Gibt es eine Möglichkeit, eine Fortinet-Firewall zu konfigurieren (z , fortigate600 mit FortiOS 5 oder FortiOS 4), sodass keine Protokolleinträge für Pings generiert werden, die an die eigenen Schnittstellen der Firewall gerichtet sind, aber dennoch Protokolleinträge für implizit verweigerten Datenverkehr generieren?
In beiden Fällen Die Protokolleinträge geben die Richtlinie mit der ID „0“ als Richtlinie an, die die Protokollnachricht generiert.
Bei erfolgreichen Pings wird „status“ im Protokoll auf „accept“ gesetzt und der VDOM-Name lautet Als „dstintf“ festgelegt.
Ich habe versucht, Firewall-Regeln zu erstellen, die dem an lokale Firewall-Schnittstellen gerichteten Ping-Verkehr entsprechen, mit der Absicht, die Protokollierung explizit zu deaktivieren, aber ich habe keine Regel dafür gefunden Es besteht auch die Möglichkeit, die Protokollierung für die implizite Regel 0 zu deaktivieren (die implizite „Verweigern“ -Regel am Ende von die Richtlinie), aber das deaktiviert auch die Protokollierung von verweigertem Datenverkehr, was ich nicht möchte.
Ping-Firewall-Schnittstellen (um festzustellen, ob die Firewall-Schnittstelle verfügbar ist) werden in bestimmten Situationen verwendet und können nicht immer verwendet werden weg entworfen werden. (Zum Beispiel sind einige Setups mit Load Balancern). Außerdem ist es immer wünschenswert, Netzwerkgeräte so konfigurieren zu können, dass unerwünschte Protokollierungsnachrichten nicht generiert werden, um das an externe Protokollierungsserver (Splunk usw.) gesendete „Rauschen“ zu verringern und in unserem Fall Protokolle über diese zu protokollieren. “ Heartbeat-Pings „werden nur als Rauschen betrachtet.
Antwort
Für Fortigate-Firewalls mit FortiOS 5.0 oder neuer kann die verwendet werden CLI zum spezifischen Deaktivieren von Protokollen für akzeptierten Datenverkehr, der an die Firewall selbst geleitet wird:
Melden Sie sich mit SSH bei der Firewall an und führen Sie die folgenden Befehle aus (vorausgesetzt, die Firewall verfügt über ein VDOM mit dem Namen „root“)
config vdom edit root config log settings set local-in-allow disable
Dies muss pro VDOM erfolgen.
Sobald dies erledigt ist, protokolliert die Firewall den gesamten abgelehnten Datenverkehr, ohne akzeptierte Pings zu protokollieren. SNMP-Überwachungsabfragen usw.
Fortinet bietet hier weitere Informationen: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Für Fortigate-Firewalls, auf denen FortiOS älter als 5 ausgeführt wird .0, ich nehme an, der beste Rat ist, auf 5.0 oder neuer zu aktualisieren und dann die oben vorgeschlagene Einstellung anzuwenden. Es scheint, dass die Funktion „Lokale Deaktivierung deaktivieren“ vor FortiOS 5.0 nicht verfügbar ist.
Antwort
Eine Richtlinie Ping nur von bestimmten Adressen zulassen, gefolgt von einer Richtlinie, die Ping von einer beliebigen Quelle verweigert. Ich habe es nicht getestet, aber wenn es auf eine Richtlinie fällt, sollte es nicht zur impliziten Regel gelangen.
Eine andere Option besteht darin, die Administratoranmeldung von einem bestimmten Host aus einzuschränken. Sie können die Administratoranmeldung auf alle Adressen beschränken, von denen Sie einen Ping benötigen, sowie auf Adressen, die Zugriff auf das Fortigate benötigen. Wenn jemand anderes versucht zu pingen, wird es blockiert, bevor es zu den Richtlinien gelangt.
Kommentare
- Nehmen Sie ein Netz 192.168.1.0/24 mit an ein Ping-Host 192.168.1.10 und eine Firewall-Schnittstelle namens FOOINT mit IP 192.168.1.1. Wie würden Sie in diesem Fall vorschlagen, dass die Zielschnittstelle + IP in einer Regel angegeben wird, die ICMP-Pings vom Ping-Host mit der IP-Adresse von FOOINT vergleicht? Ich habe alle Arten von Möglichkeiten getestet, um die Quellschnittstelle + Adresse und die Zielschnittstelle + Adresse anzugeben. Egal wie sie aussehen, sobald die IP der FW-Schnittstelle selbst gepingt wird, führt der Ping zu einem Protokolleintrag, der auf die implizite Regel 0 verweist, als ob alle Firewall-Regeln einfach umgangen worden wären.
- Ich glaube, ich habe es getan Eile mit meiner Antwort 🙂
- Ich konnte dies mit 5.2.1 neu erstellen. Die abgelehnten Pings befinden sich im lokalen Verkehr, da es sich um Verkehr zum / vom System (dem VDOM) handelt. Ich konnte sie nur mit der Registerkarte „Service“ herausfiltern, Ping filtern und das Kontrollkästchen ' nicht ' aktivieren. Ich habe versucht, etwas über die CLI zu finden, aber dort kein Glück. Ich glaube nicht, dass es möglich ist, diese Protokolle überhaupt nicht zu generieren, aber versuchen Sie vielleicht den Chat mit Fortinet und sehen Sie, ob sie eine Idee haben.
- Ja, ich werde Fortinet fragen, ob sie wissen, wie das geht.