Comunidad FORTIGATE.es

Hola Foro,

Tengo unas dudas con respecto a las políticas de DoS, a ver si me pueden ayudar.

La política de DoS tiene como parámetros:
- Interface
- Dirección origen
- Dirección destino
- Puertos

Ahora bien:

yo tengo en mi Fortigate configurada una política aplicada a la interface wan1 (mi enlace a internet), all/all/any

Obviamente tiene también los parámetros de bloqueos (ej: 5000 sesiones)
Esto significa que si entran desde "una única IP" 5001 sesiones bloqueara las excedentes a mi parámetro? (5000)
o
significa que si entran 5001 sesiones en total (desde varias IPs) dejara entrar solo las primeras 5000?

Como se configurarían estas 2 opciones?

Ya que puedo tener una aplicación/server que soporta ....... 30.000 sesiones, por lo que necesitaría bloquear el excedente para no superar ese limite, pero por otro lado podría querer que si llegan mas de 1000 sesiones desde una única IP también sean bloqueadas porque se supone un ataque

Y la otra parte de esta consulta:

Tengo mi interface wan1 con una política all/all/any sesiones=5.000
esto seria para proteger todas las aplicaciones en todas mis interfaces

pero mi aplicación esta en la interface port10 (o VLAN201).

Tengo una VIP que lleva la IP publica a la privada y quiero proteger esta aplicación

Debería crear una política que sea:

Interface = VLAN201
IP Origen = all
IP Destino = IP privada dentro de la VLAN201
Puertos = HTTP

El tema es que mi aplicación soporta 30.000 conexiones y quiero dejar que entren si vienen desde diferentes sitios, pero no quiero que superen las 1000 desde una sola IP por considerarla ataque

Como se relacionan la política de la wan1 y la otra de la VLAN201?
cual aplica ?

Espero haber sido claro.

Desde ya muchas gracias

Saludos

Daniel

Ya tengo la respuesta y la comparto por si a alguien mas le surge la duda:

Se puede configurar lo siguiente:

• Incoming Interface : Es la interface (física o lógica) en la que se aplica.
Si el FW está entre una Interface externa y una interna se aplica sobre la interna (resumiendo, en la mas cercana al/los equipo/s a proteger)
• Source Address : Origen del tráfico (puede tener “all”)
• Destination Address : IP de destino del tráfico (server o red a proteger, puede tener “all”)
• Service : Puerto / protocolo a proteger (puede tener “all”)

Anomalias a monitorear:

• tcp_syn_flood : nro de paquetes por segundo hacia un destino (nuevas conexiones por segundo)
• tcp_port_scan : nro de paquetes por segundo desde un origen (nuevas conexiones por segundo)
• tcp_src_session : conexiones concurrentes desde un origen
• tcp_dst_session : conexiones concurrentes hacia un destino (nuevas conexiones por segundo)
• udp_flood : trafico UDP hacia un destino (nuevas conexiones por segundo)
• udp_src_session : sesiones concurrentes desde un origen
• udp_dst_session : sesiones concurrentes hacia un destino
• icmp_flood : paquetes ICMP hacia un destino
• icmp_sweep : paquetes ICMP desde un origen
• icmp_src_ session : sesiones ICMP desde un origen
• icmp_dst_ session : sesiones ICMP hacia un destino
• ip_src_session : sesiones IP desde un origen
• ip_dst_session : sesiones IP hacia un destino
• sctp_flood : paquetes SCTP hacia un destino
• sctp_scan : paquetes SCTP desde un origen
• sctp_src_session : sesiones concurrentes SCTP desde un origen
• sctp_dst_session : sesiones concurrentes SCTP hacia un destino

En el caso del ejemplo se debería configurar dos DoS policies:

Primera:

1.- Habilitando la parte de tcp_dst_session en la cual se coloca el numero de sesiones a limitar hacia el sever ejemplo: 30000.

Segunda:

2.- Habilitando la parte de tcp_src_session o ip_src_session, en la cual se configura el número máximo de conexiones desde una IP.


[Debes identificarte para poder ver enlaces.] (pagina 101 y 102)

Espero les sea de utilidad.

Saludos

Daniel

Hola,

Tambien aparte para automatizar mas el proceso de los bloqueos de anomalias de las ip`s atacantes puedes hacer que automaticamente caigan en cuarentena, de esta forma cualquier petición desde este origen sea denegado.

Esto solamente lo puedes activar via CLI:

FGT# config firewall DoS-policy

FGT#(DoS-policy) # show
config firewall DoS-policy
edit 1
set interface "WAN1"
set srcaddr "all"
set dstaddr "all"
set service "ALL"
config anomaly
edit "tcp_syn_flood"
set status enable
set log enable
set action block
set quarantine attacker
set quarantine-log disable
set threshold 2000

Luego ante cualquier ataque podrás visualizar la ip del atacante desde el monitor de cuarentena.

Saludos.