¿Hay alguna manera de configurar un firewall de Fortinet (p. Ej. , fortigate600 ejecutando FortiOS 5 o FortiOS 4) para que no genere entradas de registro para pings que se dirigen a las propias interfaces del cortafuegos, pero todavía genera entradas de registro para tráfico denegado implícitamente.
En ambos casos, las entradas del registro especifican la política con id «0» como la política que genera el mensaje de registro.
En el caso de pings exitosos, el «estado» se establece en «aceptar» en el registro y el nombre del VDOM es establecido como «dstintf».
He intentado crear reglas de firewall que coincidan con el tráfico de ping dirigido a las interfaces de firewall locales, con la intención de deshabilitar explícitamente el registro, pero no pude encontrar una regla que lograr igualar el tráfico. Además, existe la opción de deshabilitar el registro para la regla 0 implícita (la regla «denegar» implícita en la parte inferior de la política) pero que también deshabilita el registro de tráfico denegado, que no es lo que quiero.
Hacer ping a las interfaces del firewall (para determinar que la interfaz del firewall está disponible) se utiliza en ciertas situaciones y no siempre ser diseñado lejos. (Por ejemplo, algunas configuraciones utilizan equilibradores de carga). Además, siempre es deseable poder configurar el equipo de red para evitar que se generen mensajes de registro no deseados, para reducir la cantidad de «ruido» que se envía a los servidores de registro externos (Splunk, etc.) y, en nuestro caso, registros sobre esos » heartbeat pings «se considera ruido.
Respuesta
Para los firewalls Fortigate que ejecutan FortiOS 5.0 o más reciente, es posible utilizar el CLI para deshabilitar específicamente los registros para el tráfico aceptado dirigido al firewall mismo:
Inicie sesión en el firewall usando SSH, luego ejecute los siguientes comandos (asumiendo que el firewall tiene un VDOM llamado «root»)
config vdom edit root config log settings set local-in-allow disable Esto debe hacerse por VDOM.
Una vez hecho esto, el firewall sigue registrando todo el tráfico denegado, sin registrar los pings aceptados, Consultas de supervisión de SNMP, etc.
Fortinet tiene más información aquí: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Para firewalls Fortigate que ejecutan FortiOS anteriores a 5 .0, supongo que el mejor consejo es actualizar a 5.0 o más reciente y luego aplicar la configuración sugerida anteriormente. Parece que la función «establecer deshabilitación local en permiso» no está disponible antes de FortiOS 5.0.
Respuesta
Una política permitiendo hacer ping solo desde direcciones específicas siguiendo una política que niega el ping desde cualquier fuente. no lo he probado, pero si cae en una política, no debería llegar a la regla implícita.
Otra opción es restringir el inicio de sesión de administrador desde un host específico. puede restringir el inicio de sesión de administrador a todas las direcciones desde las que necesita hacer ping y las direcciones que necesitan acceso a fortigate. si alguien más intenta hacer ping, se bloqueará antes de que llegue a las políticas.
Comentarios
- Suponga una red 192.168.1.0/24 con un host de ping 192.168.1.10 y una interfaz de firewall llamada FOOINT con IP 192.168.1.1. En ese caso, ¿cómo sugeriría que se debe especificar la interfaz de destino + IP en una regla que haga coincidir los pings ICMP del host que hace ping con la dirección IP de FOOINT? He probado todo tipo de formas de especificar la interfaz de origen + dirección y la interfaz de destino + dirección. No importa cómo se vean, tan pronto como se hace ping a la IP de la interfaz FW, el ping da como resultado una entrada de registro que hace referencia a la regla 0 implícita como si todas las reglas del firewall simplemente se pasaran por alto.
- Creo que sí. apresúrate con mi respuesta 🙂
- Pude recrear esto con 5.2.1, los pings denegados están en el tráfico local ya que es tráfico hacia / desde el sistema (el VDOM). Solo pude filtrarlos con la pestaña de servicio, filtrar el ping y marcar la casilla ' no '. Intenté encontrar algo a través de la CLI, pero no tuve suerte. No creo que sea posible no generar estos registros en absoluto, pero tal vez pruebe el chat con fortinet y vea si tienen una idea.
- Sí, le preguntaré a fortinet si saben cómo hacer esto.