یکی از مهمترین بخش های دستگاه امنیتی فورتی وب ( Web Application Firewall ) اعمال تنظیمات IPS می باشد ،
که آرتا گستر در این آموزش به نحوه پیکربندی و آموزش می پردازد. پس در ادامه ما را همراهی کنید...

قابلیت IPS در فورتی وب به عنوان Known attack در web protection معرفی شده است ،بسیاری از Attack ها توسط Signature های فورتی وب قابل بلاک شدن می باشند.

فورتی وب می تواند حملات OWASP TOP10 و سایر حملات را شناسایی و بلاک نماید:
 1. cross-site scripting (XSS)
 2.  SQL injection and many other code injection styles
 3.  remote file inclusion (RFI)
 4. local file inclusion (LFI)
 5. OS commands
 6. trojans/viruses
 7.  exploits
 8.  sensitive server information disclosure
 9. credit card data leaks

فورتی وب موارد زیر را در ترافیک HTTP مورد بررسی قرار می دهد:
-پارامترهای استفاده شده در URL در ترافیک HTTP GET REQUEST
-پارامترهای استفاده شده در Body ترافیک HTTP POST REQUEST
و XMLاستفاده شده در ترافیکHTTP POST REQUEST

ویژگی IPS در فورتی وب از تعداد زیادی Signature تشکیل شده است. برای هر نوع حمله در IPS می توانیم Category مخصوص به ان حمله را مشاهده کنیم . هر category در فورتی وب signature های مخصوص به خود را دارد.این signature ها قابلیت اپدیت شدن را دارند در واقع وقتی اپدیت IPS دریافت می کنیم این Signature ها هستند که به روز رسانی خواهند شد در بعضی اپدیت ها نیز ممکن است که IPS Engine به روز رسانی شود.
  
برای پیکربندی IPS مراحل زیر را طی کنید:


در بخش Known attacks ، signatures می توانیم پروفایل های پیش فرضی که فورتی نت برای Signature ها پیشنهاد داده است را مشاهده کنیم و از ان ها استفاده کنیم.
هرکدام از این پروفایل ها signature های مخصوص به خود را دارند مثلا High level security باعث می شود که IPS با حساسیت بیشتری در ترافیک HTTP به دنبال حمله باشد یا اگر سایت ما با استفاده از WordPress طراحی شده باشد می توانیم از پروفایل WordPress که شامل Signatureهای مربوط به این CMS است را استفاده کنیم .
استفاده از پروفایل هایی که فقط شامل signature های مخصوص وب سایت ما است باعث می شود که Performance بهتری داشته باشیم. به صورت کلی برای ایجاد تغییر در signature ها مثلا فعال کردن یا غیر فعال کردن ان ها باید پروفایل مخصوص به خود را ایجاد نمایم چرا که امکان اعمال تغییر روی profile های پیش فرض امکان پذیر نمی باشد.

برای اینکار در مسیر Known attacks ، signatures گزینه ی Signature wizard را انتخاب می کنیم.


در این wizard ابتدا نوع دیتابیس استفاده شده در وبسایت را تعیین می کنیم.


در مرحله ی بعد نوع وب سرور استفاده شده را تعیین می کنیم.


در این مرحله Profile خود را نامگذاری می کنیم.
با اینکار فقط signature های مطابق با وبسایت ما در پروفایل add خواهد شد مثلا اگر وب سرور خود را IIS انتخاب کنیم در پروفایل خود signature های مربوط به وب سرور Apache وجود نخواهد داشت ،با استفاده نکردن از سایر signature ها در پروفایل عملکرد بهتر و سرعت بیشتری خواهیم داشت.


بعد از ایجاد پروفایل مورد نظر ما با کلیک کردن روی ان می توانیم وضعیت signature ها را بر اساس نوع حمله مدیریت و مانتیور کنیم:
برای مشاهده جزیات دقیق signature ها گزینه ی signature details را کلیک کنید. در صفحه ی لود شده با کلیک کردن روی هر Category از حملات می توانیم signatureها ی مربوط به ان category را مشاهده کنیم در بخش Match example می توانیم نمونه ای از حمله ای که در ان Signature مورد نظر استفاده شده است را مشاهده کنیم . در این قسمت می توانیم signature خاصی را فعال یا غیر فعال کرد یا اینکه Exception برای ان تعریف کنیم.


کنار نام بعضی از حملات عبارت Extended را مشاهده می کنید این Category از حملات شامل تعدادی signature هستند که با حساسیت بیشتری در ترافیک وب به دنبال حمله می باشند استفاده از این Signature ها باعث ایجاد false positive می شود. به صورت کلی استفاده از این Signature ها پیشنهاد نمی شود اما در بعضی سناریو ها ممکن است این Signature ها کارایی داشته باشند.

در بعضی موارد ممکن است شما طراح سایت باشید یا به معماری وبسایت خود اشنا باشید و بخواهید به صورت جداگانه برای سایت خود signature بنویسید این قابلیت در فورتی وب پشتیبانی می شود. برای اینکار به مسیر Known attacks ،custom signature رفته و custom signature مورد نظر خورد را ایجاد نمایید:


و در ادامه نحوه تعریف signature مطابق با سیاست سازمان:
✅تعریفName: در این بخش signature مورد نظر خود را نامگذاری می کنیم.
✅انتخابDirection : در این بخش تعیین می کنیم که signature ما ترافیک را در Request مورد بررسی قرار دهد یا در response که از وب سرور ارسال می شود.
✅انتخابAction: در این بخش تعیین می کنیم زمانی که فورتی وب در ترافیکی که بررسی می کند signature مورد نظر را مشاهده کرد چه اقدامی را اتخاذ کند.
** اگر فورتی وب پشت Load balancer یا دستگاهی که عملیات SNAT انجام می دهد قرار بگیرد به دلیل اینکه در پکت ادرس ارسال کننده به ادرس دستگاهی که عملیات SNAT و Load balance را انجام می دهد تغییر می کند باید X-forwarded-for پیکر بندی شود تا ادرس IP واقعی کاربر بلاک شود نه ادرس دستگاه Load balancer , در غیر این صورت ممکن است تمامی connection ها به سمت فورتی وب بلاک شود.
✅نوع Severity : در این بخش درجه ی حساسیت لاگ ایجاد شده را تعیین می کنیم.
✅انتخابTrigger Action: در این بخش مشخص می کنیم که اگر این signature نقض شد فورتی وب چه اقدامی را در راستای اطلاع رسانی ادمین انجام دهد.

بعد از ایجاد Custom signature می توانیم Rule های مربوطه را در ان ADD کنیم.:

 

بعد از ایجاد Custom signature می توانیم Rule های مربوطه را در آن ADD نماییم.
✅مشخص نمودنMatch operator : در این بخش تعیین می کنیم که فورتی وب با چه مکانیزمی پارامترهای موجود در ترافیک را مورد بررسی قرار دهد:
✅تعیینRegular expression : تعیین می کنیم که فورتی وب از Regular expression استفاده کند.
✅مشخص نمودنGreater thanLess thanNot equal/Equal: تعیین می کنیم که مقادیری که به عنوان Threshold تعیین می کنیم با چه مکانیزمی در پارامترهای ترافیک HTTP سنجیده شود.
✅مقدار دهیThreshold- : مقادیری است که وارد می کنیم تا فورتی وب در ترافیک HTTP به دنبال ان باشد.
✅مشخص نمودنAvailable Target : بخش هایی است که تعیین می کنیم تا فورتی وب در ترافیک HTTP به دنبال ان باشد.

در مرحله ی بعد Custom signature های خود را در در قالب یک Group در می اوریم:


وSignature group خود را در profile که در ابتدای پیکربندی IPS ایجاد کردیم اضافه می کنیم


در نهایت Profile خود را در Web protection profile و متعاقبا در Policy مربوطه قرار می دهیم.