Fortinet Wiki - Benutzerbeiträge [de]

Datei:FMGCloud 4o.png

2023-05-10T08:51:21Z

Cvijetin Tanasic:

Datei:FMGCloud 30.png

2023-05-10T08:50:57Z

Cvijetin Tanasic:

Datei:FMGCloud20.png

2023-05-10T08:50:26Z

Cvijetin Tanasic:

FortiManager:FAQ

2023-05-10T08:49:45Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud20.png|800px|link=]]
|-
|
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_30.png|800px|link=]]
|-
|
Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4o.png|800px|link=]]
|}

FortiManager:FAQ

2023-05-10T08:49:06Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|link=]]
|}

FortiManager:FAQ

2023-05-10T08:46:54Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* '''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|]
|-
|
* Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|]
|-
|
* Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|]
|}

FortiManager:FAQ

2023-05-10T08:45:43Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* '''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|]]
|-
|
* Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|]]
|-
|
* Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|]]
|}

FortiManager:FAQ

2023-03-03T08:50:55Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* '''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
* Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
* Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|link=]]
|}

FortiManager:FAQ

2023-03-03T08:50:00Z

Cvijetin Tanasic: /* FortiManager Cloud */

FortiManager:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiManager Systeme basierend ab FortiOS Version 6.0-7.2 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>
== FAQ ==

== License ==

=== Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiManager VM aktiviert und eingelesen? ===
[[File:FortiOS_7x.svg|50px|link=]]

In unserem Beispiel hat der Kunde die FMG Add On Lizenz 10 Devices zu managen und den notwendigen Support FMG-VM-10-UG + Support (Support für 1 Jahr) gekauft.
Er hat bereits das PDF mit dem Registrierungscode erhalten:
[[Datei:Fortinet-2929.jpg|550px|link=]]''*''
''* Screenshot ist von Analyzer Lizenz, sieht für den FMG genau gleich aus''
Wie kann ich jetzt die Lizenz einlesen?

'''Schritt 2 - Installieren der VM'''

Es muss die als erstes die FMG-VM installiert werden.
Der Management Port auf dem FMG konfigurieren um Zugriff auf den FMG zu bekommen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit port1
set ip 198.18.0.11/24 <-- IP Adresse des FMG für das Management
set allowaccess ping https ssh
end
end
</pre>
|}
Die FMG-VM muss ins Internet kommunizieren können. Beduetet, auf der FMG-VM muss eine default Route konfiguriert werden und vorgeschaltete Firewalls müssen die Kommunikation vom FMG ins Internet erlauben.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Statische Route Default Gateway konfigurieren:'''
<pre>
config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse
end
</pre>
'''DNS Konfigurieren:'''
<pre>
config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end
</pre>
|}

Nun kann über https://[Management_IP] auf das WebGui zugegriffen werden:
[[Datei:Fortinet-2940.jpg|350px|link=]]
'''Schritt 3 - Trial Lizenz aktivieren:'''

# Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
# ''Free Trial'' auswählen
# auf ''Loging with FortiCloud'' klicken. (Internetverbindung vom FortiManager muss gewährleistet sein!!)
[[Datei:Fortinet-2942.jpg|350px|link=]]
* Die Trial Lizenzbedingungen aktzeptieren
[[Datei:Fortinet-2935.jpg|550px|link=]]
* Die FMG-VM wird nun neu gestartet und wendet dann die ''Free Trial License'' angeschlossen
[[Datei:Fortinet-2941.jpg|350px|link=]]

Nachdem die FortiManager Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren: 
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management
[[Datei:Fortinet-2932.jpg|550px|link=]]
----
[[Datei:Fortinet-2933.jpg|750px|link=]]
# Auf ''Register Product'' klicken
# Produkte Key aus dem PDF eingeben
# Wenn es sich um keine Behörde handelt, ''A non-government user'' auswählen
# mit ''Next'' um weiter zu zu gehen.
[[Datei:Fortinet-2943.jpg|750px|link=]]

# Produkte Beschreibung im ''Description'' Feld eingeben
# Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
# Die IP Adresse des FortiManagers eingeben (Management IP)
# mit ''Save'' Einstellungen bestätigen
* Nun kann das Lizenzfile heruntergeladen werden.
[[Datei:Fortinet-2944.jpg|750px|link=]]

Momentan ist auf dem FortiManager noch die ''Free Trial Lizenz'' installiert. 
Diese beinhaltet:
* Nur 3 Geräte (Devices) zum Managen
* Nur 2 ADOMs (im Screenshot nicht sichtbar)
* 1GB/Tag, 500GB maximaler Speicher (FAZ Funktion)
* Kein TAC Support
[[Datei:Fortinet-2945.jpg|750px|link=]]
----
Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet) 
[[Datei:Fortinet-2946.jpg|350px|link=]]
Begrenzungen:
* Add-ON SKUs + Testversion + Support SKU
* 10 Geräte von der Add-ON Lizenz + 3 von der Trial Lizenz entspricht 13 Devices die gemanaget werden können.
* [[Datei:FMG-VM-7.0.0-TrialLicenseGuide.pdf]]
* [https://docs.fortinet.com/document/fortimanager/7.0.0/vm-trial-license-guide/200800/introduction direkter Link]

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #FF7730;"| [[File:wichtig.svg|50px|link=]]
| style="background-color: #FFB991"|
Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.
|}

=== Wie wird ein FortiManager unter VMware lizensiert? ===

Eine FortiManager Lizenz basiert auf folgender Matirx (Stackable License basierend auf Devices und NICHT GB Logs pro Tag):

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device
1 Forti Access Point = 1 Device
1 FortiSwitch = 1 Device

Ab FortiOS 5.4.2 werden Forti Access Point sowie FortiSwitch ebenfalls als Devices gezählt!

[[Datei:Fortinet-1084.jpg]]

Weitere Informationen welche Platform resp. Versionen der Virtualisierung genau unterstützt wird siehe nachfolgender Artikel:

[[Fortinet:Virtualisierung#Gibt_es_f.C3.BCr_Fortinet_VMware_eine_Uebersicht_betreffend_Compatibility_Matrix.3F]]

[[Datei:Fortinet-931.jpg]]

'''NOTE''' Weitere Informationen wie eine FortiAManager VM Lizenz registriert resp. eingespielt wird
siehe folgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiManager_f.C3.BCr_VMware_registriert_und_eingespielt.3F]]

Bei der Generierung der Lizenz muss die IP Adresse des FortiManagers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren sind die Maximum Values eines FortiManagers Wichtig. Dazu siehe nachfolgender Artikel:

[[FortiManager-5.0-5.2:FAQ#Was_sind_die_.22maximum_values.22_f.C3.BCr_FortiManager_Platformen.3F]]

=== Wie wird ein FortiManager unter VMware/HyperV installiert? ===

Nachfolgender Link gibt Auskunft wie ein FortiManager unter VMware/HyperV installiert wird:

[[Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F]]

=== Wie wird eine License für FortiManager für VMware registriert und eingespielt? ===

Wenn man einen FortiManager für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

[[Datei:FMVM0002306.pdf]]

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

http://support.fortinet.com

'''NOTE''' Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch"
kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
Anweisungen durch:

[[FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F]]

Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:

[[Datei:Fortinet-212.jpg]]

[[Datei:Fortinet-216.jpg]]

[[Datei:Fortinet-217.jpg]]

[[Datei:Fortinet-218.jpg]]

'''NOTE''' Auf diser Seite kann uner der Positon "License File Download" das Licens File, dass auf dem FortiManager
eingespielt werden muss runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiManager unter folgender Position eingespielt werden:

'''NOTE''' Wird die IP des FortiManagers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!

System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der License wird der FortiManager neu gestartet. Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus der Position ausgelesen werden:

System Settings > Dashboard > System Information > Serial Number

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

=== Wo finde ich auf dem FortiManager eine Ueberblick über alle Lizenzen inkl. FortiGate? ===

Im Device Manager kann können die Lizenzstaten von der Fortigate eingesehen werden:

Device Manager -> Licence -> auf die entsprechende Position mit dem Mauscursor fahren,
dann werden die Daten eingeblendet

[[Datei:Fortinet-1846.jpg]]

== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiManager Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

https://docs.fortinet.com/product/fortimanager/7.0

[[Datei:FortiManager-Best-Practices-Guide.pdf]] (FortiManager Best Practices Guide)
[[Datei:FortiManager-Security-Operations-App-1.2.pdf]] (FortiManager Security Operations FortiManager Integration App - User Guide)
[[Datei:FortiOS-Compatibility-FMG.pdf]] (FortiManager ab v5.6 Managed Compatibility Matrix)
[[Datei:FortiProxy-Compatibility-FMG.pdf]] (FortiManager ab v7.0.3 Manage Compatibility Matrix für FortiProxy)

====FortiOS 5.4====
[[Datei:FortiManager-54-secure-dns-guide.pdf]] (FortiManager v5.4 Secure DNS Guide)
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)

'''API-XML'''
[[Datei:FortiManager-XML-API_ReferenceGuide-5.4.4.pdf]] (FortiManager - XML API Reference 5.4.4)

====FortiOS 5.6====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-VMware-Install-Guide-56.pdf]] (FortiManager v5.6 VMware Install Guide)

[[Datei:FortiManager-56-SecurityOperationsApp-1.1.pdf]] (FortiManager 5.6.3 - Security Operations Integration App UserGuide)

====FortiOS 6.0====
[[Datei:FortiManager_Managing-FortiOS-with-FSSO.pdf]] (FortiManager - Managing FortiOS and FSSO)
[[Datei:FortiManager-VM-InstallGuide-60.pdf]] (FortiManager v6.0 VMware Install Guide)

[[Datei:FortiManager-60-SecurityOperationsApp-1.1.pdf]] (FortiManager 6.0.1 - Security Operations Integration App UserGuide)

Die Aktuellen Fortimanager Dokumente für die Version 6.0 können auch auf dieser Fortinet Seite entnommen werden:
* https://docs2.fortinet.com/product/fortimanager/6.0

====FortiOS 6.4====
* [[Datei:FortiManager-64-NewFeatures.pdf]]
----
add 19.12.2022 - 4Tinu

====FortiOS 7.0====
* [[Datei:FortiManager-70-NewFeatures.pdf]]
----
edit 19.12.2022 - 4Tinu

==== Administrations Guide ====

* [[Datei:Fortimanager-admin-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-admin-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-Admin-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-Admin-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-Admin-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-Admin-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-Admin-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

==== CLI Referenz Guide ====

* [[Datei:FortiManager-cli-54.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-cli-56.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-CLI-60.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FortiManager-CLI-62.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FortiManager-CLI-64.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FortiManager-CLI-70.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FortiManager-CLI-72.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit 19.12.2022 - 4Tinu

==== Log Reference Guide FortiManager - FortiAnalyzer ====
* [[Datei:FortiManager-54-event-log-reference_guide.pdf]] [[Datei:FortiOS_5x.svg|20px|link=]] EoS
* [[Datei:FortiManager-56-event-log-reference_guide.pdf]] [[Datei:FortiOS_56.svg|20px|link=]] EoS

* [[Datei:FortiManager-60-EventLog-ReferenceGuide.pdf]] [[Datei:FortiOS_60.svg|20px|link=]] EoS
* [[Datei:FMG-FAZ-62-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_62.svg|20px|link=]]
* [[Datei:FMG-FAZ-64-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_64.svg|20px|link=]] 6.4.10

* [[Datei:FMG-FAZ-70-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_70.svg|20px|link=]] 7.0.5
* [[Datei:FMG-FAZ-72-Log-ReferenceGuide.pdf]] [[Datei:FortiOS_72.svg|20px|link=]] 7.2.1
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die FAQs über die Version 5.0 und 5.2? ===
[[Datei:FortiOS_5x.svg|50px|link=]]

Unter folgenden Link können die FAQs für 5.0 und 5.2 über die FortiGate, den FortiAnalyzer und den FortiManager eingesehen werden:
* [[FortiGate-5.0-5.2:FAQ]]
* [[FortiAnalyzer-5.0-5.2:FAQ]]
* [[FortiManager-5.0-5.2:FAQ]]

== Request of Proposel (RFP) ==

=== Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben? ===

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

[[Datei:FortiOS-FGT-RFP-EN.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
[[Datei:FortiOS-FGT-RFP-FR.docx]] Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)

[[Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx]] Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

== Hardware ==

=== Was sind die "maximum values" für FortiManager Platformen? ===

Für die verschiedenen Platformen sei es Hardware Appliance und VMWare existieren folgende "maximum values":

'''NOTE''' Grundsäztlich gilt betreffend WAS ist ein Device etc. folgendes:

1 Cluster = 1 Device
1 VDOM = 1 Device

'''FortiManager Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Storage Kapazität
|-
| '''FMG-200D''' || 30 || 30 || 1x1TB
|-
| '''FMG-300D''' || 300 || 300 || 2x2TB
|-
| '''FMG-300E''' || 100 || 100 || 4x3TB
|-
| '''FMG-400E''' || 300 || 300 || 8x3TB
|-
| '''FMG-1000D''' || 1000 || 1000 || 4x2TB
|-
| '''FMG-2000E''' || 1200 || 1200 || 12x3TB
|-
| '''FMG-3000F''' || 4000 || 4000 || 16x3TB
|-
| '''FMG-3900E''' || 10000 || 10000 || 15x1TB
|}
'''FortiManager-VM Series'''
{| class="wikitable"
|-
! Produkt !! Max Device !! Max ADOMS !! Max Webportal !! Max Portal Users !! GB Logs/day !! Storage Kapazität (Min/Max)
|-
| '''FMG-VM-Base''' || 10 || 10 || 10 || 10 || 1 || 80GB / 16TB
|-
| '''FMG-VM-10''' || +10 || +10 || +10 || +10 || 2 || 80GB / 16TB
|-
| '''FMG-VM-100''' || +10 || +100 || +100 || +100 || 5 || 80GB / 16TB
|-
| '''FMG-VM-1000''' || +10 || +1000 || +1000 || +1000 || 10 || 80GB / 16TB
|-
| '''FMG-VM-5000''' || +5000 || +5000 || +5000 || +5000 || 25 || 80GB / 16TB
|-
| '''FMG-VM-U''' || Unlimited || Unlimited || Unlimited || Unlimited || 50 || 80GB / 16TB
|}

=== Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet? ===
Weitere Informationen siehe folgender Artikel:
* [[FortiGate:FAQ#Was_f.C3.BCr_ein_Kabel_wird_f.C3.BCr_den_Konsolen-Anschluss_.28RS-232.29_ben.C3.B6tigt.3F]]


== Upgrade ==
=== Wie kann ich einen FortiManager upgraden? ===

Die Software für den Upgrade kann im Supportportal von Fortinet im Download Bereich heruntergeladen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Einloggen im Supportportal : https://support.fortinet.com
# Menu ''Support'' anwählen
# unter ''Downloads'' den Menupunkt ''Firmware Download'' anwählen
# Bei ''Select Product'' im Popup Menu das Produkt 'FortiManager'' selektieren
# Sobald auf ''Download'' geklickt wird, das entsprechende Image (Version und Produkt) auswählen zum herunterladen.
[[Datei:Fortinet-1867.jpg|750px|link=]]
|-
|}

Bevor ein Upgrade durchgeführt wird, empfiehlt es sich ein Backup zu erstellen. Wie ein Backup erstellt wird, kann im folgenden Artikel entnommen werden:

* [[FortiManager-5.4-5.6:FAQ#Wie_f.C3.BChre_ich_ein_Backup_auf_dem_FortiManager_durch.3F | Wie führe ich ein Backup auf dem FortiManager durch?]]

Es ist wichtig, dass die Release Notes durchgelesen werden, um wichtige Informationen über die entsprechende Version zu erhalten.
* [[FortiManager:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_den_FortiManager.3F]]

Jetzt kann das Update durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
System Settings -> Dashboard und bei Firmware Version das Symbol mit Pfeil nach oben anwählen
[[Datei:Fortinet-1868.jpg]]
|-
|
Jetzt kann die entsprechende Firmware ausgewählt werden und mit OK wird der Update gestartet.
[[Datei:Fortinet-1869.jpg]]
|-
|
Das ausgewählte File wird auf den FortiManager hochgeladen. Im Hintergrund wird das File auf die Korrekte Version geprüft, wenn dies erfolgreich verifiziert wurde, wird der Upgrade Prozess gestartet.
[[Datei:Fortinet-1870.jpg]]
|-
|
Nach dem Upgrade wird der FortiManager neu gestartet.
[[Datei:Fortinet-1871.jpg]]
|-
|}


=== Wo finde ich die Release Notes für den FortiManager? ===
{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_5x.svg|20px|link=]] '''Release Notes für FortiOS 5.4:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_56.svg|20px|link=]] '''Release Notes für FortiOS 5.6:''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-5.6.0.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.1.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.2.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.3.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.4.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.5.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.6.pdf]]
* [[Datei:FortiManager-Release-Notes-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] ''' Release Notes für FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Release-Notes-6.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Release Notes für FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Release-Notes-6.4.0.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.1.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.2.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.3.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.4.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.5.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.6.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.7.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.8.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.9.pdf]]
* [[Datei:FortiManager-Release-Notes-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Release Notes für FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.0.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.1.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.2.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.3.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.4.pdf]]
* [[Datei:FortiManager-Release-Notes-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Release Notes für FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Release-Notes-7.2.0.pdf]]
* [[Datei:FortiManager-Release-Notes-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wo finde ich die Upgrade Pfade für den FortiManager? ===
Der Upgrade Pfad muss unbedingt eingehalten werden:

{| class="wikitable" style="width:800px"
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_5x.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.4''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.4.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"|[[Datei:FortiOS_56.svg|20px|link=]] '''Upgrade Guide auf FortiOS 5.6''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-5.6.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-5.6.7.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_60.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.0''' EoS
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.0.4.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_64.svg|20px|link=]] '''Upgrade Guide auf FortiOS 6.4'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-6.4.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.5.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.6.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.7.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.8.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.9.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-6.4.10.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_70.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.0'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.0.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.1.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.2.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.3.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.4.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.0.5.pdf]]
|-
| style="background-color: #89E871; text-align:left"| [[Datei:FortiOS_72.svg|20px|link=]] '''Upgrade Guide auf FortiOS 7.2'''
|-
|
* [[Datei:FortiManager-Upgrade-Guide-7.2.0.pdf]]
* [[Datei:FortiManager-Upgrade-Guide-7.2.1.pdf]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

== System Settings ==
=== Wie kann ich den Administrationsport auf dem FortiManager anpassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Defaultmässig wird das Management für das WebGui beim FortiManager im Webbrowser folgendermassen aufgerufen:
'''https://<fortimanager-mgmt-ip>'''
Da für das Management nicht unbedingt der default Port tcp443 verwendet werden soll, kann dieser Administrationsport angepasst werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Von den ''System Settings'' aus starten
# Über das Menu ''Admin->Admin Settings'' navigieren
# Hier kann das redirekt vom HTTP Port auf HTTPS unterbunden werden
# Feld ''HTTPS Port'' kann der gewünschte Administrations Webport definiert werden. Daran denken, dass allfällige Firewallfreischaltungen vorgenommen werden müssen, damit der Port erreichbar ist.
[[Datei:Fortinet-3188.jpg|750px|link=]]
|}

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set admin-https-redirect [enable|disable]
set https_port [ADMIN-PORT] <- HTTPS Management Port
set http_port [ADMIN-PORT] <- HTTP Management Port
end
Beispiel: AdminPort tcp4443 - http-https redirekt deaktivieren
config system admin setting
set admin-https-redirect disable
set https_port 4443
end

|}
Von nun an kann der FortiManager folgendermassen aufgerufen werden im Browser:
https://<fortimanager-mgmt-ip>:'''<admin-Port>'''
<nowiki>https://198.18.192.11:4443</nowiki>
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiManager anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''enable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2992.jpg|350px|link=]]
|}
Um den Hostnamen wieder auszublenden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set show-hostname '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Ergebnis beim Anmeldefenster:'''
|-
|
[[Datei:Fortinet-2993.jpg|350px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich einen Post-Loging Disclaimer anzeigen lassen nachdem ich mich auf dem FortiManager eingeloggt habe? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Damit nach erfolgreichem einloggen in den FortiManager noch ein Disclaimer erscheint, muss dieser in der CLI aktiviert werden. Es ist auf dem FortiManager möglich einen Post Disclaimer (nach den Einloggen) azeigen zu lassen. Dieses Hinweisfenster muss dann aktiv bestätigt werden, damit man auf die Administrationskonsole des Managers kommt.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system admin setting
set set access-banner [enable|disable]
end
Post Disclaimer aktivieren:
config system admin setting
set set access-banner '''enable'''
end
Post Disclaimer deaktivieren:
config system admin setting
set set access-banner '''disable'''
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3190.jpg|550px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann die Login Post Disclaimer Message editiert werden? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Es gibt die Möglichkeit den Post Disclaimer Text zu editieren. Leider ist es nicht so konfortabel wie auf der FortiGate. Man muss den ganzen Fliesstext einlesen und kann keine Formatierungen vornehmen. Folgendes muss in der CLI dafür konfiguriert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config system admin setting
set banner-message "[MESSAGE]" <- Siehe Hinweis unten
end
Beispiel:
config system admin setting
set banner-message "Zugriff nur für Berechtigte"
end
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Post Disclaimer Meldung nach erfolgreichem Anmelden:'''
|-
|
[[Datei:Fortinet-3191.jpg|350px|link=]]
|}
Ich habe keine Möglichkeit gefunden, auf den Default Text zurückzusetzen, daher kann dieser String reinkopiert werden:
<pre>
"------------------------------------------------------------------------------------------------------------- This is a private computer system. Unauthorized access or use is prohibited and subject to prosecution and/or disciplinary action. Any use of this system constitutes consent to monitoring at all times and users are not entitled to any expectation of privacy. If monitoring reveals possible evidence of violation of criminal statutes, this evidence and any other related information, including identification information about the user, may be provided to law enforcement officials. If monitoring reveals violations of security regulations or unauthorized use, employees who violate security regulations or make unauthorized use of this system are subject to appropriate disciplinary action."
</pre>

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Anführungs und Schlusszeichen müssen gesetzt werden wenn man den Text reinkopiert
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich im FortiManager die erzwungene Objekt Notiz bei der Revision deaktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Im FortiManager Release 7.0.0 ist ein neues Feature hinzugefügt worden. Sobald ein Objekt editiert wird, besteht eine Notizpflicht und es wird eine Objekt Revision angelegt.
Diese Notiz Pflicht kommt zum Zuge sobald das Objekt in den Editier Modus gesetzt wird. Dabei soll für ein Autit Transparent dokumentiert werden, was mit diesem Objekt in der Vergangenheit geschehen ist.

Man wird vom FortiManager freundlicherweise darauf hingewiesen, wenn man ein Objekt editiert hat und vergisst Change Note zu füttern:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2982.jpg|550px|link=]]
Sobald das Feld ausgefüllt wird, kann man mit OK die Änderung bestätigen.
[[Datei:Fortinet-2983.jpg|550px|link=]]
|-
|}
Wen man das Objekt jetzt anklickt findet man zu unterst die Revisionshistory:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:Fortinet-2984.jpg|550px|link=]]
|-
|}
Wenn man diese Notiz Pflicht deaktivieren will, kann dies Global über die CLI passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note disable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}
Nun kann ein Objekt bearbeitet werden, ohne das man eine Revision Notiz muss hinterlegen. Eine Objekt Revision wird aber dennoch angelegt. 
Wenn wir im Objekt schauen, sehen wir, dass die obersten beiden Einträge ohne Change Note gespeichert sind.
[[Datei:Fortinet-2991.jpg|550px|link]]

Wenn man die Revision Notizen wieder erzwingen will, kann man dies wieder über die CLI konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set object-revision-mandatory-note enable
end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Damit der Effekt aktiv wird, muss man sich neu am FortiManager einloggen.
|}




----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie wird der System DNS auf dem FortiManager konfiguriert? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Verschiedene Funktionen im FortiManager setzen voraus, dass der FortiManager DNS Namen auflösen kann. Daher muss ein DNS Server auf dem FortiManager konfiguriert werden. Dienste wie versenden von Alarmierungs Email, FortiGuard kommunikation, auflösen von Adressobjekten usw, funktionieren nicht ohne DNS konfiguration.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über die ''System Settings'' navigieren
# Menu ''Network'' auswählen
# im Fenster bis zum Abschnitt ''DNS'' scrollen. Im Feld ''Primary DNS Server'' den DNS1 Server eintragen, beim Feld ''Secondary DNS Server'' den DNS2 Server eintragen
# mit ''Apply'' die Konfiguration bestätigen.
[[Datei:Fortinet-3193.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system dns
set primary [IP_DNS1_SERVER]
set secondary [IP_DNS2_SERVER]
end
Beispiel:
config system dns
set primary 198.18.0.1
set secondary 8.8.4.4
end
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich die Systemzeit auf dem FortiManager? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Die Systemzeit ist auf dem FortiManager wichtig. Am besten konfiguriert man entsprechende NTP Server. Falls man keinen internen NTP Server zu verfügung hat empfehle ich einer der folgenden NTP Server zu benutzen:
-> 0.ch.pool.ntp.org
-> 1.ch.pool.ntp.org
-> 2.ch.pool.ntp.org
-> 3.ch.pool.ntp.org
* Mehr Infos darüber: https://www.pool.ntp.org/zone/ch
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im System Information Widget beim Punkt ''System Time'' editieren:
[[Datei:Fortinet-3182.jpg|750px|link=]]
|-
|
# Zeitzone entsprechend auswählen
# Automatische anpassung an die Sommerzeit aktivieren. Wenn diese Option aktiviert ist, passt der FortiManager die Systemzeit automatisch an, wenn die Sommerzeit beginnt oder endet.
# Synchronisation mit dem NTP Server einschalten
# Den gewänschten NTP Server z.B. 1.ch.pool.ntp.org eintragen
# auf das Plus klicken um weitere (Backup) NTP Server hinzuzufügen
[[Datei:Fortinet-3183.jpg|750px|link=]]
|-
|
# es können weitere NTP Server hinzugefügt werden, wenn der Abfallkorb angewählt wird, wird der Server wieder entfehrnt
# Mit ''OK'' wird die Konfiguration gesichert
[[Datei:Fortinet-3184.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<big>NTP Server konfigurieren</big>
<pre>
config system ntp
set status enable
config ntpserver
edit 1
set server "1.ch.pool.ntp.org"
next
edit 2
set server "2.ch.pool.ntp.org"
next
end
end
</pre>
|-
|
<big>Die Zeitzone wird folgendermassen konfiguriert:</big> 
Syntax:
config system global
set timezone [TimeZone Integer]
end
Beispiel für die Schweiz: (GMT+1.00)
config system global
set timezone '''26'''
end
Alle Zeitzonen Codes findest du [[Allgemein:Zeitzonen|hier]] (Mit der Tastenkombination ''ctrl + linksklick'' öffnest du ein seperates Fenster
|-
|
<big>Automatische anpassung an die Sommerzeit aktivieren:</big> 
Syntax:
config system global
set daylightsavetime ['''enable'''|disable] (Defaultwert : enable)
end
Beispiel zum aktivieren:
config system global
set daylightsavetime '''enable'''
end
|}

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie kann ich den ADOM Modus auf dem FortiManager aktivieren? ===
[[Datei:FortiOS_70.svg|35px|link=]] [[Datei:FortiOS_72.svg|35px|link=]]

Der Adom Modus auf dem FortiManager ermöglicht es, die verschiedenen FortiGates in unterschiedliche administratorische Domainen (adom) zu verwalten. Defaultmässig ist dieser Modus deaktiviert. Um diesen zu aktivieren kann im WebGui folgendermassen vorgegangen werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter aktivieren
[[Datei:Fortinet-3185.jpg|750px|link=]]
* Es wird nocheinmal gefragt, ob der adom Modus wirklich aktiviert werden soll. dies mit ''OK'' bestätigen.
[[Datei:Fortinet-3186.jpg|750px|link=]]
* Man wird ausgeloggt und muss sich neu an den Manager anmelden
* Wir sehen nun eine root adom und eine Globale adom
[[Datei:Fortinet-3187.jpg|750px|link=]]
|-
|
Wenn wir den Adom Modus deaktivieren wollen, wird dies an der selben Stelle durchgeführt.
* Im Mainmenu im ''System Information'' Widget beim Punkt ''Administrative Domian'' den Schalter deaktivieren
Es wird eine Warnmeldung angezeigt, dass alle adom ausser die root adom gelöscht werden, dies bestätigen falls man den adom Modus wirklich deaktivieren will
[[Datei:Fortinet-3192.jpg|750px|link=]]
|}
----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Kann ich eine FortiGate mit VDOMs in verschiedenen ADOMs auf dem FortiManager betreiben? ===
Wenn ich eine FortiGate mit verschieden VDOM habe kann die Anforderung kommen, dass ich auf dem FortiManager diese VDOMs in verschiedenen ADOMS verwalten will. Defaultmässig ist dies auf dem FortiManager nicht möglich, es kann aber den advanced Modus aktiviert werden. Wenn der Advanced adom Modus auf dem FortiManager aktiviert wurde, kann ich jede VDOM einer FortiGate in eine x-beliebe ADOM Instanz (Achtung OS Version beachten) zuweisen:

Der Advanced Modus kann im WebGui folgendrmassen aktiviert werden:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' wechseln
# Nun im Menu zu ''Advanced-> Advanced Settings'' navigieren
# Der ADOM Modus kann zwischen ''Normal'' und ''Advanced'' gewählt werden
[[Datei:Fortinet-3189.jpg|750px|link=]]
|}
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Syntax:
config system global
set adom-mode [advanced|normal]
end
Beispiel:
config system global
set adom-mode advanced
end
Warning: Enabling this option will result in a reduced operation mode and more complicated management scenarios. It is recommended only for advanced users.
Do you want to continue? (y/n)'''y''' <- mit '''y''' bestätigen
|}
----
add 05.07.2022 - 4tinu
=== Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren? ===

Damit nicht alle Administrationsuser auf dem FortiManager manuell erfasst werden können, ist es praktisch einen Remote Server zur Authentifizierung zu definieren. Dies hat der Vorteil, wenn ein User die Firma verlässt oder keinen Zugriff mehr kriegen sollte, kann der Account Zentral verwaltet werden.

Auf dem FortiAnalyzer haben wir die Möglichkeit verschiedene Remote Server für die Authentifizierung zu definieren:
* Radius Server
* LDAP Server
* TACACS+ Server
In unserem Beispiel schauen wir an, wie ein Radius Server eingerichtet wird:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In die ''System Settings'' navigieren
# Unter ''Admin->Remote Authentication Server'' auf ''Create New''
# Authentifizierungs Server Art auswählen (In unserem Fall ''RADIUS Server''
[[Datei:Fortinet-3194.jpg|750px|link=]]
|-
|
# Radius Server Name definieren
# IP Adresse oder fqdn des Radius Servers angeben
# Passwort des Radius Servers angeben
# Authenication Type definieren ('''ANY''', PAP, CHAP oder MSv2)
# Unter Advanced Optionen kann eine NAS IP definiert werden, falls dies Notwendig ist. Defaultmässig wird die ausgehende IP Adresse des FortiManagers verwendet.
# mit ''OK'' die Konfiguration abschliessen
[[Datei:Fortinet-3195.jpg|750px|link=]]
Im Menupunkt ''Test Connectivity'' kann die Verbindung zum Radius getestet werden:
[[Datei:Fortinet-3196.jpg|350px|link=]]
|}

----
add 07.07.2022 - 4tinu

=== Wie kann ich einen User vom Radius Server auf dem FortiManager einbinden? ===
Damit ich die User von einem Radius Server benutzen kann, muss ich als erstes auf dem FortiManager einen Radius Server definieren:
* [[FortiManager:FAQ#Wie_kann_ich_einen_Radiusserver_f.C3.BCr_die_Authentifzierung_im_FortiManager_konfigurieren.3F| Wie kann ich einen Radiusserver für die Authentifzierung im FortiManager konfigurieren?]]

Damit wir den Gruppeninhalt des Radiusservers erhalten müssen wir auf dem FortiManager einen Wildcard User eröffnen:
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# In das Menu ''System Settings'' navigieren
# ''Admin->Administrator'' auswählen
# Mit ''Create New'' kann der Radius Wildcarde User eröffnet werden
[[Datei:Fortinet-3197.jpg|750px|link=]]
|-
|
# Username definieren (Dieser muss nicht auf dem Radius existieren, kann frei gewählt werden)
# Optional kann eine Beschreibung hinzugefügt werden
# den ''Admin Type'' auf Radius stellen. Wichtig, die Option ''Match all users on remote server'' aktivieren. Wir werden dies in den Advanced Optionen noch regulieren
# Den Radiusserver welchen wir vorher definiert haben auswählen
# das Administrations Profil kann definiert werden, wir werden es aber auch über Radius Attripute den entsprechenden User zuweisen. Daher hier das Profil ''No_Permission_User'' auswählen
# Hier kann der Zugriff auf die ADOM definiert werden. IN diesemem Beispiel haben wir Zugriff auf Alle Adoms (''All ADOMs'') Wie man die Adoms per User definiert und über Radius Attriput definiert, schauen wir in einen anderen Artikel noch an
# Es kann das Theme speziell definiert werden, wir benutzen das Global festgelegte Theme
# Unter den Advanced Optionen können noch weitere Einstellungen vorgenommen werden
[[Datei:Fortinet-3198.jpg|750px|link=]]
Nun schauen wir noch die Erweiterten Einstellungen(''Advanced Options'' an, damit wir nur die definierte Gruppe berücksichtigen für die Authentifizierung. Weiter werden wir noch das Admin Profil zuweisen lassen vom Radiusserver:
# Der Parameter ''ext-auth-accprofile-override'' auf ''enable'' setzen. Dies bewirkt, dass das Radius Attriput welches wir mitliefern beachtet wird (Attribut Fortinet-Access-Profile)
# Der Parameter ''ext-auth-adom-override'' auf ''disable'' setzen. Wenn man die Adoms per User zuweisen will, muss dieser Parameter eingeschalten werden. Hier wird das Attribut Fortinet-Vdom-Name'' berücksichtigt
# Unter dem Punkt ''ext-auth-group-match'' wird definiert, aus welcher Gruppe die User berücksichtigt werden. Hier wird das Attribut Fortinet-Group-Name berücksichtigt.
# Mit ''OK'' wird der Radius Wildcard User auf dem FortiManager ausprobiert.
[[Datei:Fortinet-3199.jpg|750px|link=]]
Es muss natürlich jetzt auf dem Radius Server die entsprechende Konfiguration vorgenommen werden. 
Eine Anleitung wie man den FortiAuthentikator konfiguriert findet man [[FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F|in diesem Artikel]]
|}

----
add 07.07.2022 - 4tinu

== Device Manager ==
=== Wie kann ich ein FortiGate Update File auf den FortiManager hochladen? ===

Wenn man eine FortiGate über den FortiManager upgraden will, gibt es verschiedene Möglichkeiten, wie der FortiManager an das gewünschte FortiOS gelangt. Es gibt die Möglichkeit, dass der FortiManager das FortiOS direkt von der FortiGuard sich herunterlädt, wenn es benötigt wird.
Manchmal will man aber ein Spezial Build oder die Datei selber vom Supportportal herunterladen und dann auf den Manager hochladen. in diesem Artikel wird beschrieben, wie man so eine Datei auf den FortiManager hochlädt.
Wir möchten für die FortiGate 300D das FortiOS 6.4.2 Build 1723 auf den FortiManager hochladen.

{| class="wikitable" style="width:800px"
|- style="background:#c4dc92"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Das FortiOS kann man von der Supportseite wie gewohnt heruntergeladen werden:
# Sofware im Supportportal herunterladen. Supportportal von Fortinet: https://support.fortinet.com
[[file:Fortinet-2742.jpg|500px|link=]]
----
Das gewünschte FortiOS kann nun auf den FortiManager hochgeladen werden. Wenn die Software einmal für dieses Modell hochgeladen wurde, kann diese auch für die anderen Baugleichen Modelle benutzt werden (z.B FortiGate 300D in unserem Beispiel.)
# Device Manager --> Firmware --> Imported Images
[[file:Fortinet-2733.jpg|750px|link=]]
# Auf Import gehen
[[file:Fortinet-2744.jpg|750px|link=]]
# über Browse das entsprechende File auswählen
# mit OK den upload starten
[[file:Fortinet-2734.jpg|500px|link=]]
Nun sieht man das hochgeladene File in der Liste der importierten FortiOS Dateien:
[[file:Fortinet-2735.jpg|500px|link=]]
|-
|}

In diesem Dokument wird beschrieben wie eine FortiGate über den FortiManager upgegradet wird (FortiOS 5.6):

[[Datei:FortiManager-Upgrading-FortiGate Devices-56.pdf]]

=== Wie kann ich über den FortiManager 5.4 ein FortiGate Device upgraden? ===
Die FortiGate kann direkt über den FortiManager upgegradet werden. Man hat die Möglichkeit so den Update auf eine bestimmte Zeit zu planen oder auch direkt mehrere Geräte auf einmal upzugraden.
Der Upgrade wird über den DeviceManger in der entsprechenden Adom durchgeführt. Wichtig ist darauf zu achten, dass der FortiManager mindestens auf der selben FortiOS Version betrieben ist, in welche man das Gerät anheben will.

Man kann die FortiGate bequem über den FortiManager auf das gewünschte FortiOS upgraden. Auch hier gilt, dass man die Release Notes gut durchlesen muss. Der Upgrade Pfad muss auch über das Upgraden im FortiManager beachtet werden. Damit man die FortiGate über den FortiManager upgraden kann, empfiehlt es sich die entsprechende Software auf den FortiManager hochzuladen. Das FortiOS für die entsprechende FortiGate kann über das Support Portal von Fortinet im Download Bereich heruntergeladen werden.

{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1882.jpg]] || Im Device Manager auf Firmware und dann Importet Images.
|-
|[[Datei:Fortinet-1876.jpg]] || Import anwählen.
|-
|[[Datei:Fortinet-1877.jpg]] || Den Pfad angeben, in welchem das gewünschte FortiOS abgelegt ist, damit es auf den FortiManager hochgeladen werden kann.
|-
|[[Datei:Fortinet-1878.jpg]] || Das FortiOS Image wird auf den Manager hochgeladen. Dieses Image kann dann für alle Devices desselben FortiGate Modell benutzt werden.
|-
|}

Wenn das Image im FortiManager hochgeladen wurde, kann die FortiGate jetzt upgegradet werden:
{| class="wikitable" style="width:80%"
|- style="background:#c4dc92"
| style="width:750px"|
'''Konfiguration über das WebGui'''
|'''Beschreibung'''
|-
|[[Datei:Fortinet-1883.jpg]] || Das gewünschte Device selektieren und dann den Menupunkt Upgrade anwählen.
|-
|[[Datei:Fortinet-1879.jpg]] || Das hochgeladene Image kann jetzt im Dropdown Menu angewählt werden. (Upgrade Pfad muss beachtet werden!)
|-
|[[Datei:Fortinet-1880.jpg]] || Der Upgrade Prozess wird initiiert. (Image auf die FortiGate hochgeladen und das Upgrade durchgeführt)
|-
|[[Datei:Fortinet-1881.jpg]] || Im Taskmanager kann der Status des Updates überprüft werden. Den Taskmanager erreicht man unter System Settings -> Task Monitor
|-
|}
Wenn das Upgrade durchgeführt wurde, kann auf der FortiGate überprüft werden, ob der Upgrade sauber funktioniert hat.

=== Wie kann ich ein Custom FortiOS auf den FortiManager hochladen? ===
[[File:FortiOS_72.svg|50px|link=]]

Im FortiManager kann das Updaten von Devices einfach durchgeführt werden. Die Images werden normalerweise von der FortiGuard auf dem FortiManager zu verfügung gestellt. Falls man selber ein Image hochladen will (weil es von der FortiGuard noch nicht heruntergeladen wurde oder es ein spezial Build ist) kann es direkt auf den Manager hochgeladen werden.

Dabei muss man zuerst das entsprechende Image aus dem Support Portal --> https://support.fortinet.com heruntergeladen werden.
[[Datei:Fortinet-3249.jpg|550px|link=]]

Auf dem FortiManager in das Menu ''FortiGuard'' gehen:
[[Datei:Fortinet-3250.jpg|750px|link=]]
Danach im Seitenmenu den Punkt ''Firmware Images'' auswählen. Weiter auf den Menupunkt ''Local Images''
[[Datei:Fortinet-3251.jpg|550px|link=]]
Nun kann über den Butten ''Import'' das upload Menu geöffnet werden.
[[Datei:Fortinet-3252.jpg|550px|link=]]
Jetzt kann die vorher heruntergeladene Image Datei auf den FortiManager hochgeladen werden. (Datei einfach in das vorhandene schattierte Feld rein ziehen)
[[Datei:Fortinet-3253.jpg|550px|link=]]
Mit OK bestätigen und die Datei wird auf den Manager hochgeladen:
[[Datei:Fortinet-3254.jpg|550px|link=]]
Dieser Vorgang geht eine weile. (Bitte habt ein wenig Geduld. Solange der ''Return'' Button steht, ist der Vorgang nicht abgeschlossen!
[[Datei:Fortinet-3255.jpg|550px|link=]]
Sobald die Datei hochgeladen ist, wird eine Liste mit allen bereits hochgeladenen images angezeigt. Mit ''Close'' wird der Vorgang abgeschlossen.
[[Datei:Fortinet-3256.jpg|750px|link=]]
Nun kann die Datei bei einem Upgrade auf dem entsprechenden Device unter ''Local Images'' ausgewählt werden:
[[Datei:Fortinet-3257.jpg|750px|link=]]
----
add 28.10.2022 - 4Tinu

== Policy Manager ==
=== Wie kann ich bei einem Firewall Objekt eine ältere Version wieder aktivieren? ===
[[File:FortiOS_70.svg|50px|link=]]

Auf dem FortiManager wird bei jeder Objekt Mutation eine Revision erstellt, welche jederzeit wieder hervorgeholt werden kann. Diese Revision ist im Objekt selber einsehbar und auch wieder zurücksetzbar.
Die Objekt Revision geschieht automatisch.

Folgendes Objekt habe ich mit der IP Adresse 198.18.0.155 definiert:
[[Datei:Fortinet-2989.jpg|550px|link=]]
Um ein neues System zu testen, habe ich das Objekt auf 198.18.0.156 geändert:

Nach einiger Zeit möchte ich wieder die IP Adresse 198.18.0.155 haben. Dafür kann ich jetzt die Revert Funktion nutzen, da mir eine Objekt Revision automatisch erstellt wurde.:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Auf das entsprechende Objekt gehen und nach unten scrollen zum Menupunkt ''Revision History''
Nun können verschiedene Revisionen angewählt werden und dann den Div angezeigt werden, was zwischen den entsprechenden Revisionen geändert wurde:
# Mindestens zwei Revisionen anwählen:
# ''View Diff'' auswählen
[[Datei:Fortinet-2985.jpg|550px|link=]]
Nun sehen wir die Diffs der beiden Objekten:
[[Datei:Fortinet-2986.jpg|550px|link=]]
|}

Wenn wir ein Objekt wieder auf eine frühere Version setzen möchten, kann dies über die Funktion ''Revert'' passieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Objekt die entsprechende Version auswählen, auf welche das Objekt zurückgesetzt werden soll.
# Rechtsklick auf das Objekt und dann ''Revert'' anwählen.
[[Datei:Fortinet-2987.jpg|550px|link=]]
Die Sicherheitsfrage bestätigen:
[[Datei:Fortinet-2988.jpg|550px|link=]]
Im Revisons Protokoll kann diese Aktion auch nachvollzogen werden:
[[Datei:Fortinet-2990.jpg|550px|link=]]
|}

[[Datei:Fortinet-2987.jpg]]

[[Datei:Fortinet-2988.jpg]]

[[Datei:Fortinet-2990.jpg]]

[[Datei:Fortinet-2991.jpg]]

=== Wie kann ich ein dynamisches Interface Objekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Im Fortimanager ist es möglich, dass man ein Interface nach seinen Wünschen benennen kann und pro FortiGate (Device) ein originales Interface darauf "mappen" kann. Zum Beispiel habe ich auf einer FortiGate 60E das Interface ''internal1'', auf einer FortiGate 100E aber ''port1''. In meinem Policy Template im FortiManager möchte ich jetzt aber Geräte unabhängig ein Interface für ein Server Lan erstellen. Das heisst in meiner Regel ist das Source Interface immer das Objekt ''server-lan''. Wenn ich jetzt die FortiGate 60E in den Manager einbinde, hinterlege ich, dass ''internal1'' Interface dem ''server-lan'' Interface entspricht. Das selbe funktioniert dann mit der FortiGate 100E. Da hinterlege ich aber das der ''port1'' dem ''server-lan'' Interface entspricht.

'''Folgendermassen kann man das Konfigurieren:'''

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2509.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Zone/Interface -> Interface
# Create New und aus der Liste Dynamic Interface auswählen
|-
|
[[File:Fortinet-2510.jpg|link=]]
|
# Den gewünschten Interface Name angeben
# Optional noch eine Beschreibung des Interfaces hinterlegen
# im Menu Punkt Color kann dem Interface eine Farbe zugordnet werden.
# um das Mapping zu aktivieren muss der Schalter Per-Device Mapping auf on geschaltet werden
# unter Create New kann eine neue FortiGate mit dem Portmapping hinzugefügt werden.
|-
|
[[File:Fortinet-2511.jpg|link=]]
|
# Die gewünschte FortiGate (Device) auswählen
# das Original Interface auf der FortiGate auswählen, welches im FortiManager auf das angelegte Interface verweist.
# Mit OK die Aktion bestätigen
|-
|
[[File:Fortinet-2512.jpg|link=]]
|
# In der Liste unten kann man alle gemappten FortiGates sehen und welches Interface auf das dynamische Interface zeigt.
# mit OK schliesst man das ganze ab
|-
|}

=== Wie kann ich ein dynamisches Adressenobjekt im FortiManager konfigurieren? ===
[[File:fortiOS_60.svg|50px|link=]] [[File:fortiOS_62.svg|50px|link=]] [[File:fortiOS_64.svg|50px|link=]] [[File:fortiOS_70.svg|50px|link=]]

Wir haben auf dem FortiManager die Möglichkeit, Adressobjekte auch per Device zu definieren. Das heisst ein Adressobjekt welches im FortiManager ''internal-lan'' heisst, kann auf eine x-beliebige FortiGate deployed werden mit dem für die FortiGate relevanten IP-Wert.
Dies kann sehr praktisch sein, wenn man ein Policyset definiert und dieses Policyset für diverse FortiGates brauchen will. So muss ich nicht für jede FortiGate ein eigenes Policy Set definieren

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2514.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Addresses
# Create New
|-
|
[[File:Fortinet-2515.jpg|link=]]
|
# Adressen Objekt Namen definieren
# Den gewünschten Typ auswählen (wie auf der FortiGate)
# Es kann eine beliebige IP Adresse als Platzhalter definiert werden, wenn wir mit dynamischen Adressen Zuweisung arbeiten. Wenn wir das Objekt nicht zuweisen, wird dieser Wert verwendet!
# Die Farbe nach eigenen Wünschen definieren
|-
|
[[File:Fortinet-2516.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2517.jpg|link=]]
|
# Die FortiGate auswählen, auf welches das Adressobjekt zugewiesen werden soll
# Die IP Adresse für die ausgewählte FortiGate angeben (Diese Adresse wird dann auf der FortiGate konfiguriert sein)
# Kommentare und Farben können noch für das Gerät spezifisch definiert werden
# Mit OK wird das Adress Mapping für die ausgewählte FortiGate abgeschlossen.
|-
|}

=== Wie kann ich ein dynamisches VIP-Objekt im Fortimanager konfigurieren? ===

[[File:FortiOS_60.svg|50px|link=]] [[File:FortiOS_62.svg|50px|link=]]

Auf dem FortiManager ist es auch möglich, ein Virtuelle IP Objekt dynamisch zu konfigurieren. Dabei können auch die gemappten Interfaces benutzt werden. Im Prinzip wird ein Virtual IP (Destinations NAT) Objekt erstellt mit IP und Port Werten, welche dann per Device definiert werden kann. Mit diesem Objekt ist es also möglich zum Beispiel ein Destinations NAT Objekt für ein Mail Server zu definieren, welches dann auf die entsprechenden FortiGates mit den eigenen Werten deploeyed werden kann.

'''Folgendermassen kann man das Konfigurieren:'''
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2518.jpg|link=]]
|
# In die entsprechende ADOM gehen
# Policy & Objects auswählen [[File:Fortinet-2513.jpg|link=]]
# Auf Virtual IPs
# Create New
|-
|
[[File:Fortinet-2519.jpg|link=]]
|
# Objekt Name definieren
# Wenn gewünscht kann die Farbe definiert werden
# Interface auswählen, bei welchem das NAT Objekt terminiert. [[FortiManager:FAQ#Wie_kann_ich_ein_dynamisches_Interface_Objekt_im_FortiManager_konfigurieren.3F|(Dies kann auch ein gemapptes Interface sein)]]
# Für die External Adress (Orginal IP-Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Für Mapped IP Adress (Destinations NAT IP Adresse) kann ein beliebiger Wert als Variable gewählt werden.
# Port Forwarding aktivieren um definierte Ports zu definieren (Best Praxis)
# Es können für External Service Port und Map to Port auch beliebige Werte als Variable gesetzt werden.

|-
|
[[File:Fortinet-2520.jpg|link=]]
|
# Der Per-Device Mapping Schieber muss auf ON geschaltet werden
# mit Create New kann auf deinem Device ein neuer Wert zugewiesen werden
|-
|
[[File:Fortinet-2521.jpg|link=]]
|
# bei Mapped Device kann die FortiGate ausgewählt werden, auf welche das mapping zutreffen soll
# Bei External IP Address/Range kann jetzt die effektive orginal IP Adresse konfiguriert werden
# Bei Mapped IP Address/Range kann die effektive Ziel IP Adresse eingetragen werden.
# Bei Portforwarding die effektiven Ports definieren.
# Mit OK das mapping abschliessen.
|-
|}

=== Wie konfiguriere ich im FortiManager Policy Blocks? ===

[[File:FortiOS_62.svg|50px|link=]]

Policy Blöcke sind dafür da, um mehrere Regeln zusammen zu bündeln. Diese Policy Blöcke können im Policypaket, hinzugefügt werden. Dies hat der Vorteil, dass immer wiederkehrende Regeln auf verschiedene Policies Packet direkt zugwiesen werden können, ohne dass diese Regeln jedes Mal neu erstellt werden müssen. Dieses Feature ist in der Version 6.2.0 neu beim FortiManager hinzugefügt worden.

{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|
[[File:Fortinet-2561.jpg|link=]]
----
[[File:Fortinet-2560.jpg|link=]]
|
Damit man Policyblöcke einrichten kann, muss man zuerst das Menu anzeigen lassen. Dies geht folgendermassen:
# Im PolicyManager auf ''Tools -> Display Options''
# Policy Block Optionen aktivieren
|-
|
[[File:Fortinet-2562.jpg|link=]]
----
[[File:Fortinet-2563.jpg|link=]]
|

Im Seitenmenu wo die Policypaket angezeigt werden, wird jetzt der Ordner Policy Blocks mit angezeigt. Um einen neuen Policy Block zu erstellen, rechten Mausklick und ''New'' auswählen.
|-
|
[[File:Fortinet-2564.jpg|link=]]
|
# Konfigurieren des Policy Block Namen
# Zentrale Nat Option aktivieren oder deaktiviert lassen
# den NGFW Mode konfigurieren --> [[FortiGate-6.0-6.2:FAQ#Flow_Modus_-_NGFW|Was ist der NGFW Modus?]]

|-
|
[[File:Fortinet-2565.jpg|link=]]
|
# Im Seitenmenu kann unter Policy Blocks jetzt die entsprechende Policy angewählt werden (Rechtsklick)

|-
|
[[File:Fortinet-2566.jpg|link=]]
|
# Die Policy kann konfiguriert werden, wie die üblichen Policies.
# es empfiehlt sich bei den Adressen Objekten und den Interfaces mit dynamischen Objekten zu arbeiten.
|-
|
[[File:Fortinet-2567.jpg|link=]]
----
[[File:Fortinet-2568.jpg|link=]]
|
Um einen Policy Block im Regelwerk einzubinden muss folgendermassen vorgegangen werden:
# Im entsprechenden Policy Paket an der gewünschten Position Rechte Maustaste drücken
# Im Menu ''Insert Policy Block Above'' (oberhalb) oder ''Below'' (unterhalb) wählen, um den Block einzufügen.
# Den gewünschten Policy Block selektieren.

|-
|
[[File:Fortinet-2569.jpg|link=]]
|
Im Policy Paket sehen wir die eingefügten Blöcke jetzt hellgrau geschrieben. Diese können nur im Policy Block Register editiert werden und die Änderungen werden auf alle Policy Paket angewendet, in welcher dieser Block konfiguriert ist.

|-
|
[[File:Fortinet-2570.jpg|link=]]
|
Auf der FortiGate sehen wir die eingefügten Policy Blocks im Policy Set. Die Policy ID wird automatisch vom Manager hinzugefügt und ist in der Regel eine sehr hohe Zahl.
|-
|}

== Backup/Restore ==
=== Wie führe ich ein Backup auf dem FortiManager durch? ===
{| class="wikitable" style="width:80%"
|-
! style="background-color: #c4dc92; text-align:left;width:750px"| Konfiguration über das WebGui
! style="background-color: #c4dc92; text-align:left" | Durchzuführende Schritte
|-
|[[Datei:Fortinet-1872.jpg]] || Unter System Settings -> Dashboard -> System Configuration das Icon mit dem schrägen Pfeil nach oben anwählen.
|-
|[[Datei:Fortinet-1873.jpg]] || Das File kann durch ein Passwort gesichert und verschlüsselt werden. '''ACHTUNG''' wenn das Passwort verloren geht, gibt es keine Möglichkeit mehr das Backupfile wieder einzuspielen. Auch Fortinet ist nicht in der Lage das File zu entschlüsseln.
|-
|[[Datei:Fortinet-1874.jpg]] || Den Pfad angeben, wohin das File gespeichert werden soll, danach wird der Backup durchgeführt. Das Backup wird als .dat File abgelegt. Wenn das Backup über das WebInterface durchgeführt wird, sind nicht alle Informationen vorhanden (Logs und Reports und dessen Konfigurationen)

Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F]]
|-
|}

== FortiManager Cloud ==

=== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ===

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

=== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ===

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:43:35Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein '''Drop-Down mit sämtlichen Admin Profilen''', das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
Das gewählte Admin Profil final '''mit Häkchen bestätigen'''
[[Datei:FMGCloud_4.png|800px|link=]]
|}

Datei:FMGCloud 4.png

2023-03-03T08:42:41Z

Cvijetin Tanasic:

Chris spielplatz

2023-03-03T08:42:28Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein Drop-Down mit sämtlichen Admin Profilen, das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|-
|
Das gewählte Admin Profil final mit Häkchen bestätigen
[[Datei:FMGCloud_4.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:41:16Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird erst mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein Drop-Down mit sämtlichen Admin Profilen, das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|}

Datei:FMGCloud 3.png

2023-03-03T08:39:48Z

Cvijetin Tanasic: Cvijetin Tanasic lud eine neue Version von Datei:FMGCloud 3.png hoch

Datei:FMGCloud 3.png

2023-03-03T08:39:47Z

Cvijetin Tanasic:

Chris spielplatz

2023-03-03T08:39:21Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil Icon''' (wird es mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Es erscheint ein Drop-Down mit sämtlichen Admin Profilen, das gewünschte Admin Profil anschliessend auswählen
[[Datei:FMGCloud_3.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:38:03Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil-Icon''' (wird es mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|-
|
Anschliessend erscheint ein Drop-Down mit sämtlichen Admin-Profilen, kann hier ausgewählt werden
[[Datei:FMGCloud_3.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:23:10Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil-Icon''' (wird es mit Kursor sichtbar) anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:21:19Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das '''Pencil-Icon''' anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:20:52Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
'''''Admin''''' > '''''Administrators''''' > hier das Pencil-Icon anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:19:44Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
1 '''''Admin''''' > 2 '''''Administrators" > 3 Pencil-Icon anklicken
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:18:28Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
1 '''''Systems'''''
2 '''''Administrators"
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:16:51Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:FMGCloud2.png|800px|link=]]
|}

Chris spielplatz

2023-03-03T08:16:33Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:FMGCloud2.png|850px|link=]]
|}

Chris spielplatz

2023-03-03T08:16:16Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:FMGCloud2.png|750px|link=]]
|}

Datei:FMGCloud2.png

2023-03-03T08:15:10Z

Cvijetin Tanasic:

Chris spielplatz

2023-03-03T08:14:46Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:FMGCloud2.png|500px|link=]]
|}

Datei:FMGCloud 1.png

2023-03-03T07:20:23Z

Cvijetin Tanasic: Cvijetin Tanasic lud eine neue Version von Datei:FMGCloud 1.png hoch

Datei:FMGCloud 1.png

2023-03-03T07:19:32Z

Cvijetin Tanasic:

Chris spielplatz

2023-03-03T07:19:12Z

Cvijetin Tanasic: /* Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:FMGCloud_1.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

Chris spielplatz

2023-03-03T07:18:34Z

Cvijetin Tanasic: /* Wie verwalte ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Im Dashboard '''''System Settings''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

Chris spielplatz

2023-03-03T07:05:55Z

Cvijetin Tanasic: /* Wie verwalte ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

Chris spielplatz

2023-03-03T07:05:30Z

Cvijetin Tanasic: /* Wie verwalte ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}

Chris spielplatz

2023-03-03T07:02:58Z

Cvijetin Tanasic: /* Wie verwalte ich Administratoren Profile in FortiManagerCloud? */

Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;"> [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">

Crass TEST

</div>

<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>

=== Piktogramme ===

[[Datei:achtung.svg]]

[[Datei:alert.svg]]

[[Datei:info.svg]]

[[Datei:FortiOS_5x.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:FortiOS_6x.svg]]

[[Datei:FortiOS_60.svg]]

[[Datei:FortiOS_62.svg]]

[[Datei:FortiOS_64.svg]]

[[Datei:FortiOS_70.svg]]

[[Datei:FortiOS_56.svg]]

[[Datei:new.svg]]

[[datei:new.png]]

[[Datei:wichtig.svg]]

[[Datei:achtung.svg]]

== Reliable Logging ==

=== Wie aktiviere ich Reliable Logging? ===

Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert 
- Bestätigung im Fall eines erfolgreichen Transfers 
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
set mode udp | reliable | legacy-reliable

(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.

=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===

Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
</pre>
|}

== Authentifizierung ==

=== Troubleshooting ===

Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}

== Zertifikate ==

=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===

'''''Datenaustausch im Internet''''':

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.

'''''SSL Certificate Inspection''''':

Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.

Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.

'''''Full SSL Inspection''''':

Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.

Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.

=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:

- Private Key 
- Public Key 
- Zertifikat per se

Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}

=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===

FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.

- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden 
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden

Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
</pre>
|}

== Antivirus ==

=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===

FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set np accel-mode {none | basic}
end
</pre>
|}

=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===

FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ips global
set cp-accel-mode {none | basic | advanced}
end
</pre>
|}

== SSL-VPN ==

=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
edit <portal_name>
set host-check [none|av|fw|av-fw|custom] *
set host-check-interval <seconds>
end

* Erklärungen
none: kein Host-Check
av: Antivirus-Software-Check
fw: Firewall-Software-Check
av-fw: Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===

'''Methode 1: Client-Zertifikat'''

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set reqclientcert enable
end
</pre>
|}

'''Methode 2: FortiGate CA-Zertifikat'''

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set servercert <certificate>
end
</pre>
|}

=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.

'''Methode 1: IP-Adressen von Hosts'''

Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
set source-address <46.22.16.164>
end
</pre>
|}

Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set source-address-negate [enable|disable]
end
</pre>
|}

'''Methode 2: MAC-Adressen von Hosts'''

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
edit <portal-name>
set mac-addr-check [enable|disable]
set mac-addr-action [allow|deny]
end
</pre>
|}

=== Wo finde ich SSL-VPN Logs? ===

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]

'''''VPN Events''''':

- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' 
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''

'''''User Events''''':

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}

=== Wie verhindere ich Logout von SSL-VPN-Usern? ===

Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden
set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
end
</pre>
|}

Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set http-request-header-timeout <1-60>
set http-request-body-timeout <1-60>
end
</pre>
|}

=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===

Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''

Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.

Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config vpn ssl settings
set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
set login block-time [Wert; Sekunden] -> 0-86400 möglich
end
</pre>
|}

=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===

'''Im CLI'''

'''Schritt 1:''' '''''Firewall Address''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "restriction_switzerland" -> Name der "Firewall Address"
set type geography
set country "CH" -> erlaubt Verbindungen aus "CH"
next
end
</pre>
|}

'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall addrgroup
edit "Geo_restriction_ssl_vpn"
set member "restriction_switzerland"
next
end
</pre>
|}

'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config ssl vpn settings
set soure-address "Geo_restriction_ssl_vpn"
end
</pre>
|}

'''Im GUI'''

'''Schritt 1:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}

'''Schritt 2:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}

'''Schritt 3:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}

=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
[[Datei:Fortinet-323202.png|550px|link=]]

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.

'''Lösung:'''

'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config firewall address
edit "Restricted_Acccess" -> Bespiel-Name
set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
next
end
</pre>
|}

'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden 
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
set dstaddr "all"
set service "ALL"
set schedule "always"
next
end
</pre>
|}

Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]

== Logs und Reports ==

=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===

'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]

Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.

|- style="background:#89E871"
|}

'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]

|- style="background:#89E871"
|}

=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===

Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''

'''''Event Traffic Logs''''': 
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren 
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

'''''Local Traffic Logs''''': 
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität 
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]

Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.

|- style="background:#89E871"
|}

=== Wie aktiviere ich Logging in der Firewall Policy? ===

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: 

'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. 
'''''All Sessions''''': Logs werden alle Sessions generiert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}

In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:

# diagnose log test

Anonymisieren von User-Namen innerhalb Logs:

# config log setting
set user-anonymize enable
end

Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk allogs [ftp|tftp|usb]

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:

# excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}

=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

'''Standardeinstellungen''': 
Low = 5 
Medium = 10 
High = 30 
Critical = 50 

Diese Werte können gemäss individuellen Präferenzen geändert werden.

'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}

== Multi-Gigabit mit FortiSwitch ==

=== Was ist Multi-Gigabit? ===

Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.

Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.

=== Welche FortiSwitch unterstützt dieses Feature? ===

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')

== FortiToken:FAQ ==

=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===

FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.

=== Wie wird bei FortiToken Cloud abgerechnet? ===

Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:

'''Daily Point Usage''' = 
('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab 

- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab 

- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: 
Current Month Usage: '''3 Points''' 
Current Balance: '''117 Points''' (= 120 – 3)

Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''

Weiter zu beachten ist:

FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von '''1 Jahr'''.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.

Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]

== IGMP mit FortiSwitch ==

=== Was ist IGMP und IGMP Snooping? ===

'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.

=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===

Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.

Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3

== FortiAP und 5.0 GHZ ==

=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===

Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

----
edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu

=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

== FortiAnalyzer Cloud ==

=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===

Folgende Features werden unterstützt:

Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}

=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)

'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') 
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')

'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. 
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet 
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service 
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert 
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''

Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: 
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===

'''FAZ Cloud Base''' bietet einen Standard-Speicher von '''total 500 GB'''.

'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):

[[file:Fortinet-3034.jpg|350px|link=]]

'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.

'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):

[[file:Fortinet-3035.jpg|300px|link=]]

== Logs und Reports ==

=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]

Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
set cli-audit-log [enable/disable]
end
</pre>
|}

Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" 
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" 
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"

== NAT ==

=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]

In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>

DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>

Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}

== ZTNA ==

=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]

ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern zugänglich, welche die Applikationen tatsächlich benötigen 
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.

=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:

[[file:Fortinet-3036.jpg|630px|link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}

== FortiGateCloud - Troubleshooting ==

=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===

'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''

'''Lösungen:'''

- Passwort muss '''maximal 20 Zeichen''' enthalten

- '''Port443''' muss offen/verfügbar sein

- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können

- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get
# end
# diag debug console timestamp enable
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}

- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}

- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt

=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}

- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist

=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen

=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===

- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}

=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===

- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}

- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}

=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===

1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen

2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen

3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen

4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren

=== Was muss ich beim Auto-Backup beachten? ===

- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''

=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind

- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann

- Mittels '''Device Key''' das '''Inventory''' importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}

== Fortinet Support Portal ==

=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===

Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare

=== Wie erstelle und ich einen neuen Account im Support Portal? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}

'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen

[[Datei:Fortinet-5000.png|700px|]]

'''Schritt 2:'''
E-Mail Adresse auswählen

[[Datei:Fortinet-5001.png|700px|]]

'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

[[Datei:Fortinet-5002.png|700px|]]

'''Schritt 4:'''
Passwort setzen

[[Datei:Fortinet-5003.png|700px|]]

'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

[[Datei:Fortinet-5004.png|1000px|]]

'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren

[[Datei:Fortinet-5005.png|1000px|]]

'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

[[Datei:Fortinet-5006.png|700px|]]

=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===

Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

[[Datei:Fortinet-5007.png|700px|]]

== Lizenzierung/FortiGuard ==

=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

'''Firewall:''' Firewall-Services funktionieren weiterhin

'''High Availability''': Clustering funktioniert weiterhin

'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin

'''Advanced Routing''': Routing-Engine funktioniert weiterhin

'''SD-WAN''': SD-WAN-Services funktionieren weiterhin

'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin

'''QoS & Traffic Shaping''': Beides funktioniert weiterhin

'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

'''Anti Virus''': AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Anti Malware''': AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr

=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===

Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}

{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| [[File:info.svg|50px|link=]]
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]

== Firewall Regeln ==

=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]

Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.

'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# diag autoupdate versions | grep -A6 Geo

Beispiel-Output:

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

</pre>
|}

'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute update-geo-ip
</pre>
|}

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

== Administrator ==

=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:

FGT# config system global
FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:

FGT# config system global
FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| [[File:hinweis.svg|50px|link=]]
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}

== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==

Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:

'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''

Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. '''multi-device subscription SKUs''':

'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''

Diese Multi-Device Lizenzen unterstützen u.A. folgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!

Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''

Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

== Wie verwalte ich Administratoren Profile in FortiManagerCloud? ==

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

'''Restricted User'''
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine ''System Privilege'' 
'''Standard_User'''
Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' 
'''Super_User'''
Super User Profil hat sämtliche ''System and Device Privileges'' -> dieses Profil ist nicht editierbar 
'''Package_User'''
Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy & Object Privileges'' 
'''Detaillierte Auflistung unter folgendem Link:''' https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions