Information of IT

A. Fortigate GUI 연결 안 될 때 확인사항여러 가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다 1) Fortigate Interface allow access  - Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우  2) Trusted host가 설정되어 있는 경우  - Trusted host가 설정되어 특정 접속이 불가능할 경우    3) Access Port가 변경되어 있는 경우 - HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우    4) VIP(Virtual IPs)가 설정되어 있는 경우- 접근하려고 하는 Interface의 IP..

A. Fortigate Session TTL 설정 방법 Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다. 1) global에서 session ttl 변경CLI > config system session-ttl 진입 default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다 2) service에서 변경 GUI에서는 session ttl 변경이 불가능합니다.CLI > config firewall policy > edit policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다. 3) service에서 변경하기 service도 CLI에서 변경해 줍니다.CLI > conf..

A. Fortigate ECMP (Equal Cost Multi-path) 동작 방식 ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는 1) 가장 작은 서브넷2) distance가 낮은 것3) priority가 낮은 것4) 마지막은 위 세 가지 조건이 모두 동일할 경우 ECMP로 동작합니다. ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다. - fortigate CLI > config system settings > set v4-ecmp-mode / default 설정은 source-ip-based입니다.  source-ip-based ..

1. Windows11에서 Forticlient 설치하는 법 windows11에서는 forticlient가 특정 버전이상에서만 지원합니다. 그러므로 user가 windows 11을 사용하는 경우, forticlient 버전 6.4.x대에서는 6.4.7 이상의 forticlient 버전을 설치해서 사용해야 합니다.  아래는 forticlient 6.4.7에서 지원한다는 링크이고 Release notes에서 버전을 6.4.6으로 변경해서 보시면 windows11이 support OS 부분에서 빠져있습니다. https://docs.fortinet.com/document/forticlient/6.4.7/windows-release-notes/549781/product-integration-and-support ..

1. Fortigate maximum values 확인하기 fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.예를 들면 address 객체 수, profile 개수, fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠 https://docs.fortinet.com/max-value-table https://docs.fortinet.com/max-value-tableNote: All objects in the maximum values table have either a global limit, which applies to the entire FortiGate configuration, or a VDOM limit, which applies only..

A. Fortigate syslog 출발지 인터페이스 수동 설정 Syslog server는 internal 구간에 있는데 syslog server와의 통신 시도를 wan 인터페이스로 하는 경우, 수동으로 internal구간의 인터페이스로 변경하여 문제 해결 해당 설정은 GUI에서는 변경이 불가능하고 CLI에서만 가능합니다. - Fortigate CLI > config log syslogd setting 명령어 진입 후 set 명령어를 입력하면 syslog관련 설정 부분이 나옵니다.(server IP, syslog port 변경, format 등등) 여기서 interface 변경은 interface-select-method 설정입니다. default는 auto로 설정되어 있습니다. 해당 설정을 spec..

A. Fortigate Web Rating Overrides 설정 방법Web Rating Overrides 기능은 보통 URL 오분류 또는 fortiguard에서 rating이 되지 않는 URL(사내 주차장 사이트 등등) 사용합니다. - fortigate GUI > Security Profiles > Web Rating Overrides 해당 TAP에서 설정해 주면 되고, 이 기능을 사용하시려면 Webfilter License가 필요합니다. - Create New 클릭 Web Rating Override뿐만 아니라 해당 URL이 어느 Fortiguard web category에 속해 있는지 확인할 수도 있습니다.  네이버의 경우 General Interest - Business > Search Engin..

A. fortigate web filter action 및 allow와 monitor 차이점이 부분은 fortigate web filter > URL filter action에 관련된 내용입니다. 1) URL Filter - Action 종류 - 4가지 (Exempt, Block, Allow, Monitor)Allow : URL에 대한 트래픽 허용Block : URL 차단Monitor : Allow와 action 자체는 동일하지만 Log를 남깁니다. / Allow는 Log를 남기지 않음Exempt : URL 예외 처리 2) Web filter의 검사 순서 Web filter의 검사 순서는 URL filter > Fortiguard categry > Content Filter 순으로 검사를 합니다. 예를..

A. Cli Command - Fortigate diangnose debug rating- diagnose debug rating 명령어로 연결된 FortiGuard Server 확인 또는 통신 해결하기 위해 사용하는 명령어입니다.  - Service 상태와 Fortiguard와 어떤 프로토콜을 사용하는지 몇 번 포트를 사용하는지 등 관련 설정도 확인이 가능합니다.  아래에 있는 IP들은 해당 장비와 인접해 있는 Fortiguard Server들의 IP입니다. (나오는 IP List들은 장비마다 다를 수 있음)  B. Flags 값여러 Fortiguard Server List 중 어느 Server와 통신하여 라이선스가 활성화 되어 있는지는 Flags를 보시면 됩니다. D : 해당 장비가 DNS query..

A. Fortianalyzer firmware upgrade path 확인 방법 fortigate와 마찬가지로 fortianalyzer에도 firmware upgrade path가 있습니다. fortigate의 경우, firmware download 하는 곳에서 바로 확인이 가능하지만 fortianalyzer는 firmware download 하는 곳에서 확인이 불가능합니다. 1) 아래 사이트 접속 https://docs.fortinet.com/ Fortinet Document Library | HomeZero Trust Network Accessdocs.fortinet.com  - fortianalyzer 클릭  이곳에선 fortianalyzer의 admin guide, OS 호환성, CLI Refer..

A. fortigate GUI에서 Packet Capture 하는 방법 해당 방법은 fortiOS 7.2.x 기준입니다. 하지만 버전별로 위치 또는 이름만 변경될 뿐, 다른 버전에서나 하는 방법은 거의 똑같습니다.  1) fortigate GUI > Network > Diagnostics > Packet Capture 탭 7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.여기서 이제 Filter를 걸어서 사용해 주면 됩니다.   2) Filter 기입 - Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture- Host : 192.168.1.10 / 해당 IP만 Capture- Port : 443 / 해당 Port만 ..

A. Fortigate deep-inspection이 필요한 application control 확인 방법 SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다. 1) certificate-inspection의 경우, 암호화된 트래픽을 검사하지 못하고 Header만으로 검사 수행2) application control의 경우, deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.  7.2.x대 license 없는 application signature list입니다.약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.  appli..

A. Fortigate API를 통한 Config backup 방법 API개발 툴인 Postman을 사용하여 Fortigate Config backup 은 아래와 같습니다. 1) 먼저 API 계정을 만들어 줍니다.Fortigate GUI > System > Administratos > Create New > REST API Admin- username 입력- profile의 경우 일단 아무거나 선택을 해줍니다. / GUI에서는 admin_profile선택이 안됨 CLI에서 진행 * fortigate CLI > config system api-user > edit set accprofile 선택 (super_admin으로 선택하지 않은 경우 API에서 호출했을 때 admin user들이 backup c..

Fortigate SNMP 설정 방법 SNMP는 SNMP Manager가 FortiGate로 정보를 요청하는 Polling(UDP 161) 방식과 FortiGate에서 이벤트가 발생할 경우 SNMP Manager로 Trap(UDP 162) 방식이 있다.  위 구성도에서 만약 FortiGate와 SNMP Manager 사이에 다른 방화벽이 존재한다면, UDP 161/162에 대해 양방향 허용 정책이 필요하다.  1. SYSTEM - SNMP 설정Global 모드에서 SYSTEM - SNMP에서 설정 Snmp 버전 1 및 2c의 경우, 동일한 커뮤니티 문자열을 사용해야 하며, SNMP manager의 IP address 또는 IP address가 포함되는 range를 설정한다. 포트는 아래와 동일(UDP1..

A. 개요1. PKI 란? 공개키 기반구조(Public Key Infrastructure)라는 뜻의 PKI는 온라인에서 디지털 정보를 안전하게 교환하는데 필요한 정책, 절차 및 기술의 조합입니다. 간단히 말해서 PKI는 공개 디지털 키 관리를 용이하게 하고 네트워크와 인터넷을 통한 암호화를 가 능하게 하는 하드웨어, 소프트웨어, 정책 및 절차로 구성된 인프라입니다. 알고리즘을 사용하여 메시지와 파일을 안전하게 보호하고 의도된 수신자에게만 전달되도록 합니다. 2. 암호화암호화는 사이버 보안의 기본 구성 요소 중 하나로, 데이터의 도난, 변경, 도용을 방지하는 데 사용됩니다. 데이터를 고유한 디지털 키로만 잠금 해제할 수 있는 보안 비밀 코드로 스크램블링하여 작동합니다. 암호화된 데이터는 해당 컴퓨터가 온프..