Chris spielplatz: Unterschied zwischen den Versionen
| Zeile 243: | Zeile 243: | ||
Bei der Authentifizierung wird der Remote-Client seitens FortiGate nach seinen Zertifikaten gefragt. | Bei der Authentifizierung wird der Remote-Client seitens FortiGate nach seinen Zertifikaten gefragt. | ||
{| class="wikitable" | |||
|- style="background:#89E871" | |||
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' | |||
|- | |||
| style="width:850px" ;| | |||
<pre> | |||
# config vpn ssl settings | |||
set reqclientcert enable | |||
end | |||
</pre> | |||
|} | |||
Version vom 21. Januar 2021, 11:14 Uhr
Spielplatz
Vorwort
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Virtueller Schutz
Physischer Schutz
Physischer Schutz im Alltag
Physischer Schutz in den Ferien
Ferien sind schön
Ferien sind toll
Ferien waren schön Ferien werden schön
Datei:FortiCompanionToTechnicalSupport V2.10.pdf
Reliable Logging
Wie aktiviere ich Reliable Logging?
Aktivierung von Reliable Logging führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:
- Reihenfolge der Daten bleibt unverändert
- Bestätigung im Fall eines erfolgreichen Transfers
- Verwendung von SYN, SYN-ACK, ACK handshake
Wählt man FortiAnalyzer als Option für Remote Logging im GUI, dann wird Reliable Logging automatisch aktiviert. Im CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:
 Konfiguration über die CLI:
|
# config log fortianalyzer setting
set reliable [enable/disable]
|
Wählt man Syslog als Option für Remote Logging, ist im CLI folgender Befehl nötig: CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:
| Konfiguration über die CLI:
|
# config log syslogd setting
set mode udp | reliable | legacy-reliable
(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
|
Wählt man FortiCloud als Option für Remote Logging, ist TCP bereits festgelegt.
Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln?
Bei aktiviertem Reliable Logging kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.
Folgender Befehl im CLI inklusive Konfiguration des enc-algorithm und Aktivierung des Reliable Logging:
| Konfiguration über die CLI:
|
# log fortianalyzer setting
enc-algorithm [high-medium | high | low]
set reliable enable
end
|
Authentifizierung
Troubleshooting
Im GUI findet man unter Firewall Policy nebst Namen, Source, Destination, Service etc. auch die Anzahl Bytes, welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.
CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:
| Konfiguration über die CLI:
|
|
Anzeigen der authentifizierten User und deren IP Addressen: # diagnose firewall auth list Bereinigen sämtlicher autorisierter User: # diagnose firewall auth clear (Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen) Troubleshooting bei aktiver Authentifizierung: # diagnose debug application fnbamd -1 (Hinweis: Immer zusammen mit # diagnose debug enable) Testen des prehared key zwischen FortiGate und RADIUS server: # diagnose test authserver radius-direct <ip> <port> <secret> Testen der LDAP Authentifizierung für bestimmte User: # diagnose test authserver ldap <server_name> <username> <password> |
Zertifikate
Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen?
Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als PKCS#12-File sichern, welches folgendes beinhaltet:
- Private Key
- Public Key
- Zertifikat per se
Das PKCS#12-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.
Das Sichern bzw. Back-Up ist nur über CLI möglich (ausserdem wird ein TFTP-Server vorausgesetzt).
| Konfiguration über die CLI:
|
# execute vpn certificate local import tftp <file-name_str> <tftp_ip> # execute vpn certificate local export tftp <file-name_str> <tftp_ip> |
Wie konfiguriere ich Zertifikate (VDOM und global)?
FortiGate erlaubt es, dass ein CA sowie ein lokales Zertifikat für eine VDOM oder global konfigurierbar sind.
- Wenn ein Zertifikat auf einer VDOM hochgeladen wird, kann dieses Zertifikat nur auf der gleichen VDOM aufgerufen werden
- Wenn ein Zertifikat global hochgeladen wird, kann es auf allen VDOMS sowie global aufgerufen werden
Die Konfiguration der Zertifikate (VDOM und global) ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.
Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: Fortinet_SSL_ECDSA256 -> das Suffix ECDSA256 steht für Elliptic Curve Digital Signature Algorithm 256.
| Konfiguration über die CLI:
|
# config certificate local
edit Fortinet_Factory
set range <global/vdom>
set source <factory/user/bundle/fortiguard>
end
|
Antivirus
Wie beschleunige ich Antivirus Scanning mit NP Acceleration?
FortiGate-Modelle mit Nturbo (i.e. NP6, NP7, oder SoC4 Modelle) können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.
NTurbo ermöglicht es, dass Traffic vom Ingress Interface zur IPS Engine umgeleitet wird, und von der IPS Engine zum Egress Interface. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.
Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.
| Konfiguration über die CLI:
|
# config ips global
set np accel-mode {none | basic}
end
|
Wie beschleunige ich Antivirus Scanning mit CP Acceleration?
FortiGate Modelle mit CP8 und CP9 Content Prozessoren können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.
Dabei werden (aus der IPS Engine und/oder IPS Datenbank) Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.
Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.
Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.
| Konfiguration über die CLI:
|
# config ips global
set cp-accel-mode {none | basic | advanced}
end
|
SSL-VPN
Wie ermögliche ich Zwei-Faktor-Authentifizierung durch Sicherheitszertifikate?
Die Sicherheit von SSL-VPN-Verbindungen kann zusätzlich durch Zwei-Faktor-Authentifizierung verstärkt werden.
Methode 1: Zertifikate vom Client verlangen
Bei der Authentifizierung wird der Remote-Client seitens FortiGate nach seinen Zertifikaten gefragt.
| Konfiguration über die CLI:
|
# config vpn ssl settings
set reqclientcert enable
end
|