Fortinet:FortiCare-FortiGuard: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 544: Zeile 544:
Wenn der Master-Account-Administrator keine 2FA erzwingt, solltest du 2FA aktivieren, indem du folgenden WikiArtikel zu Rate ziehst:
Wenn der Master-Account-Administrator keine 2FA erzwingt, solltest du 2FA aktivieren, indem du folgenden WikiArtikel zu Rate ziehst:
* [[Fortinet:FortiCare-FortiGuard#Wie_aktiviert_man_im_Supportportal_die_Mehrfachauthentifizierung_(MFA)?]]
* [[Fortinet:FortiCare-FortiGuard#Wie_aktiviert_man_im_Supportportal_die_Mehrfachauthentifizierung_(MFA)?]]
 
'''Erzwinge 2FA über Organisationsbereiche:'''<br>
<big>'''Erzwinge 2FA über Organisationsbereiche:'''</big><br>
Master-Account-Administratoren oder Unterbenutzer-IA-Konten, die ADMIN-Zugriff auf Organisationen haben, können 2FA in Organisationsbereichen erzwingen.
Master-Account-Administratoren oder Unterbenutzer-IA-Konten, die ADMIN-Zugriff auf Organisationen haben, können 2FA in Organisationsbereichen erzwingen.
# Öffne https://support.fortinet.com und melde dich mit deinen Kontodaten an.
# Öffne https://support.fortinet.com und melde dich mit deinen Kontodaten an.

Version vom 23. Mai 2024, 07:50 Uhr

Fortinet:Fortinet:FortiCare-FortiGuard

Vorwort

Dieser Artikel enthält Informationen und Dokumente im Zusammenhang mit dem RMA Service/Support von Fortinet. Es zeigt Schritt für Schritt wie ein Gerät ausgetauscht wird und welche Vorraussetzungen für diesen Austausch gelten!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Documentation

Wo findet ich die Dokumente die zeigen wie ich im Partner/Support Portal verschiedenen Aktionen durchführe?

Fortinet stellt für die verschiedenen auszuführenden Aktionen wie zB License Registration, Support Contracts etc. Dokumente zur Verfügung die zeigen wie dies durchgeführt wird:

       Account Management
       
       Datei:Account Management Create A Support Account.pdf                              Create a support account
       Datei:Account Management Create and Edit a Sub account.pdf                         Create and edit a sub account
       Datei:Account Management Recover A Lost Account ID and Password.pdf                Recover a lost account ID and password
       Datei:Account Management View and Edit a Support Account.pdf                       View and edit a support account
       Asset Management
       
       Datei:Asset Management How to Register a New Product.pdf                           How to register a new product
       Datei:Asset Management Modules and Chassis Registration.pdf                        Modules and chassis registration
       Datei:Asset Management Add or Renew a Support Contract.pdf                         Add or renew a support contract
       Datei:Asset Management Virtual Machine VM License Registration.pdf                 Virtual machine (VM) license registration
       Datei:Asset Management LENC License Registration.pdf                               LENC license registration
       Datei:Asset Management Online Renewal for US Customer.pdf                          Online renewal for US customers (USA/Canada only)
       Datei:Asset Management Register a Product after an RMA.pdf                         Register a product after an RMA
       Datei:Asset Management VDOM License Registration.pdf                               VDOM license registration
       Datei:Asset Management Premium Support Service Registration.pdf                    Premium support service registration
       Datei:Asset Management Update Product Description and Partner Info.pdf             Update product description and partner info
       Datei:Asset Management Update the Product Location Address.pdf                     Update the product location address
       Datei:Asset Management Generating reports from the Support Portal.pdf              Generating reports from the support portal
       Datei:Asset Management View the details of a Product and Service Entitlement.pdf   View the details of a product and service entitlement
       Assistance Center
       
       Datei:TicketCreationGuide.pdf                                                      Ticket creation guide
       Datei:Assistance Center View and Update an Active Ticket.pdf                       View and update an active ticket
       Datei:Assistance Center Web Chat Assistance.pdf                                    Web chat assistance
       Datei:Assistance Center Fortiguard Service Request.pdf                             FortiGuard service request
       Datei:Assistance Center Run Reports on Your Tickets.pdf                            Run reports on your tickets
       Download Center
       
       Datei:Download Center Firmware Images Download.pdf                                 Firmware images download
       Datei:Download Center FortiGuard Service Updates.pdf                               FortiGuard service updates
       Datei:Download Center HQIP Images Download.pdf                                     HQIP image downloads
       Datei:Download Center Verify the Checksum of a Firmware Image.pdf                  Verify the checksum of a firmware image
       Kundendatenhandling von Fortinet
       
       Datei:Fortinet-Service-secure-Customer-Data-handling.pdf                           Customer Data Handling for Fortinet Services and Websites

Diese Dokumente sind ebenfalls über die Knowledge Base zugänglich:

       http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32312

Lizenzierung

Was für FortiCare Maintenance und Support Services Varianten gibt es?

Fortinet bietet verschiedene RMA-Optionen (Hardware Replacement) an, die mit einem FortiCare-Wartungsvertrag gebündelt sind. Die folgenden Informationen geben einen schnellen Überblick. FortiCare Support Services-Abonnements bieten globalen Support pro Produkt für 1, 3 oder 5 Jahre.

FortiCare Service Level Service Beschreibung und SLA Hardware RMA SLA
FortiCare 8x5 Hardware Abdeckung + Firmware Update + 8x5 Email und Web Support Rückgabe und dann Austausch
FortiCare 24x7 Hardware Abdeckung + Firmware Update + 8x5 Email und Web Support und telefonischer Support Vorabaustausch am nächsten Werktag aus dem lokalen Schweizer RMA-Depot (ALSO Schweiz)
FortiCare 360 Wie 24x7 FortiCare + Advanced Services Technischer Support. Kombiniert Elemente der FortiSIEM-Analyse mit erstklassigem Support, um Unternehmen in die Lage zu versetzen, aktuelle und potenzielle Performance Probleme im Zusammenhang mit ihren FortiGate- und FortiWifi-Geräten schneller zu erkennen und zu beheben, um Ausfallzeiten zu minimieren. Nächster Werktag Vorabversand vom lokalen Schweizer RMA-Depot (ALSO Schweiz)
Premium RMA 24x7 Next Day Delivery (NDD) Wie 24x7 FortiCare (NDD nur mit P-RMA-Bundle) Lieferung am nächsten Tag (jeden Wochentag)
Premium RMA 24x7 Courier 4 hours Wie 24x7 FortiCare 4 Stunden Kurierdienst (nur Lieferung)
Premium RMA 24x7 Onsite 4 hour Wie 24x7 FortiCare 4 Stunden mit Systems Engineer
Info.svg

Standard-RMA: SLA nach Annahme des RMA-Tickets durch Fortinet (lokale TAC-Zeit ca. 15:00 Uhr)
Premium RMA: Der Kunde muss anrufen, um ein Ticket mit hoher Priorität zu öffnen. SLA nach Abnahme durch Fortinet


FortiCare Hardware Support Definitions (RMA)
Grundsätzlich gibt es drei Stufen des Hardware-Austauschs. Weitere Informationen zu diesen Service Levels finden man in der entsprechenden Servicebeschreibungen:

Service Level Beschreibung
Return & Replace Nachdem Fortinet einen Fehler bestätigt hat, schickt der Kunde die defekte Hardware auf seine Kosten an das im RMA-Ticket (Return Merchandise Authorization) angegebene Depot. Die defekte Hardware sollte in der Originalverpackung mit einer Kopie des RMA-Formulars verpackt werden. Ein Ersatz wird innerhalb von drei Werktagen nach Erhalt der defekten Hardware verschickt.
Adv. Replacement Fortinet liefert einen Ersatz für den nächsten Werktag, wenn der Fehler vor 14.00 Uhr (Uhrzeit des regionalen Ersatzteillagers) bestätigt wird. Der Kunde schickt die defekte Hardware auf seine Kosten an das im RMA-Ticket angegebene Depot zurück. Die defekte Hardware sollte in der Originalverpackung mit einer Kopie des RMA-Formulars verpackt werden. Die Rücksendung sollte innerhalb von dreißig Tagen nach Erhalt des Ersatzes erfolgen, darüber hinaus behält sich Fortinet das Recht vor, das Produkt in Rechnung zu stellen.
Premium RMA Für Kunden mit kritischen Umgebungen sind höhere Service-Level innerhalb des Premium RMA (PRMA) Portfolios verfügbar. Diese Ebenen sind:
Next-day Delivery: Lieferung der Teile am Tag nach der RMA-Freigabe durch den Fortinet-Support
4-Hour Courier: Teile werden 24 Stunden am Tag, 7 Tage die Woche innerhalb von 4 Stunden nach der RMA-Freigabe durch den Fortinet-Support vor Ort geliefert.
4-Hour On-site Engineer: Lieferung der Teile vor Ort mit einem Techniker, 24 Stunden am Tag, 7 Tage die Woche innerhalb von 4 Stunden nach der RMA-Freigabe durch den Fortinet-Support.
Secure RMA Ermöglicht NON-Return einer Appliance für Kunden mit strengen Regeln und Anforderungen an den physischen Datenschutz.

Welche FortiGuard Services gibt es für die FortiGate?

Die Services sind im FAQ Lizenzierung genauer beschrieben. Lizenzierung:FAQ#Welche_FortiGuard_Services_gibt_es_für_die_FortiGate?


edit 19.12.2023 - 4Tinu

Welche Lizenzbundles gibt es für die FortiGate?

Die möglichen Bundels sind im Lizenzierungs FAQ dokumentiert:


edit 19.12.2023 - 4Tinu

Welche Fortinet Produkte/Devices unterstützen welche FortiGuard Services?

Verschiedene Fortinet Produkte unterstützen verschiedene FortiGuard Services. In der folgenden Übersicht kann entnommen werden, welches Produkt welche FortiGuard Services unterstützt:

Fortinet-1380.jpg


Weitere Informationen findet man in diesem Dokument:

    Datei:Cyber-Security-Research-FortiGuard-Solution Brief.pdf 
       Datei:FortiGate Licensing Matrix.pdf

Wie wähle ich das richtige Produkt mit welcher Lizenz aus?

  1. Der wichtigste Schritt für den Kunden ist die Wahl des richtigen Gerätes. Eine Auswahl der Plattform basiert auf Kriterien wie die Form (Desktop- oder Rackmount-Modell), Anzahl der Ports und Geschwindigkeiten der Ports und schliesslich der gewünschten Leistung.
  2. Für alle Appliances ist es möglich, nur das erforderliche FortiGuard Security Service Abonnement zu erwerben. Dieses Lizenzmodell wird "a la carte" genannt und erlaubt es, nur die benötigten Dienstleistungen auszuwählen. Dies gilt typischerweise für die NFGW-Bereitstellung. Im KMU Bereich ist es üblicher, eine FortiGate mit einem UTM- oder Enterprise Bundle zusammen zu erwerben bei welchem die Hardware und die Dienste enthalten sind.
  3. Beim Letzten Schritt gilt es den Support Service zu wählen : Entweder als separate Lizenz oder als Teil eines Pakets mit der gewünschten Laufzeit. Die meisten Kunden wählen eine Laufzeit von 3 oder 5 Jahren, da sie einen deutlichen Preisvorteil haben, da die Service-Lizenz mit Hardware-Rabatt vergünstigt ist. Diese Tabelle zeigt typische Anwendungsfälle mit der benötigten SKU (Stückliste).
Use Case Content SKU
Interne oder Data Center Firewall nur als FW/VPN-Gerät
  • Hardware appliance only
  • FortiCare Support Service
  • FG-nnn
  • FC-10-mmmmm-9ss-02-dd
Interne FW mit Intrusion Prevention (IPS)
  • Hardware appliance only
  • FortiCare Support service
  • FortiGuard IP service
  • FG-nnn
  • FC-10-mmmmm-9ss-02-dd
  • FC-10-mmmmm-108-02-12
Interne Firewall mit Advanced Threat Protection (ATP)
  • Hardware appliance only
  • Advanced Threat Protection
  • FG-nnn
  • FC-10-mmmmm-928-02-dd
Perimeter / Branch Office (Hardware Bundle)
  • HW + UTM oder Enterprise Protection
  • FG-nnn-BDL-nnn-dd

Was ist der Unterschied zwischen FortiCare/FortiGuard und 8 X 5 oder 24 X 7?

FortiCare ist Grundsätzlich der Service/Subscription für die Deckung der Hardware (Austausch bei Defekt, Firmware Upgrade etc.). FortiGuard ist der Service/Subscription für die UTM Services selber wie Antivirus, IPS, Application Control, WebFilter etc. Nachfolgende Tabelle gibt eine Kurzübersicht über Deckung und Unterschied zwischen 8 X 5 und 24 X 7 im Zusammenhang mit FortiCare/FortiGuards sowie den Bundle's die durch Fortinet angeboten werden:

       Datei:Licensing Fortinet Services.pdf

Auf der zweiten Seite des vorhergehenden Dokuments wird erklärt wie sich die Services verhalten, wenn diese zu bestimmten Zeitpunkten registriert werden! Gleichzeitig für zB Endkunden steht folgende FortiCare Brochure zur Verfügung die den Service und die allgemeinen Möglichkeiten umschreibt:

       Datei:FortiGate Licensing Matrix.pdf
       Datei:FortiCareOverviewSales.pdf
       Datei:Renewal-Guide-2016.pdf

Dabei ist die Änderung betreffend "Fortinet Warranty Support" ab Oktober 2015 zu berücksichtigen. Weitere Informationen siehe nachfolgender Artikel:

       Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_wann_beginnt_der_.22Fortinet_Warranty_Support.22_an_zu_laufen_.28neu_ab_1._Oktober_2015.29.3F

Was passiert wenn FortiGuard-Lizenzen ablaufen?

Wenn auf der FortiGate eine FortiGuard Lizenz ausläuft (z.B AntiVirus, Webfilter usw) wird folgendes passieren. Je nach Features welches betroffen ist, hat es einen grösseren oder kleineren Impact. Generell, es wird kein Service einfach deaktiviert und ausgeschalten. In den meisten Fällen wird die Datenbank nicht mehr mit neuen Informationen von der FortiGuard versorgt. Das bedeutet, eine Antivirus Datenbank ist relativ schnell veraltet.

Achten muss man beim DNS und Webfilter, das kein Rating von der FortiGuard vorgenommen werden kann. Somit wird eine angefragte Seite von der FortiGuard nicht kategorisiert und als untrated geflagt. Dies hat auf die Konfiguration je nach dem einen Impact (Wenn im Webfilter eingestellt ist, dass sämtlicher unrated Traffic blockiert wird, wird man nicht mehr Browsen können. Daher muss das Webfilter Profil entsprechend angepasst werden mit der Aktion oder gänlzlich deaktiviert.


Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

Basis Funktionen:

Features

Beschreibung

Fortinet-firewall.png

Firewall

Firewall-Services funktionieren weiterhin

Fortinet-ha.png

High Availability

Clustering funktioniert weiterhin

Fortinet-vpn.png

Virtual Private Networking (VPN)

VPN-Engine funktioniert weiterhin

Fortinet-router.png

Advanced Routing

Routing-Engine funktioniert weiterhin

Fortinet-sdwan.png

SD-WAN

SD-WAN-Services funktionieren weiterhin

Fortinet-proxy.png

Explicit Proxy & WAN Optimization

Beides funktioniert weiterhin

Fortinet-shapper.png

QoS & Traffic Shaping

Beides funktioniert weiterhin

Fortinet-dlp.png

Data Loss Prevention (DLP)

DLP-Services funktionieren weiterhin

Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date

Advanced Malware Protection

Features

Beschreibung

Fortinet-Antivirus.png

Anti Virus

AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen)

Fortinet-Antivirus.png

Anti Malware

AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen)

Fortinet-ips.png

Intrusion Prevention (IPS)

IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen)

Fortinet-appkontroll.png

Application Control

ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen

Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

Websecurity

Features

Beschreibung

Fortinet-webfilter.png

Web Filter

WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

Fortinet-dnsfilter.png

DNS Filter

DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr

Fortinet-antispam.png

E-Mail Filter (AntiSpam)

AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr


25.07.2022 - chris

Werde ich benachrichtigt bevor eine Lizenz abläuft?

Auf der FortiGate ist es mittels Automation Stitch/Trigger möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

Config webgui.png Konfiguration über das WebGui:
  • Neuen Automation Stitch/Trigger erstellen via Automation -> +Create New
  • Anschliessend Lincense Expiry auswählen
Fortinet-32300.png
  • Unter Name kann ein Name für den Automation Stitch/Trigger vergeben werden
  • Unter License kann Any oder die gewünschte Lizenz ausgewählt werden
Fortinet-3231.png
Info.svg

Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option Send renewal notices anklicken:

Fortinet-323200.png

29.07.2022 - chris

FortiCare/FortiGuard

Wie kann ich einen Supportaccount fuer einen Kunden eroeffnen?

Ein euer Support Account kann über die URL https://support.fortinet.com erstellt werden.

Config webgui.png Einrichten auf https://support.fortinet.com

1.) Auf den Butten Register navigieren.

Fortinet-3135.jpg

2.) Für den Account braucht es eine gültige E-Mail-Adresse, diese bildet auch gleich den Username des Accounts:

Fortinet-3136.jpg

3.) Die angegebene E-Mail Adresse muss noch validiert werden. Dafür wird eine E-Mail an die angegebene Adresse gesendet (Achtung Spam Ordner auch anschauen)

Fortinet-3137.jpg

4.) Den erhaltenen Validationscode (in unserem Fall 433383) eingeben kann jetzt eingegeben werden. Weiter muss noch ein Captcha eingeben werden um sicher zu stellen, dass kein Bot am Werke ist.

Fortinet-3138.jpg

Nach erfolgreicher Validation mit Next zum nächsten Schritt fortschreiten.

6.) Jetzt wird das Passwort definiert. Das Passwort muss folgende Bedingungen erfüllen:

  • Bestehend aus mindestens acht Zeichen
  • Gross und kleine Buchstaben enthalten
  • mindestens ein Sonderzeichen muss verwendet werden
Fortinet-3139.jpg

7.) Im nächsten Schritt müssen die Firmendaten des Kunden eingetragen werden:

Fortinet-3140.jpg

Nach der Eingabe der Daten über den Button Agreement einen Schritt weiter gehen.

8.) Hier werden die Terms und Konditionen angezeigt, welche bestätigt werden müssen.

Fortinet-3141.jpg

Nachdem der Button Register angeklickt wurde, ist die Einrichtung des Kundenaccount abgeschlossen:

Fortinet-3142.jpg

9.) Es wird eine E-Mail als Bestätigung zugstellt:

 Fortinet-3143.jpg

Ab sofort kann mit dem neuen Account eingeloggt werden.


add 02.06.2022 - 4Tinu

Wie kann ein Kunden Support Account mit meinen Partner Support Account verknuepft werden?

Für ein besseres Managen der verschiedenen KUnden ist es Sinnvoll für jeden einzelenen Kunden einen eigenen Support Account zu erstellen. Dieser kann dann mit dem Partner Support Account verknüpft werden.
Dies hat den Vorteil, dass man die FortiCloud und FortiCloudSandbox pro Kunden seperat nutzen kann.
Wie man einen Kunden Support Account einrichtet findet man in diesem Wiki Artikel Kundenaccount erstellen
Damit man einen Account in seinen Partner Haupt Account hinzufügen kann, muss sich mit dem eigenen Support Partner Account im Support Portal eingelogt werden.

Config webgui.png Einrichten auf https://support.fortinet.com

1.) Über das Menu My Account' gehen.

Fortinet-3144.jpg

2.) Nun auf Connect Account navigieren:

Fortinet-3145.jpg 

3.) Nun kann der entsprechende Kundenaccount ausgewählt werden inklusive des Passwortes:

Fortinet-3146.jpg 

4.) Connect auswählen um den Account zu verknüpfen.

Fortinet-3147.jpg 

Ab jetzt kann vom Hauptaccount auf diesen Account auch zugegriffen werden:


add 02.06.2022 - 4Tinu

Wie wird ein neues Forti-Gerät im Support-Portal registriert?

Um ein neues Fort-Gerät registrieren zu können kann wie folgt vorgegangen werden:

1. Auf der Support-Seite von Fortinet einloggen

      https://support.fortinet.com/Main.aspx

2. Nun kann auf dem Register "Asset" -> "Register/ Activate" angewählt werden, wodurch man auf die Registrations-Seite gelangt

Fortinet-2597.jpg

3. Als Erstes gilt es nun den korrekten Account auszuwählen (a) und die Serien-Nummer des Forti-Gerätes einzutragen. Schliessliche noch "The product will be used by a non-government user" anwählen und bestätigen.

Fortinet-2598.jpg

Die Serien-Nummer ist auf dem Boden des Gerätes ersichtlich

Fortinet-2605.jpg

4. Auf der nächsten Seite können unter "Support Contract No.:" noch weiter Verträge erfasst werden, falls mehr Jahres Verträge abgeschlossen wurden.
Als "Product Desctiption" wird empfohlen dem Gerät einen einmaligen / eindeutigen und nachvollziehbaren Geräte-Namen zu vergeben

Fortinet-2599.jpg

5. Nun die Informationen beim "Registration Agreement" durchlesen und ganz unten bestätigen.

Fortinet-2600.jpg

6. Unter "Verification" werden nun die gebuchten Services aufgelistet, welche ganz unten links bestätigt und die Registration mittels "Confirm" abgeschlossen werden kann.

Fortinet-2601.jpg

7. Nun wird man automatisch auf die Übersichtsseite geleitet, auf welcher die registrierten Serien-Nummern aufgelistet werden. Zudem wird oben rechts angezeigt dass in absehbarer Zukunft gewisse Lizenzen auslaufen und erneuert werden sollten.

Fortinet-2602.jpg

Wo finde ich Informationen zur Erzwingung der Zwei-Faktor-Authentifizierung im FortiCloud-Portal?

Info.svg

Die Sicherheit von dir als Fortinet-Kunden und -Partnern steht im Mittelpunkt der Fortinet Mission.
Zu diesem Zweck wird Fortinet ab dem 14. Juni 2024 allmählich die Zwei-Faktor-Authentifizierung (2FA) für alle Konten durchsetzen.

Wir möchten dich ermutigen, 2FA auf deinem Konto einzurichten, indem du dem unten genannten Prozess folgst. Wenn bis zum 14. Juni 2FA nicht konfiguriert ist, könntest du möglicherweise nicht auf Fortinet-Systeme zugreifen.

Wir empfehlen dir dringend, schnell zu handeln, um die Unannehmlichkeiten zu vermeiden, nach dem 14. Juni keinen Zugriff auf Fortinet-Systeme zu haben.

Die folgenden schrittweisen Anweisungen helfen dir dabei, 2FA auf deinem Konto einzurichten.

Lade die FortiToken-Anwendung herunter:

  • Google Play
  • Apple Store

Wenn du ein Master-Account-Administrator bist und 2FA für deine Unterbenutzer erzwingen möchtest:

  1. Melde dich auf https://support.fortinet.com an.
  2. Wähle Services und dann IAM aus.
  3. Gehe zu Account Settings und erzwinge 2FA.

Nachdem 2FA erzwungen wurde, erhältst du die Möglichkeit, FortiToken Mobile oder E-Mail auszuwählen, um einen einmaligen Code zum Anmelden zu erhalten. Wenn du versuchst, dich bei deinem IAM-Konto anzumelden, wird die Website dich nicht weiterlassen, bis du 2FA konfiguriert hast.

Wenn der Master-Account-Administrator keine 2FA erzwingt, solltest du 2FA aktivieren, indem du folgenden WikiArtikel zu Rate ziehst:

Erzwinge 2FA über Organisationsbereiche:
Master-Account-Administratoren oder Unterbenutzer-IA-Konten, die ADMIN-Zugriff auf Organisationen haben, können 2FA in Organisationsbereichen erzwingen.

  1. Öffne https://support.fortinet.com und melde dich mit deinen Kontodaten an.
  2. Wähle Services und dann Organizations.
  3. Wähle Settings.
  4. Aktiviere Enable Enforce 2FA Authentication.
  5. Dadurch wird die 2FA-Authentifizierung für Konten erzwungen, wenn sie mit deinem OU verbunden sind.

In diesem FAQ werden die häufigsten Fragen beantwortet: Warum erzwingt Fortinet die Zwei-Faktor-Authentifizierung (2FA) für FortiCloud-Konten?
Fortinet verpflichtet sich, die höchste Sicherheit für dich zu gewährleisten. Angesichts der ständig wachsenden Bedrohungen ist es eine Priorität, sicherzustellen, dass Konten den höchstmöglichen Schutz geniessen. Durch die Hinzufügung von 2FA kannst du verhindern, dass böswillige Akteure Zugang zu deinem Fortinet-Konto erhalten.

Ist es weiterhin möglich, ein gemeinsames Konto zu verwenden, um auf support.fortinet.com zuzugreifen?

  • Fortinet empfiehlt nicht, Konten zu teilen. Ein geteiltes Konto ist kein gesichertes Konto. Es wird empfohlen, IAM-Benutzer zu verwenden. IAM-Benutzer ermöglichen den Zugriff auf dein FortiCloud-Konto, ohne Passwörter zu teilen.
  • Die Konfiguration von IAM ist erforderlich, um E-Mail-OTP für Benutzer, die ein gemeinsames Konto verwenden, zu nutzen, und alle Benutzer müssen Zugriff auf das Postfach haben.
  • Dies schafft einen einzigen Zugangspunkt für einen böswilligen Akteur. Dies wird nicht empfohlen.
  • Überprüfe das folgende Dokument zur Konfiguration von IAM: Identity & Access Management (IAM)

Warum ist es derzeit nicht möglich, E-Mail-2FA zu konfigurieren?
Derzeit kann E-Mail nur unter IAM-Benutzern konfiguriert werden. Ab dem 7. Juni 2024 wird E-Mail als 2FA-Option für alle Benutzer verfügbar sein.

Sind andere Drittanbieter-2FA verfügbar?
Derzeit werden nur FortiToken und E-Mail-OTP als 2FA unterstützt, aber zukünftige Updates könnten zusätzliche 2FA-Methoden bieten.

Wann wird 2FA durchgesetzt?
2FA wird stufenweise eingeführt, um die Auswirkungen auf die Kunden zu minimieren. E-Mail-Benachrichtigungen und wöchentliche Erinnerungen werden 30 Tage vor der Durchsetzung von 2FA versendet. Die Durchsetzung beginnt mit der ersten Gruppe am 7. Juni 2024.

Was passiert, wenn 2FA vor der Frist nicht eingerichtet wird?
E-Mail-2FA wird automatisch aktiviert, was bedeutet, dass du Zugriff auf das Postfach benötigst, um das Token beim Einloggen zu erhalten.

Kann 2FA für ein Konto deaktiviert werden?
Sicherheit ist Fortinets Geschäft und die Sicherung von Kunden, einschliesslich Menschen, Geräten und Daten, ist Fortinets Mission. Bedrohungsakteure versuchen ständig, Fortinet zu überlisten und haben aktiv Anmeldeinformationen von Kunden gesammelt, z.B. durch Keylogger. Sobald diese Bedrohungsakteure die Anmeldeinformationen haben, haben sie Zugang zu Diensten, die für die Sicherung des Kundennetzwerks verantwortlich sind – Zugang, der nur durch einen zweiten Authentifizierungsschritt gestoppt wird. Fortinets Mission ist es, dem voraus zu sein, und 2FA ist entscheidend, um dieser Angriffsform voraus zu sein. Daher wird 2FA universell durchgesetzt.

Was passiert, wenn 2FA bereits eingerichtet ist?
Es sind keine weiteren Massnahmen erforderlich, da dein Konto bereits gesichert ist.

Wird 2FA bei neuen Konten durchgesetzt?
Ab dem 7. Juni 2024 werden alle neuen FortiCloud-Konten 2FA erfordern. Standardmässig wird es für die E-Mail-Adresse konfiguriert, die zur Erstellung des Kontos verwendet wurde.

    Referenz: https://community.fortinet.com/t5/Customer-Service/Customer-Service-Tip-Two-Factor-Authentication-2FA-resource-list/ta-p/312824


add 23.05.2024 - 4Tinu

Wie aktiviert man im Supportportal die Mehrfachauthentifizierung (MFA)?

Ab dem 14.06.2024 muss jeder Account im Supportportal mit einer Mehrfachauthentifizierung geschützt werden. Im folgenden Artikel erkläre ich dir, wie du diese MFA auf deinem Account aktivieren kannst.

Um dich optimal vorzubereiten, empfehle ich dir, vorab die FortiToken Mobile Applikation auf deinem Mobilgerät zu installieren.

Config webgui.png Konfiguration über das WebGui:

Logge dich in das Supportportal via https://support.fortinet.com ein. Oben rechts kannst du auf deinen Benutzernamen navigieren und im Menü die Option Security Credentials auswählen:

Fortinet-3367.jpg

Wähle den Menüpunkt Two Factor Authentication.

Fortinet-3360.jpg

Aktiviere den Schieberegler bei Activate 2FA with FortiToken Mobile App. Sobald du den Schalter aktiviert hast, kannst du Update wählen.

Fortinet-3361.jpg

Jetzt musst du das Passwort deines Accounts eingeben:

Fortinet-3362.jpg

Der 2FA ist ab sofort auf dem Account aktiviert.

Fortinet-3363.jpg

Du hast auf deine im Account registrierte E-Mail-Adresse eine Nachricht mit Instruktionen und einem QR Code bekommen. Mit diesen Angaben kannst du auf der Mobile App jetzt den Token aktivieren.

Fortinet-3364.jpg
  • Klicke auf das angehängte PNG-File und scanne mit der FortiToken App den Code ein.
Fortinet-3368.jpg
  • Klicke dafür auf das + neben der Option Manage und scanne den QR-Code der E-Mail ein.
  • Du siehst jetzt den Token mit einer ID auf deiner Tokenliste

Falls du mehrere Token in deiner Liste aufgelistet hast, ist es sinnvoll der Übersichtshalber den Token spezifische Namen zu geben.

Fortinet-3369.jpg

Wähle den Namen des Token in der Liste an (in unserem Beispiel 23FA)

Fortinet-3370.jpg
  • Du siehst jetzt die Seriennummer des Tokens und auf welchem Authenticator-Gerät der Token registriert ist.
  • Um den Namen zu ändern, musst du den kleinen Pfeil neben 23FA anwählen.
Fortinet-3371.jpg
  • Gib den gewünschten Namen ein

Sobald der Token auf dem Mobilgerät aktiviert ist, kann im Supportportal ein Test durchgeführt werden.

  • Benutze dafür die Funktion Test Token now.
Fortinet-3365.jpg

Auf der FortiToken App kannst du den 6-stelligen Code entnehmen und im Testfeld eingeben.

Fortinet-3366.jpg

Ab jetzt ist dein Account mit einem MFA zusätzlich abgesichert.


add 15.05.2024 - 4Tinu

Wie verknüpfe ich einen Kontrakt mit einem Fortinet Gerät?

Screenshot Support Portal

Beschreibung

Fortinet-2583.jpg

Der Kontrakt kommt per PDF über Email zum Partner oder Endkunde. In diesem PDF ist der Contract Registration Code vorhanden. (auf der zweiten Seite). Sobald diese Kontraktnummer auf eine Serienummer verheiratet wurde, ist er nicht mehr weiter verwendbar. Daher darauf achten, dass man den Kontrakt Code auf das richtige Gerät verknüpft!!

Fortinet-2584.jpg

Um den Kontraktcode auf ein Device zu verknüpfen, muss man sich in das Fortinet Support Portal https://fortinet.support.com einloggen. Sobald man eingeloggt ist wird man oben Rechts in der Kopfzeile ein Feld sehen, in welchem angezeigt wird, wieviele Geräte in nächster Zeit eine Lizenerneuerung brauchen (FortiCare, FortiGuard usw...

Wenn ich darauf klicke bekomme ich eine Liste mit den betroffenen Geräten. Wenn ich ein bestimmtes Gerät finden will muss ich über den Menupunkt Asset danach Manage/View Product und im Suchfeld die gewünschte Serienummer eingeben.

Fortinet-2585.jpg

Bei der Liste kann ich jetzt das gewünschte Gerät/Device auswählen, auf welchem der Kontrakt aktiviert werden soll.

Fortinet-2586.jpg

Im Seitenmenu kann ich jetzt unter dem Punkt Registration den Punkt Renew Contract auswählen

Fortinet-2587.jpg

Im Contract Number Feld kann man die Kontraktnummer vom PDF reinkopieren.
Beim End User Type muss angegeben werden, ob das Gerät bei einer Behörde steht oder nicht.


Mit Renew geht es mit der Registration weiter.

Fortinet-2588.jpg

Die Lizenz Bedingungen gut durchlesen und dann bestätigen. Mit Next geht der Prozess weiter.

Fortinet-2589.jpg

Es wird eine Zusammenfassung angezeigt, welche Feature alles erweitert werden. Dies ist die letzte Change um die Serienummer zu überprüfen. Wenn man hier bestätigt gibt es keine Möglichkeit mehr den Kontrakt an ein anderes Gerät zu verknüpfen.

Mit Confirm wird der Vorgang abgeschlossen.

Fortinet-2590.jpg

Wenn die Kontrakt Verknüpfung mit dem Gerät abgeschlossen ist, wird die neue Laufzeit der Services angezeigt.

Gibt es eine Möglichkeit vers. Service mit vers. Ablaufdaten für FortiCare/FortiGuard zu Synchronisieren (Quote-Term)?

Ja, diese Möglichkeit gibt es! Dieser Vorgang wird anhand eine Quote-Term durchgeführt. Dies bedeutet, dass der Kunde die Geräte mit dessen Serien-Nummern zustellt sowie die Informationen welcher Service/Subscription gewünscht wird. Anhand dieser Informationen wird eine Quote-Term bei Fortinet erstellt mit den Angaben des Kunden. Dieser Quote-Term gilt als Offerte von Fortinet an sich selber. Bei Bestellung wird dieser Quote-Term als Bestellung selber übermittelt. Fortinet verarbeitet diesen Quote-Term und bringt alle Ablaufdaten Synchron auf das gewünschte Ablaufdatum.

Um so eine Quote-Term zu erhalten muss der Kunde dem Distributor die zu "synchronisierenden" Serien Nummern der Device übermitteln mit dem gewünschen "Synchronisations Datum". Danach kann der Distributor unter der Distributions Partner Seite eine Quote-Term erstellen:

         • Logge Dich auf der Partner Seite von Fortinet ein:
       
           https://partners.fortinet.com/Login.aspx
       
       
         • Nachdem erfolgreichen Einloggen wähle "Rechts" den folgenden Menüpunkt:
       
           Renewal Tracking
       
       
         • Nun können die entsprechenden Serien Nummern unter "If you know the serial numbers,....." eingegeben werden:
       
           NOTE Wenn mehrer Serien Nummern eingegeben werden, können diese mit "," getrennt eingegeben werden!
       
       
         • Sobald die Serien Nummern eingegeben wurden gehe auf "Search"
       
       
         • Nun wird im unteren Bereich der entsprechende "Reseller/Endkunde" angezeigt!
       
       
         • Selektiere den Reseller unter "Company"
       
       
         • Im nächsten Dialog werden die einzelnen Devices mit deren Ablauf Datum aufgelistet
       
       
         • Selektiere (Rechts Kästchen aktivieren) nun alle Devices für die ein Quote Term erstellt werden soll!
       
       
         • Danach gehe auf die Position "Generate Coterm Quote". Nun gebe folgendes ein:
       
           Quote Title          [ZB Reseller Name mit event. Projekt]
           Comment              [Zusätzliche Kommentare]
           Effective Date       [Heutiges Datum]
           Coterm Date          [Synchronisations Datum]
       
       
         • Danach gehe auf "Next"
       
       
         • Nun kann im nächsten Schritt unter "Select Renewal Service Package" das entsprechende Service Package
           gewählt werden! Wähle dazu "Select" und gebe das entsprechende Service Package an. Danach gehe wiederum
           mit "Next" weiter (Next steht erst dann zur Verfügung wenn für alle Modelle ein entsprechendes Service
           Package gewählt wurde)!
       
       
         • Nun wird unter dem Register "Review Quote and Continue" eine Uebersicht gezeigt WAS gewählt worden ist
           innerhalb der Quote! 
       
       
         • Bis anhin wurde die Quote nicht abgesendet dh. zu Fortinet übemittelt! Sobald man auf "Confirm" geht 
           wird die Quote Fortinet übermittelt und eine Quote ID generiert anhand dieser die Bestellung 
           an Fortinet ausgeführt wird.
           
           NOTE Um den $ Preis zu kalkulieren benutz in der Offert die Position "GPL USD"

Die Registrierung FortiCare/FortiGuard ist auf der Fortigate nicht ersichtlich, was kann ich tun?

Wir empfehlen eine Registrierung des FortiGate Devices im entsprechenden Support Account 24 Stunden bevor der Device beim Kunden installiert/eingesetzt wird. Wenn die Registrierung des Fortinet Devices ausgeführt wurde, müssten die Angaben nachträglich auf der Fortigate über das Dashboard (System Information) nach ca. 10 Minuten ersichtlich sein sofern eine Internet Verbindung konfiguriert wurde. Ist dies nicht der Fall -oder nur teilweise- so liegt das an der Kommunikaton auf der FortiGate mit dem entsprechenden Service von Fortinet der nicht korrekt durchgeführt werden kann. Grundsätzlich komuniziert eine FortiGate für die Registrierung folgendermassen:

       Fortinet-1424.jpg

Die meisten Fehler das diese Komunikation nicht zu stande kommt liegen darin, dass die DNS Auflösung auf der FortiGate nicht korrekt konfiguriert wurde sowie der Port (Per Standard 53) nicht auf Port 8888 umgestellt wurde. Um den Port auf 8888 umzustellen siehe nachfolgenden Artikel:

       Fortinet:FortiCare-FortiGuard#Welcher_Port_wird_durch_den_FortiGuard_Service_benutzt_und_wie_kann_ich_diesen_wechseln.3F

Wenn die Komunikation nicht zu stande kommt so sollte folgendes durchgeführt werden:

      Erstelle eine Consolen Verbindung (RS232) oder eine SSH Verbindung zur FortiGate. Es kann ebenfalls das "console" Widget benutzt 
      werden das im unteren Bereich der Eingangsseite zur Verfügung gestellt wird um die nachträglich aufgeführten Kommandos einzugeben:
      
      Ist der Server für Antivirus und IPS Updates von der FortiGate erreichbar:
      
      # execute ping update.fortiguard.net
      
      Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
      
      # diagnose test app dnsproxy 1 
      Ist der Server für WebFilter und AntiSpam von der FortiGate erreichbar:
      
      # execute ping service.fortiguard.net
      
      Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
      
      # diagnose test app dnsproxy 1 
      Kontrolliere ob das Autoupdate eingeschaltet ist:
      
      # diagnose autoupdate status 
      IPS definition update: enable 
      Virus definition update: enable set 
      Kontrolliere wenn der nächste Update ausgeführt werden sollte:
      
      # diagnose test update info 
      Führe einen manuellen Update (force) aus:
      
      # execute update-now
      
      ACHTUNG Es sollte mind. 2 Stunden gewartet werden bis die nächsten Schritte vollzogen werden resp. Wenn sich der Status
              Der Registrierung nicht ändern sollten die nachfolgenden Schritte durchgeführt werden!
     
      NOTE Wenn die Fortigate oder eine Fortimail plötzlich keine Registrierung zeigt ist dieser Vorgang ebenfalls durchzuführen.
           Diese Situation kann entstehen wenn Fortinet Produkte abrupt vom Netz genommen werden oder unkontrolliert (Stromausfall)
           vom Stromnetz genommen werden. Wenn in dieser Zeit der "Update-Prozess" ausgeführt wird bleibt dieser hängen und kann
           nicht neu initiert werden. Durch die erneute Ausführung des "Update" (manuell über Console) und einem erneuten Reboot
           wird/kann dieses Problem gelöst werden!
      
      Um den Status des Updates abzufragen kann folgendes benutzt werden:
      
      # diagnose debug application update [Debug Level zB 1]
      # diagnose debug enable
      
      NOTE Debug Level sind:
      
              1: Fehlermeldungen
              2: Major-Events
              4: Alles
      
      Nicht vergessen den Debug wieder abzuschalten mit:
             
      Deaktiviere den Debug Modus:
      
      # diagnose debug disable
      
      Setze den Debug Filter zurück:
      
      # diagnose debug reset

Durch diesen Befehl werden die Fortinet Services kontaktiert (force) und die neusten Informationen abgeholt. Bringt dies keine Abhilfe führe einen Neustart des Gerätes durch (auf jedenfall ca. 1 – 2 Stunden warten nachdem absetzen des obigen Befehls) und kontrolliere abermals das Dashboard:

      # execute reboot
      
      NOTE Auch nachdem Neustart kann es durchaus bis zu 2 Stunden gehen bis sich der Registrierungs Status
           des Devices für die vers. Services ändert!

Wenn unsicher ist ob die FortiGuard Server zur Verfügung stehen (und welche), kann mit folgenden Befehl das "rating" dieser Server überprüft werden:

       # diagnose debug rating
       Locale : english
       License : Contract
       Expiration : Sun Jul 24 20:00:00 2011
       Hostname : service.fortiguard.net
       
       -=- Server List (Tue Nov 2 11:12:28 2010) -=-
       IP Weight       RTT   Flags  TZ    Packets Curr Lost Total Lost
       69.20.236.180    0    10     -5     77200  0          42
       69.20.236.179    0    12     -5     52514  0          34
       66.117.56.42     0    32     -5     34390  0          62
       80.85.69.38     50   164      0     34430  0       11763
       208.91.112.194  81   223      D -8  42530  0        8129
       216.156.209.26 286   241     DI -8  55602  0       21555
       
       NOTE Es sollten zwischen 3 - 5 Server zur Verfügung stehen für den FortiGuard Service der aus der Cloud von Fortinet 
            zur Verfügung steht! Die Server werden mit vers. Flags gekennzeichnet. Diese bedeute folgendes:
            
            Datei:Fortinet-458.jpg

Ebenso kann der FortiGuard Status abgefragt werden:

       # get system fortiguard-service status

Welcher Port wird durch den FortiGuard Service benutzt und wie kann ich diesen wechseln?

Der FortiGuard Service/Port läuft per Standard auf Port TCP 53 (DNS Port). Dies ist nicht in jedem Fall empfehlenswert dh. muss der FortiGuard Request zuerst durch eine "vorgelagerte" Firewall, IPS System ", wird/kann dieser Request durch die "vorgelagerte" Firewall, IPS System geblockt werden. Der Grund dafür liegt darin das Port 53 (DNS) ein "Priviligierter Port" ( [Service Name and Transport Protocol Port Number Registry] ) darstellt dh. wird für DNS benutzt. Der FortiGuard Service über Port TCP 53 wird auf dieser "vorgelagerter" Firewall und/oder IPS System als "Malformed DNS" Anfrage erkannt und geblockt da die Header nicht einer DNS Anfrage entspricht. Als Alternative steht der Port 8888 zur Verfügung. Möchte man diese Alternative (empfohlen) nützen so benütze folgendes Kommando:

       # config system fortiguard
       # set port [Wähle Port 53 oder 8888]
       # end
       
       NOTE Ab FortiOS 5.2 kann zusätzlich zu Port 53 sowie Port 8888 der Port 80 konfiguriert werden!

Der Port kann ebenfalls über das Mgmt. WebInterface gewechselt werden:

       System > Config > FortiGuard > Web Filtering and Email Filtering Options

Signaturen Update, DNS Resolution funktonieren nicht auf einer 100D; Was ist zu tun?

Verschiedene FortiGate Modell wie zB FG-100D ist mit einem dezidierten Mgmt. Interface ausgerüstet. Wie bei anderen Fortigate's ist auf diesem dezidierten Mgmt. Interface die Default IP 192.168.1.99 konfiguriert! Ueber das Mgmt. Interface laufen zB DNS Resolution, Signaturen Updates etc. Aus diesem Grund muss das Mgmt. Interface über Internet Access verfügen damit dieses übers Internet die nötigen Informationen runterladen/erhalten kann (FortiGuard/FortiCare, DNS usw.). Bei einer 100D ist das Mgmt. Interface nicht in der VDOM "root" sondern in einer seperaten VDOM (dmgmt-vdom). Wird diesem Umstand nicht Rechnung getragen verfügt dieses Interface reps. VDOM (dmgmt-vdom) nicht über Internet Access. Der Umstand, dass dieses Mgmt. Interface in der VDOM (dmgmt-vdom) ist wird über das Mgmt. Gui nicht abgebildet. Möchte man das Interface in die VDOM "root" verschieben indem sich das WAN Interface befindet (Internet Access) so führe folgendes auf der Kommandozeile durch:

       # config system global
       # set management-vdom root
       # end

Möchte man auf einer 100D ein Interface für ausschliesslich Mgmt. Zwecke konfigurieren so kann folgendes über Kommandozeile konfiguriert werden:

       # config system dedicated-mgmt
       # set status [enable | disable]
       # set default-gateway [IPv4 Adresse]
       # set dhcp-server [enable | disable]
       # set interface [Name des Interfaces zB "port1"]
       # end

Wenn zusätzlich zu dieser Konfigurationspunkt eine IP und/oder ein IP Range konfiguriert werden möchte die den Zugriff auf das Management Interface einschränkt kann folgendes auf dem entsprechenden Interface konfiguriert werden:

       # config system interface
       # edit [Name des Interfaces zB "port1"]
       # set trust-ip-1 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
       # set trust-ip-2 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
       # set trust-ip-3 [IPv4 Adresse plus Subnet zB 0.0.0.0/24]
       # end

Welche einzelnen FortiGuard Services unterstützen welche Funktion/Service?

FortiGuard Services sind grundsätzliche für kleinere Devices als FG-100D nur als Bundle zu beziehen dh. dieses Bundle beinhaltet "alle" Services gemäss unteren Tabelle. Einzelne Services zu beziehen aus dem "Bundle" ist nur möglich für Devices FG-100 und grösser. Im Februar 2016 hat Fortinet betreffend "UTM Bundle" den Service erweitert dh. neu steht allen Devices ebenfalls das FortiGuard "Mobile Security" sowie das FortiGuard "Enterprise Bundle" das wiederum das FortiGuard "Mobile Security" und "Cloud Sandbox" binhalte zur Verfügung. Desweiteren ist zu berücksichtigen, dass unter FortiOS 5.6 (GA Release Date umbekannt) die Funktionen "Botnet" sowie "IP-Reputation" nicht mehr im FortiCare beinhaltet ist, sondern im seperaten FortiGuard "AV Service", FortiGuard "UTM Bundle" oder FortiGuard "Enterprise Bundle". Somit gilt betreffend dieser Aenderung für neue und bestehende FortiCare/FortiGuard im Zusammenhang mit "Botnet" sowie "IP-Reputation" Folgendes:

       • Für Alle die FortiCare für 5.0, 5.2 sowie 5.4 Erneuern - sei es für 1 oder mehrere Jahre - ist "Botnet" sowie 
         "IP-Reputation" im FortiCare weiterhin enthalten bis diese erwähnten Versionen für FortiCare EOL sind!
       • Für Alle die einen Vertrage unter 5.6 GA Release Erwerben und die Funktion "Botnet" sowie "IP-Reputation" im 
         FortiGuard zur Verfügung haben möchten, müssen für diese Funktionen seperat "AV Service", "UTM Bundle" oder das 
         "Enterprise  Bundle" beziehen resp. lizensieren da diese Funktionen unter 5.6 GA Release nicht mehr im FortiCare
         enthalten sind!

Nachfolgende Uebesicht zeigt das FortiGuard UTM Bundle, FortiGuard Enterprise Bundle sowie die einzelnen FortiGuard Services sowie FortiCare inkl. der neuen Situation betreffend "Botnet" sowie "IP-Reputation" (Für 5.6 GA Release):

       Fortinet-2037.jpg

Ebenfalls zeigt nachfolgendes Dokument eine Detail Uebersicht der Services:

       Datei:FortiGate Licensing Matrix.pdf

Grundsätzlich ist Folgendes zu berücksichtigen: Wenn einzelne Funktionen aus FortiGuard (Bundle) bezogen werden, können diese ca. 1/3 des "Bundle" Preises ausmachen dh. wenn je nach Funktion zwei Funktionen bezogen werden, ist zu überlegen dennoch das "Bundle" zu beziehen da ansonsten 2 Funktionen nicht mehr in Relation stehen betreffend Preis zum "Bundle". Desweiteren betreffend "Antispam" ist folgendes zu berücksichtigen: Diese Funktionalität ist "seperate" nicht erhältlich dh. auch nicht über CoTerm dh. Ist der Kunde angewiesen auf die "Antispam" Funktionalität auf einer FortiGate muss das "Bundle" bezogen werden damit diese Funktionalität erhältlich ist im Service von FortiGuard. Nachfolgend die offiziellen Kunden Brochure von Fortinet betreffend FortiGuard/FortiCare:

       Datei:One-Bundle-To-Protect-Your-Enterprise.pdf
       Datei:Fortinet-Enterprise-Bundle-FortiGuard-Brochure.pdf

Wo finde ich Informationen betreffend aktueller Datenbank für Virendefinition, IPS, WebFilter usw. für FortiGuard?

Auf der Web Seite von FortiGuard sind diese Informationen vorhanden. Nachfolgend einige wichtige Links betreffend diesen Informationen:

       FortiGuard Service Update http://www.fortiguard.com/updates/
       
       Antivirus Service          http://www.fortiguard.com/updates/antivirus.html
       Intrusion Protection       http://www.fortiguard.com/updates/ips.html
       Application Control        http://www.fortiguard.com/updates/applications.html
       Web Filtering              http://www.fortiguard.com/updates/webfiltering.html
       Antispam                   http://www.fortiguard.com/updates/antispam.html
       Vulnerability Management   http://www.fortiguard.com/updates/vcm.html
       Database Security          http://www.fortiguard.com/updates/db.html
       Web Security               http://www.fortiguard.com/updates/web.html

Muss ich für die "Lifetime Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?

Weitere Informationen betreffend dieser Frage siehe folgender Artikel:

       FortiAP:FAQ#Muss_ich_f.C3.BCr_die_.22Lifetime_Warranty.22_eines_Forti_Access_Point_ein_FortiCare_.28Maitenance.29_beziehen.3F

Betreffend Fortinet Produkten was ist unter "Fortinet Warranty Support" zu verstehen?

Die "Fortinet Warranty" ist nicht zu verwechseln mit der "Lieftime Warranty" dh. die "Fortinet Warranty" beschreibt für ein Fortinet Produkte die für ein Produkt mitgelieferte "Warranty" die von Fortinet gewährt wird nach der Registrierung des Produktes. Konkret bedeutet dies Folgendes: Wird ein Fortinet Produkte Device registriert, gewährt Fortinet eine "Warranty" von 60 Tagen. Weitere Details siehe nachfolgendes Dokument:

       Datei:Warranty-Support Start Policy-D3.pdf

Betreffend Fortinet Produkten wann beginnt der "Fortinet Warranty Support" an zu laufen (neu ab 1. Oktober 2015)?

Ausgehend von nachfolgenden Artikel gewährt Fortinet auf allen Produkten eine 60 Tägige Warranty. Weitere Informationen dazu siehe nachfolgenden Artikel:

       Fortinet:FortiCare-FortiGuard#Betreffend_Fortinet_Produkten_was_ist_unter_.22Fortinet_Warranty_Support.22_zu_verstehen.3F

Dabei stellt sich die Frage "wann" dieser "Warranty Support" beginnt! Ab 1. Oktober 2015 gilt folgendes:

       Fortinet-1413.jpg

Dies bedeutet konkret nichts anderes als Folgendes:

       - Ab "Manueller" Registrierung eines Fortinet Devices wobei dies spätestens bis 100 Tagen nach "Shipping" des Fortinet
         Devices von Fortinet zu erfolgen hat!
       
       - "Automatische" Registrierung ab dem Zeipunkt in dem der Fortinet Device "Online" Updates durchführt wobei dies spätestens
         bis 100 Tagen nach "Shipping" des Fortinet Devices von Fortinet zu erfolgen hat!
       
       - "Automatische" Registrierung nach 100 Tagen des "Shipping" des Fortinet Devices!

Diese Neurung die ab ersten Oktober 2015 gilt ist/wurde von Fortinet im folgenden Dokument announced:

       Datei:Warranty-Support Start Policy EMEA.APAC.pdf
       Datei:FAQ-Warranty-Support Start Policy EMEA.APAC.pdf

Werden in einem Trade-Up die bestehenden Services (Subscription FortiGuard/FortiCare) des alten Gerätes auf das Neue übernommen?

Wenn ein Trade-Up durchgeführt wird zB von einer Fortigate 100A auf eine 100D und auf der 100A noch bestehende Services existieren dh. zB FortiCare und/oder FortiGuard werden diese Services 1:1 übernommen sofern das Trade-Up in der gleichen Linie stattfindet! Dies gilt jedoch nicht generell dh. folgendes Dokument gibt genauen Aufschluss darüber ob die Service's für ein Device/Gerät übernommen werden:

       Fortinet:Promotionen#Trade-Up

Wenn ich "nur" DDNS (Dynamic DNS), GeoIP, NTP und DNS Service von FortiGuard benutze was muss ich im Minimum lizensieren?

Bei kleineren Geräten dh. "kleiner FG-100D" können die einzelnen FortiGuard UTM Features wie Antivirus, WebFilter usw. nicht einzeln lizensiert werden sondern nur als Ganzes. Dies bedeutet: entweder als Ganzes in Form einer seperaten Bundle Lizenz die zum Gerät lizensiert wird oder beim Kauf eines neuen Gerätes inklusiv Bundle. Bei grösseren Geräten können die einzelnen UTM Features je nach Verwendung einzel Lizensiert werden. In diesem Zusammenhang stellt sich die Frage "Was" minimum lizensiert werden muss, wenn Grundfunktionen von FortiGuard benutzt werden möchten wie DDNS, SMS Messaging, GeoIP, NTP usw. Für folgende Grundfunktionen muss minimum FortiCare 8 X 5 Lizensiert werden:

       • Real time GeoIP updates
       • SMS messaging service
       • NTP & DNS Service
       • DDNS Service
       • USB Modem DB updates
       • Device/OS Visibility signature updates
       

Verwirrend dabei ist das diese Services in den Dokumenten in Zusammenhang gebracht werden mit "FortiGuard" Service. Dies bedeutet diese Funktionen werden als Bestandteil eines "FortiGuard" Service's aufgelistet und somit würde man davon ausgehen, speziell bei kleineren Geräten FG-100D, dass diese Funktionen nur zur Verfügung stehen wenn FortiGuard Lizensiert wird. Dies ist nach näheren Abklärungen mit Fortinet nicht der Fall dh. wie oben beschrieben wird minimum ein FortiGare 8 X 5 benötigt! Desweiteren gibt nachfolgender Artikel Auskunft welche Funktion in welcher Lizenz dh. FortiGuard/FortiCare oder Bundle enthalten ist:

       Fortinet:FortiCare-FortiGuard#Welche_einzelnen_FortiGuard_Services_unterst.C3.BCtzen_welche_Funktion.2FService.3F

Wie kann ich FortiGuard Traffic über einen Proxy konfigurieren und was ist dabei zu beachten?

Grundsätzlich ist es möglich den FortiGuard Traffic dh. Update Traffic sowie On-Demand Traffic (WebFilter) über einen existieren Proxy Server abzuwickeln. Dies ist jedoch zu überlegen da für diese Konfiguration resp. Eine Proxifizierung des FortiGuard Traffic's ist nur Unterstützt für folgende Funktionen:

       Device Registration, Antivirus Updates sowie IPS Updates

On-Demand Traffic dh. für WebFilter und Antispam Filter wird nicht unterstützt dh. dieser Traffic muss wie per Standard definiert über Port 53, 8888 oder neu unter FortiOS 5.2 Port 80 abgewickelt werden. Eine Alternative zur Proxifizierung des FortiGuard Traffic's bietet der FortiManager der anstelle von FortiGuard für sämtliche Funktionen benutzt werden kann. Diese Konfiguration wird über den FNDN (Fortinet Distribution Network) Service eines FortiManagers konfiguriert. Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiManager:FAQ#FNDN_.28Fortinet_Distribution_Network.29

Desweiteren wenn man dennoch eine Proxifizierung des FortiGuard Services auf einer FortiGate konfiguriert muss folgendes berücksichtigt werden betreffend benutzten Proxy Server:

       • Die FortiGate resp. die FortiGuard Anfrage die zu einem Proxy Server durchgeführt wird benutzt ausschliesslich die
         "HTTP CONNECT" Methode (RFC 2616)
       
       • Die "HTTP CONNECT" Methode wird benutzt um den "SSL Traffic" für den FortiGuard Service für die FortiGate durch den 
         Proxy durch zu "tunneln". Aus diesem Grund verhindern einige Proxy Server diese vorgehensweise um zu verhindern das
         unerlaubter Traffic das Environment verlässt (SSL VPN). Speziell verhindern einige Proxy Server Verbindungen zu 
         verschiedenen Ports (well known ports) wenn ein HTTPS Anfrage ausgeführt wird da per Standard 443 benützt wird. Aus
         diesem Grund muss für den FortiGuard Service die durch die FortiGate auf dem Proxy Server ausgeführt wird einige Ports
         erlaubt werden da zB für "autoupdates" der Port 8890 benutzt wird was nicht dem Standard für HTTPS entspricht.

Nichts desto trotz wenn dennoch eine Proxyfizierung konfiguriert werden soll muss folgendes ausgeführt werden:

       # config system autoupdate tunneling
       # set address [IPv4 Proxy Adresse]
       # set username [Proxy Username]
       # set password [Proxy Password]
       # set port [Proxy Port für die Verbindung zB 8080]
       # set status [enable | disable]
       # end
       
       NOTE Die Benützung eines Usernames und Passwort ist Optional!

Wenn die Konfiguration durchgeführt wurde sollte diese getestet werden dh. folgendes kann ausgeführt werden:

       Setze den Debug Filter zurück:
       
       # diagnose debug reset
       
       Deaktiviere den Debug Modus:
       
       # diagnose debug disable
       
       Setze den Debug Filter für "update":
       
       # diagnose debug application update [Debug Level zB 1]
       # diagnose debug enable
       
       NOTE Debug Level sind:
       
             1: Fehlermeldungen
             2: Major-Events
             4: Alles
       
       Führe ein Manuelles Update aus (force)
       
       # execute update-now

Nicht vergessen den Debug wieder nach Gebrauch abzuschalten mit:

       Deaktiviere den Debug Modus:
       
       # diagnose debug disable
       
       Setze den Debug Filter zurück:
       
       # diagnose debug reset

Gibt es für FortiCare einen "preffered" support und was ist darunter zu verstehen?

Fortinet bietet seinen Enterprise Kunden einen "preffered" Support an. Dieser wird auch "advanced technical support services for enterprise" genannt. Er richtet sich Hauptsächlich an Endkunden im Enterprise Bereich um SLA's (Downtime) zu minimieren. In diesem "preffered" Support ist im Groben folgendes enthalten:

       - Dem Kunden werden dezidierte Engineers für technischen Support zugewiesen sowie Stellvertretungen.
       - Ein Ticket eines Endkunden mit "preffered" Support wird direkt den dezidierten Resourcen zugewiesen.
       - Auf den Kunden mit "preffered" Support wird ein Plan erstellt mit "escalation path" der aufzeigt wie
         ein "case" zu behandeln ist mit Enduser Kontakten für Eskalationen/Informationen sowie "Remote Access"
         Informationen für die dezidierten Resourcen innerhalb von Fortinet.

Somit liegt der Vorteil eines "preffered" Support, dass der Endkunden betreffend einem Ticket mit den immer gleichen dezidierten Resourcen arbeiten kann und diese über das Environment eines Endkunden den Ueberblick haben um den Endkunden bei Lösungen zu unterstützen. Das nachfolgenden Dokument beschreibt diesen "preffered" Support im Detail:

       Datei:SD-FortiCare-PreferredSupport.pdf


FortiCare 8x5 Transition FAQ

Warum stellt Fortinet den 8x5 Support ein?

Das Geschäft schläft nie und auch das Bedürfnis nach Sicherheit nicht. Fortinet entwickelt die Angebote für den technischem Support weiter, um sich besser auf die betrieblichen Anforderungen der Kunden abzustimmen.

Wann wird der 8x5 Bundle Support aus der externen Preisliste entfernt?

Der Ausstieg aus den 8x5-Supportstufen beginnt ab dem 6. Mai 2019 (Datum des Inkrafttretens der Preisliste Q2 2019) und endet im ersten Halbjahr 2020. Entfernungen werden vierteljährlich gemeldet, wobei eine Benachrichtigung zum Auftragsende in der Preisliste aufgeführt ist.

Bleibt das 8x5 FortiCare nur auf der externen Preisliste?

Ab dem 6. Mai 2019 (dem Inkrafttreten der Preisliste Q2 Y19) werden die FortiGate 8x5 Enterprise Bundles aus der Preisliste entfernt. Alle anderen 8x5 Support Level SKUs werden in der Preisliste Q2 Y19 verfügbar sein.

Wird Fortinet in der Lage sein, 8x5 Support für alle Kunden anzubieten, die bereits 8x5 Support haben?

Ja, es können Verlängerung auf der Grundlage der verfügbaren Service Levels durchgeführt werden. Fortinet will die Kunden ermutigen, die Verlängerung auf FortiCare 7x24 durchzuführen. Fortinet wird in den kommenden Quartalen schrittweise zusätzliche Einschränkungen bei der Verlängerung vornehmen, welche die Streichung aus der öffentlichen Preisliste widerspiegeln, bis alle Kunden seit dem ersten Halbjahr 2007 auf 24x7 FortiCare übertragen wurden.

Wann wird der 8x5-Support vollständig aus der Fortinet-Preisliste entfernt?

Der 8x5 Support wird bis Ende erste Hälfte 2020 vollständig aus der Fortinet Preisliste entfernt.

Kann der Partner nach dem ersten Quartal 2019 noch 8x5 Support über das Partnerportal anbieten?

Ja, Partner können weiterhin alle Verlängerungen des 8x5-Supports über das Partnerportal anbieten, mit Ausnahme des 8x5 Enterprise Bundle. In der Fortinet Q2 Preisliste (ab dem 6. Mai) wird das FortiGate 8x5 Enterprise Bundle aus der öffentlichen Preisliste entfernt. Zusätzliche Dienstleistungen werden in den kommenden Quartalen eingestellt, da SKUs aus der Preisliste entfernt werden.

Werden die 8x5 Verlängerungsangebote, die im ersten Quartal 2019 erstellt wurden und erst nach Beginn des zweiten Quartals 2019 auslaufen, weiterhin gültig sein?

Ja, Fortinet wird diese Angebote akzeptieren bis sie ablaufen.

Gibt es Einschränkungen in der Anzahl der Jahre für das Langzeitangebot, die Fortinet für die verfügbaren 8x5 Bundle-Support anbieten kann?

Nein, es gibt derzeit keine Einschränkungen für 8x5-Bundles. Ausnahme sind die EOS-Daten auf der Devices.

Haftungsausschluss: Diese FAQ kann gemäss den aktuellen Preislistenpolicies von Fortinet geändert werden.