Kategorie: Úvod

Turris Sentinel pro Fortigate

Turris Sentinel pro FortigateVyužití blocklistu vydávaného CZ.NIC v zařízení Fortigate.


Na začátku září představil správce české domény CZ.NIC nový hardwarový počin pojmenovaný jako Turris Shield. Jedná se o hardwarový firewall, který by měl fungovat out-of-box. Část firewallu tvoří IP blocklist (Sentinel), který je k nahlédnutí na stránkách view.sentinel.turris.cz. Zároveň CZ.NIC poskytuje volně strukturovaná data s tímto blocklistem.

Blocklist jsem předělal do formátu vhodného pro použití v zařízeních Fortigate k filtrování. Lze tak vytvořit vlastní blocklist, který je pravidelně aktualizován ze strany CZ.NIC a mít další stupeň zabezpečení. Aktualizace blocklistu ze strany CZ.NIC vychází každý den po 23 hodině. Blocklist v tomto formátu je dostupný na adrese https://sentinel.tlukas.eu. Níže přidávám návod na aktivaci ve Fortinetu.

Přidání Fabric connectoru

V levém menu routeru vybereme možnost Fabric Connectors a následně volbu Threat FeedsIP Address. U vyšších modelů je postup stejný, akorát nevolíme možnost Fabric Connectors, ale možnost External Connectors. Další postup je shodný.

Fabric Connector

Následně vyplníme název nového konektoru, URL adresu kde se seznam nachází (https://sentinel.tlukas.eu) a četnost aktualizace. Četnost aktualizace jsem nastavil na 12 hodin (720 minut), což by mělo dostačovat (CZ.NIC vydává aktualizaci pouze 1x za den).

Nový Fabric Connector

Po uložení a následném otevření bychom měli vidět, že konektor úspěšně stáhnul seznam IP adres. Zároveň si můžeme prohlédnout seznam jednotlivých IP adres, které jsou uvedeny v tomto seznamu.

Seznam IP adresa

Poté můžeme tento seznam využít na IPv4 policy jako source nebo destination a vytvořit pravidlo na blokování provozu z těchto IP adres. Nezapomeňte tuto policy následně umístit na první místa, aby došlo k blokování co možná nejdříve, v opačném případě by nemuselo dojít k úspěšnému blokování.

Sdílet

Štítky

Komentáře rss


Nebyly přidány žádné komentáře.