daily

Fortigate FortiGuard 또는 FortiCare license가 만료되면 어떻게 되는지

제목에 관한 내용이  Fortinet Community site에 올라와서 올려봅니다.

하드웨어뿐만 아니라 VM에 관한 내용도 있더라고요.

FortiGuard는 Fortigate의 보안기능들(Av, IPS, Web filter등)

보안기능의 경우 AV,IPS,App Con 경우 license 만료일까지 시그니처가 업데이트되고 해당 시그니처는 계속 사용이 가능하며 추가 업데이트 X

Webfilter, antispam FortiGaurd로 쿼리 X

-

위 링크에선 하드웨어보단 VM에 관한 내용이 더 ..! 관심이 갑니다

VM의 경우 년 단위로 VM + License 구매 또는 영구 VM + License 두 가지 형태로 구매가 가능합니다.

년 단위로 VM + License 형태로 구매 시 라이선스가 만료되면 30일의 갱신 유예 기간이 제공되며 이 기간에는 축사, 제한된 기능만 사용된다고 합니다. 30일이 지나면 CLI 접근만 가능

-

영구 VM과 년 단위 License 형태로 구매 시 라이선스가 만료되면 하드웨어처럼 보안 기능 사용과 저장된 설정으로만 동작하는 방화벽(설정 변경 X)

빨간 박스 년 단위 VM + License 

주황 박스 영구 VM과 년 단위 License

Fortigate FortiGuard 또는 FortiCare license가 만료되면 어떻게 되는지

Fortigate FQDN address IP list CLI로 확인하는 방법

Fortigate FQDN address를 생성하고 생성된 FQDN address의 Resolve 된 IP list를 CLI로 확인하는 방법입니다.

CLI > diagnose firewall fqdn list-ip 입력 시 출력화면

FQDN address와 Resolve된 IP list가 출력됩니다. 갯수가 많을 시 찾기 또는 확인이 힘들어 grep 명령어를 사용하여 필터링해줍니다.

diagnose firewall fqdn list-ip 뒤에 | grep -A10 login 명령어 입력

-A10은 아래 줄 수

물론 GUI에서도 FQDN address IP list들 확인이 가능합니다.^^

Fortigate FQDN address IP list CLI로 확인하는 방법

Fortigate session filter IP 범위로 조건 설정하는 방법

위 링크는 지난번 session filter 및 client 확인하는 방법 포스팅

session filter 조건 중 IP range로 조건 설정하는 방법에 대해 추가로^^

session filter 조건들을 보니 range에 대한 방법은 따로 없더라고요. (최근에 알게됨)

range의 경우 위 이미지처럼 설정해주시면 됩니다.

<IP>띄어쓰기<IP>

조건 설정 후 설정된 filter 확인

source ip 부분에 1.1.1.1 ~ 1.1.1.44까지 설정된 걸 확인할 수 있습니다.

IP 뿐만 아니라 Port의 경우도 이런 방법으로 range 설정이 가능합니다.

Fortigate session filter IP range 조건 설정하는 방법

Fortigate audit trail 설정

FortiOS 7.2이상부터 나온 기능이며 방화벽 정책이 생성 또는 편집될 때  기록을 남기라는 메시지를 받게 됨

먼저 Fortigate GUI > System > Feature Visibility > Workflow Management 활성화

신규 정책 생성시도

OK를 누르게 되면 이렇게 알림 팝업이 나옵니다.

물론 Comments에 남겨도 되지 않나라는 생각이 들지만 추가로 해당이 변경이 된다면 이력 남기기가 힘들어질 수도 있습니다.

확인을 하려면 해당 정책을 우클릭하고 Audit Trail을 누르면

이력이 나오게 됩니다.

추 후 정책 내용이 변경되어도 알림팝업이 나오면서 팝업에 적는 내용이 누적되어서 이력 관리가 편합니다.

물론.. 팝업을 누르고 또 입력하고 이러한 프로세스가 귀찮게 느껴질 수도 있습니다^^...

그래도 보안감사를 받는 기업이면 유용한 기능이라고 생각되네요~

Fortigate audit trail 설정

fortigate diagnose hard sysinfo memory 명령어

memory관련 문제해결에 유용한 글인 것 같아서..

해당 명령어 입력 시 fortigate memory에 대한 정보가 나옵니다.

나오는 값들에 대한 설명이 있으니 참고하기 좋은 커뮤글

fortigate diagnose hard sysinfo memory

forticlient 이전 버전 다운로드 하는 방법

forticlient 다운로드 공식 사이트를 들어가서 다운로드를 하게 되면 최신의 버전의 forticlient를 다운 받습니다.

현재 공식사이트에서는 forticlient 7.2 버전 다운로드가 가능합니다.

7.2 이전 버전의 forticlient를 다운 받으려면, 먼저 fortinet support site접속이 필요합니다.

사이트 로그인 후

상단의 Support > Firmware Download 클릭

Select Product를 클릭하여 FortiClient 선택

다음 Download 클릭 후 OS 선택 > Firmware를 선택하여 다운로드 해주면 됩니다.

아주 예전의 버전까지 다운로드가 가능합니다.

결론은 fortinet support site 계정만 있다면 쉽게 다운로드가 가능합니다!

forticlietn 이전 버전 다운로드 하는 방법

Fortigate 초기 구성 GUI 접속 방법 확인

Fortigate 장비를 수령 후 개봉한 다음 PC에 IP 설정 후 장비 GUI 접속까지 기본적인 내용 알아보기

먼저 수령한 Fortigate 장비 전원을 키면 OS는 설치되서 옵니다. / 어떤 OS가 설치되어 오는지는 알 수 없음

그 다음 기본적으로 설정된 장비의 IP를 확인하고 PC의 IP를 설정하여 GUI를 접속합니다.

기본적으로 설정된 장비의 IP를 확인하는 방법

첫 번째 장비 상단에 Local Setup이라고 적혀 있습니다.

어떤 Port에 연결하면 되는지, 해당 인터페이스에서 어떤 IP 대역을 할당 받는지, 접속 IP 확인 등

IP는 모든 장비가 거의 동일하게 192.168.1.99로 설정이 되어 있고 인터페이스만 조금씩 다릅니다.

두 번째 Quick Start Guide 검색

Quick Start Guide는 장비 접속 방법 및 인터페이스, 파워, 구성품 정보를 확인 할 수 있습니다.

위 이미지는 Fortigate-100F기준 접속 방법이고 구글에 <Fortigate xxxF GSQ> 라고 검색하시면 나옵니다.

조금 친절하게? 그림까지 잘 나와있습니다.

MGMT Port로 케이블 연결 후 IP : 192.168.1.99 접속하면 되고 연결 시 터미널 프로그램에 필요한 정보까지 나와 있습니다.!

이건 다 아시는 부분이지만 PC에서 

cmd창 실행 후 > ncpa.cpl 입력 > 네트워크 어댑터 우클릭 > 속성 > 인터넷 프로토콜 버전 4 진입 후 IP를 설정하여 주시면 됩니다.

마지막으로는 Web browser 실행 후 IP 입력!

이상 끝~

Fortigate 초기 구성 GUI 접속 방법 확인

fortigate snat-route-change 활성화/비활성화 시 동작

해당 명령어의 활성화/비활성화 시 SNAT Session 동작

설정은 config system global > set snat-route-change <enable/disable> 

default 설정은 disable

예시의 default 라우팅 2개와 snat-route-change가 disable 일 때

Host는 port1번으로 인터넷 통신하게 됩니다. / priority가 낮아 Port1으로 통신

이 상태에서 edit 2의 라우팅 설정 priority를 1로 바꾸게 된다면?

동일한 목적지일 경우 위 이미지 기준 priority값에 의해 라우팅 됩니다. Port2 라우팅 설정 priority값을 1로 수정했으니 port2로 인터넷 통신되어야 하는 거 아닌가 ? 라는 생각이 들지만

SNAT Session은 해당 Session이 종료 또는 지우기 전까지 인터넷은 Port1번으로 통신합니다. 

결론은 snat-route-change <disable> : 라우팅 정보가 변경된 후에도 기존 SNAT Session의 경로로 통신, 변경된 라우팅 정보를 반영시키려면 해당 SNAT Session을 지워야 합니다.

다음,

snat-route-change가 enbale 일 때

위 상황처럼 edit2의 라우팅 설정 priority를 1로 바꾸게 된다면?

SNAT Session의 라우팅 정보가 플러시 되어 Port1번으로 통신하게 됩니다. / SNAT Session 종료를 기다리거나 지우지 않아도 됨

fortigate snat-route-change disable 시 라우팅 정보를 변경하여도 적용이 되지 않아 장애 상황처럼 느낄 수 있을 것 같습니다.

fortigate snat-route-change 활성화/비활성화 시 동작

fortigate deep-inspection이 필요한 application control 확인 방법

SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다.

certificate-inspection의 경우 암호화된 트래픽을 검사하지 못하고 Header만으로 검사수행

application control의 경우 deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.

7.2.x대 license 없는 application signature list 입니다. 약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.

application signature list에서 youtube를 검색해보았습니다.

그러면 체크해놓은 것처럼 signature 옆에 구름표시가 있는데 이런 signature들은 deep-instpection이 필요한 signature입니다.

해당 application들은 certificate-inspection으로 검사해도 탐지가 되지 않습니다.

이렇게 확인하는 방법도 있고

fortiguard site에서 확인하는 방법도 있습니다. 아래

fortiguard site > service > application control > signature name 검색

youtube를 검색해서 위 이미지 application list에 있는 youtube와 youtube_video.play라는 signature를 들어가 보았습니다.

추가로 site에서는 signature에 대한 자세한 정보 확인이 가능합니다. / 다른 security signature도 동일

여기서 Deep App Ctrl을 비교해서봐주시면 될 것 같습니다. / Yes or No

당연히! Yes가 deep-inpsection 필요입니다.

fortigate deep-inspection이 필요한 application controll 확인 방법

fortigate GUI에서 Packet Capture하는 방법

해당 방법은 fortiOS 7.2.x 기준입니다.

하지만 다른 버전에서나 하는 방법은 거의 똑같습니다. 버전별로 위치 또는 이름만 변경될 뿐!

fortigate GUI > Network > Diagnostics > Packet Capture 탭

Packet Capture 화면

7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.

아무튼.. 여기서 이제 Filter를 걸어서 사용해주면 됩니다. 간단함

Filter 예시

Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture

Host : 192.168.1.10 / 해당 IP만 Capture

Port : 443 / 해당 Port만 Capture

위 처럼  Interface, Host, Port, Protocol Number 등 Filter를 걸어 Packet Capture가 가능합니다.

이렇게 7.2.x 버전에서는 GUI에서도 Packet Capture 부분 확인이 가능합니다. / 아래 버전에서는 해당 내용은 보이지 않음

Packet의 Header 부분만 확인이 가능

다음 Save as pcap을 눌러주면,

해당 내용이 Pcap 파일로 다운로드 되면서 wireshark에서 자세한 내용 확인이 가능합니다.

wireshark만 설치되어 있다면 클릭 시 바로 실행됨!

fortigate GUI에서 Packet Capture하는 방법