본문 바로가기

FortiGate/Security Profile73

v7.2.4 : Hash를 이용하여 AntiVirus 예외처리 가능 FortiOS v7.2.4에서 AntiVIrus 검사에서 악성으로 분류되어 잘못 차단되는 파일에 대해, hash값을 이용하여 예외처리가 가능한다. MD5, SHA1 또는 SHA256에서 파일 hash를 지정할 수 있으며, 각 VDOM 별로 적용 가능하다. 아래의 명령어로 예외처리 설정이 가능하며 outbreak prevention, machine learning, FortiNDR, FortiSandbox inline 스캔에는 예외처리가 적용되지 않는다. config antivirus exempt-list edit set hash-type {md5 | sha1 | sha256} set hash set status {enable | disable} next end eicar.org의 "eicar_com.zi.. 2023. 2. 3.
FortiSandbox로 보내는 최대 file size 조정 FortiGate가 FortiSandbox와 연동되어 file을 보내는 최대 사이즈의 기본값은 10MB 이다. file의 최대 사이즈 조정은 CLI의 antivirus profile 설정에서 가능하며, 최대 사이즈는 FortiGate의 Memory 사이즈에 따라 다르다. file의 최대 사이즈 조정은 CLI 명령어는 펌웨어 버전에 따라 조금 다르다. FortiOS v7.0 이하 config antivirus profile edit set analytics-max-upload {value} end FortiOS v7.2 config antivirus profile edit set fortisandbox-max-upload {value} end 2023. 1. 2.
IPS의 'sync-session-ttl' 설정 설명 IPS global 설정에 아래와 같이 'sync-session-ttl' 설정이 있다. default 설정은 enable 이며, ipsengine 세션(diag ips session list)을 FortiGate 커널 세션(diag sys session list)과 TTL을 동기화 하게 된다. (거의 비슷하게 세션 종료됨) IPSengine에서 사용하는 CPU 또는 메모리를 줄이려면 이 설정을 disable 할 수 있다. disable 하게되면 ipsengine session TTL은 300초로 줄어들어 CPU 또는 메모리를 줄일수 있지만, ipsengine 세션이 만료된 후에는 기존 세션 트래픽에 대해 더 이상 IPS 검색이 수행되지 않는다는 점에 유의해야 한다. 2022. 12. 23.
scanunit 데몬의 디버그 명령어 scanunit 프로세스의 디버그 명령어가 펌웨어 버전에 따라 조금 다르다. ◉ FortiOS v6.2 이하 diagnose debug application scanunit -1 diagnose debug enable ◉ FortiOS v6.4 이상 diagnose sys scanunit debug all diagnose debug enable 2022. 12. 13.
Application Control에서 차단 설정 했지만 허용되는 경우 Application Control에서 특정 Application을 차단 설정 했지만 허용되는 경우가 있다. 아래의 예처럼 "Windows Update"에 대해서는 차단했지만, 로그를 확인해보면 일부 WIndows Update에 대해 허용되는 경우가 있다. 이유는 SSL Deep Inspection을 사용하면서 SSL Inspection 에서 예외 처리 되어서 발생하는 문제이다. SSL Deep Insepction의 예외처리가 Application Control보다 먼저 처리되기 때문이다. 이를 해결하려면 SSL Deep Insepction의 예외처리를 해제하거나, ISDB(Internet Service DataBase)에 있는 항목 이라면 ISDB를 통해 방화벽 정책을 만들어 처리 가능하다. SSL I.. 2022. 11. 17.

티스토리툴바