FortiGate:MSS-ALSO
Fortinet:MSS-ALSO
Vorwort
Nachfolgende Artikel stellt Informationen zur Verfügung der Fortinet Produkte betreffend "Produkt-LifeCycle (EOL)". Dies bedeutet: Es zeigt auf welche Produkte sei es Hard- sowie Software End of Life gehen und/oder wielange unter Support stehen.
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
BETA-Test des MSS-ALSO Dienstes.
FAQ
MSS-ALSO Dienst - Grundlagen
Was ist der MSS-ALSO Dienst?
Logdaten sind wichtig. Wenn eine Störung auftaucht sind wir auf so viele Daten wie möglich angewiesen. Das Problem, wohin mit den vielen Daten die eine Firewall generiert. Die FortiGate kleiner 100D besitzen keine interne Disk, auf welche die Logdaten gespeichert werden können. Die Logdaten werden ins Memory gespeichert. Dieser Memory ist von der Kapazität her beschränkt und die Daten sind bei einem reboot sofort verloren. Bei einer Störungssuche wird es dann schwierig den Traffic nachvollziehen zu können und effizient eine Analyse durchzuführen. Somit müssen diese Daten an einen SysLogserver gesendet werden oder an einen FortiAnalyzer. Wir ermöglichen mit diesem Dienst, dass die Logdaten von kleineren FortiGate gesammelt werden und abgerufen werden können. Beim MSS-ALSO Dienst sendet FortiGate die Logs und Eventdaten auf unseren FortiAnalyzer und werden da einen Monat zwischengespeichert und können bequem abgerufen werden. Der Kunde kann sich über ein Portal anmelden und seine eingebundenen FortiGate abrufen. Es ist möglich Report zu generieren, Traffic anzuschauen, gezielt nach Sourcen oder Destinationen Verbindungen zu analysieren usw.
Mit der Option Backup wird noch jede Konfigurationsänderung auf den FortiManager übertragen. Bei einem Ausfall kann jederzeit eine aktuelle Konfigurationsdatei heruntergeladen werden und wieder auf die FortiGate eingelesen werden.
Was sind die Voraussetzungen, damit ich den MSS-ALSO Dienst nutzen kann?
Folgende Voraussetzungen müssen erfüllt sein, damit der MSS-ALSO Dienst genutzt werden kann:
- FortiGate Device mit FortiOS 5.2 oder 5.4. Alle anderen Versionen sind nicht supportet. - FortiGate Modell muss kleiner als eine FortiGate 100D sein. - Auf dem FortiGate Modell muss ein gültiges FortiCare (mind 8x5) aktiv sein.
Wie überprüfe ich ob eine FortiGate registriert ist?
FortiOS 5.2 License Information -> Support Contract -> Registration
FortiOS 5.4 License Information -> Support Contract -> Registration
MSS-ALSO Dienst Anmeldung
Wie melde ich mich für den MSS-ALSO Dienst an?
Damit man sich beim MSS-ALSO Dienst anmelden kann muss folgendes Formular eingereicht werden:
Datei:KDE-001-Anmeldung-MSS.docx
Das ausgefüllte Dokument an die im Dokument angegebene E-Mail Adresse senden.
FortiGate beim MSS-ALSO Dienst einbinden
Wie melde ich eine neue FortiGate für den MSS-ALSO Dienst an?
Um ein neues Gerät beim Dienst anzumelden sind die folgenden Informationen für die Erfassung massgebend:
- ALSO Kundennummer - ALSO Kundenname - Serie Nummer der FortiGate - FortiOS 5.2 oder 5.4 - FortiCare Laufzeit (Enddatum angeben) - Option Backup ja/nein (in der Beta Phase ist der Backup Dienst vorerst nicht verfügbar)
Mit folgendem Formular kann ein neues Device erfasst werden:
Datei:DDE-001-DeviceErfassen-MSS.docx
Das ausgefüllte Dokument kann an die Email Adresse welche im Dokument erwähnt ist zugesendet werden.
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer - Serienummer der FortiGate - Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Wie muss ich die FortiGate für MSS-ALSO Dienst konfigurieren?
Damit der MSS-ALSO Dienst von ALSO genutzt werden kann muss auf der FortiGate ein Konfigurationssetting eingelesen werden.
Bevor Sie die Templates in die Firewall kopieren bitte ein Backup der Konfiguration vornehmen:
FortiGate:MSS-ALSO#Wie_kann_ich_ein_manuell_auf_der_FortiGate_ein_Backup_erstellen_der_aktuellen_Konfiguration_erstellen_.3F
Nachdem das Backup erstellt wurde kann folgendes Template auf die FortiGate über die CLI oder SSH Console eingelesen werden. Mit diesem Template wird der FortiAnalyser Zugriff konfiguriert.
Datei:Alsomss-konftmp-fortigate-faz.txt Template um MSS-ALSO Logdienst auf der FortiGate einzurichten
Alternativ kann auch direkt diese Konfiguration kopiert und eingefügt werden:
# config log fortianalyzer setting # set status enable # set ips-archive enable # set server 185.75.152.10 # set enc-algorithm default # set conn-timeout 10 # set monitor-keepalive-period 5 # set monitor-failure-retry-period 5 # set upload-option realtime # set reliable enable # end # config log fortianalyzer filter # set severity information # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # set dlp-archive enable # end
Diese Konfiguration kann auch im Vorfeld auf der FortiGate eingerichtet werden. Sobald der Dienst auf ALSO Seite auch konfigureirt ist, wird sich die FortiGate mit dem Analyzer verbinden und die Logs werden zum Analyzer gesendet.
Damit der Dienst optimal läuft empfiehlt es sich, folgendes Template auch auf die FortiGate einzulesen. Mit diesem Template wird das Log optimiert. Weitere Details zur Logoptimierung gibt es auch in dem Artikel : FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F
Datei:Fortimss-konftmp-logopt.txt Template um MSS-ALSO Logdienst auf der FortiGate zu optimieren
Wie kann ich ein manuell auf der FortiGate ein Backup erstellen der aktuellen Konfiguration erstellen ?
Backup unter FortiOS 5.2
Ein manuelles Backup einer Fortigate wird über das folgende Menü erstellt:
Datei:Fortinet-117.jpg
Datei:Fortinet-118.jpg
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt. Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt, gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Backup unter FortiOS 5.4
Um das Backup über das Web Mgmt. Interface durchzuführen wähle folgendes:
Dashboard > Backup
NOTE Wenn die Position "Encrypt configuration file" angewählt wird so wird das Backup verschlüsselt. Wird ein Passwort gesetzt und dieses ist bei einem allfälligen "Restore" nicht mehr bekannt, gibt es KEINE Möglichkeit mehr den Restore durchzuführen!
Wie kann ich verhindern das ein Usernamen in den Log's angezeigt wird?
Es ist möglich "usernamen" in den Logs mit einem "anonymous" zu versehen dh. anstelle des Usernamens wird "anonymous" angezeigt. Dazu muss folgendes durchgeführt werden:
# config log setting # set user-anonymize enable # end
Wie lösche ich eine FortiGate aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer - Serienummer der FortiGate - Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.docx
Zugriff MSS-ALSO Dienst
MSS-ALSO Dienst Portal
Auf das Portal kann über folgenden Link zugegriffen werden: https://mss.also.ch
Nach erfolgreicher Anmeldung kommt das Auswahlmenü:
Die ersten drei Positionen sind der direkte Link zu den Anmeldemasken. Sie können direkt von hier auf die entsprechenden Systeme zugreifen:
- mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - mss.also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
NOTE Es muss sich jeweils nocheinmal authentifiziert werden wen ein Link angewählt wird (Log und Backup ohne 2Factor Authentifizierung)
Momentan gibt es Probleme mit den Links. Wenn auf den FortiAnalyzer oder FortiManager eingeloggt werden will, kommt nach der Authentifizierung nur ein blauer oder grüner Bildschirm. Damit die Logs oder Backupdaten doch eingesehen werden können ist folgender Workaround zu benutzen:
Zugriff Log, Backup über getunnelte Verbindung (Workaround)
- tunnel.mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - tunnel.mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - tunnel.mss-also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
Nachdem der Link angewählt wurde, die Sicherheitswarnung mit weiter bestättigen.
Es erscheint eine Tabelle mit den Tunnelinformationen.
Der Local Port gibt den Port an welcher bei der URL im Browser angegeben werden muss. (gelb markiert) Im Browser kann jetzt https://localhost:<LOCAL_PORT> in unserem Beispiel https://localhost:11443 eingegeben werden
Wenn alles funktioniert hat, erscheint die Loggingmaske des FortiAnalyzer, FortiManager oder FortiAuthentikator:
NOTE:Falls eine zu alte Java Version benutzt wird, funktioniert der Tunnel nicht. Es erscheint folgende Fehlermeldung: Wen diese erscheint, muss zuerst ein update der Java Komponente vorgenommen werden
Verbindung über den FortiClient (Tunnelmodus)
Es kann auch die Verbindung über den FortiClient hergestellt werden. Den FortiClient kann hier bezogen werden:
Datei:X86-ManualDistribution-5.4.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.1
Folgendes muss beim Client konfiguriert werden:
Datei:1807.jpg Datei:1806.jpg
Folgendermassen kann der FortiAnalyzer, FortiManager und FortiAuthentikator erreicht werden:
- also-mss-fortinet-fmg.mss-also.ch : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - also-mss-fortinet-faz.mss-also.ch : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - also-mss-fortinet-fac.mss-also.ch : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
LOG
Adom
Es existieren zwei Adoms. Jeweils eine für die Devices mit der FortiOS Version 5.2.x und eine für die Devices mit der FortiOS 5.4.x Die Adoms sind mit dem Syntax <Kundennummer>-52 und <Kundennummer>-54 hinterlegt.
Die entsrpechenden Adoms können durch anklicken eingesehen werden. Es erscheint eine Liste mit den erfassten Devices.