Ortalama DDoS cihazları baktığımızda kullanıcılarına belli başlı ataklara karşı koruma sunar. Şirket ya da kurumun yaptığı yatırım karşılığında bu korumayı almak zaten en doğal hakkı. DDoS cihazlarını bir birinden ayıran özellikler bundan sonra başlıyor; atakları nasıl engelliyor, ne seviyede engelliyor, sistem yöneticisi aradığını ne kadar hızlı ve kolay bulabiliyor, raporlama konusundaki yetenekleri, ataklara karşı donanımsal gücü vs. uzayıp gidiyor. Bu yazımda FortiDDoS cihazını bir adım öne atan özelliklerine kısaca elimden geldiği kadarıyla değinmek istedim. Görselde basit bir topoloji örneğini görebilirsiniz 🙂
Purpose-built for low latency and rapid response
Amaca yönelik donanım ve sezgisel kombinasyonunu bir arada sunan bu özelliği sayesinde, Saldırı esnasında, harici bir ağ ile korunan sunucu alanı arasında bulunan Forti DDoS cihazı, paketleri yüksek bir hızda alabilme, işleyebilme ve ieletebilme kabiliyeti sergiler. Tüm bunları sadece birkaç mili saniyelik gecikme ile gerçekleştirir ve 2 saniyeden daha kısa bir yanıt süresi vardır.
Massive-scale SYN and DNS flood mitigation
SYN flood mitigation and DNS flood mitigation teknikleri ile sadece Ağ DDoS ataklarından korunmaz, buna ek olarak sağladığımız hizmetler, gerçek yani saldırgan olmayan kullanıcılara sorunsuz bir şekilde servis edilir. Zaten kurumlar için önemli olan noktada güvenliği sağlarken hizmet vermeye devam edebilmektir. Saldırganların motivasyon kaynağı olan hizmet kesintisi yaşandığında saldırgan hedefine ulaşmış olacaktır.
Initial learning period
FortiDDoS öğrenme eylemini gelen ve giden paketlere bakarak gerçekleştirir. Sistem ilk olarak detection modda ( tespit etme modu ) devreye alınır. Bu modda sistem çok yüksek eşik değerlerle çalışır ve herhangi bir engelleme işlemi olmaz.
İlk öğrenme zamanı tamamlandığında, sistemin bize önerdiği ve bir önceki eşik değerlere göre muhtemelen daha düşük eşik değerlerle çalışmaya devam ederiz burada amaç log ve trafik incelemesi yaparak false positive ve false negativeleri görmek. Bu değerler göz önüne alınarak tekrar bir fine -tuning işlemi yapılmalıdır.
Artık sistemden tamamen emin olup, bu değerlerle sistemi çalıştırmak istediğimiz anda detection modu prevention ( engelleme ) moduna çevirebiliriz. Bu modda cihaz ACL kuralları ve eşik değerleri referans alarak atak kaynaklarını engellemeye başlar.
Continuous learning
FortiDDoS, trafiği izlemeye başlar başlamaz trafiği öğrenmeye başlar ve öğrenmeyi asla durdurmaz. Trafik hareketliliğini sürekli olarak analiz eder ve atak olmayan trafik hacmi ve saldırıları birbirinden ayıran eşikleri dinamik olarak ayarlar.
Zero Day attack prevention
FortiDDoS, saldırganların henüz hayal etmediği saldırılara karşı koruma sağlayan rate-based analysis ( hız tabanlı analiz ) kullanıyor. Sistem yöneticilerinin müdahale etmesine gerek yoktur. Cihaz ağ sistemlerini ve bant genişliğini otomatik olarak 7/24 koruyacaktır.
Deep packet inspection
FortiDDoS özel donanımı, derin paket incelemesi sağlar. FortiDDoS, HTTP paketlerindeki başlık alanlarını tanımlayabilir ve belirli URL’ler için belirli eşikleri koruyabilir. Bu granuler yapı sayesinde, sistemin belirli bir URL’ye yönelik saldırıları ve atak olmayan isteklerin kaynaklara sağlıklı bir şekilde ulaşmasını sağlar.
Slow connection detection
Botnelerin çoğu sistemin tespit edememesi için yavaş bağlantı tekniğini kullanarak sunucuların aşırı yüklenmesini ve hizmet verememesini hedefler. FortiDDoS, kısmi istekler için eşikleri izleyerek bu tür saldırıları tanımlayabilir. Atak tespit edildiği anda kaynak tüketimini normale çevirmek amacıyla bu bağlantıları keser.
Configurable event monitoring
SNMP, web arayüzü ve mail ile düzenli olarak sistemi kontrol edebiliriz.
Local Address Anti-spoofing
FortiDDoS, lokal ağ adresine sahip bir paketin engellenmesine olanak tanır, eğer bu paket lokal ağ’da herhangi bir hedefe sahip değilse. Bu özelliği sayesinde Ağ’da dolaşan amaçsız paketlerin bloklanarak temiz bir Ağ hedeflenir.
Source tracking
FortiDDoS, Her bir kaynak IP için bağlantı ve davranış hızını izler, böylece saldırıların kaynağını belirleyebilir ve sunucularınıza gönderdikleri trafiğe daha sıkı eşik değerler uygulayabilir.
Service Protection Profiles (SPPs)
FortiDDoS cihazı üzerinde her bir hizmeti korumak için oluşturulan profillerdir. — Hizmet Koruma Profilleri olarak adlandırılır – trafik kalıplarını öğrenir ve uyarlanabilir eşikleri bağımsız olarak tahmin eder. Her bir SPP için yetkili bir kullanıcı oluşturulabilir ve bu sayede multi-tenant yapılarda kullanıma olanak tanır.
Tayfun Soysal
Siber Semt'e Hoşgeldiniz 
Yorum bırakın