Turris Sentinel pro Fortigate

Kategorie: Úvod
Turris Sentinel pro Fortigate

Využití blocklistu vydávaného CZ.NIC v zařízení Fortigate.

Na začátku září roku 2020 představil správce české domény CZ.NIC nový hardwarový počin pojmenovaný jako Turris Shield. Jedná se o hardwarový firewall, který by měl fungovat out-of-box. Část firewallu tvoří IP blocklist (Sentinel), který je k nahlédnutí na stránkách view.sentinel.turris.cz. Zároveň CZ.NIC poskytuje volně strukturovaná data s tímto blocklistem (Greylist).

Blocklist jsem předělal do formátu vhodného pro použití v zařízeních Fortigate k filtrování. Lze tak vytvořit vlastní blocklist, který je pravidelně aktualizován ze strany CZ.NIC a mít další stupeň zabezpečení. Aktualizace blocklistu ze strany CZ.NIC vychází každý den po 23 hodině. Blocklist v tomto formátu je dostupný na adrese https://sentinel.tlukas.eu. Níže přidávám návod na aktivaci ve Fortigatu.

Aktualizace 20. února 2023

Aktualizace v1.1: Úprava výstupního formátu kvůli změnám ve zdrojovém souboru ze strany CZ.NIC. Nyní již v seznamu nefiguruje jedna Ivalid položka.

Přidání Fabric connectoru

V levém menu routeru vybereme možnost Fabric Connectors a následně volbu Threat FeedsIP Address. U vyšších modelů je postup stejný, akorát nevolíme možnost Fabric Connectors, ale možnost External Connectors. Další postup je shodný.

Fabric Connector

Následně vyplníme název nového konektoru, URL adresu kde se seznam nachází (https://sentinel.tlukas.eu) a četnost aktualizace. Četnost aktualizace jsem nastavil na 12 hodin (720 minut), což by mělo dostačovat (CZ.NIC vydává aktualizaci pouze 1x za den).

Nový Fabric Connector

Po uložení a následném otevření bychom měli vidět, že konektor úspěšně stáhnul seznam IP adres. Zároveň si můžeme prohlédnout seznam jednotlivých IP adres, které jsou uvedeny v tomto seznamu.

Seznam IP adresa

Poté můžeme tento seznam využít na IPv4 policy jako source nebo destination a vytvořit pravidlo na blokování provozu z těchto IP adres. Nezapomeňte tuto policy následně umístit na první místa, aby došlo k blokování co možná nejdříve, v opačném případě by nemuselo dojít k úspěšnému blokování.

Pokud za Fortigatem vystavujete nějaké služby i do Internetu (destination NAT) - VIP, je potřeba nad politikou zapnout nastavení match-vip na hodnotu enable (set match-vip enable) - více informací např. zde. V opačném případě, by se vám blokovací politika neaplikovala na provoz procházející přes VIP pravidla.

Konfigurace parametru match-vip je od verze FortiOS 7.2.3 nastavená na hodnotu enable již ve výchozím stavu.

Sdílet

Komentáře

postPřidat komentář
Ondrej-Hornig (26.4.2024 21:32) odpovědět
Skvělý návod a díky za "překladač".
Direktiva match-vip enable se trochu změnila: The match-vip option is disabled by default until v7.2.3. In versions after 7.2.3, the option is enabled by default.
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-VIP-traffic-not-matching-the-firewall-policy/ta-p/266101
Tesy (26.4.2024 21:37)
Tesy
Děkuji za doplnění. Je pravda že Fortinet udělal tuto (za mě logickou) změnu a jen jsem ji zde zapomněl doplnit.