Only W0N in Security Intelligence

Fortigate Firmware Version Upgrade Path 소개 드립니다.

방화벽 장비 운용 시 EOS 된 펌웨어 버전을 운용 하시거나 특정 펌웨어 버전의 버그로 인해 서비스에 영향이 있을 경우

안정된 펌웨어 버전으로 업그레이드하는 작업을 종종 하시곤 합니다.

해당 사이트는 Fortigate 제품 선택 후 -> 현재 Firmware 선택 -> 희망 Firmware 선택 하여 몇 번의 업그레이드를 진행 해야하는지 확인 할 수 있는 사이트 입니다.

1. https://docs.fortinet.com/upgrade-tool 접속

Current Product - 제품명 선택

Current FortiOS Version - 현재 OS Version 선택

Upgrade to FortiOS Version - 희망 OS Version 선택

ex) FG-100E 장비에서 현재 v6.4.0 -> v7.0.0 업그레이드 작업 시

6.4.0 -> 6.4.2 -> 6.4.4 -> 7.0.0 총 3번의 업그레이드가 진행되며 업그레이드 시 장비 리부트 1회 발생합니다.

Fortigate 방화벽 정책 확인 시 Sequence로만 확인 할 수 있어 다소 불편한 경험이 있었습니다.

대다수의 방화벽은 Interface Pair View 활성화 되어 있어 Incoming, Outcoming 별로 정책이 분류되어 보기 용이하오나

하기 이미지처럼 특정 정책 In/Outcomin Interface에 'Any' 또는 다중 Interface가 지정되어 있을 경우

'Interface Pair View' 기능을 사용 하실 수 없습니다.

How Any or multiple-interfaces policy can change the Interface Pair View

The FortiGate unit automatically changes the view on the policy list page to By Sequence whenever there is a policy containing any or multiple-interfaces as the Source or Destination interface. If the Interface Pair View is grayed out, it is likely that one or more policies have used the any or multiple-interfaces.

When you use the any or multiple-interfaces, the policy goes into multiple sections because it might be any one of a number of interface pairings. Policies are divided into sectioned using the interface pairings, for example, port1 to port2.

Each section has its own policy order. The order in which a policy is checked for matching criteria to a packet’s information is based solely on the position of the policy within its section or within the entire list of policies. If the policy is in multiple sections, FortiGate cannot place the policy in order in multiple sections. Therefore the view can only be By Sequence.

출처 : https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/497952/policy-views-and-policy-lookup

Fortigate Maximum Values Table 소개드립니다.

해당 문서는 Fortigate Software Version 및 Firmware Version 별로 Maximum Value를 확인 할 수 있습니다.

저 같은 경우는 Fortigate 방화벽 IPv4 객체 최대 개수를 종종 검색하곤 합니다.

1. Software Version 선택 -> 방화벽 모델 선택 -> 'Go' -> 'Show Entries' 에서 All 선택 -> Search 필드에 항목 검색

https://docs.fortinet.com/max-value-table

Imperva 社 웹방화벽 장비 경우 국산 장비와 비교 했을 시 정책 추출하기가 조금 까다롭습니다.

Data Scope & Tabular 설정을 통해 추출 할 수 있으나 각 1개의 웹 서버 별로 추출이 가능하므로 다소 번거로운 작업입니다.

1. GUI 접근 -> 상단 'REPORTS' -> 'Manage Reports' -> '+' -> 'Configuration' -> 'Security Polices' 클릭하여 Reports 신규 생성

2. 1번 과정에서 신규 생성한 Security Polices Reports 클릭 -> 'Tabular' 탭 이동 -> 'Tabular View' 체크->

빨간 체크 박스와 같이 Policy Name Order '1' ~ Applied To Assets Order '5' 설정 

3. 'Data Scope' -> Filter 중 'Applied to Assets' -> 'Operation=Equals' -> 'Value' -> Site(웹서버 그룹 설정), Server Greoup(웹서버 선택) 

(Imper WAF 정책 추출 경우 각 웹서버 별로 지정되어 있는 정책만 추출 가능하여 다소 시간이 소요됨)

4. Applied to Assets Fields 정상적으로 적용이 되면 Enabled Fields 항목에 Applied to Assets 표시됨. 

5. 생성한 Security Policies 클릭 후 우측 상단 Action -> Run Report 후 Export 

# diagnose sniffer packet any 'host x.x.x.x' 4

 - 모든 인터페이스의 특정 IP로의 통신 패킷 

# diagnose sniffer packet wan1 'host x.x.x.x' 4

 - 특정 인터페이스 및 특정 IP로의 통신 패킷

# diagnose sniffer packet any 'host x.x.x.x and icmp' 4

 - 특정 IP에서의 ICMP 통신 패킷

# diagnose sniffer packet port1 'host x.x.x.x and host y.y.y.y' 4 

 - Interface port1에서 IP : x.x.x.x 기준 x.x.x.x<->y.y.y.y 통신 패킷

# diagnose sniffer packet port1 'host x.x.x.x or host y.y.y.y' 4

 - Interface port1에서 IP : x.x.x.x 또는 IP : y.y.y.y 통신 패킷

# diagnose sniffer packet any 'net [IP] [Netmask]' 4

 - 지정한 대역의 통신 패킷

# diagnose sys session list

 - Session 확인

# diagnose sys session filter [src,dst] [IP]

 - 특정 IP로의 Session 확인

- session filter options -

# diagnose sys session filter 

 - 등록된 필터 확인

# diagnose sys session clear

 - Session Filter 미등록 상태로 상기 명령어 진행 시 All Session Clear(주의 사용)

# diagnose sys session filter clear

 - 등록한 Filter로 Session Clear 진행 후 등록한 Filter도 삭제 진행하여야 함.

# end(=en) : Save and Quit

# abort : Not save and Quit

# diagnose = # diag

# executed = # exec

● get system performance status

 - 해당 장비의 현재 CPU & Memory Usage, Traffic, Session, Uptime

● diagnose sys top

 - CPU, MEM Usage

● diagnose sys top-summary

 - 실시간 CPU, MEM Usage 

● diagnose sys kill 11 [PID]

 - Process kill

● get system status

 - Firmware Version, Serial Information

● diagnose debug crashlog read

 - Process Crash Log, 장애 Log

● diagnose log alertconsole list

 - Administartor Login fail log, Hardware Reboot, Power Off, FortiGuard Update..

● diagnose hardware device nic interface name(ex - port1)

 - interface Spped/Duplex, Error

● diagnose netlink device list

 - Interface Error log

● get route info routing-table all

 - Routing Table Check

● get sys arp

 - ARP Table check

● execute clear system arp table

 - ARP Table clear

● diagnose ip arp delete [Interface] [IP]

 - ARP delete

● get sys session-ttl

 - Session Time to live

● get system interface

 - Interface Information

클라우드 환경의 보안 솔루션 Deep Security 운영하시다 보면 잦은 트러블슈팅에 이슈 트래킹까지......

검색을 해보아도 이슈에 대한 정보가 찾기 어렵습니다.

이러하여 벤더사에서 기술 지원 서비스를 해주어 자주 애용하고 있습니다.

https://success.trendmicro.com/product-support/deep-security