EN

FortiGate Ve FortiAnalyzer Cihazlarının Birbirine Bağlanması

19 Ağustos 2019

Bu yazımızda OFTPD protokolünün FortGate ve FortiAnalyzer cihazları arasında iletişim oluşturmak için nasıl kullanıldığı açıklanmaktadır. İsterseniz öncelikle biraz OFTPD protokolünden bahsedelim.

OFTP (Optimized Fabric Transfer Protocol) protokolü, ForiGate’den bağlantı, akış kontrolü, dosya aktarımı ve log görüntülemek için TCP ve UDP protokollerinin 514 numaralı portunu kullanır.

Aşama 1: FortiGate ve FortiAnalzer ürün yazılımı uyumluluğu

FortiAnalyzer ürün yazılımı sürümü FortiGate ile eşit veya daha yüksek olmalıdır. Örneğin;

-FortiAnalyzer  v5.6 and FortiGate  v5.4 veya v5.6 çalışır

- FortiAnalyzer  v5.4 and FortiGate  v5.6 çalışmaz.

Aşama 2: FortiGate üzerinde FortiAnalyzer Konfigürasyonu Yapma

FortiGate log ayarları FortiAnalzer’ a logları göndermek için kullanılır.

get log fortianalyzer setting

status : enable
ips-archive : enable
server : 10.34.199.143
enc-algorithm : high
conn-timeout : 10
monitor-keepalive-period: 5
monitor-failure-retry-period: 5
certificate :
source-ip :
upload-option : 5-minute
reliable : disable

- enc + reliable - enabled > Loglar TCP üzerinden şifreli olarak gönderilir.
- enc-algorithm - disabled , reliable - enabled> Loglar TCP üzerinden şifresiz olarak gönderilir.
- enc-algorithm - enabled , reliable-disabled> Loglar UDP üzerinden şifresiz olarak gönderilir.
- enc-algorithm - disabled , reliable-disabled> Loglar UDP üzerinden şifresiz olarak gönderilir.

FortiGate log filtre ayarları, gönderilen log miktarını etkiler:

# get log fortianalyzer filter

severity : information à Gönderilen logların miktarı önem derecesine bağlı, information, warning, critical.
forward-traffic : enable
local-traffic : enable
multicast-traffic : enable
sniffer-traffic : enable
anomaly : enable
voip : enable
dlp-archive : enable
dns : enable
filter : à Filtreleri yapılandırmak daha az log gönderilmesine neden olabilir.
filter-type : include

Aşama 3: Ayarlar doğrulandıktan sonra arayüzden ve FortiGate’in  komut satırından bağlantıyı kontrol etme

CLI:

- # exec log fortianalyzer test-connectivity

Hata mesajı alıyoruz: Failed to get FAZ's status. Authentication Failed à FortiAnalyzer  arayüzde cihaz yöneticisi altında FortiGate’i ekleyelim.

gate.png

FortiGate FortiAnalyzer’a bağlandığında bağlantıyı kontrol edelim.

Başarılı log gönderimi:

#exec log fortianalyzer test-connectivity

FortiAnalyzer Host Name: FAZVM64
FortiGate Device ID: FGT1234567890
Registration: registered
Connection: allow
Disk Space (Used/Allocated): 0/Unlimited MB
Total Free Space: 831949 MB
Log: Tx & Rx (28 logs received since 02:00:18 02/20/18)
IPS Packet Log: Tx & Rx
Content Archive: Tx & Rx
Quarantine: Tx & Rx

Başarısız log gönderimi:

# exec log fortianalyzer test-connectivity

FortiAnalyzer Host Name: FAZVM64
FortiGate Device ID: FGT1KD3915802143
Registration: registered
Connection: allow
Disk Space (Used/Allocated): 0/Unlimited MB
Total Free Space: 819502 MB
Log: Tx & Rx (log not received)  > Check if UDP is used (reliable is disabled under log setting)
IPS Packet Log: Tx & Rx
Content Archive: Tx & Rx
Quarantine: Tx & Rx

Ping, traceroute ve telnet kullanılarak ağ bağlantı testi yapıyoruz.

# exec ping 10.34.199.143 
PING 10.34.199.143 (10.34.199.143): 56 data bytes
64 bytes from 10.34.199.143: icmp_seq=0 ttl=62 time=0.3 ms
64 bytes from 10.34.199.143: icmp_seq=1 ttl=62 time=0.3 ms
64 bytes from 10.34.199.143: icmp_seq=2 ttl=62 time=0.2 ms
64 bytes from 10.34.199.143: icmp_seq=3 ttl=62 time=0.2 ms
64 bytes from 10.34.199.143: icmp_seq=4 ttl=62 time=0.2 ms
--- 10.34.199.143 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.3 ms

# exec traceroute 10.34.199.143  
traceroute to 10.34.199.143 (10.34.199.143), 32 hops max, 3 probe packets per hop, 84 byte packets
 1  10.107.3.108  0.070 ms  0.060 ms  0.053 ms
 2  10.40.31.254  0.083 ms  0.122 ms  0.075 ms
 3  10.34.199.143  0.217 ms  0.233 ms  0.120 ms

# exec telnet 10.34.199.143 514 
Trying 10.34.199.143...
Connected to 10.34.199.143.

àPing ve Traceroute komutları başarılı olsada bağlantı hala başarısız olablir. Böyle durumlarda FortiGate ve FortiAnalyzer arasındaki ara cihazlarda TCP/UDP 514 bağlantı noktalarının açık olup olmadığını kontrol edin.

Aşama 4: Bağlantıları kontrol etmek için gelişmiş komutlar

FortiGate ve FortiAnalyzer’da sniffer komutu kullanıyoruz.

FortiGate CLI:  # diag sniffer packet any 'host x.x.x.x and port 514' 4 0 l, x.x.x.x FortiAnalyzer ip

FortiAnalyzer CLI: # diag sniffer packet any 'host y.y.y.y and port 514' 4 0 l , y.y.y.y FortiGate ip

Sonra FortiGate GUI’nin Log Setting altında Test Connectivity’e tıklarız veya CLI’dan diag log test komutunu çalıştırabiliriz.

FortiAnalyzer’da OFTPD uygulamasının hata ayıklamasını değerlendirme

Bağlantı sorunları için OFTPD deamon hata ayıklama:

# diag debug app oftpd 8 10.40.19.108  > veya cihaz adı kullanılır.
# diag debug timestamp enable
# diag debug enable

Sonra FortiGate GUI’nin Log Setting altında Test Connectivity’e tıklarız veya CLI’dan diag log test komutunu çalıştırabiliriz.

Başarılı girişim ‘Login Request’ mesajını gösterir:

2018-02-20 15:50:51 oftpd_handle_session:3303: sock[29] ip[10.40.19.108] - Handle 'LOGIN_REQUEST' request type=2.
2018-02-20 15:50:51 handle_login:1961: sock[29] ip[10.40.19.108] - host = 'FGT1234567890'
2018-02-20 15:50:51 handle_login:1989: sock[29] ip[10.40.19.108] - Version: FortiGate-1000D v5.6.3,build1547,171204 (GA)
Virus-DB: 1.00123(2015-12-11 13:18)
IPS-DB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
Industrial-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FGT1234567890
Botnet DB: 1.00000(2012-05-28 22:51)
Virtual domain configuration: disable
Current HA mode: standalone
Current HA group:

2018-02-20 15:50:51 handle_login:1966: sock[29] ip[10.40.19.108] - vdom = 1
2018-02-20 15:50:51 oftpd_handle_session:3286: sock[29] ip[10.40.19.108] - [oftpd_handle_session] the peer close the connection.
2018-02-20 15:50:51 oftpd_close_session:2600: sock[29] ip[10.40.19.108] - Client connection closed. Reason 8(the peer close the connection)

àŞu komutları kullanarak hata ayıklamayı devre dışı bırakın:

# diag debug disable
# diag debug timestamp disable
# diag debug app oftpd 0

 

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog