Anasayfa » Forum

Fortilogger da yoru...
 

[Çözüldü] Fortilogger da yorumlayamadığım loglar  

  RSS
Sabit Özdemir
(@sabit)
Üye

Merhaba Arkadaşlar,

Firmamıza bazı iplerden gelen ipsec ve rip isteklerini fortigate kabul ediyor. Anlamadığım nokta dışarıdan içeriye oluşturulmuş hiç bir kural, vpn baglantı vs olmamasına rağmen gerçekleşiyor. Biraz araştırdığımda shadowserver vb araştırma programları olduğu gibi sonuçlara ulaştım ancak izin verilmeyen istekleri fortigate nasıl kabul ediyor anlamadım.

log

Yorumlamama yardımcı olursanız sevinirim.

 

Alıntı
Gönderildi : 05/10/2019 10:12
Yilmaz BARCIN
(@yilmazbarcin)
Üye

Merhaba,

burada gördüğünüz log un Fortigate firewall için bir bağlayıcılığı yok. Bu log un orjinaline fortigate firewall üzerinde bakmalısınız öncelikle.

Ipsec istekleri IKE 500 paketleri birçok yerden gelebilir, firewall bunları drop'lar. sadece sizin komsuluk ilişkisi içerisinde bulunduğunuz cihazlardan gelen paketlerin accept olması gerekiyor. Forti OS'un rastgele kaynaklardan gelen istekleri accept ettiğini düşünmüyorum, kullandığınız 3. parti log yazılımından kaynaklı bir sorun olabilir gibi geliyor.

80E üzerinde local disk bulunmadığı için memory üzerinde takip ederek anlık olarak analiz edebilirsiniz.

CevapAlıntı
Gönderildi : 06/10/2019 15:31
Tuncay BAŞ
(@TuncayBAS)
Üye

Merhaba,

Fortigate kabul etmemiş. Zaten dış dunyaya açık olan ike/500 portuna istek gelmiş. Evet ben Fortigate kimsin diye cevap dönmüş. Eğer ipsec bağlantılarını sadece belirli IP den kabul etmek istiyor iseniz bunun için local-in-policy yazmalısınız.

 

 

CevapAlıntı
Gönderildi : 10/12/2019 16:33
Paylaş:

Lütfen Giriş yap yada Kayıt ol