FortiGate:MSS-ALSO: Unterschied zwischen den Versionen
Zeile 28: | Zeile 28: | ||
== MSS-ALSO Dienst - Grundlagen == | == MSS-ALSO Dienst - Grundlagen == | ||
=== Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann? === | === Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann? === | ||
Version vom 28. Oktober 2016, 10:13 Uhr
Fortinet:MSS-ALSO
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
BETA-Test des MSS-ALSO Dienstes.
FAQ
MSS-ALSO Dienst - Grundlagen
Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann?
Folgende Voraussetzungen müssen erfüllt sein, damit der MSS-ALSO Dienst genutzt werden kann:
- FortiGate Device mit FortiOS 5.2 oder 5.4. Alle anderen Versionen sind nicht supportet. - FortiGate Modell muss kleiner als eine FortiGate 100D sein. - Auf dem FortiGate Modell muss ein gültiges FortiCare (mind 8x5) aktiv sein.
Wie überprüfe ich ob eine FortiGate registriert ist?
FortiOS 5.2 License Information -> Support Contract -> Registration
FortiOS 5.4 License Information -> Support Contract -> Registration
MSS-ALSO Dienst Anmeldung
Wie melde ich mich für den MSS-ALSO Dienst an?
Damit man sich beim MSS-ALSO Dienst anmelden kann muss folgendes Formular eingereicht werden:
Datei:KDE-001-Anmeldung-MSS.docx
Das ausgefüllte Dokument an die im Dokument angegebene E-Mail Adresse senden.
FortiGate beim MSS-ALSO Dienst einbinden
Wie melde ich eine neue FortiGate für den MSS-ALSO Dienst an?
Um ein neues Gerät beim Dienst anzumelden sind die folgenden Informationen für die Erfassung massgebend:
- ALSO Kundennummer - ALSO Kundenname - Serie Nummer der FortiGate - FortiOS 5.2 oder 5.4 - FortiCare Laufzeit (Enddatum angeben) - Option Backup ja/nein (in der Beta Phase ist der Backup Dienst vorerst nicht verfügbar)
Mit folgendem Formular kann ein neues Device erfasst werden:
Datei:DDE-001-DeviceErfassen-MSS.docx
Das ausgefüllte Dokument kann an die Email Adresse welche im Dokument erwähnt ist zugesendet werden.
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer - Serienummer der FortiGate - Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Wie muss ich die FortiGate für MSS-ALSO Dienst konfigurieren?
Damit der MSS-ALSO Dienst von ALSO genutzt werden kann muss auf der FortiGate ein Konfigurationssetting eingelesen werden.
Bevor Sie die Templates in die Firewall kopieren bitte ein Backup der Konfiguration vornehmen:
FortiGate:MSS-ALSO#Wie_kann_ich_ein_manuell_auf_der_FortiGate_ein_Backup_erstellen_der_aktuellen_Konfiguration_erstellen_.3F
Nachdem das Backup erstellt wurde kann folgendes Template auf die FortiGate über die CLI oder SSH Console eingelesen werden. Mit diesem Template wird der FortiAnalyser Zugriff konfiguriert.
Datei:Alsomss-konftmp-fortigate-faz.txt Template um MSS-ALSO Logdienst auf der FortiGate einzurichten
Alternativ kann auch direkt diese Konfiguration kopiert und eingefügt werden:
# config log fortianalyzer setting # set status enable # set ips-archive enable # set server 185.75.152.10 # set enc-algorithm default # set conn-timeout 10 # set monitor-keepalive-period 5 # set monitor-failure-retry-period 5 # set upload-option realtime # set reliable enable # end # config log fortianalyzer filter # set severity information # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # set dlp-archive enable # end
Diese Konfiguration kann auch im Vorfeld auf der FortiGate eingerichtet werden. Sobald der Dienst auf ALSO Seite auch konfigureirt ist, wird sich die FortiGate mit dem Analyzer verbinden und die Logs werden zum Analyzer gesendet.
Damit der Dienst optimal läuft empfiehlt es sich, folgendes Template auch auf die FortiGate einzulesen. Mit diesem Template wird das Log optimiert. Weitere Details zur Logoptimierung gibt es auch in dem Artikel : FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F
Datei:Fortimss-konftmp-logopt.txt Template um MSS-ALSO Logdienst auf der FortiGate zu optimieren
Wie kann ich ein manuell auf der FortiGate ein Backup erstellen der aktuellen Konfiguration erstellen ?
Backup unter FortiOS 5.2
Ein manuelles Backup einer Fortigate wird über das folgende Menü erstellt:
Datei:Fortinet-117.jpg
Datei:Fortinet-118.jpg
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt. Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt, gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Backup unter FortiOS 5.4
Um das Backup über das Web Mgmt. Interface durchzuführen wähle folgendes:
Dashboard > Backup
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt. Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt, gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Wie kann ich verhindern das ein Usernamen in den Log's angezeigt wird?
Es ist möglich "usernamen" in den Logs mit einem "anonymous" zu versehen dh. anstelle des Usernamens wird "anonymous" angezeigt. Dazu muss folgendes durchgeführt werden:
# config log setting # set user-anonymize enable # end
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer - Serienummer der FortiGate - Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Zugriff MSS-ALSO Dienst
MSS-ALSO Dienst Portal
Auf das Portal kann über folgenden Link zugegriffen werden: https://mss.also.ch
Nach erfolgreicher Anmeldung kommt das Auswahlmenü:
Die ersten drei Positionen sind der direkte Link zu den Anmeldemasken. Sie können direkt von hier auf die entsprechenden Systeme zugreifen:
- mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - mss.also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
NOTE Es muss sich jeweils nocheinmal authentifiziert werden wen ein Link angewählt wird (Log und Backup ohne 2Factor Authentifizierung)
Momentan gibt es Probleme mit den Links. Wenn auf den FortiAnalyzer oder FortiManager eingeloggt werden will, kommt nach der Authentifizierung nur ein blauer oder grüner Bildschirm. Damit die Logs oder Backupdaten doch eingesehen werden können ist folgender Workaround zu benutzen:
Zugriff Log, Backup über getunnelte Verbindung (Workaround)
- tunnel.mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - tunnel.mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - tunnel.mss-also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
Nachdem der Link angewählt wurde, die Sicherheitswarnung mit weiter bestättigen.
Es erscheint eine Tabelle mit den Tunnelinformationen.
Der Local Port gibt den Port an welcher bei der URL im Browser angegeben werden muss. (gelb markiert) Im Browser kann jetzt https://localhost:<LOCAL_PORT> in unserem Beispiel https://localhost:11443 eingegeben werden
Wenn alles funktioniert hat, erscheint die Loggingmaske des FortiAnalyzer, FortiManager oder FortiAuthentikator:
NOTE:Falls eine zu alte Java Version benutzt wird, funktioniert der Tunnel nicht. Es erscheint folgende Fehlermeldung: Wen diese erscheint, muss zuerst ein update der Java Komponente vorgenommen werden
Verbindung über den FortiClient (Tunnelmodus)
Es kann auch die Verbindung über den FortiClient hergestellt werden. Den FortiClient kann hier bezogen werden:
Datei:X86-ManualDistribution-5.4.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.1
Folgendes muss beim Client konfiguriert werden:
Datei:1807.jpg Datei:1806.jpg
Folgendermassen kann der FortiAnalyzer, FortiManager und FortiAuthentikator erreicht werden:
- also-mss-fortinet-fmg.mss-also.ch : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - also-mss-fortinet-faz.mss-also.ch : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - also-mss-fortinet-fac.mss-also.ch : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
LOG
Adom
Es existieren zwei Adoms. Jeweils eine für die Devices mit der FortiOS Version 5.2.x und eine für die Devices mit der FortiOS 5.4.x Die Adoms sind mit dem Syntax <Kundennummer>-52 und <Kundennummer>-54 hinterlegt.
Die entsrpechenden Adoms können durch anklicken eingesehen werden. Es erscheint eine Liste mit den erfassten Devices.