FortiGate Firewall Traffic Processing Analysieren

Traffic Processing

Applikations Debugging

diag debug application 

zeigt mir den Ablauf eines Prozesses. Ich erhalte detaillierte Informationen über den Ablauf, die ich für die Fehlersuche benötige. Debug Level ist eine Bitmaske. 

diag debug application [application name] [debug level]

Debug Level ist eine Bitmaske. -1 oder 255 zeigt im Normalfall immer alles an. 

Zusätzlich kann das Datum und die Zeit angezeigt werden.

diag debug console timestamp enable

Die Anzeige starten oder anhalten

diag debug enable
diag debug disable

Alle Debugging Einstellungen zurückstellen

diag debug reset

 

diag test application 

zeigt mir den Status und die Einstellungen von Prozessen an. Damit kann ich Einstellungen von Prozessen verändern und anschauen.

diag test application [application name] [test]

Der Parameter Test führt eine Aktion aus, oder zeigt einen Wert an.

Test Level „0“ gibt normalerweise eine Liste aller möglichen Parameter aus.

diag test application ipsmonitor 0

ergibt

2018-03-10 08:09:00 
IPS Engine Test Usage:

2018-03-10 08:09:00     1: Display IPS engine information
2018-03-10 08:09:00     2: Toggle IPS engine enable/disable status
2018-03-10 08:09:00     3: Display restart log
2018-03-10 08:09:00     4: Clear restart log
2018-03-10 08:09:00     5: Toggle bypass status
2018-03-10 08:09:00     6: Submit attack characteristics now
2018-03-10 08:09:00    10: IPS queue length
2018-03-10 08:09:00    11: Clear IPS queue length
2018-03-10 08:09:00    12: IPS L7 socket statistics
2018-03-10 08:09:00    13: IPS session list
2018-03-10 08:09:00    14: IPS NTurbo statistics
2018-03-10 08:09:00    15: IPSA statistics
2018-03-10 08:09:00    16: Display device identification cache
2018-03-10 08:09:00    17: Clear device identification cache
2018-03-10 08:09:00    18: Display session info cache
2018-03-10 08:09:00    19: Clear session info cache
2018-03-10 08:09:00    21: Reload FSA malicious URL database
2018-03-10 08:09:00    22: Reload whitelist URL database
2018-03-10 08:09:00    24: Display Flow AV statistics
2018-03-10 08:09:00    25: Reset Flow AV statistics
2018-03-10 08:09:00    96: Toggle IPS engines watchdog timer
2018-03-10 08:09:00    97: Start all IPS engines
2018-03-10 08:09:00    98: Stop all IPS engines
2018-03-10 08:09:00    99: Restart all IPS engines and monitor

Achtung: Unsachgemässe  Nutzung  von diag test application kann unerwünschte Nebenwirkungen haben.

Paket Sniffer

Die FortiGate verfügt über einen eingebauten Sniffer.

diag sniffer packet [interface] '[filter]' [verbose level] [count] [tsformat]

Interface: ‚any‘ oder das jeweilige Interface

Filter: entspricht dem ⇒libcap Format wie bei tcpdump.

Verbose Level:

1packet header
2packet header, IP data
3packet header, IP data, ethernet header
4interface, direction, packet header
5interface, direction, packet header, IP data
6interface, direction, packet header, IP data, ethernet header

 

Count: 0 – unlimitert oder Anzahl Pakete

Tsformat: a oder l, GMT oder Localtime. Wird tsformat nicht angegeben, erhalte ich Sekunden seit Programm-Start.

Achtung: Von beschleunigten Policies sehe ich nur das erste und das letzte Paket. Innerhalb einer Firewall Policy kann die Hardware Beschleunigung ausgeschaltet werden.

config firewall policy
  edit <id>
    set auto-asic-offload disable
  next
end

Aktivieren Sie die Hardware Beschleunigung nach dem Sniffen wieder!

Flow Trace

Mit dem Sniffer sehe ich die Pakete an den Interfaces. diag debug flow zeigt mir, was dazwischen passiert. Was genau blockiert das Paket.

Eventuelle Filter zurücksetzen

diag debug flow filter clear

Entsprechende Filter setzen

diag debug flow filter [filter]

Function Name anzeigen

diag debug flow show function-name enable

Anzeige auf dem Terminal aktivieren

diag debug enable

Trace starten

daig debug flow trace start [packet count]

Packet Count: 0 – unlimitiert oder Anzahl

Trace stoppen

diag debug flow trace stop

 

Session Table Troubleshooting

Eventuelle Filter löschen

diag sys session filter clear

Nur bestimmte Sessions anzeigen

diag sys session filter [filter]

Die Filter Einträge sind kumulativ. Es können mehrere Filter gesetzt werden. Adresse, Port, Interface, etc.

Gewählte Filter anzeigen

diag sys session filter

Die gewünschten Sessions anzeigen

diag sys session list [expect]

Der Parameter expect bewirkt, dass temporäre Regeln die von einem Session Helper ermittelt wurden, angezeigt werden.

Die gewünschten Sessions löschen

diag sys session clear

Es werden die Sessions, die dem gesetzten Filter entsprechen, gelöscht. Ohne Filter werden alle Sessions gelöscht.

Statistiken zu meinen Sessions kann ich mir auch anzeigen lassen

diag sys session stat

 

Der Befehl „diag sys session list“ zeigt die Interface Indizes an. Mit dem Befehl:

diagnose netlink interface list

ist die Verbindung zwischen den Interface Namen und dem Interface Index ersichtlich.

 

Will ich meine Counter auf dem CLI für alle Policies oder für spezifische Policies zurücksetzen

diag firewall iprope clear 00100004 [<id>]