Fortigateでsyslogを取ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は、FortigateでSyslogの取得をしてみたいと思います。

Syslogを取得すると何が嬉しいかというと、何かセキュリティインシデントが発生した場合に、時系列でどういった通信をしてどんな情報がどこに対して行われたかを可視化するために、Syslogがないと何もできません。そのため、Syslogを取得することはとても必要となります。

設定は簡単です。

それではやっていきましょう。

【手順】

1.「ログ&レポート」>「ログ設定」

2.「リモートロギングとアーカイブ」>「ログをSyslogへ送る」

チェック:ON
IPアドレス/FQDN:Syslogサーバのアドレスを入力

3.「適用」を選択

以上で設定は終わりです。

続いてちゃんとログが取得できているかを確認する必要がありますので、ログを確認していきましょう。

まずはパケットを見てみましょう。

ちゃんと取れてますね。

ファシリティが「local7」なのは、Fortigateのデフォルトのようです。

CLIから設定を見ると確かに「local7」になってます。

 

●確認コマンド

get log syslogd setting

 

もし変えたい場合は、CLIで変更できるようです。

config log syslogd setting
set facility “ファシリティ“
end

実際に「local1」に変更してみました。

パケットもちゃんと「local1」になってました。

 

続いてちゃんとSyslogサーバにもログが転送されているか確認してみます。

こちらも問題なく転送されてきているようです。

今回のsyslog設定は以上です。

ログはセキュリティインシデントの調査に必ず必要になりますので、是非設定してみてください。

どうもありがとうございました。

 

p.s.

最近パソコンのセキュリティ対策支援というものを始めてみましたので、何かパソコンのセキュリティについて聞いてみたいことがありましたらコメントか、以下メールにご連絡ください。

shin.secsup@gmail.com

Pocket

Fortigateのミラーポート機能を使ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回はForigateのミラーポート機能を使って家のパケットをキャプチャしてみました。

ミラーポートとは

設定したポート上の流れるパケットを別のポートにコピー(ミラー)する機能です。

どういったときに使うかというと、「ネットワークで障害が発生しているが何が起こっているかがわからない」といったときなどに、ミラーポートを作成してコピーされたポートにPCを接続し、パケットをキャプチャするときに使います。

今回は、internal1のパケットをinternal7へミラーする設定をしていきます。

それではさっそくやってみます。

設定

「ネットワーク」>「インターフェース」>「internal」をダブルクリック

SPANの設定を以下の設定にして「OK」を選択する

SPAN:有効

送信元ポート:internal1

宛先ポート:internal7

報告:両方

以上で設定は終わりです。

動画も取得しましたのでよかったら是非見てください。

 

次に実際にinternal7にPCを接続してパケットを取得してみます。

ちゃんとパケットが取得されていますね。

あまり使う機会はないかもしれませんが、こういう機能があるんだなということを覚えておいて、もし何かあったときに使ってみてください。

以上です。ありがとうございました。

Pocket

Fortigateの小技集を作ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@7月からセキュリティエンジニアになることが出来ましたです。

今回はFortigateを設定していて「あれ、こういった場合はどうするんだろう?」といった簡単な内容をまとめてみました。

名前なしのポリシーを設定したい

システム>フィーチャー選択>その他フィーチャー
・名前なしポリシー許可:オン

 

FortigateをDNSサーバ(キャッシュサーバ)にしたい

システム>フィーチャー選択>その他フィーチャー
・DNSデータベース:オン

ネットワーク>DNSサーバ

インタフェース上のDNSサービス>新規作成
・インタフェース:LAN側のインタフェースを選択
・モード:システムのDNSサーバに転送

パソコンのDNS設定をForigateのLAN側IPアドレスに設定する

 

行きと帰りのルートが違ってもパケットを破棄したくない

CLIより設定

●設定
# config system settings
(settings)# set asymroute enable
(settings)# end

●確認
# config system settings
(settings)# get | grep asymroute

asymroute : enable
※enableになっていることを確認します。

●設定削除するとき
(settings)# set asymroute disable
(settings)# end

 

LOGの保存レベルを変更したい

CLIより設定

●設定
 # config log memory filter 
(filter) # set severity information
(filter) # end

●確認
 # config log memory filter 
(settings)# get
severity:information
※informationになっていることを確認

 

今思いついているものについては以上になります。また思いつきましたら追記していきまる。

もし、こんな設定はどうするみたいなものがあったら気軽にお問合せください。

以上です。ありがとうございました。

Pocket