FORTIGATE Firewall Tshoot | PART-III
Serkan Alan , MIS, MBA - PCNSE, CompTIA Security
Network & Security Administrator
Fortigate Tshoot 'un son bölümü, PART-III' ile genelde komut satırı araçları kullanılacak ve çıktıları paylaşılacaktır.
İlk olarak, User restriction ile, yetkisiz kullanıcıların,Fortigate sistemine girmelerini nasıl engelleriz ? Bunu grafik arabiriminden ya da Fortigate Command Prompt üzerinden kolaylıkla gerçekleştirebiliriz. Aşağıdaki görüntüde henüz Restrict özelliği aktif hâle gelmemiştir.
Grafik arabiriminden aynı seçeneklere, aşağıdaki görüntüde, restrict özelliği aktif fakat secure host ip adresleri girilmemiş durumdadır. ( 0.0.0.0/0 )
192.168.2.0/24 ve 192.168.4.0/24 bloğundaki cihazlardan erişim için aşağıdaki gibi restriction adresi eklendikten sonra, sadece belirtilen secure host bloklarına izin vermiş olduk.
Not: User Restriction ile Fortigate_Fw'nin Http,Https,Telnet,Ssh...erişimi sadece izinli ip adreslerine sağlanılabilir duruma getirildi. Eğer, erişimi gereken secure host ip/subnet'lerine izin verilmezse, cihaz ile olan erişim kaybolacaktır.
Fortigate Firewall'a bağlandığınızda, cihaz hangi ip adresinden, HTTPS,HTTP ya da SSH farkı gözetmeksizin cihaz üzerinde session bilgisi sunar. Görsel arabirimde, direkt dashboard üzerinden bakılabileceği gibi,Cli 'ı kullanmak isteyenler de olabilir. Aşağıdaki komut ile istenilen bilgilere hızlıca ulaşabilirsiniz.
Ayrıca tarih ve saat bilgilerine de ulaşabilirsiniz. Cihaz üzerinde logging aktifleştirilirse, audit konusunda faydalı olacaktır.
Bir diğer pratik komut "diagnose sys platform info"... Bu komut ile Cihaza ait Model, Serial Number, Hardware Revision gibi bilgileri hızlı bir şekilde elde edebilirsiniz.
Bir sonraki Cli komutu: " diagnose hardware test network detect " Aslında bu komut bir diagnostik komutu yani Layer1 seviyesinden başlayarak gelişmiş olmasa da interface seviyesinde ve Layer 2 Mac Address seviyesindeki output'ları kontrol etmenizi sağlıyor. Testin sonucunda "Pass" ifadesini görebilmek, hepimizin olmasını beklediği bir durum : )
Bir diğer komut: "diagnose geoip ip2country 8.8.8.8"... komut ile fortigate cihazlardaki database üzerinde güncel Public Ip adress ve Public adress bloklarına ulaşabilirsiniz. Yeri gelmişken, Public ip kontrollerini aşağıdaki sitelerden güvenli bir şekilde gerçekleştirebilirsiniz.
Bir diğer benzer komut : "diagnose firewall ipgeo ip-list TR" bu komut ile Türkiye'de kullanılan Public Ip Bloklarını görüntüleyebilirsiniz. "TR" yerine "US" yazarak Amerika'daki blokları da kontrol edebilirsiniz. Ripe ya da Arin'deki search kısmına, komut satırındaki ip adreslerini girerek te sağlamalarını gerçekleştirebilirsiniz.
Örnek: Türkiye'deki, birtakım ip adress ve subnetleri de kapsayan, Total IP Range'in 3228 olduğu bilgisini görebilirsiniz.
Not: Ip Adress'lerine kısmen "Blur" uygulanmıştır : )
Diagnostic komutlarından ve hızlıca aksiyon almanızı sağlayacak bir diğer komutu, bir örnek çıktı ile göstermeye çalışalım:
"diagnose sniffer packet AP_INTERNET ' host 192.168.4.6 and host 192.168.2.1 or proto 22 ' | grep -f 22:
Source host ip adresi: 192.168.4.6 ve Firewall MGMT ip adresi arasında ve 22 portunu dinlemek istiyorsunuz; bu komut ile hızlıca çıktıları görebilirsiniz. Fark ettiyseniz, en soldaki numaralar sıra ile büyüyor ( isterseniz packet sayılarını da sınırlayabilirsiniz ) mesela, bu senaryoda, cihazlar arasında ack packetlerinin sorunsuz bir şekilde işlenebilirliğini görebilirsiniz. Siz de örnek source => Destination ve port bilgileri ile kendi çıktılarınızı üretip, kontrol edebilirsiniz.
Bir diğer komut diagnose sniffer packet any ' host 192.168.4.6 or host 192.168.2.1 ' 4 10
Bu komut ile anlatılmak istenen: any: herhangi bir yerden ( Interface 'ten ), source: 192.168.4.6 ve Destination: 192.168.2.1 ( Fortigate Fw-MGMT-Gateway ) arasındaki 10 adet paket/satırın listelenmesini sağlayabilirsiniz.
Bir diğer komut satırı aracı; diagnose sniffer packet any ' src 192.168.4.6 or dst 8.8.8.8 '
Yine , aynı şekilde belirtilen source & destination adreslerini filtreledik. Wan interface'i üzerinden trafiğin nasıl ilerlediğini kontrol etmek isterseniz fazlasıyla işinizi görecektir.
Bu örnekte: 192.168.1.117 ip adresinin, aslında benim wan ip adresim olduğunu düşünebilirsiniz. Kendi test ortamınızda, çıkış ip adresinizi alanda görmeniz olası bir durum.
Bu komut ile de, "grep" filtresi kullanılarak, istediğiniz test sonuçlarına ait aramaları daraltabiliyorsunuz: diagnose sniffer packet any | grep -f 8.8.8.8 google dns'ine doğru sürekli ping başlatıp, filtrenin sağlıklı bir şekilde çalıştığını aşağıdaki görüntüden kontrol edebilirsiniz.
LinkedIn tarafından öneriliyor
Bu arada "CAPWAP DATA" bu trafiğin access point üzerinden aktığını göstermektedir. Yani, 192.168.4.6 host ip adresi, wireless interface ip adresidir.
Daha birçok özellik ile çalışmalarınızı zenginleşirebilirsiniz. Fortigate Tshoot'u üç part halinde sonladırıyorum : ) Son bir bonus olarak, Wireshark ile, remote bilgisayar interface'ini dinleyip trafik analizi yapmaya çalışalım.
Örnek senaryo, Remote Cihaz Ip adresi: 192.168.4.4 olan host'un interface'i , yine aynı bloktaki 192.168.4.6 üzerinden ve wireshark yardımı ile dinlenecektir. 192.168.4.4 => 8.8.8.8'e doğru tamamen bloklanacak ve Remote cihazın log'ları, Local cihaz üzerinden kontrol edilecektir.
İlk önce, Remote cihaz üzerinde WinPcap eklentisinin kurulması gerekmektedir. Download direkt download diyerek pcap'i indirebilirsiniz.
Kurulum sonrasında, aşağıdaki ekrandaki yolu izleyerek, Remote Host'un PCAP dinleme işlemini başlatabilirsiniz.
" rpcapd.exe -n "
Sonrasında, local bilgisayarda Wireshark üzerinde birtakım ayarları gerçekleştirmeniz gerekiyor.
Wireshark karşılama ekranında, Capture>Options>Manage Interface >Remote Interfaces ve + işaretyle yeni bir host ekliyorsunuz.
Aynı VLAN'deki host'u kullandığımız için Port:2002'i kullandım. Daha önce Remote Host'üzerinde de interface dinleme işlemini başlattığıma göre, artık kendi cihazımdan remote pc'deki trafk analizlerine başlayabilirim.
192.168.4.6 host'umdan, 192.168.4.4 Remote Host'un trafiği aşağıdaki gibidir. Bu arada, 4.6 host'unda wmware çalıştırılmaktadır. Bu sebeple görüntüdeki redirected ip ve siyah alanları görmeniz çok normal. Hızlı filtre: ip.src == 192.168.4.4 && ip.dst == 8.8.8.8
Firewall policy ile Source: 192.168.4.4' host ip adresinin, Google'DNS e doğru trafiğini blok'ladıktan sonra ise görüntü aşağıdaki gibi olacaktır.
"No Response found" artık, Source : 192.168.4.4' host'unun, Destination: 8.8.8.8' ile olan trafiğinin bloklandığını göstermektedir.
Bu örnek ile, hem Fortigate Diagnostic Tool, hem de Wireshark' ın özellikleri yardımı ile rahatlıkla, ister uzaktan, ister local host'tan , Firewall üzerindeki log'ları ineleyebileceğimizi göstermiş olduk.
Faydalı olması dileğiyle...
Kıdemli Veri Tabanı Uzmanı
3yEline sağlık Serkan hocam:)