Er der en måde at konfigurere en fortinet firewall (f.eks. , fortigate600, der kører FortiOS 5 eller FortiOS 4), så den ikke genererer logposter til pings, der er rettet til firewallens egne grænseflader, men stadig genererer logposter for implicit nægtet trafik?
I begge tilfælde, logposterne angiver politikken med id “0” som den politik, der genererer logmeddelelsen.
I tilfælde af vellykkede pings er “status” indstillet til “accept” i loggen, og VDOM-navnet er indstillet som “dstintf”.
Jeg har forsøgt at oprette firewallregler, der matcher ping-trafikken, der er rettet til lokale firewall-grænseflader, med den hensigt eksplicit at deaktivere logning, men det lykkedes mig ikke at komme med en regel, der formår at matche trafikken. Der er også mulighed for at deaktivere logning af implicit regel 0 (den implicitte “benægt” -regel nederst i politikken), men det deaktiverer også logning af nægtet trafik, hvilket ikke er det, jeg ønsker.
Pinging-firewall-grænseflader (til bestemmelse af, at firewall-grænsefladen er tilgængelig) er afhængig af i visse situationer og kan ikke altid designes væk. (F.eks. Er nogle opsætninger, der bruger load balancers). Det er altid ønskeligt at kunne konfigurere netværksudstyr for at undgå, at uønskede loggningsmeddelelser genereres, for at holde mængden af “støj” nede, der sendes til eksterne loggeservere (Splunk osv.), Og i vores tilfælde logger om dem ” heartbeat pings “betragtes bare som støj.
Svar
For Fortigate firewalls, der kører FortiOS 5.0 eller nyere, er det muligt at bruge CLI til specifikt at deaktivere logfiler for accepteret trafik rettet til selve firewallen:
Log på firewall ved hjælp af SSH, og kør derefter følgende kommandoer (forudsat at firewallen har en VDOM med navnet “root”)
config vdom edit root config log settings set local-in-allow disable Dette skal gøres pr. VDOM-basis.
Når dette er gjort, logger firewallen al den nægtede trafik uden at logge accepterede pings, SNMP-overvågningsforespørgsler osv.
Fortinet har flere oplysninger her: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
For Fortigate-firewalls, der kører FortiOS ældre end 5 .0 Jeg antager, at det bedste råd er at opgradere til 5.0 eller nyere og derefter anvende den ovenfor foreslåede indstilling. Det ser ud til, at funktionen “sæt lokal-i-tillad deaktivering” ikke er tilgængelig før FortiOS 5.0.
Svar
En politik tillader kun ping fra bestemte adresser efterfulgt af en politik, der nægter ping fra enhver kilde. har ikke testet det, men hvis det falder på en politik, bør det ikke komme til den implicitte regel.
En anden mulighed er at begrænse admin-login fra en bestemt vært. du kan begrænse admin-login til alle adresser, som du har brug for ping fra, og adresser, der har brug for adgang til den formattede. hvis nogen andre prøver at pinge, blokeres den, inden den kommer til politikkerne.
Kommentarer
- Antag et net 192.168.1.0/24 med en pinging-vært 192.168.1.10 og en firewall-interface kaldet FOOINT med IP 192.168.1.1. I så fald, hvordan vil du foreslå, at destinationsgrænsefladen + IP skal specificeres i en regel, der vil matche ICMP-pings fra den pingende vært til FOOINTs IP-adresse? Jeg har testet alle mulige måder at specificere kildeinterface + adresse og destinationsinterface + adresse. Uanset hvordan de ser ud, så snart selve FW-grænsefladen IP er pinget, resulterer ping i en logindgang, der henviser til implicit regel 0, som om alle firewallregler simpelthen blev omgået.
- Jeg tror, jeg gjorde haste med mit svar 🙂
- Jeg var i stand til at genskabe dette med 5.2.1, de nægtede pings er i lokal trafik, da det er trafik til / fra systemet (VDOM). Jeg kunne kun filtrere dem ud med servicefanen, filtrerede ping og markerede ' ikke '. Jeg har forsøgt at finde noget gennem CLI men ikke held der. Jeg tror ikke, det er muligt overhovedet ikke at generere disse logfiler, men måske prøve chatten med fortinet og se, om de har en idé.
- Ja, jeg vil spørge fortinet, om de ved, hvordan man gør dette.