Fortinet:FortiCare-FortiGuard
Fortinet:Fortinet:FortiCare-FortiGuard
Vorwort
Dieser Artikel enthält Informationen und Dokumente im Zusammenhang mit dem RMA Service/Support von Fortinet. Es zeigt Schritt für Schritt wie ein Gerät ausgetauscht wird und welche Vorraussetzungen für diesen Austausch gelten!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Documentation
Wo findet ich die Dokumente die zeigen wie ich im Partner/Support Portal verschiedenen Aktionen durchführe?
Fortinet stellt für die verschiedenen auszuführenden Aktionen wie zB License Registration, Support Contracts etc. Dokumente zur Verfügung die zeigen wie dies durchgeführt wird:
Account Management
Datei:Account Management Create A Support Account.pdf Create a support account
Datei:Account Management Create and Edit a Sub account.pdf Create and edit a sub account
Datei:Account Management Recover A Lost Account ID and Password.pdf Recover a lost account ID and password
Datei:Account Management View and Edit a Support Account.pdf View and edit a support account
Asset Management
Datei:Asset Management How to Register a New Product.pdf How to register a new product
Datei:Asset Management Modules and Chassis Registration.pdf Modules and chassis registration
Datei:Asset Management Add or Renew a Support Contract.pdf Add or renew a support contract
Datei:Asset Management Virtual Machine VM License Registration.pdf Virtual machine (VM) license registration
Datei:Asset Management LENC License Registration.pdf LENC license registration
Datei:Asset Management Online Renewal for US Customer.pdf Online renewal for US customers (USA/Canada only)
Datei:Asset Management Register a Product after an RMA.pdf Register a product after an RMA
Datei:Asset Management VDOM License Registration.pdf VDOM license registration
Datei:Asset Management Premium Support Service Registration.pdf Premium support service registration
Datei:Asset Management Update Product Description and Partner Info.pdf Update product description and partner info
Datei:Asset Management Update the Product Location Address.pdf Update the product location address
Datei:Asset Management Generating reports from the Support Portal.pdf Generating reports from the support portal
Datei:Asset Management View the details of a Product and Service Entitlement.pdf View the details of a product and service entitlement
Assistance Center
Datei:TicketCreationGuide.pdf Ticket creation guide
Datei:Assistance Center View and Update an Active Ticket.pdf View and update an active ticket
Datei:Assistance Center Web Chat Assistance.pdf Web chat assistance
Datei:Assistance Center Fortiguard Service Request.pdf FortiGuard service request
Datei:Assistance Center Run Reports on Your Tickets.pdf Run reports on your tickets
Download Center
Datei:Download Center Firmware Images Download.pdf Firmware images download
Datei:Download Center FortiGuard Service Updates.pdf FortiGuard service updates
Datei:Download Center HQIP Images Download.pdf HQIP image downloads
Datei:Download Center Verify the Checksum of a Firmware Image.pdf Verify the checksum of a firmware image
Diese Dokumente sind ebenfalls über die Knowledge Base zugänglich:
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32312
FortiCare/FortiGuard
Was ist der Unterschied zwischen FortiCare/FortiGuard und 8 X 5 oder 24 X 7?
FortiCare ist Grundsätzlich der Service/Subscription für die Deckung der Hardware (Austausch bei Defekt, Firmware Upgrade etc.). FortiGuard ist der Service/Subscription für die UTM Services selber wie Antivirus, IPS, Application Control, WebFilter etc. Nachfolgende Tabelle gibt eine Kurzübersicht über Deckung und Unterschied zwischen 8 X 5 und 24 X 7 im Zusammenhang mit FortiCare/FortiGuards sowie den Bundle's die durch Fortinet angeboten werden:
Datei:Licensing Fortinet Services.pdf
Auf der zweiten Seite des vorhergehenden Dokuments wird erklärt wie sich die Services verhalten, wenn diese zu bestimmten Zeitpunkten registriert werden! Gleichzeitig für zB Endkunden steht folgende FortiCare Brochure zur Verfügung die den Service und die allgemeinen Möglichkeiten umschreibt:
Datei:FortiCareServicesBrochure.pdf Datei:FortiCareOverviewSales.pdf
Datei:Renewal-Guide-2016.pdf
Dabei ist die Aenderung betreffend "Fortinet Warranty Support" ab Oktober 2015 zu berücksichtigen. Weitere Informationen siehe nachfolgender Artikel:
Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_wann_beginnt_der_.22Fortinet_Warranty_Support.22_an_zu_laufen_.28neu_ab_1._Oktober_2015.29.3F
Wie wird ein FortiCare oder FortiGuard Registriert?
Fortinet kennt betreffend seinen Service zwei vers. Produkte:
FortiCare Subscription für Hardware/Firmware/Support (Jährlich 8 X 5 oder 24 X 7)
FortiGuard Subscription für Antivirus, IPS, WebFiltering, Email Filtering und Analysis & Mgmt (Jährlich)
Die Bestellung wird vom Reseller an die ALSO Schweiz AG als Distributor anhand der Serien Nummer des Devices aufgegeben. Die ALSO Schweiz verarbeitet den Auftrag und gibt diesen Fortinet zur Bestellung weiter. Geliefert bekommen die ALSO Schweiz ein Registration Code mit Details zur Bestellung dh. ob 8 X 5 etc. Wenn es sich um ein Renewal (Erneuerung) handelt registriert Fortinet -im normal Fall- das Renewal dh. der Reseller/Kunde muss keine erneute Registrierung zum Renewal auf dem Gerät durchführen. Wenn im Dokument indem der Registration Code enthalten ist das End-Datum enthalten ist so wurde das Renewal (Erneuerung) durch Fortinet bereits registriert. Wenn dies nicht der Fall ist muss auf dem Gerät eine Registrierung (auch im Fall eines Renewals) durchgeführt werden. Nachfolgend einige Beispiele:
Renewal (Erneuerung) muss nicht durchgeführt werden da bereits korrekt von Fortinet Registriert (Enddatum ersichtlich)!
Datei:Fortinet-191.jpg
Registration Code der benutzt werden muss um eine Registrierung durchzuführen!
Datei:Fortinet-192.jpg
ACHTUNG Der Registration Code ist -sofern Fortinet die Registrierung/Renewal nicht selber durchführt- nicht gekoppelt mit der Serien Nummer!
Gibt es eine Möglichkeit vers. Service mit vers. Ablaufdaten für FortiCare/FortiGuard zu Synchronisieren (Quote-Term)?
Ja, diese Möglichkeit gibt es! Dieser Vorgang wird anhand eine Quote-Term durchgeführt. Dies bedeutet, dass der Kunde die Geräte mit dessen Serien-Nummern zustellt sowie die Informationen welcher Service/Subscription gewünscht wird. Anhand dieser Informationen wird eine Quote-Term bei Fortinet erstellt mit den Angaben des Kunden. Dieser Quote-Term gilt als Offerte von Fortinet an sich selber. Bei Bestellung wird dieser Quote-Term als Bestellung selber übermittelt. Fortinet verarbeitet diesen Quote-Term und bringt alle Ablaufdaten Synchron auf das gewünschte Ablaufdatum.
Um so eine Quote-Term zu erhalten muss der Kunde dem Distributor die zu "synchronisierenden" Serien Nummern der Device übermitteln mit dem gewünschen "Synchronisations Datum". Danach kann der Distributor unter der Distributions Partner Seite eine Quote-Term erstellen:
• Logge Dich auf der Partner Seite von Fortinet ein:
https://partners.fortinet.com/Login.aspx
• Nachdem erfolgreichen Einloggen wähle "Rechts" den folgenden Menüpunkt:
Renewal Tracking
• Nun können die entsprechenden Serien Nummern unter "If you know the serial numbers,....." eingegeben werden:
NOTE Wenn mehrer Serien Nummern eingegeben werden, können diese mit "," getrennt eingegeben werden!
• Sobald die Serien Nummern eingegeben wurden gehe auf "Search"
• Nun wird im unteren Bereich der entsprechende "Reseller/Endkunde" angezeigt!
• Selektiere den Reseller unter "Company"
• Im nächsten Dialog werden die einzelnen Devices mit deren Ablauf Datum aufgelistet
• Selektiere (Rechts Kästchen aktivieren) nun alle Devices für die ein Quote Term erstellt werden soll!
• Danach gehe auf die Position "Generate Coterm Quote". Nun gebe folgendes ein:
Quote Title [ZB Reseller Name mit event. Projekt]
Comment [Zusätzliche Kommentare]
Effective Date [Heutiges Datum]
Coterm Date [Synchronisations Datum]
• Danach gehe auf "Next"
• Nun kann im nächsten Schritt unter "Select Renewal Service Package" das entsprechende Service Package
gewählt werden! Wähle dazu "Select" und gebe das entsprechende Service Package an. Danach gehe wiederum
mit "Next" weiter (Next steht erst dann zur Verfügung wenn für alle Modelle ein entsprechendes Service
Package gewählt wurde)!
• Nun wird unter dem Register "Review Quote and Continue" eine Uebersicht gezeigt WAS gewählt worden ist
innerhalb der Quote!
• Bis anhin wurde die Quote nicht abgesendet dh. zu Fortinet übemittelt! Sobald man auf "Confirm" geht
wird die Quote Fortinet übermittelt und eine Quote ID generiert anhand dieser die Bestellung
an Fortinet ausgeführt wird.
NOTE Um den $ Preis zu kalkulieren benutz in der Offert die Position "GPL USD"
Die Registrierung FortiCare/FortiGuard ist auf der Fortigate nicht ersichtlich, was kann ich tun?
Wir empfehlen eine Registrierung des FortiGate Devices im entsprechenden Support Account 24 Stunden bevor der Device beim Kunden installiert/eingesetzt wird. Wenn die Registrierung des Fortinet Devices ausgeführt wurde, müssten die Angaben nachträglich auf der Fortigate über das Dashboard (System Information) nach ca. 10 Minuten ersichtlich sein sofern eine Internet Verbindung konfiguriert wurde. Ist dies nicht der Fall -oder nur teilweise- so liegt das an der Kommunikaton auf der FortiGate mit dem entsprechenden Service von Fortinet der nicht korrekt durchgeführt werden kann. Grundsätzlich komuniziert eine FortiGate für die Registrierung folgendermassen:
Die meisten Fehler das diese Komunikation nicht zu stande kommt liegen darin, dass die DNS Auflösung auf der FortiGate nicht korrekt konfiguriert wurde sowie der Port (Per Standard 53) nicht auf Port 8888 umgestellt wurde. Um den Port auf 8888 umzustellen siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Welcher_Port_wird_durch_den_FortiGuard_Service_benutzt_und_wie_kann_ich_diesen_wechseln.3F
Wenn die Komunikation nicht zu stande kommt so sollte folgendes durchgeführt werden:
Erstelle eine Consolen Verbindung (RS232) oder eine SSH Verbindung zur FortiGate. Es kann ebenfalls das "console" Widget benutzt
werden das im unteren Bereich der Eingangsseite zur Verfügung gestellt wird um die nachträglich aufgeführten Kommandos einzugeben:
Ist der Server für Antivirus und IPS Updates von der FortiGate erreichbar:
# execute ping update.fortiguard.net
Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
# diagnose test app dnsproxy 1
Ist der Server für WebFilter und AntiSpam von der FortiGate erreichbar:
# execute ping service.fortiguard.net
Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
# diagnose test app dnsproxy 1
Kontrolliere ob das Autoupdate eingeschaltet ist:
# diagnose autoupdate status
IPS definition update: enable
Virus definition update: enable set
Kontrolliere wenn der nächste Update ausgeführt werden sollte:
# diagnose test update info
Führe einen manuellen Update (force) aus:
# execute update-now
ACHTUNG Es sollte mind. 2 Stunden gewartet werden bis die nächsten Schritte vollzogen werden resp. Wenn sich der Status
Der Registrierung nicht ändern sollten die nachfolgenden Schritte durchgeführt werden!
NOTE Wenn die Fortigate oder eine Fortimail plötzlich keine Registrierung zeigt ist dieser Vorgang ebenfalls durchzuführen.
Diese Situation kann entstehen wenn Fortinet Produkte abrupt vom Netz genommen werden oder unkontrolliert (Stromausfall)
vom Stromnetz genommen werden. Wenn in dieser Zeit der "Update-Prozess" ausgeführt wird bleibt dieser hängen und kann
nicht neu initiert werden. Durch die erneute Ausführung des "Update" (manuell über Console) und einem erneuten Reboot
wird/kann dieses Problem gelöst werden!
Um den Status des Updates abzufragen kann folgendes benutzt werden:
# diagnose debug application update [Debug Level zB 1]
# diagnose debug enable
NOTE Debug Level sind:
1: Fehlermeldungen
2: Major-Events
4: Alles
Nicht vergessen den Debug wieder abzuschalten mit:
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Durch diesen Befehl werden die Fortinet Services kontaktiert (force) und die neusten Informationen abgeholt. Bringt dies keine Abhilfe führe einen Neustart des Gerätes durch (auf jedenfall ca. 1 – 2 Stunden warten nachdem absetzen des obigen Befehls) und kontrolliere abermals das Dashboard:
# execute reboot
NOTE Auch nachdem Neustart kann es durchaus bis zu 2 Stunden gehen bis sich der Registrierungs Status
des Devices für die vers. Services ändert!
Wenn unsicher ist ob die FortiGuard Server zur Verfügung stehen (und welche), kann mit folgenden Befehl das "rating" dieser Server überprüft werden:
# diagnose debug rating
Locale : english
License : Contract
Expiration : Sun Jul 24 20:00:00 2011
Hostname : service.fortiguard.net
-=- Server List (Tue Nov 2 11:12:28 2010) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
69.20.236.180 0 10 -5 77200 0 42
69.20.236.179 0 12 -5 52514 0 34
66.117.56.42 0 32 -5 34390 0 62
80.85.69.38 50 164 0 34430 0 11763
208.91.112.194 81 223 D -8 42530 0 8129
216.156.209.26 286 241 DI -8 55602 0 21555
NOTE Es sollten zwischen 3 - 5 Server zur Verfügung stehen für den FortiGuard Service der aus der Cloud von Fortinet
zur Verfügung steht! Die Server werden mit vers. Flags gekennzeichnet. Diese bedeute folgendes:
Datei:Fortinet-458.jpg
Ebenso kann der FortiGuard Status abgefragt werden:
# get system fortiguard-service status
Welcher Port wird durch den FortiGuard Service benutzt und wie kann ich diesen wechseln?
Der FortiGuard Service/Port läuft per Standard auf Port TCP 53 (DNS Port). Dies ist nicht in jedem Fall empfehlenswert dh. muss der FortiGuard Request zuerst durch eine "vorgelagerte" Firewall, IPS System ", wird/kann dieser Request durch die "vorgelagerte" Firewall, IPS System geblockt werden. Der Grund dafür liegt darin das Port 53 (DNS) ein "Priviligierter Port" ( [Service Name and Transport Protocol Port Number Registry] ) darstellt dh. wird für DNS benutzt. Der FortiGuard Service über Port TCP 53 wird auf dieser "vorgelagerter" Firewall und/oder IPS System als "Malformed DNS" Anfrage erkannt und geblockt da die Header nicht einer DNS Anfrage entspricht. Als Alternative steht der Port 8888 zur Verfügung. Möchte man diese Alternative (empfohlen) nützen so benütze folgendes Kommando:
# config system fortiguard
# set port [Wähle Port 53 oder 8888]
# end
NOTE Ab FortiOS 5.2 kann zusätzlich zu Port 53 sowie Port 8888 der Port 80 konfiguriert werden!
Der Port kann ebenfalls über das Mgmt. WebInterface gewechselt werden:
System > Config > FortiGuard > Web Filtering and Email Filtering Options
Signaturen Update, DNS Resolution funktonieren nicht auf einer 100D; Was ist zu tun?
Verschiedene FortiGate Modell wie zB FG-100D ist mit einem dezidierten Mgmt. Interface ausgerüstet. Wie bei anderen Fortigate's ist auf diesem dezidierten Mgmt. Interface die Default IP 192.168.1.99 konfiguriert! Ueber das Mgmt. Interface laufen zB DNS Resolution, Signaturen Updates etc. Aus diesem Grund muss das Mgmt. Interface über Internet Access verfügen damit dieses übers Internet die nötigen Informationen runterladen/erhalten kann (FortiGuard/FortiCare, DNS usw.). Bei einer 100D ist das Mgmt. Interface nicht in der VDOM "root" sondern in einer seperaten VDOM (dmgmt-vdom). Wird diesem Umstand nicht Rechnung getragen verfügt dieses Interface reps. VDOM (dmgmt-vdom) nicht über Internet Access. Der Umstand, dass dieses Mgmt. Interface in der VDOM (dmgmt-vdom) ist wird über das Mgmt. Gui nicht abgebildet. Möchte man das Interface in die VDOM "root" verschieben indem sich das WAN Interface befindet (Internet Access) so führe folgendes auf der Kommandozeile durch:
# config system global
# set management-vdom root
# end
Möchte man auf einer 100D ein Interface für ausschliesslich Mgmt. Zwecke konfigurieren so kann folgendes über Kommandozeile konfiguriert werden:
# config system dedicated-mgmt
# set status [enable | disable]
# set default-gateway [IPv4 Adresse]
# set dhcp-server [enable | disable]
# set interface [Name des Interfaces zB "port1"]
# end
Wenn zusätzlich zu dieser Konfigurationspunkt eine IP und/oder ein IP Range konfiguriert werden möchte die den Zugriff auf das Management Interface einschränkt kann folgendes auf dem entsprechenden Interface konfiguriert werden:
# config system interface
# edit [Name des Interfaces zB "port1"]
# set trust-ip-1 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
# set trust-ip-2 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
# set trust-ip-3 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
# end
Welche Fortinet Produkte/Devices unterstützen welche FortiGuard Services?
Verschiedene Fortinet Produkte wie FortiGate unterstützen vers. FortiGuard Services wie die UTM Feature Antivirus, WebFilter usw. Nachfolgende Uebersicht zeigt welche Produkte von Fortinet welche FortiGuard Services unterstützen:
Nachfolgendes Dokument gibt ebenfalls einen Ueberblick über den FortiGuard Service von Fortinet:
Datei:Cyber-Security-Research-FortiGuard-Solution Brief.pdf
Welche einzelnen FortiGuard Services unterstützen welche Funktion/Service?
FortiGuard Services sind grundsätzliche für kleinere Devices als FG-100D nur als Bundle zu beziehen dh. dieses Bundle beinhaltet "alle" Services gemäss unteren Tabelle. Einzelne Services zu beziehen aus dem "Bundle" ist nur möglich für Devices FG-100 und grösser. Im Februar 2016 hat Fortinet betreffend "UTM Bundle" den Service erweitert dh. neu steht allen Devices ebenfalls das FortiGuard "Mobile Security" sowie das FortiGuard "Enterprise Bundle" das wiederum das FortiGuard "Mobile Security" und "Cloud Sandbox" binhalte zur Verfügung. Desweiteren ist zu berücksichtigen, dass unter FortiOS 5.6 (GA Release Date umbekannt) die Funktionen "Botnet" sowie "IP-Reputation" nicht mehr im FortiCare beinhaltet ist, sondern im seperaten FortiGuard "AV Service", FortiGuard "UTM Bundle" oder FortiGuard "Enterprise Bundle". Somit gilt betreffend dieser Aenderung für neue und bestehende FortiCare/FortiGuard im Zusammenhang mit "Botnet" sowie "IP-Reputation" Folgendes:
• Für Alle die FortiCare für 5.0, 5.2 sowie 5.4 Erneuern - sei es für 1 oder mehrere Jahre - ist "Botnet" sowie
"IP-Reputation" im FortiCare weiterhin enthalten bis diese erwähnten Versionen für FortiCare EOL sind!
• Für Alle die einen Vertrage unter 5.6 GA Release Erwerben und die Funktion "Botnet" sowie "IP-Reputation" im
FortiGuard zur Verfügung haben möchten, müssen für diese Funktionen seperat "AV Service", "UTM Bundle" oder das
"Enterprise Bundle" beziehen resp. lizensieren da diese Funktionen unter 5.6 GA Release nicht mehr im FortiCare
enthalten sind!
Nachfolgende Uebesicht zeigt das FortiGuard UTM Bundle, FortiGuard Enterprise Bundle sowie die einzelnen FortiGuard Services sowie FortiCare inkl. der neuen Situation betreffend "Botnet" sowie "IP-Reputation" (Für 5.6 GA Release):
Ebenfalls zeigt nachfolgendes Dokument eine Detail Uebersicht der Services:
Datei:Licensing Fortinet Services.pdf
Grundsätzlich ist Folgendes zu berücksichtigen: Wenn einzelne Funktionen aus FortiGuard (Bundle) bezogen werden, können diese ca. 1/3 des "Bundle" Preises ausmachen dh. wenn je nach Funktion zwei Funktionen bezogen werden, ist zu überlegen dennoch das "Bundle" zu beziehen da ansonsten 2 Funktionen nicht mehr in Relation stehen betreffend Preis zum "Bundle". Desweiteren betreffend "Antispam" ist folgendes zu berücksichtigen: Diese Funktionalität ist "seperate" nicht erhältlich dh. auch nicht über CoTerm dh. Ist der Kunde angewiesen auf die "Antispam" Funktionalität auf einer FortiGate muss das "Bundle" bezogen werden damit diese Funktionalität erhältlich ist im Service von FortiGuard. Nachfolgend die offiziellen Kunden Brochure von Fortinet betreffend FortiGuard/FortiCare:
Datei:One-Bundle-To-Protect-Your-Enterprise.pdf Datei:Fortinet-Enterprise-Bundle-FortiGuard-Brochure.pdf
Wo finde ich Informationen betreffend aktueller Datenbank für Virendefinition, IPS, WebFilter usw. für FortiGuard?
Auf der Web Seite von FortiGuard sind diese Informationen vorhanden. Nachfolgend einige wichtige Links betreffend diesen Informationen:
FortiGuard Service Update http://www.fortiguard.com/updates/ Antivirus Service http://www.fortiguard.com/updates/antivirus.html Intrusion Protection http://www.fortiguard.com/updates/ips.html Application Control http://www.fortiguard.com/updates/applications.html Web Filtering http://www.fortiguard.com/updates/webfiltering.html Antispam http://www.fortiguard.com/updates/antispam.html Vulnerability Management http://www.fortiguard.com/updates/vcm.html Database Security http://www.fortiguard.com/updates/db.html Web Security http://www.fortiguard.com/updates/web.html
Muss ich für die "Lifetime Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?
Weitere Informationen betreffend dieser Frage siehe folgender Artikel:
FortiAP:FAQ#Muss_ich_f.C3.BCr_die_.22Lifetime_Warranty.22_eines_Forti_Access_Point_ein_FortiCare_.28Maitenance.29_beziehen.3F
Betreffend Fortinet Produkten was ist unter "Fortinet Warranty Support" zu verstehen?
Die "Fortinet Warranty" ist nicht zu verwechseln mit der "Lieftime Warranty" dh. die "Fortinet Warranty" beschreibt für ein Fortinet Produkte die für ein Produkt mitgelieferte "Warranty" die von Fortinet gewährt wird nach der Registrierung des Produktes. Konkret bedeutet dies Folgendes: Wird ein Fortinet Produkte Device registriert, gewährt Fortinet eine "Warranty" von 60 Tagen. Weitere Details siehe nachfolgendes Dokument:
Datei:Warranty-Support Start Policy-D3.pdf
Betreffend Fortinet Produkten wann beginnt der "Fortinet Warranty Support" an zu laufen (neu ab 1. Oktober 2015)?
Ausgehend von nachfolgenden Artikel gewährt Fortinet auf allen Produkten eine 60 Tägige Warranty. Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_was_ist_unter_.22Fortinet_Warranty_Support.22_zu_verstehen.3F
Dabei stellt sich die Frage "wann" dieser "Warranty Support" beginnt! Ab 1. Oktober 2015 gilt folgendes:
Dies bedeutet konkret nichts anderes als Folgendes:
- Ab "Manueller" Registrierung eines Fortinet Devices wobei dies spätestens bis 100 Tagen nach "Shipping" des Fortinet
Devices von Fortinet zu erfolgen hat!
- "Automatische" Registrierung ab dem Zeipunkt in dem der Fortinet Device "Online" Updates durchführt wobei dies spätestens
bis 100 Tagen nach "Shipping" des Fortinet Devices von Fortinet zu erfolgen hat!
- "Automatische" Registrierung nach 100 Tagen des "Shipping" des Fortinet Devices!
Diese Neurung die ab ersten Oktober 2015 gilt ist/wurde von Fortinet im folgenden Dokument announced:
Datei:Warranty-Support Start Policy EMEA.APAC.pdf Datei:FAQ-Warranty-Support Start Policy EMEA.APAC.pdf
Werden in einem Trade-Up die bestehenden Services (Subscription FortiGuard/FortiCare) des alten Gerätes auf das Neue übernommen?
Wenn ein Trade-Up durchgeführt wird zB von einer Fortigate 100A auf eine 100D und auf der 100A noch bestehende Services existieren dh. zB FortiCare und/oder FortiGuard werden diese Services 1:1 übernommen sofern das Trade-Up in der gleichen Linie stattfindet! Dies gilt jedoch nicht generell dh. folgendes Dokument gibt genauen Aufschluss darüber ob die Service's für ein Device/Gerät übernommen werden:
Fortinet:Promotionen#Trade-Up
Wenn ich "nur" DDNS (Dynamic DNS), GeoIP, NTP und DNS Service von FortiGuard benutze was muss ich im Minimum lizensieren?
Bei kleineren Geräten dh. "kleiner FG-100D" können die einzelnen FortiGuard UTM Features wie Antivirus, WebFilter usw. nicht einzeln lizensiert werden sondern nur als Ganzes. Dies bedeutet: entweder als Ganzes in Form einer seperaten Bundle Lizenz die zum Gerät lizensiert wird oder beim Kauf eines neuen Gerätes inklusiv Bundle. Bei grösseren Geräten können die einzelnen UTM Features je nach Verwendung einzel Lizensiert werden. In diesem Zusammenhang stellt sich die Frage "Was" minimum lizensiert werden muss, wenn Grundfunktionen von FortiGuard benutzt werden möchten wie DDNS, SMS Messaging, GeoIP, NTP usw. Für folgende Grundfunktionen muss minimum FortiCare 8 X 5 Lizensiert werden:
• Real time GeoIP updates
• SMS messaging service
• NTP & DNS Service
• DDNS Service
• USB Modem DB updates
• Device/OS Visibility signature updates
Verwirrend dabei ist das diese Services in den Dokumenten in Zusammenhang gebracht werden mit "FortiGuard" Service. Dies bedeutet diese Funktionen werden als Bestandteil eines "FortiGuard" Service's aufgelistet und somit würde man davon ausgehen, speziell bei kleineren Geräten FG-100D, dass diese Funktionen nur zur Verfügung stehen wenn FortiGuard Lizensiert wird. Dies ist nach näheren Abklärungen mit Fortinet nicht der Fall dh. wie oben beschrieben wird minimum ein FortiGare 8 X 5 benötigt! Desweiteren gibt nachfolgender Artikel Auskunft welche Funktion in welcher Lizenz dh. FortiGuard/FortiCare oder Bundle enthalten ist:
Fortinet:FortiCare-FortiGuard#Welche_einzelnen_FortiGuard_Services_unterst.C3.BCtzen_welche_Funktion.2FService.3F
Wie kann ich FortiGuard Traffic über einen Proxy konfigurieren und was ist dabei zu beachten?
Grundsätzlich ist es möglich den FortiGuard Traffic dh. Update Traffic sowie On-Demand Traffic (WebFilter) über einen existieren Proxy Server abzuwickeln. Dies ist jedoch zu überlegen da für diese Konfiguration resp. Eine Proxifizierung des FortiGuard Traffic's ist nur Unterstützt für folgende Funktionen:
Device Registration, Antivirus Updates sowie IPS Updates
On-Demand Traffic dh. für WebFilter und Antispam Filter wird nicht unterstützt dh. dieser Traffic muss wie per Standard definiert über Port 53, 8888 oder neu unter FortiOS 5.2 Port 80 abgewickelt werden. Eine Alternative zur Proxifizierung des FortiGuard Traffic's bietet der FortiManager der anstelle von FortiGuard für sämtliche Funktionen benutzt werden kann. Diese Konfiguration wird über den FNDN (Fortinet Distribution Network) Service eines FortiManagers konfiguriert. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiManager:FAQ#FNDN_.28Fortinet_Distribution_Network.29
Desweiteren wenn man dennoch eine Proxifizierung des FortiGuard Services auf einer FortiGate konfiguriert muss folgendes berücksichtigt werden betreffend benutzten Proxy Server:
• Die FortiGate resp. die FortiGuard Anfrage die zu einem Proxy Server durchgeführt wird benutzt ausschliesslich die
"HTTP CONNECT" Methode (RFC 2616)
• Die "HTTP CONNECT" Methode wird benutzt um den "SSL Traffic" für den FortiGuard Service für die FortiGate durch den
Proxy durch zu "tunneln". Aus diesem Grund verhindern einige Proxy Server diese vorgehensweise um zu verhindern das
unerlaubter Traffic das Environment verlässt (SSL VPN). Speziell verhindern einige Proxy Server Verbindungen zu
verschiedenen Ports (well known ports) wenn ein HTTPS Anfrage ausgeführt wird da per Standard 443 benützt wird. Aus
diesem Grund muss für den FortiGuard Service die durch die FortiGate auf dem Proxy Server ausgeführt wird einige Ports
erlaubt werden da zB für "autoupdates" der Port 8890 benutzt wird was nicht dem Standard für HTTPS entspricht.
Nichts desto trotz wenn dennoch eine Proxyfizierung konfiguriert werden soll muss folgendes ausgeführt werden:
# config system autoupdate tunneling
# set address [IPv4 Proxy Adresse]
# set username [Proxy Username]
# set password [Proxy Password]
# set port [Proxy Port für die Verbindung zB 8080]
# set status [enable | disable]
# end
NOTE Die Benützung eines Usernames und Passwort ist Optional!
Wenn die Konfiguration durchgeführt wurde sollte diese getestet werden dh. folgendes kann ausgeführt werden:
Setze den Debug Filter zurück:
# diagnose debug reset
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter für "update":
# diagnose debug application update [Debug Level zB 1]
# diagnose debug enable
NOTE Debug Level sind:
1: Fehlermeldungen
2: Major-Events
4: Alles
Führe ein Manuelles Update aus (force)
# execute update-now
Nicht vergessen den Debug wieder nach Gebrauch abzuschalten mit:
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Gibt es für FortiCare einen "preffered" support und was ist darunter zu verstehen?
Fortinet bietet seinen Enterprise Kunden einen "preffered" Support an. Dieser wird auch "advanced technical support services for enterprise" genannt. Er richtet sich Hauptsächlich an Endkunden im Enterprise Bereich um SLA's (Downtime) zu minimieren. In diesem "preffered" Support ist im Groben folgendes enthalten:
- Dem Kunden werden dezidierte Engineers für technischen Support zugewiesen sowie Stellvertretungen.
- Ein Ticket eines Endkunden mit "preffered" Support wird direkt den dezidierten Resourcen zugewiesen.
- Auf den Kunden mit "preffered" Support wird ein Plan erstellt mit "escalation path" der aufzeigt wie
ein "case" zu behandeln ist mit Enduser Kontakten für Eskalationen/Informationen sowie "Remote Access"
Informationen für die dezidierten Resourcen innerhalb von Fortinet.
Somit liegt der Vorteil eines "preffered" Support, dass der Endkunden betreffend einem Ticket mit den immer gleichen dezidierten Resourcen arbeiten kann und diese über das Environment eines Endkunden den Ueberblick haben um den Endkunden bei Lösungen zu unterstützen. Das nachfolgenden Dokument beschreibt diesen "preffered" Support im Detail:
Datei:SD-FortiCare-PreferredSupport.pdf