FortiGate (Security Event VS All Session)

#อย่าเชื่อผมจงเชื่อLog555

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ

สวัสดีครับ พี่น้อง Cybersecurity ทุก ๆท่านครับ…วันนี้จะมีเรื่องที่จะมา Share เกี่ยวกับ Policy Logging — FortiGate (Security Event VS All Session) ครับ เนื่องจากได้มีโอกาศได้ไปทำ Case เกี่ยวกับการถูกโจมตีครับทาง Cyber มาฮะ…. เรื่องมันมีอยู่ว่า บริษัท “Abc” ถูกโจมตีทาง Cyber และแจ้งทีมงานนักสืบ โคนัน เพื่อเข้าไป ยับหยั่ง (IR) และ ตรวจสอบว่า การที่ถูกโจมตีนั้น มันเกิดจากอะไร ที่เป็นต้นเหตุ และ หา RCA จริง ๆ (DF) รวมกันคือ DFIR 555! จะเขียน ทำไม่ให้งง กันละครับเนีย!!!

เข้าเรื่องเลยและกัน สำหรับนักสืบโคนัน นั้น การที่จะเข้าไปนั้น สิ่งที่จะต้องตรวจสอบคือ (1.Network) — (2.Server Host) — -(3.Log อื่น ๆ ที่เกี่ยวข้อง มันก็เยอะ นะ 555) เพื่อที่จะเข้าถึงปัญหาว่าจริง ๆ แล้ว เกิดจากอะไร เพราะเราจะต้องรู้ Timeline ที่มันเกิดใช้ประครับ และสิ่งที่สำคัญเลยก็คือ Network เพราะเราจะรู้ได้ว่า IP Address อะไรที่จะเข้ามายัง Server Host ที่เกิดปัญหา สำหรับ Network ทุก ๆ องกรณ์ ก็จะต้องมี Firewall ถูกต้องประครับ และสำหรับ TH — Firewall ยอดนิยมก็จะเป็น FortiGate เพราะ มัน Configuration ง่าย สุดและครับ 555 ว่าแต่ มี Firewall แล้ว มันก็จะสามารถเช็ค Log ได้นิ ว่า Network Zone ต่าง ๆ มัน มีการ คุยกันไหม!!! ใช้ครับ Check Log Firewal ได้ แต่ ปัญหาคือ Policy FortiGate (Security Event VS All Session) +++

Policy : Security Event = Log ที่เกิด จากแสดงเฉพาะ Security Profiles เท่านั้น ถ้าเป็น Log Connection ปกติจะไม่แสดง เช่น (Server A: RDP(3389) ไป Server B) อันนี เราจะไม่เห็น เพราะว่า มันไม่ได้มีความเกี่ยวข้องกับ Security Profiles

Policy: All Session = ตามชื่อ All มันก็คือ All 555

สรุป: ถ้าเราไปเจอ Log Firewall ที่มีการ Configuration (Security Event Log) อย่างเดียว เราจะรู้ไหมครับ ว่า มี Network คุยกันอย่างไรบ้าง 555!! ใช้ครับ ไม่รู้ เพราะมันจะรู้เฉพาะ ที่มีการ ตก Security Profiles … สมมุติว่าผมเป็น Attacker ผมเข้ามาในองกรณ์แล้ว ละ ผมก็เหมือนคนปกติแล้วละ ใช้ Network ปกติ อาจจะมีบ้าง ที่อาจจะไปตก Security Profiles แต่ มันก็หน้าจะน้อยแหละครับ อันนี้ถ้าคุยในมุมมอง Technical เข้าใจกัน 5555 !!! แต่มาในมุม Management ละครับ อ่าว ๆ ผมก็มี Firewall อยู่แล้วนะ ทำไม่หาไม่เจอเลยละ Firewall ก็ใช้งานปกตินะ !!! ผ่าม ๆ ๆ เอาแล้ว วิญญาณ โคนัน ของเราก็เข้าดิครับ ต้องมีหลักฐาน ไปไขว้ ดิครับ 5555 ของเราจะทำอะไรก็ต้องหลักฐานด้วยสิ ลุย ๆ ไป Test กันเลย ครับ 555

Network Interface (DMZ-Internal)

Policy DMZ to WAN (Config = Security Events)

Policy DMZ to WAN (Config = Security Events) (GW: 192.168.1.254)

Policy DMZ to WAN (Config = Security Events)

Test: ping www.google.com / ping www.facebook

No Traffic: มันจะมีได้อย่างไร เพราะมันแค่ ping 555

Policy Internal to WAN (All)

Test: ping www.google.com / ping www.facebook

Traffic: มันก็ต้องเห็นดิ ครับ…ก็มัน All อะ

นี้แหละครับหลักฐานครับ… เห็นไหมครับ…มันไม่เห็น ๆ ๆ ๆ 5555 เอา ๆ ยังไม่พอ..ยังไม่เชื่อใช่ไหมครับ เดียวมาดูต่อ อันด้านบนมันคือ Internal/DMZ to WAN เดียว มาดู Internal to DMZ มั่ง นะครับ

Internal to DMZ (UTM) — (Security Events)

Internal to DMZ (UTM) — (Security Events) / Test ping เอาง่าย ๆพอ ดูดิจะเห็น Log ไหม

Internal to DMZ (UTM) — (Security Events) ไม่เห็น Log เหมือนเดิม 555

DMZ to Internal (All) — — All

DMZ to Internal (All) — — All — — Test Traffic

DMZ to Internal (All) — — All เช็ค Traffic ได้

Ref: https://docs.fortinet.com/document/fortigate/6.2.1/cli-reference/256620/firewall-interface-policy6

สรุปอีกรอบนะครับ… สำหรับการตรวจสอบในครั้งนี้ คือมันไม่มี Log Connection ผมก็ไม่สามารถรู้ได้ว่า จริง ๆแล้ว มีใคร มาทำอะไรมั่ง เพราะ มองไม่เห็น พอมองไม่เห็น ก็ไม่รู้ 5555!!!!

#แบ่งปัน

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ

#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก

#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ

#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#Share_Knowledge_and_Experience