E aew meu povo, tudo blz?
Já sabem né, correria grande, pouco tempo para escrever :(
Nesse post vou falar sobre uma funcionalidade muito útil, mas pouco conhecida pelos profissionais que trabalham com Fortigate.
O "IP Address Threat Feed" é um conector que faz parte do Security Fabric, ele é um conector do tipo External Connectors.
Explicando da forma mais simples possível, esse conector é configurado para ler um arquivo tipo TXT que possui uma lista de IPs, e essa lista de IP estará associada a esse objeto.
Ex: O departamento de SI te envia uma lista de 5mil IPs, que devem ter todo tráfego com destino aos mesmos, bloqueado.
Imagina ter de criar esses 5mil endereços no teu Fortigate, sem condições né?
Para resolver isso precisamos apenas que esse arquivo esteja em um servidor (FTP, HTTP, etc) e vamos criar o conector para ler esse arquivo e trazer essas entradas para ele.
Conforme a imagem acima, a configuração é bem simples. A URI deve ter o caminho completo até o arquivo, incluindo a extensão do mesmo.
Caso deseje (recomendo), configure autenticação no servidor que está hospedando o arquivo com a lista de IPs, nesse caso habilite a opção "HTTP basic Authentication". No canto direito da imagem, podemos ver o status do conector e o número de entradas que o mesmo possui (5512).
Dessa forma, acabamos de criar um objeto que possui 5512 entradas em menos de 2min. Um ponto importante, é que sempre que surgirem novos IPs, basta adicionar os mesmos ao arquivo. Conforme a imagem, é possível determinar o intervalo que o conector irá consultar o arquivo. No nosso exemplo, a cada 5min, o mesmo lê novamente o arquivo e atualiza as entradas, seja removendo ou adicionando novos IPs. Sobre o arquivo com as entradas, o único critério é que os IPs estejam um por linha.
Quando o conector está configurado corretamente e conseguindo realizar a leitura do arquivo, ele vai apresentar um check verde indicando que a comunicação está ocorrendo com sucesso.
Feito isso, é só usar o objeto criado numa policy conforme sua necessidade.
Até o próximo post galera.
Contato para projetos, serviços e parceiras, click AQUI.
Utilizo rancid aqui para fazer backup e versionamento das mudanças.