FortiGate/Security Profile73 v6.4.0 : Botnet IP 와 ISDB 의 통합 FortiOS v6.4.0 부터 Botnet IP 데이터베이스는 ISDB(Internet Service DataBase)와 통합 되었다. https://docs.fortinet.com/document/fortigate/6.4.0/new-features/592847/ip-definitions-database-merged-into-the-internet-service-database 따라서 Botnet C&C의 IP 차단은 ISDB를 이용한다. FortiGuard를 보면, ISDB와 Botnet IP의 데이터베이스 버전이 동일한 것을 알수 있다. FortiGuard 라이선스 구매는 아래의 표 참조.. 2021. 12. 22. Application Control에서 "Monitor" 설정인데 차단 되는 경우 Application Control에서 Action을 "Monitor"로 설정했는데도 차단 되는 경우가 있다. 이유는 해당 Application이 사용하는 port가 우연히 FortiGate에서 사용하는 port와 겹쳐서 발생할 수 있다. 일부 게임 같은 프로그램에서 443이 아닌 다른 port를 이용하여 SSL 연결을 하는 경우가 있다. 이 때 사용하는 port가 FortiGate의 WebFilter에서 재정의 기능에 사용되는 port와 겹치는 경우, FortiGate는 해당 트래픽을 forwarding 하지 않는다.(FortiGate는 자신이 수신하는 트래픽으로 판단..) 그런 경우인지 확인하는 방법은 패킷 스니핑을 통해 확인할수 있다. host의 IP는 내부에 차단되는 Client IP로 하고, 아.. 2021. 12. 15. v6.4.3 이상에서 부터 IPS Intelligent-mode옵션 사라짐 IPS에서 시그니쳐 패턴 매칭을 할때, IPS 엔진이 지능적으로 적당한 길이(공격을 탐지할수 있는)만큼 검사하는 Intelligent-mode 옵션이 v6.4.3 부터 사라졌다. v6.4.3 부터는 "intelligent-mode disable"이 default 가 되어서 모든 바이트를 검사하는 방식으로 바뀌었다. 하지만 IPS signature 데이터베이스를 "Extended"가 아닌, "Regular"를 사용하게 되면 "intelligent-mode enable" 처럼 동작 할 수 있다. 2021. 12. 10. SSL Certificate Inspection 에서 SNI 체크 방식 설명 SSL Certificate Inspection 에서는 SSL handshake에 있는 SNI(Server Name Indication)를 확인하거나, SNI가 없으면 인증서의 CN 또는 SAN 필드를 확인한다. https://ebt-forti.tistory.com/284 경우가 따라 SNI에서 확인된 서버의 이름(FQDN)과 CN 서버 이름이 다른 경우가 있다. 위 예처럼 youtube.com 의 경우 CN 필드 값은 "*.google.com" 이다. 이 같은 경우 SNI를 지원하지 않는 브라우저에서는 FortiGate가 SSL Certificate inspection을 사용하는 경우, youtube.com이 아니라 google.com으로 인식 할 수 있다. 이와 같이 SNI와 CN이 다른 경우 For.. 2021. 12. 7. One-Arm Sniffer 모드 GUI상에서 One-Arm Sniffer 모드 설정하는 방법이다. 트래픽을 미러링 해주는 port 또는 TAP 장치와 연결하여 동작한다. 실제 트래픽의 흐름에 영향을 주지않고 시큐리티 프로파일을 적용하여 탐지하고 로그를 남긴다. 차단은 불가능하다. 탐지가 되면 로그를 남기고 해당 트래픽은 삭제한다. 실제 통신하는 트래픽을 삭제하는 것이 아니라 FortiGate로 미러링(복사)된 트래픽을 삭제한다. 인터페이스 설정에서 Addressing mode를 One-Arm Sniffer로 설정한다. 이때 인터페이스가 방화벽 정책이나 라우팅 설정 등에 포함되어 이미 사용중이면, One-Arm Sniffer를 설정할 수 없다. 그리고 Role 설정이 "WAN"일 경우에도 설정할 수 없다. "DMZ" 또는 "LAN" 이어.. 2021. 11. 15. 이전 1 ··· 8 9 10 11 12 13 14 15 다음
