Czy istnieje sposób skonfigurowania zapory sieciowej Fortinet (np. , fortigate600 z systemem FortiOS 5 lub FortiOS 4), więc nie generuje wpisów dziennika dla pingów, które są kierowane do własnych interfejsów zapory, ale nadal generuje wpisy dziennika dla niejawnie zabronionego ruchu?
W obu przypadkach, wpisy dziennika określają strategię z identyfikatorem „0” jako zasadą generującą komunikat dziennika.
W przypadku pomyślnych pingów, „status” jest ustawiany na „accept” w dzienniku, a nazwa VDOM to ustawione jako „dstintf”.
Próbowałem utworzyć reguły zapory, które pasują do ruchu ping kierowanego do lokalnych interfejsów zapory, z zamiarem jawnego wyłączenia rejestrowania, ale nie udało mi się wymyślić reguły, która uda się dopasować ruch. Istnieje również opcja wyłączenia rejestrowania dla niejawnej reguły 0 (niejawna reguła „odmowa” na dole zasady), ale to również wyłącza rejestrowanie odrzuconego ruchu, co nie jest tym, czego chcę.
Pingowanie interfejsów zapory (w celu określenia, czy interfejs zapory jest dostępny) jest wykorzystywane w pewnych sytuacjach i nie zawsze być zaprojektowane. (Na przykład niektóre konfiguracje wykorzystujące moduły równoważenia obciążenia). Możliwość skonfigurowania sprzętu sieciowego w celu uniknięcia generowania niechcianych komunikatów logowania jest zawsze pożądana, aby ograniczyć ilość „szumu” wysyłanego do zewnętrznych serwerów rejestrujących (Splunk itp.), Aw naszym przypadku dzienników o nich ” bicie serca ”jest po prostu uznawane za szum.
Odpowiedź
W przypadku zapór Fortigate z FortiOS 5.0 lub nowszym możliwe jest użycie CLI, aby konkretnie wyłączyć dzienniki akceptowanego ruchu kierowanego do samej zapory:
Zaloguj się do zapory za pomocą SSH, a następnie uruchom następujące polecenia (zakładając, że zapora ma VDOM o nazwie „root”)
config vdom edit root config log settings set local-in-allow disable
Należy to zrobić dla każdego VDOM.
Po wykonaniu tej czynności zapora nadal rejestruje cały odrzucony ruch, bez rejestrowania zaakceptowanych pingów, Zapytania monitorujące SNMP itp.
Fortinet ma więcej informacji tutaj: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Dla zapór Fortigate z FortiOS starszym niż 5 .0, myślę, że najlepszą radą jest uaktualnienie do wersji 5.0 lub nowszej, a następnie zastosowanie ustawienia sugerowanego powyżej. Wygląda na to, że funkcja „ustaw lokalne zezwolenie na wyłączanie” nie była dostępna przed FortiOS 5.0.
Odpowiedź
Zasady zezwalanie na pingowanie tylko z określonych adresów zgodnie z zasadą, która zabrania pingowania z dowolnego źródła. nie przetestowałem tego, ale jeśli dotyczy zasady, nie powinien dostać się do domyślnej reguły.
Inną opcją jest ograniczenie logowania administratora z określonego hosta. możesz ograniczyć logowanie administratora do wszystkich adresów, z których potrzebujesz pingowania, i adresów, które wymagają dostępu do fortyfikacji. jeśli ktoś inny spróbuje pingować, zostanie on zablokowany, zanim dotrze do zasad.
Komentarze
- Załóżmy, że sieć 192.168.1.0/24 ma pingowanie hosta 192.168.1.10 i interfejs zapory o nazwie FOOINT z adresem IP 192.168.1.1. W takim przypadku, jak sugerowałbyś, aby interfejs docelowy + IP był określony w regule, która dopasuje pingi ICMP z hosta pingującego do adresu IP FOOINT? Przetestowałem różne sposoby określania interfejsu źródłowego + adresu i interfejsu docelowego + adresu. Bez względu na to, jak wyglądają, jak tylko adres IP interfejsu FW jest pingowany, ping powoduje wpis w dzienniku odnoszący się do niejawnej reguły 0, tak jakby wszystkie reguły zapory ogniowej zostały po prostu ominięte.
- Myślę, że tak. spiesz się z moją odpowiedzią 🙂
- Udało mi się to odtworzyć za pomocą 5.2.1, odrzucone pingi są w ruchu lokalnym, ponieważ jest to ruch do / z systemu (VDOM). Mogłem je tylko odfiltrować za pomocą karty usługi, przefiltrować ping i zaznaczyć pole ', a nie '. Próbowałem znaleźć coś przez CLI, ale bez powodzenia. Nie sądzę, aby w ogóle można było nie generować tych dzienników, ale może spróbuj porozmawiać z fortinetem i zobacz, czy mają pomysł.
- Tak, zapytam fortineta, czy wiedzą, jak to zrobić.