Tipp: Fortigate-Firewall - Paketdiagnose in Echtzeit

Frage: Im Rahmen eines Fehlerbehebungsprozesses an einer Fortigate-Firewall von Fortinet besteht oft die Notwendigkeit, einen schnellen Einblick zu erhalten, welchen Weg ein Paket durch die Firewall nimmt. Zwar beinhaltet der Browser dedizierte Tabellen, die diese Informationen anzeigen, allerdings findet dieser Vorgang nur mit einer gewissen zeitlichen Verzögerung statt. Gibt es auch eine Diagnosemöglichkeit in Echtzeit?

***

Antwort: Die Möglichkeit, Pakete in Echtzeit auf dem Interfaces kommen und gehen zu sehen,
bietet der Diagnosebefehl "diagnose sniffer packet", der über das Command Line Interface der
Fortigate zur Verfügung steht. Wird dieser Befehl auf dem Interface "any" ausgeführt, ist es
möglich, auf allen Interfaces der Firewall zu sniffen. So lässt sich der Weg eines Pakets durch
mehrere Instanzen der Firewall (Virtual Domains – VDOMs) direkt beobachten. Der Befehl "diagnose
sniffer packet any ‚host 1.1.1.1‘ 4" zeigt die Pakete mit dem entsprechenden Interface an.

Die Syntax des Sniffer-Filters hinter dem Interface "any" in der Befehlszeile entspricht
derjenigen des Unix-Tools "tcpdump". Verwendet der Anwender statt des Parameters 4 den Parameter 6
am Ende, erhält er eine detailierte Auflistung der Pakete. Mit dem von Fortinet in der Knowledge
Base zur Verfügung gestellten Pearl-Skript "fgt2eth.pl" lässt sich diese Ausgabe sogar in eine für
das Freeware-Tool Wireshark lesbare Datei umwandeln, womit eine sehr gute Auswertung der einzelnen
Pakete und Sessions möglich ist.

Wenn etwa bei der Erreichbarkeitsprüfung eines Hosts via Ping-Befehl keine Antwort erfolgt,
lässt sich in der Regel nicht ermitteln, an welcher Stelle das Paket nicht weiterkommt. Durch das
Protokollieren der Pakete auf allen Interfaces kann der Anwender problematische Stellen erkennen.
Das folgende Beispiel dokumentiert die Ausgabe eines Pings von der IP-Adresse 172.30.100.185 an das
Ziel 192.168.11.104, wobei in der Fortigate zwei VDOMs zum Einsatz kommen und außerdem dynamisches
NAT (Source-Adresse am Ziel: 172.30.111.1) mit dem Paket durchgeführt wird:

FGT3 (root) # diagnose sniffer packet any ‚host 192.168.11.104‘ 4

interfaces=[any]

filters=[host 192.168.11.104]

14.021726 port3 in 172.30.100.185 -> 192.168.11.104: icmp: echo request

14.021726 FortiLink1 in 172.30.111.1 -> 192.168.11.104: icmp: echo request

14.021854 VLAN501 out 172.30.111.1 -> 192.168.11.104: icmp: echo request

14.025182 VLAN501 in 192.168.11.104 -> 172.30.111.1: icmp: echo reply

14.025182 FortiLink0 in 192.168.11.104 -> 172.30.111.1: icmp: echo reply

14.025265 port3 out 192.168.11.104 -> 172.30.100.185: icmp: echo reply

William Griebel, Technical Support
http://www.wickhill.de" target="true">Wick Hill
Kommunikationstechnik/pf

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice