Embed Size (px)
Citation preview
. לשם שטף הקריאה המצגות כתובות בלשון זכר בלבד .המשתתפות \קורס זה מיועד לגברים ונשים כאחד ואין בכוונתו להפלות או לפגוע בציבור המשתתפים
Hillel KobrovskiFortinet Trainer (since 2007)VP Technology at Sec4Biz [email protected]
בישראלFortinetפורום משתמשי מפגש חברים ראשון
10.12.14
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Agenda
2
בפייסבוקאותנוחפשו
"בישראלFortinetמשתמשיפורום"
הראשוןלמפגשתוכנית
תודות+ היכרות סבב •
: ראשונההרצאה •
שאלות שחוזרות על עצמם כל הזמן בפורום כמה −
חייב להכירFGTשל מנהל מערכת CLIפקודות ה עשרת −
: הרצאה שניה•
IPS–One Arm IPSי שימוש ב "פעילות ברשת הפנימית עניתור −
" הכה את המומחה"פורום שאלות פתוח –אחרון חלק •
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מקורות מידע שימושיים
•www.fortinet.com– הראשי של היצרן\האתר הרשמי
פירוט קווי מוצר•
יכולות של כל דגם \פירוט דגמים •
הודעות אחרונות •
תקינה שהיצרן תומך בה •
( הדרכה\תמיכה \מאיפה לקנות ) כל השירותים שהיצרן מציע •
סניפים בעולם •
פורטל לשותפים עסקיים \כניסה לפורטל התמיכה למשתמשים סופיים ••docs.fortinet.com– אתר המסמכים הראשי של היצרן
•Quick Start Guides
.… How to doכל מסמכי ה •
•CLI Reference
•Handbookלפני נושאים
(ולא רק)למתחילים " תרגילים"עם Cookbookספרי ה ••kb.fortinet.com– אתר הKnowledge Baseהרשמי של היצרן
פירוט באגים ודרך לעקוף אותם –הרשמיים KBפירוט של כל ה •
שלא ניתן לגשת אליו אם אתה לא עובד KBיש ליצרן בסיס נתונים פנימי וסודי של •החברה
•cookbook.fortinet.com– רק ולא )למתחילים תרגילים והדרכה עם אתר חדש(למתחילים
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מקורות מידע שימושיים
•http://emea.fortinet.net/fortinet/troubleShooting.php
RMAפתיחת \הדרכה לאיתור תקלות חומרה ••www.fortiguardcenter.com
כולל אנציקלופדיה מקיפה לכלל סוגי , אתר המחקר הראשי של היצרן •ומערכת התראות אוטומטית , ( IPS/AV)ההתקפות
הראשי של היצרן FTPגישה ישירה לאתר ה •ניתן יהיה להתחבר אך ורק דרך האתר , הגישה הישירה תיחסם –2015מינואר
( לא חוברה להיות פרטנרים מוסמכים)של התמיכה למשתמשים רגילים https://support.fortinet.com/Main.aspx
Firmware Imagesואז לבחור Downloadלאחר הכניסה יש לבחור
לכל הדגמיםFirmwareהורדת • FortiClient / SSL-VPNהורדת •SNMPל MIBהורדת •Forti-VMהורדה של •
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מקורות מידע שימושיים
•https://support.fortinet.comמערכות רשומות\אתר התמיכה ללקוחות
(RMAאו BUG) פתיחת תקלה •
עדכון רישיון •
שינוי בעלות על מערכת •
ניתן לפתוח חשבון חדש רק על ידי רישום מערכת חדשה •
•https://partners.fortinet.com/FortiPartnerPortalאתר שמיועד לשותפים עסקיים בלבד של היצרן
( אחרי שקיבלת אישור כפרטנר)סיסמה + דרוש שם משתמש •
מחירון מומלץ ללקוח סופי \מבצעים \מה חדש \מצגות •
גם על מערכת שלא רשומה בחשבון שלך ( RMAאו bug)פתיחת תקלה •
•forum.fortinet.com– הפורום הרשמי של היצרן
https://support.fortinet.com/forumקיים חיבור גם דרך •
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מקורות מידע שימושיים
•http://video.fortinet.com- אתר סרטוני וידיאו(HD)
...סרטוני מה חדש בחמש דקות •
… How to doסרטוני •
סרטוני היכרות עם המערכת למשתמשים חדשים•
"הרגיל"You Tunbקיים ערוץ מקביל ב •
רשתות חברתיות •
Facebookרשת ה •
•Fortinet–רשמי של היצרןדף עדכונים
•FortiGuard Labs–דף עדכונים רשמי של היצרן
בישראלFortinetפורום משתמשי -ייחודי רק בישראל ובעברית •
LinkedInרשת ה •
•Fortinet–רשמי של היצרןדף עדכונים
•FortiGuard Labs–דף עדכונים רשמי של היצרן
•Fortinet Expert–קבוצה פרטית
•Fortinet Interest Group–קבוצה פרטית
•Fortinet Certified Network Security Administrator–קבוצה פרטית
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
2005 2007 2009/Q1 2009/Q3
V 2.8 V 3.0 V 4.0 V4.1 V 4.2 V 4.3
New
Key
fun
cti
on
ali
tie
s • Antispam • SSL VPN
• IM/P2P mgmt
• DLP
• WAN Opt.
• SSL Proxy
• App Control
• Wireless ctrl
• IPv6 UTM
• SQL Logging
• New GUI
• Network VM
• Token Server
• ICAP
FortiOS Software Evolution
2010/Q1 2011/Q3
2012/Q4 2014/Q2
V 5.0 V 5.2
New
Key
fun
cti
on
ali
tie
s
• Client
reputation
• Sandbox
integration
• Endpoint
control
• Device based
policy
• FortiView
• Deep Flow AV
• Software
performance
optimization
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
?FortiGateאז למה FW/UTMאז מכל ה
8
פתרון אמיתי שבאמת משלב האצה בחומרה לרכיבי סינון התוכן
FortiGate-600C (2011)
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
?FortiGateאז למה FW/UTMאז מכל ה
9
FortiGate-1500D (2014)
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
?FortiGateאז למה FW/UTMאז מכל ה
10
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView
Powerful on-demand query tool that provides contextual results
with drill down capabilities
Assists in network
troubleshooting
Provides insights to
optimizing networks &
productivity
Why a particular group of users is
having trouble using the cloud based ERP
system?
Acquires proactive
security knowledge
Supports proactive
security management
Is there an abnormality that
needs further investigation?
Identifies network and
threat status
Resolves threats and
networking problems
quickly
Is my users abusing the network and how
so?
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView - Features
Dashboard Tables
• Lists top sessions information based on
interest and selected timeline
− Filter row items using smart search bar and column
headers
− Sort and display top 100 sessions based on some
columns (default = session)
− Drill down by selecting a particular row
Sort rows to display Top sessions
Setup query using Easy-to-use auto-complete filters
Examine real-time or historical data
Select row for drill down
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView - Features
Drill down panels
• Presents associated details based on
different scopes
• Further drill down to filtered Session Viewer
Summary of selected item
Selection of scope
Select row for drill down
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView - Features
Session viewer
• Presents filtered session list with details
• Historical views link to log entries
Complete detail of selected session
Setup filter by clicking on cell
Mouse over device details
Move and configure field columns
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView - Features
Threat Weight
• Unique: Normalized threat level value x hit counts
• Scores can be sorted to reveal most critical items to investigate
− More meaningful than other singular measurements
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView – Example Use Case
1
Is there anyone abusing the Internet
Access with P2P applications ?
2
3
• 3 easy steps to locate the answer
− Select “Threats” view
− Search for “Threat Type” = P2P
− Choose “Source”
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
FortiView – Competitive Analysis
Fortinet Checkpoint Palo Alto Networks
Drill down visibility
solution
FortiView SmartEvent + SmartLog Application Command
Center
Extension FMG/FAZ SmartViewer Panorama
3rd Party Integration Syslog/ APIs Limited (Logs) Limited (Logs)
Multiple Viewers ✔ ✔
Threat Scoring Hit Counts + Threat
WeightHit Counts only Hit Counts Only
Device Information✔
Limited to Windows
Machines
GeoIP Information ✔ ✔ ✔
Browsing Time ✔
Actual Log Entry Drill
Down✔
Robust Filters ✔ Limited Limited
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Storage Requirement: Feature Disparities
Features With Local Storage Without Local Storage
Now 5 min 1 hr 24 hr * Now 5 min 1 hr 24 hr
Viewer – Sources ✔ ✔ ✔ ✔ ✔
Viewer – Applications ✔ ✔ ✔ ✔ ✔
Viewer – Cloud Application ✔ ✔ ✔ ✔
Viewer – Destinations ✔ ✔ ✔ ✔ ✔
Viewer – Websites ✔ ✔ ✔ ✔
Viewer – Threats ✔ ✔ ✔
Viewer – All Sessions ✔ ✔ ✔ ✔ ✔
Sniffer Mode Support
(All Viewers) ✔ ✔ ✔
* Not available for desktop models with SSD
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
כלל ראשון באינטגרציה !קודם כל גיבוי –לפני שנוגעים
19
• Backup
• Restore
• Revisions ( Delete / Details / Change Comment / Diff / Revert / Upload)
− Restore Factory Default (VIA GUI)
− # execute factoryreset ( via CLI)
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
(5.0.9) שנמוך גרסה \שדרוג גרסה
20
Firmware Upgrade/Downgrade
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
(5.2.2) שנמוך גרסה \שדרוג גרסה
21
Firmware Management
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
(x.5.0) שנמוך גרסה \שדרוג גרסה
22
Firmware Details
• Delete / Change Comment / Upgrade / Upload
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
. . . לפני שבכלל חושבים לשדרג גרסה
23
? האם מדובר על גרסה ראשית או גרסה משנית 1.
מה הגרסה החדשה פותרתfortios-v5.2.x-release-notes-לבדוק במסמך ה2.
Supported Upgrade Paths for FortiOS Firmware 5.2.x-לבדוק במסמך ה3.(ירון–אלון –יוני )להתייעץ עם היצרן \להתייעץ בפורום
!סוף מעשה במחשבה תחילה –לשדרג חכם 4.
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מבוא-CLIשימוש ב
אחרות ניתן להגדרה מלאה דרך FW/UTMשלא בדומה למערכת FortiGateב •
שורות הפקודה
CLIהשימוש ב FortiGateבין קווי המוצר רוב הפקודות הבסיסיות זהות אך במערכות שאינם •
הרבה יותר מוגבל
FortiGateשל ה CLIשונה מה FortiAPבמוצרי ה CLIה •
Web Guiמהדברים ניתנים ברמת ה % 60בערך כ •
CLIיצרים שלא ניתן להגדיר אלא אך ורק מה 'פ\פקודות % 40יש •
-הארגומנטים במסמכים של היצרן \קיים תיעוד מלא של הפקודות •
http://docs.fortinet.com
?או שימוש ב \ו( Tabמקש )Auto Completeתומכת ב FGTמערכת •
! צריך רק לקרוא –כ ההסבר רשום "בד-איזה ארגומנטים \מה הפקודה עושה •
CLI–Console / SSH / Telnet / Web Guiשיטות לקבל 4קיימים •
24
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מבוא-CLIשימוש ב
שמראה את כל האפשרויות תחת פקודת full-configurationקיימת אופציה שנקראת •
show , שמוגדרות כברירת מחדל ולכן המערכת לא מציגה אותם\גם אלו שלא פעילות
: לדוגמא •
# show full-configuration system interface
showניתן לבצע חיפוש תחת פקודת ה •
# show full-configuration | grep –f xyz
# show full-configuration | grep xyz
של הפקודה שמתאימה לערך " הענף+ "את השורה המתאימה < --יסמן ב fהארגומנט −
( בלי לציין מיקום בעץ הקונפיגורציה)לערך בלבד את השורה המתאימה < --יסמן ב fבלי הארגומנט −
Sec4Biz_Office # show | grep -f backup
config system global
set revision-backup-on-logout enable <---
25
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
מבוא-CLIשימוש ב
:התפריט הראשי כולל•config config object שינוי ערכים \הגדרת ערכים
•get get dynamic and system information- קבלת ערך של פרמטר מסויים
•show show configuration- הצגה של הקונפיגורציה
•diagnose diagnose facility- פקודות לניתור
•execute execute static commands- פקודות לביצוע
•exit Control + C
26
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diagnose sniffer packet
way handshake 3רושמות בלוגים הרגילים אך ורק מה שהושלם FWכל מערכות ה •
או dropעוד לפי שזה קיבל snifferצריך לראות ברמת , אם רוצים לראות למה תקשורת מסוימת נופלת •IPSנחסם בגלל סינון תוכן או
•FGTמ לנטר את התעבורה "זה מערכת סגורה ולכן היצרן נותן כלים פנימיים ע
diagnose sniffer packet-בשם FGTויצרו לה מקבילה בעולם ה tcpdumpלקחו את פקודת •
• # diagnose sniffer packet <specific interface / any> ‘ argument and argument’ #
− none
− or / and
− host /dst /src
− arp|ip|gre|esp|udp|tcp|icmp
− port xx
• # diagnose sniffer packet any 'host 192.168.1.9 and host 8.8.8.8' 4 10
• # diagnose sniffer packet any ‘src 192.168.1.9 and dst 8.8.8.8’ 4
• # diagnose sniffer packet any ‘host 192.168.1.9 and udp and port 53’ 4
• # diagnose sniffer packet any 'udp and port 53 and host 192.168.1.9 and (8.8.8.8 or 192.115.106.35)' 4
27
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diagnose sniffer packet
מספרים 2בסוף השורה ניתן לציין
−depth of packet headers and payloads to capture
−the number of packets to capture before stopping.
1 | 2 | 3 | 4 | 5 | 6
• 1 for header only
• 2 for IP header and payload
• 3 for Ethernet header and payload
• 4 for the output from 1, plus the name of the network interface
• 5 for the output from 2, plus the name of the network interface
• 6 for the output from 3, plus the name of the network interface
For troubleshooting purposes, Fortinet Technical Support may request a verbose level (3).
28
3.092277 wan1 out 192.168.192.253.22222 -> 109.160.220.170.4447: psh 1791944279 ack 39474700
3.092873 wan1 in 109.160.220.170.4447 -> 192.168.192.253.22222: ack 1791941675
3.093807 wan1 out 192.168.192.253.22222 -> 109.160.220.170.4447: psh 1791944331 ack 39474700
3.094894 wan1 out 192.168.192.253.22222 -> 109.160.220.170.4447: psh 1791944399 ack 39474700
3.095917 wan1 out 192.168.192.253.22222 -> 109.160.220.170.4447: psh 1791944467 ack 39474700
3.096544 wan1 in 109.160.220.170.4447 -> 192.168.192.253.22222: ack 1791941795
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Packet Capture Filter – from the web GUI
29
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diag debug flow
diag debug flow filter clear
diag debug reset
diag debug enable
diag debug flow show console enable
diag debug flow show function-name enable
diag debug flow filter addr 192.168.3.99
diag debug flow filter addr 8.8.8.8
diag debug flow filter port 53
diag debug flow filter proto udp
diag debug flow trace start 999
30
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diag debug flow
diag debug flow filter ?
clear Clear filter.
vd Index of virtual domain.
proto Protocol number.
addr IP address.
saddr Source IP address.
daddr Destination IP address.
port port
sport Source port.
dport Destination port.
negate Inverse filter.
31
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diag debug application ike -1
# diagnose vpn ike log-filter list
vd: any
name: any
interface: any
IPv4 source: any
IPv4 dest: any
IPv6 source: any
IPv6 dest: any
source port: any
dest port: any
autoconf type: any
autoconf status: any
32
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
diag debug application ike -1
# diag debug application ike -1
# diag debug enable
# diag vpn ike log-filter name < vpn phase 1 name>
# diagnose vpn ike log-filter list
vd: any
name: any
interface: any
IPv4 source: any
IPv4 dest: any
IPv6 source: any
IPv6 dest: any
source port: any
dest port: any
autoconf type: any
autoconf status: any
33
# diagnose vpn ike log-filter
list Display the current filter.
clear Erase the current filter.
name Phase1 name to filter by.
src-addr4 IPv4 source address range to filter by.
dst-addr4 IPv4 destination address range to filter by.
src-addr6 IPv6 source address range to filter by.
dst-addr6 IPv6 destination address range to filter by.
src-port Source port range to filter by.
dst-port Destination port range to filter by.
vd Index of virtual domain. -1 matches all.
interface Interface that IKE connection is negotiated over.
negate Negate the specified filter parameter.
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
get system status
• ### get system status
• Version: FortiGate-3040B v5.0,build0292,140801 (GA Patch 9)
• Virus-DB: 16.00560(2012-10-19 08:31)
• Extended DB: 1.00000(2012-10-17 15:46)
• Extreme DB: 1.00000(2012-10-17 15:47)
• IPS-DB: 4.00345(2013-05-23 00:39)
• IPS-ETDB: 0.00000(2001-01-01 00:00)
• Serial-Number: FG3KXXXXXXXXXXXXX
• Botnet DB: 1.00000(2012-05-28 22:51)
• BIOS version: 04000002
• Log hard disk: Available
• Hostname: FW-XXXXXX
• Operation Mode: NAT
• Current virtual domain: root
• Max number of virtual domains: 10
• Virtual domains status: 2 in NAT mode, 0 in TP mode
• Virtual domain configuration: enable
• FIPS-CC mode: disable
• Current HA mode: a-p, master
• Branch point: 292
• Release Version Information: GA Patch 9
• FortiOS x86-64: Yes
• System time: Sun Dec 7 16:01:29 2014
34
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
get system performance status
### get system performance status
CPU states: 1% user 21% system 0% nice 78% idle
CPU0 states: 0% user 60% system 0% nice 40% idle
CPU1 states: 1% user 7% system 0% nice 92% idle
CPU2 states: 0% user 5% system 0% nice 95% idle
CPU3 states: 4% user 12% system 0% nice 84% idle
Memory states: 23% used
Average network usage: 545020 kbps in 1 minute, 551525 kbps in 10 minutes, 572612 kbps in 30 minutes
Average sessions: 47549 sessions in 1 minute, 44621 sessions in 10 minutes, 44557 sessions in 30 minutes
Average session setup rate: 299 sessions per second in last 1 minute, 286 sessions per second in last 10 minutes, 273 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 86 days, 17 hours, 36 minutes
35
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
get hardware cpu
### get hardware cpu
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 10
model name : Intel(R) Xeon(R) CPU E5504 @ 2.00GHz
stepping : 5
cpu MHz : 2000.125
cache size : 0 KB
physical id : 0
siblings : 1
fpu : yes
fpu_exception : yes
cpuid level : 11
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm pni monitor ds-cpl est tm2 cmpxchg16b
bogomips : 3997.69
clflush size : 64
power management:
36
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
get hardware memory
### get hardware memory
total: used: free: shared: buffers: cached: shm:
Mem: 6249426944 1475477504 4773949440 0 4333568 400252928 303628288
Swap: 0 0 0
MemTotal: 6102956 kB
MemFree: 4662060 kB
MemShared: 0 kB
Buffers: 4232 kB
Cached: 390872 kB
SwapCached: 0 kB
Active: 141732 kB
Inactive: 253456 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 6102956 kB
LowFree: 4662060 kB
SwapTotal: 0 kB
SwapFree: 0 kB
37
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
ARP
• # diagnose ip arp list
• # get system arp
• Address Age(min) Hardware Addr Interface
• 192.168.192.254 0 00:12:2a:40:b0:76 wan1
• 10.99.99.103 0 00:09:0f:e6:d8:81 internal5
• 192.168.168.100 0 00:14:38:95:0a:5b ComputerNmae_XXX
• 192.168.108.103 0 08:11:96:f5:4a:54 ComputerNmae_MMM
• 192.168.108.106 0 10:0b:a9:ff:53:20 ComputerNmae_YYY
• execute clear system arp table
38
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
TOP
• # diagnose sys top
• # diagnose sys top 10 שניות 10מסך כל רענון
• # diagnose sys top-summary
Qמקשידיעליציאה
CPU [||||||||||||||||| ] 44.4%
Mem [||||||||||||| ] 34.0% 325M/933M
Processes: 20 (running=1 sleeping=83)
PID RSS ^CPU% MEM% FDS TIME+ NAME
83 25M 44.5 2.7 16 00:07.95 sshd [x4]
* 431 9M 0.0 1.0 10 00:00.00 telnetd
2266 9M 0.0 1.0 20 00:00.92 vsd [x2]
32 22M 0.0 2.5 13 02:00.61 cmdbsvr
37 11M 0.0 1.2 87 00:04.82 zebos_launcher [x12]
• # diagnose system kill 9 <pid_int>
39
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Session Status
# diagnose sys session stat
# get sys session-info statistics
misc info: session_count=46960 setup_rate=286 exp_count=3117 clash=4628
memory_tension_drop=0 ephemeral=0/458752 removeable=0
delete=0, flush=0, dev_down=0/0
TCP sessions:
3117 in NONE state
12771 in ESTABLISHED state
156 in SYN_SENT state
1 in SYN_RECV state
143 in FIN_WAIT state
18024 in TIME_WAIT state
1231 in CLOSE state
395 in CLOSE_WAIT state
40
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
UPDATE
• # get system auto-update status
• # get system auto-update versions
FDN availability: unavailable at Sun Dec 7 15:52:21 2014
Push update: disable
Scheduled update: enable
Update daily: 1:28
Virus definitions update: enable
IPS definitions update: enable
Push address override: disable
Web proxy tunneling: disable
# execute update-XXX
update-av Update AV engine/definitions.
update-geo-ip Update IP Geography DB.
update-ips Update IPS engine/definitions.
update-list Download update server list.
update-netscan Update netscan object.
update-now Update now.
41
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
42
?יש לך בכלל רישיון בתוקף , לפני שממשיכים x.4גרסה
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
43
?יש לך בכלל רישיון בתוקף , לפני שממשיכים x.5גרסה
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
44
?ביצעתי רישום לרישיון אבל זה עדין לא ירוק
( לפי הסדר)צריך לבדוק במקרים , שהרישום ייקלט באתר היצרן ' דק10-15לחכות –מכונה חדשה •
קיצוניים לבצע אתחול למערכת (System => Network => DNS) ברמת המכונה תקינים DNSהגדרות •שעון מוגדר נכון + אזור זמן מכוון על ישראל •
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
45
?ביצעתי רישום לרישיון אבל זה עדין לא ירוק
המשך( לפי הסדר)צריך לבדוק
System => Config => FortiGuardהגדרות בחלון •זה מבצע תקשורת לאתר של היצרן, שניות 4-6זה בסדר שזה נתקע ל –הערה
Test Availability (URLF/AS)ו Update Now (AV)במקום הכפתורים •CLIניתן להשתמש ב
# execute update-xxxupdate-av Update AV engine/definitions.update-geo-ip Update IP Geography DB.update-ips Update IPS engine/definitions.update-list Download update server list.update-netscan Update netscan object.update-now Update now.
Portלכל הרשת יתכן ויחסם העדכון ב IPSבחוות שרתים שמופעל בהם •UDP 53 מכיוון שהIPS מזהה שזה לאDNS Query
מה עושים אם יש לקוח שלא מחובר לרשת האינטרנט אבל בכל זאת צריך •FortiManagerעדכון חתימות ידני או –? עדכונים
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
46
?ביצעתי רישום לרישיון אבל זה עדין לא ירוק
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
47
?ביצעתי רישום לרישיון אבל זה עדין לא ירוק
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Firewall Statistics
• # get system performance firewall statistics
getting traffic statistics...
Browsing: 23602222941 packets, 15750019058810 bytes
DNS: 644614464 packets, 62228827201 bytes
E-Mail: 257444572 packets, 205635049072 bytes
FTP: 2790675091 packets, 2305113498281 bytes
Gaming: 982 packets, 39840 bytes
IM: 2139 packets, 95856 bytes
Newsgroups: 730 packets, 32676 bytes
P2P: 10974 packets, 489392 bytes
Streaming: 62994109 packets, 25719998233 bytes
TFTP: 1235292 packets, 359140312 bytes
VoIP: 1175934650 packets, 81512426512 bytes
Generic TCP: 1367506834910 packets, 1474785209248776 bytes
Generic UDP: 25913156745 packets, 8593848433603 bytes
Generic ICMP: 496770213 packets, 39163430542 bytes
Generic IP: 369762740 packets, 167090375142 bytes
48
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Routing Table
• # get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate defaultS* 0.0.0.0/0 [10/0] via 192.192.150.2, ManageLink1S x.x.x.x/24 [10/0] via 192.192.192.174, mgmt1S x.x.x.x/32 [10/0] via 192.192.192.174, mgmt1S x.x.x.x/32 [10/0] via 192.192.192.174, mgmt1S x.x.x.x.x/24 [10/0] via 192.192.192.174, mgmt1S x.x.x.x [10/0] via 192.192.192.174, mgmt
# get router info routing-table database
49
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
NIC Status
# get hardware nic wan1
Driver Name :Fortinet Nplite Driver
Version :1.0
Admin :up
Current_HWaddr 08:5b:0e:49:ad:95
Permanent_HWaddr 08:5b:0e:49:ad:95
Status :up
Speed :100
Duplex :Full
Host Rx Pkts :33806658
Host Rx Bytes :515293418
Host Tx Pkts :22575731
Host Tx Bytes :568779031
Rx Pkts :33806648
Rx Bytes :1007237141
Tx Pkts :22572861
Tx Bytes :427885827
rx_buffer_len :2048
50
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
Crash Log
# diagnose debug crashlog read
1: 2014-11-21 01:48:23 the killed daemon is /bin/pyfcgid: status=0x0
2: 2014-11-24 02:47:52 the killed daemon is /bin/pyfcgid: status=0x0
3: 2014-11-24 03:25:10 the killed daemon is /bin/pyfcgid: status=0x0
4: 2014-11-24 06:44:00 the killed daemon is /bin/pyfcgid: status=0x0
5: 2014-11-24 07:30:20 the killed daemon is /bin/pyfcgid: status=0x0
6: 2014-11-24 17:51:14 the killed daemon is /bin/telnetd: status=0xf
7: 2014-11-24 19:20:43 the killed daemon is /bin/pyfcgid: status=0x0
8: 2014-11-24 21:08:05 the killed daemon is /bin/pyfcgid: status=0x0
9: 2014-11-24 22:14:02 the killed daemon is /bin/pyfcgid: status=0x0
# diagnose debug crashlog clear
51
וקי
סב
רוב
קול
להי
ר ב
חמ
לת
רומו
שת
יוכו
הזל
כ\
עב
ז בי
ר פו
ק ס
ת ר
בח
ו א
"מ
,2
01
4
סיכום
, תודה רבה על ההקשבה
2015–1סוף רבעון , נתראה במפגש הבא
"בישראל Fortinetפורום משתמשי " כמו תמיד אנחנו זמינים בפורום
https://www.facebook.com/groups/FortiILUsers/
למפגש הבא והצעות , הערות , הארות , לשאלות
, תמיד לשירותכם
הילל קוברובסקי
מ "סק פור ביז בע, ל טכנולוגיות "סמנכ
2007מדריך פורטינט מוסמך מאז
[email protected] / [email protected]
054-7700919 / 074-7016070
52
