IPS Sensor für Fortigate mit IPv6

Fortinet hat eine recht weit fortgeschrittene IPv6 Implementierung.

Leider ist es aber noch nicht möglich, einen IPS Sensor auf einer Policy für IPv6 zu definieren. Dazu gibt es aber eine Umgehungslösung.

Sie müssen einfach eine Interface Policy auf der Command Line erstellen:

config firewall interface-policy6
    edit 1
        set interface "port5"
        set srcaddr6 "all"
        set dstaddr6 "all"
        set service6 "HTTP"
        set ips-sensor-status enable
        set ips-sensor "WEB-ips"
    next
end

Auf diese Weise erstellen Sie einen Sensor pro Interface und nicht pro Policy. Auf alle Fälle viel besser als gar nichts, richtig?

IPv6 Address Renumbering

IPv6 verwendet Provider Aggregated IP Adressen.

Auf Cisco Geräten kann ich einen generellen Präfix definieren. Muss ich die Adresse ändern, kann ich den Präfix anpassen und alle Adressen auf dem Gerät sind angepasst.

ipv6 general-prefix PROD 2001:DB8:1234::/48
!
interface Vlan1
 description Management Network
 ipv6 address PROD ::1:0:0:0:2E1/64
 ipv6 enable
!
interface Vlan2
 description Management Network
 ipv6 address PROD ::2:0:0:0:FF/64
 ipv6 enable
!

Für die Änderung gebe ich dem generel-prefix PROD die neue IP Adresse und alle Adressen auf dem Gerät sind geändert.

  • Cisco
  • Kommentare deaktiviert

Dediziertes Fortigate Management Interface im HA Betrieb

Wenn Sie einen Fortigate HA Cluster konfigurieren, erscheint die Option: ”Reserve Management Port for Cluster Member”. Ist diese Option aktiv, kann ein Interface ausgesucht werden.

Mit dieser Option haben Sie die Möglichkeit, jedem Cluster Member eine IP Adresse zuzuweisen, die nicht synchronisiert wird. Speziell hilfreich ist dieses Feature in einem “virtual Cluster”, mit unterschiedlichen Master und Subordinate Geräten. So kann auch sehr einfach die CPU und Memory Auslastung pro Gerät abgefragt werden.

Auf dem GUI können Sie das meiste konfigurieren, auf der Kommandozeile gibt es aber noch ein paar Möglichkeiten mehr.

Zuerst schalten Sie das Management Interface ein:

config system ha
     set ha-mgmt-status enable
     set ha-mgmt-interface wan2
     set ha-mgmt-interface-gateway 10.11.101.100
end

Dann weisen Sie jedem Cluster Mitglied eine eigene IP Adresse zu:

config system interface
	edit wan2
	set ip 10.11.101.101/24
	set allow access https ping ssh snmp
end
config system interface
	edit wan2
	set ip 10.11.101.102/24
	set allow access https ping ssh snmp
end

Das war’s. Nun können Sie auf jedes Gerät in einem Cluster individuell zugreifen.

Apple resume

Apple Lion’s neues Feature “resume” ist manchmal sehr hilfreich, unter gewissen Umständen aber ziemlich nervig.

Anstatt “resume” global abzuschalten, können Sie eine Applikation mit <cmd>+<alt>+Q schliessen. Das schliesst alle Fenster, bevor die Applikation geschlossen wird.

Nach dem Neustart beginnt die Applikation wieder frisch.

  • Apple
  • Kommentare deaktiviert

‘diagnose sys top’

Fortigate beinhaltet einen mächtigen Diagnose Bereich in ihren Firewalls. Ein ganzer Zweig startet mit

diagnose oder kurz diag

Ein wichtiger Befehl ist:

diagnose sys top [refresh] [anzahl prozesse]

Dieser Befehl zeigt wie sein Verwandter ‘top’ auf Unixoiden System die aktiven Prozesse. Optional können Sie angeben, wie häufig die Anzeige erneuert werden soll und wie viele Prozesse maximal angezeigt werden sollen.

Das Resultat von ‘diag sys top‘ sieht bei Fortigate in etwa so aus:

Run Time:  1 days, 11 hours and 5 minutes
0U, 2S, 97I; 440T, 124F, 138KF
          newcli    22601      R       1.1     3.2
            sshd    22593      S       1.1     2.5
          ospf6d       42      S       0.1     0.5
       ipsengine      355      S <     0.0    29.8
          httpsd       81      S       0.0     4.3
         cmdbsvr       20      S       0.0     4.3
          httpsd       90      S       0.0     4.2
          httpsd       40      S       0.0     3.6
           fgfmd       78      S       0.0     3.2
       scanunitd      639      S <     0.0     3.2
          newcli    22597      S       0.0     3.2

Die Linie ‘Run Time’ ist ja noch ziemlich selbsterklärend. Die 2. Linie ist schon schwerer zu verstehen.

Also, die Linie mit 0U, 2S, 97I … bedeutet

U – Userspace CPU Belastung in %

S – CPU Belastung in % mit System Prozessen (Kernel)

I – CPU idle (untätig) in %

Die 2. Hälfte der Linie informiert über die Memory Auslastung:

440T – wir haben ein Total von 440MB Hauptspeicher

124F – es sind immer noch 124MB Hauptspeicher frei

138KF – die Menge der verwendeten Shared Memory Pages

Die nachfolgenden Linien wie ‘newcli 22601 R 1.1 3.2‘ bedeuten:

newcli – der Name des Prozesses

22601 – die Prozess ID

R – Running, kann aber auch S sein, wie sleeping

1.1 – dieser Prozess verwendet 1.1% CPU

3.2 – dieser Prozess verwendet 3.2% Hauptspeicher