C’est une question que nous entendons souvent – comment utilisons-nous la solution Progress Flowmon pour bloquer une attaque? Flowmon n’est pas un appareil en ligne qui se tient sur le chemin du trafic entrant, nous nous associons donc avec des fournisseurs tiers qui fournissent des équipements tels que des pare-feu ou des passerelles de sécurité unifiées.
Dans cet article, nous allons vous montrer comment instruire le pare-feu de Fortinet Fortigate via des annonces Flowmon pour bloquer le trafic en réponse à une anomalie ou une attaque détectée. Cette intégration est conçue pour bloquer automatiquement le trafic contre le pare-feu et l’arrêter au périmètre.
Ce dont vous aurez besoin
Les scripts d’intégration sont disponibles en téléchargement à partir de notre Projet GitHub. Vous aurez besoin d’un fichier zip appelé fgt-sitigation.zip. La documentation complète a également été publiée.
Actuellement, l’intégration ne prend en charge que les plages d’adresses IPv4, car la mise en œuvre d’IPv6 nécessiterait un appel API supplémentaire pour créer un objet d’adresse. Cependant, cela dépend de votre connectivité réseau. Si vous n’avez que l’IPv4 disponible sur l’interface WAN, il n’y a pas besoin de blocage IPv6.
Arrière-plan
Une façon de bloquer les attaques contre un périphérique FortiGate qui a un service VPN IPSec activé est via la configuration d’une politique locale. Par défaut, la stratégie locale permet d’accéder à toutes les adresses, mais vous pouvez créer des groupes d’adresses pour bloquer les IP spécifiques. Un de ces groupes peut contenir jusqu’à 600 IPS, bien que la limite variera entre les plates-formes individuelles. Il y a une minuterie qui supprimera les IP de la liste après une période définie pour faire pivoter la liste et le garder court.
Maintenant, pour obtenir Annonces Flowmon Pour vous fournir des IPS à bloquer, vous avez besoin de visibilité dans le trafic réseau avant d’atteindre FortiGate.
En d’autres termes, vous avez besoin Netflow / ipfix données d’un routeur ou d’un Sonde Flowmon placé devant le pare-feu. Je ne recommande pas d’utiliser FortiGate lui-même car son exportation de débit n’inclut pas les drapeaux TCP, ce qui signifie que de nombreuses méthodes de détection ne fourniront pas de résultats fiables. Cela était vrai lors de notre dernier test de Fortios 6.4.
Une fois que vous avez votre source de flux et que vos annonces Flowmon sont configurées pour détecter les anomaliesvous pouvez utiliser le package de script personnalisé mentionné ci-dessus. Il utilise des appels API REST pour créer des objets d’adresse à partir des événements Flowmon ADS dans FortiGate et conserve une base de données d’IPS précédemment bloqués pour une utilisation ultérieure.
C’est un script Python qui devrait fonctionner sur Flowmon 12.
Installation
Tout d’abord, téléchargez le package (FGT-Mitigation.zip) et copiez-le par votre programme SCP préféré sur l’appliance Flowmon. Ensuite, vous pouvez le décompresser dans le dossier / home / flowmon. Il s’attend à ce que le chemin de configuration soit / home / flowmon / fgt-atsitigation / etc et les journaux doivent être sur / home / flowmon / fgt-atsitigation / log. Ces chemins que vous pourriez changer par modification des scripts
Le package contient un fichier de configuration et deux scripts; AG-Mitigation.py est responsable du blocage et nécessitera le téléchargement sur les annonces Flowmon (voir ci-dessous) et l’autre, Ag-timeout.py supprime les adresses bloquées à l’aide d’un délai d’attente.
Après l’extraction, vous voudrez peut-être configurer un travail cron pour exécuter le Ag-timeout.py (EN EXEMPS est fourni dans le fichier ReadMe ou l’intégration Guidei. Il utilise une base de données SQLite3 pour conserver des informations sur les IP bloqués et leur temps pour vivre dans ces enregistrements. Vous pouvez configurer la durée de leur séjour et, en modifiant un planificateur CRON, à quelle fréquence le script doit fonctionner.
Ensuite, vous devez activer une stratégie locale sur votre FortiGate avec une action par défaut pour bloquer tout trafic dans le groupe Flowmon Ads en cours d’exécution.
Console FortiGate avec stratégie locale configurée:
Au début, ce groupe se compose d’un seul enregistrement qui signifie essentiellement «pas d’adresse IP». Ce n’est que parce qu’un groupe FortiGate ne peut pas être vide, et ce seul enregistrement ne bloque rien.
Interface Web de la configuration de FortiGate avec un groupe d’adresses configuré pour le script:
Ensuite, configurez une interface de surveillance de l’appareil Flowmon connecté au commutateur de gestion agissant comme un port WAN pour FortiGate (je fais cela dans mon laboratoire à la place d’un véritable déploiement). Cela permet de collecter tout le trafic passant par le point d’observation et de voir toute attaque lancée contre l’adresse IP WAN FortiGate.
À l’aide de la configuration des annonces Flowmon, téléchargez le script sans aucun paramètre et ajoutez-le comme un déclencheur de script personnalisé pour s’exécuter dans la perspective des problèmes de sécurité chaque fois qu’un événement de gravité moyenne ou plus est détecté.
Flowmon Ads Configuration du script personnalisé:
Blocage
Avant que toute attaque ne soit bloquée, vous pouvez facilement faire un ping-ping à l’adresse IP WAN de FortiGate. Cela indique un scénario de paix – le trafic entrant est autorisé à passer.
Une commande ping réussie avec l’adresse IP FortiGate:
Lorsque le script est déclenché, les informations dans FortiGate sont mises à jour via l’API REST, y compris une plage IP ou une définition et une inclusion de sous-réseau dans le groupe d’adresses FlowMon ADS.
Adresse IP ajoutée à partir des annonces Flowmon avec un ID d’événement:
L’événement apparaît également dans le groupe d’adresses:
Maintenant, la liste est mise à jour et la machine avec l’adresse IP 192.168.47.79 ne peut plus faire un ping Fortigate ou s’y connecter sur l’un de ses ports. Cela signifie que le pare-feu le bloque sur la base des instructions des publicités Flowmon.
Une commande ping sans réponse:
Le script de délai d’expiration est utilisé pour effacer la liste des IP bloqués. Après plusieurs itérations du script Timeout, tout revient à l’état d’origine.
Exécutions multiples du script temporel:
L’écran ci-dessus montre qu’une autre adresse IP a été ajoutée au groupe. Il sera stocké dans la base de données en tant que type entier pour une manipulation plus facile.
Gros plan
C’est une façon d’utiliser FlowMon combiné avec un appareil en ligne tiers pour l’atténuation automatique des attaques. Alternativement, vous pouvez également utiliser une politique de pare-feu standard où vous pouvez utiliser une adresse IP supplémentaire pour l’interface de bouclage afin que le trafic indésirable puisse être bloqué. Il s’agit de régler les produits à vos besoins et à vos circonstances.
Articles connexes:
Qu’est-ce que la détection et la réponse du réseau (NDR)?
juillet 3, 2025
Comment bloquer une attaque externe avec Fortigate
C’est une question que nous entendons souvent – comment utilisons-nous la solution Progress Flowmon pour bloquer une attaque? Flowmon n’est pas un appareil en ligne qui se tient sur le chemin du trafic entrant, nous nous associons donc avec des fournisseurs tiers qui fournissent des équipements tels que des pare-feu ou des passerelles de sécurité unifiées.
Dans cet article, nous allons vous montrer comment instruire le pare-feu de Fortinet Fortigate via des annonces Flowmon pour bloquer le trafic en réponse à une anomalie ou une attaque détectée. Cette intégration est conçue pour bloquer automatiquement le trafic contre le pare-feu et l’arrêter au périmètre.
Ce dont vous aurez besoin
Les scripts d’intégration sont disponibles en téléchargement à partir de notre Projet GitHub. Vous aurez besoin d’un fichier zip appelé fgt-sitigation.zip. La documentation complète a également été publiée.
Actuellement, l’intégration ne prend en charge que les plages d’adresses IPv4, car la mise en œuvre d’IPv6 nécessiterait un appel API supplémentaire pour créer un objet d’adresse. Cependant, cela dépend de votre connectivité réseau. Si vous n’avez que l’IPv4 disponible sur l’interface WAN, il n’y a pas besoin de blocage IPv6.
Arrière-plan
Une façon de bloquer les attaques contre un périphérique FortiGate qui a un service VPN IPSec activé est via la configuration d’une politique locale. Par défaut, la stratégie locale permet d’accéder à toutes les adresses, mais vous pouvez créer des groupes d’adresses pour bloquer les IP spécifiques. Un de ces groupes peut contenir jusqu’à 600 IPS, bien que la limite variera entre les plates-formes individuelles. Il y a une minuterie qui supprimera les IP de la liste après une période définie pour faire pivoter la liste et le garder court.
Maintenant, pour obtenir Annonces Flowmon Pour vous fournir des IPS à bloquer, vous avez besoin de visibilité dans le trafic réseau avant d’atteindre FortiGate.
En d’autres termes, vous avez besoin Netflow / ipfix données d’un routeur ou d’un Sonde Flowmon placé devant le pare-feu. Je ne recommande pas d’utiliser FortiGate lui-même car son exportation de débit n’inclut pas les drapeaux TCP, ce qui signifie que de nombreuses méthodes de détection ne fourniront pas de résultats fiables. Cela était vrai lors de notre dernier test de Fortios 6.4.
Une fois que vous avez votre source de flux et que vos annonces Flowmon sont configurées pour détecter les anomaliesvous pouvez utiliser le package de script personnalisé mentionné ci-dessus. Il utilise des appels API REST pour créer des objets d’adresse à partir des événements Flowmon ADS dans FortiGate et conserve une base de données d’IPS précédemment bloqués pour une utilisation ultérieure.
C’est un script Python qui devrait fonctionner sur Flowmon 12.
Installation
Tout d’abord, téléchargez le package (FGT-Mitigation.zip) et copiez-le par votre programme SCP préféré sur l’appliance Flowmon. Ensuite, vous pouvez le décompresser dans le dossier / home / flowmon. Il s’attend à ce que le chemin de configuration soit / home / flowmon / fgt-atsitigation / etc et les journaux doivent être sur / home / flowmon / fgt-atsitigation / log. Ces chemins que vous pourriez changer par modification des scripts
Le package contient un fichier de configuration et deux scripts; AG-Mitigation.py est responsable du blocage et nécessitera le téléchargement sur les annonces Flowmon (voir ci-dessous) et l’autre, Ag-timeout.py supprime les adresses bloquées à l’aide d’un délai d’attente.
Après l’extraction, vous voudrez peut-être configurer un travail cron pour exécuter le Ag-timeout.py (EN EXEMPS est fourni dans le fichier ReadMe ou l’intégration Guidei. Il utilise une base de données SQLite3 pour conserver des informations sur les IP bloqués et leur temps pour vivre dans ces enregistrements. Vous pouvez configurer la durée de leur séjour et, en modifiant un planificateur CRON, à quelle fréquence le script doit fonctionner.
Ensuite, vous devez activer une stratégie locale sur votre FortiGate avec une action par défaut pour bloquer tout trafic dans le groupe Flowmon Ads en cours d’exécution.
Console FortiGate avec stratégie locale configurée:
Au début, ce groupe se compose d’un seul enregistrement qui signifie essentiellement «pas d’adresse IP». Ce n’est que parce qu’un groupe FortiGate ne peut pas être vide, et ce seul enregistrement ne bloque rien.
Interface Web de la configuration de FortiGate avec un groupe d’adresses configuré pour le script:
Ensuite, configurez une interface de surveillance de l’appareil Flowmon connecté au commutateur de gestion agissant comme un port WAN pour FortiGate (je fais cela dans mon laboratoire à la place d’un véritable déploiement). Cela permet de collecter tout le trafic passant par le point d’observation et de voir toute attaque lancée contre l’adresse IP WAN FortiGate.
À l’aide de la configuration des annonces Flowmon, téléchargez le script sans aucun paramètre et ajoutez-le comme un déclencheur de script personnalisé pour s’exécuter dans la perspective des problèmes de sécurité chaque fois qu’un événement de gravité moyenne ou plus est détecté.
Flowmon Ads Configuration du script personnalisé:
Blocage
Avant que toute attaque ne soit bloquée, vous pouvez facilement faire un ping-ping à l’adresse IP WAN de FortiGate. Cela indique un scénario de paix – le trafic entrant est autorisé à passer.
Une commande ping réussie avec l’adresse IP FortiGate:
Lorsque le script est déclenché, les informations dans FortiGate sont mises à jour via l’API REST, y compris une plage IP ou une définition et une inclusion de sous-réseau dans le groupe d’adresses FlowMon ADS.
Adresse IP ajoutée à partir des annonces Flowmon avec un ID d’événement:
L’événement apparaît également dans le groupe d’adresses:
Maintenant, la liste est mise à jour et la machine avec l’adresse IP 192.168.47.79 ne peut plus faire un ping Fortigate ou s’y connecter sur l’un de ses ports. Cela signifie que le pare-feu le bloque sur la base des instructions des publicités Flowmon.
Une commande ping sans réponse:
Le script de délai d’expiration est utilisé pour effacer la liste des IP bloqués. Après plusieurs itérations du script Timeout, tout revient à l’état d’origine.
Exécutions multiples du script temporel:
L’écran ci-dessus montre qu’une autre adresse IP a été ajoutée au groupe. Il sera stocké dans la base de données en tant que type entier pour une manipulation plus facile.
Gros plan
C’est une façon d’utiliser FlowMon combiné avec un appareil en ligne tiers pour l’atténuation automatique des attaques. Alternativement, vous pouvez également utiliser une politique de pare-feu standard où vous pouvez utiliser une adresse IP supplémentaire pour l’interface de bouclage afin que le trafic indésirable puisse être bloqué. Il s’agit de régler les produits à vos besoins et à vos circonstances.
Articles connexes:
Qu’est-ce que la détection et la réponse du réseau (NDR)?
Source link
Partager :
Articles similaires