Onko olemassa tapaa määrittää fortinet-palomuuri (esim. , fortigate600, joka käyttää FortiOS 5: ää tai FortiOS 4: ää), joten se ei luo lokimerkintöjä palomuurin omiin rajapintoihin ohjatuille pingeille, mutta silti luo lokimerkintöjä implisiittisesti estetylle liikenteelle?

Molemmissa tapauksissa lokimerkinnät määrittelevät käytännön, jonka tunnus on ”0”, lokitiedoston generoivana käytäntönä.

Onnistuneiden pingien tapauksessa ”status” on asetettu ”hyväksymään” lokiin ja VDOM-nimi on asetettu nimellä ”dstintf”.

Olen yrittänyt luoda palomuurisääntöjä, jotka vastaavat paikallisiin palomuuriliitäntöihin suuntautuvaa ping-liikennettä tarkoituksenaan poistaa nimenomaisesti lokitiedostot, mutta en onnistunut luomaan sääntöä, joka hallita vastaamaan liikennettä. On myös mahdollisuus poistaa implisiittisen säännön 0 kirjaaminen (implisiittinen ”kielto” -sääntö käytäntö), mutta se myös estää evätyn liikenteen kirjaamisen, mitä en halua.

Palomuuri-rajapintojen pingaamiseen (palomuuriliitännän saatavuuden määrittämiseen) luotetaan tietyissä tilanteissa, eikä sitä voida aina suunnitella pois. (Esimerkiksi on joitain asetuksia, joissa käytetään kuorman tasauslaitteita). On myös toivottavaa pystyä määrittämään verkkolaitteet välttämään ei-toivottujen lokiviestien syntyminen, pitämään alhaalla ulkoisille lokipalvelimille (Splunk jne.) Lähetettävän ”melun” määrä ja tapauksessamme myös lokit näistä ” sydämenlyöntipingit ”katsotaan vain meluksi.

Vastaus

ForigOS 5.0: n tai uudemman version Fortigate-palomuureissa on mahdollista käyttää CLI poistaa lokit käytöstä erityisesti palomuuriin ohjattavalle hyväksytylle liikenteelle:

Kirjaudu sisään palomuuriin SSH: n avulla ja suorita sitten seuraavat komennot (olettaen, että palomuurilla on VDOM nimeltään ”root”)

config vdom edit root config log settings set local-in-allow disable 

Tämä on tehtävä VDOM-pohjalta.

Kun tämä on tehty, palomuuri kirjaa kaiken kielletyn liikenteen kirjaamatta hyväksyttyjä pingeja. SNMP-seurantakyselyt jne.

Fortinetilla on lisätietoja g täällä: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html

Fortigate-palomuureille, joissa on FortiOS yli 5 .0, oletan, että paras neuvo on päivittää versioon 5.0 tai uudempaan ja soveltaa sitten yllä ehdotettua asetusta. Vaikuttaa siltä, että ominaisuus ”set local-in-allow disable” ei ole käytettävissä ennen FortiOS 5.0: ta.

Vastaa

Käytäntö sallitaan ping vain tietyistä osoitteista käytännön mukaisesti, joka kieltää pingin mistä tahansa lähteestä. ei ole testannut sitä, mutta jos se kuuluu käytäntöön, sen ei pitäisi päästä implisiittiseen sääntöön.

Toinen vaihtoehto on rajoittaa järjestelmänvalvojan kirjautumista tietyltä isännältä. voit rajoittaa järjestelmänvalvojan sisäänkirjautumisen kaikkiin osoitteisiin, joista tarvitset ping-osoitteen, ja osoitteisiin, jotka tarvitsevat pääsyn vaurioon. jos joku muu yrittää pingata, se estetään ennen kuin se pääsee käytäntöihin.

Kommentit

  • Oletetaan, että verkko 192.168.1.0/24 ping-isäntä 192.168.1.10 ja palomuuri-liitäntä nimeltä FOOINT, IP 192.168.1.1. Kuinka siinä tapauksessa ehdotat, että kohdekäyttöliittymä + IP määritetään säännössä, joka yhdistää ICMP-pingit pingausisännästä FOOINTin IP-osoitteeseen? Olen testannut kaikenlaisia tapoja määrittää lähdeliitäntä + osoite ja kohdeliittymä + osoite. Riippumatta miltä ne näyttävät, heti kun FW-käyttöliittymän IP on pingattu, pingin tuloksena syntyy lokimerkintä, joka viittaa implisiittiseen sääntöön 0 ikään kuin kaikki palomuurisäännöt yksinkertaisesti ohitettaisiin.
  • Luulen, että tein kiirehdi vastauksellani 🙂
  • Pystyin luomaan tämän uudelleen 5.2.1: llä, estetyt pingit ovat paikallista liikennettä, koska se on liikennettä järjestelmään / järjestelmästä (VDOM). Pystyin suodattamaan ne vain palvelu-välilehdellä, suodattamaan pingin ja tarkistamaan ' ei ' -ruudun. Olen yrittänyt löytää jotain CLI: n kautta, mutta ei onnea siellä. En usko, että näitä lokeja ei ole mahdollista luoda lainkaan, mutta ehkä kokeile chat-keskustelua fortinetin kanssa ja katso, onko heillä idea.
  • Kyllä, kysyn fortinetilta, tietävätkö he tämän.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *