SiberdincSiberdinc Siber Güvenlik, Ağ Güvenliği, Cyber Security

Fortigate Paket Dinleme – (Örnek İle Anlatım)

Fortigate tarafında genel olarak karşılaşılan sorunlardan veya yapılan case isteklerinden birisi şudur.

Erdinc isimli kullanıcının IP adresi, A sunucusuna ulaşmıyor”

Fortigate tarafında tüm sorunları GUI Web arayüz üzerinden tespit edemeyebiliyoruz. Bu gibi durumda CLI ekranından sniffer ile trafik dinlemesi yaparak, hit ettiği kurala vs bakılabilir. Geçen trafik incelenebilir.

Peki bu işlemi nasıl yapacağız ?

Fortigate Sniffer Kullanımı;

#diagnose sniffer packet <interface> <’filter’> <verbose> <count> a

<interface> : Tek interface olarak (port1,internal,wan1) seçebilirsiniz. Veya tüm interface olarak any seçebilirsiniz.

<’filter’> : Birden fazla filtreyi araya and ya da or koyarak yapabilirsiniz. Eğer yazdığınız değerin dışındakileri listelemek isterseniz filtrenin başına işaretini koymalısınız.

<verbose> : dinlenen paketlerin header & data & interface bilgilerinden hangilerinin gösterileceğini belirlediğimiz kısımdır. 1-6 arasında değişir, her rakamın yarattığı çıktı farklı bilgileri içerir. Çoğu zaman 4. Seviye verbose işinizi görecektir.

Verbose seviye detayları;

1: paket başlıklarını gösterir
2: paketlerdeki IP başlık ve verisini gösterir
3: paketlerdeki Ethernet başlık ve verisini gösterir
4: paket başlıklarını interface ismi ile gösterir
5: paketlerdeki IP başlık ve verisini interface ismi ile gösterir
6: paketlerdeki Ethernet başlık ve verisini interface ismi ile gösterir

<count> : paket yakalama işlemi başladığı andan sonra kaçıncı pakette dinlemenin durdurulacağını belirler.

a : dinleme çıktılarının başına paketin yakalandığı tarih ve saat bilgisi ekler.

diagnose sniffer packet any

Bu komut ile tüm gelen giden trafik dinlenecektir. any kullanılarak tüm interface baz alınmıştır.

diagnose sniffer packet any ” 4

Bu komut ile verbose 4 kullanılarak, packetin hangi interfaceden geçtiğini gösterecektir. ” (çift tırnak) ile filtre kullanılmayacağı belirtilir.

diagnose sniffer packet any ” 4 10 a

Bir önceki komuttan farklı olarak count: 10 değeri girilerek ilk 10 paket listelenir. a ile ise gerçek zaman bilgisi satır başına yazılır

diagnose sniffer packet any ‘host 10.212.134.200’

Bu komut ile host kısmında belirtilen IP hangi interfaceden geçerse geçsin dinle demektir.

Senaryo: 10.212.134.200 IP’sinden 192.168.1.200’ye ping atılmıştır.

Packet Dinleme sonucunda isteği aşağıda görebilmekteyiz.

Source ve Dest IP Adres Filtrelemesi

Trafik dinlemesini yaptığınız noktayı daha çok daraltabilirsiniz. Örneğin ‘src host x.x.x.x’ filtresi sadece kaynak IP si x.x.x.x olan paketleri yakalayacaktır ‘dst host y.y.y.y’ filtresi ise sadece hedef IP adresi y.y.y.y olan paketleri size gösterecektir. Farklı filtreleri bir arada kullanmak için aralarına and & or ifadeleri koyabilirsiniz.

diagnose sniffer packet any ‘src host 10.212.134.200 and dst host 192.168.1.200’ 4 a

Bu komut ile filtrelememizi daralttık ve Source – Destination IP belirterek aralarındaki trafiği izlemiş olduk.

Source ve Dest IP Adres Filtrelemesi (Sade Anlaşılır)

Yukarıda yaptığımız tüm işlemlerin daha sade ve anlaşılır olduğu bir komut mevcut. : diagnose debug flow filter

? yaptığımızda kullanacağımız paremetreleri görebiliyoruz.

Aşağıdaki komut ile Kaynak ve Hedef IP adresi arasındaki paket geçişini, hangi kuraldan geçtiğini ? hangi interface kullandığını ? görebilmekteyiz.

diagnose debug flow filter saddr 10.212.134.200

diagnose debug flow filter daddr 192.168.1.200

diagnose debug flow trace start 100

diagnose debug enable

NOT: Eğer belirtilen IP’ye ait bir kural yoksa, herhangi bir kuraldan geçmiyorsa, aşağıdaki şekilde Policy 0 mesajı karşımıza çıkacaktır.

Paket dinleme işlemimiz bittikten sonra aşağıdaki komut ile paket dinleme işlemimizi bitirmeliyiz.

diagnose debug disable

Çünkü ilk dinleme yaparkendiagnose debug flow trace start 100 burada belirttiğimiz 100 adet paket geçene kadar arka planda paket dinlmeye devam edecektir. Ve buda cihazımın RAM’inden yiyecektir. 

“execute ping-options source” Kullanımı

Bu komutu özellikle IP-SEC kurulumlarında erişim olup olmadığını test etmek için kullanabiliriz.

Firewall CLI ekranından kaynak IP adresimizi, o an erişim testi için kullanmak istediğimiz IP olarak belirtebiliyoruz. Bu şekilde erişim olup olmadığını kontrol edebiliyoruz.

execute ping-option souce 192.168.2.100 komutunu çalıştırarak 192.168.2.100 IP’sinden başka bir interface’e erişim kontrolü sağlayabiliriz.

“execute ping-options source repeat-count” Kullanımı

Fortigate CLI üzerinde pingi devam ettirmek için kullanılan komuttur. Windows’ta -t komutu gibi düşünebilirsiniz.

execute ping-option source repeat-count 200 Bu komut 200 defa ping atacaktır.

“diagnose debug craslog read” Kullanımı

Kill olan processleri vs görebilmenizi sağlar. HA durumlarını, Interface durumlarını bu komut ile görebilirsiniz.

Makalelerimden ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Erdinç Tandoğan

Merhaba. Ben Erdinç Tandoğan. Siber Güvenlik Yüksek Lisans mezunuyum. Blog sitemde hem kendimi geliştirmek hemde Türkçe kaynakların çoğalması adına paylaşımlar yapmaktayım. Linkedin profilimden tarafıma ulaşabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

logo

Merhaba. Ben Erdinç Tandoğan. Siber Güvenlik Yüksek Lisans mezunuyum. Blog sitemde hem kendimi geliştirmek hemde Türkçe kaynakların çoğalması adına paylaşımlar yapmaktayım. Linkedin profilimden tarafıma ulaşabilirsiniz.

Kategoriler

Abonelikler

Tavsiyeler

@Siberdinc on Instagram
This error message is only visible to WordPress admins

Error: No feed with the ID 1 found.

Please go to the Instagram Feed settings page to create a feed.

Kapatmak için ESC tuşuna basın