Only W0N in Security Intelligence

Fortigate Firmware Version Upgrade Path 소개 드립니다.

방화벽 장비 운용 시 EOS 된 펌웨어 버전을 운용 하시거나 특정 펌웨어 버전의 버그로 인해 서비스에 영향이 있을 경우

안정된 펌웨어 버전으로 업그레이드하는 작업을 종종 하시곤 합니다.

해당 사이트는 Fortigate 제품 선택 후 -> 현재 Firmware 선택 -> 희망 Firmware 선택 하여 몇 번의 업그레이드를 진행 해야하는지 확인 할 수 있는 사이트 입니다.

1. https://docs.fortinet.com/upgrade-tool 접속

Current Product - 제품명 선택

Current FortiOS Version - 현재 OS Version 선택

Upgrade to FortiOS Version - 희망 OS Version 선택

ex) FG-100E 장비에서 현재 v6.4.0 -> v7.0.0 업그레이드 작업 시

6.4.0 -> 6.4.2 -> 6.4.4 -> 7.0.0 총 3번의 업그레이드가 진행되며 업그레이드 시 장비 리부트 1회 발생합니다.

Fortigate 방화벽 정책 확인 시 Sequence로만 확인 할 수 있어 다소 불편한 경험이 있었습니다.

대다수의 방화벽은 Interface Pair View 활성화 되어 있어 Incoming, Outcoming 별로 정책이 분류되어 보기 용이하오나

하기 이미지처럼 특정 정책 In/Outcomin Interface에 'Any' 또는 다중 Interface가 지정되어 있을 경우

'Interface Pair View' 기능을 사용 하실 수 없습니다.

How Any or multiple-interfaces policy can change the Interface Pair View

The FortiGate unit automatically changes the view on the policy list page to By Sequence whenever there is a policy containing any or multiple-interfaces as the Source or Destination interface. If the Interface Pair View is grayed out, it is likely that one or more policies have used the any or multiple-interfaces.

When you use the any or multiple-interfaces, the policy goes into multiple sections because it might be any one of a number of interface pairings. Policies are divided into sectioned using the interface pairings, for example, port1 to port2.

Each section has its own policy order. The order in which a policy is checked for matching criteria to a packet’s information is based solely on the position of the policy within its section or within the entire list of policies. If the policy is in multiple sections, FortiGate cannot place the policy in order in multiple sections. Therefore the view can only be By Sequence.

출처 : https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/497952/policy-views-and-policy-lookup

Fortigate Maximum Values Table 소개드립니다.

해당 문서는 Fortigate Software Version 및 Firmware Version 별로 Maximum Value를 확인 할 수 있습니다.

저 같은 경우는 Fortigate 방화벽 IPv4 객체 최대 개수를 종종 검색하곤 합니다.

1. Software Version 선택 -> 방화벽 모델 선택 -> 'Go' -> 'Show Entries' 에서 All 선택 -> Search 필드에 항목 검색

https://docs.fortinet.com/max-value-table

# diagnose sniffer packet any 'host x.x.x.x' 4

 - 모든 인터페이스의 특정 IP로의 통신 패킷 

# diagnose sniffer packet wan1 'host x.x.x.x' 4

 - 특정 인터페이스 및 특정 IP로의 통신 패킷

# diagnose sniffer packet any 'host x.x.x.x and icmp' 4

 - 특정 IP에서의 ICMP 통신 패킷

# diagnose sniffer packet port1 'host x.x.x.x and host y.y.y.y' 4 

 - Interface port1에서 IP : x.x.x.x 기준 x.x.x.x<->y.y.y.y 통신 패킷

# diagnose sniffer packet port1 'host x.x.x.x or host y.y.y.y' 4

 - Interface port1에서 IP : x.x.x.x 또는 IP : y.y.y.y 통신 패킷

# diagnose sniffer packet any 'net [IP] [Netmask]' 4

 - 지정한 대역의 통신 패킷

# diagnose sys session list

 - Session 확인

# diagnose sys session filter [src,dst] [IP]

 - 특정 IP로의 Session 확인

- session filter options -

# diagnose sys session filter 

 - 등록된 필터 확인

# diagnose sys session clear

 - Session Filter 미등록 상태로 상기 명령어 진행 시 All Session Clear(주의 사용)

# diagnose sys session filter clear

 - 등록한 Filter로 Session Clear 진행 후 등록한 Filter도 삭제 진행하여야 함.

# end(=en) : Save and Quit

# abort : Not save and Quit

# diagnose = # diag

# executed = # exec

● get system performance status

 - 해당 장비의 현재 CPU & Memory Usage, Traffic, Session, Uptime

● diagnose sys top

 - CPU, MEM Usage

● diagnose sys top-summary

 - 실시간 CPU, MEM Usage 

● diagnose sys kill 11 [PID]

 - Process kill

● get system status

 - Firmware Version, Serial Information

● diagnose debug crashlog read

 - Process Crash Log, 장애 Log

● diagnose log alertconsole list

 - Administartor Login fail log, Hardware Reboot, Power Off, FortiGuard Update..

● diagnose hardware device nic interface name(ex - port1)

 - interface Spped/Duplex, Error

● diagnose netlink device list

 - Interface Error log

● get route info routing-table all

 - Routing Table Check

● get sys arp

 - ARP Table check

● execute clear system arp table

 - ARP Table clear

● diagnose ip arp delete [Interface] [IP]

 - ARP delete

● get sys session-ttl

 - Session Time to live

● get system interface

 - Interface Information

Paloalto 방화벽 장비 Threat 로그 포맷 순서입니다.

ESM <-> Paloalto 방화벽 연동 시 파싱 검출 식에 참고 하시면 좋을 것 같습니다.

출처 : https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/monitoring/use-syslog-for-monitoring/syslog-field-descriptions/threat-log-fields.html#id83052cb2-4798-4f9c-abf8-e0b929ce7a3b

Fortigate UTM 운용하시면 Security Profile(IPS, AV, Web Filter, File Filter..Etc) 운용을 하실 것 입니다.

해당 기능을 사용할려면 라이센스가 항시 등록되어 있어야하며 만료될 경우

벤더사에서 제공하는 새로운 시그니처를 배포 받을 수 없어 라이센스 관리는 항상 중요합니다.

1. GUI 확인 방법

 System -> FortiGuard -> License information

2. CLI 확인 방법

# get system fortiguard-service status