Chris spielplatz: Unterschied zwischen den Versionen
Zeile 1.521: | Zeile 1.521: | ||
'''Restricted User''' | '''Restricted User''' | ||
Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, hat | Restricted User Profil hat nur ''Read-Only Privilege'' für alle verwalteten Geräte, und hat keine''System Privilege'' | ||
'''Standard_User''' | '''Standard_User''' | ||
Standard | Standard User Profil hat ''Read-Write Access'' für alle verwalteten Geräte, hat keine ''System Privilege'' | ||
'''Super_User''' | '''Super_User''' | ||
Super | Super User Profil hat sämtliche ''System and Device Privileges'' - dieses Profil ist nicht editierbar | ||
'''Package_User''' | '''Package_User''' | ||
Package | Package User Profil hat ''Read-Only Access for System and other Privileges'', und hat ''Read-Write Policy and Object Privileges'' |
Version vom 3. März 2023, 07:57 Uhr
Spielplatz
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
TINU
TEST CLI
Crass TEST
CLI Test
Piktogramme
Reliable Logging
Wie aktiviere ich Reliable Logging?
Aktivierung von Reliable Logging führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:
- Reihenfolge der Daten bleibt unverändert
- Bestätigung im Fall eines erfolgreichen Transfers
- Verwendung von SYN, SYN-ACK, ACK handshake
Wählt man FortiAnalyzer als Option für Remote Logging im GUI, dann wird Reliable Logging automatisch aktiviert. Im CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:
Konfiguration über die CLI: |
# config log fortianalyzer setting set reliable [enable/disable] |
Wählt man Syslog als Option für Remote Logging, ist im CLI folgender Befehl nötig: CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:
Konfiguration über die CLI: |
# config log syslogd setting set mode udp | reliable | legacy-reliable (Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt) |
Wählt man FortiCloud als Option für Remote Logging, ist TCP bereits festgelegt.
Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln?
Bei aktiviertem Reliable Logging kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.
Folgender Befehl im CLI inklusive Konfiguration des enc-algorithm und Aktivierung des Reliable Logging:
Konfiguration über die CLI: |
# log fortianalyzer setting enc-algorithm [high-medium | high | low] set reliable enable end |
Authentifizierung
Troubleshooting
Im GUI findet man unter Firewall Policy nebst Namen, Source, Destination, Service etc. auch die Anzahl Bytes, welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.
CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:
Konfiguration über die CLI: |
Anzeigen der authentifizierten User und deren IP Addressen: # diagnose firewall auth list Bereinigen sämtlicher autorisierter User: # diagnose firewall auth clear (Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen) Troubleshooting bei aktiver Authentifizierung: # diagnose debug application fnbamd -1 (Hinweis: Immer zusammen mit # diagnose debug enable) Testen des prehared key zwischen FortiGate und RADIUS server: # diagnose test authserver radius-direct <ip> <port> <secret> Testen der LDAP Authentifizierung für bestimmte User: # diagnose test authserver ldap <server_name> <username> <password> |
Zertifikate
Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection?
Datenaustausch im Internet:
Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll TLS (Transport Layer Security) bzw. SSL (Secure Sockets Layer) gewährleistet. Dabei müssen sowohl Client wie auch Server TLS/SSL verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. SSL Version) mittels SSL Handshake bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.
Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob Subject Name vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.
Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden Session Keys um Datenaustausch während einer TLS/SSL Session zu ver- und entschlüsseln.
SSL Certificate Inspection:
Bei SSL Certificate Inspection betrachtet FortiGate nur den Teil des Zertifikats, welcher den CN (Common Name) des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich SSL Certificate Inspection nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von Certificate Errors. Diese treten bei SSL Certificate Inspection nur dann auf, wenn FortiGate Replacement Messages via HTTPS sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel Full SSL Inspection.
Folglich eignet sich SSL Certificate Inspection beispielsweise in Policies, welche nur WebFilter verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass HTTPS-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den WebFilter geblockt werden.
Full SSL Inspection:
Hauptzweck der Full SSL Inspection ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten HTTPS Sessions verstecken.
Im Gegensatz zur SSL Certificate Inspection, wird der oben-erwähnte SSL Handshake (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer CA (Certificate Authority) ausgestellt wurde, und folglich Certificate Errors generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. SSL_Proxy_Inspection) auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.
Bei Full SSL Inspection ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.
Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen?
Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als PKCS#12-File sichern, welches folgendes beinhaltet:
- Private Key
- Public Key
- Zertifikat per se
Das PKCS#12-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.
Das Sichern bzw. Back-Up ist nur über CLI möglich (ausserdem wird ein TFTP-Server vorausgesetzt).
Konfiguration über die CLI: |
# execute vpn certificate local import tftp <file-name_str> <tftp_ip> # execute vpn certificate local export tftp <file-name_str> <tftp_ip> |
Wie konfiguriere ich Zertifikate (VDOM und global)?
FortiGate erlaubt es, dass ein CA sowie ein lokales Zertifikat für eine VDOM oder global konfigurierbar sind.
- Wenn ein Zertifikat auf einer VDOM hochgeladen wird, kann dieses Zertifikat nur auf der gleichen VDOM aufgerufen werden
- Wenn ein Zertifikat global hochgeladen wird, kann es auf allen VDOMS sowie global aufgerufen werden
Die Konfiguration der Zertifikate (VDOM und global) ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.
Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: Fortinet_SSL_ECDSA256 -> das Suffix ECDSA256 steht für Elliptic Curve Digital Signature Algorithm 256.
Konfiguration über die CLI: |
# config certificate local edit Fortinet_Factory set range <global/vdom> set source <factory/user/bundle/fortiguard> end |
Antivirus
Wie beschleunige ich Antivirus Scanning mit NP Acceleration?
FortiGate-Modelle mit Nturbo (i.e. NP6, NP7, oder SoC4 Modelle) können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.
NTurbo ermöglicht es, dass Traffic vom Ingress Interface zur IPS Engine umgeleitet wird, und von der IPS Engine zum Egress Interface. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.
Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.
Konfiguration über die CLI: |
# config ips global set np accel-mode {none | basic} end |
Wie beschleunige ich Antivirus Scanning mit CP Acceleration?
FortiGate Modelle mit CP8 und CP9 Content Prozessoren können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.
Dabei werden (aus der IPS Engine und/oder IPS Datenbank) Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.
Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.
Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.
Konfiguration über die CLI: |
# config ips global set cp-accel-mode {none | basic | advanced} end |
SSL-VPN
Wie überprüfe ich Hosts bei SSL-Verbindungen?
Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung?
Methode 1: Client-Zertifikat
Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.
Konfiguration über die CLI: |
# config vpn ssl settings set reqclientcert enable end |
Methode 2: FortiGate CA-Zertifikat
Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: Fortinet_CA_SSL).
Konfiguration über die CLI: |
# config vpn ssl settings set servercert <certificate> end |
Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen?
Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen ausgewählter Host-Adressen (IP und/oder MAC) erhöht werden.
Methode 1: IP-Adressen von Hosts
Im GUI und CLI kann der Zugang spezifischer IP-Adressen erlaubt werden.
Umgekehrt kann (nur) im CLI der Zugang spezifischer IP-Adressen ausgeschlossen werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.
Konfiguration über die CLI: |
# config vpn ssl settings set source-address-negate [enable|disable] end |
Methode 2: MAC-Adressen von Hosts
Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.
Konfiguration über die CLI: |
# config vpn ssl settings edit <portal-name> set mac-addr-check [enable|disable] set mac-addr-action [allow|deny] end |
Wo finde ich SSL-VPN Logs?
Wie verhindere ich Logout von SSL-VPN-Usern?
Mittels CLI, ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf 60 bzw. 180 Minuten maximiert werden.
Konfiguration über die CLI: |
# config vpn ssl settings set login-timeout <10-180> -> Standardeinstellung: 10 Sekunden set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden end |
Der Timer kann ausserdem bei unvollständigen HTTP-Anfragen verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. Slowloris) verhindern, die sich dahinter verstecken.
Konfiguration über die CLI: |
# config vpn ssl settings set http-request-header-timeout <1-60> set http-request-body-timeout <1-60> end |
Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken?
Die entsprechende Meldung: Too many bad login attempts. Please try again in a few minutes.
Gemäss Default, haben SSL-VPN-User 2x Versuche, um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für 60 Sekunden gesperrt.
Beide Default-Einstellungen können sehr einfach im CLI geändert werden:
Konfiguration über die CLI: |
# config vpn ssl settings set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit) set login block-time [Wert; Sekunden] -> 0-86400 möglich end |
Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken?
Im CLI
Schritt 1: Firewall Address konfigurieren
Konfiguration über die CLI: |
# config firewall address edit "restriction_switzerland" -> Name der "Firewall Address" set type geography set country "CH" -> erlaubt Verbindungen aus "CH" next end |
Schritt 2: Firewall Address Group konfigurieren
Konfiguration über die CLI: |
# config firewall addrgroup edit "Geo_restriction_ssl_vpn" set member "restriction_switzerland" next end |
Schritt 3: Bei SSL-VPN Settings u.a. Firewall Address Group als Source konfigurieren:
Konfiguration über die CLI: |
# config ssl vpn settings set soure-address "Geo_restriction_ssl_vpn" end |
Im GUI
Schritt 1:
Konfiguration über das WebGui: |
Policy & Objects > Addresses > Create New : Address aus Drop-Down-Liste wählen |
Schritt 2:
Konfiguration über das WebGui: |
New Address > Name : Bel. Namen (z.B. Country_accept) wählen > Type : Geography (!) aus Drop-Down-Liste wählen |
Schritt 3:
Konfiguration über das WebGui: |
SSL VPN Settings > Restrict Access : Limit Access to specific hosts wählen > Hosts : Erstellten Host (e.g. Country_accept) aus Drop-Down-Liste wählen |
Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern?
Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".
Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:
Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den VPN-Event-Logs mit der Action ssl-login-fail aufgelistet.
Lösung:
Schritt 1: Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location
Konfiguration über die CLI: |
# config firewall address edit "Restricted_Acccess" -> Bespiel-Name set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse next end |
Schritt 2: Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)
Local-In-Policy kann nur via CLI konfiguriert werden |
Konfiguration über die CLI: |
# config config firewall local-in-policy edit 1 set intf "port1" set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1) set dstaddr "all" set service "ALL" set schedule "always" next end |
Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (ssl-login-fail). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:
Logs und Reports
Wo wähle ich den Speicherort von Logs auf der FortiGate?
Methode 1: Lokales Speichern auf FortiGate-Disk
Konfiguration über das WebGui: |
Die Option Enable Historical FortiView ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind. |
Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.
Konfiguration über das WebGui: |
|
Wo wähle ich aus, welche Arten von Logs gespeichert werden?
Logs können in zwei Kategorien unterteilt werden: Event Traffic Logs und Local Traffic Logs
Event Traffic Logs:
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen
Local Traffic Logs:
- Standardmässig nicht aktiviert aufgrund hoher Log-Quantität
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft
Wie aktiviere ich Logging in der Firewall Policy?
Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.
Wichtig ist, dass mindestens ein Security Profile (i.e. AntiVirus, Web Filter, DNS Filter, Application Control etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.
Die Option Log Allowed Traffic muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden:
Security Events: Logs werden "nur" für Security Events generiert.
All Sessions: Logs werden alle Sessions generiert.
Konfiguration über das WebGui: |
|
In der CLI sind noch folgende, empfehlenswerte Optionen/Einstellungen möglich:
Konfiguration über die CLI: |
Testen, ob Generierung von Logs funktioniert: # diagnose log test Anonymisieren von User-Namen innerhalb Logs: # config log setting set user-anonymize enable end Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File: # excecute backup disk allogs [ftp|tftp|usb] Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File: # excecute backup disk log [ftp|tftp|usb] <log_type> |
Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten?
U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.
Standardeinstellungen:
Low = 5
Medium = 10
High = 30
Critical = 50
Diese Werte können gemäss individuellen Präferenzen geändert werden.
Wichtig: Gewichtung ist nur für (interne) Informationszwecke, d.h. es werden keine Aktionen für FortiGate konfiguriert.
Konfiguration über das WebGui: |
|
Multi-Gigabit mit FortiSwitch
Was ist Multi-Gigabit?
Multi-Gigabit, auch bekannt als Norm IEEE 802.3bz, ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von 2.5 Gbit/s und 5.0 Gbit/s.
Dieser Standard wurde 2016 seitens Institute of Electrical and Electronics Engineers (IEEE) eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank IEEE 802.3bz keine Neu-Verkabelung mehr notwendig.
Welche FortiSwitch unterstützt dieses Feature?
Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf FortiSwitch M426E-FPOE (insgesamt auf 8 Ports: 8x 2.5 GE RJ45 ports)
FortiToken:FAQ
Wie richte ich FortiToken bei einem HA-Cluster ein?
FortiToken kann vor/nach Einrichtung eines HA-Clusters (ForitGate oder FortiAuthenticator) eingerichtet werden. Lizenzen für FortiToken Mobile müssen dabei auf dem Hauptgerät eingespielt werden.
FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils 1x Lizenz für FortiToken Mobile.
Wie wird bei FortiToken Cloud abgerechnet?
Die Kosten pro Tag von FortiToken Cloud (FTC) werden gemäss folgender Formel kalkuliert:
Daily Point Usage =
(Gesamtzahl FTC User am entsprechenden Tag) x (1 / Anzahl Tage entsprechender Monat)
FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:
- Neue Lizenz (z.B. FTC-LIC-120) deckt am 1. April 2021 90x Enduser ab
- Folglich zieht FTC am 1. April 2021 3x Daily Points (= 90 User x 1/30d) ab
- Folglich zeigt FTC Dashboard am 1. April 2021 folgendes:
Current Month Usage: 3 Points
Current Balance: 117 Points (= 120 – 3) Hat man z.B. für April 2021 (i.e. 30 Tage) insgesamt 3x User, zeigt FTC Dashboard am 30. April 2021 ebenfalls 3 Points an -> gemäss folgender Kalkulation: (3 User x 1/30d) x 30 Tage (gesamter April) = 3
Weiter zu beachten ist:
FTC wird ähnlich wie FortiToken Mobile verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.
Die Points haben eine Gültigkeit von 1 Jahr.
Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro 250 SMS (an alle User) wird 1 Point abgezogen.
Siehe auch Lincensing Guide: Datei:Adding FTC Linceses.pdf
IGMP mit FortiSwitch
Was ist IGMP und IGMP Snooping?
Internet Group Management Protocol (IGMP) ist ein Protokoll (TCP/IP), welches sich auf Multicast fokussiert. Multicast ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte Empfängergruppen sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via Multicasting Datenpakete an Privat-Netzwerke schicken.
Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels IGMP (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. IGMP Snooping, wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.
Welche FortiSwitch unterstützen IGMP und IGMP Snooping?
Von IGMP gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das Multicasting basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird IGMP in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. Multicast Listener Discovery (MLD).
Folgender Link ist empfehlenswert hinsichtlich Konfiguration und allgemeinen Hinweisen zu IGMP Snooping (Stand: FortiSwitchOS 6.4.2):
https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3
FortiAP und 5.0 GHZ
Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ?
Gemäss IEEE 802.11 haben WLANS mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist 2.4 GHZ der am meisten verwendete Frequenzbereich, gefolgt von 5.0 GHZ. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.
Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (Radio 1-3 Capabilities):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E FAP-222E, FAP-224E, FAP-C24JE FAP-U231F, FAP-U431F, FAP-U433F FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV FAP-U422EV, FAPU24JEV
edit 3.03.2023 - 4Tinu
Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ?
Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):
https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799
Dabei ist u.a. wichtig, dass unter FortiAP Profiles zunächst Frequency Handoff und AP Handoff aktiviert werden. Bei TX power control (sowohl Radio 1 & 2) wählt man die Option Auto, und stellt anschliessend die entsprechenden Transmit Power Ranges ein:
2.4 GHz: 6 to 12 dB 5.0 GHz: 12 to 18 dB
Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.
FortiAnalyzer Cloud
Welche Features sind in der FortiAnalyzer Cloud enthalten?
Folgende Features werden unterstützt:
Central Log Management & Reporting Security Logs (UTM) Event Logs Traffic Logs (nur Premium) IOC Scan SOC Subscription (nur Premium) FortiView Network Monitoring & Alerting Multi-Tenancy
FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate. |
Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud?
Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:
FortiAnalyzer Cloud Subscription (Anzahl Subscriptions = Anzahl verwalteter FortiGates) sowie FortiCloud Premium Subscription (Anzahl Subscriptions = 1x)
FortiAnalyzer Cloud Subscription gibt es als:
FAZ Cloud Base (Fokus: u.a. Event Logs, Security Logs (UTM))
FAZ Cloud Premium (seit FortiOS 6.44, Fokus: u.a. Traffic Logs)
Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base, d.h.
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im 360 Protection Bundle integriert
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: FG-30- bis FG-80-Serie
Wünscht man alle Log-Funktionalitäten, dann sind folgende Subscriptions nötig:
FAZ Cloud Premium für jede verwaltete FortiGate z.B. FC-10-0060F-208-02-12: FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year
Wünscht man nur Event Logs und Security Logs (UTM), dann sind folgende Subscriptions nötig:
FAZ Cloud Base für jede verwaltete FortiGate z.B. FC-10-0060F-188-02-12: FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year
Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung?
FAZ Cloud Base bietet einen Standard-Speicher von total 500 GB.
FAZ Cloud Premium hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle (Totaler Speicher):
FAZ Cloud Base hat kein Limit bezüglich Speichernutzung pro Tag, da keine Traffic Logs unterstützt werden.
FAZ Cloud Premium weist hingegen ein Limit auf; die Speichernutzung pro Tag ist abhängig vom FortiGate-Modell - siehe Tabelle (Speicher pro Tag):
Logs und Reports
Wie sehe ich CLI-Befehle in den System Event Logs?
Die CLI-Funktion cli-audit-log ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der System Event Logs sichtbar sind -> neu sind show-, get-, und diagnose-Befehle inkludiert, zusätzlich zu execute und config. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:
Konfiguration über die CLI: |
# config system global set cli-audit-log [enable/disable] end |
Nach Aktivierung, können die gewünschten System Event Logs generiert und analysiert werden - Beispiele:
# execute log filter category 1 (1 = event) # execute log display
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Show" msg="show system global"
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Get" msg="get sys status"
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Diagnose" msg="diagnose log test"
NAT
Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren?
In CLI lässt sich mittels sogenannter Hit Counter analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten Central SNAT und DNAT (VIP) gab.
Konfiguration über die CLI: |
Central SNAT Counter: # diagnose firewall iprope show 10000d <id> DNAT (VIP) Counter: # diagnose firewall iprope show 100000 <id> Counter bereinigen: # diagnose firewall iprope clear 10000d <id> # diagnose firewall iprope clear 100000 <id> |
Beispiel:
# diagnose firewall iprope show 10000d 2
idx=2 hit count:7 (2 5 0 0 0 0 0 0) first:2021-04-13 10:13:43 last:2021-04-14 10:17:32
Das Beispiel zeigt, dass es für ID 2 insgesamt 7 Treffer gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.
Bei IPv6 sind die Befehle fast identisch: "iprope" einfach mit "iprope6" ergänzen. |
ZTNA
Was ist Zero Trust Access Network (ZTNA)?
ZTNA ist ein Feature, welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:
- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen
- Geringerer Angriffsvektor: Applikationen sind durch Application Proxy versteckt/geschützt, und sind nur Usern
zugänglich, welche die Applikationen tatsächlich benötigen
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert
Voraussetzung ist, dass Endpoints einen FortiClient ZTNA Agent installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.
Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung?
Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige FortiClient-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: à la carte) inkludiert:
ZTNA-Feature verlangt mindestens FortiOS 7.0 und FortiClient 7.0. |
FortiGateCloud - Troubleshooting
Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden?
Beispiele:
Invalid Username or Password FortiCloud Internal Error HTTP 400
Lösungen:
- Passwort muss maximal 20 Zeichen enthalten
- Port443 muss offen/verfügbar sein
- FortiGate muss logctrl1.fortinet.com oder globallogctrl.fortinet.net pingen können
- Falls keine Änderung, dann wird FortiGateCloud-Debug empfohlen (Output anschliessend an TAC senden):
Konfiguration über die CLI: |
# get # end # diag debug console timestamp enable # diag debug app forticldd -1 # diag debug enable # exec fortiguard-log login |
- Falls Fehlermeldung mit HTTP 400, dann wird HTTP-Debug empfohlen:
Konfiguration über die CLI: |
# diag debug app httpsd -1 |
- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. Sonderzeichen im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt
- Falls HA-Cluster: Erst-Aktivierung immer im Master/Primary -> Aktivierung findet gleichzeitig im Slave/Secondary statt
Wie aktiviere ich den Management Tunnel Status auf der FortiGate?
- Mit foldendem CLI-Befehl:
Konfiguration über die CLI: |
# config system central-management # set type fortiguard # end # diag fdsm contract-controller-update # fnsysctl killall fgfmd |
- Falls FortiGate länger als 24 Stunden inaktiv ist, muss überprüft werden, ob Port443 offen/verfügbar ist, und via Port443 eine Telnet-Verbindung zu logctrl1.fortinet.com oder globallogctrl.fortinet.net möglich ist
Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal?
- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint
- FortiGate wird entweder zum globalen oder europäischen FortiCloud-Service hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!
- Falls auf FortiGate Domain Selection (beim Login) möglich ist, kann man direkt auf den globalen (www.forticloud.com) oder europäischen (europe.forticloud.com) Service gelangen
Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht?
- Mit foldendem CLI-Befehl:
Konfiguration über die CLI: |
# execute fortiguard-log login |
Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert?
- Mit folgenden CLI-Befehlen:
Konfiguration über die CLI: |
# execute telnet 514 # diag test app forticldd 1 # diag test app miglogd 6 # diag debug app miglogd -1 # diag debug enable |
- Um Unterbrüche bei schlechter Netzwerkverbindung zu vermeiden, kann das Time-Out erhöht werden:
Konfiguration über die CLI: |
# config log fortiguard setting # set conn-timeout 120 # end |
Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden?
1. GUI: System > Feature Visibility, FortiSandbox Cloud einstellen
2. GUI: Security Fabric > Settings, Sandbox Inspection einstellen
3. GUI: Security Profile > AntiVirus, Suspicious Files Only oder All Supported Files einstellen
4. GUI: Policy & Objects > IPv4 Policy, AntiVirus für die entsprechende Policy aktivieren
Was muss ich beim Auto-Backup beachten?
- Auto-Backup entweder Per Session (default: nach 600 Sekunden) oder Per Day
- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden
- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung 7 Tage, bei lizenzierten FortiGates hingegen 1 Jahr
Wie gehe ich vor, wenn FortiDeploy nicht funktioniert?
- FortiManager-Einstellungen überprüfen
- Sicherstellen, dass Central Management Settings auf FortiGateCloud eingestellt sind
- Sicherstellen, dass via Port443 auf logctrl1.fortinet.com verbunden werden kann
- Mittels Device Key das Inventory importieren
- FortiGate im FortiManager ausrollen und neustarten, ansonsten:
Konfiguration über die CLI: |
# execute fortiguard-log join |
Fortinet Support Portal
Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal?
Das Fortinet Support Portal (https://support.fortinet.com) wird primär für folgendes verwendet:
Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.) Verwaltung registrierter Produkte/Assets Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images Informationen zu Product-Lifecyles Ticketing (Technical Assistance, Customer Service, RMA)
Das Fortinet Partner Portal (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:
Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.) Tool für Deal-Registration NSE-Trainings Verschiedene Webinare
Wie erstelle und ich einen neuen Account im Support Portal?
Best Practice: Der Endkunde erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der Partner/Resseller im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts). |
Schritt 1:
Browser öffnen und https://support.fortinet.com aufrufen, Register auswählen
Schritt 2:
E-Mail Adresse auswählen
Schritt 3:
Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben
Schritt 4:
Passwort setzen
Schritt 5:
Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account
Schritt 6:
Fortinet Terms & Conditions akzeptieren
Schritt 7:
Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet
Wie registriere und verwalte ich ein Produkt/Asset im Support Portal?
Unter My Assets die Option Register More auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:
Lizenzierung/FortiGuard
Was passiert wenn FortiGuard-Lizenzen ablaufen?
Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:
Firewall: Firewall-Services funktionieren weiterhin High Availability: Clustering funktioniert weiterhin Virtual Private Networking (VPN): VPN-Engine funktioniert weiterhin Advanced Routing: Routing-Engine funktioniert weiterhin SD-WAN: SD-WAN-Services funktionieren weiterhin Explicit Proxy & WAN Optimization: Beides funktioniert weiterhin QoS & Traffic Shaping: Beides funktioniert weiterhin Data Loss Prevention (DLP): DLP-Services funktionieren weiterhin
Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:
Anti Virus: AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen) Anti Malware: AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen) Intrusion Prevention (IPS): IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen) Application Control: ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen
Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:
Web Filter: WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr DNS Filter: DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr E-Mail Filter (AntiSpam): AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr
Werde ich benachrichtigt bevor eine Lizenz abläuft?
Auf der FortiGate ist es mittels Automation Stitch/Trigger möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.
Konfiguration über das WebGui: |
|
|
Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option Send renewal notices anklicken: |
Firewall Regeln
Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren?
Damit die im Kapitel 39.9 beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (FortiGate Geo-IP Database) zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.
Schritt 1: Aktuelle Version der Geo-IP Datenbank überprüfen
Konfiguration über die CLI: |
# diag autoupdate versions | grep -A6 Geo Beispiel-Output: IP Geography DB --------- Version: 3.00113 Contract Expiry Date: n/a Last Updated using scheduled update on Wed Aug 3 20:09:12 2022 Last Update Attempt: Tue Aug 15 14:32:02 2022 Result: No Updates Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113 |
Schritt 2 (Falls aktuelle DB veraltet ist): Manuelles Update durchführen
Konfiguration über die CLI: |
# execute update-geo-ip |
Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.
Administrator
Wie kann ich die Dauer des Admin-Lockouts verkürzen?
Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung Too many login failures. Please try again in a few minutes..., gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.
Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:
Konfiguration über die CLI: |
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration: FGT# config system global FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s: FGT# config system global FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen. |
Admin-Lockout-Dauer ist orientiert sich an der IP-Addresse des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet. |
Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden?
Früher waren FortiManagerCloud-Lizenzen auf spezifische FortiGate-Modelle ausgerichtet, sog. individual subscription SKUs. Beispiel:
FC-10-0040F-179-02-DD FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service
Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. multi-device subscription SKUs:
FC1-10-MVCLD-227-01-DD Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. FC2-10-MVCLD-227-01-DD Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. FC3-10-MVCLD-227-01-DD Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included. Diese Multi-Device Lizenzen unterstützen u.A. folgende Features (z.T. identisch mit FortiManagerVM): - Single Console Management - Central Policy und Device Management - Configuration Backups, Firmware Upgrades, und Script Management - Diverse Automatisierungen - Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen keine FortiAnalyzer-Features!
Es gibt häufig Verwechslungen mit FortiGateCloud-Lizenzen, die effektiv auf spezifische FortiGate-Modelle konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:
FC-10-0040F-131-02-DD FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention Diese Single-Device Lizenzen unterstützen u.A. folgende Features: - Configuration Management > war früher kostenlos - Configuration Backup and Restoration > war früher kostenlos - Firmware Upgrade - 1x Jahr Log Retention Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison
Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention) fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service) betrachtet. |
Wie verwalte ich Administratoren Profile in FortiManagerCloud?
In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance.
Eine kurze Übersicht:
Restricted User Restricted User Profil hat nur Read-Only Privilege für alle verwalteten Geräte, und hat keineSystem Privilege
Standard_User Standard User Profil hat Read-Write Access für alle verwalteten Geräte, hat keine System Privilege
Super_User Super User Profil hat sämtliche System and Device Privileges - dieses Profil ist nicht editierbar
Package_User Package User Profil hat Read-Only Access for System and other Privileges, und hat Read-Write Policy and Object Privileges