W dokumencie FortiAnalyzer v4.0 MR2 Release Notes w rozdziale ’1.1 Summary of Enhancements Provided by FortiAnalyzer v4.0 MR2 Release’ można znaleźć między innymi coś takiego:
Przyznam, że zaintrygowało mnie to na tyle, że postanowiłem od razu sprawdzić z czym to się je i co można z tego wycisnąć.
(więcej…)
Początek kwietnia przyniósł nowe wersje firmware dla FortiGate i FortiAnalyzer. Odpowiednio 4.0MR2 build 0272 z 1 kwietnia i 4.0MR2 build 198 z 8 kwietnia. Oprócz wielu zmian w silniku najbardziej widoczną jest zmian GUI.
Jeszcze nie miałem okazji sprawdzić tego w działaniu, ale na pierwszy rzut oka wygląda ładnie, a tego zazwyczaj się obawiam.
Zobacz także:
O FortiAnalyzer i skanowaniu już pisałem. Znów mam ciekawy kwiatek. Włączyłem skanowanie niedużej sieci. Było to jakoś pod koniec października. Zupełnie o tym zapomniałem, bo wcześniej skanowane były drukarki oraz inne urządzenia sieciowe i operacja zakończyła się raportami. Dziś dostaję kilka zgłoszeń o próbie wykorzystania luk:
Message meets Alert condition
The following intrusion was observed: .
date=2009-11-12 time=08:59:29 devname=FG100A390850nnnn device_id=FG100A390850nnnn log_id=0419016384 type=ips subtype=signature pri=alert fwver=040001 severity=medium carrier_ep="N/A" profile="XXXwww" src=192.168.N.nnn dst=192.168.N.nnn src_int="internal1" dst_int="internal1" policyid=9 serial=2624202 status=detected proto=6 service=http vd="root" count=1 src_port=12656 dst_port=80 attack_id=10478 sensor="protect_http_server" ref="http://www.fortinet.com/ids/VID10478" user="N/A" group="N/A" incident_serialno=215887946 msg="web_server: Oracle.HTTP.Server.XSS"
Od końca marca używam FortiAnalyzer – głównie jako archiwizator logów z urządzeń FortiGate i wszystkich innych, które mogą wysyłać via syslog. Gdzieś po drodze zdarzały się drobne błędy w raportach zagrożeń, ale raport ze skanowania sieci (Vulnerability Mgmt: Scan) jest co najmniej słaby.
(więcej…)
W zeszłą środę uczestniczyłem w szkoleniu „FortiAnalyzer – analiza i monitoring sieci komputerowej” (tradycyjnie już Compendium). Po dwóch dniach zabawy z FortiAnalyzer i wcześniejszym używaniu produktów Fortinet szkolenie jest zbędne, może przydać się komuś, kto zastanawia się nad zakupem tego sprzętu. Prowadzenie (tak sobie): Rafał Sidor.
Po szkoleniu wyrzuciłem Linuksa z centralnym syslog-ng, zastępując go właśnie FortiAnalyzer’em (mimo, że kiepsko się przetwarza tam logi).
Nie dowiedziałem się natomiast czy FortiAnalyzer może mieć wpływ na zawieszanie się FortiGate i jak ew. głębiej zdiagnozować tą awarię (diagnose debug application nie jest udokumentowany). Niemniej permanentnie wyłączyłem logowanie zdalne.
Przy okazji do poczytania (fortinet+blog na Google):
Przed szkoleniem (odbyło się w Warszawie) nocleg u kahir‘a – mimo, że Aldona i Anita czekały…
A po szkoleniu wyjazd na Warmię do Moich Korzeni. Pogoda się udała. Wiejski piknik również :-)
W międzyczasie dostałem informację o dostawie nowego sprzętu – QLogic SANbox 5600 (przełącznik FC). I od poniedziałku zabawa – w dzień konfiguracja, w nocy przepinanie. Na razie nic to nie wniosło w naszą strukturę, bo macierze (sztuk dwie), które wpiąłem nie wspierają MPIO, więc niezbędne było wydzielenie odpowiednich stref (zone) i tak naprawdę to działa to podobnie jak wcześniej, ale o kilkanaście tysięcy drożej ;-)
W bieżącym miesiącu mój FortiAnalyzer odnotował 30 ataków na protokół http i 2 na HTTP. Dziwne. Jakaś unifikacja tego by się przydała, str_to_upper() czy coś…