FortiGate IPS ve Gelişmiş Tehdit Koruması

IPS Profilleri, AntiVirus, Botnet / C2 ve En İyi Pratikler Rehberi

FortiGate IPS ayarları, ağınıza yönelik bilinen saldırıları imza tabanlı ve davranışsal analizle tespit edip engellemenin en etkili yollarından biridir. Bunun yanında FortiGate ekosisteminde AntiVirus, Web Filter, Application Control ve FortiGuard servisleri ile birlikte kullanıldığında “katmanlı güvenlik” yaklaşımı ortaya çıkar. Bu rehberde IPS profil seçimi, yanlış pozitif (false positive) yönetimi, performans dengesi ve pratik devreye alma adımlarını ele alıyoruz.

Bu rehberde neler var?

  • FortiGate IPS nasıl çalışır? İmza mantığı ve koruma yaklaşımı
  • IPS profil seçimi: balanced / strict / custom yaklaşımı
  • AntiVirus (AV) tarama modları ve kritik ayarlar
  • Botnet / C2 (Command & Control) tespiti ve outbound tehdit analizi
  • False positive azaltma ve istisna yönetimi
  • Performans: CPU/latency dengesi, SSL inspection etkisi

1) FortiGate IPS Nedir ve Nasıl Çalışır?

IPS (Intrusion Prevention System), ağ trafiğini “saldırı imzaları” ve bazı durumlarda davranışsal göstergeler üzerinden inceleyerek bilinen exploit denemelerini, brute force saldırılarını, zafiyet taramalarını ve protokol anormalliklerini engeller. IPS’nin etkili olması için iki temel şart vardır: doğru profil ve düzenli imza güncellemesi.

Önemli

IPS’yi “açtım bitti” gibi düşünmeyin. Üretim ağında yanlış profil seçimi performansı düşürebilir veya meşru trafiği engelleyebilir. Doğru yaklaşım: kademeli devreye alma + log analizi + kontrollü sıkılaştırmadır.

IPS profil seçimi (pratik yaklaşım)

  • Balanced / Recommended: Çoğu kurumsal ortamda güvenlik-performans dengesi için başlangıç profili.
  • Strict: DMZ’de yayın yapan servisler veya yüksek riskli segmentler için daha agresif koruma.
  • Custom: Log verilerine göre imza/özel kural seçimi ile en kontrollü yaklaşım.

2) AntiVirus (AV) Koruması: Sadece Dosya Taraması Değil

FortiGate AntiVirus profili; HTTP/HTTPS, FTP, SMTP/POP3/IMAP gibi protokoller üzerinden geçen içerikleri tarayarak zararlı dosyaları tespit etmeye çalışır. AV tarafında kritik nokta, “nerede tarayacağınız” ve “hangi aksiyonu uygulayacağınız”dır. Kurumsal ortamda genellikle block + log yaklaşımı tercih edilir.

Pratik öneri

AV’yi önce “internet çıkış policy”lerinde devreye alın. Sonra VPN kullanıcı trafiği ve riskli segmentlerde kapsamı genişletin. İlk 1-2 hafta logları izleyerek false positive ve kullanıcı etkilerini ölçün.

3) Botnet / C2 ve Outbound Tehdit Analizi

Saldırıların önemli bir kısmı “içeride başlayan” veya “içeriden dışarıya” akan trafikle görünür hale gelir. Botnet/C2 (Command & Control) tespiti, zararlı bir istemcinin dışarıdaki komuta sunucusuyla konuşmasını yakalamayı hedefler. Bu yüzden sadece inbound değil, outbound trafiğin de güvenlik profilleriyle kontrol edilmesi gerekir.

  • Şüpheli domain/IP reputation takibi (FortiGuard)
  • Anomali trafiği: alışılmadık port/protokol davranışları
  • DNS tabanlı tünelleme ve veri sızıntısı riskleri
  • Log korelasyonu (kullanıcı, cihaz, zaman)

4) False Positive (Yanlış Alarm) Yönetimi

IPS/AV gibi koruma katmanlarında meşru trafiğin engellenmesi “false positive” olarak görülür. Bu noktada iki uç hata yapılır: Ya IPS tamamen kapatılır ya da kullanıcı şikayetleri “istisnalarla” kontrolsüz büyür. Doğru yöntem: log analizi → sebep tespiti → dar kapsamlı istisna → yeniden gözden geçirme.

İstisna yazarken dikkat

  • İstisnayı “Any/Any” gibi geniş bırakmayın; kaynak/hedef/servis net olsun.
  • Mümkünse sadece ilgili VLAN veya ilgili kullanıcı grubu için uygulayın.
  • İstisnaya açıklama ve gözden geçirme tarihi ekleyin.

5) Performans Optimizasyonu: Güvenlik Seviyesi Nasıl Dengelenir?

IPS/AV profilleri CPU ve gecikme üzerinde doğrudan etki oluşturabilir. Özellikle SSL inspection ile birlikte çalıştığında yük artar. Bu nedenle devreye alırken sistem metriklerini izlemek şarttır: CPU, memory, session sayısı, throughput ve latency.

Kontrol edilmesi gerekenler

  • CPU % kullanım ve ani spike’lar
  • SSL inspection açıkken gecikme / kullanıcı şikayetleri
  • En çok tetiklenen IPS imzaları (log üzerinden)
  • Session tablosu doluluk ve peak saat davranışı

Sık Sorulan Sorular

IPS kapatılabilir mi?

Teknik olarak evet; ancak özellikle DMZ yayınları, VPN kullanıcı trafiği ve internet çıkışında IPS kapatmak güvenlik seviyesini ciddi düşürür. Daha doğru yaklaşım: profil/istisna optimizasyonu ile IPS’yi sürdürülebilir hale getirmektir.

Strict profil her yerde kullanılmalı mı?

Genellikle hayır. Strict profil, yayın yapan servisler (DMZ) veya yüksek riskli segmentlerde anlamlıdır. Kullanıcı internet çıkışında önce balanced/recommended ile başlayıp loglara göre sıkılaştırmak daha güvenlidir.

FortiGate IPS / AV Yapılandırma Desteği Alın

IPS profillerini doğru seçip false positive’leri minimize edelim; performans dengesini bozmadan katmanlı güvenlik kuralım. İsterseniz mevcut konfigürasyonunuzu analiz edip üretim ortamına uygun optimize bir profil seti hazırlayabiliriz.