FortiGate:MSS-ALSO: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(42 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Fortinet:MSS-ALSO
Fortinet:MSS-ALSO


[[Category:Fortinet]]


__TOC__
__TOC__
Zeile 23: Zeile 22:
</pre>
</pre>


<span style="color: #FF0000;"><big>'''BETA-Test des MSS-ALSO Dienstes.'''</big></span>
== MSS-ALSO Dienst - Dienst eingestellt ==
 
Der MSS-ALSO Dienst wird nicht weiter betrieben. Den Betatestern vielen Dank für die Mithilfe.
== Um was handelt es sich beim MSS-ALSO Dienst? ==
 
In der heutigen Zeit sind Logdaten unabdinglich dh. sei es Sicherheitsgründen, Troubleshooting oder aus Analysezwecken. Im FortiGate Bereich benützen kleinere Devices (Kleiner FG-100D) in den meisten Fällen einen Flash Storage. Diese Flash Storage sind nicht geeignet um Log Dateien zu schreiben und deshalb hat Fortinet ab FortiOS 5.2 die Möglichkeit des Loggen auf diesen FortiGate Devices entfernt. Somit kann auf diesen FortiGate Devices nur in Memory geloggt werden oder Remote. Wird im Memory Geloggt, werden 10% des Memory benutzt für das Logging was wiederum Folgendes bedeutet: Bei einem Full-Logging auf einer zB FG-60D fallen ca. pro Tag 35 - 55 MB an. Da 10% für das Logging zur Verfügung stehen bedeutet dies eine History von ca. 4 - 5 Tage. Danach wird die vorhandene History gelöscht und steht somit nicht mehr zur Verfügung. Unter FortiOS 5.4 wurde dieser Umstand in dem Sinne entschärft, dass spezifischen FortiGate "E" Devices ein SSD Disk zur Verfügung steht für das Logging wie zB FG-61E. Somit kann zwar auf diesen Devices ein Logging auf Disk aktiviert werden jedoch ein Reporting steht nicht zur Verfügung (Ausnahme FortiGate 80/90 Serie). Durch den "MSS-ALSO" Service wird somit Ermöglicht die Logdaten von kleineren FortiGate Devices auf einem FortiAnalyzer in "realtime" zu speichern und über die üblichen Funktionen im FortiAnalyzer zu Analysieren. Die benutze Bandbreite zB bei einer FG-60D von ca. 35 - 55 MB Pro Tag ist unerheblich und Belastet weder den eingebundenen FortiGate Device noch die Bandbreite der benützten ISP Linie. Ebenso spielt ein Ausfall der ISP Linie keine Rolle da in so einem Fall die Logs auf dem FortiGate Device zwischengespeichert werden und nachträlich dem FortiAnalzer übermittelt werden sobald dieser wieder erreichbar ist. Auch dynamische public IPv4 Adressen die auf den FortiGate Devices für zB PPPoE benützt werden stellen kein Problem dar. Für den "MSS-ALSO" Logging Service wird kein Username und Passwort für den FortiGate Device benötigt noch wird eine Verbindung vom FortiAnalyzer zum FortiGate Device aufgebaut. Für den Logging Dienst "MSS-ALSO" steht dem Kunden ein vollständige separate ADOM (Administrative Domain) zur Verfügung ohne Restriktionen dh. es können eigenen Reports erstellt werden, automatische Zustellung von Reports usw. Zusätzlich zum "MSS-ALSO" Logging Dienst kann der "MSS-ALSO" Backup Dienst abonniert werden. Dies bedeutet: Automatisierte Backups für FortiGate Devices sind zwar manuell möglich jedoch steht diese Funktion nicht als Backup auf einem FortiOS 5.0/5.2 zur Verfügung. Im "MSS-ALSO" Backup Dienst wird anhand eines zusätzlichen Administrators der FortiGate Device auf einer ADOM im Backup Modus eingebunden. Durch diese Konfiguration wird jede Veränderung auf dem FortiGate Device in "realtime" zum FortiManager gesendet und als Revision abgespeichert. Somit kann im Fall eines Ausfalles diese Information wiederverwendet werden um den FortiGate Device Wiederherzustellen oder im Fall einer Fehlkonfiguration über die Revision ein Roll-Back zu initieren. Dabei wird im Gegensatz zu einer auf dem FortiGate Device zur Verfügung stehender Revision nicht nur diese im Gesamten angezeigt sondern die Unterschiede zB was verändert wurde.
 
== Kann man den MSS-ALSO Dienst Testen? ==
 
Dieser "MSS-ALSO" Dienst kann natürlich getestet werden! Dazu schreiben sie ein Mail an folgende Adresse und mit folgenden Betreff:
 
        fortinet-ch@also.com
       
        Betreff: MSS-ALSO Evaluation Anfrage
 
Geben Sie im Email Ihre vollständigen Kontakt Daten an. Danach werden wir Sie Kontaktieren!
 
== Welche Voraussetzungen gelten für den MSS-ALSO Dienst? ==
 
Für FortiGate Devices die im Zusammenhang mit dem MSS-ALSO Dienst eingebunden werden gelten folgende Voraussetzungen:
 
      - FortiGate Device mit FortiOS '''5.2''' oder '''5.4'''. Alle anderen Versionen sind nicht supportet.
      - FortiGate Modell muss '''kleiner als eine FortiGate 100D''' sein.
      - Auf dem FortiGate Modell muss ein '''gültiges FortiCare''' (mind 8x5) aktiv sein.
 
      '''FortiOS 5.2'''
      License Information -> Support Contract -> Registration
     
      [[Datei:fortinet-1798.jpg]]
 
      '''FortiOS 5.4'''
      License Information -> Support Contract -> Registration
 
== Wie melde ich mich für den MSS-ALSO Dienst an? ==
 
Eine Anmeldung zum MSS-ALSO Dienst benötigt zwei Schritte dh.:
 
        • Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts
        • Registrierung des entsprechenden FortiGate Devices
 
Für jeden Fortinet Registrierten Reseller muss zu Beginn ein entsprechender Account eröffnet werden. Dieser wird anhand der ALSO Kunden Nummer eröffnet. Für diesen Account wird folgendes unter dem MSS-ALSO Dienst zur Verfügung gestellt:
 
        • Zugang SSL-VPN MSS-ALSO anhand Two-Factor Authentication für 1 User
        • Erstellung zweier separierten ADOM mit Zugang für FortiOS 5.2 und FortiOS 5.4
 
Dieser Schritt dh. zur Anmeldung der "Allgemeinen Eröffnung eines Fortinet Registrierten Reseller Accounts" muss somit nur ein Mal durchgeführt werden da jeder Fortinet Registrierte Reseller ein ADOM für FortiOS 5.2 sowie 1 ADOM FortiOS 5.4 zur Verfügung gestellt wird! Für diese einmalige Anmeldung der "Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts" durchzuführen, muss folgendes Formular vollständig ausgefüllt an "fortinet-ch@also.com" gesendet werden:
 
      [[Datei:KDE-001-Anmeldung-MSS.docx]]
 
Diese Anmeldung zur "Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts" wird innerhalb 2 Arbeitstage ausgeführt und Bestätigt. Nachdem die Anmeldung Bestätigt wurde können FortiGate Devices zum entsprechenden Account hinzugefügt werden! Weitere Informationen siehe nachfolgender Artikel:
 
        [[FortiGate:MSS-ALSO#Wie_Registriere_ich_ein_FortiGate_Device_zum_MSS-ALSO_Dienst.3F]]
 
=== Wie Registriere ich ein FortiGate Device zum MSS-ALSO Dienst? ===
 
Voraussetzung damit ein FortiGate Device zum MSS-ALSO Dienst hinzugefügt werden kann ist ein vorhandener "Fortinet Registrierten Reseller Accounts". Weitere Informationen wie dieser zu Eröffnen ist siehe nachfolgender Artikel:
 
        [[FortiGate:MSS-ALSO#Wie_melde_ich_mich_f.C3.BCr_den_MSS-ALSO_Dienst_an.3F]]
 
Wenn somit ein entsprechender "Fortinet Registrierten Reseller Accounts" besteht, muss nachfolgende Formular vollständig ausgefüllt an "fortinet-ch@also.com" gesendet werden:
 
      [[Datei:DDE-001-DeviceErfassen-MSS.docx]]
 
Dieses Formular enthält Grundsätzlich folgende Informationen:
 
      - ALSO Kundennummer
      - ALSO Kundenname
      - Serie Nummer der FortiGate
      - FortiOS 5.2 oder 5.4
      - Serien Nummer FortiCare Laufzeit (End-Datum angeben)
      - Option Backup ja/nein
 
Die FortiCare Laufzeit resp. End-Datum ist über das License Information Widget auf der FortiGate ersichtlich. Wenn für den MSS-ALSO Dienst die Option Backup gewählt wird, muss berücksichtigt werden das ein entsprechender Administrator auf dem FortiGate Device erstellt werden muss damit diese Backup Funktion genutzt werden kann. Die Informationen des Usernamen und Passwortes wird vom MSS-ALSO Dienst zur Verfügung gestellt und sind Zwingend. Dies bedeutet: Dieser Administrator wird anhand eines "trustedhosts" erstellt und somit kann dieser Administrator nur von diesem "trustedhost" benutzt werden.
 
=== Wie Lösche ich ein FortiGate Device aus dem MSS-ALSO Dienst? ===
 
 
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
 
      - ALSO Kundennummer
      - Serienummer der FortiGate
      - Option Backup auch löschen ja/nein
 
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
      [[Datei:DDL-001-DeviceLoeschen-MSS.docx]]
 
== Was muss ich auf einem FortiGate Device für den Logging MSS-ALSO Dienst konfigurieren? ==
 
Damit der MSS-ALSO Dienst von ALSO genutzt werden kann muss auf der FortiGate ein Konfigurationssetting eingelesen werden.
 
Bevor Sie die Templates in die Firewall kopieren bitte ein Backup der Konfiguration vornehmen:
      [[FortiGate:MSS-ALSO#Wie_kann_ich_ein_manuell_auf_der_FortiGate_ein_Backup_erstellen_der_aktuellen_Konfiguration_erstellen_.3F]]
Nachdem das Backup erstellt wurde kann folgendes Template auf die FortiGate über die CLI oder SSH Console eingelesen werden. Mit diesem Template wird der FortiAnalyser Zugriff konfiguriert.
 
        [[Datei:alsomss-konftmp-fortigate-faz.txt]]            Template um MSS-ALSO Logdienst auf der FortiGate einzurichten
 
Alternativ kann auch direkt diese Konfiguration kopiert und eingefügt werden:
 
      # config log fortianalyzer setting
      # set status enable
      # set ips-archive enable
      # set server 185.75.152.10
      # set enc-algorithm default
      # set conn-timeout 10
      # set monitor-keepalive-period 5
      # set monitor-failure-retry-period 5
      # set upload-option realtime
      # set reliable enable
      # end
      # config log fortianalyzer filter
      # set severity information
      # set local-traffic enable
      # set multicast-traffic enable
      # set sniffer-traffic enable
      # set anomaly enable
      # set voip enable
      # set dlp-archive enable
      # end
 
Diese Konfiguration kann auch im Vorfeld auf der FortiGate eingerichtet werden. Sobald der Dienst auf ALSO Seite auch konfigureirt ist, wird sich die FortiGate mit dem Analyzer verbinden und die Logs werden zum Analyzer gesendet.
 
Damit der Dienst optimal läuft empfiehlt es sich, folgendes Template auch auf die FortiGate einzulesen. Mit diesem Template wird das Log optimiert. Weitere Details zur Logoptimierung gibt es auch in dem Artikel : [[FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F]]
 
        [[Datei:fortimss-konftmp-logopt.txt]]                    Template um MSS-ALSO Logdienst auf der FortiGate zu optimieren
 
=== Wie kann ich verhindern das ein Usernamen in den Log's angezeigt wird? ===
 
Es ist möglich "usernamen" in den Logs mit einem "anonymous" zu versehen dh. anstelle des Usernamens wird "anonymous" angezeigt. Dazu muss folgendes durchgeführt werden:
      # config log setting
      # set user-anonymize enable
      # end
 
== Zugriff MSS-ALSO Dienst ==
=== MSS-ALSO Dienst Portal ===
 
Auf das Portal kann über folgenden Link zugegriffen werden: [https://mss.also.ch https://mss.also.ch]
 
      [[Datei:Fortinet-1796.jpg]]
 
Nach erfolgreicher Anmeldung kommt das Auswahlmenü:
 
      [[Datei:Fortinet-1797.jpg]]
     
Die ersten drei Positionen sind der direkte Link zu den Anmeldemasken. Sie können direkt von hier auf die entsprechenden Systeme zugreifen:
      [[Datei:Fortinet-1805.jpg]]
     
      - '''mss-also.ch-fortinet-fmg''' : Zugriff auf den FortiMangar in welchem die Backupfiles
                                    der eingebundenen FortiGates geladen werden können.
     
      - '''mss-also.ch-fortinet-faz''' : Zugriff auf den FortiAnalyzer. Hier können die Logs,
                                    welche von den FortiGates gesendet werden, eingesehen werden.
                                    Es können Reports generiert werden.
     
      - '''mss.also.ch-fortinet-fac''' : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
                                    Benutzerdaten editiert werden.
 
      '''NOTE''' Es muss sich jeweils nocheinmal authentifiziert werden wen ein Link angewählt wird
            (Log und Backup ohne 2Factor Authentifizierung)
 
Momentan gibt es Probleme mit den Links. Wenn auf den FortiAnalyzer oder FortiManager eingeloggt werden will, kommt nach der Authentifizierung nur ein blauer oder grüner Bildschirm. Damit die Logs oder Backupdaten doch eingesehen werden können ist folgender Workaround zu benutzen:
 
==== Zugriff Log, Backup über getunnelte Verbindung (Workaround)====
      [[Datei:Fortinet-1799.jpg]]
 
      - '''tunnel.mss-also.ch-fortinet-fmg''' : Zugriff auf den FortiMangar in welchem die Backupfiles
                                          der eingebundenen FortiGates geladen werden können.
     
      - '''tunnel.mss-also.ch-fortinet-faz''' : Zugriff auf den FortiAnalyzer. Hier können die Logs,
                                          welche von den FortiGates gesendet werden, eingesehen werden.
                                          Es können Reports generiert werden.
     
      - '''tunnel.mss-also.ch-fortinet-fac''' : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
                                          Benutzerdaten editiert werden.
 
Nachdem der Link angewählt wurde, die Sicherheitswarnung mit weiter bestättigen.
      [[Datei:Fortinet-1800.jpg]]
 
Es erscheint eine Tabelle mit den Tunnelinformationen.
      [[Datei:Fortinet-1801.jpg]]
Der Local Port gibt den Port an welcher bei der URL im Browser angegeben werden muss. (gelb markiert)
Im Browser kann jetzt <nowiki> https://localhost:<LOCAL_PORT> in unserem Beispiel https://localhost:11443 eingegeben werden </nowiki>
      [[Datei:Fortinet-1802.jpg]]
 
Wenn alles funktioniert hat, erscheint die Loggingmaske des FortiAnalyzer, FortiManager oder FortiAuthentikator:
      [[Datei:Fortinet-1804.jpg]]
 
      '''NOTE:'''Falls eine zu alte Java Version benutzt wird, funktioniert der Tunnel nicht. Es erscheint folgende Fehlermeldung:
            [[Datei:Fortinet-1803.jpg]]
            Wen diese erscheint, muss zuerst ein update der Java Komponente vorgenommen werden
 
=== Verbindung über den FortiClient (Tunnelmodus) ===
 
Es kann auch die Verbindung über den FortiClient hergestellt werden.
Den FortiClient kann hier bezogen werden:
 
        FortiClient 5.2 VPN-Only für Windows:   
        [[Datei:x64-ManualDistribution-5.2.zip]]          FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) '''5.2.6'''
       
        FortiClient 5.4 VPN-Only für Windows:       
        [[Datei:x86-ManualDistribution-5.4.zip]]          FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) '''5.4.1'''
 
Konfigurationsbeispiel anhand der FortiClient Version 5.4.1:
 
        [[Datei:1807.jpg]]
       
        [[Datei:1806.jpg]]
 
Folgendermassen kann der FortiAnalyzer, FortiManager und FortiAuthentikator erreicht werden:
 
        - '''also-mss-fortinet-fmg.mss-also.ch''' : Zugriff auf den FortiMangar in welchem die Backupfiles
                                              der eingebundenen FortiGates geladen werden können.
       
        - '''also-mss-fortinet-faz.mss-also.ch''' : Zugriff auf den FortiAnalyzer. Hier können die Logs,
                                              welche von den FortiGates gesendet werden, eingesehen werden.
                                              Es können Reports generiert werden.
       
        - '''also-mss-fortinet-fac.mss-also.ch''' : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und
                                              Benutzerdaten editiert werden.
 
== FAQ ==

Aktuelle Version vom 12. Dezember 2018, 11:37 Uhr

Fortinet:MSS-ALSO


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

MSS-ALSO Dienst - Dienst eingestellt

Der MSS-ALSO Dienst wird nicht weiter betrieben. Den Betatestern vielen Dank für die Mithilfe.

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiGate:MSS-ALSO&oldid=21345