Hướng dẫn cách tạo mới Tùy chỉnh IPS Signature cho một website

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi angelina, 29/3/23.

  1. angelina

    angelina New Member

    - Bài viết này mô tả cú pháp và trường Signature tùy chỉnh (hay Custom Signature) cũng như cách sử dụng chúng để tạo Custom Signature với chữ ký đơn giản hơn trên thiết bị tường lửa FortiGate của Fortinet.

    - Trong tình huống lấy làm ví dụ ở đây chúng sẽ tạo Signature để chặn truy cập tới trang example.com.

    1) Định dạng cơ bản của Signature tùy chỉnh:
    - Toàn bộ các Custom Signature có một header và tối thiểu một cặp từ khóa/giá trị.

    - Header luôn giống như sau:
    F-SBID ( )
    - Cặp từ khóa/giá trị xuất hiện bên trong dấu ngoặc đơn và mỗi cặp được theo sau bởi dấu chấm phẩy.

    2) Chọn tên cho Custom Signature:
    - Mỗi Custom Signature đều yêu cầu một cái tên, vì vậy nên gán một cái tên trước khi thêm bất kỳ một từ khóa nào khác.

    - Sử dụng từ khóa –-name để đặt tên cho Custom Signature này.

    - Giá trị tên theo sau từ khóa sau khoảng trắng. Kèm theo giá trị tên trong dấu ngoặc kép:
    F-SBID( --name "Block.example.com"; )

    - Signature, khi xuất hiện ở đây, sẽ không làm gì nếu được sử dụng. Nó có tên nhưng không tìm kiếm bất kỳ mẫu nào trong lưu lượng mạng. Một mẫu phải được đặt định cho firewall FortiGate để tìm kiếm.

    3) Thêm mẫu Signature:
    - Sử dụng từ khóa –-pattern để chỉ định những gì FortiGate sẽ tìm kiếm:
    F-SBID( --name "Block.example.com"; --pattern "example.com"; )

    - Signature lúc này sẽ phát hiện URL example.com xuất hiện trong lưu lượng mạng. Tuy nhiên, Custom Signature sẽ chỉ phát hiện URL trong lưu lượng HTTP. Mọi lưu lượng truy cập khác có URL phải được phép vượt qua.

    - Ví dụ: không nên dừng một thư Email gửi đến hoặc nhận từ tên miền example.com.

    4) Chỉ định thêm dịch vụ:
    - Sử dụng từ khóa –-service để giới hạn ảnh hưởng của Custom Signature chỉ trên giao thức HTTP:
    F-SBID( --name "Block.example.com"; --pattern "example.com"; --service HTTP; )

    - FortiGate sẽ giới hạn tìm kiếm mẫu trong giao thức HTTP. Mặc dù giao thức HTTP chỉ sử dụng lưu lượng TCP, FortiGate sẽ tự động tìm kiếm giao tiếp giao thức HTTP trong cả lưu lượng giao têos TCP, UDP và ICMP. Đây là một sự lãng phí tài nguyên hệ thống không cần thiết.

    5) Chỉ định loại lưu lượng:
    - Sử dụng từ khóa –-protocol tcp để giới hạn ảnh hưởng của Custom Signature chỉ dành cho lưu lượng TCP.

    - Việc này giúp tiết kiệm các tài nguyên hệ thống bằng cách không quét các lưu lượng UDP và ICMP không cần thiết.
    F-SBID( --name "Block.example.com"; --pattern "example.com"; --service HTTP; --protocol tcp; )

    - FortiGate sẽ giới hạn tìm kiếm mẫu đối với lưu lượng TCP và bỏ qua lưu lượng mạng UDP và ICMP.

    6) Bỏ qua phân biệt chữ hoa chữ thường:
    - Mặc định, các mẫu sẽ phân biệt chữ hoa chữ thường.

    - Nếu người dùng duyệt web của họ đến Example.com, Custom Signature sẽ không nhận ra URL là khớp với mẫu.

    - Sử dụng từ khóa –-no_case để làm cho trường hợp khớp mẫu không phân biệt chữ hoa chữ thường.

    - Việc này giúp tiết kiệm các tài nguyên hệ thống bằng cách không quét các lưu lượng UDP và ICMP không cần thiết.
    F-SBID( --name "Block.example.com"; --pattern "example.com"; --service HTTP; --protocol tcp; --no_case; )

    - Không giống như tất cả các từ khóa khác trong ví dụ này, từ khóa --no_case không có giá trị. Chỉ yêu cầu từ khóa.

    7) Đặt giới hạn mẫu quét chỉ lưu lượng được gửi từ clent:
    - Lệnh –-flow có thể được sử dụng để giới hạn hơn nữa lưu lượng mạng được quét ở mức chỉ được gửi bởi client hoặc server.
    F-SBID( --name "Block.example.com"; --pattern "example.com"; --service HTTP; --protocol tcp; --no_case; --flow from_client; )

    - Các Web server không liên hệ với client cho đến khi client mở phiên giao tiếp lần đầu tiên. Do đó, sử dụng lệnh --flow from_client sẽ buộc FortiGate bỏ qua tất cả lưu lượng truy cập bắt nguồn từ Server.

    - Do phần lớn lưu lượng HTTP đi từ Server đến Client nên điều này sẽ tiết kiệm đáng kể tài nguyên hệ thống mà vẫn duy trì khả năng bảo vệ.

    8) Chỉ định ngữ cảnh.:
    - Khi trình duyệt client cố gắng kết nối với example.com, DNS trước tiên được truy vấn để lấy địa chỉ IP của máy chủ example.com.

    - Sau đó, địa chỉ IP được chỉ định trong trường URL của giao tiếp HTTP.

    - Tên miền vẫn sẽ xuất hiện trong trường máy chủ nên Custom Signature này sẽ không hoạt động nếu không có cặp từ khóa/giá trị máy chủ --context.

    F-SBID( --name "Block.example.com"; --pattern "example.com"; --service HTTP; --no_case; --flow from_client; --context host; ).

    9) Cú pháp cấu hình bằng lệnh CLI:

    # config ips custom
    edit "Block.Example.Custom"
    set signature "F-SBID( --attack_id 5150; --name "Block.example.com"; --pattern "example.com"; --protocol tcp; --service HTTP; --no_case; --flow from_client; --context host; )"
    set action block
    set comment ''
    next
    end

    *Lưu ý.
    - Nếu Custom IPS signature được thêm vào cấu hình của thiết bị FortiGate mà không có thông tin về mức độ nghiêm trọng, thì mặc định là sẽ được đặt ở mức cao nhất.
     
    angelina, 29/3/23
    #1

trang này