Merhabalar arkadaşlar bu kısa makalemde sizlere Network trafiğinizde neler olup bittiğine ve rahatça ayrınlığı birşekilde izlemeniz için Fortigate tarafında neler yapılmasını anlatacağım,
Öncelikle fortigate tarafında 1 adet fiziksel interface ayırmanız gerekiyor, ISP data center yapınız var ise önerimiz TenG’dir ( 10G veya 40G )
- Fortigate tarafında 1 adet interface’imizi ONE-ARM-SNİFFER olarak ayarlıyoruz,
Aşağıda dikkat etmeniz ve eklemeniz gerekenler
ROLE – UNDEFİNED | mutlaka bu seçeneği belirtmelisiniz,
ANTİVİRÜS-WEBFİLTER-APPLİCATİON CONTROL SENSOR- IPS | monitör modda çalıştırmalısınız,
Log kısmında | ALL SESSİONS | seçmelisiniz
Aşağıdaki örnekteki gibi
- Switch tarafında yapılması gerekenler , SPAN port ( mirror traffic )
Switch tarafında yapmanız gerekenler ,
config t ( altında yapılması gerekir ) monitor session 1 source vlan 10 - 11 , 14 , 16 , 20 , 200 ( Fortigate tarafına göndereceğiniz sniffer edecek vlanlar ) monitor session 1 destination interface Gi4/1 ( Fortigate ONE-ARM-SNİFFER ) portuna yönlendirilecek belirtilen traffic monitor session 1 filter packet-type good rx ( received packet ) *************************************** switch tarafındaki Sniffer port confiği; ( sniffer port için herhangi bir vlan'a atamanıza veya trunk access gibi özel bir config istemiyor ) interface GigabitEthernet4/1 description FW-SPAN-IDS spanning-tree portfast
- Logların sürekli akması ve kontroller tespitler
Aşağıda Sniffer Traffic Loglarında canlı olarak bütün network subnetlerin erişimleri ve geçen bütün trafikleri ayrıntılı olarak hep application hemde hata mesajlarını görebiliyorsunuz kısaca networkte uçan bütün kuşları görebilirsiniz
Sniffer Traffic uygulaması ekstra bir lisans istemez. ( mevcut lisansınız ile çalışır – lisansınız olasada çalışır )
Not: bu uygulama için belirtmek istediğim bir nokta var RAM tarafını %5 ile %10 oranında arttırıyor orta ölçek için 100E cihazı fazlasıyla yeter ama ISP ve DC tarafı için büyük cihaz olması gerekiyor.
Bir sonraki makalemde görüşmek üzere.