One-Arm Sniffer 모드

GUI상에서 One-Arm Sniffer 모드 설정하는 방법이다.

트래픽을 미러링 해주는 port 또는 TAP 장치와 연결하여 동작한다. 실제 트래픽의 흐름에 영향을 주지않고 시큐리티 프로파일을 적용하여 탐지하고 로그를 남긴다. 차단은 불가능하다.

탐지가 되면 로그를 남기고 해당 트래픽은 삭제한다. 실제 통신하는  트래픽을 삭제하는 것이 아니라 FortiGate로 미러링(복사)된 트래픽을 삭제한다.

 

인터페이스 설정에서 Addressing mode를 One-Arm Sniffer로 설정한다.

이때 인터페이스가 방화벽 정책이나 라우팅 설정 등에 포함되어 이미 사용중이면, One-Arm Sniffer를 설정할 수 없다.

그리고 Role 설정이 "WAN"일 경우에도 설정할 수 없다. "DMZ" 또는 "LAN" 이어야 설정 가능하다.

 

Security Profile은 "sniffer-profile"  만 적용 가능하다. 해당 profiledms 수정 가능하다.

 

 

주의할 점은 NP, CP 등 SPU가 있는 경우에도 CPU만으로 처리한다는 것이다. 그래서 CPU 점유율이 높아지고 성능은 낮아진다.

Packet 손실이 발생할 수 있다. CPU는 낮더라도 FortiGate의 커널 버퍼 크기 또는 TAP 장치에서의 손실 등이 이유이다.