کد 13

Blacklisting and Whitelisting Clients

ایجاد لیست سیاه و لیست سفید برای کاربران

شما می توانید درخواست هایی که از سمت کاربرا ن فرستاده می شود را مستقیما بلاک کنید. بلاک کردن می تواند بر اساس IP Address کاربر، سابقه فعلی کاربر در FortiGuard و یا بر اساس کشور و منطقه ای که IP Address کاربر به آن تعلق دارد، انجام شود. همچنین شما می توانید با ایجاد یک Policy، در قرار گرفتن کاربران در لیست سیاه استثنا قائل شوید.

بلاک کردن Source IP Address از طریق بررسی سابقه ی کاربر

به منظور بلاک کردن موارد زیر، می توانید ویژگی FortiGuard IP Reputation را در دستگاه FortiWeb فعال کنید. IP Reputation از چندین تکنیک جهت شناسایی دقیق و سریع هکرها استفاده می کند. لازم به ذکر است لیست این کاربران توسط تکنیک های فوق به صورت متناوب آپدیت می شود. بنابراین شما می توانید هکرها را قبل از مورد هدف قرار دادن سرور ها بلاک کنید.

  • Botnets
  • Spammers
  • Phishers
  • Malicious Spiders/Crawlers
  • کاربرانی که تحت تاثیر ویروس ها قرار گرفته اند.
  • کاربرانی که از پروکسی های ناشناس استفاده می کنند.
  • حملات DDoS

داده ها و اطلاعات در مورد هکر ها از منابع متعددی در سر تا سر جهان به دست می آید. از جمله این منابع می توان به موارد زیر اشاره کرد:

  • FortiGuard Service Statistics
  • Honeypots
  • Botnet Forensic Analysis
  • Anonymizing Proxies
  • 3rd-Party Sources in the Security Community

توسط این منابع Fortinet سابقه ای را برای هر IP Address گرد آوری می کند. کاربرانی که در حملات مشارکت داشته اند، سابقه و رکورد منفی برای آن ها در نظر گرفته خواهد شد. لازم به ذکر است Fortinet سابقه ی کاربرانی که رفتار و عملکرد آن ها اصلاح شده باشد را به حالت اولیه تغییر می دهد. این مورد زمانی کارآیی خواهد داشت که یک کامپیوتر آلوده و مخرب پاک سازی می شود و یا در مواقعی که با توجه به DHCP یا PPPoE Pool به کاربران جدید IP Address ای که قبلا متعلق به یک هکر بوده اختصاص داده می شود.

ایجاد یک Policy جهت استثنا قرار دادن کاربران از قرار گرفتن در لیست سیاه

  • جهت مستثنی کردن IP Address مربوط به بعضی از کاربران باید تنظیمات مربوط به IP Reputation Exemptions را انجام دهید. بدین منظور از منوی سمت چپ به مسیر Tracking > IP Reputation رفته و از نوار بالای صفحه بر روی گزینه ی Exceptions کلیک کرده سپس گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 9

Blacklisting and Whitelisting Clients 8

نکته:

در فیلد IP Address باید آدرس کاربر مورد نظر را وارد کنید.

  • در ادامه از منوی سمت چپ به مسیر Tracking > IP Reputation رفته و از نوار بالای صفحه بر روی گزینه ی Policy کلیک کنید.

Blacklisting and Whitelisting Clients 7

نکته:

  • در ستون Status گروه های کاربری که قصد بلاک کردن و یا Log گیری از آن ها را دارید را فعال کنید.
  • همچنین تنظیمات مربوط به گزینه های Severity ،Block Period، Action و Trigger Action را با توجه به نیاز خود انجام دهید.

 

  • جهت اعمال IP Reputation Policy گزینه ی IP Reputation را در یک Protection Profile فعال کنید.

ایجاد لیست سیاه و لسیت سفید بر اساس نام کشور و منطقه جغرافیایی

در حالی که ماهیت بعضی از وب سایت ها جهانی می باشد، در مقابل بعضی دیگر از وب سایت ها نیز متعلق به یک منطقه ی خاص می باشند. وب اپلیکیشن های دولتی، که یک سری از سرویس ها را فقط برای شهروندان خود فراهم می کنند، از این دست از وب سایت ها می باشند. در چنین مواردی زمانی که درخواستی از دیگر کشور ها فرستاده شود مورد قبول واقع نمی شود.

دستگاه FortiWeb به شما اجازه می دهد ترافیکی که از سمت IP Address هایی که متعلق به شبکه ای در یک کشور دیگر می باشد را بلاک کنید. دستگاه FortiWeb از یک پایگاه داده به نام MaxMind GeoLite جهت شناسایی IP Address های متعلق به کشور های مختلف استفاده می کند.

تنظیمات مربوط به بلاک کردن بر اساس منطقه جغرافیایی

  • در ابتدا اطمینان حاصل کنید که IP Address مربوط به کاربر در X-Headers و یا در فیلد SRC مربوط به لایه ی IP، برای دستگاه FortiWeb قابل رویت می باشد.
  • اگر برای کاربری که در لیست سیاه قرار دارد و در حال تلاش برای متصل شدن به وب سرور است، قصد استفاده از یک Trigger جهت ایجاد یک Log Message و یا Alert Email را دارید، باید در ابتدا تنظیمات مربوط به Trigger را انجام دهید.
  • اگر قصد دارید در مورد بلاک کردن IP Address مربوط به بعضی از کاربران استثنا قائل شوید ابتدا باید تنظیمات مربوط به Geo IP Reputation Exemption را انجام دهید بدین منظور از منوی سمت چپ به مسیرر Web Protection> Access > Geo IP رفته و از نوار بالای صفحه بر روی گزینه ی Geo IP Exemptions کلیک کرده وسپس گزینه یCreate New را انتخاب کنید.

Blacklisting and Whitelisting Clients 6

  • بعد از انتخاب یک نام برای فیلد Name بر روی گزینه ی Ok کلیک کرده و در ادامه گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 5

نکته:

برای فیلد IPv4/IPv6/IP Range یک IP Address یا یک Range از IP Address را جهت قرار نگرفتن در لیست سیاه وارد کنید.

  • از منوی سمت چپ به مسیرر Web Protection> Access > Geo IP رفته و از نوار بالای صفحه بر روی گزینه ی Geo IP کلیک کرده وسپس گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 4

نکته:

  • برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر باشد.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده کند. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High
  • توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.
  • برای فیلد Exception باید لیست IP Address هایی که در مرحله ی قبل جهت قرار نگرفتن در لیست سیاه ایجاد کردید را وارد کنید.

 

  • بعد از کلیک بر روی گزینه ی OK در ادامه گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 3

نکته:

از لیست Country در سمت چپ، منطقه های جغرافیایی را جهت بلاک کردن انتخاب و آنها را به لیست Selected Country در سمت راست اضافه کنید.

  • جهت اعمال Rule فوق باید آن را در یک Protection Profile انتخاب کنید.

ایجاد لیست سیاه و لیست سفید برای کاربران بر اساس یک  IP Address یا یک Range از IP Address

شما می توانید تعیین کنید یک IP Address متعلق به چه نوع کار بری می باشد به عنوان مثال می توانید یک IP Address را به عنوان کاربری امن، نامشخص و یا غیر قابل اعتماد تعیین کنید:

  •  Trusted IPs: این دسته از IP Address ها تقریبا به صورت همیشگی به وب سرور تحت حفاظت دسترسی خواهند داشت. بیشتر محدودیت هایی که از سمت یک Server Policy ایجاد می شود بر روی این دسته از IP Address اعمال نخواهد شد.
  • Blacklisted IPs: این دسته از IP Address ها بلاک شده و از دسترسی آن ها به وب سرور تحت حفاظت ممانعت به عمل خواهد آمد. درخواست هایی که از سمت این دسته از IP Address ها فرستاده می شود، یک هشدار در غالب HTTP Response دریافت می کنند.

Blacklisting and Whitelisting Clients 2

  • اگر یک IP Address در هیچ کدام از دو دسته ی فوق قرار نگیرد در نتیجه کاربر مربوطه می تواند به وب سرور دسترسی داشته باشد. مگر این که IP Address فوق توسط تنظیمات دیگر بلاک شده باشد.

ایجاد یک Policy جهت تعیین وضعیت یک IP Address

  • اگر قصد استفاده از یک Trigger جهت ایجاد یک Log Message و یا Alert Email، در زمانی که یک کاربر موجود در لیست سیاه در حال تلاش برای متصل شدن به وب سرور است، را دارید باید در ابتدا تنظیمات مربوط به Trigger را انجام دهید.
  • از منوی سمت چپ به مسیر Web Protection> Access > IP List رفته و از نوار بالای صفحه گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 1

نکته:

برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر باشد.

  • بعد از کلیک بر روی گزینه ی OK در ادامه گزینه ی Create New را انتخاب کنید.

Blacklisting and Whitelisting Clients 10

نکته:

  •  برای فیلد Type دو گزینه وجود دارد:
  •  Trust IP: با انتخاب این گزینه IP Address مورد نظر به عنوان یک کاربر امن در نظر گرفته می شود.
  •  Block IP: با انتخاب این گزینه IP Address مورد نظر به عنوان یک کاربر غیر قابل اعتماد در نظر گرفته می شود و به صورت دائمی بلاک و از دسترسی آن به وب سرور ممانعت به عمل خواهد آمد.

توجه شود اگر چندین کاربر IP Address مشابه داشته باشند، احتمال در لیست سیاه قرارگرفتن کاربران امنی که دارای IP Address مشابه با کاربران غیر قابل اعتماد می باشند، وجود دارد. به عنوان مثال زمانی که عملیات NAT بر روی یک گروه از کاربران که در پشت یک  Firewall یا Router می باشند انجام می شود.

  • برای فیلد IPv4/IPv6/IP Range باید IP Address کاربر یا یک Range از IP Address مربوط به کاربران را وارد کنید.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده کند. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High
  • توسط فیلد Trigger Policyمشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.
  •  مراحل فوق را برای هر IP Address ای که قصد قرار دادن آن در لیست مورد نظر را دارید انجام دهید.
  • جهت اعمال لیست فوق، آن را در یک Inline Protection Profile یا Offline Protection Profile انتخاب کنید.

ایجاد لیست سیاه برای Scraper Content و Search Engine و Web Crawlers و دیگر ربات ها 

شما می توانید با استفاده از ویژگی های دستگاه FortiWeb از دسترسی به وب سرور توسط ربات های اینترنتی جلوگیری کنید. ربات هایی از قبیل  :

  • Search Engine Indexers
  • ابزار های خودکار از قبیل Link Checkers, Web Crawlers و Spiders

دستگاه FortiWeb دارای Signature های آپدیت شده برای مقابله با IP Address ها و ربات های خطرناک می باشد. البته این امر مشروط به استفاده ی از سرویس های امنیتی FortiGuard می باشد.

تنظیمات مربوط به دو مورد فوق در آموزش های بعدی مورد بررسی قرار خواهد گرفت.


آخرین بروزرسانی
۱۰ آبان ۱۴۰۲ 
تعداد کلیک
۳