Fortigate Firewall USOM Entegrasyonu

Merhabalar;

Bu makalemizde sizlerle  Firewall üzerinde USOM ( Ulusal Siber Olaylara Müdahale) kurumunun yayınlamış olduğu zararlı linkler, ip adresleri, domain (etki alanları) ve zararlı içerikler listesi ile entegrasyon konusunu ele alıyor olacağız.

USOM bizlerle RSS ve TXT olarak ve içeriği sürekli yenilenen bir kaynak paylaşıyor. Bu paylaşım ile Firewall entegrasyonu ve sıkılaştırma işlemi mümkün hale geliyor.

Bu bilgiler ışığında USOM tarafından yayınlanan TXT içeriği ile domain, ip ve url bazlı olarak zararlı içerikleri nasıl engelleyeceğimizi ele alalım. Yapımızda Fortigate 100E modeli 7.2.2 işletim sistemine sahip bir cihaz mevcut.

USOM’un canlı olarak içeriğini güncellemiş olduğu zararlı içeriklere bu linkten ulaşabilirsiniz. https://www.usom.gov.tr/url-list.txt

USOM’un sağlamış olduğu bu veritabanı ile sistemimize zararlı bulaşma ihtimlini aşağı seviyelere çekeceğiz.

İlk olarak harici kaynaklardan alçağımız içeriklere Firewall üzerinden engelleme yapmak ve kurallar yazmak için bu kaynakları cihazımıza tanımlamamız gerekmektedir. Bu nedenle Security Fabric menüsünden External Connectors menüsüne geliyoruz.  +Create New butonuna tıklayalım.  

Firewall cihazımız ile birçok harici kaynak entegrasyonu sağlayabiliyoruz. USOM bağlantılarını tanımlamak için Fortiguard Category , İp Address ve Domain Name içerikleri oluşturacağız.

Fortiguard Category ile başlayalım. Açılan ekranda Name alanına bir isim veriyoruz. URL alanına USOM tarafından sağlanan içerik url yazalım. Refresh Rate (Kontrol etme aralığı) 60 dakika olarak belirledim.

OK butonu ile kaydediyoruz. Kaydettikten sonra aşağıdaki gibi  harici konnektörümüzü cihazımıza eklemiş oluyoruz.

Ip Address ve Domain Name zararlı içerikleri içinde ikinci ve üçüncü harici konnektor tanımlarını yapıyoruz. Son durumda  ise External Connectors kısmı aşağıdaki gibi olacaktır.

Bu işlemlerden sonra Firewall Cihazımızda ilgili sıkılaştırma işlemlerine geçiyor olacağız.

Security Profiles altında bulunan  ilgili Web filter’a geliyoruz. Eklemiş olduğumuz Zararlı Linkler konnektörünü Remote Categories altında göreceğiz. Sıkılaştırmak için Block seçeneğini seçip kaydediyoruz.

Yine Security Profiles altında bulunan  ilgili DNS Filter’a geliyoruz. Eklemiş olduğumuz Zararlı domain konnektörünü Remote Cetegories altında göreceğiz. Sıkılaştırmak için Block seçeneğini seçip kaydediyoruz.

İp bazlı sıkılaştırma yapmak için ise bir kural yazmamız gerekmektedir. Policy & Object menüsü altında yer alan Firewall Policy’e geliyoruz ve yeni bir kural oluşturuyoruz. Oluşturulan kuralda Kullanıcıların Local Networkten İnternete çıkarken USOM’dan almış olduğumuz zararlı ip adreslerine gitmemeleri için Deny seçeneğini seçiyoruz.

Başka bir makalede görüşmek dileğiyle. Umarım okuyuculara faydalı olacaktır.