Merhabalar,

             Bu yazida sizlerle aginizda bir ASA Firewall var ise uygulayabileceginiz bir güvenlik önlemi olan service policy ile connection sinirlamasindan bahsedecegim.
Birçok ag yöneticisinin temel sorunlarindan biri kendi aginin güvenligi saglamaktir. Cihaz güvenliginden, kullanicilara giden trafigin kontrolüne kadar birçok korumasi gereken alan mevcut. Her ne kadar birçok alanda kendinizi koruyabilseniz de teknolojinin ilerlemesi saldiri ve tehdit unsurlarinin da gelismesi, ilerlemesi anlamina geliyor. Bundan dolayi güvenlige yapilan yatirimin sürekli ve güncel olmasi gerekiyor.

             Bu tehditlerin basinda gelen iki unsur var ki eger ag yöneticisi iseniz maalesef ki göz ardi edemeyeceginiz derecede önem arz ediyorlar. DDoS ( Distributed Denial of Service ) ve BotNET.
Bu iki unsurda birbiriyle ilintili. Eger aginizda bir BotNET mevcut ise bu kisa sürede üzerinde açik olan birçok diger cihaza bulasabiliyor. Ve bu cihazlar bir DDoS saldirisinda kullanilabiliyor. Birçok kullanici bu saldirilara katildigindan habersiz günlük internet islemlerine devam ediyorlar. Eger biraz bant genisligi isteyen isler yürütüyor iseler yavaslik sikâyeti ile sizlere geliyorlar.
Isin hikâye kismini bir kenara birakirsak, bu saldirilardan tamamiyla korunmak oldukça pahali bir islem. DDoS ve BotNET filtreleme cihazlari sizi bir yere kadar koruyabilir. Ama olur da küresel bir saldiriya denk düserse yolunuz aginiz ve cihazlariniz bunu ne kadar kaldirabilir tartisilir.
Bir ag yöneticisinin sahip oldugu agin karakteristigini bilmesi gerekir. Günlük kullanici sayisi, baglanti sayisi, bant genislikleri, olusan trafik çesitleri vs. Bu izler isiginda aginda olusan anomalilikleri de tespit edebilmesi gerekir. Hiçbir özel durum olmadigi halde bant genisligindeki ani bir artis, baglanti sayilarindaki degismeler o siralar bir DDoS saldirisi altinda bulunuyor veya bir BoTNET’in kurbani oluyor olabilirsiniz.
             Eger aginizdaki karakteristige hâkim iseniz bu durum sizin gözünüzü korkutmasi çünkü basit bir önlem ile bu sayilari gene alistiginiz seviyelerde tutmaniz mümkün.
Simdi elimizde bir adet ASA 5585-X Firewall var. Üstünde de Premium Licence’a sahip. Bu cihazla DDoS ve BotNET’lere karsi nasil bir önlem alabiliriz onu tartisalim.
Donanimsal özellikleri gayet iyi olan bu cihaz bile 3 milyon baglanti sayisina ulastiginda zorlanmaya baslayacaktir. Eger bir DDoS saldiri altindaysaniz bu rakamlar size oldukça normal gelmeli. Peki, 3 milyona ulasmadan bunu nasil durdurabiliriz? Elimizdeki ASA ile bunu nasil yapariz?

Tabi ki imdadimiza yetisen service policy’ler ile. Öncelikle ilgili trafiklerimizi tanimlayalim:

access-list KULLANICILAR extended permit ip 192.168.0.0 255.255.0.0 any
class-map IC_Network
 match access-list KULLANICILAR
policy-map CONN_LIMIT
 class IC_Network
 set connection conn-max ABCD embryonic-conn-max ABCD per-client-embryonic-max ABCD per-client-max ABCD
service-policy CONN_LIMIT interface IC_INTERFACE

Tüm yapilandirmamiz bu kadar.Simdi neler yaptigimiza bir bakalim. Sorunumuz bir DDoS saldirisi altindayiz ve iç agimizda BotNET’ler mevcut.
BotNET bulasmis cihazlar kendiliginden dis agdaki diger cihazlara baglanti istegi gönderip onlarin performanslarini zorlayacaklar. Biz ASA’nin baglanti sinirlama özelliklerini kullanarak, karakteristigini bildigimiz agimizin o karakteristige uygun davranmasini dikte etmis oluyoruz.
Öncelikle bir ACL ile ilgili agimizi daha dogrusu trafigimizi tanimliyoruz.

access-list KULLANICILAR extended permit ip  192.168.0.0 255.255.0.0 any


Bir class-map olusturup class-map içerisindeki degerlendirme kistasimizi belirtiyoruz.

class-map IC_Network
  match access-list KULLANICILAR

Daha sonra bu class-map’i bir policy-map altinda girip gerekli sinirlandirmalarimizi yapiyoruz.

policy-map CONN_LIMIT
class IC_Network
set connection conn-max ABCD embryonic-conn-max ABCD per-client-embryonic-max ABCD per-client-max ABCD

Burada;
conn-max: Ilgili trafikle ilgili olusabilecek maksimum baglanti sayisi.
embryonic-conn-max: Ilgili trafikle ilgili olusabilecek maksimum yari-açik (half-open) baglanti sayisi.
per-client-max: Ilgili trafikteki her bir ip adresinin olusturabilecegi maksimum baglanti sayisi.
per-client-embryonic-max: ilgili trafikteki her bir ip adresinin olusturabilecegi maksimum yari-açik baglanti sayisi.
Daha sonra bu policy’mizi

service-policy CONN_LIMIT interface IC_INTERFACE

ile uyguluyoruz.
Bir policy-map altina birden fazla class-map girebilirsiniz ve bunlara ayri ayri sinirlandirmalar getirebilirsiniz. Bu sayede farkli farkli birçok trafigi tanimlama imkâni bulabilirsiniz. Sunucu trafiginizi, yerel veri trafiginizi, dis aglarin sizin iç aginizla olan baglanti sinirlarini ayarlayabilirsiniz.
Bu degerleri kendi agimiza göre düzenleyip zaman içerisinde ihtiyaçlara göre gerekli ayarlamalari yaparak çok agir olmayan DDoS saldirilarindan kendinizi kurtarabilirsiniz.

Musa Aydin – aydinmu@netoburus.com

 


0 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir