İçeriğe geç

FORTIGATE CLI Kullanımı ile Problem Analizi Yapma -2

Serinin bir önceki yazısında Fortigate CLI ‘da sniffer ve kullanımından bahsetmiştik. Bu yazıda ise sistemsel sorunların, L2-3-4-5-7 katmanlarda yaşanabilecek bazı sorunların tespit edilmesinde yardımcı olabilecek CLI komutlarını inceleyeceğiz.

Layer 1 – Fiziksel Katman incelemesi

Get system interface transciever : takılı SFP modüller hakkındaki marka/model/seri no/sıcaklık/gerilim bilgileri görebileceğiniz komut. Eğer SFP takılı olmasına rağmen “Interface port5: SFP or QSFP transceiver is not detected.” Çıktısını görüyorsanız, SFP arızalı veya desteklenmiyor olabilir. (Bu komut: 100D, 240D, 1500D, 3700D, 3810D and 3815D modellerinde çalışır.)

Diagnose hardware deviceinfo nic : takılı network interface cardları gösterir, yani tüm fiziksel arayüzleri.

Diagnose hardware deviceinfo nic port32 : bir önceki komutun sonuna bir port numarası belirtildiğinde, o porta ait tüm interface verilerini gösterir. Portun durumu, hızı, duplex bilgisi, mac adresi, Mtu boyutu, desteklediği hızlar, sürücü modeli, gelen giden paketlere ait drop – error bilgileri ve daha birçok bilgi edinilebilir. Aşağıdaki görselde örnek bir çıktıyı inceleyebilirsiniz:

fortigate sfp interface
Fortigate CLI

Layer 2 – Veri Bağlantı Katmanı incelemesi

Get system arp :  Arp tablosunu gösterir

Diagnose ip arp delete <interface adı> <IP.adresi> : Belirtilen interfacedeki belirtilen IP.adresini arp tablosundan siler

Diagnose ip arp add <interface adı> <IP.adresi> <mac adresi> : belirtilen mac adresini ve bu mac adresli cihazın IP adresini arp tablosuna ekler.

Diagnose ip arp list : arp önbelleğini gösterir

Execute clear system arp table : arp tablosunu siler

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Layer 3 – Ağ Katmanı incelemesi

Routing

Get router info routing-table all : static ve dinamik route’ları gösterir. S,C,O,R gibi kısalmalarla o routingi nerden öğrendiğini belirtir.

fortigate route table

Get router info routing-table database : routing databasini gösterir. Burada herhangi bir nedenle aktif olmayan routeları da görebilirsiniz.

Get router info routing-table details <IP.adresi> : routing tablosundaki bir girdi ile ilgili detayların gösterir, administrative distance, metric vb. veriler bulunur.

IPsec

Get vpn ipsec tunnel summary : tüm IPsec tunellerini özet şeklinde gösterir.

Get vpn ipsec tunnel details : IPsec tuneller hakkında detay bilgileri, tx/rx paket sayılarını ve bu paketlerde oluşan error sayılarını görebilirsiniz.

Layer 4 – Ulaşım (Taşıma) katmanı

Firewall – Oturum

Get sys session list :  açık oturumları liste şeklinde gösterir. Protokol tipi, IP – NAT bilgileri görülebilir.

fortigate session list

Diagnose sys session list : get system session list çıktısının ham halidir, bir session hakkında tüm bilgiler bu komut ile incelenebilir.

fortigate show session

Normal şartlar altında güvenlik duvarı üzerinde binlerce, onbinlerce session (oturum) olduğundan yukarıda gösterilen komutların çıktısının incelenmesi neredeyse imkansız. Bu yüzden Fortigate CLI ‘da session filtreleri sayesinde oluşturulacak çıktıları azaltıp sizi hedefinize daha kolay ulaştırabilecek çıktıları inceleyebilirsiniz.

Session filter (oturum filtresi) kullanımı

Aşağıdaki görselde de görülebileceği gibi oturum filtresi olarak: virtual domain, kaynak arayüz, hedef arayüz, kaynak ip, hedef ip, NAT ip, kaynak ve hedef portları vb. kullanılabilir.

fortigate sys session filter

Öncelikle kullanmak istediğimiz filtreleri aşağıdaki gibi belirtip, sonrasında tekrar #diagnose sys session list komutu ile filtrelenmiş çıktıyı inceleyebiliriz. Aşağıdaki örnekte kaynak ip adresi 10.10.4.41 hedef ip adresi 10.10.0.68 olan sessionlar filtrelenmiş ve çıktısı gösterilmiştir.

fortigate-lab # diagnose sys session filte src 10.10.4.41

fortigate-lab # diagnose sys session filter dst 10.10.0.68

fortigate-lab # diagnose sys session list

session filter dst src ip

Bir filtre ile işiniz bittiği zaman filtreleri sıfırlamayı unutmayın; önceki filtrelemeleri kaldırmak için kullanılacak olan komut #diagnose sys session filter clear

Layer 5 – Oturum Katmanı incelemesi

Fortinet Single Sing On (FSSO)

FSSO ile ilgili web arayüzünden göremediğimiz fakat CLI’dan ulaşabileceğimiz bilgiler aşağıdaki gibidir:

fortigate-lab # diagnose debug fsso-polling <seçenekler>

summary           FSSO aktif dizin sunucuları özetini gösterir

detail            FSSO aktif dizin sunucu detaylarını gösterir

user              FSSO aktif dizin sunuculalarından çekilen kullanıcıları gösterir

group             Aktif dizin kullanıcıların gruplarını gösterir

refresh-user      Aktif dizin sunucularından çekilen kullanıcıları yeniler

Komutlarının çıktılarını inceleyerek, web arayüzünden görmeniz mümkün olmayan bazı verileri elde edebilirsiniz.

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Layer 7 – Fortigate CLI Uygulama Katmanı incelemesi

IPS

fortigate-lab # diagnose test application ipsmonitor komutunu yazdığınızda IPS ile ilgili izleyebileceğiniz seçenekler vs. karşınıza çıkar.

fortigate-lab # diagnose test application ipsmonitor 1 komutu ile IPS versiyonunu, en son ne zaman güncellendiğini, veritabanı tipi gibi birçok detayı görebilirsiniz.

fortigate ip monitor

fortigate-lab # diagnose test application ipsmonitor komutunun sonuna aşağıdaki numaraları eklediğinizde numaranın yanında yazan aksiyonu aldırabilirsiniz:

1: Display IPS engine information

2: Toggle IPS engine enable/disable status

3: Display restart log

4: Clear restart log

5: Toggle bypass status

6: Submit attack characteristics now

10: IPS queue length

11: Clear IPS queue length

12: IPS L7 socket statistics

13: IPS session list

14: IPS NTurbo statistics

15: IPSA statistics

16: Display device identification cache

17: Clear device identification cache

18: Display session info cache

19: Clear session info cache

21: Reload FSA malicious URL database

22: Reload whitelist URL database

24: Display Flow AV statistics

25: Reset Flow AV statistics

96: Toggle IPS engines watchdog timer

97: Start all IPS engines

98: Stop all IPS engines

99: Restart all IPS engines and monitor

Eğer dilerseniz Fortigate Güvenlik duvarında yüksek memory ve CPU kullanımından kaynaklı hatalar ve errorları azaltmanıza yardımcı olabilecek bu linkteki yazıyı okuyabilirsiniz.

Ayrıca bu linkte Fortigate Güvenlik Duvarı ile ilgili bazı tavsiye edilen uygulamalara (best practise) ve işinize yarayabilecek diğer Fortigate CLI komutlarına ulaşabilirsiniz.

 

Referanslar:

(1) http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD38931&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=90716715&stateId=0

(2) FortiOS 6 CLI Guide: http://help.fortinet.com/cli/fos60hlp/60/index.htm

(3) Routing Troubleshoot: http://kb.fortinet.com/kb/viewContent.do?externalId=FD31207

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir