FortiGate-5.4-5.6:FAQ: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1.499: | Zeile 1.499: | ||
Ebenso ist betreffend UTM Features folgendes zu berücksichtigen: Wenn für eine Firewall Policy Rule ein Security Profile konfiguriert wird dh. zB. "Antivirus" so wird kein "offloading" mehr durchgeführt, da das Paket/Session durch den "CP" (Content Prozessor) abgearbeitet werden muss und somit kann das Paket nicht den direkten Weg über den "NP" Prozessor wählen. Somit anstelle die Option "auto-asic-offload" für eine Firewall Policy Rule zu deaktiveren um "offload" zu deaktivieren, kann das gleiche erreicht werden in dem vorübergehend für die entsprechende Firewall Policy ein Security Profile aktiviert wird. Somit muss festgestellt werden: Ist für eine Firewall Policy Rule ein UTM Features aktiviert wird kein "offloading" mehr durchgeführt! | Ebenso ist betreffend UTM Features folgendes zu berücksichtigen: Wenn für eine Firewall Policy Rule ein Security Profile konfiguriert wird dh. zB. "Antivirus" so wird kein "offloading" mehr durchgeführt, da das Paket/Session durch den "CP" (Content Prozessor) abgearbeitet werden muss und somit kann das Paket nicht den direkten Weg über den "NP" Prozessor wählen. Somit anstelle die Option "auto-asic-offload" für eine Firewall Policy Rule zu deaktiveren um "offload" zu deaktivieren, kann das gleiche erreicht werden in dem vorübergehend für die entsprechende Firewall Policy ein Security Profile aktiviert wird. Somit muss festgestellt werden: Ist für eine Firewall Policy Rule ein UTM Features aktiviert wird kein "offloading" mehr durchgeführt! | ||
== | == Proxy Options / Protocol Options == | ||
=== Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert? === | === Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert? === | ||
Version vom 29. Dezember 2015, 16:40 Uhr
FortiGate-5.4:FAQ
24 X 7 PROMOTION bis 31. März 2016 Weitere Informationen finden Sie hier!
Vorwort
Diese FAQ's sind für Fortinet Systeme basierend auf OS 5.4. Zu Test-Zwecken stand eine Fortigate 60D zur Verfügung!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend Fortigate Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fortigate/admin-guides
FortiOS 5.4
Datei:Fortigate-Whats-New-54.pdf (FortiOS 5.4 Handbook - What's New)
Datei:Fortigate-CLI-Ref-54.pdf (FortiOS 5.4 CLI Reference)
Datei:FortiOS-Log-Reference-54.pdf (FortiOS 5.4 FortiOS Log Reference)
Datei:FortiOS-Upgradepath-54.pdf (FortiOS 5.4 Supported Upgrade Paths for Firmware) Datei:FortiOS-Software-Platform-Matrix-54.pdf (FortiOS 5.4 Feature / Platform Matrix)
Datei:FortiGate Managed FortiSwitch Matrix.pdf (Managed FortiSwitch Compatibility Matrix) Datei:FortiOS-Compatibility-FMG-FAZ.pdf (Managed FortiManager/FortiAnalyzer Compatibility Matrix)
Datei:Fortigate-Authentication-54.pdf (FortiOS 5.4 Handbook - Authentication) Datei:Fortigate-Carrier-54.pdf (FortiOS 5.4 Handbook - Carrier) Datei:Fortigate-HA-54.pdf (FortiOS 5.4 Handbook - High Availability) Datei:Fortigate-IPSec-VPN-54.pdf (FortiOS 5.4 Handbook - IPsec VPN) Datei:Fortigate-IPv6-54.pdf (FortiOS 5.4 Handbook - IPv6) Datei:Fortigate-Load-Balancing-54.pdf (FortiOS 5.4 Handbook - Load Balancing) Datei:Fortigate-Managing-Devices-54.pdf (FortiOS 5.4 Handbook - Managing Devices) Datei:Fortigate-Managing-Switch-54.pdf (FortiOS 5.4 Handbook - Managing FortiSwitch from FortiGate) Datei:Fortigate-Optimal-Life-54.pdf (FortiOS 5.4 Handbook - Optimal Path Processing "Life of a Packet") Datei:Fortigate-SSL-VPN-54.pdf (FortiOS 5.4 Handbook - SSL VPN) Datei:Fortigate-Security-Profiles-54.pdf (FortiOS 5.4 Handbook - Security Profiles) Datei:Fortigate-WANopt-Cache-Proxy-54.pdf (FortiOS 5.4 Handbook - WAN Optimization, Web Cache, Explicit Proxy, and WCCP) Datei:Fortigate-Wireless-54.pdf (FortiOS 5.4 Handbook - Deploying Wireless Networks)
Gibt es einen direkten Link auf die "Fortinet Knowledgebase" auf der die "KB Artikel" alle aufgelistet sind?
Die Fortinet "Knowledgebase" Artikel sind über den folgenden Link erreichbar:
http://kb.fortinet.com/
Ueber diesen Link sieht man die verschiedenen Fortinet Produkte die man anwählen und über eine Suchfunktion für das entsprechende Produkt einen entsprechenden "KB Artikel" suchen kann. Möchte man jedoch sämtliche "KB Artikel" auflisten - vorallem die Neusten - ist dies über den Link nicht möglich. Nachfolgender Link bietet diese Möglichkeit dh. sämtliche "KB Artikel" werden aufgelistet (die Neusten zu oberst):
http://pub.kb.fortinet.com/index/
Hardware
Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices?
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Ueber diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:
Variante Device Label
Die "Hardware Revision" wird als "label" auf der Rückseite eines FortiGate Devices aufgeführt in
nachfolgender Form und als Strich-Code:
PN: P15968-01
Variante FortiOS
Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information:
# get system status | grep Part-Number
System Part-Number: P15968-01
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht erruiert werden sei es über ein "label" noch über CLI. Wenn diese Informatione dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:
Fortinet:Support-Case NOTE Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet: Wenn eine neue "Hardware Revision" für diesen Device released wird so kann diese über eine PN Nr "P15968-01" verfügen jedoch als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von: PN Nummer (Hardware Revision) + Hardware Generation Diese Information der "Hardware Revison" sowie "Hardware Generation" sind dann wichtig wenn es sich um einen Cluster handelt. Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!
Wo finde ich eine Uebersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist?
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:
NOTE Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht komuniziert:
https://forum.fortinet.com/tm.aspx?m=100451#100451
LEGENDE
FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
I2 = Intel Core 2 Duo
I3 = Intel Pentium III
I4 = Intel Pentium 4
IA = Intel Atom
IC = Intel Celeron (Covington)
II3 = Intel Core i3
II5 = Intel Core i5
IM = Intel Mobile
IX = Intel Xeon
CP: Content Processor
NP: Network Processor
SoC: System on a Chip
Was für FortiGate Devices stehen in den verschiedenen Verfügung und welche ist die Richtige?
Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB:
- Ueber was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll?
- Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Dowstream/Upstream)?
- Wieviele User werden durch den FortiGate Device geschützt?
- Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw)
- Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)?
- Werden spezielle Interface's benötigt zB SFP+
- Wird ein spezieller Durchsatz in einem Bereich benötigt?
- Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.?
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenüber gestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorieren wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenüber gestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:
Fortinet:ProduktInfo#Fortinet_Produkt-Matrix
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. Desweiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:
Fortinet:ProduktInfo#FortiGate
Desweiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:
Fortinet:ProduktInfo#Fortinet_Produkt-Guide
Nachfolgend als Anhaltspunkt eine Uebersicht der FortiGate Devices in den verschiedenen Kategorieren wie "Entry Level, Midsize usw.":
Wie kann ich auf einem FortiGate Device einen Hardwartest ausführen (Troubleshooting/HQIP Testing)?
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am ende der Seite. Nachfolgend der direkte Link für "HQIP Images":
https://support.fortinet.com/Download/HQIPImages.aspx NOTE Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.
Auf der FortiGate wird dieses HQIP Image wie beim "staging" Prozess selber über TFTP hochgeladen. Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "staging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Console muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:
Category > Session > Logging > All Session output
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Scritp ausgeführt wird:
-> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden)
-> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers.
Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
um diesen runterzuladen:
SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx
-> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
Konfiguration der FortiGate durchzuführen!
-> Führe ueber die Serielle Console nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:
# execute shutdown
-> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate
verbunden werden (Beispiel: FortiGate-60D)
_____________________________
| RS232 Verbindung |
Consolen Port | |
___________|___ | RS232 Anschluss
| | ____|_______________
| FortiGate 60D | 192.168.1.100/24 | |
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
| | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
WAN1 | |
|_____________________|
NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
-> Oeffne über Putty eine Serielle Verbindung (Console) und achte darauf das "putty" für Log aktiviert wurde.
Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:
FortiGate-60D (10:49-11.12.2014)
Ver:04000024
Serial number: FGT60D4615013788
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu
Unterbreche den Boot-Prozess durch "Press any key"
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
Enter C,R,T,F,I,B,Q,or H: T
Please connect TFTP server to Ethernet port 'WAN1'.
MAC: 08:5b:0e:d9:18:f0
Connect to tftp server 192.168.1.100 ...
############################################################
Image Received.
Checking image... OK
ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern sondern NUR Ausführen!
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?R
Reading boot image... 1829759 bytes.
Initializing firewall...
System is starting..
Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...
You are running HQIP test program. To start testing, login as "admin" without password, and type:
diagnose hqip start
Logge dich nun ein anhand der obigen Informationen!
HQIP login: admin
Password:
Welcome !
HQIP # diagnose hqip start
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:
1.BIOS Integrity Check
2.System Configuration Check
3.Memory test
4.CPU test
5.CPU/Memory Performance Test
6.FortiASIC Test
7.USB Test
8.Boot Device Test
9.Hard Disk Test
10.Network Interface Controller Test
11.NPU DDR Memory Test
12.LED Test
13.Reset Button Test
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerkport gemäss Grafik oberhalb "überlistet"):
Datei:Hqip-output-v54.txt
Um die Fortigate wieder in den Orginalzustand zu versetzen führe ein Login über die Serielle Consoel durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:
HQIP login: admin
Password:
Welcome !
HQIP # execute reboot
This operation will reboot the system !
Do you want to continue? (y/n)y
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:
System is started.
The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'
Führe ein Login durch und führe folgendes aus:
# diagnose debug config-error-log read
>>> "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)
Oftmals ist ein einfach Neustart der Fortigate nötig um das Problem zu beheben:
# execute reboot
Für eine FortiGate Device der "E" Serie existiert kein HQIP Image wie kann ich dennoch einen Hardwartest ausführen?
Bei der "E" Serie kann von der "Support" Seite kein seperates HQIP Image herungergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf der "E" Serie ein "diagnose" Kommando zur Verfügung der diese "Hardware Tests" im Stil von "HQIP" durchführt:
# diagnose hardware test [Parameter]
Als "Parameter" kommen folgende Attribute in Frage:
bios führt eine BIOS spezifische Überprüfung durch
system führt eine System spezifische Überprüfung durch
usb führt eine USB spezifische Überprüfung durch
button führt eine button spezifische Überprüfung durch
cpu führt eine CPU spezifische Überprüfung durch
memory führt eine Memory spezifische Überprüfung durch
network führt eine Netzwerkinterface spezifische Überprüfung durch
disk führt eine disk spezifische Überprüfung durch
led führt eine LED spezifische Überprüfung durch
wifi führt eine Wireless spezifische Überprüfung durch
suite runthe HQIP test suite
setting die Testeinstellungen können auf diesen Weg geändert werden
info zeigt die aktuellen Test Parameter an
Gibt es für FortiGate Device's eine Uebersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist?
Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren. Diese Dokumente stehen jedoch nur für FortiGate Devices 100D und höher zur Verfügung.
Datei:FG-100D Airflow.pdf Datei:FG-200D Airflow.pdf Datei:FG-300C Airflow.pdf Datei:FG-600C 800C Airflow.pdf Datei:FG-1000C Airflow.pdf Datei:FG-1500D Airflow.pdf Datei:Fg-3700D Airflow.pdf
Disk
Wie kann ich auf einer FortiGate die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen?
Ab FortiOS 5.0.5 gibt es die Möglichkeit die "Disk" (Internal) und/oder den "System Boot Device" über "low level" zu formatieren. Dies ist dann Wichtig wenn ein Device entsorgt wird oder dem Hersteller im RMA Fall zurückgesendet werden soll um so zu gewährleisen, dass sämtliche enthaltenen Daten auf der Disk gelöscht werden sollen. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk" resp. des "System Boot Device's" mit zufälligen Daten 3 X überschrieben um so zu gewährleisten das die vorhandenen Daten komplett gelöscht werden. Ab FortiOS 5.0.5 steht für diesn Vorgang folgender Befehl zur Verfügung:
# execute erase-disk [SYSTEM | Internal]
Wenn ein Device aus Gründen der "Security Gründen" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an der es ermöglicht bei einem RMA Austausch den Device selber zu entsorgen anstelle diesen dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F
Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen ob diese Fehler enthält?
Anhand des Befehls "diagnose disktest" kann auf einer FortiGate ab FortiOS 5.2.1 die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maitenance Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss anhand des Befehls zuerst die entsprechende Disk gewählt werden. Um die Disk's aufzulisten benutze folgenden Befehl:
NOTE Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit läuft der Test für
7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2".
Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:
"User interrupt! Restoring data back to disk....".
Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst gewählt werden. Daraus ergiebt sich folgendes Vorgehen:
Liste die vorhandenen Device's auf:
# diagnose disktest device
1 /dev/sda, size 3864MB, boot device
2 /dev/sdb, size 7728MB
Selektieren die gewünschte Disk zB /dev/sdb dh. "2":
# diagnose disktest device 2
Current Test Device: /dev/sdb
Setze für den Test verschiedene Optionen dh.:
# diagnose disktest [bllock | time | size]
NOTE Die Optionen haben folgende Bedeutung:
block Die Blocksize für jede Lese- sowie Schreiboperation.
time Die Limite der Testzeit für jeden Zyklus. Standard "keine Limite".
size Die Limite der Testgrösse für jeden Zyklus. Standard "keine Limite".
Wenn der gewünschte Device gesetzt/gewählt wurde/ist sowie sofern notwendig die Optionen konfiguriert wurden führe den Test aus:
# diagnose disktest run
Round 1 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec) Size(MB) Read(MB/s) Write(MB/s)
0.0 0(0.00%): .................................................. 15.0 8.6
76.0 200(2.59%): .................................................. 15.1 8.9
150.2 400(5.18%): .................................................. 15.0 9.0
224.3 600(7.76%): .................................................. 15.0 8.9
298.8 800(10.35%): .................................................. 15.1 8.9
372.9 1000(12.94%): .................................................. 15.1 9.0
446.9 1200(15.53%): .................................................. 15.1 9.0
520.7 1400(18.12%): .................................................. 15.2 9.0
594.4 1600(20.70%): .................................................. 15.1 9.0
668.4 1800(23.29%): .................................................. 15.2 9.0
742.1 2000(25.88%): .................................................. 15.3 9.0
815.8 2200(28.47%): .................................................. 15.3 9.0
889.5 2400(31.06%): .................................................. 15.3 8.9
963.1 2600(33.64%): .................................................. 15.4 9.0
1036.7 2800(36.23%): .................................................. 15.3 9.0
1110.3 3000(38.82%): .................................................. 15.3 9.0
1183.9 3200(41.41%): .................................................. 15.3 9.0
1257.6 3400(44.00%): .................................................. 15.3 9.0
1331.2 3600(46.58%): .................................................. 15.3 9.0
1404.7 3800(49.17%): .................................................. 15.3 9.0
1478.3 4000(51.76%): .................................................. 15.3 9.0
1551.9 4200(54.35%): .................................................. 15.2 8.9
1625.8 4400(56.94%): .................................................. 14.5 8.6
1702.5 4600(59.52%): .................................................. 15.0 8.8
1777.3 4800(62.11%): .................................................. 15.2 8.9
1851.6 5000(64.70%): .................................................. 15.1 8.9
1925.9 5200(67.29%): .................................................. 15.1 8.9
2000.3 5400(69.88%): .................................................. 15.1 8.9
2074.7 5600(72.46%): .................................................. 15.1 8.9
2148.9 5800(75.05%): .................................................. 15.2 8.9
2223.2 6000(77.64%): .................................................. 15.2 8.8
2297.5 6200(80.23%): .................................................. 15.1 8.9
2371.9 6400(82.82%): .................................................. 15.2 8.9
2446.2 6600(85.40%): .................................................. 15.1 8.9
2520.5 6800(87.99%): .................................................. 15.3 8.9
2594.6 7000(90.58%): .................................................. 14.6 8.6
2671.4 7200(93.17%): .................................................. 15.1 8.4
2748.0 7400(95.76%): .................................................. 15.3 5.4
2851.2 7600(98.34%): ................................
Test Result: Passed
Tested size: 7728MB (100.00% Coverage of whole disk)
Time used: 2901.5 sec
Read Speed: 15.2MB/s
Write Speed: 8.7MB/s
Round 1 Finished!
Round 2 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec) Size(MB) Read(MB/s) Write(MB/s)
0.0 0(0.00%): .................................................. 14.7 8.4
77.9 200(2.59%): .............User interrupt! Restoring data back to disk...
Test Result: Interrupted
Tested size: 256MB (3.31% Coverage of whole disk)
Time used: 99.3 sec
Read Speed: 14.7MB/s
Write Speed: 8.4MB/s
Round 2 Finished!
Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt?
Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test Manuell ausführt siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F
Wie erwähnt wurde für ein "unclean shutdown" (zB Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start Prozess dies erkannt wird und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" das auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt das ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint:
System is starting...
Starting system maintenance...
scanning /dev/sda2... (100%)
In vorhergehenden Versionen des FortiOS dh. zB 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet ab FortiOS Version 5.2.3 wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde:
Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt so wird ein Neustart des Devices ausgeführt und dieser "filesystem check" beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem Einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!
PowerSupply
Kann man für FortiGate's seperate Spare und/oder Redundante PowerSupply (RPS) beziehen?
Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für die grösseren Devices stehen zusätzlich für die Redundanz ebenfalls "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatible sind zu den seperaten "RPS Devices" siehe nachfolgender Artikel:
Fortinet:ProduktInfo#FortiRPS
Nachfolgende Tabelle zeigt für welchen FortiGate Device welches sperate zu beziehende "PowerSupply" bestellt werden kann:
Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply":
ALSO Art Nr. Hersteller SKU Beschreibung
16503530H SP-FG20C-PA-EU AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D
16502510H SP-FG80-PDC AC power adaptor - AC power adaptor for FG/FWF-80C/CM
16501668H SP-FG60C-PDC AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D
16502889H SP-FG600C-PS AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C
16505060H SP-FG1240B-PS AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B
Ebenso stehen für die FortiAP sowie FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F
SFP Ports
Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte wie Cisco oder Huawai einsetzen?
Dies ist möglich jedoch ausgiebig vorgängig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren:
Copper GigaBit 10/100/1000
GLC-T=746320861579 Cisco Catalyst GigaEthernet SFP Modul 1000Base T
02314171 Huawayi Electrical Transceiver SFP Module 1000Base T
NOTE Durch Fortinet werden ebenfalls nicht eigenen Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver
über Fortinet bestellt, wird ein Transceiver zB von Huaway geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+
Module von Fortinet sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel:
FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F
Welche FortiGate Device's unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert?
Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden:
NOTE NIL = Not Included!
Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden jedoch gibt es keine Gewährleistung das diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F) NOTE Desweiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt werden (speziell Seite 2 "3rd Party Transceivers Support"): Datei:Tech Note-Transceivers FAQs-201407-R3.pdf
Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung:
Transceiver LX, Long Range; all FortiGate models with SFP interfaces ALSO SKU 16500426H (Hersteller SKU FG-TRAN-LX)
Transceiver SX, Short Range; all FortiGate models with SFP interfaces ALSO SKU 16500428H (Hersteller SKU FG-TRAN-SX)
Transceiver Base-T (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000) ALSO SKU 16500427H (Hersteller SKU FG-TRAN-GC)
10-Gig transceiver, short range SFP+; all FortiGate models with SFP+ interfaces ALSO SKU 16500429H (Hersteller SKU FG-TRAN-SFP+SR)
10-Gig transceiver, short range XFP; all FortiGate models with XFP interfaces ALSO SKU 16500430H (Hersteller SKU FG-TRAN-XFPSR)
10-Gig transceiver, SFP+, Long Range; all FortiGate models with SFP+ interfaces ALSO SKU 16500431H (Hersteller SKU FG-TRAN-SFP+LR)
10-Gig transceiver, XFP, Long Range; all FortiGate models with XFP interfaces ALSO SKU 16500432H (Hersteller SKU FG-TRAN-XFPLR)
40-Gig transceiver, QSFP+, short range; all FortiGate models with QSFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+SR)
40-Gig transceiver, QSFP+, long range; all FortiGate models with QSFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR)
100-Gig transceiver, CFP2, short Range; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber) ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10)
100-Gig transceiver, CFP2, long Range; all FortiGate models with CFP2 interfaces (only singlemode) ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-LR4)
Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung:
10-Gig transceiver, SFP+, 10m direct attach cable; all FortiGate models with SFP+ and SFP/SFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)
Eine detaillierte Beschreibung der Tranceivereigenschaften befindet sich im folgenden Dokument:
Datei:TRAN-DAT-R2-201503 web.pdf
Was sind die genauen Spezifikationen der SFP's Module die von Fortinet für die FortiGate Devices geliefert werden?
Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird und welche SFP/SFP+ Module offiziell für die FortiGate's zur Verfügung stehen:
FortiGate-5.4:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F
In der nachfolgenden Tabelle werden die technischen Spezifikationen aufgelistet der SFP Module die von Fortinet für die FortiGate Devices geliefert werden:
NOTE Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" und über diesen sind weitere Informationen verfügbar:
http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1
Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver:
Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-SX Rev 1.03.pdf Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-LR4 Rev 1.00.pdf Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-SR10 Rev 1.00.pdf
ASIC/Hardware Acceleration
Consolen Port (Mgmt. Port)
Was für ein Kabel (Converter) benötige ich für den Consolen Anschluss (Seriell RS-232) auf einer FortiGate?
Eine Fortinet kann über Consolen Port, SSH, Telnet, HTTP, HTTPS Administriert werden. Bei Problemen oder für das initial Setup ist der Consolen Port unablässlich. Dabei handelt es sich beim Consolen Port über eine RS232 Schnittstelle. Die heutigen Workstation und/oder Laptops werden jedoch nicht mehr mit einem RS232 Anschluss ausgeliefert. Aus diesem Grund muss auf einen Converter zurückgegriffen werden. Bei diesen Convertern handelt es sich meistens um "USB to RS232 Converter". Dieses sind jedoch nicht unproblematisch dh. je nach Betriebssystem, Consolen Anschluss usw. kann es zu Problemen kommen dh. die Kompatibilität zu den verschiedenen Consolen Anschlüssen dh. vers. Hersteller und Geräten ist eine kompatibilitäts Frage! Der nachfolgende Artikel bietet eine "sehr hohe" Kompatibilität zu vers. Herstellern und hat den Vorteil, dass unter Windows 7/8 KEIN Treiber installiert werden muss (ab Windows 7 SP1). Wichtig bei der Installation ist nur das man das Gerät anschliesst und nachträglich einen Neustart ausführt. Ebenfalls wird der "FTDI Chip" basierende "USB to RS232 Converter" nur dann korrekt erkannt wenn dieser beim Start des Laptop korrekt angeschlossen ist (Immer den gleichen Anschluss benützen am Laptop). Nach der korrekten Erkennung des "USB to RS232 Converter" kann im entsprechenden Eintrag im Gerätemanager der Anschluss auf "Com1" umgestellt werden (per Standard ist Com3 gesetzt). Alle anderen Einstellungen sollten/können auf Standard belassen werden. Nachfolgend einige Informationen betreffend dieses "USB to RS232 Converter":
Datei:Fortinet-619.jpg
Technische Daten
Hersteller: EXSYS (https://www.exsys.ch/index.php?page=product&info=393)
Produkte-Nr: EX-1301-2
ALSO-Nr: [17500313H]
Anschlüsse: 1 x A-Stecker Upstream, 1 x 9 Pin D-SUB Seriell Stecker
Datenblatt: Datei:EX-1301-2-Datenblatt.pdf
Handbuch: Datei:EX-1301-2-Handbuch.pdf
Unterstützung: Win98SE/ME/XP/CE/2000/2003/Vista/Win7 und Linux (MacOS X)
Driver: Datei:EX-1301-2.zip
Driver Link: https://www.exsys.ch/index.php?page=product&info=393
Beschreibung: Das USB 1.1 zu RS-232 Kabel stellt eine Serielle RS-232 High Performance UART 16C550 Ausgang zur Verfügung.
Er ist entwickelt worden um einen weiteren Seriellen Ausgang für PC, kleine Workstation oder Server über
den USB 1.1 oder 2.0 Bus zu erweitern.
NOTE Beim EX-1301-2 wird "kein" RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender
ALSO-Nr bezogen werden:
[16502947H]
Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfigiguriert wird inkl. der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:
Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf
Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Consolen Port siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F
Wie sieht die PIN-Belegung der Seriellen Consolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus?
Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Console der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail:
NOTE Einige FortiGate Devices haben einen RS-232 DB9 Konsolen Verbindung und andere haben eine RJ-45 Verbindung
(wie zB A Modelle). Ebenso existieren Modelle mit einem AUX Port. Alle diese Varianten benützen die gleiche
Serielle Pin-Belegung!
Kann ich auf einer FortiGate den Seriellen Consolen Port (RS-232) deaktivieren?
Wenn man zB verhindern möchte, dass in einem Datacenter usw. über den Seriellen Console Port unerlaubt zugegriffen wird, kann dieser ab FortiOS 5.0 mit folgenden Befehl deaktiviert werden:
# config system console
# set login disable
# end
NOTE Dieses Kommando steht ab FortiOS 5.0 zur Verfügung und deaktiviert unter FortiOS 5.0 den "Seriellen Consolen" Port
sowie den "USB" Port für den FortiExplorer. Ab FortiOS 5.2 wurde dieses Kommando erweitert dh. durch den hier gezeigten
Befehl wird ab FortiOS 5.2 nur der "Consolen Port" deaktiviert und der "USB" Port muss sofern gewünscht seperat deaktiviert
werden:
# config system console
# set fortiexplorer disable
# end
Web Gui
Unter FortiOS 5.4 ist der Hostname auf der Login Page ersichtlich wie kann ich diesen aktivieren/deaktivieren?
Wenn man über das Web Mgmt. Interface einer FortiGate unter FortiOS 5.4 einloggt dann kann es sein das die Login Seite den "Hostnamen" des FortiGate Devices zeigt:
Möchte man diesen "Hostnamen" über die Login Page aktivieren resp. deaktivieren kann folgendes ausgeführt werden:
# config system global
# set gui-display-hostname [enable | disable]
# end
Unter FortiOS 5.4 kann ich zwar "Dashboards" sowie "Widgets" einblenden jedoch nicht mehr eigenen konfigurieren?
Unter FortiOS 5.4 fällt einem auf das keine zusätzlichen Dashboard's mehr erstellt werden können dh. es stehen über Mgmt. Web Interface folgende Konfigurationspunkte zur Verfügung:
Durch "Add Widget" kann ein zusätzliches "Widget" eingeblendet werden:
Möchte man nun ein zusätzliches "Dashboard" und/oder ein zusätzliches "Widget" über CLI konfigurieren ist dies nicht mehr möglich da folgende Befehle nicht mehr exisiteren:
# config system admin
# edit [Name des Administrators zB "admin"]
# config dashboard-tabs
# end
# config system admin
# edit [Name des Administrators zB "admin"]
# config dashboard
# edit 0
# set widget-type app-usage
# set widget-type storage
# set widget-type protocol-usage
# set widget-type device-os-dist "Deivce/
# next
# end
Somit steht unter FortiOS 5.4 nur das per Standard existierende "Dashbaord" zur Verfügung sowie die zur Verfügung stehenden "Widgets" die unter "Add Widgets" hinzugefügt werden können. Möchte man die Standard Konfiguration betreffend "Dashboard" wiederherstellen kann der Menüpunkt "Reset Dashboard" ausgeführt werden oder man kann unter CLI folgendes durchführen:
# diagnose sys dashboard reset
Durch diesen Befehl und/oder durch Ausführen von "Reset Dashboard" führt das System folgendes durch für den eingeloggten "Administratore" zB "admin":
# config system admin
# edit "admin"
# config dashboard
# edit 1
# set column 1
# end
# end
# config system admin
# edit "admin"
# config dashboard
# edit 2
# set widget-type licinfo
# set column 1
# end
# end
# config system admin
# edit "admin"
# config dashboard
# edit 3
# set widget-type jsconsole
# set column 1
# end
# end
# config system admin
# edit "admin"
# config dashboard
# edit 4
# set widget-type sysres
# set column 2
# end
# end
# config system admin
# edit "admin"
# config dashboard
# edit 5
# set widget-type alert
# set column 2
# set top-n 10
# end
# end
Unter FortiOS 5.4 sehe ich über das Web Gui nicht alle Features wie kann ich diese aktivieren/deaktivieren?
Wenn man unter FortiOS 5.4 auf dem Web Mgmt. Interface einloggt kann es sein, dass nicht alle Features resp. Menüpunkte angezeigt werden. Ein Beispiel ist zB die "Local In Policy". Auf dem Web Mgmt. Interface stehen diese Features zur Verfügung um diese zu aktivieren resp. zu deaktiveren:
System > Feature Select
Diese Feature sind ebenfalls über CLI verfügbar. Der Vorteil der CLI liegt darin das dort einige zusätzliche Features zur Verfügung stehen die über Web Mgmt. Interface nicht zur Verfügung stehen. Um die verschiedenen Features im Gui Bereich aufzulisten kann folgender Befehl benutzt werden:
# config system settings
# get | grep gui
gui-default-policy-columns:
gui-icap : disable
gui-implicit-policy : enable
gui-dns-database : enable
gui-load-balance : disable
gui-multicast-policy: enable
gui-dos-policy : enable
gui-object-colors : disable
gui-replacement-message-groups: enable
gui-voip-profile : enable
gui-ap-profile : enable
gui-dynamic-profile-display: disable
gui-ipsec-manual-key: disable
gui-local-in-policy : enable
gui-explicit-proxy : enable
gui-dynamic-routing : enable
gui-dlp : enable
gui-sslvpn-personal-bookmarks: enable
gui-sslvpn-realms : enable
gui-policy-based-ipsec: enable
gui-threat-weight : enable
gui-multiple-utm-profiles: enable
gui-spamfilter : enable
gui-application-control: enable
gui-casi : enable
gui-ips : enable
gui-endpoint-control: enable
gui-dhcp-advanced : enable
gui-vpn : enable
gui-wireless-controller: enable
gui-switch-controller: enable
gui-fortiap-split-tunneling: enable
gui-webfilter-advanced: enable
gui-traffic-shaping : enable
gui-wan-load-balancing: enable
gui-antivirus : enable
gui-webfilter : enable
gui-dnsfilter : enable
gui-waf-profile : enable
gui-fortiextender-controller: disable
gui-advanced-policy : disable
gui-allow-unnamed-policy: enable
gui-email-collection: enable
gui-domain-ip-reputation: enable
# set [Gebe die gewünschte Gui Option an] [enable | disable]
# config system global
# get | grep gui
gui-certificates : enable
gui-custom-language : enable
gui-device-latitude :
gui-device-longitude:
gui-display-hostname: enable
gui-ipv6 : disable
gui-lines-per-page : 50
gui-theme : green
gui-wireless-opensecurity: enable
# set [Gebe die gewünschte Gui Option an] [enable | disable]
# end
Kann man auf einer FortiGate unter FortiOS 5.4 die Spalten innerhalb der "IPv4 Policy" konfigurieren?
Wenn man auf einer FortiGate unter FortiOS 5.4 eine Firewall Policy Rule erstellt dh. unter dem Menüpunkt "IPv4 Policy" dann werden nach der Erstellung der Firewall Policy Rule diese innerhalb verschiedener Spalten angezeigt. Diese Spalten können zwar im Browser verändert dh. zusätzliche Spalten hinzgefügt und gelöscht werden, jedoch diese Konfiguration ist nicht "persistent" dh. wenn der Browser Cache gelöscht wird geht die Konfiguration die über den Browser durchgeführt wurde verloren. Ueber die CLI sind diese Spalten der Firewall Policy Rule dh. für den Menüpunkt "IPv4 Policy" konfigurierbar und "persistent". Dazu führe folgendes aus:
NOTE Die Konfiguration unter zB FortiOS 5.2 für die "gui-default-policy-columns" geht bei einem Upgrade auf
FortiOS 5.4 verloren. Der Grund ist die verschiedenen zur Verfügung stehenden Optionen wie zB "count"
existieren nicht mehr. Anstelle von "count" wird "hit_count" benutzt und aus diesem Grund wird die
Konfiguration nach einem Upgrade auf "unset" gesetzt was wiederum bedeutet auf FortiOS 5.4 "Standard"!
# config system settings
# set gui-default-policy-columns ?
*name Column name.
# Seq #.
name Name.
policyid Policy ID.
srcintf Source.
dstintf Destination.
srcaddr Source Address.
dstaddr Destination.
schedule Schedule.
service Service.
action Action.
logtraffic Log.
nat NAT.
status Status.
bytes Bytes.
packets Packets.
session Sessions.
last_used Last Used.
first_used First Used.
hit_count Hit Count.
profile Security Profiles.
av-profile AV.
spamfilter-profile Email Filter.
webfilter-profile Web Filter.
application-list Application Control.
ips-sensor IPS.
dlp-sensor DLP.
icap-profile ICAP Profile.
voip-profile VoIP Profile.
profile-protocol-options Proxy Options.
ssl-ssh-profile SSL Inspection.
vpntunnel VPN Tunnel.
comments Comments.
source Source.
users Users.
groups Groups.
devices Devices.
profile-group Profile Group.
traffic-shaper Traffic Shapers.
per-ip-shaper Per-IP Traffic Shaper.
endpoint-compliance Endpoint Compliance.
Aus den zur Verfügung stehenden Optionen kann somit folgendes als Beispiel ausgeführt werden:
# set gui-default-policy-columns "#" "policyid" "srcintf" "dstintf" "srcaddr" "dstaddr" "schedule" "service" "groups" "action" "profile" "logtraffic" "nat" "bytes" "hit_count"
# end
NOTE bei der Konfiguration muss berücksichtig werden das die "Sequenz" dh. "#" definiert werden muss. Zusätzlich muss "name" ebenfalls
definiert werden sofern das Feature "gui-allow-unnamed-policy" nicht aktiviert ist was wiederum bedeutet, dass dieses Feature
innerhalb eine Firewall Policy erzwingt jeder Firewall Policy Rule einen Namen zu vergeben!
DNS
Wie konfiguriere unter FortiOS 5.4 auf einer FortiGate die System DNS Server?
Eine FortiGate benützt für verschiedenen Funktionen einwandfreie und schnell antwortende DNS Server. Sind diese nicht erreichbar oder antworten nicht dementsprechend beeinflusst dies verschiedenen Dienst der FortiGate wie zB das WebFiltering. Um die System DNS Server einer FortiGate zu konfigurieren kann das Mgmt. Web Interface benutzt werden. Die Konfiguration findet man unter folgenden Menüpunkt:
Network > DNS > Specifiy
Per Standard sind auf jeder FortiGate die "FortiGuard" DNS Server definiert. Die FortiGuard DNS Server ist ein Service innerhalb "FortiGuard" resp. es muss mind. "FortiCare" lizensiert werden damit die "FortiGuard DNS Server" benutzt werden können. Es ist grundsätzlich nicht empfohlen diesen Dienst zu benutzen sondern die ISP DNS Server zu konfigurieren. Um die Konfiguration der DNS Server über CLI durchzuführen führe folgendes aus:
# config system dns
# set primary [IPv4 Adresse des DNS 1 Serves]
# set secondary [IPv4 Adresse des DNS 2 Servers]
# set domain [Lokale Domaine "optional"]
# set cache-notfound-response [enable | disable]
# set dns-cache-limit [Maximum Einträge die im Cache verbleiben; Standard 5000]
# set dns-cache-ttl [Maximum Zeit in der ein DNS Eintrag im Cache vebleibt; Standard 1800]
# set source-ip [Source IP die benutzt werden soll für die DNS Anfrage]
# end
NOTE Die Option "cache-notfound-response" ist ein Log Relevanter Eintrag dh. wird ein DNS Eintrag nicht im Cache
gefunden wird dem Log "NOTFOUND" hinzugefügt!
Wie kann ich auf einer FortiGate unter FortiOS 5.4 den DNS Cache löschen, DNS Statistik auflisten usw.?
Wenn auf einer FortiGate die DNS Server konfiguriert wurden stehen für diesen DNS Dienst auf der FortiGate verschiedenen Optionen zur Verfügung um diese zu manipulieren dh. zB neu zu starten. Nachfolgender Befehl zeigt wie die verschiedenen Option die zur Verfügung stehen aufgelistet werden:
# diagnose test application dnsproxy
1. Clear DNS cache
2. Show stats
3. Dump DNS setting
4. Reload FQDN
5. Requery FQDN
6. Dump FQDN
7. Dump DNS cache
8. Dump DNS DB
9. Reload DNS DB
10. Dump secure DNS policy/profile
11. Reload Secure DNS setting
12. Show Hostname cache
13. Clear Hostname cache
14. DNS debug bit mask
Anhand dieser Optionen lässt sich zB der DNS Cache des DNS Dienstes löschen:
# diagnose test application dnsproxy 1
Nachfolgend den Befehl um den DNS Statistik aufzulisten:
# diagnose test application dnsproxy 2
Kann ich auf einer FortiGate unter FortiOS 5.4 eine bestimmte "DNS Anfrage" umschreiben (translation)?
Wenn in einer bestimmten Umgebung eine "DNS Anfrage" anderst beantwortet werden soll als in einer anderen Umgebung spricht man von einem "Split DNS Server" dh. dieser beantwortet Anfragen von bestimmten "Source Adressen" anderst als von anderen "Source Adressen". Dies wird dann genutzt wenn "Interne" Informationen und "Externe" kollidieren. Beispiel: Wenn ein User als Mail Server "mail.mydomain.ch" konfiguriert hat so wird dieser Mail Server ausserhalb des "Office" als "Public IP" aufgelöst also zB "212.59.153.125". Benutzt der User den Mail Server im "Office" und im Office existiert "kein" Interner DNS Server so wird "mail.mydomain.ch" abermals als "Public IP" aufgelöst. Der Nachteil ist - obwohl sich der User und Mail Server im gleichen Segment befindet - wird der Traffic von "mail.mydomain.ch" - da dieser mit der Public IP aufgelöst wird - zur Firewall gesendet. Der Grund ist Routing bedingt dh. "212.59.153.125" befindet sich nicht im internen Netz, also wird der Traffic über den Default Gateway des Users zur Firewall gesendet. Die richtige Lösung für dieses Problem ist ein "Split DNS" Server dh. wenn ein interner DNS Server vorhanden ist so wird ein "Forwarder" für "mydomain.ch" konfiguriert und für "mail.mydomain.ch" die IP Adresse zB "192.168.1.100" konfiguriert, denn diese stellt die interne Adresse von "mail.mydomian.ch" dar. Ist kein interner DNS Server vorhanden kann die "Split DNS" Server Funktion auf einer FortiGate benutzt werden. Kann man aus irgendwelchen Gründen kein "Split DNS" Server konfigurieren kann die Funktion "dnstranslation" benutzt werden. Diese Funktion steht im Zusammenhang mit dem "Session-Helper". Um eine "dnstranslation" zu konfigurieren muss die CLI benutzt werden. In unserem Beispiel gehen wir von folgender Konstellation aus:
Mail Server FQDN mail.mydomain.ch
Mail Server Public IP 212.59.153.125
Mail Server Internal IP 192.168.1.100
Als nächstes muss kontrolliert werden ob für DNS (udp) ein entsprechender "session-helper" existiert:
# show system session-helper
edit 13
set name dns-udp
set port 53
set protocol 17
Ist der "session-helper" für DNS (udp) nicht vorhanden konfiguriere diesen folgendermassen:
# config system session-helper
# edit [Wähle einen Integer zB 20]
# set name dns-udp
# set port 53
# set protocol 17
# end
NOTE Weitere Informationen über die Option "protocol" siehe nachfolgender Artikel:
Allgemein:Assigned-Internet-Protocol-Numbers-RFC
Als nächstes kann die Funktion "dnstranslation" konfiguriert werden anhand dieser wir gemäss unserem Beispiel eine entsprechende Antwort des DNS Servers auf "mail.mydomain.ch" mit der IPv4 Adresse von "212.59.153.125" umschreiben (translate) auf die interne IPv4 Adresse "192.168.1.100":
# config firewall dnstranslation
# edit [Gebe einen Integer an zB "1"]
# set dst [IPv4 Internal Adresse von mail.mydomain.ch "192.168.1.100"]
# set netmask [Netmask für mail.mydomain.ch "255.255.255.255"]
# set src [IPv4 Public Adresse von mail.mydomain.ch "212.59.153.125"]
# end
Die Anfrage an den Public DNS Server sowie dessen Antwort werden folgendermassen auf der FortiGate abgearbeitet:
Anfrage = User --> nslookup mail.mydomain.ch --> Anfrage an Public DNS Server --> FortiGate Policy Allow --> Public DNS Server Anfrage "mail.mydomain.ch"
Antwort = Public DNS Server Antwort mail.mydomain.ch --> 212.59.153.125 --> FortiGate "Session-Helper" --> "dnstranslation" Funktion = 192.168.1.100 --> User
NOTE Wie hier in diesem Beispiel gezeigt kann die Funktion anhand "nslookup" getestet werden und somit verifiziert werden
ob die "dnstranslation" korrekt funktioniert!
In diesem Sinne kann jede DNS Anfrage die über die FortiGate läuft umgeschrieben werden (translate). Natürlich ist diese Funktion nicht "nur" auf Public DNS Server beschränkt sondern nur auf Port 53 DNS (udp). Dies bedeutet diese Funktion "dnstranslation" kann ebenfalls für temporaere Umleitungen im internen Bereich benutzt werden!
DDNS
Wie konfiguriere unter FortiOS 5.4 auf einer FortiGate den "DDNS" Server Dienst basierend auf FortiGuard?
Grundsätzlich steht die Konfiguration eines DDNS (Dynamic Domain Name System) auf einer FortiGate über Mgmt. Web Interface unter folgender Position zur Verfügung:
Network > DNS > Use FortiGuard Servers
Wie aus der Abbildung ersichtlich wird mit einer Meldung daraufhingewiesen, dass der "FortiGuard Service" nicht erreichbar ist dh. bei diesem "DDNS" Dienst handelt es sich um einen FortiGuard Service und muss somit Lizensiert werden. Der "DDNS" Dienst von "FortiGuard Service" ist enthalten in der "FortiCare" Lizensierung. Weitere Informationen dazu welche Dienste in "FortiCare" enthalten sind siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Wenn_ich_.22nur.22_DDNS_.28Dynamic_DNS.29.2C_GeoIP.2C_NTP_und_DNS_Service_von_FortiGuard_benutze_was_muss_ich_im_Minimum_lizensieren.3F
Die "DDNS" Konfiguration über Mgmt. Interface lässt sich nur dann konfigurieren wenn der "FortiGuard Service" erreichbar ist resp. verfügbar. Nichts desto trotz kann die Konfiguration auch über CLI durchgeführt werden, unabhängig ob der "FortiGuard Service" erreichbar ist oder nicht. Die Konfiguration wird folgendermassen durchgeführt:
# config system ddns
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set ddns-server FortiGuardDDNS
# set ddns-domain [Zu verwendeter Hostname plus DDNS Dienst zB "myhost.fortidyndns.com"]
# set use-public-ip [enable | disable]
# set monitor-interface [Angabe des entpsrechenden Interface's für den Hostnamen zB "wan1"]
# set bound-ip [Definition IPv4 Adresse wenn "use-public-ip" aktiviert wurde]
# end
NOTE Unter normalen Umständen ist "use-public-ip" nicht zu aktivieren dh. durch die Definition von "monitor-interface" wird der
definiert "Hostname" resp. "ddns-domain" auf das definiert Interface gebunden und dessen IPv4 Adresse. Dabei spielt es keine
Rolle ob die IPv4 Adresse "statisch" und/oder "dynamisch" konfiguriert wurde. Möchte man über den "DDNS" Service eine "public"
IPv4 Adresse konfiguriert die zwar im Subnet des definierten Interfaces enthalten ist jedoch nicht direkt auf dem Interface
konfiguriert wurde, kann durch Aktivierung der Option "use-public-ip" diese anhand "bound-ip" definiert werden!
Kann ich auf einer FortiGate unter FortiOS 5.4 einen "DDNS" Server Dienst wie zB "dyndns" konfigurieren?
Neben den "FortiGuardDDNS" Service kann auf einer FortiGate weitere "DDNS" Dienste konfiguriert werden. Diese sind die Folgenden:
dyndns.org members.dyndns.org and dnsalias.com
dyns.net www.dyns.net
ods.org ods.org
tzo.com rh.tzo.com
vavic.com Peanut Hull
dipdns.net dipdnsserver.dipdns.com
now.net.cn ip.todayisp.com
dhs.org members.dhs.org
easydns.com members.easydns.com
genericDDNS Generic DDNS based on RFC2136.
Die Konfiguration muss jedoch über CLI durchgeführt werden und steht über Mgmt. Interface nicht zur Verfügung:
# config system ddns
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set ddns-server [dyndns.org | dyns.net | ods.org | tzo.com | vavic.com | dipdns.net | now.net.cn | dhs.org | easydns.com | genericDDNS]
# set ddns-domain [Zu verwendeter Hostname plus DDNS Dienst zB "myhost.fortidyndns.com"]
# set ddns-auth [disable | tsig]
# set ddns-keyname [DDNS Key Name]
# set ddns-key [DDNS Update Key (base 64 encoded)]
# set ddns-username [Gebe einen DDSN Usernamen an]
# set ddns-password [Gebe einen DDSN Passwort an]
# set use-public-ip [enable | disable]
# set monitor-interface [Angabe des entpsrechenden Interface's für den Hostnamen zB "wan1"]
# set bound-ip [Definition IPv4 Adresse wenn "use-public-ip" aktiviert wurde]
# set ddns-ttl [TTL in Sekunden; Standard 300]
# end
NOTE Unter normalen Umständen ist "use-public-ip" nicht zu aktivieren dh. durch die Definition von "monitor-interface" wird der
definiert "Hostname" resp. "ddns-domain" auf das definiert Interface gebunden und dessen IPv4 Adresse. Dabei spielt es keine
Rolle ob die IPv4 Adresse "statisch" und/oder "dynamisch" konfiguriert wurde. Möchte man über den "DDNS" Service eine "public"
IPv4 Adresse konfiguriert die zwar im Subnet des definierten Interfaces enthalten ist jedoch nicht direkt auf dem Interface
konfiguriert wurde, kann durch Aktivierung der Option "use-public-ip" diese anhand "bound-ip" definiert werden!
Durch die Konfiguration eines "DDNS" Server resp. "genericDDNS" wird ermöglicht einen eigenen "DDNS" Server zu betreiben. Dabei ist jedoch zur berücksichtigen, das auf dem installierten "DDNS" Server "clear-text" Passwörter erlaubt werden da der "DDNS" Dienst auf der FortiGate keine "verschlüsselten" Passwörter unterstützt. Kommt es nachträglich zu Problemen mit dem "DDNS" Dienst kann dieser anhand eines Troubleshooting verifiziert werden. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_auf_einer_FortiGate_Verbindungsprobleme_f.C3.BCr_den_.22DDNS.22_Dienst_verifizieren.3F
Wie kann ich unter FortiOS 5.4 auf einer FortiGate Verbindungsprobleme für den "DDNS" Dienst verifizieren?
Um ein Troubleshooting auf einer FortiGate betreffend "DDNS" Dienst durchzuführen muss folgendes auf der CLI durchgeführt werden:
Setze alle Debug Filter zurück
# diagnose debug reset
Setze einen Debug Filter für die Applikation "ddnscd"
# diagnose debug console time enable
# diagnose debug application ddnscd -1
Aktiviere den Debug Modus mit dem gesetzen Debug Filter
# diagnose debug enable
Um den Debug Modus zu beenden und alle Filter zurück zu setzen führe folgendes aus:
# diagnose debug disable
# diagnose debug reset
Wenn der "DDNS" Service/Verbindung nicht zu stande kommt dh. zB. falscher Domain Name, Passwort etc. wird durch die FortiGate alle 300 Sekunden (5 Minuten) eine neue Verbindung aufgebaut! Wenn eine Verbindug erfolgreich war wird diese nach 2'592'000 Sekunden (30 Tage) erneut überprüft. Somit sollte der Debug Befehl mind 10 - 15 Minuten laufen um überhaupt Informationen aufzuzeichnen! Wenn der "output" des Debug an den Support weitergeleitet wird, sollten die Passwörter im "output" des Debug entfernt werden da in der "DDNS" Verbindung das Passwort für den "DDNS" Dienst "clear-text" übermittelt wird!
Was muss bei einem "Hardware Ausstausch" betreffend "DDNS Name" auf einer FortiGate berücksichtigt werden?
Wenn eine "DDNS" Name über einen "DDNS" Dienst registriert wird, ist dieser "Einmalig" und kann nicht zweimal beim gleichen "DDNS" Dienst vergeben werden! Wenn es nun zu einem Hardware Austausch kommt muss folgender berücksichtigt werden: Der "DDNS" Name muss auf der alten Hardware resp. FortiGate deaktiviert werden sei es über Mgmt. Web Interface oder über CLI:
Network > DNS > Use FortiGuard Servers > [Deaktivier "FortiGuardDDNS" Position]
# config system ddns
# del [Gebe den entsprechenden Integer an zB "1"]
# end
Durch das Deaktivieren des "DDNS" Dienstes auf der FortiGate resp. "DDNS" Name wird dieser De-Registriert beim entsprechenden "DDNS" Dienst. Wenn die "alte" FortiGate Hardware nicht mehr zur Verfügung steht zB weil Defekt muss bei Fortinet für den "FortiGuardDDNS" Dienst ein Ticket eröffnet um den "DDNS" Name für die alte Hardware zu De-Registrieren. Dabei ist Wichtig im entsprechenden Ticket die "alte" Serien Nummer des alten FortiGate Devices aufzuführen, den entsprechenden "DDNS" Namen sowie die neue Seriene Nummer des FortiGate Devices. Wird nicht "FortiGuardDDNS" Dienst genutzt sondern ein anderer Dienst wie zB. "dyndns.org", muss eine entsprechende Anfrage an diesen Dienst gesetellt werden für die De-Registrierung des "DDNS" Namens!
Upgrade
Soll ich (Stand Dezember 2015) ein Upgrade auf FortiOS 5.4.0 durchführen?
Es ist bei der FortiOS 5.4.0 zu beachten, dass es sich um einen neuen "General Availlibility Release" handelt. Wie aus den "Release Notes" zu entnehmen ist existieren auf diesem "Release 5.4.0" noch etliche "known issues". Ebenso stehen momentan noch nicht alle Informationen zur Verfügung betreffend den neuen Features und Funktionen zur Verfügung. Aus diesem Grund empfehlen wir diesen Release nicht für einen "produktiven Einsatz" da dieser Release aus unsere Sicht nicht "stable" ist. Für Testgeräte oder Laborgeräte ist es aber eine gute Sache sich mit dem neuen Release vertraut zu machen und sich in den neuen Release einzuarbeiten. Man kann sich mit dem neuen Menudesign vertraut machen und die neuen Features auf Herz Niere testen. Dabei ist jedoch die Kompatibilität zu anderen Devices wie zB FortiAnalyzr, FortiManager sowie FortiAP's zu berücksichtigen die in den "Release Notes" von FortiOS 5.4.0 explizit erwähnt werden.
Datei:Fortios-v5.4.0-release-notes.pdf
Es ist zu erwarten, dass neue Devices wie zB eine FG-30E, FG-50E mit dem neuen FortiOS 5.4.0 ausgeliefert werden. Speziell neue Devices wie FG-30E und FG-50E werden dann mit einem sogenannten "Brache Release" ausgeliefert was nicht dem "General Availibitliy Relase" entspricht. Aus diesem Grund und in jedem Fall empfehlen wir neue Devices von Grund auf neu zu "stagen". Wie dies durchzuführen ist siehe nachfolgender Artikel:
FortiGate:KonfigExample#How_to_Staging.2FSetup_.22Konfigurations_Example.22.3F
Welche FortiGate Geräte/Devices werden vom neuen FortiOS 5.4 unterstützt?
Das neue FortiOS Unterstützt wie nachfolgend abgebildet folgende Geräte:
Dies bedeutet: Nur die hier abgebildeten Geräte können durch ein Upgrade mit FortiOS 5.4 betrieben werden.
FortiView
In FortiView unter FortiOS 5.4 werden "unbekannte Applikationen" sowie "lokaler Traffic" nicht aufgelistet?
Unter der Voraussetzung das ein "logging" auf einer FortiGate korrekt konfiguriert wurde fällt einem auf, dass "unbekannte Applikationen" sowie "lokaler Traffic" nicht unter FortiView aufgelistet werden. Dies bedeutet: Wird "Application Control" benutzt und eine FortiGate kann eine Applikation nicht "identifizieren" fehlt dieser "Traffic" per Standard unter FortiView. Möchte man diese "unbekannten Applikationen" dennoch auflisten kann dies durch folgende Konfiguration durchgeführt werden:
# config log gui-display
# set fortiview-unscanned-apps [enable | disable]
# end
Ebenso wird der "lokale Traffic" einer FortiGate dh. initiert durch den Device selber wie zB DNS, FortiGuard usw. nicht unter FortiView aufgelistet. Möchte man diesen "lokalen Traffic" auflisten so kann dies folgendermassen Konfiguriert werden:
# config log gui-display
# set fortiview-local-traffic [enable | disable]
# end
Diese Konfiguration kann auch über Mgmt. Web Interface durchgeführt werden unter folgender Position:
Prozesse
Wie kann ich unter FortiOS 5.4 die Prozesse die auf einer FortiGate existieren auflisten?
Auf einer FortiGate existieren unzählige von Prozesse und Dienste die zuständige sind um die verschiedenen Aufgaben einer Firewall durchzuführen. Um die Prozesse aufzulisten kann folgendes Kommando benutzt werden:
# diagnose sys top [refresh_time_sec] [number_of_lines]
Somit möchte man einfach die "top" 20 Prozesse (Standard) auflisten kann der vorhergende Befehl benutzt werden ohne Optionen von "refresh_time_sec" sowie "number_of_lines":
# diagnose sys top
Run Time: 1 days, 5 hours and 23 minutes
1U, 2N, 0S, 97I; 1839T, 1421F
miglogd 55 S 3.1 1.3
newcli 2136 R < 0.5 0.8
ipsengine 114 S < 0.0 3.8
httpsd 119 S 0.0 1.9
httpsd 162 S 0.0 1.9
cmdbsvr 38 S 0.0 1.4
pyfcgid 2090 S 0.0 1.4
pyfcgid 2092 S 0.0 1.3
pyfcgid 2094 S 0.0 1.3
pyfcgid 2093 S 0.0 1.3
ipshelper 69 S < 0.0 1.2
sslvpnd 73 S 0.0 1.2
httpsd 57 R 0.0 1.1
httpsd 118 S 0.0 1.0
cw_acd 108 S 0.0 0.9
forticron 66 S 0.0 0.9
wad 99 S 0.0 0.8
fgfmd 107 S 0.0 0.8
scanunitd 110 S < 0.0 0.8
newcli 2086 S < 0.0 0.8
Um den Befehl resp. die Funktion zu beenden benütze "Ctrl + C". Wenn Prozesse untersucht/beobachtet werden sollen dh. ob diese viele Resourcen beanspruchen etc. kann anhand "refresh_time_sec" und "number_of_lines" der Befehl erweitert werden. Dies bedeutet: Nachfolgendes Beispiel zeigt wie der Befehl ausgeführt wird und zwar mit einer "refresh_time_sec" von 5 Sekunden und "number_of_lines" von 10 was wiederum heisst, es werden nur die Top 10 Prozesse/Dienste aufgelistet:
# diagnose sys top 5 10
Run Time: 1 days, 5 hours and 27 minutes
0U, 2N, 0S, 98I; 1839T, 1421F
miglogd 55 S 2.9 1.3
newcli 2141 R < 0.5 0.8
ipsengine 114 S < 0.0 3.8
httpsd 119 S 0.0 1.9
httpsd 162 S 0.0 1.9
cmdbsvr 38 S 0.0 1.4
pyfcgid 2090 S 0.0 1.4
pyfcgid 2092 S 0.0 1.3
pyfcgid 2094 S 0.0 1.3
pyfcgid 2093 S 0.0 1.3
Der nachfolgende Abschnitt was die verschiedenen Positionen in der Auflistung der Prozesse für eine Bedeutung haben um die Informationen korrekt zu intepretieren:
Datei:Fortinet-307.jpg
Zusätzlich ist folgendes zu beachten: Die Prozesse werden mit verschiedenen "Status" aufgelistet:
S Sleeping
R Running
D Do not disturb
Z Zombie
"R" und "S" Status Informationen eines Prozesses sind normal. Das ein Prozess in den Status "D" wechselt kann für kurze Zeit vorkommen. Bleibt der Status jedoch für längere Zeit im Status "D" ist dies ein Indiz das dieser Prozess nicht korrekt arbeitet. Ein Status "Z" für einen Prozess ist klar ein Indiz das dieser Prozess nicht korrekt läuft. Ein Prozess im Status "Z" kann nicht mit "kill" beendet werden dh. um diesen Prozess zu beenden ist ein Neustart des Devices notwendig!
Wie kann ich unter FortiOS 5.4 die Prozesse die auf einer FortiGate existieren nach Memory Benützung auflisten?
Eine weitere Möglichkeit um die Prozesse aufzulisten wäre:
# diagnose sys top-summary -h
Usage: top.py [options]
Options:
-n LINES, --num=LINES
Number of top processes to show (20 by default)
-i INTERVAL, --interval=INTERVAL
Update interval, in seconds (1 by default)
-s SORT, --sort=SORT Sort mode: [cpu_percent (default)|mem|fds|pid]
-d, --dump Dump stats to the files
-h, --help show this help message and exit
Anhand dieser Optionen kann folgender Befehl abgesetzt werden um mit "-s mem" die Prozess nach Memory Benützung zu sortieren und alle 60 Sekunden "-i 60" einen Refresh durchzuführen sowie mit "-n 10" die Top 10 Prozesse aufzulisten:
# diagnose sys top-summary '-s mem -i 60 -n 10'
CPU [||||||||||||||||||||||||||||||||||||||||] 100.0%
Mem [|||||||| ] 22.0% 421M/1839M
Processes: 10 (running=3 sleeping=85)
PID RSS CPU% ^MEM% FDS TIME+ NAME
* 60 83M 0.0 4.5 38 00:29.40 ipsmonitor [x3]
57 50M 0.0 2.7 19 02:10.82 httpsd [x4]
38 27M 0.0 1.5 13 01:14.17 cmdbsvr
2090 26M 0.0 1.4 13 00:01.31 pyfcgid [x4]
55 24M 0.0 1.3 25 37:23.73 miglogd
73 22M 0.0 1.2 31 00:01.40 sslvpnd
2086 19M 0.0 1.1 12 00:01.26 newcli [x2]
108 17M 0.0 1.0 34 01:04.20 cw_acd
66 17M 0.0 0.9 21 00:00.25 forticron
84 15M 0.0 0.9 51 00:02.47 wad [x2]
NOTE die Angabe "-s mem" indiziert die Spalte "MEM%" dh. sollen die Prozess nach "CPU%" Auslastung sortiert werden kann
anstelle von "-s mem" die Angabe "-s cpu" benützt werden!
Welche Prozesse existieren auf einer FortiGate nach deren Namen und welche Aufgaben haben diese?
Auf einer FortiGate existieren unzählige Prozesse die für verschiedenen Aufgaben zuständig sind. Diese könne zB anhand "diagnose sys top 5 99" eingesehen werden. Viele Prozesse existieren nur dann wenn eine entsprechende Konfigurtion durchgeführt wird. Andere existieren nur dann wenn ein bestimmte FortiGate Modell benutzt wird wie zB PoE (Power over Ethernet). Wiederum Andere existieren und sind mit dem Stauts "idle" versehen da die Funktion deaktiviert wurde wie zB Wirless Controller "cw_acd". Nachfolgend eine Auflistung der bekannten Prozess und einer Kurzbeschreibung dieser. Dabei ist zu beachten das diese Liste nicht eine FortiOS 5.4 basierende Liste ist sondern einfach alle bekannte Prozesse für ein FortiOS auflistet:
• pptpd Deamon für pptp Server
• pptpcd Deamon für pptp Client
• l2tpd Deamon für l2tp Server
• l2tpcd Deamon für l2tp Client
• ipldbd Deamon für ipldbd
• vsd Virtual Server Deamon
• acd Aggregation Controller Deamon
• src-vis Source Visibility Deamon
• pppoed Deamon für pppoe
• ddnscd DDNS Client Deamon
• urlfilter URL Filter Deamon
• ntpd Zeitserver NTP Deamon
• sshd SSH Server Deamon
• tftpd TFTP Deamon
• telnetd Telnet Deamon
• authd Authentication Deamon
• fssod Fortinet Single Sign-On (FSSO) Deamon
• quard Quarantine Deamon
• rtmon Realtime Monitor Deamon (Ping Server Deamon)
• radvd Router Advertise (adv) Deamon
• alertemail Alertmail Deamon
• dnsproxy DNS Proxy Deamon
• sflowd Deamon für sflow Protokoll
• nat64d NAT64 Deamon
• radiusd Radius Deamon
• notifd Notification Deamon (Nur Carrier Version)
• gtpgkd Deamon für gtp (Nur Carrier Version)
• mass_mmsd Mass MMS Deamon (Nur Carrier Version)
• alarmd Alarm Deamon
• wpad_client Port Access Client Deamon (Atheros WiFi)
• wpad Port Access Entitiy Demon (Prism54 wifi)
• eap_proxy Extended Protocol Authentication (epa) Proxy Deamon
• modemd Modem Deamon
• dialinsvr Dial-In Server Deamon
• cardmgr PCMCIA Card Manager Deamon
• getty aux Daemon für agetty AUX
• pppoatmd PPP over ATM Deamon
• adsl_mon ADSL Monitor Deamon
• httpclid HTTP Client Deamon
• sessionsync Session sync Deamon
• fgfmd FortiGate to FortiManager Komunikations Deamon
• wccpd WCCP Protokoll Deamon
• garpd VIP Gratuitous ARP Deamon
• cw_acd CAPWAP Wireless Controller Access Deamon
• wpad_ac WPA Access Deamon
• cw_wtpd CAPWAP WTP Deamon
• cw_stad CAPWAP sta Deamon
• fortilinkd fortilink Deamon
• cu_acd Deamon für cputp Access Deamon
• swctrl_authd Deamon für hostswd Authentication Deamon
• vrrpd VRRP Deamon
• usbmuxd USBmux Deamon
• initXXXXXXXXXXX Ueberwacht und startet andere Prozesse
• zebos_launcher Zebos Launcher Deamon
• hp_api HP API Deamon
• cmdbsvr Update Prozess Deamon, AutoConfig Deamon
• uploadd Upload Demaon
• adsl2plus ADSL2Plus Deamon
• sqldb SQL Datenbank Deamon
• reportd Reporting Deamon
• sql_logd SQL Log Deamon
• miglogd Logging Deamon
• chlbd Chassis Loadbalancing Deamonchassis loadbalance daemon)
• haocd Chassis Cluster HA Deamon
• chassis5000d Chassis 5000 Daemon
• chassisd [IPv4 Adresse] Chassis Deamon
• kmiglogd Kernel Log Deamon
• httpsd HTTPS Deamon
• pyfcgid Python Konfig Deamon
• sslvpnd SSL VPN Deamon
• info_sslvpnd SSL VPN Info Deamon
• smbcd SMB (Samba) Client Deamon
• lcdapp LCD Panel Control Deamon
• proxyd Proxy Deamon
• imd Instante Messaging (IM) Proxy Deamon
• wad_launcher WAN Acceleration Proxy Deamon
• wad WAN Acceleration Explizit Proxy Deamon (MAPI RPC)
• wad_diskd WAN Acceleration Disk Deamon
• dlpfingerprint DLP Fingerprinting Deamon
• dlpfpcache DLP Fingerprinting Cache Deamon
• scanunitd Scanunit Deamon
• getty Console/Telnet Verbindungen
• mingetty tty1 Terminal mingetty tty1 Deamon
• mingetty tty2 Terminal mingetty tty2 Deamon
• iked VPN IPSec IKE Deamon
• ipsmonitor IPS Monitor Deamon
• updated Update Deamon
• merged_daemons Merge Deamon
• fclicense FortiClient License Deamon
• amc_monitor AMC Monitor Deamon
• forticron CRL Update Deamon
• bypass_monitor Bypass Monitor Deamon
• fdsmgmtd FortiGuard Management Deamon
• fds_msg FortiGuard Message Deamon
• snmpd SNMP Deamon
• dhcpd DHCP Server Deamon
• dhcpcd DHCP Client Deamon
• dhcprd DHCP Relay Deamon
• hatalk High Availibility (HA) Protokoll Modul
• haysnc High Availibility (HA) Synchronisierungs Modul
• harelay High Availibility (HA) Relay Modul für TCP
• fsd Forti-Start Deamon
• proxyacceptor Proxy Acceptor Deamon
• proxyworker Proxy Worker Deamon
• sslacceptor SSL Acceptor Deamon
• sslworker SSL Worker Deamon
• imd IM Deamons
• fcnacd FortiClient NAC (Network Access Control) Deamon
• stpd_name Spanning Tree Protokoll Deamon
• wiredapd Wired AP 802.1x Port basierender Authentication Deamon
• confsynchbd Deamon conf-sync für Heartbeat
• confsyncd Deamon conf-sync
• poed Power over Ethernet Deamon
• cbp CBP Deamon
• nsm Routing FIB Update
• imi Routing Abhängiger Deamon
• bgpd BGP Deamon
• ospfd OSPF Deamon
• ospf6d OSPF Version 3 Deamon
• pim6d PIM Multicast IPv6 Deamon
• pimd PIM Multicast Deamon
• pdmd PIM Dense Mode Deamon
• ripd RIP Deamon
• ripngd RIP IPv6 Deamon
• netscan Netscan Deamon
• dhcp6s DHCP Server IPv6 Deamon
• dhcp6r DHCP Relay IPv6 Deamon
• dhcp6c DHCP Client IPv6 Deamon
• lted USB LTE Deamon
• newcli Deamon für die Ausführung von CLI Kommandos (SSH, Telnet)
• vpd VPN Policy Deamon (Ueberprüft welcher Traffic zu welcher Policy gehört)
• rlogd Syslog Deamon
Rules/Filter (Policy)
Gibt es für eine Firewall Policy Rule für FortiOS 5.4 betreffend benutzen Objekten eine Limite (Policy is too big for system)?
Ja diese Limite existiert und zwar bei allen FortiOS Versionen. Dies bedeutet: wenn eine Firewall Policy Rule erstellt wird und in dieser Firewall Policy Rule wird zB eine Gruppe benutzt für Objekte und in dieser Gruppe exisiteren eine Vielzahl von Objekten kann es zu Fehlermeldungen kommen wie zB:
"Policy is too big for system"
Dieser Umstand tritt auf wenn zB ein Upgrade durchgeführt wird und nachträglich eine neue Firewall Policy Rule erstellt werden möchte. Die Limite für eine Firewall Policy Rule betreffend enthaltenen Objekte ist die Folgende:
Für FortiOS 5.4.0 oder höher 9000+ Objekte
NOTE Für Informationen betreffend FortiOS 5.2.x siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_eine_Firewall_Policy_Rule_f.C3.BCr_FortiOS_5.2_betreffend_benutzen_Objekten_eine_Limite_.28Policy_is_too_big_for_system.29.3F
Der Grund für diese Limite ist realtiv einfach. Eine Firewall Policy Rule wird in den Kernel eines FortiOS geschrieben. In diesem Kernel existieren "memory limits" und diese verhindern das mehr Memory alloziert wird als gesetzt. Wenn dieser Umstand eintritt dh. zB für die Limite von 8000 Objekten (FortiOS 5.2.4 und tiefer) muss die Firewall Policy aufgeteilt werden in zwei Firewall Policy Rules.
Unter FortiOS 5.4 für eine "Firewall Policy Rule" existiert die Position "Name" um was handelt es sich dabei?
Wenn man unter FortiOS 5.4 eine neue Firewall Policy Rule" erstellt so fällt einem auf das im oberen Bereich eine Position existiert "Name". Wenn man für die zu erstellende "Firewall Policy Rule" per Standard keinen "Name" vergiebt so kann die "Firewall Policy Rule" nicht nicht entsprechend abgespeichert werden da per Standard die Vergabe des "Name" erzwungen wird. Diese Position indiziert einen "PCI Compliance" und wird für "Audits" benützt:
Die Bezeichnung des "Name" kann nicht benützt werden um die Logs auf der FortiGate zu Filtern da keine entsprechende Position zur Verfügung steht um dies auszuführen. Ebenso ist diese Position in den "Log Refrence" nicht enthalten. Somit steht diese Position rein im Zusammenhang mit der "PCI Compliance" resp. "Audits". Dies wird dann ersichtlich wenn ein "PCI Compliance" Report ausgeführt wird:
NOTE Weitere Informationen dazu wie ein "PCI Compliance" Report ausgeführt wird und um was es sich dabei handelt siehe nachfolgenden Artikel: FortiGate-5.4:FAQ#Was_ist_.22PCI_Compliance.22_und_wie_kann_ich_unter_FortiOS_5.4_einen_.22PCI_Compliance.22_Report_ausf.C3.BChren.3F
Bei einem Upgrade auf FortiOS 5.4 werden zwar die bestehenden "Firewall Policy Rules" übernommen dh. ohne "Name" und auch wenn bestehende "Firewall Policy Rules" modifiziert werden wird die Position "Name" nicht erzwungen, jedoch bei jeder neu erstellten "Firewall Policy Rule" wird "Name" erzwungen. Möchte man diese Funktion deaktiveren dh. damit die Vergabe von "Name" nicht mehr erzwungen wird so kann dieses Feature über folgende Position aktiviert werden:
System > Feature Select > Allow unnamed Policies
Ebenso kann über CLI dies konfiguriert werden:
# config system settings
# set gui-allow-unnamed-policy [enable | disable]
# end
Wenn ich für eine "Firewall Policy Rule" unter FortiOS 5.4 verschiedenen "Inspection Mode" benütze (flow/proxy) was gilt?
Neu unter FortiOS 5.4 wird der "Inspection Mode" Global konfiguriert dh. weitere Informationen siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Was_hat_sich_unter_FortiOS_5.4_betreffend_.22Security_Profiles.22_und_.22Inspection_Mode.22_grunds.C3.A4tzlich_ge.C3.A4ndert.3F
Wie dieser Artikel aufzeigt ist es jedoch möglich für "Security Profiles" individuelle Konfigurationen für den "Inspection Mode" durchzuführen dh. "proxy mode" und/oder "flow mode". Wenn dies geschieht kann der Traffic jedoch nicht individuell nach Konfiguration im "proxy mode" und/oder "flow mode" abgearbeitet werden dh. es gilt dann:
Wenn in einer Firwall Policy Rule "proxy mode" sowie "flow mode" Security Profiles gemischt werden, wird für alle UTM
Funktionen die beides anbieten dh. "proxy mode" und/oder "flow mode" automatisch "proxy mode" benutzt obwohl ein
Security Profile "flow mode" konfiguriert wurde!
Session/Session Table
Was bedeutet "offloading sessions" unter FortiOS 5.4 und wie funktioniert ein "offloading"?
FortiGate’s und auch andere Hersteller Typen benutzen für die Acceleration ein "offloading". Offloading bedeutet: Wenn ein neues Paket/Session gesendet wird so wird dieses als "diry" gekennzeichnet und somit über den CPU abgearbeitet. Wenn weitere Pakete folgen dh. mit gleicher Source, Destination usw. wird dies durch das "offloading" erkannt und das Paket/Session wird als "may dirty" gekennzeichnet. Dadurch wird für diese Pakete/Sessions ein "offloading" durchgeführt dh. es wird nicht mehr über den CPU abgearbeitet sondern durch das "offloading" (NP). Wenn sich an der Firewall Policy oder an der Konfiguration etwas ändert wird daS Paket abermals als "dirty" gekennzeichnet und somit wird eine Verarbeitung über CPU erzwungen (kein offloading) usw. Nachfolgende Grafik visualisiert diesen Paket Flow dirty / may dirty):
Der zuständige ASIC-Prozessor für dieses „Offloading“ ist der NP Prozessor zB. bei der FG-60D/90D ist ein "NP4Lite" Prozessor im Einsatz. Weitere Informationen darüber welcher Device über welchen Prozessor, Memory sowie NP verfügt siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wo_finde_ich_eine_Uebersicht_welcher_FortiGate_Device_zB_.C3.BCber_wieviel_.22Memory.22_verf.C3.BCgt.2C_ein_.22SOC.22_und.2Foder_.22NP.22_verbaut_ist.3F
Ein "offloading" auf einer FortiGate muss nicht aktiviert werden sondern ist in jeder Firewall Policy Rule per Standard aktiviert durch folgende Konfiguration:
# config firewall policy
# edit [Policy ID Nummer]
# set auto-asic-offload [enable / disable]
# end
NOTE Es muss berücksichtig werden, dass bei einem Troubleshooting nicht mehr alle Pakete/Sessions in einem
"Paket Sniffer" (diagnose sniffer Paket) angezeigt werden. Der Grund ist der folgende: Solange die
Paket als "dirty" gekennzeichnet" werden werden diese über den CPU abgearbeitet und sind im "kernel"
über den "Paket Sniffer" ersichtlich. Werden die Paket als "may dirty" gekennzeichnet dh. es wird ein
"offloading" durchgeführt werden die Paket direkt zum NP gesendet dh. nicht mehr über den Kernel und
somit sind die Paket für den "Paket Sniffer" nicht mehr ersichtlich.
Ebenso ist betreffend UTM Features folgendes zu berücksichtigen: Wenn für eine Firewall Policy Rule ein Security Profile konfiguriert wird dh. zB. "Antivirus" so wird kein "offloading" mehr durchgeführt, da das Paket/Session durch den "CP" (Content Prozessor) abgearbeitet werden muss und somit kann das Paket nicht den direkten Weg über den "NP" Prozessor wählen. Somit anstelle die Option "auto-asic-offload" für eine Firewall Policy Rule zu deaktiveren um "offload" zu deaktivieren, kann das gleiche erreicht werden in dem vorübergehend für die entsprechende Firewall Policy ein Security Profile aktiviert wird. Somit muss festgestellt werden: Ist für eine Firewall Policy Rule ein UTM Features aktiviert wird kein "offloading" mehr durchgeführt!
Proxy Options / Protocol Options
Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert?
Für FortiOS 5.2 und tiefer wurde der "Inspection Mode" dh. "proxy mode" und/oder "flow mode" über die "Security Profiles" gesteuert. Dies bedeutet: Es gab keine "Globale" Einstellung um den Mode eben "proxy" und/oder "flow" Mode zu bestimmen. Dies ist nun möglich dh. der "Inspecton Mode" kann nun "Global" konfiguriert werden und gilt als Konfiguration für sätmliche bestehenden und neu erstellten "Security Profiles". Die Konfiguration wird unter Mgmt. Web Interface über folgender Position konfiguriert:
Wie man sieht wird bei dieser Konfiguration ein Hinweis eingeblendet dh. "Warning" um darauf hinzuweisen, dass dieser Wechsel des "Inpsection Mode" zur Folge hat, dass entsprechende "Security Profiles" umgeschrieben werden. Dieser Hinweis dh. die "Warning" wird nur über Mgmt. Web Interface angzeigt dh. wird die Konfiguration mit nachfolgenden Kommando über CLI durchgeführt, wird kein entsprechender Hinweis gezeigt:
# config system settings
# set inspection-mode [proxy | flow]
# end
Somit steht neu der "Inspection Mode" für jede VDOM im "vdom" Mode individuell zur Verfügung und kann seperat konfiguriert werden da die Option unter "config system settings" verfügbar ist dh. keine "Globale" Konfiguration sondern für jede VDOM konfigurierbar:
# config vdom
# edit [VDOM Name zB "root"]
# config system settings
# set inspection-mode [proxy | flow]
# end
Wenn der "Inspection Mode" geändert wird dh. von "proxy mode" auf "flow mode" oder umgekehrt so führt das FortiOS 5.4 im Hintergrund folgende Modifikationen automatisch durch:
-> Für jedes "Antivirus" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
-> Für jedes "WebFilter" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt.
-> Wenn Global unter "config system settings" von "proxy mode" auf "flow mode" umkonfiguriert wird so
wird für jede "Firewall Policy Rule" für die ein "Security Profile" im "proxy mode" existiert dieses
entfernt!
NOTE Wenn die "proxy mode" Security Profiles in den Firewall Policy Rules entfernt werden wie beschrieben so ist diese
Konfiguration nicht mehr Rückgängig zu machen dh. es ist umbedingt empfohlen vorgängig ein Backup der Konfiguration
durchzuführen. Ebenso empfiehlt es sich über Mgmt. Console den folgenden "debug" für die CLI zu aktivieren um so zu
sehen was genau bei der Aenderung durchgeführt wird:
# diagnose debug cli -1
Desweiteren ist ebenfalls zu berücksichtigen "was" mit den Security Profiles "Antivirus" sowie "WebFilter" durchgeführt wird, wenn der "Inspection Mode" geändert wird. Nachfolgende Tabelle zeigt au welche Unterschiede in den verschiedenen "Inspection Mode" für "Antivirus" sowie "WebFilter" Security Profiles existieren:
Nichts desto trotz und obwohl die Konfiguration unter "config system settings" konfiguriert wird, steht in den "Security Profiles" die "proxy mode" und "flow mode" unterstützten die Option per Standard bei Folgenden "Security Profiles" zur Verfügung um individuell eine Konfiguration durchzuführen:
# config [webfilter | antivirus] profile
# edit [Name des Profiles]
# set inspection-mode [proxy | flow]
# end
Somit fragt man sich, ob diese "Security Profiles" dh. "WebFilter" und/oder "Antivirus" die einzigen die individuell konfiguriert werden können da andere "Security Profiles" ebenfalls im "proxy mode" und/oder "flow mode" unterstüzen. Nachfolgende Tabelle zeigt auf welche "Security Profiles" welchen "Inspection Mode" unterstützen:
Somit kann auch ein "DLP" sowie ein "Spamfilter" auf "flow mode" konfiguriert werden jedoch sind diese per Standard im "proxy mode" und werden bei Aenderung des "Globalen" Mode unter "config system settings" nicht in "flow mode" unkonvertiert und verbleiben somit im "proxy mode":
# config dlp sensor
# edit [Name des Profiles]
# set flow-based [enable | disable]
# end
# config spamfilter profile
# edit [Name des Profiles]
# set flow-based [enable | disable]
# end
Wenn der "Inspection Mode" für verschiedenen "Security Profiles" individuell konfiguriert wird ist zu berücksichtigen, was durchgeführt wird in einer "Firewall Policy Rule" wenn beide "Inspection Mode" benützt werden dh. "proxy mode" und/oder "flow mode". Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wenn_ich_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_unter_FortiOS_5.4_verschiedenen_.22Inspection_Mode.22_ben.C3.BCtze_.28flow.2Fproxy.29_was_gilt.3F
NTP / Time / Date
Wie kann ich auf einer FortiGate die Zeit sowie das Datum überprüfe sowie konfigurieren?
Die Zeit sowie das Datum lassen sich über Web Mgmt. Interface überprüfen sowie über CLI. Um die Zeit sowie das Datum über Web Mgmt. zu überprüfen sowie zu konfigurieren wähle folgendes:
Dashboard > [Widget Systeminformation] > System Time > Change
Unter dieser Position kann die Zeit und das Datum manuell überprüft sowie konfiguriert werden! Um die Zeit und das Datum über die CLI zu überprüfen kann folgendes Kommando benutzt werden:
# execute time
current time is: 19:23:51
last ntp sync:Wed Dec 23 18:55:08 2015
# execute date
current date is: 2015-12-23
Um die Zeit sowie das Datum über CLI zu konfigurieren kann folgendes durchgeführt werden:
# execute time hh:mm:ss
# execute date yyyy-mm-dd
Wie kann ich auf einer FortiGate die Zeitzone konfigurieren?
Die Definition der Zeitzone auf einer FortiGate kommt eine "wichtige" Funktion zu dh. FortiGuard benützt die Zeitzone für verschiedenen Konfigurationen. Die Zeitzone auf einer FortiGate ist per Standard auf "US&Canada" gesetzt. Somit benützt "FortiGuard" für dessen Service Server aus dieser Zeitzone "US&Canada". Das gleiche gilt für den WebFilter dh. wenn die Zeitzone nicht angepasst wird so benützt FortiGuard die WebFilter Datenbank der Zeitzone "US&Canada". Um die Zeitzone über Web Mgmt. Interface zu konfigurieren benütze folgende Position:
Dashboard > [Widget Systeminformation] > System Time > Change
Um die Zeitzone über CLI zu konfigurieren kann folgendes durchgeführt werden:
# config system global
# set timezone ?
01 (GMT-11:00)Midway Island, Samoa
02 (GMT-10:00)Hawaii
03 (GMT-9:00)Alaska
04 (GMT-8:00)Pacific Time(US&Canada)
05 (GMT-7:00)Arizona
81 (GMT-7:00)Baja California Sur, Chihuahua
06 (GMT-7:00)Mountain Time(US&Canada)
07 (GMT-6:00)Central America
08 (GMT-6:00)Central Time(US&Canada)
09 (GMT-6:00)Mexico City
10 (GMT-6:00)Saskatchewan
11 (GMT-5:00)Bogota,Lima,Quito
12 (GMT-5:00)Eastern Time(US & Canada)
13 (GMT-5:00)Indiana(East)
74 (GMT-4:30)Caracas
14 (GMT-4:00)Atlantic Time(Canada)
77 (GMT-4:00)Georgetown
15 (GMT-4:00)La Paz
16 (GMT-3:00)Santiago
17 (GMT-3:30)Newfoundland
18 (GMT-3:00)Brasilia
19 (GMT-3:00)Buenos Aires
20 (GMT-3:00)Nuuk(Greenland)
75 (GMT-3:00)Uruguay
21 (GMT-2:00)Mid-Atlantic
22 (GMT-1:00)Azores
23 (GMT-1:00)Cape Verde Is.
24 (GMT)Monrovia
80 (GMT)Greenwich Mean Time
79 (GMT)Casablanca
25 (GMT)Dublin,Edinburgh,Lisbon,London
26 (GMT+1:00)Amsterdam,Berlin,Bern,Rome,Stockholm,Vienna
27 (GMT+1:00)Belgrade,Bratislava,Budapest,Ljubljana,Prague
28 (GMT+1:00)Brussels,Copenhagen,Madrid,Paris
78 (GMT+1:00)Namibia
29 (GMT+1:00)Sarajevo,Skopje,Warsaw,Zagreb
30 (GMT+1:00)West Central Africa
31 (GMT+2:00)Athens,Sofia
85 (GMT+2:00)Istanbul
32 (GMT+2:00)Bucharest
33 (GMT+2:00)Cairo
34 (GMT+2:00)Harare,Pretoria
35 (GMT+2:00)Helsinki,Riga,Tallinn
36 (GMT+2:00)Jerusalem
37 (GMT+3:00)Baghdad
38 (GMT+3:00)Kuwait,Riyadh
83 (GMT+3:00)Moscow
84 (GMT+3:00)Minsk
40 (GMT+3:00)Nairobi
41 (GMT+3:30)Tehran
42 (GMT+4:00)Abu Dhabi,Muscat
43 (GMT+4:00)Baku
39 (GMT+3:00)St.Petersburg,Volgograd
44 (GMT+4:30)Kabul
46 (GMT+5:00)Islamabad,Karachi,Tashkent
47 (GMT+5:30)Kolkata,Chennai,Mumbai,New Delhi
51 (GMT+5:30)Sri Jayawardenepara
48 (GMT+5:45)Kathmandu
45 (GMT+5:00)Ekaterinburg
49 (GMT+6:00)Almaty,Novosibirsk
50 (GMT+6:00)Astana,Dhaka
52 (GMT+6:30)Rangoon
53 (GMT+7:00)Bangkok,Hanoi,Jakarta
54 (GMT+7:00)Krasnoyarsk
55 (GMT+8:00)Beijing,ChongQing,HongKong,Urumgi,Irkutsk
56 (GMT+8:00)Ulaan Bataar
57 (GMT+8:00)Kuala Lumpur,Singapore
58 (GMT+8:00)Perth
59 (GMT+8:00)Taipei
60 (GMT+9:00)Osaka,Sapporo,Tokyo,Seoul
62 (GMT+9:30)Adelaide
63 (GMT+9:30)Darwin
61 (GMT+9:00)Yakutsk
64 (GMT+10:00)Brisbane
65 (GMT+10:00)Canberra,Melbourne,Sydney
66 (GMT+10:00)Guam,Port Moresby
67 (GMT+10:00)Hobart
68 (GMT+10:00)Vladivostok
69 (GMT+10:00)Magadan
70 (GMT+11:00)Solomon Is.,New Caledonia
71 (GMT+12:00)Auckland,Wellington
72 (GMT+12:00)Fiji,Kamchatka,Marshall Is.
00 (GMT+12:00)Eniwetok,Kwajalein
82 (GMT+12:45)Chatham Islands
73 (GMT+13:00)Nuku'alofa
86 (GMT+13:00)Samoa
76 (GMT+14:00)Kiritimati
# set timezone 26
# end
Wie kann ich auf einer FortiGate die NTP Zeitsynchronisierung aktiviren und konfigurieren?
Um die NTP Zeitsynchronisierung über Web Mgmt. Interface zu aktivieren und zu konfigurieren wähle folgendes:
Dashboard > [Widget Systeminformation] > System Time > Change
NOTE Per Standard ist für die NTP Zeitsynchronisierung "FortiGuard" aktiviert. Dies ist nicht zu empfehlen. Es sollte
ein "öffentlichen" NTP Server konfiguriert werden. Wir empfehlen "ch.pool.ntp.org" da dieser ein "öffentlicher"
NTP Server ist und über mehrer "Stratum" Server verfügt! Wenn dennoch "FortiGuard" benutzt wird muss berücksichtig
werden, dass diese NTP Server für "FortiGuard" nicht kostenlos zur Verfügung stehen sondern ein Service ist der unter
der "FortiCare" Lizensierung zur Verfügung steht. Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortinet:FortiCare-FortiGuard#Wenn_ich_.22nur.22_DDNS_.28Dynamic_DNS.29.2C_GeoIP.2C_NTP_und_DNS_Service_von_FortiGuard_benutze_was_muss_ich_im_Minimum_lizensieren.3F
Wenn man die NTP Zeitsynchronisierung über CLI konfigurieren möcht kann folgendes durchgeführt werden:
# config system ntp
# set ntpsync enable
# set type custom
# set syncinterval 360
# set server-mode enable
# set interface "internal"
# config ntpserver
# edit 1
# set server "ch.pool.ntp.org"
# set ntpv3 disable
# next
# end
# end
Bei diesem Beispiel wird zusätzlich zur NTP Synchronisierung über "ch.pool.ntp.org" die Option "server-mode" aktiviert sowie das "internal" Interface. Dies bedeutet: Auf dem "internal" Interface wird durch die Aktivierung von "server-mode" ein NTP Dienst aktiviert der in diesem Segment den Clients für eine NTP Zeitsynchronisierung zur Verfügung gestellt wird. Dabei ist zu beachten, dass diese Konfiguration keine zusätzliche "Firewall Policy Rule" benötigt da im Hintergrund eine automatische "Firewall Policy Rule" hinzugefügt wird durch das FortiOS (Local-In Policy). Diese erlaubt den Zugriff auf das definierte "Interface" aus diesem Segement. Diese "Local-In Policy" ist über Web Mgmt. Interface ersichtlich sofern das entsprechende Feature aktiviert ist:
System > Feature Select > Additional Features > Local In Policy
Wenn dieses Feature aktiviert ist, sind die entsprechenden "Local In Policy" über folgende Position ersichtlich:
Policy & Objects > Local In Policy
PCI Compliance
Was ist "PCI Compliance" und wie kann ich unter FortiOS 5.4 einen "PCI Compliance" Report ausführen?
Die "PCI Compliance" Definition ist eine Beschreibung von Standards denen ein Implementer zB ISP, Finanzinstitute usw. folgend sollte. Somit bietet die Definion "PCI Compliance" Richtlinien an denen sich diese Implementer halten muss um als "PCI Compliance" zu gelten. Dies ist speziell im Zahlungsverkehr dh. Kreditkarten ein "muss". Weitere Informationen siehe nachfolgenden Link:
https://www.pcisecuritystandards.org/
Unter FortiOS 5.4 wurde dem Rechnung getragen dh. verschiedenen Positionen in verschiedenen Konfigurationen lehnen sich an diesen "PCI Compliance" an. Ein Beispiel wäre zB die Position "Name" innerhalb eine "Firewall Policy Rule". Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Unter_FortiOS_5.4_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_existiert_die_Position_.22Name.22_um_was_handelt_es_sich_dabei.3F
Somit kann unter FortiOS 5.4 auch ein "PCI Compliance" Report ausgeführt werden dh. dieser überprüft die vorhandenen Konfiguration nach "PCI Compliance" Standard. Der Report resp. die Funktion ist jedoch per Standard deaktiviert und kann über Web Mgmt. Interface aktiviert und über einen "schedule" konfiguriert werden. Dabei wird "täglich" durch die Definition des "schedules" ein Report generiert in Form eines Logs. Um die entsprechende Konfiguration durchzuführen wähle im Web Mgmt. Interface folgende Position:
System > Advanced > Compliance
Der "PCI Compliance" Report kann ebenfalls nach der Aktivierung direkt ausgeführt werden mit "run now". Wird dies durchgeführt ist der Report in Form von Log's unter folgender Position verfügbar:
Log & Report > Compliance Events
NOTE Diese Konfiguration über Web Mgmt. Interface ist VDOM basierend dh. wenn der VDOM Mode benutzt wird so muss unter
"global" generell die Funktion zur Verfügung gestellt werden. Dabei wird der "schedule" Global konfiguriert und
in der VDOM entweder aktiviert oder deaktiviert!
Um auf der CLI die Konfiguration des "PCI Compliance" Report durchzuführen führe folgendes aus:
# config system global
# set compliance-check enable
# set compliance-check-time 09:00:00
# end
# config system settings
# set compliance-check enable
# end
Dabei ist folgendes zu berücksichtigen: Bei kleineren Devices wie zB FG-60D kann nicht auf "disk" geloggt werden. Somit stehen für die Logs lokal nur "memory" zur Verfügung sofern nicht Remote zB auf einen FortiAnalyzer geloggt wird. Da für das "memory" Logging 10% des vorhandenen Memory genutzt wird sind diese "Compliance Events" nicht "persistent" sondern sind nach kurzer Zeit nicht mehr verfügbar. Ebenso ist folgendes zu berücksichtigen: Jede Meldung des Reports resp. jeder Eintrag unter "Compliance Events" muss analysiert werden um zu bestimmen ob der Eintag ein Problem für die "PCI Compliance" darstellt. Dies bedeutet auch: Der nachfolgende Eintrag weist daraufhin, dass "deep inspection" für SSH nicht aktiviert wurde. Diese Funktion jedoch steht auf einem FG-60D nicht zur Verfügung also ist dieser Log Eintrag ein Hinweis jedoch kann nicht durch eine entsprechende Konfiguration behoben werden:
Es ist somit anzufügen, dass diese Funktion Hinweise liefert im "PCI Compliance" Bereich und nicht im allgemeinen "security" technische Bereich!
Log/Logging
Wie sieht eine vollständige Log Konfiguration für FortiOS 5.4 aus und wie wird diese durchgeführt?
Wenn man mit einer Firewall arbeitet ist die absolute Grundvoraussetzung ein zur Verfügung stehendes Log um anhand dessen Analysen durchzuführen. Desweiteren sind die enthaltenen Informationen in den Logs dh. Funktionen die man für die Log Details aktivieren kann unumgänglich und absolut Fundamental. Um eine vollständige Log Konfiguration durchzuführen unter FortiOS 5.4 führe folgendes aus:
Globale Log Konfiguration
# config log setting
# set resolve-ip [enable | disable]
# set resolve-port [enable | disable]
# set log-user-in-upper [enable | disable]
# set fwpolicy-implicit-log [enable | disable]
# set fwpolicy6-implicit-log [enable | disable]
# set log-invalid-packet [enable | disable]
# set local-in-allow [enable | disable]
# set local-in-deny-unicast [enable | disable]
# set local-in-deny-broadcast [enable | disable]
# set local-out [enable | disable]
# set daemon-log [enable | disable]
# set neighbor-event [enable | disable]
# set brief-traffic-format [enable | disable]
# set user-anonymize [enable | disable]
# set fortiview-weekly-data [enable | disable]
# end
NOTE Die Option "fortiview-weekly-data" steht nur Devices zur Verfügung die über ein "disk" Logging verfügen!
Wir empfehlen für eine komplette Grundkonfiguration folgendes auszuführen:
# config log setting
# set resolve-ip enable
# set resolve-port enable
# set log-user-in-upper disable
# set fwpolicy-implicit-log enable
# set fwpolicy6-implicit-log disable
# set log-invalid-packet disable
# set local-in-allow enable
# set local-in-deny-unicast disable
# set local-in-deny-broadcast disable
# set local-out enable
# set daemon-log disable
# set neighbor-event disable
# set brief-traffic-format disable
# set user-anonymize disable
# end
Globale Network Visibility Log Konfiguration
Aktiviere/Deaktivieren Network Visibility
# config system network-visibility
# set destination-visibility [enable | disable]
# set source-location [enable | disable]
# set destination-hostname-visibility [enable | disable]
# set hostname-ttl [Definiere TTL Standard 86400]
# set hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
# set destination-location [enable | disable]
# end
Wir empfehlen für eine Konfiguration folgendes:
# config system network-visibility
# set destination-visibility enable
# set source-location enable
# set destination-hostname-visibility enable
# set hostname-ttl 86400
# set hostname-limit 5000
# set destination-location enable
# end
Globale Eventfilter Log Konfiguration
# config log eventfilter
# set event [enable | disable]
# set system [enable | disable]
# set vpn [enable | disable]
# set user [enable | disable]
# set router [enable | disable]
# set wireless-activity [enable | disable]
# set wan-opt [enable | disable]
# set endpoint [enable | disable]
# set ha [enable | disable]
# set compliance-check [enable | disable]
# end
Wir empfehlen für eine Konfiguration folgendes:
# config log eventfilter
# set event enable
# set system enable
# set vpn enable
# set user enable
# set router enable
# set wireless-activity enable
# set wan-opt enable
# set endpoint enable
# set ha enable
# set compliance-check enable
# end
Globale Gui Log Konfiguration
# config log gui-display
# set resolve-hosts [enable | disable]
# set resolve-apps [enable | disable]
# set fortiview-unscanned-apps [enable | disable]
# set fortiview-local-traffic [enable | disable]
# set location [memory | disk | fortianalyzer | fortiguard]
# end
NOTE In dieser Konfiguration muss darauf geachtet werden, dass für die Option "location" der Device definiert ist
der als "Log Device" definiert wird. Dies bedeutet: Wird als "Log Device" das Memory definiert so muss als
"location" ebenfalls "memory" definiert werden. Durch "location" wir die API Schnittstelle definiert für den
Zugriff auf die Datenbank die benützt wird für das Logging!
Wir empfehlen für eine Konfiguration ausgehend davon, dass "memory" Logging benutzt wird folgendes:
# config log gui-display
# set resolve-hosts enable
# set resolve-apps enable
# set fortiview-unscanned-apps enable
# set fortiview-local-traffic enable
# set location memory
# end
Device Log Konfiguration
NOTE Bei dieser Konfiguration ist zu berücksichtigen, dass nur grösseren Geräten die "disk" für das Logging zur Verfügung steht.
Kleineren Devices steht nur das "memory" für das Logging zur Verfügung. Wird "memory" benutzt wird 10% des Memory herangezogen
um ein "memory" Logging durchzuführen. Diese 10% Memory werden immer wieder überschrieben um ein kontinuierliches Logging zu
gewährleisten. Somit steht im Zusammenhang mit "memory" Logging keine History zur Verfügung. Wir empfehlen ein "Logging" auf
FortiAnalyzer um eine History zu gewährleisten und das Memory nicht zusätzlich mit einem "memory" Logging zu belasten! Um zu
verfizieren ob ein Device über die Möglichkeit verfügt auf "disk" zu "Loggen" kann die "Software Matrix" herangezogen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
Device Log Konfiguration "Null-Device"
Diese Konfiguration ist zuständig, das Devices die nicht für "Remote Logging" (FortiAnalyzer) konfiguriert wurde dh. zB für "memory"
dennoch über "statistics" verfügen. Dies bedeutet: Diese Funktion steht nur im Zusammenhang mit Lokalen Logging!
# config log null-device setting
# set status [enable | disable]
# end
Zu diesem Device dh. "null-device" existiert ebenfalls ein entsprechender Filter:
# config log null-device filter
# set severity [emergency | alert | critical | error | warning | notification | information | debug]
# set forward-traffic [enable | disable]
# set local-traffic [enable | disable]
# set multicast-traffic [enable | disable]
# set sniffer-traffic [enable | disable]
# set anomaly [enable | disable]
# set voip [enable | disable]
# set filter [Benütze ? für weitere Informationen]
# set filter-type [include | exclude]
# end
Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" oder "disk" als "Device Konfiguration" benutzt wird:
# config log null-device setting
# set status enable
# end
# config log null-device filter
# set severity information
# set forward-traffic enable
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# unset filter
# set filter-type include
Device Log Konfiguration "Memory"
# config log memory setting
# set status [enable | disable]
# set diskfull overwrite
# end
# config log memory filter
# set severity [emergency | alert | critical | error | warning | notification | information | debug]
# set fortward-traffic [enable | disable]
# set local-traffic [enable | disable]
# set multicast-traffic [enable | disable]
# set sniffer-traffic [enable | disable]
# set anomaly [enable | disable]
# set voip [enable | disable]
# set set filter [Benütze ? für weitere Informationen]
# set set filter-type [include | exclude]
# end
Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" als "Device Konfiguration" benutzt wird:
# config log memory setting
# set status enable
# set diskfull overwrite
# end
# config log memory filter
# set severity information
# set fortward-traffic enable
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# unset filter
# set filter-type include
# end
Device Log Konfiguration "FortiAnalyzer"
# config log fortianalyzer setting
# set status [enable | disable]
# set ips-archive [enable | disable]
# set server [FortiAnalyzer IP]
# set enc-algorithm [default | high | low | disable]
# set conn-timeout [Buffer in Sekunden; Standard 10 ]
# set monitor-keepalive-period [OFTP keepalive für Buffer und Status in Sekunden; Standard 5 ]
# set monitor-failure-retry-period [Retry für keepalive und Buffer in Sekunden; Standard 5 ]
# set source-ip 0.0.0.0
# set upload-option realtime
# set upload-interval [Frequenz für Upload; Standard daily]
# set upload-day [Tag in der Woche/Monat für den Upload; Standard "Kein Wert"]
# set upload-time [Zeit Definition für Upload zB 00:00]
# set reliable [enable | disable]
# end
NOTE Die Optionen "upload-interval, upload-day sowie upload-tim" stehen nur dann zur Verfügung wenn die "disk" für das
Logging konfiguriert werden kann!
# config log fortianalyzer filter
# set severity [emergency | alert | critical | error | warning | notification | information | debug]
# set fortward-traffic [enable | disable]
# set local-traffic [enable | disable]
# set multicast-traffic [enable | disable]
# set sniffer-traffic [enable | disable]
# set anomaly [enable | disable]
# set voip [enable | disable]
# set dlp-archive [enable | disable]
# set filter [Benütze ? für weitere Informationen]
# set filter-type [include | exclude]
# end
Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "fortianalyzer" als "Device Konfiguration" benutzt wird:
# config log fortianalyzer setting
# set status enable
# set ips-archive enable
# set server [FortiAnalyzer IP]
# set enc-algorithm default
# set conn-timeout 10
# set monitor-keepalive-period 5
# set monitor-failure-retry-period 5
# set upload-option realtime
# set reliable enable
# end
# config log fortianalyzer filter
# set severity information
# set fortward-traffic enable
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# set dlp-archive enable
# unset filter
# set filter-type include
# end
Device Log Konfiguration "Disk"
NOTE Ein Logging auf "disk" ist in allen Bereichen nicht empfohlen wenn der FortiGate Device über eine "Flash Disk" verfügt.
Ob ein Device über "disk" Logging verfügt, kann der "Software Matrix" entnommen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
# config log disk setting
# set status [enable | disable]
# set ips-archive [enable | disable]
# set max-log-file-size [Maximum Log Grösse bevor ein "Rolling" durchgeführt wird in MB; Standard 20]
# set max-policy-packet-capture-size [Max Grösse für Capturing in MB; Standard 10]
# set roll-schedule [daily | weekly]
# set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set roll-time [Zeit Definition für "Rolling" zB 00:00]
# set diskfull [overwrite | nolog]
# set log-quota [Grösse der Log Quota in MB; Standard 0]
# set dlp-archive-quota [Grösse der DLP Archiv Quota in MB; Standard 0]
# set report-quota [Grösse der Report Quota in MB; Standard 0]
# set maximum-log-age [Löschen von Logs die älter sind als X Tage; Standard 7]
# set upload [enable | disable]
# set upload-destination [ftp-server]
# set uploadip [IPv4 Adresse des FTP Servers]
# set uploadport [FTP Server Port; Standard 21]
# set source-ip [IPv4 Source Adresse der Anfrage an FTP Server]
# set uploaduser [FTP Server Username]
# set uploadpass [FTP Server Passwort]
# set uploaddir [FTP Server Upload Verzeichnis]
# set uploadtype [traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
# set uploadzip [enable | disable]
# set uploadsched [enable | disable]
# set uploadtime [Zeit Definition für Upload auf FTP Server zB 00:00]
# set upload-delete-files [enable | disable]
# set upload-ssl-conn {default | high | low | disable}
# set full-first-warning-threshold [Erste Log Device Full Warnung in % 1 - 98, Standard 75]
# set full-second-warning-threshold [Zweite Log Device Full Warnung in % 2 - 99, Standard 90]
# set full-final-warning-threshold [Finale Log Device Full Warnung in % 3 - 100, Standard 95]
# end
# config log disk filter
# set severity [emergency | alert | critical | error | warning | notification | information | debug]
# set fortward-traffic [enable | disable]
# set local-traffic [enable | disable]
# set multicast-traffic [enable | disable]
# set sniffer-traffic [enable | disable]
# set anomaly [enable | disable]
# set voip [enable | disable]
# set dlp-archive [enable | disable]
# set filter [Benütze ? für weitere Informationen]
# set filter-type [include | exclude]
# end
NOTE Wenn eine Konfiguration betreffend "Rolling" durchgeführt werden möchte siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F
Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "disk" als "Device Konfiguration" benutzt wird:
# config log disk setting
# set status enable
# set ips-archive enable
# set max-log-file-size 512
# set max-policy-packet-capture-size 10
# set diskfull overwrite
# set log-quota 2048
# set dlp-archive-quota 256
# set maximum-log-age 7
# set full-first-warning-threshold 75
# set full-second-warning-threshold 90
# set full-final-warning-threshold 95
# end
# config log disk filter
# set severity information
# set fortward-traffic enable
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# set dlp-archive enable
# unset filter
# set filter-type include
# end
Device Log Konfiguration "Syslog"
Für eine Konfiguration betreffend "syslog" Server siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wie_wird_auf_einer_Fortigate_unter_FortiOS_5.4_eine_Log_Konfiguration_f.C3.BCr_einen_.22Syslog_Server.22_durchgef.C3.BChrt.3F
Device Log Konfiguration "FortiGuard"
# config log fortiguard setting
# set status [enable | disable]
# set upload-option [store-and-upload | realtime]
# set upload-interval [daily | weekly | monthly]
# set upload-day [Definition des Tages der Woche um ein Rolling der Logs durchzuführen]
# set upload-time [Definition der Zeit für den Uploade zB 00:00]
# set enc-algorithm [default | high | low | disable]
# set source-ip [Definition der Source IPv4 Adresse für die Anfrage]
# end
NOTE Wenn "fortiguard" Logging konfiguriert wird muss vorgängig ein ForitCloud Account ID konfiguriert werden. Dies kann unter
folgender Position im Mgmt. Web Interface durchgeführt werden:
Dashboard > License Information Widget > FortiCloud Account > Activate
Weitere Informationen zu FortiGuard "Logging" sowie FortiCloud siehe nachfolgender Artikel:
FortiCloud(FAMS):FAQ
Zusätzlich existieren in den verschiedenen "Security Profiles" Logs die aktiviert werden können. Nachfolgend eine Aufstellungen dieser Logs betreffend "Security Profiles":
SSL Inspection Profile
# config firewall ssl-ssh-profile
# edit [Name des Profiles]
# set ssl-invalid-server-cert-log [enable | disable]
# end
Proxy Option Profile
# config firewall profile-protocol-options
# edit [Name des Profiles]
# set oversize-log [enable | disable]
# set switching-protocols-log [enable | disable]
# end
Antivirus Profile
# config antivirus profile
# edit [Name des Profiles]
# config http
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config ftp
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config imap
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config pop3
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config smtp
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config mapi
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config nntp
# set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled]
# end
# config nac-quar
# set log [enable | disable]
# end
# set av-block-log [enable | disable]
# set av-virus-log [enable | disable]
# end
WebFilter Profile
# config webfilter profile
# edit [Name des Profiles]
# config web
# set log-search [enable | disable]
# end
# set log-all-url [enable | disable]
# set web-content-log [enable | disable]
# set web-filter-activex-log [enable | disable]
# set web-filter-command-block-log [enable | disable]
# set web-filter-cookie-log [enable | disable]
# set web-filter-applet-log [enable | disable]
# set web-filter-jscript-log [enable | disable]
# set web-filter-js-log [enable | disable]
# set web-filter-vbs-log [enable | disable]
# set web-filter-unknown-log [enable | disable]
# set web-filter-referer-log [enable | disable]
# set web-filter-cookie-removal-log [enable | disable]
# set web-url-log [enable | disable]
# set web-invalid-domain-log [enable | disable]
# set web-ftgd-err-log [enable | disable]
# set web-ftgd-quota-usage [enable | disable]
# end
Data Leak Prevention Profile
# config dlp sensor
# edit [Name des Profiles]
# set dlp-log [enable | disable]
# set nac-quar-log [enable | disable]
# end
Application Control Profile
# config application list
# edit [Name des Profiles]
# set other-application-log [enable | disable]
# set unknown-application-log [enable | disable]
# config entries
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set log [enable | disable]
# set log-packet [enable | disable]
# end
# end
Anti-Spam Profile
# config spamfilter profile
# edit [Name des Profiles]
# set spam-log [enable | disable]
# config imap
# set log enable
# end
# config pop3
# set log enable
# end
# config smtp
# set log enable
# end
# config mapi
# set log enable
# end
# config msn-hotmail
# set log enable
# end
# config yahoo-mail
# set log enable
# end
# config gmail
# set log enable
# end
# end
DNS Filter Profile
# config dnsfilter profile
# edit [Name des Profiles]
# set log-all-url [enable | disable]
# end
Cloud Access Security Inspection Profile
# config application casi profile
# edit [Name des Profiles]
# config entries
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set log [enable | disable]
# end
Intrustion Protection Profile
# config ips sensor
# edit [Name des Profiles]
# config entries
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set log [enable | disable]
# set log-packet [enable | disable]
# set log-attack-content [enable | disable]
# end
VoIP Profile
# config voip profile
# edit [Name des Profiles]
# config sip
# set log-violations [enable | disable]
# set log-call-summary [enable | disable]
# end
# config sccp
# set log-violations [enable | disable]
# set log-call-summary [enable | disable]
# end
# end
Web Application Firewall
# config waf profile
# edit [Name des Profiles]
# config constraint
# config header-length
# set log [enable | disable]
# end
# config content-lenght
# set log [enable | disable]
# end
# config param-lenght
# set log [enable | disable]
# end
# config line-length
# set log [enable | disable]
# end
# config url-param-lenght
# set log [enable | disable]
# end
# config version
# set log [enable | disable]
# end
# config method
# set log [enable | disable]
# end
# config hostname
# set log [enable | disable]
# end
# config malformed
# set log [enable | disable]
# end
# config max-cookie
# set log [enable | disable]
# end
# config max-header-line
# set log [enable | disable]
# end
# config max-url-param
# set log [enable | disable]
# end
# config max-range-segment
# set log [enable | disable]
# end
# end
# config method
# set log [enable | disable]
# end
# config address-list
# set blocked-log [enable | disable]
# end
# config url-access
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set log [enable | disable]
# end
# end
FortiClient Profile
# config endpoint-control profile
# edit [Name des entsprechenden Profiles]
# config forticlient-winmac-settings
# set forticlient-log-upload [enable | disable]
# end
# end
Desweiteren stehen auf "Globaler" sowie "System" Ebene folgende Logs zur Verfügung:
# config system global
# set cli-audit-log [enable | disable]
# set log-uuid [poliy-only | extended | disable]
# end
# config system settings
# set vpn-stats-log [ipsec | pptp | l2tp | ssl]
# end
Für die "DoS-Policy" kann für jede "anomaly" ein Log aktiviert resp. deaktiviert werden:
# config firewall DoS-policy
# edit [Gebe einen entsprechenden Integer an zB "1"]
# config anomaly
# edit [Name der "anomaly"]
# set log [enable | disable]
# end
# end
Wie wird auf einer Fortigate unter FortiOS 5.4 eine Log Konfiguration für einen "Syslog Server" durchgeführt?
Das nachfolgend Beispiel zeigt wie auf einer FortiGate unter FortiOS 5.4 eine Log Konfiguration durchgeführt basierend auf einem "Syslog Server". Als "Syslog Server" wurde unter CentOS 5.x und/oder 6.x der integrierte "syslog" benutzt. Als ersten Schritt wird die FortiGate für den "Syslog Server" konfiguriert:
FortiGate Konfiguration
# config log syslogd setting
# set status enable
# set server [FQDN Syslog Server]
# set reliable [Aktiviere TCP-514 Verbindung; Per Standard deaktiviert resp. UDP-514]
# set port [Standard 514]
# set csv [enable | disable]
# set facility [Per Standard local0]
# set source-ip [Source IP der FortiGate; Standard 0.0.0.0]
# end
# config log syslogd filter
# set severity information
# set fortward-traffic enable
# set local-traffic enable
# set multicast-traffic enable
# set sniffer-traffic enable
# set anomaly enable
# set voip enable
# unset filter
# set filter-type include
# end
NOTE Achte bei der Konfiguraiton des "filter" darauf das die "severity" auf "information" gesetzt wird!
Syslog Server Konfiguration CentOS 5.x / 6.x
Als Erstes muss auf dem CentOS der "syslog" Server so konfiguriert werden, damit er von einem Remote Server "syslog"
Nachrichten überhaupt annimmt. Führe auf der Shell folgendes durch:
# vi /etc/sysconfig/syslogd
--------------- /etc/sysconfig/syslogd ---------------
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0 -r"
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
# once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1).
# By default, all permissions are removed for "group" and "other".
--------------- /etc/sysconfig/syslogd ---------------
NOTE Achte und aktiviere unter "SYSLOGD-OPTIONS" den Schalter "-r" denn dieser ist zuständig damit von "Remote" Syslog Nachrichten
entgegengenommen werden! Ist diese Option nicht gesetzt lehnt der "Syslog Server" auf dem CentOS die "syslog" Nachrichten von
Remote ab!
Nun legen wir ein neues Log File an und konfigurieren im "Syslog Server" welche Nachrichten entgegengenommen werden sollen. Zu diesem
Zweck definieren wir die "facility" dh. "local0.*. Diese "facility" wurde ebenfalls auf der FortiGate als "local0" definiert. Durch die
Differenzierung über die "facility" können vers. Fortigate's diesem "Syslog Server" Nachrichten senden und somit die vers. Log's der
FortiGate Device's unterschieden werden!
# vi /etc/syslog.conf
--------------- /etc/syslog.conf ---------------
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
local0.none;*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
# Save Fortigate log messages to fortigate.log
local0.* /var/log/fortigate.log
#*.* @loghost
--------------- /etc/syslog.conf ---------------
NOTE Beachte bei der Konfiguration, dass die Leerschläge/Zwischenräume "gezwungenermassen" (Fileformat) Tabulatoren sein müssen!
Um das Format zu überprüfen kann folgender Befehl abgesetzt werden:
# m4 -D LOGHOST /etc/syslog.conf
Nun legen wir das entsprechende Log File an, dass der "Syslog Server" benutzt um die "local0" Nachrichten des FortiGate Device, in das
Log zu schreiben. Danach kann der "syslog" Service neu gestartetn werden um die Konfiguration zu aktivieren:
# touch /var/log/fortigate.log
# chmod 644 /var/log/fortigate.log
# chown root:root /var/log/fortigate.log
# service syslog stop
# service syslog start
Um das Log in "realtime" anzuschauen führe folgenden Befehl aus (um abzubrechen benütze Ctrl + C):
# tail -f /var/log/fortigate.log
Die Konfiguration ist abgeschlossen dh. um die Konfiguration zu testen kann folgendes auf der FortiGate durchgeführt werden:
# diagnose log test
Dieses Kommando erstellt Test Log Einträge für jeden Bereich wie Authentication, SSL-VPN, Antivirus usw. Diese Test Log Einträge werden nun durch die Konfiguration für "log syslogd setting" zum "Syslog Server" gesendet und sollten im entsprechenden Log File "/var/log/fortigate.log" ersichtlich sein. Kommt es dabei zu Problem und es muss verifiziert werden "ob" die Fortigate diese "syslog" Nachrichten überhaupt sendet resp. die Log's auf dem CenOS ankommen benütze folgenden Befehl:
# tcpdump -nnp -i eth0 ip dst [Syslog Server IP] and port 514
Um das Log File "/var/log/fortigate.log" Täglich zu rotieren auf dem CentOS erstelle das folgende File:
# vi /etc/logrotate.d/fortigate
--------------- /etc/logrotate.d/fortigate ---------------
/var/log/fortigate.log {
rotate 30
daily
sharedscripts
postrotate
nomail
/usr/bin/killall -HUP syslogd
endscript
}
--------------- /etc/logrotate.d/fortigate ---------------
Die Konfiguration kann getestet werden mit folgenden Befehl:
# logrotate --force /etc/logrotate.d/fortigate
Wie kann ich unter FortiOS 5.4 für einen FortiGate Device eine "Log Rotation" konfigurieren?
Die Voraussetzung das auf einem FortiGate Device eine "Rotation" für das Log konfiguriert werden kann ist ein "disk" Logging. Ob ein FortiGate Device über diese Möglichkeit verfügt kann der "Software Matrix" entnommen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
Ein Log eines FortiGate Device's wird per Standard nicht "rotiert" dh. zum Beispiel auf täglicher Basis. Möchte man dies Konfigurieren führe folgendes durch:
# config log disk setting
# set status enable
# set diskfull overwrite
# set max-log-file-size [Max Grösse in MB bevor ein neues Log erstellt wird; Standard 20]
# set log-quota [Grösse für gesamter Log Speicher; Standard 0]
# set roll-schedule [daily oder weekly]
# set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set roll-time [Gebe die Zeit an im Format hh:mm]
# set maximum-log-age [Gebe an nach wieviel Tagen ein Log gelöscht werden soll; Standard 7]
# end
Berücksichtige dabei folgendes: Die Logs die "rotiert" werden können im Web Mgmt. Interface nicht explizit gewählt werden! Möchte man die Logs zusätzlich auf einen FTP Server überspielen siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Logs_eines_FortiGate_Devices_automatisiert_einem_FTP_Server_.C3.BCbermitteln.3F
Wie kann ich unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert einem FTP Server übermitteln?
Wenn unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert auf einen FTP Server übermittelt werden soll, muss muss zuerst eine Log "Rotation" konfiguriert werden. Die nötige Voraussetzung damit dies durchgeführt werden kann ist ein "disk" Logging. Ob ein "disk" Logging für einen FortiGate Device zur Verfügung steht, kann der "Software Matrix" entnommen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
Um eine Log "Rotation" zu konfigurieren siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F
Für die Konfiguration um die Logs automatisiert einem FTP Server zu übermitteln stehen folgende Optionen zur Verfügung:
# set upload [Aktiviere oder Deaktiviere einen Upload der File anhand "enable oder disable"]
# set upload-delete-files [Aktiviere oder Deaktiviere die Löschung der Logs lokal auf der Fortigate "nach" dem Upload anhand "enable oder disable"]
# set upload-destination [Gebe das Ziel an für den Upload dh. "rortianalyzer oder "ftp-server"]
# set upload-ssl-conn [Gebe an sofern ein FortiAnalyzer für den Upload benutzt wird wie Verschlüsselt werden soll dh. "default | high | low | disable"]
# set uploaddir [Gebe das Upload Verzeichnis an in der Form zB /Log-Archiv/ ]
# set uploadip [Wenn ein FTP Server benutzt wird für den Upload gebe die IP Adresse des FTP Server an]
# set uploaduser [Wenn ein FTP Server benutzt wird für den Upload gebe den Usernamen des FTP Server an]
# set uploadpass [Wenn ein FTP Server benutzt wird für den Upload gebe das Passwort des FTP Server an]
# set uploadport [Wenn ein FTP Server benutzt wird für den Upload gebe den benutzten Port des FTP Server an]
# set uploadsched [Aktiviere oder Deaktiviere den Upload zu einer bestimmten Zeit dh. anhand "disable | enable"]
# set uploadtime [Definiert den Zeitpunkt (hh:mm) des Uploads sofern "uploadsched" aktiviert wurde]
# set uploadtype [Gebe an "welche" File berücksichtigt werden; traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp]
# set uploadzip [Gebe an ob die Log Files "nach" dem Upload anhand ZIP Komprimiert werden sollen dh "disable | enable"]
# set source-ip [Definiert die Source IPv4 Adresse für den Upload auf den FTP Server]
NOTE Wenn "uploadsched" deaktiviert ist wird per Standard der Upload "nach" dem rotieren den Log Files ausgeführt!
Aus diesen zur Verfügung stehenden Optionen kann als Beispiel folgendes konfiguriert werden:
# config log disk setting
# set upload enable
# set upload-delete-files disable
# set upload-destination ftp-server
# set uploaddir /log-archive/
# set uploadip 193.193.135.65
# set uploaduser local.intra
# set uploadpass only4also
# set uploadport 21
# set uploadsched disable
# set uploadtype traffic traffic event virus webfilter IPS spamfilter dlp-archive anomaly voip dlp app-ctrl waf netscan gtp
# set uploadzip enable
Nach der Uebermittlung der Log Files auf den FTP Server werden diese in folgender Art und Weise auf dem FTP Server gespeichert (Beispiel Traffic Log):
tlog.FGT60D3G12013754.root.20120927000000.zip
Bei diesem Vorgehen ist folgendes zu berücksichtigen: Werden Logs vom FortiGate Device auf den FTP Server übermittelt, gibt es keine Möglichkeit diese für zB einer Analyse auf den FortiGate Device wieder einzuspielen.
Wie beeinflusst unter FortiOS 5.4 das Kommando "system network-visibility" die Logs und die enthaltenen Informationen?
Das Kommando "system network-visibility" steht im Zusammehang mit der "Geo IP Location". Diese bedeutet: Werden diese Optionen aktiviert (ist per Standard der Fall) so werden betreffend den einzelnen enthaltenen Optionen wie zB "source" Geo Location Informationen in den Logs zu den IP's angezeigt/hinzugefügt:
# config system network-visibility
# destination-visibility [enable | disable]
# source-location [enable | disable]
# destination-hostname-visibility [enable | disable]
# hostname-ttl [Definiere TTL Standard 86400]
# hostname-limit [Definiere Anzahl Hostname Limit Standard 5000]
# destination-location [enable | disable]
# end
NOTE Wenn die Option "source-location" aktiviert wird so wird für "internal" Resourcen zB LAN anstelle der Geo Location die
Information "reserved" in den Logs angezeigt. Ebenso steht das nachfolgenden Kommando im direkten Zusammenhang mit der
"network-visibility" resp. muss aktiviert werden damit die Geo Location in den Logs angezeigt/hinzugefügt werden:
# config log gui-display
# set resolve-hosts [enable | disable]
# end
CLI
Wie kann ich auf einer FortiGate "sämtliche" zur Verfügung stehenden Befehle/Konfiguration aufzulisten?
Die CLI einer FortiGate ist umfassend und ist Hierachisch strukturiert. Diese Hierachie kann auf einer FortiGate anhand des nachfolgenden Befehls ausgegeben werden um einen Ueberblick zu erhalten:
# tree
Wenn dieser Befehl abgesetzt wird sollte dieser innerhalb eine SSH Verbindung abgesetzt werden und nicht innerhalb einer RS-232 Verbindung über den Mgmt. Port. Nachfolgend ein Beispiel des Output:
Output basierend auf FortiOS 5.4.0 tree-5.4.0