Chris spielplatz: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde geleert.)
Markierung: Geleert
 
(38 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Spielplatz
[[Category:Checkpoint]]
== Datenschutz ==


<pre>
        *********************************************************************
        *                                                                  *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM    *
        *                  ALSO SCHWEIZ SWITZERLAND.                      *
        *                                                                  *
        *********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
                        bekannt gemacht werden"
</pre>
== TINU ==
=== TEST CLI ===
<div style="background-color:#7E55FC;font-size:1px;height:30px;border:1px solid #F0F096;">  [[file:config_cli.png|35px|link=]] CLI </div>
<div style="border:0px solid #89E871;border-top:0px ;padding:2px 2px 0 2px;margin-bottom:3px;background-color:#252269;">
<span style="color:#FFFFFF">
Crass TEST
</span>
</div>
<pre style="background-color:#252269;color: #FFFFFF">
CLI Test
</pre>
=== Piktogramme ===
[[Datei:achtung.svg]]
[[Datei:alert.svg]]
[[Datei:info.svg]]
[[Datei:FortiOS_5x.svg]]
[[Datei:FortiOS_56.svg]]
[[Datei:FortiOS_6x.svg]]
[[Datei:FortiOS_60.svg]]
[[Datei:FortiOS_62.svg]]
[[Datei:FortiOS_64.svg]]
[[Datei:FortiOS_70.svg]]
[[Datei:FortiOS_56.svg]]
[[Datei:new.svg]]
[[datei:new.png]]
[[Datei:wichtig.svg]]
[[Datei:achtung.svg]]
== Reliable Logging ==
=== Wie aktiviere ich Reliable Logging? ===
Aktivierung von ''Reliable Logging'' führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:
- Reihenfolge der Daten bleibt unverändert <br>
- Bestätigung im Fall eines erfolgreichen Transfers <br>
- Verwendung von SYN, SYN-ACK, ACK handshake
Wählt man '''FortiAnalyzer''' als Option für ''Remote Logging'' im '''GUI''', dann wird ''Reliable Logging'' automatisch aktiviert. Im '''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log fortianalyzer setting
      set reliable [enable/disable]
</pre>
|}
Wählt man '''Syslog''' als Option für ''Remote Logging'', ist im '''CLI''' folgender Befehl nötig:
'''CLI''' muss ''Reliable Logging'' mit folgendem Befehl aktiviert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config log syslogd setting
      set mode udp | reliable | legacy-reliable 
(Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)
</pre>
|}
Wählt man '''FortiCloud''' als Option für ''Remote Logging'', ist TCP bereits festgelegt.
=== Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln? ===
Bei aktiviertem ''Reliable Logging'' kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.
Folgender Befehl im '''CLI''' inklusive Konfiguration des ''enc-algorithm'' und Aktivierung des ''Reliable Logging'':
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # log fortianalyzer setting
        enc-algorithm [high-medium | high | low]
        set reliable enable
  end
</pre>
|}
== Authentifizierung ==
=== Troubleshooting ===
Im GUI findet man unter ''Firewall Policy'' nebst Namen, Source, Destination, Service etc. auch die Anzahl ''Bytes'', welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.
CLI bietet  mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Anzeigen der authentifizierten User und deren IP Addressen:'''
<pre>
# diagnose firewall auth list
</pre>
----
'''Bereinigen sämtlicher autorisierter User:'''
<pre>
# diagnose firewall auth clear
(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)
</pre>
----
'''Troubleshooting bei ''aktiver Authentifizierung'':'''
<pre>
# diagnose debug application fnbamd -1
(Hinweis: Immer zusammen mit # diagnose debug enable)
</pre>
----
'''Testen des ''prehared key'' zwischen FortiGate und RADIUS server:'''
<pre>
# diagnose test authserver radius-direct <ip> <port> <secret>
</pre>
----
'''Testen der LDAP Authentifizierung für bestimmte User:'''
<pre>
# diagnose test authserver ldap <server_name> <username> <password>
</pre>
|}
== Zertifikate ==
=== Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection? ===
'''''Datenaustausch im Internet''''':
Sicherheit beim Datenaustausch im Internet  wird u.a. durch das kryptographische Protokoll '''''TLS (Transport Layer Security)''''' bzw. '''''SSL (Secure Sockets Layer)''''' gewährleistet. Dabei müssen sowohl Client wie auch Server ''TLS/SSL'' verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. ''SSL Version'') mittels '''''SSL Handshake''''' bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.
Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob '''''Subject Name''''' vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.
Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden '''''Session Keys''''' um Datenaustausch während einer ''TLS/SSL Session'' zu ver- und entschlüsseln.
'''''SSL Certificate Inspection''''':
Bei ''SSL Certificate Inspection'' betrachtet FortiGate nur den Teil des Zertifikats, welcher den '''''CN (Common Name)''''' des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich ''SSL Certificate Inspection'' nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von '''''Certificate Errors'''''. Diese treten bei ''SSL Certificate Inspection'' nur dann auf, wenn FortiGate '''''Replacement Messages''''' via ''HTTPS'' sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel '''''Full SSL Inspection'''''.
Folglich eignet sich ''SSL Certificate Inspection'' beispielsweise in Policies, welche nur '''''WebFilter''''' verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass ''HTTPS''-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den ''WebFilter'' geblockt werden.
'''''Full SSL Inspection''''':
Hauptzweck der ''Full SSL Inspection'' ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten ''HTTPS Sessions'' verstecken.
Im Gegensatz zur ''SSL Certificate Inspection'', wird der oben-erwähnte '''''SSL Handshake''''' (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer '''''CA (Certificate Authority)''''' ausgestellt wurde, und folglich '''''Certificate Errors''''' generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. ''SSL_Proxy_Inspection'') auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.
Bei ''Full SSL Inspection'' ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.
=== Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen? ===
Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als '''PKCS#12'''-File sichern, welches folgendes beinhaltet:
- Private Key <br>
- Public Key <br>
- Zertifikat per se
Das '''PKCS#12'''-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.
Das Sichern bzw. Back-Up ist '''nur über CLI''' möglich (ausserdem wird ein '''TFTP-Server''' vorausgesetzt).
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute vpn certificate local import tftp <file-name_str> <tftp_ip>
# execute vpn certificate local export tftp <file-name_str> <tftp_ip>
</pre>
|}
=== Wie konfiguriere ich Zertifikate (VDOM und global)? ===
FortiGate erlaubt es, dass ein '''CA''' sowie ein '''lokales Zertifikat''' für eine ''VDOM'' oder ''global'' konfigurierbar sind.
- Wenn ein Zertifikat auf einer ''VDOM'' hochgeladen wird, kann dieses Zertifikat '''nur auf der gleichen VDOM''' aufgerufen werden <br>
- Wenn ein Zertifikat ''global'' hochgeladen wird, kann es auf '''allen VDOMS sowie global''' aufgerufen werden
Die Konfiguration der Zertifikate (''VDOM'' und ''global'') ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.
Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: '''Fortinet_SSL_ECDSA256''' -> das Suffix '''ECDSA256''' steht für '''Elliptic Curve Digital Signature Algorithm 256'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config certificate local
    edit Fortinet_Factory
    set range <global/vdom>
    set source <factory/user/bundle/fortiguard>
    end 
</pre>
|}
== Antivirus ==
=== Wie beschleunige ich Antivirus Scanning mit NP Acceleration? ===
FortiGate-Modelle mit '''Nturbo''' '''(i.e. NP6, NP7, oder SoC4 Modelle)''' können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.
NTurbo ermöglicht es, dass Traffic vom ''Ingress Interface'' zur ''IPS Engine'' umgeleitet wird, und von der ''IPS Engine'' zum ''Egress Interface''. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.
Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config ips global
      set np accel-mode {none | basic}
    end
</pre>
|}
=== Wie beschleunige ich Antivirus Scanning mit CP Acceleration? ===
FortiGate Modelle mit '''CP8 und CP9 Content Prozessoren''' können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.
Dabei werden (aus der ''IPS Engine'' und/oder ''IPS Datenbank'') Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird  Musterkennung beschleunigt und gleichzeitig CPU entlastet.
Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.
Diese Umlagerung funktioniert '''nur bei Flow-basiertem Antivirus Scanning'''.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config ips global
      set cp-accel-mode {none | basic | advanced}
    end
</pre>
|}
== SSL-VPN ==
=== Wie überprüfe ich Hosts bei SSL-Verbindungen? ===
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
[[Datei:Fortinet-3067.jpg]]
Mit der Option '''''Restrict to Specific OS Versions''''' können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
    edit <portal_name>
      set host-check [none|av|fw|av-fw|custom] *
      set host-check-interval <seconds>
  end
* Erklärungen
none:  kein Host-Check
av:    Antivirus-Software-Check
fw:    Firewall-Software-Check
av-fw:  Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check
</pre>
|}
=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung? ===
'''Methode 1: Client-Zertifikat'''
Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set reqclientcert enable
    end
</pre>
|}
'''Methode 2: FortiGate CA-Zertifikat'''
Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: ''Fortinet_CA_SSL'').
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set servercert <certificate>
    end
</pre>
|}
=== Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen? ===
Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen '''ausgewählter Host-Adressen (IP und/oder MAC)''' erhöht werden.
'''Methode 1: IP-Adressen von Hosts'''
Im '''GUI und CLI''' kann der Zugang spezifischer IP-Adressen '''erlaubt''' werden.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# VPN -> SSL-VPN Settings
[[Datei:Fortinet-3065.jpg]]
Anschliessend im Feld '''Hosts''' den entsprechenden Host auswählen.
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl setting
    set source-address <46.22.16.164>
  end
</pre>
|}
Umgekehrt kann (nur) im '''CLI''' der Zugang spezifischer IP-Adressen '''ausgeschlossen''' werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set source-address-negate [enable|disable]
    end
</pre>
|}
'''Methode 2: MAC-Adressen von Hosts'''
Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      edit <portal-name>
        set mac-addr-check [enable|disable]
        set mac-addr-action [allow|deny]
      end
</pre>
|}
=== Wo finde ich SSL-VPN Logs? ===
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Events
[[Datei:Fortinet-3066.jpg]]
'''''VPN Events''''':
- Zeigt neue Verbindunsanfragen: z.B. '''''ssl-new-con''''' <br>
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. '''''tunnel-up''''', '''''tunnel down'''''
'''''User Events''''':
- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. '''''auth-logon''''', '''''auth-logout'''''
|- style="background:#89E871"
|}
=== Wie verhindere ich Logout von SSL-VPN-Usern? ===
Mittels '''CLI''', ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf '''60 bzw. 180 Minuten''' maximiert werden.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set login-timeout <10-180>    -> Standardeinstellung: 10 Sekunden
      set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
    end
</pre>
|}
Der Timer kann ausserdem bei '''unvollständigen HTTP-Anfragen''' verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. ''Slowloris'') verhindern, die sich dahinter verstecken.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set http-request-header-timeout <1-60>
      set http-request-body-timeout <1-60>
    end
</pre>
|}
=== Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken? ===
Die entsprechende Meldung: '''''Too many bad login attempts. Please try again in a few minutes.'''
Gemäss Default, haben SSL-VPN-User '''2x Versuche''', um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für '''60 Sekunden''' gesperrt.
Beide Default-Einstellungen können sehr einfach im '''CLI''' geändert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config vpn ssl settings
      set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
      set login block-time [Wert; Sekunden] -> 0-86400 möglich
    end
</pre>
|}
=== Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken? ===
'''Im CLI'''
'''Schritt 1:''' '''''Firewall Address''''' konfigurieren
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config firewall address
      edit "restriction_switzerland" -> Name der "Firewall Address"
          set type geography
          set country "CH" -> erlaubt Verbindungen aus "CH"
      next
    end
</pre>
|}
'''Schritt 2:''' '''''Firewall Address Group''''' konfigurieren
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config firewall addrgroup
      edit "Geo_restriction_ssl_vpn"
          set member "restriction_switzerland"
      next
    end
</pre>
|}
'''Schritt 3:''' Bei '''''SSL-VPN Settings''''' u.a. '''''Firewall Address Group''''' als '''''Source''''' konfigurieren:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config ssl vpn settings
      set soure-address "Geo_restriction_ssl_vpn"
    end
</pre>
|}
'''Im GUI'''
'''Schritt 1:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''Policy & Objects''''' > '''''Addresses''''' > '''''Create New''''' : '''Address''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5007.png]]
|- style="background:#89E871"
|}
'''Schritt 2:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''New Address''''' > '''''Name''''' : Bel. Namen (z.B. '''Country_accept''') wählen > '''''Type''''' : '''Geography (!)''' aus Drop-Down-Liste wählen
[[Datei:Fortinet-5008.png]]
|- style="background:#89E871"
|}
'''Schritt 3:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''''SSL VPN Settings''''' > '''''Restrict Access''''' : '''Limit Access to specific hosts''' wählen > '''''Hosts''''' : Erstellten Host (e.g. '''Country_accept''') aus Drop-Down-Liste wählen
[[Datei:Fortinet-5009.png]]
|- style="background:#89E871"
|}
=== Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern? ===
Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".
Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
  [[Datei:Fortinet-323202.png|550px|link=]]
Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den '''VPN-Event-Logs''' mit der Action '''''ssl-login-fail''''' aufgelistet.
'''Lösung:'''
'''Schritt 1:''' '''Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location'''
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config firewall address
      edit "Restricted_Acccess" -> Bespiel-Name
          set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
      next
    end
</pre>
|}
'''Schritt 2:''' '''Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)'''
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Local-In-Policy kann nur via CLI konfiguriert werden <br>
Local-In-Policy muss im WebGUI aktiviert werden: '''''System -> Feature Visibility -> Additional Features'''''
|}
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # config config firewall local-in-policy
      edit 1
          set intf "port1"
          set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
          set dstaddr "all"
          set service "ALL"
          set schedule "always"
      next
    end
</pre>
|}
Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log  (''ssl-login-fail''). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
[[Datei:Fortinet-323201.png|350px|link=]]
== Logs und Reports ==
=== Wo wähle ich den Speicherort von Logs auf der FortiGate? ===
'''Methode 1: Lokales Speichern auf FortiGate-Disk'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3068.jpg]]
Die Option '''''Enable Historical FortiView''''' ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.
|- style="background:#89E871"
|}
'''Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3069.jpg]]
|- style="background:#89E871"
|}
=== Wo wähle ich aus, welche Arten von Logs gespeichert werden? ===
Logs können in zwei Kategorien unterteilt werden: '''''Event Traffic Logs''''' und '''''Local Traffic Logs'''''
'''''Event Traffic Logs''''': <br>
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren <br>
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen
'''''Local Traffic Logs''''': <br>
- Standardmässig '''nicht aktiviert''' aufgrund hoher Log-Quantität <br>
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report -> Log Settings
[[Datei:Fortinet-3070.jpg]]
Die Option '''''Resolve Hostnames''''' ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.
|- style="background:#89E871"
|}
=== Wie aktiviere ich Logging in der Firewall Policy? ===
Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.
Wichtig ist, dass mindestens ein '''''Security Profile''''' (i.e. '''''AntiVirus''''', '''''Web Filter''''', '''''DNS Filter''''', '''''Application Control''''' etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.
Die Option '''''Log Allowed Traffic''''' muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden: <br>
'''''Security Events''''': Logs werden "nur" für ''Security Events'' generiert. <br>
'''''All Sessions''''': Logs werden alle Sessions generiert.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Policy & Objects -> Firewall Policy
[[Datei:Fortinet-3071.jpg]]
|- style="background:#89E871"
|}
In der '''CLI''' sind noch folgende, '''empfehlenswerte Optionen/Einstellungen''' möglich:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Testen, ob Generierung von Logs funktioniert:
 
  # diagnose log test         
Anonymisieren von User-Namen innerhalb Logs:
 
  # config log setting         
      set user-anonymize enable
    end
Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:
 
  # excecute backup disk allogs [ftp|tftp|usb]       
Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:
 
  # excecute backup disk log [ftp|tftp|usb] <log_type>
</pre>
|}
=== Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten? ===
U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.
'''Standardeinstellungen''': <br>
Low = 5 <br>
Medium = 10 <br>
High = 30 <br>
Critical = 50 <br>
Diese Werte können gemäss individuellen Präferenzen geändert werden.
'''Wichtig''': Gewichtung ist nur für (interne) '''Informationszwecke''', d.h. es werden keine Aktionen für FortiGate konfiguriert.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Log & Report-> Threat Weight
[[Datei:Fortinet-3072.jpg]]
|- style="background:#89E871"
|}
== Multi-Gigabit mit FortiSwitch ==
=== Was ist Multi-Gigabit? ===
Multi-Gigabit, auch bekannt als Norm '''IEEE 802.3bz''', ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von '''2.5 Gbit/s''' und '''5.0 Gbit/s'''.
Dieser Standard wurde 2016 seitens ''Institute of Electrical and Electronics Engineers (IEEE)'' eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank '''IEEE 802.3bz''' keine Neu-Verkabelung mehr notwendig.
=== Welche FortiSwitch unterstützt dieses Feature? ===
Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf '''FortiSwitch M426E-FPOE''' (insgesamt auf 8 Ports: '''8x 2.5 GE RJ45 ports''')
== FortiToken:FAQ ==
=== Wie richte ich FortiToken bei einem HA-Cluster ein? ===
FortiToken kann vor/nach Einrichtung eines HA-Clusters ('''ForitGate''' oder '''FortiAuthenticator''') eingerichtet werden. Lizenzen für '''FortiToken Mobile''' müssen dabei auf dem '''Hauptgerät''' eingespielt werden.
FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils '''1x Lizenz''' für '''FortiToken Mobile'''.
=== Wie wird bei FortiToken Cloud abgerechnet? ===
Die Kosten '''pro Tag''' von '''''FortiToken Cloud (FTC)''''' werden gemäss folgender Formel kalkuliert:
  '''Daily Point Usage''' = <br>
  ('''Gesamtzahl FTC User am entsprechenden Tag''') x ('''1 / Anzahl Tage entsprechender Monat''')
FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:
- Neue Lizenz (z.B. '''FTC-LIC-120''') deckt am 1. April 2021 '''90x Enduser''' ab <br>
- Folglich zieht FTC am 1. April 2021 '''3x Daily Points''' (= '''90 User''' x '''1/30d''') ab <br>
- Folglich zeigt FTC Dashboard am '''1. April 2021''' folgendes: <br>
  Current Month Usage: '''3 Points''' <br>
  Current Balance: '''117 Points''' (= 120 – 3)
 
  Hat man z.B. für April 2021 (i.e. '''30 Tage''') insgesamt '''3x User''', zeigt FTC Dashboard am '''30. April 2021'''
  ebenfalls '''3 Points''' an -> gemäss folgender Kalkulation:
  ('''3 User''' x '''1/30d''') x '''30 Tage''' (gesamter April) = '''3'''
Weiter zu beachten ist:
FTC wird ähnlich wie '''''FortiToken Mobile''''' verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.
Die Points haben eine Gültigkeit von '''1 Jahr'''.
Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro '''250 SMS''' (an alle User) wird '''1 Point''' abgezogen.
Siehe auch '''Lincensing Guide''': [[Datei:Adding_FTC_Linceses.pdf]]
== IGMP mit FortiSwitch ==
=== Was ist IGMP und IGMP Snooping? ===
'''''Internet Group Management Protocol (IGMP)''''' ist ein Protokoll (TCP/IP), welches sich auf ''Multicast'' fokussiert. ''Multicast'' ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte '''Empfängergruppen''' sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via ''Multicasting'' Datenpakete an Privat-Netzwerke schicken.
Die Switches (Layer  2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels '''''IGMP''''' (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. '''''IGMP Snooping''''', wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.
=== Welche FortiSwitch unterstützen IGMP und IGMP Snooping? ===
Von '''''IGMP''''' gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das ''Multicasting'' basiert jedoch weiterhin auf IGMPv2.  Wie im oberen Abschnitt erwähnt, wird '''''IGMP''''' in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. '''''Multicast Listener Discovery (MLD)'''''.
Folgender Link ist empfehlenswert hinsichtlich '''Konfiguration''' und allgemeinen Hinweisen zu '''''IGMP Snooping''''' (Stand: FortiSwitchOS 6.4.2):
        https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3
== FortiAP und 5.0 GHZ ==
=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===
Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.
Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV
=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===
Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):
https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799
Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und  stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:
2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB
Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.
== FortiAnalyzer Cloud ==
=== Welche Features sind in der FortiAnalyzer Cloud enthalten?===
Folgende Features werden unterstützt:
Central Log Management & Reporting
Security Logs (UTM)
Event Logs
Traffic Logs '''(nur Premium)'''
IOC Scan
SOC Subscription '''(nur Premium)'''
FortiView
Network Monitoring & Alerting
Multi-Tenancy
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
|
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.
|}
=== Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud? ===
Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:
'''FortiAnalyzer Cloud Subscription''' (Anzahl Subscriptions = Anzahl verwalteter FortiGates)
sowie
'''FortiCloud Premium Subscription''' (Anzahl Subscriptions = 1x)
'''FortiAnalyzer Cloud Subscription''' gibt es als:
'''FAZ Cloud Base''' (Fokus: u.a. '''Event Logs''', '''Security Logs (UTM)''') <br>
'''FAZ Cloud Premium''' (seit FortiOS 6.44, Fokus: u.a. '''Traffic Logs''')
'''Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base''', d.h. <br>
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet <br>
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service <br>
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im ''360 Protection Bundle'' integriert <br>
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: ''FG-30-'' bis ''FG-80-Serie''
Wünscht man '''alle Log-Funktionalitäten''', dann sind folgende Subscriptions nötig:
'''FAZ Cloud Premium für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-208-02-12''''': FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year <br>
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year
Wünscht man '''nur Event Logs und Security Logs (UTM)''', dann sind folgende Subscriptions nötig: <br>
'''FAZ Cloud Base für jede verwaltete FortiGate'''
'''''z.B. FC-10-0060F-188-02-12''''': FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year <br>
'''FortiCloud Premium für FortiCare-Account (1x)'''
'''''z.B. FC-15-CLDPS-219-02-12''''': FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year
=== Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung? ===
'''FAZ Cloud Base'''  bietet einen Standard-Speicher von '''total 500 GB'''.
'''FAZ Cloud Premium''' hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Totaler Speicher'''):
[[file:Fortinet-3034.jpg|350px|link=]]
'''FAZ Cloud Base''' hat kein Limit bezüglich Speichernutzung '''pro Tag''', da keine Traffic Logs unterstützt werden.
'''FAZ Cloud Premium''' weist hingegen ein Limit auf; die Speichernutzung '''pro Tag''' ist abhängig vom FortiGate-Modell - siehe Tabelle ('''Speicher pro Tag'''):
[[file:Fortinet-3035.jpg|300px|link=]]
== Logs und Reports ==
=== Wie sehe ich CLI-Befehle in den System Event Logs? ===
[[File:fortiOS70.png|25px|link=]]
Die CLI-Funktion '''''cli-audit-log''''' ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der '''System Event Logs''' sichtbar sind -> neu sind '''''show'''''-, '''''get'''''-, und '''''diagnose'''''-Befehle inkludiert, zusätzlich zu '''''execute''''' und '''''config'''''. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# config system global
      set cli-audit-log [enable/disable]
  end
</pre>
|}
Nach Aktivierung, können die gewünschten '''System Event Logs''' generiert und analysiert werden - Beispiele:
# execute log filter category 1 (1 = event)
# execute log display <br>
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Show'''" msg="'''show''' system global" <br>
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Get'''" msg="'''get''' sys status" <br>
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="'''Diagnose'''" msg="'''diagnose''' log test"
== NAT ==
=== Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren? ===
[[File:fortiOS70.png|25px|link=]]
In CLI lässt sich mittels sogenannter '''Hit Counter''' analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten '''Central SNAT''' und '''DNAT (VIP)''' gab.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Central SNAT Counter:
# diagnose firewall iprope show 10000d <id>
DNAT (VIP) Counter:
# diagnose firewall iprope show 100000 <id>
Counter bereinigen:
# diagnose firewall iprope clear 10000d <id>
# diagnose firewall iprope clear 100000 <id>
</pre>
|}
Beispiel:
# diagnose firewall iprope show 10000d 2 <br>
idx=2 hit count:7 (2 5 0 0 0 0 0 0)
    first:2021-04-13 10:13:43 last:2021-04-14 10:17:32 <br>
Das Beispiel zeigt, dass es für '''ID 2''' insgesamt '''7 Treffer''' gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| <span>[[File:tipp.png|50px|link=]]</span>
| style="background-color: #ffe29b"|
Bei '''IPv6''' sind die Befehle fast identisch: "iprope" einfach mit "iprope'''6'''" ergänzen.
|-
|}
== ZTNA ==
=== Was ist Zero Trust Access Network (ZTNA)? ===
[[File:fortiOS70.png|25px|link=]]
ZTNA ist ein ''Feature'', welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen <br>
- Geringerer Angriffsvektor: Applikationen sind durch ''Application Proxy'' versteckt/geschützt, und sind nur Usern <br>  zugänglich, welche die Applikationen tatsächlich benötigen <br>
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert
Voraussetzung ist, dass Endpoints einen '''FortiClient ZTNA Agent''' installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.
=== Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung? ===
[[File:fortiOS70.png|25px|link=]]
Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige '''FortiClient'''-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: ''à la carte'') inkludiert:
[[file:Fortinet-3036.jpg|630px|link=]]
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
|
ZTNA-Feature verlangt mindestens '''FortiOS 7.0''' und '''FortiClient 7.0'''.
|}
== FortiGateCloud - Troubleshooting ==
=== Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden? ===
'''Beispiele:'''
''Invalid Username or Password''
''FortiCloud Internal Error''
''HTTP 400''
'''Lösungen:'''
- Passwort muss '''maximal 20 Zeichen''' enthalten
- '''Port443''' muss offen/verfügbar sein
- FortiGate muss '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' pingen können
- Falls keine Änderung, dann wird '''FortiGateCloud-Debug''' empfohlen (Output anschliessend an TAC senden):
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get   
# end
# diag debug console timestamp enable   
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login
|-
|}
- Falls Fehlermeldung mit '''HTTP 400''', dann wird '''HTTP-Debug''' empfohlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# diag debug app httpsd -1
|-
|}
- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. '''Sonderzeichen''' im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt
- Falls HA-Cluster: '''Erst-Aktivierung''' immer im '''Master/Primary''' -> Aktivierung findet gleichzeitig im '''Slave/Secondary''' statt
=== Wie aktiviere ich den Management Tunnel Status auf der FortiGate? ===
- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd
|-
|}
- Falls FortiGate länger als '''24 Stunden inaktiv''' ist, muss überprüft werden, ob '''Port443''' offen/verfügbar ist, und via Port443 eine '''Telnet'''-Verbindung zu '''''logctrl1.fortinet.com''''' oder '''''globallogctrl.fortinet.net''''' möglich ist
=== Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal? ===
- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint
- FortiGate wird entweder zum '''globalen''' oder '''europäischen''' '''FortiCloud-Service''' hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!
- Falls auf FortiGate '''Domain Selection''' (beim Login) möglich ist, kann man direkt auf den '''globalen (www.forticloud.com)''' oder '''europäischen (europe.forticloud.com)''' Service gelangen
=== Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht? ===
- Mit foldendem CLI-Befehl:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log login
|-
|}
=== Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert? ===
- Mit folgenden CLI-Befehlen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable
|-
|}
- Um Unterbrüche bei '''schlechter Netzwerkverbindung''' zu vermeiden, kann das '''Time-Out''' erhöht werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config log fortiguard setting
# set conn-timeout 120
# end
|-
|}
=== Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden? ===
1. GUI: '''''System > Feature Visibility''''', '''FortiSandbox Cloud''' einstellen
2. GUI: '''''Security Fabric > Settings''''', '''Sandbox Inspection''' einstellen
3. GUI: '''''Security Profile > AntiVirus''''', '''Suspicious Files Only''' oder '''All Supported Files''' einstellen
4. GUI: '''''Policy & Objects > IPv4 Policy''''', '''AntiVirus''' für die entsprechende Policy aktivieren
=== Was muss ich beim Auto-Backup beachten? ===
- Auto-Backup entweder '''Per Session''' (default: nach 600 Sekunden) oder '''Per Day'''
- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden
- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung '''7 Tage''', bei lizenzierten FortiGates hingegen '''1 Jahr'''
=== Wie gehe ich vor, wenn FortiDeploy nicht funktioniert? ===
- FortiManager-Einstellungen überprüfen
- Sicherstellen, dass '''Central Management Settings''' auf '''FortiGateCloud''' eingestellt sind
- Sicherstellen, dass via '''Port443''' auf '''''logctrl1.fortinet.com''''' verbunden werden kann
- Mittels '''Device Key'''  das '''Inventory''' importieren
- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute fortiguard-log join
|-
|}
== Fortinet Support Portal ==
=== Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal? ===
Das Fortinet '''Support Portal''' (https://support.fortinet.com) wird primär für folgendes verwendet:
Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)
Das Fortinet '''Partner Portal''' (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:
Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings
Verschiedene Webinare
=== Wie erstelle und ich einen neuen Account im Support Portal? ===
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| <span>[[File:tipp.png|50px|link=]]</span>
| style="background-color: #ffe29b"|
Best Practice: Der '''Endkunde''' erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der '''Partner/Resseller''' im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).
|-
|}
'''Schritt 1:'''
Browser öffnen und https://support.fortinet.com aufrufen, '''''Register''''' auswählen
[[Datei:Fortinet-5000.png|700px|]]
'''Schritt 2:'''
E-Mail Adresse auswählen
[[Datei:Fortinet-5001.png|700px|]]
'''Schritt 3:'''
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben
[[Datei:Fortinet-5002.png|700px|]]
'''Schritt 4:'''
Passwort setzen
[[Datei:Fortinet-5003.png|700px|]]
'''Schritt 5:'''
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account
[[Datei:Fortinet-5004.png|1000px|]]
'''Schritt 6:'''
Fortinet Terms & Conditions akzeptieren
[[Datei:Fortinet-5005.png|1000px|]]
'''Schritt 7:'''
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet
[[Datei:Fortinet-5006.png|700px|]]
=== Wie registriere und verwalte ich ein Produkt/Asset im Support Portal? ===
Unter '''''My Assets''''' die Option '''''Register More''''' auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:
[[Datei:Fortinet-5007.png|700px|]]
== Lizenzierung/FortiGuard ==
=== Was passiert wenn FortiGuard-Lizenzen ablaufen? ===
Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:
'''Firewall:''' Firewall-Services funktionieren weiterhin
                                                                                                                                                                       
'''High Availability''': Clustering funktioniert weiterhin
                                                                                                                                                                     
'''Virtual Private Networking (VPN)''': VPN-Engine funktioniert weiterhin
                                                                                                                                                                   
'''Advanced Routing''': Routing-Engine funktioniert weiterhin                                                                                                         
                                                                                                                                                                       
'''SD-WAN''': SD-WAN-Services funktionieren weiterhin
                                                                                                                                                                 
'''Explicit Proxy & WAN Optimization''': Beides funktioniert weiterhin
                                                                                                                                                                       
'''QoS & Traffic Shaping''': Beides funktioniert weiterhin                                                                                                           
                                                                                                                                                                     
'''Data Loss Prevention (DLP)''': DLP-Services funktionieren weiterhin                                                                                                                                                                                   
Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:
'''Anti Virus''':  AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)
                                                                                                                                                                     
'''Anti Malware''':  AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)
                                                                                                                                                                 
'''Intrusion Prevention (IPS)''': IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)
                                                                                                                                                               
'''Application Control''': ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen
Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:
'''Web Filter''': WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr
                                                                                                                                                                       
'''DNS Filter''': DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr
                                                                                                                                                                       
'''E-Mail Filter (AntiSpam)''': AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr
=== Werde ich benachrichtigt bevor eine Lizenz abläuft? ===
Auf der FortiGate ist es mittels '''Automation Stitch/Trigger''' möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Neuen Automation Stitch/Trigger erstellen via '''''Automation -> +Create New'''''
* Anschliessend '''''Lincense Expiry''''' auswählen
[[Datei:Fortinet-32300.png|500px|link=]]
|-
|
* Unter '''''Name''''' kann ein Name für den Automation Stitch/Trigger vergeben werden
* Unter '''''License''''' kann '''''Any''''' oder die gewünschte Lizenz ausgewählt werden
[[Datei:Fortinet-3231.png|500px|link=]]
|}
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option '''''Send renewal notices''''' anklicken:
|-
|}
[[Datei:Fortinet-323200.png|750px|link=]]
== Firewall Regeln ==
=== Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren? ===
[[File:FortiOS_64.svg|35px|link=]] [[File:FortiOS_70.svg|35px|link=]]
Damit die im '''Kapitel 39.9''' beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (''FortiGate Geo-IP Database'') zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.
'''Schritt 1:''' '''Aktuelle Version der Geo-IP Datenbank überprüfen'''
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # diag autoupdate versions | grep -A6 Geo
Beispiel-Output:
IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates
Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113
</pre>
|}
'''Schritt 2 (Falls aktuelle DB veraltet ist):''' '''Manuelles Update durchführen'''
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
  # execute update-geo-ip
</pre>
|}
Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.
== Administrator ==
=== Wie kann ich die Dauer des Admin-Lockouts verkürzen? ===
Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung '''''Too many login failures. Please try again in a few minutes...''''', gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.
Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:
 
  FGT# config system global
  FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer
Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:
 
  FGT# config system global
  FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer
Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #89e872;"| <span>[[File:hinweis.svg|50px|link=]]</span>
| style="background-color: #c4f3b8"|
Admin-Lockout-Dauer ist orientiert sich an der '''IP-Addresse''' des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.
|}
== Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden? ==
Früher waren '''FortiManagerCloud-Lizenzen''' auf '''spezifische FortiGate-Modelle''' ausgerichtet, sog. '''individual subscription SKUs'''. Beispiel:
'''''FC-10-0040F-179-02-DD'''''
''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''
Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative/Nachfolger sog. '''multi-device subscription SKUs''':
'''''FC1-10-MVCLD-227-01-DD'''''
''Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC2-10-MVCLD-227-01-DD'''''
''Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
'''''FC3-10-MVCLD-227-01-DD'''''
''Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.''
Diese Multi-Device Lizenzen unterstützen u.A. foglgende '''Features''' (z.T. identisch mit FortiManagerVM):
- Single Console Management
- Central Policy und Device Management
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen '''keine FortiAnalyzer-Features'''!
Es gibt häufig Verwechslungen mit Forti'''Gate'''Cloud-Lizenzen, die effektiv auf '''spezifische FortiGate-Modelle''' konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:
'''''FC-10-0040F-131-02-DD'''''
''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''
Diese Single-Device Lizenzen unterstützen u.A. folgende '''Features''':
- '''Configuration Management > war früher kostenlos'''
- '''Configuration Backup and Restoration > war früher kostenlos'''
- Firmware Upgrade
- 1x Jahr Log Retention
''Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison''
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| <span style="color:#ba0c2f">[[File:achtung.png|50px|link=]]</span>
|
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. '''''FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention''''') fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. '''''FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service''''') betrachtet.
|}

Aktuelle Version vom 13. Juni 2023, 15:41 Uhr