iT邦幫忙

0

Fortigate 80cm DNS攻擊?

請教各位前輩,這是DNS被攻擊嗎?要怎麼阻擋呢?
公司有五台主機,接在Internal界面,一直被攻擊的是Web Server(10.0.1.2)和Mail Server(10.0.1.3)二台,DNS架在web Server上面,我有試著阻擋來源IP,但IP會變動><



0
zyman2008
iT邦大師 8 級 ‧ 2015-09-14 09:12:38
最佳解答

一早頭腦不清楚,要刪回應竟然把回答刪了. 補一下資料:

一.利用Custom IPS signature過濾非必要的DNS查詢
http://video.fortinet.com/video/81/create-custom-ips-signatures-to-block-attacks

  1. 建一條自定的(Custom) IPS signature (從影片第4:05 開始)
    (1)名稱輸入名稱, 例如 DNS.AmpAttack.Attempt
    (2)Signature輸入下列這一串語法: (先把 example.com 換成你的DNS domain)
    F-SBID(--name "DNS.AmpAttack.Attempt"; --protocol udp; --service DNS; --pattern !"example.com"; --no_case; --context host; --log DNS_QUERY; )
    2.建一個新的IPS sensor (從影片第4:36 開始)
    要注意的是在影片4:50的動作, 選了這條custom signature後. 在畫面最底下的Action, 請選Block All.
    3.將IPS sensor套用到Internet to Server的policy去

二.擋國家地址的設定步驟如下,
1.先建立地址物件
在Fortigate的Web管理介面,政策&物件>物件>地址,新建一個類型為"地裡位址"的物件.

2.若有多個國家就要先建多個地理物件,再建地址群組把這些地理物件加入.
3.在firewall policy就可以用這些物件當來源或是目的條件.

kohss iT邦新手 4 級 ‧ 2015-09-14 14:22:50 檢舉

Hi zyman:
呵,謝謝你,我Block一堆國家WAN1->Internal,又學到一個新功能,
我在想是否應該重新規劃,將DNS service和web server分開(目前是架在同一台),
DNS server firewall設定只開UDP53和只允許台灣的IP查詢DNS服務(應該是不會有從國外來的IP吧,遇到再說)
web server只開80 port,你覺得這樣規劃是ok的嗎?謝謝

2
yesongow
iT邦大師 1 級 ‧ 2015-08-31 14:03:47

請問原POST
當公司郵件主機收到信件,一封信件是5MB

您覺得這樣算是一次連線,傳遞大小5242880 bytes

還是
您覺得這是5242880次DDoS呢?

kohss iT邦新手 4 級 ‧ 2015-08-31 14:33:37 檢舉

Hi yesongow:所以這個算是正常的連線嗎?
剛接觸管理DNS/firewall,如果有我錯誤的觀念再麻煩你糾正觀念^^""

0
mytiny
iT邦大師 1 級 ‧ 2015-08-31 18:36:57

不知版大是否有購買IPS服務的授權,
然後也有將IPS防護放入規則中
按圖1看起來連線數很低,來源也不算多
未必是DNS Amplification Attack,
版大可以觀察一下CPU及memory數值是否很高
以FG80CM來說,受攻擊時數值會很明顯到很高

當然查清楚web server及DNS server的設定也很重要
Fortigate上有IPS功能可以自動隔離攻擊者IP若干時間
當然也有防DDoS部分功能的設定(還有進階隱藏版指令)
如果您有維護的設備廠商,應請其提供相關技術支援
版大在查明Server內容後,應當加強Fortigate的防護

看更多先前的回應...收起先前的回應...
kohss iT邦新手 4 級 ‧ 2015-08-31 20:13:10 檢舉

Hi mytiny:
CPU使用率10%以下,記憶體使用率一直維持在48%,
公司有買Fortigate服務,但不知是否有含IPS服務的授權?
你說Fortigate上有IPS功能可以自動隔離攻擊者IP若干時間,是否採取行為"封鎖",就可以做到此功能呢?謝謝您~

mytiny iT邦大師 1 級 ‧ 2015-09-01 09:56:36 檢舉

版大CPU,memory使用率不高,主機是否也是不高呢?
一般DDoS攻擊或Amplification Attack會非常明顯佔用資源
即便用slow attack,您都會感到主機明顯異常

貴司有含IPS等"全"授權(簡稱BDL),至今年底12-30
小弟倒是好奇怎麼沒有廠商做技術支援服務呢?
zyman2008大提供的影片,建議仔細看看,特別是4:50-5:35,
要做到自動隔離攻擊者IP若干時間,請改採用"隔離"
但建議版大或服務廠商要把IPS好好重新設定一下
順便提醒版大OS版本太舊,5.0到11月就EoS嘍

kohss iT邦新手 4 級 ‧ 2015-09-01 16:51:06 檢舉

Hi mytiny:
1,請問BDL全名是?
有簽維護確沒有廠商做技術支援服務,一言難盡啊!
之前負責同事已離職,我沒DNS/FW實務經驗(趕鴨上架),
配合的廠商態度強硬,怕我把FW設定搞壞,他們要來收拾善後咩,
問相關設定都say no,之前想更新firmware也被一口回絕,所以...
我只能求助google大師和像你們這些熱心的朋友了><
2,請教更新fotigate firmware要一版一版更新上去,請問順序對嗎?
110c
目前版本:v4.0,build0303,101214 (MR2 Patch 3)
更新順序:4.2.13 ► 4.3.6 ►4.3.11 ►4.3.15 ►5.0.7 ► 5.0.10 ► 5.2.3
80CM
目前版本:v5.0,build0252(GA Patch 5)
更新順序:5.0.7 ► 5.0.10 ► 5.2.3
更新至最新版本的firmware好像Browser的版本也要配合?
因我用新版本的Browser登入v4.0有些畫面會hold住
3,5.0到11月就EoS, eoS??指的是?
謝謝喔

wtlin iT邦新手 1 級 ‧ 2015-09-01 17:16:56 檢舉

http://www.fortinet.com.tw/partners/taiwanpartners.html
可直接找fortinet台灣經銷商協助排除問題,
即使你不是他們的配合廠商他們也會提供協助。
配合的廠商如果知道自己要被換掉,
態度應該就硬不起來了吧。

mytiny iT邦大師 1 級 ‧ 2015-09-01 18:58:54 檢舉

BDL= UTM Bundle License:意指:含硬體保固及AV,IPS,webfilter,spam服務授權
如果更新OS超過3級,小弟建議不如重新灌OS重設吧
所以可以試試FG80CM,在5.0升5.2要特別小心點
那台FG110C,建議找人重做一下
至於瀏覽器,說實話確實有些限制(原廠有公告)
小弟個人習慣用Chrome,但是版本要很注意
目前如果使用Chrome44以上都會有奇怪現象,建議用Chrome40
如果版大操作OS4.x版本,建議要用Chrome38以下版本
更正一下OS到11月應該是EOES(原廠最新修正)
Fortinet產品生命週期用語如下:
EOO : End of Order Date
LSED: Last Service Extension Date
FFR : Final Firmware Release
EOS : End of Support Date
EOES: End of Engineering Support Date

kohss iT邦新手 4 級 ‧ 2015-09-04 16:53:50 檢舉

Hi wtlin:謝謝你的提供的建議.^^
Hi mytiny:
謝謝你,請問官網哪邊可以找到firmware版本和建議使用搭配的broswer版本呢?
您對fortinet的產品很熟悉嗎?方便之後如果有f/w問題私訊問你嗎謝謝
ps:我之後會把問題刪除,上面有一些doman name和外部ip

mytiny iT邦大師 1 級 ‧ 2015-09-05 08:58:18 檢舉

官網上每個OS的Release Notes裡面的Product Integration and Support
都有很詳細的說明各Broswer及相關產品的搭配(只是發現很少人去看)
歡迎互相切磋琢磨。

mytiny iT邦大師 1 級 ‧ 2015-09-05 09:47:42 檢舉

補充回應關於版大的主題:
在防火牆上常看到一些不明的IP來對公司主機做莫名的"服務"要求
例如版大Box Mail Server被詢問DNS
通常有可能是因為主機內的問題所引來(例如不提供DNS卻一直被詢問)
防火牆可以在Wan1 > Internal 做政策來管理
先deny某些IP,某些服務,可以
但是虛擬IP對應,也可鎖定只提供某些port service
或是在服務的部份把all取消,改採開放使用到的service
(版大的圖看不出虛擬IP是否有對應Port還是整個IP對應,請自行查證)
至於IPS設定似乎沒有產生作用,因為在Log上"威脅"是完全空白
請自行到政策中再檢查一下

kohss iT邦新手 4 級 ‧ 2015-09-06 21:02:22 檢舉

Hi mytiny:
1,了解,我再去官網找Release Notes,謝謝
2,上面圖log都是"轉發流量"截取的,下圖是從secuity log截取,狀態是dropped,所以應該是有作用的

3,前同事把所有的服務都打開了,所以正確的FW Policy應該只開放服務使用到的port,而不是像目前的policy,遇到哪些port一直被攻擊就Deny,覺得這好像不是正確ploicy的設定,對嗎?
4,BOX Mail Server一直有外部IP對它做DNS查詢,請問這是代表mail server有提供DNS的服務,所以才會有外部對它做查詢DNS服務嗎?如果是的話還真的不太了解為什麼mail Server須要提供DNS的服務,我會問問廠商.疑惑

2
htcj0110
iT邦新手 5 級 ‧ 2015-09-05 10:59:11

除了上面各位大大提到的之外,留意一下內部,曾遇過的狀況是,內部有電腦中鏢,被植入惡意程式,進而攻擊內部的伺服器.因此,也不要忘了內部可能也是攻擊源頭之一.

kohss iT邦新手 4 級 ‧ 2015-09-06 21:09:17 檢舉

Hi htcj0110:
好的,我會留意的謝謝

我要發表回答

立即登入回答