FortiGate636 SSL certificate inspection 에서 확인하는 정보 SSL로 암호화된 트래픽의 payload 데이터 까지 inspection하기 위해서는 SSL Deep-Inspection 이 필요하다. SSL Certificate-inspection을 사용하게 되면, 실제 암호화된 트래픽을 검사하지 못한다. 그렇기 때문에 SSL Certificate-inspection은 SSL Handshake의 Client hello 패킷에 있는 SNI(Server Name Indicator)를 확인하다. 즉 SSL Certificate-inspection은 내부데이터에 포함된 바이러스나 공격 또는 FQDN으로 확인할 수 없는 Application은 탐지할 수 없다. 만약 SNI가 없다면, SSL인증서의 subject 또는 subject alternative name을 확인한다. S.. 2021. 8. 13. "diagnose hardware test suite all' 명령어 사용 FortiGate의 하드웨어적이 장애를 진단하기 위해 예전에는 HQIP 테스트를 하였다. HQIP는 모델마다 펌웨어가 따로 있어 해당 펌웨어를 TFTP를 통해 장비에 설치하면 리부팅 되면서 하드웨어 테스트를 진행한다. 하드웨어 테스트는 CPU, 메모리, 인터페이스, USB 등에 대한 테스트를 진행하며, 설정상의 문제 같은 소프트웨어 적인 문제는 진단하지 못한다. 해당 테스트를 진행하여 장애가 발견되면 테스트 결과를 가지고 RMA를 신청할 수 있다. FortiOSv5.4 이상부터는 HQIP 펌웨어를 사용하지 않고, CLI에서 "diagnose hardware test suite all' 명령어로 하드웨어 장애 진단이 가능하다. CLI 명령어이기 때문에 공장 초기화를 하지 않아도 명령어 실행은 가능하지만 아.. 2021. 8. 12. Local out traffic 처리 방법 FortiGate에서 시작하여 외부 서버 및 서비스로 가는 트래픽을 Local out traffic 이라 한다. Syslog, FortiAnalyzer 로깅, FortiGuard 서비스, 원격 인증, DHCP relay 트래픽등이 해당된다. default(auto)로 로컬 아웃 트래픽은 라우팅 테이블 조회하여 경로(outgoing interface)를 결정하게 된다. sd-wan 설정이 되어 있다면 라우팅테이블이 아닌 SD-WAN rule을 따르도록 해야할 경우도 있다. 다수의 local out traffic은 라우팅 테이블을 조회할것인지, SD-WAN Rule을 따를 것인지, 수동(specify)으로 경로를 결정할 것인지 설정가능하다. 만약 수동으로 설정할 경우 source IP도 설정 가능하다. 예를.. 2021. 8. 11. Session helper : expectation session Session helper 기능은 FTP같은 Layer 7 프로토콜을 추적하여, 통신에 필요한 port를 동적으로 open하는 기능이다. 이렇게 동적으로 open되는 port는 expectation session을 생성하여 트래픽을 허용한다. expectation session은 상위 계층 프로토콜에 의해 협상된 포트에 대해 Session helper에 의해 생성되는 세션이다. expectation session의 timeout값은 30초이다. 동적으로 open된 통신이 30초 이내로 시작되지 않으면 expectation session은 시간 초과되고 트래픽이 차단된다. expectation session을 확인하는 명령어 # diagnose sys session list expectation 예를 들어.. 2021. 8. 10. dis sys session stat 명령어 설명 아래와 같이 dia sys sesion stat 명령어 결과의 session count 항목에 대한 설명이다. session_count: 현재 연결된 세션 수 setup_rate: 현재 초당 생성되는 세션 수 exp_count: expectation session 수. FTP 같은 프로토콜을 이용해서 Session help 기능을 사용했을때, 제어 세션에서 데이터 세션에 대한 정보를 확인하여 미리(expectation) 만들어 놓는 세션. clash: 세션 충돌이 발생한 누적 수. 세션 충돌은 새로운 세션을 생성했는데, 동일한 튜플(sip, sport, dip, dport)의 세션이 이미 존재 할 경우 발생. 세션 충돌이 발생하면 이전 세션이 삭제되고 새 세션으로 교체. memory_tension_dro.. 2021. 8. 9. 이전 1 ··· 88 89 90 91 92 93 94 ··· 128 다음
