FortiGate:MSS-ALSO: Unterschied zwischen den Versionen
| Zeile 27: | Zeile 27: | ||
== FAQ == | == FAQ == | ||
== | == Um was handelt es sich beim MSS-ALSO Dienst? == | ||
In der heutigen Zeit sind Logdaten unabdinglich dh. sei es Sicherheitsgründen, Troubleshooting oder aus Analysezwecken. Im FortiGate Bereich benützen kleinere Devices (Kleiner FG-100D) in den meisten Fällen einen Flash Storage. Diese Flash Storage sind nicht geeignet um Log Dateien zu schreiben und deshalb hat Fortinet ab FortiOS 5.2 die Möglichkeit des Loggen auf diesen FortiGate Devices entfernt. Somit kann auf diesen FortiGate Devices nur in Memory geloggt werden oder Remote. Wird im Memory Geloggt, werden 10% des Memory benutzt für das Logging was wiederum Folgendes bedeutet: Bei einem Full-Logging auf einer zB FG-60D fallen ca. pro Tag 35 - 55 MB an. Da 10% für das Logging zur Verfügung stehen bedeutet dies eine History von ca. 4 - 5 Tage. Danach wird die vorhandene History gelöscht und steht somit nicht mehr zur Verfügung. Unter FortiOS 5.4 wurde dieser Umstand in dem Sinne entschärft, dass spezifischen FortiGate "E" Devices ein SSD Disk zur Verfügung steht für das Logging wie zB FG-61E. Somit kann zwar auf diesen Devices ein Logging auf Disk aktiviert werden jedoch ein Reporting steht nicht zur Verfügung (Ausnahme FortiGate 80/90 Serie). Durch den "MSS-ALSO" Service wird somit Ermöglicht die Logdaten von kleineren FortiGate Devices auf einem FortiAnalyzer in "realtime" zu speichern und über die üblichen Funktionen im FortiAnalyzer zu Analysieren. Die benutze Bandbreite zB bei einer FG-60D von ca. 35 - 55 MB Pro Tag ist unerheblich und Belastet weder den eingebundenen FortiGate Device noch die Bandbreite der benützten ISP Linie. Ebenso spielt ein Ausfall der ISP Linie keine Rolle da in so einem Fall die Logs auf dem FortiGate Device zwischengespeichert werden und nachträlich dem FortiAnalzer übermittelt werden sobald dieser wieder erreichbar ist. Auch dynamische public IPv4 Adressen die auf den FortiGate Devices für zB PPPoE benützt werden stellen kein Problem dar. Für den "MSS-ALSO" Logging Service wird kein Username und Passwort für den FortiGate Device benötigt noch wird eine Verbindung vom FortiAnalyzer zum FortiGate Device aufgebaut. Für den Logging Dienst "MSS-ALSO" steht dem Kunden ein vollständige separate ADOM (Administrative Domain) zur Verfügung ohne Restriktionen dh. es können eigenen Reports erstellt werden, automatische Zustellung von Reports usw. Zusätzlich zum "MSS-ALSO" Logging Dienst kann der "MSS-ALSO" Backup Dienst abonniert werden. Dies bedeutet: Automatisierte Backups für FortiGate Devices sind zwar manuell möglich jedoch steht diese Funktion nicht als Backup auf einem FortiOS 5.0/5.2 zur Verfügung. Im "MSS-ALSO" Backup Dienst wird anhand eines zusätzlichen Administrators der FortiGate Device auf einer ADOM im Backup Modus eingebunden. Durch diese Konfiguration wird jede Veränderung auf dem FortiGate Device in "realtime" zum FortiManager gesendet und als Revision abgespeichert. Somit kann im Fall eines Ausfalles diese Information wiederverwendet werden um den FortiGate Device Wiederherzustellen oder im Fall einer Fehlkonfiguration über die Revision ein Roll-Back zu initieren. Dabei wird im Gegensatz zu einer auf dem FortiGate Device zur Verfügung stehender Revision nicht nur diese im Gesamten angezeigt sondern die Unterschiede zB was verändert wurde. | |||
== Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann? == | == Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann? == | ||
Version vom 28. Oktober 2016, 10:39 Uhr
Fortinet:MSS-ALSO
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
BETA-Test des MSS-ALSO Dienstes.
FAQ
Um was handelt es sich beim MSS-ALSO Dienst?
In der heutigen Zeit sind Logdaten unabdinglich dh. sei es Sicherheitsgründen, Troubleshooting oder aus Analysezwecken. Im FortiGate Bereich benützen kleinere Devices (Kleiner FG-100D) in den meisten Fällen einen Flash Storage. Diese Flash Storage sind nicht geeignet um Log Dateien zu schreiben und deshalb hat Fortinet ab FortiOS 5.2 die Möglichkeit des Loggen auf diesen FortiGate Devices entfernt. Somit kann auf diesen FortiGate Devices nur in Memory geloggt werden oder Remote. Wird im Memory Geloggt, werden 10% des Memory benutzt für das Logging was wiederum Folgendes bedeutet: Bei einem Full-Logging auf einer zB FG-60D fallen ca. pro Tag 35 - 55 MB an. Da 10% für das Logging zur Verfügung stehen bedeutet dies eine History von ca. 4 - 5 Tage. Danach wird die vorhandene History gelöscht und steht somit nicht mehr zur Verfügung. Unter FortiOS 5.4 wurde dieser Umstand in dem Sinne entschärft, dass spezifischen FortiGate "E" Devices ein SSD Disk zur Verfügung steht für das Logging wie zB FG-61E. Somit kann zwar auf diesen Devices ein Logging auf Disk aktiviert werden jedoch ein Reporting steht nicht zur Verfügung (Ausnahme FortiGate 80/90 Serie). Durch den "MSS-ALSO" Service wird somit Ermöglicht die Logdaten von kleineren FortiGate Devices auf einem FortiAnalyzer in "realtime" zu speichern und über die üblichen Funktionen im FortiAnalyzer zu Analysieren. Die benutze Bandbreite zB bei einer FG-60D von ca. 35 - 55 MB Pro Tag ist unerheblich und Belastet weder den eingebundenen FortiGate Device noch die Bandbreite der benützten ISP Linie. Ebenso spielt ein Ausfall der ISP Linie keine Rolle da in so einem Fall die Logs auf dem FortiGate Device zwischengespeichert werden und nachträlich dem FortiAnalzer übermittelt werden sobald dieser wieder erreichbar ist. Auch dynamische public IPv4 Adressen die auf den FortiGate Devices für zB PPPoE benützt werden stellen kein Problem dar. Für den "MSS-ALSO" Logging Service wird kein Username und Passwort für den FortiGate Device benötigt noch wird eine Verbindung vom FortiAnalyzer zum FortiGate Device aufgebaut. Für den Logging Dienst "MSS-ALSO" steht dem Kunden ein vollständige separate ADOM (Administrative Domain) zur Verfügung ohne Restriktionen dh. es können eigenen Reports erstellt werden, automatische Zustellung von Reports usw. Zusätzlich zum "MSS-ALSO" Logging Dienst kann der "MSS-ALSO" Backup Dienst abonniert werden. Dies bedeutet: Automatisierte Backups für FortiGate Devices sind zwar manuell möglich jedoch steht diese Funktion nicht als Backup auf einem FortiOS 5.0/5.2 zur Verfügung. Im "MSS-ALSO" Backup Dienst wird anhand eines zusätzlichen Administrators der FortiGate Device auf einer ADOM im Backup Modus eingebunden. Durch diese Konfiguration wird jede Veränderung auf dem FortiGate Device in "realtime" zum FortiManager gesendet und als Revision abgespeichert. Somit kann im Fall eines Ausfalles diese Information wiederverwendet werden um den FortiGate Device Wiederherzustellen oder im Fall einer Fehlkonfiguration über die Revision ein Roll-Back zu initieren. Dabei wird im Gegensatz zu einer auf dem FortiGate Device zur Verfügung stehender Revision nicht nur diese im Gesamten angezeigt sondern die Unterschiede zB was verändert wurde.
Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann?
Folgende Voraussetzungen müssen erfüllt sein, damit der MSS-ALSO Dienst genutzt werden kann:
- FortiGate Device mit FortiOS 5.2 oder 5.4. Alle anderen Versionen sind nicht supportet.
- FortiGate Modell muss kleiner als eine FortiGate 100D sein.
- Auf dem FortiGate Modell muss ein gültiges FortiCare (mind 8x5) aktiv sein.
Wie überprüfe ich ob eine FortiGate registriert ist?
FortiOS 5.2
License Information -> Support Contract -> Registration
FortiOS 5.4
License Information -> Support Contract -> Registration
MSS-ALSO Dienst Anmeldung
Wie melde ich mich für den MSS-ALSO Dienst an?
Damit man sich beim MSS-ALSO Dienst anmelden kann muss folgendes Formular eingereicht werden:
Datei:KDE-001-Anmeldung-MSS.docx
Das ausgefüllte Dokument an die im Dokument angegebene E-Mail Adresse senden.
FortiGate beim MSS-ALSO Dienst einbinden
Wie melde ich eine neue FortiGate für den MSS-ALSO Dienst an?
Um ein neues Gerät beim Dienst anzumelden sind die folgenden Informationen für die Erfassung massgebend:
- ALSO Kundennummer
- ALSO Kundenname
- Serie Nummer der FortiGate
- FortiOS 5.2 oder 5.4
- FortiCare Laufzeit (Enddatum angeben)
- Option Backup ja/nein (in der Beta Phase ist der Backup Dienst vorerst nicht verfügbar)
Mit folgendem Formular kann ein neues Device erfasst werden:
Datei:DDE-001-DeviceErfassen-MSS.docx
Das ausgefüllte Dokument kann an die Email Adresse welche im Dokument erwähnt ist zugesendet werden.
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer
- Serienummer der FortiGate
- Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Wie muss ich die FortiGate für MSS-ALSO Dienst konfigurieren?
Damit der MSS-ALSO Dienst von ALSO genutzt werden kann muss auf der FortiGate ein Konfigurationssetting eingelesen werden.
Bevor Sie die Templates in die Firewall kopieren bitte ein Backup der Konfiguration vornehmen:
FortiGate:MSS-ALSO#Wie_kann_ich_ein_manuell_auf_der_FortiGate_ein_Backup_erstellen_der_aktuellen_Konfiguration_erstellen_.3F
Nachdem das Backup erstellt wurde kann folgendes Template auf die FortiGate über die CLI oder SSH Console eingelesen werden. Mit diesem Template wird der FortiAnalyser Zugriff konfiguriert.
Datei:Alsomss-konftmp-fortigate-faz.txt Template um MSS-ALSO Logdienst auf der FortiGate einzurichten
Alternativ kann auch direkt diese Konfiguration kopiert und eingefügt werden:
# config log fortianalyzer setting
# set status enable
# set ips-archive enable
# set server 185.75.152.10
# set enc-algorithm default
# set conn-timeout 10
# set monitor-keepalive-period 5
# set monitor-failure-retry-period 5
# set upload-option realtime
# set reliable enable
# end
# config log fortianalyzer filter
# set severity information
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# set dlp-archive enable
# end
Diese Konfiguration kann auch im Vorfeld auf der FortiGate eingerichtet werden. Sobald der Dienst auf ALSO Seite auch konfigureirt ist, wird sich die FortiGate mit dem Analyzer verbinden und die Logs werden zum Analyzer gesendet.
Damit der Dienst optimal läuft empfiehlt es sich, folgendes Template auch auf die FortiGate einzulesen. Mit diesem Template wird das Log optimiert. Weitere Details zur Logoptimierung gibt es auch in dem Artikel : FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F
Datei:Fortimss-konftmp-logopt.txt Template um MSS-ALSO Logdienst auf der FortiGate zu optimieren
Wie kann ich ein manuell auf der FortiGate ein Backup erstellen der aktuellen Konfiguration erstellen ?
Backup unter FortiOS 5.2
Ein manuelles Backup einer Fortigate wird über das folgende Menü erstellt:
Datei:Fortinet-117.jpg
Datei:Fortinet-118.jpg
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt.
Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt,
gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Backup unter FortiOS 5.4
Um das Backup über das Web Mgmt. Interface durchzuführen wähle folgendes:
Dashboard > Backup
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt.
Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt,
gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Wie kann ich verhindern das ein Usernamen in den Log's angezeigt wird?
Es ist möglich "usernamen" in den Logs mit einem "anonymous" zu versehen dh. anstelle des Usernamens wird "anonymous" angezeigt. Dazu muss folgendes durchgeführt werden:
# config log setting
# set user-anonymize enable
# end
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer
- Serienummer der FortiGate
- Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Zugriff MSS-ALSO Dienst
MSS-ALSO Dienst Portal
Auf das Portal kann über folgenden Link zugegriffen werden: https://mss.also.ch
Nach erfolgreicher Anmeldung kommt das Auswahlmenü:
Die ersten drei Positionen sind der direkte Link zu den Anmeldemasken. Sie können direkt von hier auf die entsprechenden Systeme zugreifen:
- mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles
der eingebundenen FortiGates geladen werden können.
- mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs,
welche von den FortiGates gesendet werden, eingesehen werden.
Es können Reports generiert werden.
- mss.also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
Benutzerdaten editiert werden.
NOTE Es muss sich jeweils nocheinmal authentifiziert werden wen ein Link angewählt wird
(Log und Backup ohne 2Factor Authentifizierung)
Momentan gibt es Probleme mit den Links. Wenn auf den FortiAnalyzer oder FortiManager eingeloggt werden will, kommt nach der Authentifizierung nur ein blauer oder grüner Bildschirm. Damit die Logs oder Backupdaten doch eingesehen werden können ist folgender Workaround zu benutzen:
Zugriff Log, Backup über getunnelte Verbindung (Workaround)
- tunnel.mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles
der eingebundenen FortiGates geladen werden können.
- tunnel.mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs,
welche von den FortiGates gesendet werden, eingesehen werden.
Es können Reports generiert werden.
- tunnel.mss-also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
Benutzerdaten editiert werden.
Nachdem der Link angewählt wurde, die Sicherheitswarnung mit weiter bestättigen.
Es erscheint eine Tabelle mit den Tunnelinformationen.
Der Local Port gibt den Port an welcher bei der URL im Browser angegeben werden muss. (gelb markiert) Im Browser kann jetzt https://localhost:<LOCAL_PORT> in unserem Beispiel https://localhost:11443 eingegeben werden
Wenn alles funktioniert hat, erscheint die Loggingmaske des FortiAnalyzer, FortiManager oder FortiAuthentikator:
NOTE:Falls eine zu alte Java Version benutzt wird, funktioniert der Tunnel nicht. Es erscheint folgende Fehlermeldung:
Wen diese erscheint, muss zuerst ein update der Java Komponente vorgenommen werden
Verbindung über den FortiClient (Tunnelmodus)
Es kann auch die Verbindung über den FortiClient hergestellt werden. Den FortiClient kann hier bezogen werden:
Datei:X86-ManualDistribution-5.4.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.1
Folgendes muss beim Client konfiguriert werden:
Datei:1807.jpg Datei:1806.jpg
Folgendermassen kann der FortiAnalyzer, FortiManager und FortiAuthentikator erreicht werden:
- also-mss-fortinet-fmg.mss-also.ch : Zugriff auf den FortiMangar in welchem die Backupfiles
der eingebundenen FortiGates geladen werden können.
- also-mss-fortinet-faz.mss-also.ch : Zugriff auf den FortiAnalyzer. Hier können die Logs,
welche von den FortiGates gesendet werden, eingesehen werden.
Es können Reports generiert werden.
- also-mss-fortinet-fac.mss-also.ch : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
Benutzerdaten editiert werden.
LOG
Adom
Es existieren zwei Adoms. Jeweils eine für die Devices mit der FortiOS Version 5.2.x und eine für die Devices mit der FortiOS 5.4.x Die Adoms sind mit dem Syntax <Kundennummer>-52 und <Kundennummer>-54 hinterlegt.
Die entsrpechenden Adoms können durch anklicken eingesehen werden. Es erscheint eine Liste mit den erfassten Devices.