Fortigate Manuel IPS DB Upgrade

Hocam Selam…!

Bu yazımda sizlere Fortigate 7.2 sürümlü ürünlerinde manuel IPS, AV ve Internet Service Database gibi UTM linsans isteyen ürünlerin manuel olarak nasıl güncelleyebilieceğinizi anlatmaya çalışacağım.

1- Utm Lisans Expire olmuş Fortigate Firewall
1- Utm Lisans Expire olmuş Fortigate Firewall


Öncelikle bu durum çok önerilen bir işlem olmasa da bazen zorunda kalabilirsiniz. Bu işlemi yaprak FortiTAC ekiplerine case açmanız mantıklı olmayacaktır 😀
Örnek olarak Firewall cihazınızın UTM lisansının bittiğini ve yenileyemediğinizi düşünebilirsiniz. Fakat IPS nimetlerinden yararlanmak ve sistemleri en azından güncel ataklara karşı önlem alabilmek için devreye almanız gerekebilir.

**Bu konu hemen komutlara geçmeden önce bunun biraz da olsa expert tecrübe gerektiğini düşünüyorum. İşlem sırasında bir problem olduğunda hızlı aksiyon almanız gerekecektir. Bu işlem yapılırken Fortigate önce IPS database silecek sonra da tekrar sizin manuel indirdiğiniz dosyanızı yükleyecektir. Bu durumunda kendine ait riskleri olabilir, TFTP gönderilirken arada dosya bozulabilir ya da firewall da problem oluşabilir. Önlem olarak konfigürasyon backup alınması ve yanınızda USB ya da TFTP ile  bir imaj dosyasını gönderebileceğiniz yöntemleri söylemem gerekir. En kötü ihtimal flash install ile cihazı ayağa kaldırıp backup  dosyası ile tekrar ayağa dikebilirsiniz.

Fortigate Firewallarda Linsasınız 5.x-6.x gibi versiyonlarda manuel upgrade işlemini web browser üzerinden yapılırdı.

2- 6.x sürümlerde IPS Upgrade
2- 6.x sürümlerde IPS Upgrade

Son gelen versiyonlar ile artık bu durumun olmadığı görülmektedir. Benim karşıma 7.2.3 versiyonunda çıkmıştı.

3-7.x sürümlerinde IPS Upgrade
3-7.x sürümlerinde IPS Upgrade

Benim neden bu yönteme ihtiyaç duyduğuma gelceksek çok lokasyonlu bir otamda ve firmware ve lisansı unutulmuştu. Firewall versiyon upgrade sonrası web üzerinden manuel IPS güncelleyemeciğimide bu durumunda gördüm 😀 , UTM lisans olmadan izin verilmiyor. Eski yöntemlerden CLI ile komut satırından yapılabilirliği hala olduğunu görünce devreye alabilirim kısmına baktım. O sırada çok fazla zero-day için zaafiyet ve IPS imzaları çıktığından güncellemekte zorunda kaldığımı belirtmek isterim.

Manuel IPS Güncelleme Nasıl Yapılır?

İlk olarak Forti hesabınıza girerek başlıyoruz. Sonrasında Support ve Service Update seçeneği ile ilerliyoruz

4-FortiCare Hesap ekranı
4-FortiCare Hesap ekranı

İlgii Forti ürününüz hangi versiyonda ise bunu seçebiliyorsunuz. Bu arada 7.4 gelidiği görülüyor 😀

5-Fortigate Version Seçimi
5-Fortigate Version Seçimi

Burada istediğiniz güncelleme dosyasını indirebilirsiniz, ben örnek olarak IPS dosyasını indiriyorum. Attack Defination IPS tarafını günceller. Virüs Defination AV tarafı gibi.

6-UTM Modul paketinin seçimi
6-UTM Modul paketinin seçimi

İndirdiğimiz dosyayı herhangi bir TFTP Server uygulaması ile paylaşıma açıyoruz, ben solarwinds tftp kullanıyorum. Dipnot: Windows güvenlik duvarları ayarlarınızı geçici kaptmanız gerekecektir, yoksa dosya transferi yapamazsınız.

7-TFTP server ayarları
7-TFTP server ayarları


—Sonrası artık Firewall ssh ile bağlanıp gerekli komutları yazmamız gerekecektir. Paylaştığınız dosyayı bilgisayarınızın IP sini yazarak restore işlemini başlatabilirsiniz.

#execute restore ips tftp nids_OS7.2.0_23.00517.NIDS.pkg 172.16.10.xx

—Sonrasında aşağıdaki gibi Uyarı çıkmaktadır evet diyerek devam ediyoruz.

This operation will overwrite the current IPS package!

Do you want to continue? (y/n) Y
Please wait…
Connect to tftp server 172.16.10.xx

Get IPS database from tftp server OK.

İşlem bittiğinde OK dedikten sonra IPS database tarihine bakarak ve IPS imza sayısının artışını görüyoruz.

8-IPS Güncellemesi Tamamlanma Kontrolü
8-IPS Güncellemesi Tamamlanma Kontrolü

Artık güncel IPS lerden faydalanmış olabiliyoruz. Yinede lisansını zamanında yenileme ve almayı unutmayalım derim, ama olurda böyle bir durumda çözümsüz kalmamanız için ek bir yol olarak aklımızda kalabilir.

Buraya kadar okuyan herkese teşekkürler
Herkese kesintisiz günler dilerim..