ぶやかー

このページをシェア

FortiGate Cert Prove他 - ぶやかー

目次 Outline

CertProbe

v7.0.x(.12まで確認済み)vdom多段で外側vdomにWebFilterがあると内側vdomのCert Probeが5秒遅延する問題がある。
内側vdomが3way hsの後client hello送るまでに5秒のラグがあり、この間なにも動作してなくてなにかのタイムアウト待ちになっていると思われる。。

https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-allow-HTTPS-port-443-traffic-when/ta-p/200844
v7.0以降の機能とはっきり書いてあるが、6.2からあるactive probeと同じじゃないかと思われる・・・
active probeでも似たような事があるっぽいが、同じ機能なのか?ならば7.0からの機能というのはなんなんだ?

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-interface-for-IPS-TLS-protocol-active/ta-p/198382

ちなみにFG自身が発するパケットなのに
outgoing-ports
にも
update servers
にも
[Anycast and unicast services]https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/882801/anycast-and-unicast-services
にも何も書かれていない。
さらにちなみに、Anycast and unicast servicesに載ってるFQDNは一部間違っているので上位にFWなどフィルタがある構成だとブロックされてしまうものがある。

いつものことだけど、NWセキュリティ製品の品質として全く信頼できるレベルではない。

証明書キャッシュのクリア

ipsmonitorとwadリスタートしておいた方がよさそう。

diagnose ips share clear scert_cache
diagnose ips share clear server_cache_0
diagnose ips share clear cert_verify_cache
diagnose test application ipsmonitor 99
diagnose test application wad 99

証明書キャッシュ確認

diagnose ips share pool
diagnose ips share list cert_verify_cache
diagnose ips share list scert_cache
diagnose ips share list server_cache_0

SSL Inspection系のデバッグ

このあたりかな

diagnose debug console timestamp
diagnose ips debug enable ssl
diagnose ips debug enable urlfilter
diagnose debug enable

Cert Probeの送信元コントロールを少しだけ出来そう

と思ったけど、interface-selection-method specifyにしないとvdomとか選べず固定になるので多段vdom構成では意味がない。

config ips global
    config tls-active-probe
        set interface-selection-method <auto|sdwan|specify>
        set interface <intf name>
        set vdom <vdom name>
        set source-ip <source_ipv4>
        set source-ip6 <source_ipv6>
    end
end

WAD Memoly Leak対策 v7.0.x

対策といっても軽減するだけ

config system automation-action
    edit "RestartWAD"
        set action-type cli-script
        set minimum-interval 5
        set script "diag test app wad 99"
        set accprofile "super_admin"
    next
end
config system automation-trigger
    edit "Enters Conserve Mode"
        set event-type low-memory
    next
end
config system automation-stitch
    edit "Restart WAD when Conserve Mode"
        set trigger "Enters Conserve Mode"
            config actions
                edit 1
                    set action "RestartWAD"
                    set required enable
                next
            end
    next
end

WAD Memoly Leak対策 v7.2.4~

なんと問題自体を直すのではなく、wad processをrestartするための機能をわざわざ実装して追加した・・・

memory mode: 閾値がどこにも載っていないが、やばそうだと感じたら再起動するらしい
time mode: 指定時間にgracefull restartするらしい。startとend間の動作についてはこれまた記載が全くどこにも無い

config system global
    set wad-restart-mode time
    set wad-restart-start-time 01:00
    set wad-restart-end-time 04:00
end

config system global
    set wad-restart-mode memory
end

この記事を書いた人 Wrote this article

kmatsunuma

著者記事一覧

関連記事 Related articles

TOP