Esiste un modo per configurare un firewall fortinet (es. , fortigate600 che esegue FortiOS 5 o FortiOS 4) in modo che non generi voci di registro per i ping che sono diretti alle interfacce del firewall, ma genera comunque voci di registro per il traffico implicitamente negato?
In entrambi i casi, le voci di log specifica la policy con id “0” come policy che genera il messaggio di log.
In caso di ping riusciti, “status” è impostato su “accept” nel log e il nome VDOM è impostato come “dstintf”.
Ho provato a creare regole firewall che corrispondano al traffico ping diretto alle interfacce firewall locali, con lintento di disabilitare esplicitamente la registrazione, ma non sono riuscito a trovare una regola che riescono a far corrispondere il traffico. Inoltre, cè la possibilità di disabilitare la registrazione per la regola implicita 0 (la regola “nega” implicita in fondo la politica) ma che disabilita anche la registrazione del traffico negato, che non è quello che voglio.
Il ping delle interfacce del firewall (per determinare che linterfaccia del firewall è disponibile) è invocato in determinate situazioni e non è sempre possibile essere progettato lontano. (Ad esempio alcune configurazioni che utilizzano bilanciatori del carico). Inoltre, essere in grado di configurare le apparecchiature di rete per evitare la generazione di messaggi di log indesiderati è sempre auspicabile, per contenere la quantità di “rumore” che viene inviata ai server di registrazione esterni (Splunk, ecc.) E, nel nostro caso, i log su quelli ” heartbeat pings “è considerato solo rumore.
Risposta
Per i firewall Fortigate che eseguono FortiOS 5.0 o versioni successive, è possibile utilizzare il CLI per disabilitare in modo specifico i log per il traffico accettato diretto al firewall stesso:
Accedere al firewall utilizzando SSH, quindi eseguire i seguenti comandi (supponendo che il firewall abbia un VDOM denominato “root”)
config vdom edit root config log settings set local-in-allow disable Questo deve essere fatto su base VDOM.
Una volta fatto, il firewall continua a registrare tutto il traffico negato, senza registrare i ping accettati, Query di monitoraggio SNMP ecc.
Fortinet ha ulteriori informazioni qui: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Per i firewall Fortigate che eseguono FortiOS più vecchi di 5 .0, suppongo che il miglior consiglio sia di aggiornare a 5.0 o più recente e quindi applicare limpostazione suggerita sopra. Sembra che la funzione “set local-in-allow disable” non sia disponibile prima di FortiOS 5.0.
Answer
Un criterio consentendo il ping solo da indirizzi specifici seguiti da una politica che nega il ping da qualsiasi origine. non lha testato, ma se rientra in una politica, non dovrebbe arrivare alla regola implicita.
Unaltra opzione è limitare laccesso dellamministratore da un host specifico. è possibile limitare laccesso dellamministratore a tutti gli indirizzi da cui è necessario eseguire il ping e agli indirizzi che richiedono laccesso a fortigate. se qualcun altro tenta di eseguire il ping, verrà bloccato prima che raggiunga i criteri.
Commenti
- Supponiamo che una rete 192.168.1.0/24 con un host di ping 192.168.1.10 e uninterfaccia firewall chiamata FOOINT con IP 192.168.1.1. In tal caso, come suggeriresti di specificare linterfaccia di destinazione + IP in una regola che abbinerà i ping ICMP dallhost di ping allindirizzo IP di FOOINT? Ho testato tutti i modi per specificare linterfaccia di origine + indirizzo e linterfaccia di destinazione + indirizzo. Non importa che aspetto abbiano, non appena viene eseguito il ping dellIP dellinterfaccia FW stesso, il ping risulta in una voce di log che fa riferimento alla regola implicita 0 come se tutte le regole del firewall fossero state semplicemente bypassate.
- Penso di averlo fatto affrettati con la mia risposta 🙂
- Sono stato in grado di ricreare questo con 5.2.1, i ping negati sono nel traffico locale in quanto è traffico da / verso il sistema (il VDOM). Potevo filtrarli solo con la scheda del servizio, filtrare il ping e selezionare la casella ' non '. Ho provato a trovare qualcosa tramite la CLI ma senza fortuna. Non penso sia possibile non generare affatto questi log, ma forse prova la chat con fortinet e vedi se hanno unidea.
- Sì, chiederò a fortinet se sanno come farlo.