Menu Close

FortiSandbox – Tips och trix

Denna post kommer att sammanfatta en del tips och trix vad gäller FortiSandbox konfiguration och design.

High-Availability design

För att få till en bra HA-design (FortiSandbox 3.2.2) där prestanda kan uttnyttjas maximalt från fysiska appliances bör du komplettera din design med två virtuella maskiner som sköter last-delningen mellan dina fysiska maskiner. Detta för att den FortiSandbox som konfigureras till att Primary även skall sköta andra uppgifter och bör därför inte nyttjas 100% till detektering av filer. Dessa FortiSandbox-VMar behöver inte köra några virtuella maskiner för sandboxing utan används enbart för lastbalansering/managering av klustret.

På bilden nedan visas en topologi för att bygga en robust lösning med två fysiska sandboxar tillsammans med två VMar som agerar “lastbalanserare”. Denna lösning kan uttökas med flera workers efter behov med upp till 100 enheter totalt inklusive manageringsnoderna. Denna lösning kan naturligtvis även byggas upp med enbart virtuella sandboxar.

FortiSandbox har fördefinerade funktioner på varje port vilket kan vara bra att känna till. Följande gäller:
Port1: Admin port, används även för kontakt med FortiGuar
Port2: HA
Port3: Hårdkodad port för VMars internetaccess.
Port4: Inkommande anslutningar från tex Fortigate

HA konfiguration

Att konfigurera HA för FortiSandbox är relativt straight-forward när man väl har bekantat sig med CLI’t. Vi börjar med att konfigurera primären.

set port1-ip 192.168.1.99/24
set port2-ip 192.168.2.99/24
set port3-ip 192.168.3.99/24
set port4-ip 192.168.4.99/24
set default-gw 192.168.1.1

hc-settings -sc -tM -nFSA-Primary -cFSA-Cluster -pPassw0rd -iport2 

KommandoFörklaring
set portN-ipSätt ip-adress konfiguration för valt interface
hc-settingsStart för konfiguration av HA-kluster
-scKonfigurera denna FortiSandbox att vara med i ett kluster
-tMKonfigurera denna FortiSandox till Primary (föredetta Master)
-nFSA-PrimaryNamn på enheten,FSA-Primary, i klustret, behöver inte matcha enhetens hostname.
-cFSA-ClusterNamn på klustret, FSA-Cluster
-pPassw0rdLösenord för klustret
-iport2Konfigurera port1 för att användas för klustertrafik
hc-settings -si -iport1 -a192.168.1.98/24
hc-settings -si –iport4 -a192.168.4.98/24
KommandoFöklaring
hc-settingsStart för konfiguration av HA-kluster
-siKonfigurera kluster failover ip
-iport1Interfacet som skall sätta upp failover ip
-a192.168.1.98/24Vilken ip-adress och nätmask ska vi tilldela detta interface.

Ska denna enbart användas som management nod så bör följande konfigureras för att stänga av inspektion:

hc-primary -u

Vi fortsätter sedan med att konfigurera sekundären:

set port1-ip 192.168.1.100/24
set port2-ip 192.168.2.100/24
set port3-ip 192.168.3.100/24
set port4-ip 192.168.4.100/24
set default-gw 192.168.1.1

hc-settings -sc -tP -nFSA-Secondary -cFSA-Cluster -pPassw0rd -iport2 

För att gå med i klustret utför vi följande kommando:

hc-worker -a -s192.168.2.99 -pPassw0rd

När även sekundären är konfigurerad så konfigurerar vi våra workers. Konfigurationen nedan är för den första workern endast. Notera att port4 inte konfigureras här då inga enheter förväntas prata direkt med Worker-noder:

set port1-ip 192.168.1.101/24
set port2-ip 192.168.2.101/24
set port3-ip 192.168.3.101/24
set default-gw 192.168.1.1

hc-settings -sc -tR -nFSA-Worker1 -cFSA-Cluster -pPassw0rd -iport2 

För att verifiera att allt är som det ska kan vi köra följande kommandon:

hc-settings -l
hc-status -l

hc-settings -l bör ge output likt följande:

> hc-settings -l
SN: FSA1KFT123456789
Type: Primary
Name: FSA-Primary
HC-Name: FSA-Cluster
Authentication Code: Passw0rd
Interface: port2

Cluster Interfaces:
        port1: 192.168.1.98/255.255.255.0
        port4: 192.168.4.98/255.255.255.0
Encryption: Disabled

hc-status-kommandot bör ge output likt följande:

> hc-status -l
Status for all units in cluster: FSA-Cluster
--------------------------------------------------------------------------------
SN                   Type            Name                 IP                   Active
FSA1KFT123456789     Primary         FSA-Primary          192.168.1.99        1 second ago
FSA1KFT123456788     Secondary       FSA-Secondary        192.168.1.100       1 second(s) ago

AI Mode

Från admin guiden för 3.2.2 om AI mode:

FortiSandbox rating can be performed by either the standard method or by using artificial
intelligence (AI) mode. In AI mode, the AI engine uses machine learning technology to
analyze the behavior of thousands of known malware. FortiSandbox uses this engine to
inspect file behavior inside a VM to detect indicators of new malware.
AI mode can be toggled in the CLI using the command ai-mode.

Slå på AI-Mode

ai-mode -e

För att bekräfta att AI mode är aktiverat så kan du logga ut och in igen för att då kunna bekräfta det i GUI’t, alternatitv direkt i CLI’t med ai-mode kommandot.

Andra inställningar värda ett se över

För att sandboxen ska fungera enligt önskemål behöver den ha kontakt med FortiGuard. För att verifiera detta så går du in under System>FortiGuard. Tabellen som visas bör se ut på liknande vis:

VM Images

Utvärdera behovet av vilken typ av filer som behöver köras och justera antalet kloner för att få en så effektiv miljö som möjligt. Har du ett högt inflöde av office-filer så se till att ha ett högt antal kloner som har office-mjukvara installerad.

Keys

Keys är direktkopplade till din licens. Registrera licenserna i FortiGuard och ladda sedan ned den uppdaterade licensfilen. Sandboxen kommer att starta om när den nya licensen läggs på.

Scan policy>General

Verifiera att Allow Virtual Machines to access external network through outgoing port3 är aktiverat. Se även till att stänga av SIMNET.

Slå även på URL Callback detection och Reject duplicate file from device.

För att inte spara filer allt för länge och fylla upp disken så bör dessa inställningar justeras. Se till att spara filerna minst 48 timmar för att rapporter och omvärdering av filerna ska kunna ske. Omvärdering av filer sker vid ny informtation från FortiGuard.

Customized rating

Ställ in följande inställningar för customized rating:

Local Packages

Stäng av STIX och justera inställningar till följande:

Pre-Filtering

Stäng av prefiltering. Exempel nedan för att stänga av trustdomain.

sandboxing-prefilter -d -ttrustdomain
> sandboxing-prefilter -l
Status for sandboxing prefilter:
        dll: disabled
        pdf: disabled
        swf: disabled
        js: disabled
        htm: disabled
        url: disabled
        office: disabled
        trustvendor: disabled
        trustdomain: disabled
        archive: disabled

Test-network

Likt överskriften på detta stycke så finns det ett cli-kommando som heter test-network.

Detta kommando kör ett gäng tester och säkerställer att all funktionalitet nödvändig för sandboxens fulla funktionalitet finns på plats. Sträva efter att uppfylla samtliga av dessa krav för att få en så smidig installation som möjligt.