Există o modalitate de a configura un firewall fortinet (de ex. , fortigate600 care rulează FortiOS 5 sau FortiOS 4) deci nu generează intrări de jurnal pentru ping-uri care sunt direcționate către propriile interfețe ale firewall-ului, dar totuși generează intrări de jurnal pentru traficul refuzat implicit?
În ambele cazuri, intrările din jurnal specifică politica cu id-ul „0” ca politică care generează mesajul jurnal.
În cazul ping-urilor reușite, „status” este setat la „accept” în jurnal și numele VDOM este setat ca „dstintf”.
Am încercat să creez reguli firewall care să corespundă traficului ping direcționat către interfețele firewall locale, cu intenția de a dezactiva în mod explicit jurnalizarea, dar nu am reușit să vin cu o regulă care să reușește să se potrivească traficului. De asemenea, există opțiunea de a dezactiva înregistrarea pentru regula implicită 0 (regula implicită „refuz” din partea de jos a politica), dar care dezactivează și înregistrarea traficului refuzat, ceea ce nu este ceea ce vreau eu.
Pingul interfețelor firewall (pentru a determina dacă interfața firewall este disponibilă) se bazează în anumite situații și nu poate fi întotdeauna fi proiectat departe. (De exemplu, sunt unele setări care utilizează echilibratoare de sarcină). De asemenea, posibilitatea de a configura echipamentele de rețea pentru a evita generarea mesajelor de înregistrare nedorite este întotdeauna de dorit, pentru a menține cantitatea de „zgomot” trimisă către serverele de înregistrare externe (Splunk etc.) și, în cazul nostru, jurnalele despre acestea ” bătăile inimii „sunt doar considerate zgomot.
Răspuns
Pentru firewall-urile Fortigate care rulează FortiOS 5.0 sau mai nou, este posibil să utilizați CLI pentru a dezactiva în mod specific jurnalele pentru traficul acceptat direcționat către firewall-ul în sine:
Conectați-vă la firewall folosind SSH, apoi executați următoarele comenzi (presupunând că firewall-ul are un VDOM numit „root”)
config vdom edit root config log settings set local-in-allow disable Acest lucru trebuie făcut pe o bază VDOM.
Odată ce acest lucru este realizat, firewall-ul continuă să înregistreze tot traficul refuzat, fără a înregistra ping-urile acceptate, Interogări de monitorizare SNMP etc.
Fortinet are mai multe informații aici: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Pentru firewall-urile Fortigate care rulează FortiOS mai vechi de 5 .0, cred că cel mai bun sfat este să faceți upgrade la 5.0 sau mai nou și apoi să aplicați setarea sugerată mai sus. Se pare că funcția „set local-in-allow disable” nu este disponibilă înainte de FortiOS 5.0.
Răspuns
O politică permițând ping-ul numai de la adrese specifice urmând o politică care neagă ping-ul din orice sursă. Nu l-am testat, dar dacă se încadrează într-o politică, nu ar trebui să ajungă la regula implicită.
O altă opțiune este să restricționați autentificarea administratorului de la o anumită gazdă. puteți restricționa autentificarea administratorului la toate adresele de la care aveți nevoie de ping și adresele care necesită acces la fortigat. dacă altcineva încearcă să facă ping, acesta va fi blocat înainte de a ajunge la politici.
Comentarii
- Să presupunem un net 192.168.1.0/24 cu o gazdă ping 192.168.1.10 și o interfață firewall numită FOOINT cu IP 192.168.1.1. În acest caz, cum ați sugera ca interfața de destinație + IP să fie specificată într-o regulă care să potrivească ping-urile ICMP de la gazda ping la adresa IP a FOOINT? Am testat tot felul de moduri de a specifica interfața sursă + adresa și interfața de destinație + adresa. Indiferent de aspectul lor, de îndată ce IP-ul interfeței FW în sine este ping, rezultatul ping are ca rezultat o intrare în jurnal care se referă la regula implicită 0 ca și cum toate regulile firewall-ului ar fi fost pur și simplu ocolite.
- Cred că am făcut-o grăbiți-vă cu răspunsul meu 🙂
- Am reușit să recreez acest lucru cu 5.2.1, ping-urile refuzate sunt în traficul local, deoarece este trafic către / din sistem (VDOM). Le-am putut filtra doar cu fila de servicii, am filtrat ping și am bifat caseta ' nu '. Am încercat să găsesc ceva prin CLI, dar nu am avut noroc acolo. Nu cred că este posibil să nu generați deloc aceste jurnale, dar poate încercați să discutați cu fortinet și să vedeți dacă au o idee.
- Da, voi întreba fortinet dacă știu cum să facă acest lucru.