08.02.2016

FortiSandbox Fortinet [ basic install / configure ] [part1.0]

Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.
Часть 1.0

Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)

Установка и настройка Fortisandbox:

Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен -  Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:

[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"


Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)




После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1

Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)




Бутаемся, после чего произойдет активация.
После успешной активации, нужно загрузить образы виртуальных машин(через ту же форму, где получили цицензии), которые будут выступать тестовым полигоном для малвари.
Загружаем архив с образами на fortisandbox:

я выбрал способ загрузки через scp. Положил архив на linux машину, и стянул с нее архив командой из консоли fortisandbox: fw-upgrade -v -s192.168.1.16 -uroot - p123456
-f/root/2015022314_vm.pkg.7z
Загрузится образ, распакуется автоматом. Нужно будет перезагрузить для их установки установки.

Когда установка пройдет успешно, нужно будет пройти активацию windows (виртуальных машин). Для связи с миром и серверами активации, используется интерфейс "port3", который мы не настроили.
Что бы не потерять управление, я прописал 1 статический маршрут на менедж ифейс, а дефолт роут через port3:


Примечание, интерфейсы port1 и port3 должны быть в разных подсетях. Состояние моих интерфейсов:


Для теста работы, я создал NFS шару, куда положил семплы вредоносных файлов:
(семплы для теста)
http://www.tekdefense.com/downloads/malware-samples/

сетап шары:
#apt-get install nfs-kernel-server nfs-common portmap
#nano /etc/exports
/malware 192.168.1.1/24(rw,no_root_squash,async)

#/etc/init.d/nfs-kernel-server restart
#exportfs -a

Добавил шару и запустил незамедлительный скан файлов в папке по маске *.* :


После чего, получил отчет о сканировании:


Базовая настройка закончена. 
В дальнейшем планируется: интеграция с Fortigate, FortiMail. А так же проверка отработки движка с FUD вренодосом.