Chris spielplatz: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
(Die Seite wurde geleert.)
Markierung: Geleert
 
(799 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Spielplatz


[[Category:Checkpoint]]
== Vorwort ==
<br/>
== Datenschutz ==
<pre>
        *********************************************************************
        *                                                                  *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM    *
        *                  ALSO SCHWEIZ SWITZERLAND.                      *
        *                                                                  *
        *********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
                        bekannt gemacht werden"
</pre>
== Virtueller Schutz ==
== Physischer Schutz ==
=== Physischer Schutz im Alltag ===
=== Physischer Schutz in den Ferien ===
Ferien sind schön <br>
Ferien sind toll
Ferien waren schön
Ferien werden schön
[[Datei:FortiCompanionToTechnicalSupport_V2.10.pdf]]
== Reliable Logging ==
=== Wie aktiviere ich Reliable Logging? ===
Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:
- Reihenfolge der Daten bleibt unverändert <br>
- Bestätigung im Fall eines erfolgreichen Transfers <br>
- Verwendung von SYN, SYN-ACK, ACK handshake
Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
      set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
      set mode udp | reliable | legacy-reliable 
(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.
=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===
Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.
Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # log fortianalyzer setting
        enc-algorithm [high-medium | high | low]
        set reliable enable
  end
</pre>
|}
== Authentifizierung ==
=== Troubleshooting ===
Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.
CLI bietet  mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear
(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1
(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}
== Zertifikate ==
=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===
Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:
- Private Key <br>
- Public Key <br>
- Zertifikat per se
Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.
Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}
=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===
FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.
- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden <br>
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden
Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.
Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config certificate local
    edit Fortinet_Factory
    set range <global/vdom>
    set source <factory/user/bundle/fortiguard>
    end 
</pre>
|}
== Antivirus ==
=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===
FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.
NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.
Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config ips global
      set np accel-mode {none | basic}
    end
</pre>
|}
=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===
FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.
Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird  Musterkennung beschleunigt und gleichzeitig CPU entlastet.
Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.
Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config ips global
      set cp-accel-mode {none | basic | advanced}
    end
</pre>
|}
== SSL-VPN ==
=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
    edit <portal_name>
      set host-check [none|av|fw|av-fw|custom] *
      set host-check-interval <seconds>
  end
* Erklärungen
none:  kein Host-Check
av:    Antivirus-Software-Check
fw:    Firewall-Software-Check
av-fw:  Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}
=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===
'''Methode 1: Client-Zertifikat'''
Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set reqclientcert enable
    end
</pre>
|}
'''Methode 2: FortiGate CA-Zertifikat'''
Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set servercert <certificate>
    end
</pre>
|}
=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===
Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.
'''Methode 1: IP-Adressen von Hosts'''
Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
    set source-address <46.22.16.164>
  end
</pre>
|}
Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set source-address-negate [enable|disable]
    end
</pre>
|}
'''Methode 2: MAC-Adressen von Hosts'''
Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      edit <portal-name>
        set mac-addr-check [enable|disable]
        set mac-addr-action [allow|deny]
      end
</pre>
|}
=== Wo finde ich SSL-VPN Logs? ===
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]
'''''VPN Events''''':
- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' <br>
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''
'''''User Events''''':
- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}
=== Wie verhindere ich Logout von SSL-VPN-Usern? ===
Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set login-timeout <10-180>    -> Standardeinstellung: 10 Sekunden
      set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
    end
</pre>
|}
Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set http-request-header-timeout <1-60>
      set http-request-body-timeout <1-60>
    end
</pre>
|}

Aktuelle Version vom 13. Juni 2023, 16:41 Uhr

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=Chris_spielplatz&oldid=34130