Fortinet:SASE: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 27: Zeile 27:
</small>
</small>
=FAQ=
=FAQ=
== FortiSASE - Registration ==
= FortiSASE - Registration =
=== Wie kann ich die FortiSASE Instanz aktiveren?===
=== Wie kann ich die FortiSASE Instanz aktiveren?===
Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:
Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:
Zeile 53: Zeile 53:
<small>add 14.03.2024 - 4Tinu</small>
<small>add 14.03.2024 - 4Tinu</small>


== FortiSASE - Authentifizierung ==
= FortiSASE - Authentifizierung =
=== Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden? ===
== Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden? ==


Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.


[[Datei:FortiSASE-0008.png]]
Folgende URL muss im Feed konfiguriert werden: '''https://portal.prod.fortisase.com/api/v1/public/egress/ips'''


  [[Datei:FortiSASE-0009.png]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[Datei:FortiSASE-0008.png|750px|link=]]
Navigiere über ''Security Fabric &rarr; External Connectors'' im Abschnitt ''Thread Feeds'' den Button ''IP Adress'' auswählen
|-
|
<big>Feed definieren:</big>
  [[Datei:FortiSASE-0009.png|750px|link=]]
* Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen.
* Die Update Methode ist der ''External Feed'' (dies ist die default Einstellung)
* Die folgende URL im ''URL of external resource'' eintragen: '''https://portal.prod.fortisase.com/api/v1/public/egress/ips'''
* Die ''HTTP basic authentication'' Option deaktivieren.
* in der ''Refresh rate'' kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)
|-
|
<big>Erfolgskontrolle:</big><br>
Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden.
[[Datei:FortiSASE-0010.png|350px|link=]]
Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden
[[Datei:FortiSASE-0011.png|350px|link=]]
Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzen Synch angezeigt. Weiter ist es möglich unter dem Menupunkt ''View Entries'' die IP Adressen, welche in der Liste sind, aneigen zu lassen
[[Datei:FortiSASE-0012.png|750px|link=]]
|}


  [[Datei:FortiSASE-0010.png]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
config system external-resource
    edit "FortiSASE-IP-PublicCloud"
        set type address
        set comments "IP Adressen FortiSASE Cloud"
        set resource "https://portal.prod.fortisase.com/api/v1/public/egress/ips"
    next
end
</pre>
|}
----
<small>add 25.03.2024 - 4Tinu</small>
== Wie kann ich einen User in die FortiSASE Instanz integrieren? ==
 
Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:
 
Als erstes musst du dich in die SASE Instanz einloggen:
 
{|class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im SASE Portal:'''
|-
|
  [[Datei:Fortinet-3450.jpg|550px|link=]]
# Über das Seiten Menu <code> Configuration </code>&rarr;<code> Users & Groups </code> kommst die in die User Verwaltung
# Mit <code> + Create </code> kann ein neuer User erstellt werden
[[Datei:Fortinet-3451.jpg|550px|link=]]
|-
|
Du bist jetzt im folgenden Menu:
[[Datei:Fortinet-3452.jpg|550px|link=]]
Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an:
# Wähle den Menupunkt <code> User </code>
# Mit <code> Next </code> gelangst du in das User Erstellung Fenster 
|-
|
[[Datei:Fortinet-3453.jpg|550px|link=]]
# Über die Email Adresse wird dem User der aktivierungs Link zugestellt
# Es kann ein Temporäres Adminpasswort optional gesetzt werden
# Der Aktivierungscode kann hier rauskopiert werden, es wird aber im User der Code per Email automatisch zugestellt
# Mit <code> OK </code> wird der User erstellt und ein initiales Email an den User gesendet, damit er Installations Instruktionen bekommt.
|-
|
[[Datei:Fortinet-3454.jpg|550px|link=]]
|-
|}


  [[Datei:FortiSASE-0011.png]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration beim Client:'''
|-
Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen.
[[Datei:Fortinet-3455.jpg|550px|link=]]
Um den Account zu aktivieren auf den Button <code> Activate </code> klicken.
|-
Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren:
[[Datei:Fortinet-3456.jpg|550px|link=]]
# Der Display Name kann definiert werden.
# Passwort zweimal gleich eingeben
# Mit <code> Activate </code> wird der User aktiviert.
[[Datei:Fortinet-3457.jpg|550px|link=]]
|-
Der User kann sich jetzt anmelden:
[[Datei:Fortinet-3458.jpg|550px|link=]]
# Die AccountID wird automatisch übernommen
# Username eingeben
# Passwort eingeben
# mit <code> Loging </code> sich anmelden
|-
Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen:
[[Datei:Fortinet-3459.jpg|550px|link=]]
# Die entsprechende FortiClient Version auswählen
# Der Aktivierungscode am besten in eine Textdatei kopieren, wir brauchen diesen nach der Installation.
|-
|
Die ausgewählte FortiClient Version wird heruntergeladen: 
[[Datei:Fortinet-3460.jpg|550px|link=]]
Nach dem herunterladen die Datei ausführen um die Installation zu starten. 
|-
Es öffnet sich der Installations Wizard:
[[Datei:Fortinet-3461.jpg|350px|link=]]
# Die Lizenzvereinbarungen gut durchlesen
# Wenn die Lizenzvereinbarung durchgelesen und verstanden ist kann dies bestätigt werden
# Mit <code> Next </code> wird der Installationsprozess vorangetrieben, mit <code> Cancel </code> wird die Installation abgebrochen. 
|-
[[Datei:Fortinet-3462.jpg|350px|link=]]
# Die gewünschten Features anwählen welche Installiert werden sollen.
# weiter mit <code> Next </code>
|-
|
ATP/Webfilter Services:
  [[Datei:Fortinet-3463.jpg|350px|link=]]
# Die gewünschten UTP Services können aktiviert werden
# Mit <code> Next </code> geht es weiter
|-
[[Datei:Fortinet-3464.jpg|350px|link=]]
# Installationspfad wird vorgeschlagen
# Installationspfad ändern
# Mit <code> Next </code> geht es weiter
|-
[[Datei:Fortinet-3465.jpg|350px|link=]]
# Mit <code> Install </code> wird die Installation mit den angegebenen Parametern gestartet 
|-
|
Windows kann eine Sicherheitsabfrage aufpoppen lassen: 
[[Datei:Fortinet-3466.jpg|350px|link=]]
Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein.
|-
|
Die Installation läuft:
[[Datei:Fortinet-3467.jpg|350px|link=]]
|-
|
Sobald die Installation durchgeführt ist, wird sich der Client melden:
[[Datei:Fortinet-3468.jpg|350px|link=]]
Mit <code> Finish </code> verlässt du das Installations Programm. 
|-
|
Starte das FortiClient Programm
[[Datei:Fortinet-3469.jpg|150px|link=]]
|-
|
Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren:
[[Datei:Fortinet-3470.jpg|550px|link=]]
# Navigiere auf <code> ZERO TRUST TELEMTRIE </code>
# gib den vorher kopierte ''Aktivierungscode'' ein 
# wähle <code> Verbinden </code> um den Code zu übermitteln. Hab ein paar Sekunden geduld und warte bis die Authentifizierung im SASE verifiziert wurde.
|-
|
Gratuliere, der User ist jetzt über das FortiSASE verbunden:
[[Datei:Fortinet-3471.jpg|550px|link=]]
|-
|}


  [[Datei:FortiSASE-0012.png]]
{|class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im SASE Portal:'''
|-
|
Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet:
  [[Datei:Fortinet-3472.jpg|750px|link=]]
# Navigiere auf <code> Dashboards </code>&rarr;<code> Status </code>
# suche das Widget <code> Managed Endpoints </code> und klicke ins Widget rein.
 
|-
[[Datei:Fortinet-3473.jpg|750px|link=]]
Du siehst den angemeldeten User in der Übersicht.
|-
|}
----
----
<small>add 14.03.2024 - 4Tinu</small>
<small>add 24.07.2024 - 4Tinu</small>

Aktuelle Version vom 24. Juli 2024, 07:28 Uhr

Fortinet:SASE

Vorwort

Diese Seite erklärt das FortiSASE Produkt

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiSASE - Registration

Wie kann ich die FortiSASE Instanz aktiveren?

Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:

Wenn man die SASE Instanz erworben hat, bekommt man ein PDF Dokument mit dem Registrierungs Key. Dieser muss im Portal auf dem entsprechenden Account aktiviert werden.

FortiSASE-0001.png
FortiSASE-0002.png
FortiSASE-0003.png
FortiSASE-0004.png
FortiSASE-0005.png
FortiSASE-0006.png

Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben Account betreiben?

Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.

Versucht man eine FortiSASE Instanz zu aktivieren aber es ist noch eine FortiEMS Cloud Instanz aktiv, wird folgende Fehlermeldung angezeigt.

FortiSASE-0007.png

Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.


add 14.03.2024 - 4Tinu

FortiSASE - Authentifizierung

Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden?

Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.

Folgende URL muss im Feed konfiguriert werden: https://portal.prod.fortisase.com/api/v1/public/egress/ips

Config webgui.png Konfiguration über das WebGui:
FortiSASE-0008.png

Navigiere über Security Fabric → External Connectors im Abschnitt Thread Feeds den Button IP Adress auswählen

Feed definieren:

FortiSASE-0009.png
  • Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen.
  • Die Update Methode ist der External Feed (dies ist die default Einstellung)
  • Die folgende URL im URL of external resource eintragen: https://portal.prod.fortisase.com/api/v1/public/egress/ips
  • Die HTTP basic authentication Option deaktivieren.
  • in der Refresh rate kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)

Erfolgskontrolle:
Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden.

FortiSASE-0010.png

Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden

FortiSASE-0011.png

Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzen Synch angezeigt. Weiter ist es möglich unter dem Menupunkt View Entries die IP Adressen, welche in der Liste sind, aneigen zu lassen

FortiSASE-0012.png
Config cli.png Konfiguration über die CLI:
 
config system external-resource
    edit "FortiSASE-IP-PublicCloud"
        set type address
        set comments "IP Adressen FortiSASE Cloud"
        set resource "https://portal.prod.fortisase.com/api/v1/public/egress/ips"
    next
end

add 25.03.2024 - 4Tinu

Wie kann ich einen User in die FortiSASE Instanz integrieren?

Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:

Als erstes musst du dich in die SASE Instanz einloggen:

Config webgui.png Konfiguration im SASE Portal:
Fortinet-3450.jpg
  1. Über das Seiten Menu Configuration Users & Groups kommst die in die User Verwaltung
  2. Mit + Create kann ein neuer User erstellt werden
Fortinet-3451.jpg

Du bist jetzt im folgenden Menu:

Fortinet-3452.jpg

Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an:

  1. Wähle den Menupunkt User
  2. Mit Next gelangst du in das User Erstellung Fenster
Fortinet-3453.jpg
  1. Über die Email Adresse wird dem User der aktivierungs Link zugestellt
  2. Es kann ein Temporäres Adminpasswort optional gesetzt werden
  3. Der Aktivierungscode kann hier rauskopiert werden, es wird aber im User der Code per Email automatisch zugestellt
  4. Mit OK wird der User erstellt und ein initiales Email an den User gesendet, damit er Installations Instruktionen bekommt.
Fortinet-3454.jpg
Config webgui.png Konfiguration beim Client:

Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen.

Fortinet-3455.jpg

Um den Account zu aktivieren auf den Button Activate klicken.

Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren:

Fortinet-3456.jpg
  1. Der Display Name kann definiert werden.
  2. Passwort zweimal gleich eingeben
  3. Mit Activate wird der User aktiviert.
Fortinet-3457.jpg

Der User kann sich jetzt anmelden:

Fortinet-3458.jpg
  1. Die AccountID wird automatisch übernommen
  2. Username eingeben
  3. Passwort eingeben
  4. mit Loging sich anmelden

Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen:

Fortinet-3459.jpg
  1. Die entsprechende FortiClient Version auswählen
  2. Der Aktivierungscode am besten in eine Textdatei kopieren, wir brauchen diesen nach der Installation.

Die ausgewählte FortiClient Version wird heruntergeladen:

Fortinet-3460.jpg

Nach dem herunterladen die Datei ausführen um die Installation zu starten.

Es öffnet sich der Installations Wizard:

Fortinet-3461.jpg
  1. Die Lizenzvereinbarungen gut durchlesen
  2. Wenn die Lizenzvereinbarung durchgelesen und verstanden ist kann dies bestätigt werden
  3. Mit Next wird der Installationsprozess vorangetrieben, mit Cancel wird die Installation abgebrochen.
Fortinet-3462.jpg
  1. Die gewünschten Features anwählen welche Installiert werden sollen.
  2. weiter mit Next

ATP/Webfilter Services:

Fortinet-3463.jpg
  1. Die gewünschten UTP Services können aktiviert werden
  2. Mit Next geht es weiter
Fortinet-3464.jpg
  1. Installationspfad wird vorgeschlagen
  2. Installationspfad ändern
  3. Mit Next geht es weiter
Fortinet-3465.jpg
  1. Mit Install wird die Installation mit den angegebenen Parametern gestartet

Windows kann eine Sicherheitsabfrage aufpoppen lassen:

Fortinet-3466.jpg

Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein.

Die Installation läuft:

Fortinet-3467.jpg

Sobald die Installation durchgeführt ist, wird sich der Client melden:

Fortinet-3468.jpg

Mit Finish verlässt du das Installations Programm.

Starte das FortiClient Programm

Fortinet-3469.jpg

Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren:

Fortinet-3470.jpg
  1. Navigiere auf ZERO TRUST TELEMTRIE
  2. gib den vorher kopierte Aktivierungscode ein
  3. wähle Verbinden um den Code zu übermitteln. Hab ein paar Sekunden geduld und warte bis die Authentifizierung im SASE verifiziert wurde.

Gratuliere, der User ist jetzt über das FortiSASE verbunden:

Fortinet-3471.jpg
Config webgui.png Konfiguration im SASE Portal:

Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet:

Fortinet-3472.jpg
  1. Navigiere auf Dashboards Status
  2. suche das Widget Managed Endpoints und klicke ins Widget rein.
Fortinet-3473.jpg

Du siehst den angemeldeten User in der Übersicht.


add 24.07.2024 - 4Tinu