daily

fortigate 마지막으로 사용된 방화벽 정책 확인하는 방법

마지막으로 사용된 정책과 처음 정책이 사용된 시간도 확인이 가능합니다.

먼저 Fortigate GUI > Policy & Objects로 가서  상단에 탭을 우클릭해줍니다.

Action, NAT 여기가 탭부분인데 아무 곳이나 클릭해도 상관은 없습니다

아무튼.. 우클릭 후 First Used와 Last Used 컬럼을 체크해줍니다.

체크를 해주고 나면 탭 부분에 표시가 됩니다.

정책이 처음 사용된 시간과 마지막 시간 초단위 까지 표시가 됩니다

날짜로 표기된 부분은 마우스를 가져다 놓으면 표시가 됩니다^^

fortigate 마지막으로 사용된 방화벽 정책 확인하는 방법

forticlient ssl vpn -5029 error 해결 방법

먼저 ssl vpn 접속 시 나오는 error 확인

쓱 보기에도 TLS version에 문제가 있어 보입니다.

이럴 경우 fortigate ssl vpn setting에 TLS version과 client PC의 TLS version을 확인해야 합니다.

먼저 PC의 TLS version 확인 방법

edge browser 실행 > 기본 브라우저 > 인터넷 옵션 > 고급

TLS version check 확인 1.2만 check되어 있습니다.

fortigate ssl vpn TLS version 설정

ssl-min-proto-ver : 1.0

ssl-max-proto-ver : 1.3

으로 설정 시 1.0~.13까지 지원하는데 OS가 낮은 fortigate에서는 1.2이상이 없을 수 있어 위와 같은 error message가 표시될 수 있습니다.

forticlient ssl vpn -0529 error 해결 방법

Fortigate security fabric / root fortigate 구성 방법

security fabric을 구성함에 있어 전제 조건은

1.Fortigate는 NAT mode로 동작, VDOM이 활성화되어 있다면 split-vdom mode로 동작 중이어야 합니다.

2. Fortianalyzer 필수

1. fabric 활성화하기

Root로 지정할 fortigate GUI 접속 > Security Fabric > Fabric Connectors > Security Fabric Setup 클릭 후 Edit

Default 설정은 Standalone으로 되어 있으며 Serve as Fabric Root로 변경해줍니다.

변경을 하게 되면 Fortianalyzer를 설정하라는 Tap이 나옵니다. Fortianalyzer IP 입력하여 등록 진행

하드웨어 또는 VM, 아니면 Cloud Logging등 해당 설정을 해줘야 다음 단계로 넘어갈 수 있습니다. (설정을 하지 않고 Security Fabric 구성 불가능)

2. Fabric name과 Allow other Security Fabric device to join 설정

Allow other Security Fabric units to join은 internal로 설정 시 downstream Fortigate에서 Fabric Join 시 Root Fortigate의 Internal IP를 입력

여기까지가 root fortigate 기본 설정입니다 별거없는..하하하

3. down stream fortigate에서 Security Fabric join

upstream Interface 선택 후 root fortigate interface IP 입력해주면 됩니다.

Fortigate security fabric / root fortigate 구성 방법

fortianalyzer firmware upgrade path 확인

fortigate와 마찬가지로 fortianalyzer에도 firmware upgrade path가 있습니다.

fortigate의 경우 firmware download 하는 곳에서 바로 확인이 가능하지만 fortianalyzer는 firmware download 하는 곳에서 확인이 불가능합니다.

먼저,

위 site로 접속해 줍니다.

접속 후 화면

fortianalyzer 클릭

이 곳에선 fortianalyzer의 admin guide, OS 호환성, CLI Reference 등 여러 자료들이 많습니다.

해당 OS에서 새로 나온 기능이라던가.. fortianalyzer에 관련된 기능이나 자료를 찾기에 좋은 site입니다.

스크롤을 아래로 내려서 Upgrade Guide 클릭

Upgrade Guide에서는 firmware upgrade 하는 방법도 나와있습니다~ (참고)

firware upgarde paths Tab에서 확인

거의 major OS Version 단위로 upgrade가 가능하네요 / 추가로 Log Rebuild 진행 유무 확인

fortianalyzer upgrade paths 확인

fortigate diangnose debug rating

diagnose debug rating 명령어로 연결된 FortiGuard Server 확인 또는 통신 해결하기 위해 사용하는 명령어입니다.

diagnose debug rating 명령어 입력 시 나오는 출력물

Service 상태와 Fortiguard와 어떤 프로토콜을 사용하는지 몇번 포트를 사용하는지등 관련 설정도 확인이 가능합니다.

아래에 있는 IP들은 해당 장비와 인접해 있는 Fortiguard Server들의 IP입니다. (나오는 IP List들은 장비마다 다를 수 있음)

여러 Fortiguard Server List 중 어느 Server와 통신하여 라이선스가 활성화 되어 있는지는 Flags를 보시면 됩니다.

Flags에는 여러 값들이 있는데요

D : 해당 장비가 DNS query(service.fortiguard.net)하여 받아옴

I : FortiGuard와 통신하여 라이선스 활성화

T : Server가 Fortigate와 통신안됨

F : Server 다운

위 이미지 기준으로는 DNS query하여 IP를 받아오고 Fortiguard와 연결된 서버는 173.243.138.210 Server입니다.

만약 장비에 라이선스가 업데이트되지 않는다면 저 IP와 통신 상태 확인해 보는 것도 방법이겠죠

추가로 Fortiguard Server와 통신관련하여 트러블 슈팅 명령어입니다.

1. diagnose debug application update -1

2. diagnose debug enable

3. execute update-now

차례대로 입력 시 debug 내용이 나옵니다.

fortigate diagnose debug rating

fortigate Web Filter Cache 설정

fortigate Web Filter Cache는 사용자가 URL접속 후 Fortiguard에게 rating받은 정보를 메모리에 저장하여 동일한 URL 접속 시 Fortiguard로 Query하지 않고 저장된 정보를 보냅니다.

Fortigate GUI > system > Fortiguard > Filtering

해당 장비는 라이선스가 있는 상태이고 Default 설정값입니다.

Fortiguard로 rating한 결과값을 메모리에  저장하는 시간이 60분입니다.

무한대로 저장할 수 있는 건 아닙니다. 어느 정도 되면 override됩니다.

fortigate Web Filter Cache 설정

fortigate web filter action 및 allow와 monitor 차이점

이 부분은 fortigate web filter > URL filter action에 관련된 내용입니다.

URL Filter에 action은 4개가 있습니다. /Exempt, Block, Allow, Monitor

먼저,

Allow : URL에 대한 트래픽 허용

Block : URL 차단

위 두 가지는 뭐 당연하죠 ㅎㅎ

Monitor : Allow와 action 자체는 동일하지만 Log를 남깁니다. / Allow는 Log를 남기지 않음

Exempt : URL 예외 처리지만 Web filter의 검사 순서는

URL filter > Fortiguard categry > Content Filter 순으로 검사를 합니다.

예를 들어, 티스토리 URL이 URL Filter에서 허용, Fortugard category에서 차단으로 설정되어 있다면 허용되는 게 아니라 차단이 됩니다. 순서대로 검사를 다 진행하기 때문이죠.

하지만 URL Filter에서 URL을 Exempt Action을 설정해주면 다음 단계 검사를 진행하지 않고 통과시킵니다.

그래서 URL 예외처리가 필요하다면 URL Filter > Exempt로 해주시면 됩니다.

fortigate web filter action 및 allow와 monitor 차이점

fortigate interface speed 변경 및 확인 방법

speed 변경은 GUI에서는 변경이 안되며 CLI에서만 가능합니다.

fortigate CLI > config system interface > edit <interface name> 진입 후 set speed <option>

일반적으로 fortigate interface speed default 값은 auto입니다.

auto 설정은 해당 interface와 연결된 인터페이스에 속도에 맞춰서 설정이 됩니다.

예를 들어 상대가 1000full이면 1000full로 맞춰지고 100full이면 100full로 맞춰집니다.

fortigate interface speed 확인 명령어는 diagnose hardware deviceinfo nic <interface name> 입력

speed 및 Duplex 확인

interface에서 속도를 수동으로 설정한 경우에는 확인이 필요 없지만 auto로 설정된 경우에 확인이 필요할 경우 위 명령어를 입력하여 확인하시면 됩니다.

fortigate interface speed 변경 및 확인 방법 끝

fortigate Web Rating Overrides 설정 방법

fortigate GUI > Security Profiles > Web Rating Overrides

해당 TAP에서 설정해 주면 되고.. 이 기능을 사용하시려면 Webfilter License가 필요합니다.

Create New 클릭

Web Rating Override뿐만 아니라 해당 URL이 어느 Fortiguard web category에 속해 있는지 확인할 수도 있습니다. 

네이버의 경우 General Interest - Business > Search Engines and Portals Category에 속해 있습니다.

Web Rating Override 기능은 해당 URL을 다른 Category에 Override시켜줍니다.

위 이미지처럼 설정하고 OK를 누르면,

General Interest - Business > Search Engines and Portals Category에 속해 있는 네이버를 Security Risk > Malicious Websites Category로 Override가 됩니다.

Status가 Enable이면 설정 완료

설정 방법은 어렵지 않지만 알아둬야 할 사항은 이 기능은 해당 fortigate에서만 적용되며 다른 fortigate에서는 General Interest - Business > Search Engines and Portals Category 속합니다.

Web Rating Overrides 기능은 보통 URL 오분류 또는 fortiguard에서 rating이 되지 않는 URL(사내 주차장 사이트등등) 사용합니다.

fortigate Web Rating Overrides 설정 방법 끝

fortimanager NTP Server 버전 확인하는 방법

일단 fortimanager는 fortigate를 관리하는 장비입니다. 정책, 펌웨어등등!

그래서 fortigate를 많이 사용하는 고객이라면 도입 시 많은 장점이 있죠!

오늘은 fortimanager에 설정된 NTP Server의 버전을 확인하는 방법을 알아보겠습니다.

먼저 fortimanager에 접속 후 환경 설정 탭으로 들어가 줍니다.

환경 설정탭으로 진입 후 대쉬보드에 시스템 시간 클릭

저는 현재 ntp1.fortinet.net이라는 fortinet NTP Server로 설정되어 있습니다. (장비 default 설정)

회사내 NTP Server가 있다면 변경도 가능합니다.

fortimanager가 외부와 통신이 되면 fortimanager IP로 Wireshark에서 Packet Capture 진행

fortimanager IP 확인

Wireshark에서 확인

NTP는 UDP 123번 Port로 정의되어 있어 목적지 Port 123번으로 filter를 걸어줬습니다.

그러면 fortinet NTP Server IP와 오른쪽에 보시면 NTP Version 4 확인이 가능합니다.

fortimanager NTP Server 버전 확인하는 방법