden oluştuğu için aygıt, IP kaynağını veya hedef adresi değerlendirmeden, SYN paketini yönlendiren aygıtın adresinde olan SYN trafiğini takip eder.

Her izleme listesi kaydı “hit sayısı” adında bir değer içerir. Bu değer aygıt, karşılık gelen aygıttan ilk SYN paketini aldığında bir artar. TCP üç yönlü handshake’i tamamlandığında ise bir azalır. Herhangi bir aygıt için hit sayısı, genellikle aygıtın hit sayısını resetlediği son zamandan itibaren bekleyen yarı-açık bağlantıların sayısına eşittir. Hit sayılarının resetlenmesi konusunda aygıt varsayılanı 1 saniyedir.

Loglama, SYN Proxy, SYN Karaliste için eşik değerlerinin hepsi bir log mesajı veya state değişimi gerekli mi öğrenmek için hit sayılarıyla karşılaştırılır. Bir SYN Flood saldırısı gerçekleştiğinde, saldırı paketlerini yönlendiren aygıttan gelen yarı-açık bağlantıların sayısında aldatıcı bağlantı girişimleri yüzünden gözle görülür bir artış meydana gelir. Saldırı eşiklerini doğruca set ederseniz, normal trafik akışı sadece birkaç saldırı uyarısı verir. Aynı eşikler saldırıları teftiş eder ve ağda ciddi bir çıkarmadan önce geri gönderir.

SYN Flood Koruma Özellikleri ile Çalışmak

SYN Flood Koruma özelliklerini ayarlamak için, Firewall > TCP Ayarları penceresinden Layer 3 SYN Flood Koruma – SYN Proxy bölgesine gidin. Bu bölge üç bölümden oluşur:

• SYN Flood Koruma Modu

   

• SYN Saldırı Eşiği

   

• SYN Proxy Seçenekleri

   

• SYN Karaliste

Herbiri çeşitli SYN Flood Koruma tipleri içerir. Sıradaki bölümde bu özellikler açıklanacak.

SYN Flood Koruma Modları ile Çalışma

SYN Flood koruma modu, yarı-açık TCP session’larına ve yüksek frekanslı SYN paket dönüşümlerine karşı korunma seçebileceğiniz koruma seviyesidir. Bu özellik size üç değişik seviyede SYN Flood Koruması sağlar:

İzleme ve Raporlama İmkanlı SYN Flood’ları– Bu seçenek aygıttan tüm arayüzlerdeki tüm SYN trafiğinin monitör edilmesini imkan sağlar. Ayrıca paket eşik değerini aşan şüpheli SYN Flood aktivitelerinin loglar. Bu özellik aygıt üzerinde SYN Proxy’yi açmaz, bu yüzden aygıt üç yönlü TCP handshake’ini düzenleme yapmadan yönlendirir. Bu en az müdahaleci SYN Flood korumadır. Ağınız yüksek risk ortamında değilse bu seçeneği seçebilirsiniz.

Saldırıdan Şüphelendiğinde Proxy WAN Client Bağlantıları – Bu seçenek aygıttan, saniye başına yapılan başarısız bağlantı taleplerinin sayısı belirlenmiş eşiği geçtiğinde WAN arayüzleri üzerindeki SYN Proxy özelliğinin etkinleştirilmesine olanak sağlar. Bu metod, aygıtın saldırı esnasında geçerli bir trafik üzerinden beslenmesini garanti altına alır ve böylece performans düşmez. Proxy modu, tüm WAN SYN flood saldırıları susmaya başlayana kadar yada SYN Karaliste özelliğini kullanarak hepsini karalisteye alıncaya kadar etkin kalır. Bu ara seviye bir SYN Flood korumasıdır. Ağınız iç veya dış kaynaklardan SYN Flood saldırısı alabilirse bu seçeneği kullanabiliriz.

Her Zaman Proxy WAN Client Bağlantıları– Bu seçenek aygıtın her zaman SYN Proxy kullanmasını sağlar. Bu metod tüm aldatıcı SYN paketlerinin aygıt üzerinden geçmesini engeller. Bu aşırı güvenlikli bir ölçümdür ve aygıtın tüm TCP portlarını taramasına yanıt vermeye yönlendirir. Çünkü SYN Proxy özelliği, aygıtı tüm TCP SYN bağlantı taleplerine cevap vermeye zorlar. Bu performansı düşürebilir ve yanlış pozitif oluşturabilir. Bu özelliği sadece ağınız yüksek risk ortamındaysa seçiniz.

SYN Attack Eşiği ile Çalışmak

SYN Flood Koruması bölgesinin SYN Attack Eşiği bölgesi, aygıt paket düşürmeden önceki SYN Flood aktivitesi için limitleri belirler. Aygıt, WAN TCP bağlantılarından istatistikleri toplar, saniye başına maksimum ve ortalama maksimum ve tamamlanmamış WAN bağlantılarını takip eder. Bu istatistiklerden, aygıt SYN Flood eşiği için bir değer önerir.

Bu bölümde iki seçeneği not edin:

Toplanan İstatistiklerden Hesaplanmış 300 Değerini Kullanın– Aygıt varsayılan 300 değerinde paketleri düşürmeye başlamadan önce, saniye başına yapılan tamamlanmamış bağlantı isteklerinin eşiğini belirler.

Attack Eşiği (Tamamlanmamış Bağlantı Girişimi/Saniye)– Sizin, aygıt varsayılan 5 ve 999 değerleri arasında paketleri düşürmeye başlamadan önce, saniye başına tamamlanmamış bağlantı girişimi sayısını belirlemenizi sağlar.

SYN Proxy Seçenekleri ile Çalışma

Bir aygıt TCP bağlantısına SYN Proxy’si uygulamaya başladığında, ilk SYN paketine üretilmiş bir SYN/ACK yanıtıyla geri döner, bağlantı isteğini sunucuya yönlendirmeden önce ACK yanıtını bekler. SYN Flood paketli aygıtlar SYN/ACK yanıtına geri dönmezler. Firewall ise bu aygıtları yanıtlamada olan eksikliklerine bakarak işaretler ve onların aldatıcı bağlantı girişimlerini bloklar. SYN Proxy firewall’u sunucunun normalde SYN/ACK paketlerini sağlayan TCP seçeneklerine yanıt vereceğini bilmeden SYN/ACK yanıtı üretmeye zorlar.

SYN Proxy modundayken, WAN client’larına gönderilen seçenekler üzerinde daha fazla kontrol sağlamak için, aşağıdaki iki nesneyi kontrol edebilirsiniz:

SACK (Açılımı: Seçili Acknowledgement). Bu parametre Seçili ACK’nın etkin olup olmadığını kontrol eder. SACK etkinse, bir paket veya paket dizisi düşürülebilir ve gelen hangi verilerin ulaştığı ve verinin nerelerinde kaçaklar olabileceği hakkında göndereni bilgilendirir.

MSS (Minimum Segment Büyüklüğü). Bu TCP segmentinin büyüklüğü için eşik değeri set eder. Hedef sunucuya gidecek çok büyük segmentleri engeller. Örneğin, eğer sunucu IPSec ağ geçidiyse, trafiğin tünellendiği zamanlar IPSec header’larına boşluk bırakmak için MSS’in limitlenmesi gerekir. Firewall, proxy dizisinde SYN’si üretilmiş pakete cevap verirken sunucuya giden MSS değerini tahmin edemez. Segmentin büyüklüğünün kontrol edilebilmesi, WAN client’larına gönderilen üretilmiş MSS değerinin kontrol edilmesini sağlar.

SYN Proxy Eşiği bölgesi aşağıdaki seçenekleri içerir:

Tüm LAN/DMZ sunucuları TCP SACK seçeneğini destekler. Bu checkbox Selective ACK’yı etkinleştirir. Böylece paket düştüğünde, alıcı aygıt hangi paketlerin ulaştığını anlayacaktır. Etkinleştirilmeden önce tüm sunucularınızın firewall tarafından çevrildiğinden, WAN’dan ulaşıltığından ve SACK seçeneğini desteklendiğinden emin olun.

WAN client’larına Gönderilen MSS Limiti (bağlantılar proxy’li ise). Size maksimum “Minimum Segment Büyüklüğü” değerini girmenizi sağlar. Varsayılan 1460 değerinin üstüne bir değer tanımlarsanız, bunu o büyüklükte bir segment olarak algılar veya daha küçük parçalar halinde SYN/ACK cookie’leri içinde client’a gider. Bu değere çok küçük değerler set edilirse, Proxy sunucusunun sürekli ayakta olduğu zamanlar performans düşer Bu değere çok büyük değerler set edilirse, suncu daha küçük MSS değerleriyle yanıt veriyorsa bağlantıları koparabilir.

WAN client’larına gönderilen maksimum TCP MSS. MSS değeri. Varsayılanı 1460.

Not: Proxy WAN client bağlantılarını kullanırken, bu seçenekleri sıkıca set etmeyi unutmayın. Çünkü onlar sadece bir SYN Flood gerçekleştiği zaman etki ederler. Bu durum, meşru bağlantıların saldırı sırasında işleyişine devam etmesinini garanti altına alır.

SYN Kara Listeme ile Çalışma

SYN Kara listeleme özelliği, SYN Kara Liste saldırı eşiğini aşan cihazları içeren bir listedir. Güvenlik duvarı cihazı kara listedeki cihazlardan gönderilen paketleri paket değerlendirme sürecinden önce düşürür, bu paketleri daha fazla miktarda işlemek için firewall’ı etkinleştirmek, ayrıca WAN ağları için ikinci kademe koruma sağlarken lokal ağ üzerindeki saldırılara karşı savunma sağlar.

Cihazlar SYN kara listesi üzerinde ve izleme listesi üzerinde aynı anda  meydana gelmez. Kara liste aktif edildiğinde, güvenlik duvarı kara liste eşiğini aşan cihazları izleme listesinden kaldırır ve kara listeye ekler. Tersine, güvenlik duvarı kara listeden bir cihaz kaldırdığında, onu tekrar izleme listesine ekler. MAC adresi kara listeye eklenen herhangi bir cihaz, cihazdan gelen akış kalktıktan sonra yaklaşık olarak 3 saniye içerisinde oradan kaldırılacaktır

SYN kara liste bölgesi şu seçenekleri içerir:

SYN akış kara listesi için eşik (SYNs / Sec). Saniye izin verilen maksimum SYN paketi. Default 1,000 dir. Bu değer SYN Proxy eşiğinden daha fazla olabilir çünkü kara liste girişimleri daha şiddetli yerel saldırıları veya WAN ağından birçok saldırıyı önlemek içindir.

SYN flood karalistesini tüm arayüzlerde etkinleştir. Bu checkbox seçildiğinde karaliste özelliği firewall üzerindeki tüm arayüzlerde etkinleştirilir.

WAN makinelerini hiç karalisteye alma. Bu checkbox WAN’daki sistemlerin hiçbir zaman SYN karalistesine eklenmemesini garanti altına alır. Firewall’un WAN portlarının trafiğini bölebileceğinden bu seçeneğin seçilmemiş olması tavsiye edilir.

SonicWall yönetim trafiğine her zaman izin ver. Bu checkbox karalisteye alınan ve firewall’un filtrelenmemiş WAN IP adreslerini hedef alan aygıtlardan kaynaklanan IP trafiğine sebep olur. Bu yönetim trafiğine ve karalisteye alınmış bir aygıtın iletişiminin devam etmesini sağlar.

SYN Flood İstatistikleri

SYN Flood istatistiklerini TCP Trafik İstatistikleri listesinin alt yarısında görüntüleyebilirsiniz. Aşağıda SYN Flood istatistikleri yer almakta.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.