Ulusal Siber Olaylara Müdahale Merkezi (USOM), Bilgi Teknolojileri ve İletişim Kurumu (BTK) bünyesinde oluşturulan bir birimdir. Yurtiçi ve yutdışı kaynaklı siber suçları ve tehditleri tespit etme ve önleme faliyetleri yürütmektedir. USOM’un resmi sitesinde dinamik bir yapıda olan ve sürekli güncellenen zararlı bağlantı listesi bulunmaktadır. Bu listede USOM’un kendi yakaladığı veya gelen ihbarlar sonuçunda eklediği, zararlı içerikleri olan siteler bulunmaktadır. Zararlı bağlantı listesinin olduğu linki FortiGate ‘e çok kolay bir şekilde entegre ederek kurumunuzda, bir çok zararlı siteye erişimi otomatik olarak engelleyebilirsiniz. Peki, FortiGate nedir ve bu işlemi nasıl gerçekleştirebiliriz? Detaylarını inceleyelim.
FortiGate -NGFW
Fortinet’in öncü ağ güvenliği platformu olan FortiGate, Firewall, Web Filtreleme, Application kontrolü, IPS, WAF, VPN, SD-WAN gibi bir çok ağ ve güvenlik çözümünü bir arada bulunduran yeni nesil güvenlik duvarıdır. Karmaşık siber tehditlere karşı üstün koruma ve yüksek performans sağlayan, sektörde lider konumda olan bir UTM çözümüdür. Kurumunuzu iç ve dış tehditlere karşı koruyarak kapsamlı güvenlik sağlar.
Fortinet tarafından geliştirilmiş FortiASIC işlemcileri ve FortiOS işletim sistemi kullanılarak yüksek performans sağlanır. Fortinet’in FortiGuard adında tehdit istihbarat servisi vardır. FortiGuard Laboratuvarları, tehditlere yönelik olarak gerçek zamanlı istihbarat sağlamakta ve tüm Fortinet çözümlerine kapsamlı güvenlik güncellemeleri sunmaktadır. Fortinet’in Security Fabric mimarisiyle de ayrı güvenlik çözümlerini entegre bir bütün halinde birbirine bağlayabiliriz. USOM zaralı bağlantılar listesini de FortiGate’in Security Fabric altındaki External Connector özelliğini kullanarak herhangi bir script yazmanıza gerek kalmadan çok kolay bir şekilde entegre edip zararlı bağlantılara erişimi otomatik olarak engelleyebilirsiniz.
Nasıl Yapılır?
Öncelikle FortiGate’de oturum açtıktan sonra, Security Fabric altındaki External Connector alanında Create New butonuna basarak Threat Feeds kısmında yeni bir dinamik liste oluşturulur. Threat Feeds alanında 4 farklı tip de liste oluşturma seçeneği vardır. Bunlar FortGuard Category, IP Address, Domain Name ve Malware Hash listeleridir.
FortiGuard Category: Bu kategoride oluşturulan liste “Web Filter” profillinin içerisindeki “Remote Category” altında görünür. USOM zararlı bağlantılar listesini bu kategoriye eklediğimizde listede bulunan URL adreslerini çeker ve onlara erişimi engeller.
IP Address: Bu kategoride oluşturulan liste “DNS Filter” profillerinin içinde “External Domain Block list” altında görünür. USOM zararlı bağlantılar listesini bu kategoriye eklediğimizde listede bulunan IP adreslerini çeker ve onlara erişimi engeller.
Domain Name: Bu kategoride oluşturulan liste “DNS Filter” profillerinin içinde “Remote Category” altında görünür. Bu kategoride liste oluşturup, DNS Filter’da engelleme yaptığımızda DNS trafiği başlamadan, kullanıcıların erişimini otomatik olarak engeller. Bu yüzden çok avantajlıdır.
Malware Hash: Bu kategoride oluşturulan liste “Antivirüs “ profillerinin içerisinde “Use External Malware Block List ” altında yer alır. Virüs salgınını önlemek için otomatik olarak kullanılır.
Bu listelerden örnek olarak FortiGuard Category ‘de USOM zararlı bağlantı listesinin nasıl oluşturulduğunu inceleyeceğiz. Threat Feeds alanın altındaki FortiGuard Category kısmına basarak yeni bir External Connector oluşturulur.
Oluşturulan External Connector için gerekli bilgiler girilir.Yeni bir isim verilir. URI of external resource alanına verilerin alanacağı adres yazılır. USOM resmi sitesinde yer alan sürekli güncellenen zararlı sitelerin bulunduğu adres (https://www.usom.gov.tr/url-list.txt) bu kısıma yazılır. Farklı kaynaklardan aynı şekilde listeler alıp ekleyebilirsiniz. Eğer listeyi aldığınız site kimlik doğrulaması istiyorsa HTTP basic connection bölümünü açıp gerekli bilgileri girebilirsiniz. USOM resmi sitesi için kimlik kanıtlamasına ihtiyaç yoktur. Refresh Rate bölümünde, kaç dakikada bir verilerin güncelleneceği belirlenir. Default olarak 5 dakikadır. 5 dakika çok kısa olduğu için 60 dakika olarak ayarlanabilir. Son olarak Ok tuşuna basarak işlem tamamlanır.
Bu işlemden sonra FortiGuard Category Threat Feed öğesi oluşur. Liste eklendiğinde sol alt kısmındaki ok tuşundan erişim olup olmadığını görebilirsiniz. Eğer kırmızı ise henüz erişim kurulamamıştır. Yenile ikonuna tıklayarak bağlantı durumu başlatılır.Yenileme işleminden sonra kısa süre içerisinde yukarı ok servisi UP durumuna geçer. Liste sisteme eklendikten sonra FortiGuard Category Threat Feed alanında sağ tıklayıp View Entries alanına girerek liste içindeki site adreslerini görebilirsiniz.
Oluşturulan dinamik engelleme listesi, Security Profiles > Web Filter alanında FortiGuard Category Based Filter kısmındaki Remote Categories kısmının altına gelir. Listeye tıklanarak Block işlemi gerçekleştirilir.Böylece USOM zararlı bağlantı listesinde bulunan zararlı sitelere kullanıcıların erişmeleri engellenir.
Oluşturulan bu Web Filter, mevcut bir kuralda kullanabileceği gibi yeni bir kural da yazılabilir. Policy&Object > Firewall Policy alanında oluşturulan kuralda Security Profiles altındaki Web Filter kısmını açarak oluşturulan Web Filter profili seçilir.Artık bu kuraldan internete çıkan kullanıcıların, USOM zararlı bağlantılar listesindeki sayfalara erişimi otomatik olarak engellenir.
