Oczywiście nie jest to rozwiązanie idealne. Jego rozmiar to 1,3U, co znaczy, że zawsze zostanie nam szpara…
W zasadzie w przypadku np. FortiAnalyzer 100A w komplecie są „uszy” jednakże już sam sprzęt ma ciut ponad 1U.

Poza tym wyprowadzone są tylko kable sieciowe i port konsoli (w przypadku urządzeń Fortinet, które mają złącze DB-9 potrzebny jest dodatkowy adapter do RJ-45, a skrzynki z WiFi muszą mieć zapewniony montaż anteny). Z doświadczenia wiem, że w czasie normalnej pracy leniwego sysadmina rzadko zachodzi się do serwerowni je przepinać. Raczej zmienia się VLAN na przełączniku. Dużo wygodniejsze byłoby osadzenie na przednim panelu portów USB, bo to one są / mogą być częściej w użyciu.

Półki FortiRack produkuje holenderska firma Rackmount.IT b.v.

• Remote SQL database (MySQL) support
• SQL DB PostgreSQL support

Przyznam, że zaintrygowało mnie to na tyle, że postanowiłem od razu sprawdzić z czym to się je i co można z tego wycisnąć.

Konfiguracja prosta – jak na załączonym obrazku:

Podajemy sposób przechowywania danych (Location): lokalny to prawdopodobnie PostgreSQL i zdalny, czyli MySQL. Wybrałem ten ostatni. Po uzupełnieniu niezbędnych danych (serwer, użytkownik, hasło, baza) zaznaczyłem logowanie wszystkich typów zdarzeń.
Jeśli użytkownik, którego podamy ma prawo do zakładania baz, nic więcej nie musimy robić. W przeciwnym razie należy mu pomóc.
Poniżej kawałek mojego query log‘a:

Connect fa@A.B.C.D on
Query create database if not exists `fortianalyzer`
Query use `fortianalyzer`
Query select tbl_name from table_ref where tbl_name like 'FG100A3907510579-elog-%' and row_num=0


Czyli mamy połączenie z serwerem, próbę założenia oraz podłączenie do bazy, a następnie przeszukanie tabeli table_ref (założona wcześniej). Tabela ta zawiera informacje o innych tablicach z logami – podejrzewam, że zaplanowana została jakaś rotacja (wskazują na to kolumny itime_start, itime_end, dtime_start, dtime_end, row_num). Czemu tylko podejrzewam, a nie wiem? Otóż w przypadku, gdy nie zostanie znaleziony żaden wynik, FortiAnalyzer próbuje stworzyć nową tablicę. U mnie próbuje, bo nikt nie pomyslał, że baza może mieć domyślne kodowanie ustawione na utf8 zamiast np. latin1, a przy ograniczeniach MySQL nie każdą tablicę da się założyć. Jakiej się nie da? Wyczerpująco opisuje to dodatek D.7.2. The Maximum Number of Columns Per Table dokumentacji MySQL.
Zapytanie jak poniżej:

create table `FG100A3907510579-elog-20100409220517` (`id` bigint unsigned not null primary key,`itime` datetime,`dtime` datetime,`cluster_id` varchar(24),`device_id` varchar(16),`log_id` smallint unsigned default 0,`subtype` varchar(255),`type` varchar(255),`timestamp` int unsigned default 0,`pri` varchar(255),`vd` varchar(255),`user` varchar(255),`msg` varchar(255),`ssid` varchar(255),`action` varchar(255),`session_id` int unsigned default 0,`count` int unsigned default 0,`proto` varchar(255),`profile` varchar(255),`cpu` tinyint unsigned default 0,`src` varchar(40),`epoch` int unsigned default 0,`mem` tinyint unsigned default 0,`duration` int unsigned default 0,`infected` int unsigned default 0,`from` varchar(255),`dst` varchar(40),`ha_group` tinyint unsigned default 0,`tunnel_id` int unsigned default 0,`status` varchar(255),`bssid` varchar(255),`tunnel_type` varchar(255),`event_id` int unsigned default 0,`ip` varchar(40),`ha_role` varchar(255),`rem_ip` varchar(40),`src_int` varchar(255),`suspicious` int unsigned default 0,`sn` varchar(255),`to` varchar(255),`total_session` int unsigned default 0,`ap` varchar(255),`scanned` int unsigned default 0,`vcluster` int unsigned default 0,`remote_ip` varchar(40),`carrier_ep` varchar(255),`imsi` varchar(255),`loc_ip` varchar(40),`dst_int` varchar(255),`from_vcluster` int unsigned default 0,`rem_port` smallint unsigned default 0,`src_port` smallint unsigned default 0,`msisdn` varchar(255),`tunnel_ip` varchar(40),`intercepted` int unsigned default 0,`vap` varchar(255),`service` varchar(255),`apn` varchar(255),`out_intf` varchar(255),`blocked` int unsigned default 0,`dst_port` smallint unsigned default 0,`mac` varchar(255),`to_vcluster` int unsigned default 0,`acct_stat` varchar(255),`selection` varchar(255),`reason` varchar(255),`group` varchar(255),`rate` tinyint unsigned default 0,`loc_port` smallint unsigned default 0,`vcluster_member` int unsigned default 0,`vcluster_state` varchar(255),`app-type` varchar(255),`nsapi` tinyint unsigned default 0,`dport` smallint unsigned default 0,`channel` tinyint unsigned default 0,`cookies` varchar(255),`checksum` int unsigned default 0,`dst_host` varchar(255),`nf_type` varchar(255),`vdname` varchar(255),`linked-nsapi` tinyint unsigned default 0,`next_stats` int unsigned default 0,`virus` varchar(255),`imei-sv` varchar(255),`devintfname` varchar(255),`security` varchar(255),`policy_id` int unsigned default 0,`rai` varchar(255),`hostname` varchar(255),`xauth_user` varchar(255),`uli` varchar(255),`xauth_group` varchar(255),`sent` bigint unsigned default 0,`policyid` int unsigned default 0,`rcvd` bigint unsigned default 0,`sess_duration` int unsigned default 0,`hbdn_reason` varchar(255),`banned_src` varchar(255),`end-usr-address` varchar(40),`msg-type` tinyint unsigned default 0,`sync_type` varchar(255),`banned_rule` varchar(255),`state` varchar(255),`vpn_tunnel` varchar(255),`sync_status` varchar(255),`alert` varchar(255),`sensor` varchar(255),`endpoint` varchar(255),`stage` tinyint unsigned default 0,`voip_proto` varchar(255),`deny_cause` varchar(255),`desc` varchar(255),`dir` varchar(255),`kind` varchar(255),`init` varchar(255),`mode` varchar(255),`cert-type` varchar(255),`ui` varchar(255),`exch` varchar(255),`rat-type` varchar(255),`c-gsn` varchar(40),`error_num` varchar(255),`u-gsn` varchar(40),`method` varchar(255),`phase2_name` varchar(255),`spi` varchar(255),`name` varchar(255),`c-sgsn` varchar(40),`request_name` varchar(255),`seq` varchar(255),`c-ggsn` varchar(40),`in_spi` varchar(255),`u-sgsn` varchar(40),`out_spi` varchar(255),`u-ggsn` varchar(40),`c-sgsn-teid` int unsigned default 0,`enc_spi` varchar(255),`c-ggsn-teid` int unsigned default 0,`dec_spi` varchar(255),`message_type` varchar(255),`malform_desc` varchar(255),`tunnel` varchar(255),`u-sgsn-teid` int unsigned default 0,`u-ggsn-teid` int unsigned default 0,`malform_data` int unsigned default 0,`tunnel-idx` int unsigned default 0,`line` varchar(255),`column` int unsigned default 0,`c-pkts` bigint unsigned default 0,`phone` varchar(255),`profile_group` varchar(255),`c-bytes` bigint unsigned default 0,`u-pkts` bigint unsigned default 0,`u-bytes` bigint unsigned default 0,`next_stat` int unsigned default 0,`user_data` varchar(255),`role` varchar(255),`result` varchar(255),`xauth_result` varchar(255),`esp_transform` varchar(255),`esp_auth` varchar(255),`error_reason` varchar(255),`peer_notif` varchar(255))

zakończy się niepowodzeniem, a serwer zwróci błąd:

ERROR 1118 (42000): Row size too large. The maximum row size for the used table type, not counting BLOBs, is 65535. You have to change some columns to TEXT or BLOBs

Nie chce mi się nawet liczyć ile bajtów to zajmuje. A wystarczyło dopisać CHARACTER SET latin1…

Podejrzewam, że po poprawnym założeniu tabeli dopisze się coś do table_ref, ale jest już zbyt późno, a ja mam za dużo lat, żeby dochodzić jak to powinno wyglądać.

Tak czy inaczej – inżynierowie Fortinet tracą jeden punkt.

Jeszcze nie miałem okazji sprawdzić tego w działaniu, ale na pierwszy rzut oka wygląda ładnie, a tego zazwyczaj się obawiam.

Zobacz także:

• Firewall Guru: Software Update – 4.0 MR2
• Firewall Guru: FortiOS 4.0 MR2 – Initial Impressions

• Vulnerability Scan:
  • Sensor: all_vulnerabilities
• Port Scan:
  • TCP Ports: Full
  • UDP Ports: Full
• Other Options:
  • Perform TCP 3-way Handshake
  • Scan Dead Host

Przeglądanie raportu zacząłem od pierwszego serwera i znalazłem taki kwiatek:

Zaskoczony obecnością phpMyAdmin, tym bardziej, że kolejny błąd wskazuje już na konkretną wersję phpMyAdmin -FID: 2408 Title: Multiple PHP Remote Code Injection Vulnerabilities in phpMyAdmin 2.6.1, przejrzałem kilka kolejnych ‘błędów’ i mamy tam podatności ATutor 1.5.1, FlatNuke, phpBook (polecam zapoznanie się z informacją na głównej stronie) i jeszcze parę innych. WTF? – pytam się!

Otóż na porcie 2381 nasłuchuje usługa (system to Windows) HP System Management Homepage. To nic innego jak Apache (prawdopodobnie 2.0.43, API 20020903, u mnie przedstawiający się jako CompaqHTTPServer/9.9 HP System Management Homepage/2.0.2.106) z PHP (u mnie 4.3.6) i aplikacją do zarządzania serwerem. Przejrzałem logi odnośnie ciągu ‘phpmyadmin’ i znalazłem coś takiego:

192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 371
192.168.1.253 - - [04/May/2009:08:23:20 +0200] "GET /phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 366

Nic więcej! Czyli FortiAnalyzer na podstawie kodu odpowiedzi 302 stwierdza, że aplikacja jest, a co za tym idzie – może mieć błędy! Nie podąża w ogóle za otrzymanym adresem i tworzy gigantyczny raport (tak samo jest z każdą znaną przez niego aplikacją).
Na razie skończyłem przeglądanie na pierwszym serwerze, bo w poziomie High miałem 100% false-positive. Co ciekawe, pierwszy błąd na poziomie Medium to: FID: 1587 Title: Compaq WBEM Server Detect. Niby można dodać filtry do sensor, ale jest to ograniczone. Wiem, że to automat, więc zachowuje się tak a nie inaczej, ale raport, który generuje stawia pytanie – dla kogo to? Wydaje mi się, że tylko jako podłoże do bardziej dogłębnych testów po odsianiu sporej ilości błędów. Na pewno nie gotowy dokument do przesłania Zarządowi.

• FortiOS-v4.0-MR1-Release-Notes.pdf
• FGT_100A-v400-build0178-FORTINET.out
• FSAE_Setup_3.5.047.exe

Wszystko działa (nie ma problemu ze zdalną aktualizacją z 4.0).

PS C:\> Get-WmiObject -Class Win32_Product -computername DC | Where-Object { $_.name -like “Forti*” }
IdentifyingNumber : {8BB826C4-4CB5-42B0-A124-AA9B69F8CB41}
Name : Fortinet Server Authentication Extension (FSAE)
Vendor : Fortinet Inc.
Version : 3.5.047
Caption : Fortinet Server Authentication Extension (FSAE)

• FortiOS 4.0.3 (build 0106)
• FSAE 3.5.043
• Release Notes

• relayd z OpenBSD (i jakiś port dla FreeBSD),
• LVS,
• Heartbeat,
• mod_jk – LB dla Apache Tomcat (vide mój projekt pracowniczy w P. I. Kamsoft AD 2005).

Produkcyjnie wykorzystywałem relayd, LVS i mod_jk. Heartbeat testowałem bardzo krótko.
Konfiguracja w FortiGate jest dość prosta (pomijam politykę zapory):

1. Konfigurujemy Virtual Server
   W CLI konfigurujemy podobnie jak Virtual IP. Jako typ VIP ustawiamy server-load-balance. Rodzaj LB (server-type) możemy ustawić na: HTTP, TCP lub UDP oraz IP. Metod rozkładu obciążenia mamy do wyboru sześć: Static, Round Robin, Weighted, First Alive, Least RTT i Least Session. Do konfiguracji sprawdzania obecności (Health Check) trzeba wrócić później.
2. Definiujemy rzeczywiste serwery
   Oprócz nazwy i adresu IP podajemy port usługi, a także wagę i maksymalną liczbę połączeń. Serwery rzeczywiste przypisujemy serwera wirtualnego.
3. Definiujemy sposób sprawdzania obecności (przypisać go należy do wirtualnego serwera)
   Określamy typ (HTTP, TCP lub PING) i interwał oraz liczbę powtórzeń. W przypadku typu TCP podajemy port usługi, dla HTTP – URL i cią jaki ma być dopasowany do zawartości.
4. …no i możemy cieszyć się gotowym rozwiązaniem.

Przykładowa konfiguracja może wyglądać tak:

config firewall ldb-monitor
edit "DEV-HCH"
set type tcp
set port 80
next
end
config firewall vip
edit "DEV"
set type server-load-balance
set extip 192.168.1.230
set extintf "wan1"
set server-type tcp
set monitor "DEV-HCH"
set ldb-method first-alive
set extport 80
config realservers
edit 1
set ip 10.1.0.1
set port 80
next
edit 2
set ip 10.1.0.2
set port 80
next
edit 3
set ip 10.1.0.3
set port 80
next
end
next
end

Jedyny minus jaki dotychczas dostrzegłem, to brak jakiejkolwiek informacji w logach (pamięć, FortiAnalyzer) o tym, że dany serwer nie działa lub zmienił swój stan.

Poniżej wykres z JMeter – duży skok na początku to wyłączenie pierwszego serwera; metoda rozkładania obciążenia: First Alive i 10 sekund pomiędzy kolejnymi testami.

Innych testów nie chciało mi się robić. Środowisko testowe jeszcze trochę będzie stało (planuję m. in. testy MySQL w klastrze), więc jak ktoś chce wyniki testów LB przy konkretnych ustawieniach, proszę o kontakt.