Neue FortiGate IPS-Signaturen auf Hold setzen

FortiGate Firewalls schauen in der Standardkonfiguration alle 2 Stunden nach neuen IPS-Signaturen (und natürlich nach vielen weiteren dynamischen Updates), dies kann potenziell zu einem Problem werden, wenn sich hier bei der Erstellung der IPS-Signaturen ein Fehler einschleicht.
Eine fehlerhafte IPS-Signatur kann je nach Konfiguration des Security Profiles ein schwerwiegendes Problem im Netzwerk verursachen und eigentlich legitimen Traffic blockieren.

Seit FortiOS 6.4.2 gibt es daher die Möglichkeit neue Signaturen auf „Hold“ zu setzen, um False-Positives zu vermeiden. Der Netzwerkverkehr wird grundsätzlich weiterhin gegen die neuen Signaturen geprüft, allerdings wird keine Blockade im Falle einer positiven Erkennung durchgeführt.

Um neue IPS-Signaturen mit einem Hold Timer zu versehen ist folgende Konfiguration notwendig:

config system ips
    set signature-hold-time 1d12h
end

In diesem Beispiel würden neue IPS Signaturen nach ihrem Download durch die FortiGate Firewall für einen Tag und zwölf Stunden nicht aktiv angewendet werden.
Hier lässt sich ein Zeitraum von mindestens 0 Tagen und 0 Stunden bis zu 7 Tagen als Maximum eintragen.

Wer sich alle aktuelle von dem Hold Feature betroffenen Signaturen ausgeben lassen möchte, kann folgenden Befehl verwenden:

diagnose ips signature on-hold root
Rule: 17541, attack_id: 20899, last updated: 20210823
Rule: 17557, attack_id: 20934, last updated: 20210823
Rule: 17559, attack_id: 20932, last updated: 20210823
Rule: 17560, attack_id: 20933, last updated: 20210823
Rule: 17562, attack_id: 20928, last updated: 20210822
Rule: 17677, attack_id: 21187, last updated: 20210822

Im Intrustion Prevention Log äußert sich dieses Feature übrigens wie folgt:

date=2021-08-23 time=00:00:57 logid="xxx" type="utm" subtype="ips" eventtype="signature" level="alert" vd="root" eventtime=1278375651238481213 tz="-0700" severity="info" srcip=xxx.xxx.xxx.xxx srccountry="Reserved" dstip=xxx.xxx.xxx.xxx srcintf="port13" srcintfrole="undefined" dstintf="port1" dstintfrole="undefined" sessionid=4731 action="detected" proto=6 service="HTTP" policyid=1 attack="Attack.Signature.Name" srcport=52170 dstport=80 hostname="xxx.xxx.xxx.xxx" url="/virus/eicar" direction="incoming" attackid=29844 profile="test" ref="http://www.fortinet.com/ids/VIDxxxx" incidentserialno=18025831 (signature is on hold)"

Am Ende der Logmeldung wird der Text „(signature is on hold)“ angefügt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert