Is er een manier om een fortinet-firewall te configureren (bijv. , fortigate600 met FortiOS 5 of FortiOS 4), zodat het geen logboekvermeldingen genereert voor pings die naar de eigen interfaces van de firewall worden gestuurd, maar toch logboekvermeldingen genereert voor impliciet geweigerd verkeer?
In beide gevallen, de logboekvermeldingen specificeren het beleid met id “0” als het beleid dat het logbericht genereert.
In het geval van geslaagde pings, wordt “status” ingesteld op “accepteren” in het logboek en is de VDOM-naam ingesteld als de “dstintf”.
Ik heb geprobeerd firewallregels te maken die overeenkomen met het ping-verkeer dat naar lokale firewall-interfaces wordt gestuurd, met de bedoeling om logboekregistratie expliciet uit te schakelen, maar ik heb geen regel bedacht dat erin slagen om het verkeer te matchen. Ook is er de optie om de logboekregistratie uit te schakelen voor impliciete regel 0 (de impliciete “deny” -regel onderaan het beleid), maar dat schakelt ook de logboekregistratie van geweigerd verkeer uit, wat niet is wat ik wil.
Pingen van firewall-interfaces (om te bepalen of de firewall-interface beschikbaar is) wordt in bepaalde situaties vertrouwd en kan niet altijd weg worden ontworpen. (Bijv. Sommige opstellingen die load balancers gebruiken). Het is ook altijd wenselijk om netwerkapparatuur te kunnen configureren om te voorkomen dat er ongewenste logboekberichten worden gegenereerd, om de hoeveelheid “ruis” die naar externe loggingservers wordt gestuurd (Splunk enz.), En in ons geval logboeken daarover te houden ” heartbeat pings “wordt gewoon als ruis beschouwd.
Answer
Voor Fortigate-firewalls met FortiOS 5.0 of nieuwer is het mogelijk om de CLI om specifiek logboeken uit te schakelen voor geaccepteerd verkeer dat naar de firewall zelf wordt geleid:
Meld u aan bij de firewall met SSH en voer vervolgens de volgende opdrachten uit (ervan uitgaande dat de firewall een VDOM heeft met de naam “root”)
config vdom edit root config log settings set local-in-allow disable Dit moet per VDOM worden gedaan.
Zodra dit is gebeurd, blijft de firewall al het geweigerde verkeer loggen, zonder geaccepteerde pings te loggen, SNMP-controlevragen enz.
Fortinet heeft hier meer informatie: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Voor Fortigate-firewalls met FortiOS ouder dan 5 .0, ik denk dat het beste advies is om te upgraden naar 5.0 of nieuwer en vervolgens de hierboven voorgestelde instelling toe te passen. Het lijkt erop dat de functie “set local-in-allow disable” niet beschikbaar is vóór FortiOS 5.0.
Answer
Een beleid alleen ping toestaan vanaf specifieke adressen, gevolgd door een beleid dat ping van welke bron dan ook weigert. niet getest, maar als het binnen een beleid valt, zou het niet de impliciete regel moeten krijgen.
Een andere optie is om het inloggen door de beheerder van een specifieke host te beperken. u kunt de admin-login beperken tot alle adressen waarvandaan u moet pingen en adressen die toegang nodig hebben tot de fortigate. als iemand anders probeert te pingen, wordt het geblokkeerd voordat het bij de beleidsregels komt.
Opmerkingen
- Ga uit van een netto 192.168.1.0/24 met een ping-host 192.168.1.10 en een firewall-interface genaamd FOOINT met IP 192.168.1.1. Hoe zou u in dat geval voorstellen dat de bestemmingsinterface + IP moet worden gespecificeerd in een regel die ICMP-pings van de ping-host overeenkomt met het IP-adres van FOOINT? Ik heb allerlei manieren getest om de broninterface + adres en bestemmingsinterface + adres te specificeren. Ongeacht hoe ze eruit zien, zodra de FW-interface IP zelf wordt gepingd, resulteert de ping in een logboekinvoer dat verwijst naar impliciete regel 0 alsof alle firewallregels eenvoudigweg zijn omzeild.
- Ik denk dat ik dat deed haast je met mijn antwoord 🙂
- Ik was in staat om dit opnieuw te creëren met 5.2.1, de geweigerde pings bevinden zich in het lokale verkeer aangezien het verkeer van / naar het systeem (de VDOM) is. Ik kon ze alleen filteren met het servicetabblad, de gefilterde ping en het vakje ' niet ' aangevinkt. Ik heb geprobeerd iets te vinden via de CLI, maar daar heb ik geen geluk. Ik denk niet dat het mogelijk is om deze logs helemaal niet te genereren, maar probeer misschien de chat met fortinet en kijk of ze een idee hebben.
- Ja, ik zal fortinet vragen of ze weten hoe ze dit moeten doen.