Existe uma maneira de configurar um firewall do Fortinet (por exemplo , fortigate600 executando FortiOS 5 ou FortiOS 4) para que não gere entradas de registro para pings que são direcionados para as próprias interfaces do firewall, mas ainda gera entradas de registro para tráfego negado implicitamente?
Em ambos os casos, as entradas de registro especificam a política com id “0” como a política que gera a mensagem de registro.
No caso de pings bem-sucedidos, “status” é definido como “aceitar” no registro e o nome do VDOM é definido como “dstintf”.
Eu tentei criar regras de firewall que correspondam ao tráfego de ping direcionado para interfaces de firewall locais, com a intenção de desabilitar explicitamente o registro, mas não consegui criar uma regra que gerenciar para corresponder ao tráfego. Além disso, há a opção de desativar o registro para a regra implícita 0 (a regra “negar” implícita na parte inferior do a política), mas isso também desativa o registro de tráfego negado, que não é o que eu quero.
O ping de interfaces de firewall (para determinar se a interface de firewall está disponível) é confiável em certas situações e nem sempre ser projetado para longe. (Por exemplo, algumas configurações usando balanceadores de carga). Além disso, ser capaz de configurar o equipamento de rede para evitar a geração de mensagens de registro indesejadas é sempre desejável, para manter baixa a quantidade de “ruído” que é enviado para servidores de registro externos (Splunk etc) e, em nosso caso, registros sobre aqueles ” heartbeat pings “é considerado apenas ruído.
Resposta
Para firewalls Fortigate executando FortiOS 5.0 ou mais recente, é possível usar o CLI para desabilitar especificamente os logs de tráfego aceito direcionado ao próprio firewall:
Faça logon no firewall usando SSH e execute os seguintes comandos (presumindo que o firewall tenha um VDOM chamado “root”)
config vdom edit root config log settings set local-in-allow disable Isso deve ser feito por VDOM.
Uma vez feito isso, o firewall continua registrando todo o tráfego negado, sem registrar pings aceitos, Consultas de monitoramento SNMP, etc.
A Fortinet tem mais informações aqui: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Para firewalls Fortigate executando FortiOS com mais de 5 .0, suponho que o melhor conselho seja atualizar para 5.0 ou mais recente e, em seguida, aplicar a configuração sugerida acima. Parece que o recurso “set local-in-allow disable” não está disponível antes do FortiOS 5.0.
Resposta
Uma política permitindo o ping apenas de endereços específicos seguindo uma política que nega o ping de qualquer fonte. não testei, mas se cair em uma política, não deve chegar à regra implícita.
Outra opção é restringir o login do administrador de um host específico. você pode restringir o login de administrador a todos os endereços dos quais precisa de ping e endereços que precisam de acesso ao fortigate. se alguém tentar fazer ping, ele será bloqueado antes de chegar às políticas.
Comentários
- Suponha uma rede 192.168.1.0/24 com um host de ping 192.168.1.10 e uma interface de firewall chamada FOOINT com IP 192.168.1.1. Nesse caso, como você sugere que a interface de destino + IP seja especificada em uma regra que corresponda aos pings ICMP do host de ping ao endereço IP de FOOINT? Eu testei todos os tipos de maneiras de especificar a interface + endereço de origem e interface + endereço de destino. Não importa sua aparência, assim que o IP da interface do FW é executado, o ping resulta em uma entrada de registro que se refere à regra implícita 0, como se todas as regras de firewall fossem simplesmente ignoradas.
- Acho que sim. apresse minha resposta 🙂
- Eu fui capaz de recriar isso com 5.2.1, os pings negados estão no tráfego local, pois é o tráfego de / para o sistema (o VDOM). Eu só pude filtrá-los com a guia de serviço, ping filtrado e marquei a caixa ' não '. Tentei encontrar algo por meio da CLI, mas não tive sorte. Eu não acho que seja possível não gerar esses logs de forma alguma, mas talvez tente o bate-papo com o fortinet e veja se eles têm uma ideia.
- Sim, eu perguntarei ao fortinet se eles sabem fazer isso.