FortiGate:MSS-ALSO
Fortinet:MSS-ALSO
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
Um was handelt es sich beim MSS-ALSO Dienst?
In der heutigen Zeit sind Logdaten unabdinglich dh. sei es Sicherheitsgründen, Troubleshooting oder aus Analysezwecken. Im FortiGate Bereich benützen kleinere Devices (Kleiner FG-100D) in den meisten Fällen einen Flash Storage. Diese Flash Storage sind nicht geeignet um Log Dateien zu schreiben und deshalb hat Fortinet ab FortiOS 5.2 die Möglichkeit des Loggen auf diesen FortiGate Devices entfernt. Somit kann auf diesen FortiGate Devices nur in Memory geloggt werden oder Remote. Wird im Memory Geloggt, werden 10% des Memory benutzt für das Logging was wiederum Folgendes bedeutet: Bei einem Full-Logging auf einer zB FG-60D fallen ca. pro Tag 35 - 55 MB an. Da 10% für das Logging zur Verfügung stehen bedeutet dies eine History von ca. 4 - 5 Tage. Danach wird die vorhandene History gelöscht und steht somit nicht mehr zur Verfügung. Unter FortiOS 5.4 wurde dieser Umstand in dem Sinne entschärft, dass spezifischen FortiGate "E" Devices ein SSD Disk zur Verfügung steht für das Logging wie zB FG-61E. Somit kann zwar auf diesen Devices ein Logging auf Disk aktiviert werden jedoch ein Reporting steht nicht zur Verfügung (Ausnahme FortiGate 80/90 Serie). Durch den "MSS-ALSO" Service wird somit Ermöglicht die Logdaten von kleineren FortiGate Devices auf einem FortiAnalyzer in "realtime" zu speichern und über die üblichen Funktionen im FortiAnalyzer zu Analysieren. Die benutze Bandbreite zB bei einer FG-60D von ca. 35 - 55 MB Pro Tag ist unerheblich und Belastet weder den eingebundenen FortiGate Device noch die Bandbreite der benützten ISP Linie. Ebenso spielt ein Ausfall der ISP Linie keine Rolle da in so einem Fall die Logs auf dem FortiGate Device zwischengespeichert werden und nachträlich dem FortiAnalzer übermittelt werden sobald dieser wieder erreichbar ist. Auch dynamische public IPv4 Adressen die auf den FortiGate Devices für zB PPPoE benützt werden stellen kein Problem dar. Für den "MSS-ALSO" Logging Service wird kein Username und Passwort für den FortiGate Device benötigt noch wird eine Verbindung vom FortiAnalyzer zum FortiGate Device aufgebaut. Für den Logging Dienst "MSS-ALSO" steht dem Kunden ein vollständige separate ADOM (Administrative Domain) zur Verfügung ohne Restriktionen dh. es können eigenen Reports erstellt werden, automatische Zustellung von Reports usw. Zusätzlich zum "MSS-ALSO" Logging Dienst kann der "MSS-ALSO" Backup Dienst abonniert werden. Dies bedeutet: Automatisierte Backups für FortiGate Devices sind zwar manuell möglich jedoch steht diese Funktion nicht als Backup auf einem FortiOS 5.0/5.2 zur Verfügung. Im "MSS-ALSO" Backup Dienst wird anhand eines zusätzlichen Administrators der FortiGate Device auf einer ADOM im Backup Modus eingebunden. Durch diese Konfiguration wird jede Veränderung auf dem FortiGate Device in "realtime" zum FortiManager gesendet und als Revision abgespeichert. Somit kann im Fall eines Ausfalles diese Information wiederverwendet werden um den FortiGate Device Wiederherzustellen oder im Fall einer Fehlkonfiguration über die Revision ein Roll-Back zu initieren. Dabei wird im Gegensatz zu einer auf dem FortiGate Device zur Verfügung stehender Revision nicht nur diese im Gesamten angezeigt sondern die Unterschiede zB was verändert wurde.
Kann man den MSS-ALSO Dienst testen?
Dieser "MSS-ALSO" Dienst kann natürlich getestet werden! Dazu schreiben Sie ein Mail an folgende Adresse und mit dem folgendem Betreff:
fortinet-ch@also.com Betreff: MSS-ALSO Evaluation Anfrage
Geben Sie im Email Ihre vollständigen Kontaktdaten an. Danach werden wir Sie umgehend kontaktieren!
Welche Voraussetzungen gelten für den MSS-ALSO Dienst?
Für FortiGate Devices die im Zusammenhang mit dem MSS-ALSO Dienst eingebunden werden gelten folgende Voraussetzungen:
- FortiGate Device mit FortiOS 5.2 oder 5.4. Alle anderen Versionen sind nicht supportet. - FortiGate Modell muss kleiner als eine FortiGate 100D sein. - Auf dem FortiGate Modell muss ein gültiges FortiCare (mind 8x5) aktiv sein.
FortiOS 5.2 License Information -> Support Contract -> Registration
FortiOS 5.4 License Information -> Support Contract -> Registration
Wie melde ich mich für den MSS-ALSO Dienst an?
Eine Anmeldung zum MSS-ALSO Dienst benötigt zwei Schritte dh.:
• Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts • Registrierung des entsprechenden FortiGate Devices
Für jeden Fortinet Registrierten Reseller muss zu Beginn ein entsprechender Account eröffnet werden. Dieser wird anhand der ALSO Kunden Nummer eröffnet. Für diesen Account wird folgendes unter dem MSS-ALSO Dienst zur Verfügung gestellt:
• Zugang SSL-VPN MSS-ALSO anhand Two-Factor Authentication für einen User • Erstellung zweier separierten ADOM mit Zugang für FortiOS 5.2 und FortiOS 5.4
Dieser Schritt dh. zur Anmeldung der "Allgemeinen Eröffnung eines Fortinet Registrierten Reseller Accounts" muss somit nur ein Mal durchgeführt werden da jeder Fortinet Registrierte Reseller ein ADOM für FortiOS 5.2 sowie 1 ADOM FortiOS 5.4 zur Verfügung gestellt wird! Für diese einmalige Anmeldung der "Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts" durchzuführen, muss folgendes Formular vollständig ausgefüllt an "fortinet-ch@also.com" gesendet werden:
Datei:KDE-001-Anmeldung-MSS.pdf
Diese Anmeldung zur "Allgemeine Eröffnung eines Fortinet Registrierten Reseller Accounts" wird innerhalb zwei Arbeitstage ausgeführt und bestätigt. Nachdem die Anmeldung bestätigt wurde, können FortiGate Devices zum entsprechenden Account hinzugefügt werden. Weitere Informationen im nachfolgender Artikel:
FortiGate:MSS-ALSO#Wie_Registriere_ich_ein_FortiGate_Device_zum_MSS-ALSO_Dienst.3F
Wie Registriere ich ein FortiGate Device beim MSS-ALSO Dienst?
Voraussetzung damit ein FortiGate Device zum MSS-ALSO Dienst hinzugefügt werden kann, ist ein vorhandener "Fortinet Registrierten Reseller Accounts". Weitere Informationen wie dieser zu Eröffnen ist siehe folgendem Artikel:
FortiGate:MSS-ALSO#Wie_melde_ich_mich_f.C3.BCr_den_MSS-ALSO_Dienst_an.3F
Wenn somit ein entsprechender "Fortinet Registrierten Reseller Accounts" besteht, muss nachfolgende Formular vollständig ausgefüllt an "fortinet-ch@also.com" gesendet werden:
Datei:DDE-001-DeviceErfassen-MSS.pdf
Dieses Formular enthält Grundsätzlich folgende Informationen:
- ALSO Kundennummer - ALSO Kundenname - Serie Nummer der FortiGate - FortiOS 5.2 oder 5.4 - Seriennummer FortiCare Laufzeit (End-Datum angeben) - Option Backup ja/nein
Die FortiCare Laufzeit resp. End-Datum ist über das License Information Widget auf der FortiGate ersichtlich. Wenn für den MSS-ALSO Dienst die Option Backup gewählt wird, muss berücksichtigt werden das ein entsprechender Administrator auf dem FortiGate Device erstellt werden muss damit diese Backup Funktion genutzt werden kann. Die Informationen des Usernamen und Passwortes wird vom MSS-ALSO Dienst zur Verfügung gestellt und sind Zwingend. Dies bedeutet: Dieser Administrator wird anhand eines "trustedhosts" erstellt und somit kann dieser Administrator nur von diesem "trustedhost" benutzt werden.
Wie Lösche ich ein FortiGate Device aus dem MSS-ALSO Dienst?
Um eine FortiGate aus dem Dienst zu löschen sind folgende Informationen zwingend:
- ALSO Kundennummer - Serienummer der FortiGate - Option Backup auch löschen ja/nein
Folgendes Dokument ausgefüllt an die Email-Adresse senden, welche im Dokument erwähnt wird:
Datei:DDL-001-DeviceLoeschen-MSS.pdf
Was muss ich auf einem FortiGate Device für den Logging MSS-ALSO Dienst konfigurieren?
Damit der MSS-ALSO Dienst von ALSO genutzt werden kann muss auf der FortiGate ein Konfigurationssetting eingelesen werden. Diese einmalige Konfiguration ist in wenigen Minuten erledigt. Wenn nur der Log Dienst eingerichtet werden muss wird auf der FortiGate auch kein Admin User erstellt. Die Kommunikation erfogt von der FortiGate auf den FortiAnalyzer. Die FortiGate kommuniziert über den Port UDP-514 mit dem FortiAnalyzer. Die kommunikation findet verschlüsselt statt. Es wird ein IPSec Tunnel automatisch von der FortiGate auf den FortiAnalyzer etabliert. Es werden folgende Ports verwendet : UDP-500 und UDP-4500 und IP-50.
Bevor Sie die Templates in die Firewall kopieren bitte ein Backup der Konfiguration vornehmen:
Backup unter FortiOS 5.2 : FortiGate-5.0-5.2:FAQ#Wie_kann_ich_ein_manuelles_Backup_erstellen_auf_einer_FortiGate_von_der_aktuellen_Konfiguration.3F
Backup unter FortiOS 5.4 : FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_auf_einem_FortiGate_Device_ein_Backup.2FRestore_durchf.C3.BChren.3F
Nachdem das Backup erstellt wurde kann mit der Konfiguration des MSS-ALSO Dienstes auf der FortiGate begonnen werden. Die Konfiguration basiert auf einer FortiGate welche nicht mit verschiedenen ADOMS arbeitet.
Den FortiAnalyzer konfigurieren:
# config log fortianalyzer setting # set status enable # set ips-archive enable # set server 185.75.152.10
Die Kommunikation von der FortiGate zum FortiAnalyzer findet verschlüsselt statt:
# set enc-algorithm default # set conn-timeout 10 # set monitor-keepalive-period 5 # set monitor-failure-retry-period 5 # set upload-option realtime # set reliable enable # end
Parameter für den FortAnalyzer die Filter konfigurieren:
# config log fortianalyzer filter # set severity information # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # set dlp-archive enable # end
Diese Konfiguration kann auch im Vorfeld auf der FortiGate eingerichtet werden. Sobald der Dienst auf ALSO Seite auch konfigureirt ist, wird sich die FortiGate mit dem Analyzer verbinden und die Logs werden zum Analyzer gesendet.
Es kann auch dieses Template benutzt werden und über die Console den Text reinkopiert werden.
Datei:Alsomss-konftmp-fortigate-faz.txt Template um MSS-ALSO Logdienst auf der FortiGate einzurichten
Damit der Dienst optimal läuft empfiehlt es sich, folgendes Template auch auf die FortiGate einzulesen. Mit diesem Template wird das Log optimiert. Weitere Details zur Logoptimierung gibt es auch in dem Artikel : FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F
Datei:Fortimss-konftmp-logopt.txt Template um MSS-ALSO Logdienst auf der FortiGate zu optimieren
Was muss ich beachten, wenn ich meine FortiGate upgraden will?
Solange die FortiGate im selben GA Release Range upgegradet wird muss nur die Compatibility Matrix beachtet werden.
Datei:FortiOS-Compatibility-FAZ.pdf (FortiAnalyzer v5.4 Managed Compatibility Matrix) Datei:FortiOS-Compatibility-FMG.pdf (FortiManager v5.4 Managed Compatibility Matrix)
Momentan sind folgende Versionen auf dem MSS-ALSO Dienst am laufen :
- FortiManager : 5.4.2-build1151 - FortiAnalyzer : 5.4.2-build1151 - FortiAuthentikator : 4.0.0-build0090 - FortiGate : 5.4.3-build1111(GA)
Wenn ein Upgrade von 5.2 auf 5.4 vorgenommen werden soll, unbedingt die ALSO kontaktieren. Das Device wird von der ADOM 5.2 in die ADOM 5.4 verschoben. Falls dies nicht geschieht, werden die Logs nicht mehr korrekt angezeigt. Für diese Mutation eine Email an folgende Email Adresse : fortinet-ch@also.com mit folgendem Inhalt:
Betreff : FortiGate Device Upgrade 5.2 auf 5.4 Serienummer der FortiGate : FGT-xxxxxxx neue OS Version : 5.4.x Umstellung am : <DATUM>
Wie kann ich verhindern das ein Usernamen in den Log's angezeigt wird?
Es ist möglich "usernamen" in den Logs mit einem "anonymous" zu versehen dh. anstelle des Usernamens wird "anonymous" angezeigt. Dazu muss folgendes durchgeführt werden:
# config log setting # set user-anonymize enable # end
Zugriff MSS-ALSO Dienst
Wie verbinde ich mich mit dem MSS-ALSO Dienst anhand FortiClient (Tunnel Mode)?
Die Verbindung kann mit dem FortiClient erstellt werden. Wenn mit dem FortiClient verbunden wird, wird der Tunnelmodus initiert. Dabei kann mit einer kleinen Konfiguration im Client eine direkte Verbindung erstellt werden. Der FortiAnalyzer, FortiManager und FortiAuthentikator können über eine URL direkt im Browser aufgerufen werden. Den FortiClient kann hier bezogen werden:
FortiClient 5.2 VPN-Only für Windows: Datei:X64-ManualDistribution-5.2.zip FortiClient x64 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.2.6 FortiClient 5.4 VPN-Only für Windows: Datei:X86-ManualDistribution-5.4.zip FortiClient x86 Windows VPN Only (IPSec/SSL) Manuelle Installation (Online Updates Deaktiviert) 5.4.1
Konfigurationsbeispiel anhand der FortiClient Version 5.4.1:
Folgendermassen kann der FortiAnalyzer, FortiManager und FortiAuthentikator erreicht werden:
- also-mss-fortinet-fmg.mss-also.ch : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - also-mss-fortinet-faz.mss-also.ch : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - also-mss-fortinet-fac.mss-also.ch : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
Es ist auf der FortiGate ein split DNS konfiguriert, was es ermöglicht, dass der FortiAnalyzer, FortiManager und FortiAuthentikator über die Namen angesprochen werden kann. Dies kann auch überprüft werden, indem man die Console öffnet und die IP-Konfiguration überprüft. Der DNS Server hat die IP Adresse 10.43.1.1.
ipconfig /all PPP-Adapter fortissl: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : fortissl Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 10.240.0.1(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 10.43.1.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter Local Area Connection:
Wie verbinde ich mich mit dem MSS-ALSO Dienst über den Browser (Portal Mode)?
Auf das Portal kann über folgenden Link zugegriffen werden: https://mss.also.ch
Nach erfolgreicher Anmeldung kommt das Auswahlmenü:
Die ersten drei Positionen sind der direkte Link zu den Anmeldemasken. Sie können direkt von hier auf die entsprechenden Systeme zugreifen:
- mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - mss.also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
NOTE Es muss sich jeweils nocheinmal authentifiziert werden wen ein Link angewählt wird (Log und Backup ohne 2Factor Authentifizierung)
Leider gibt es momentan einen Impact beim Web Modus. Wenn der Linkt für den FortiManager oder FortiAnalyzer angeweählt wird, kommt nach der Eingabemaske nur ein grüner oder blauer Bildschirm. Mif folgendem Workaround kann denoch auf den FortiManager oder FortiAuthentikator zugegriffen werden. Damit diese Methode funktioniert muss der Internetexplorer Version 11 benutzt werden. Weiter muss Java installiert sein.
- tunnel.mss-also.ch-fortinet-fmg : Zugriff auf den FortiMangar in welchem die Backupfiles der eingebundenen FortiGates geladen werden können. - tunnel.mss-also.ch-fortinet-faz : Zugriff auf den FortiAnalyzer. Hier können die Logs, welche von den FortiGates gesendet werden, eingesehen werden. Es können Reports generiert werden. - tunnel.mss-also.ch-fortinet-fac : Zugriff auf den FortiAuthentikator. Hier kann das Passwort und Benutzerdaten editiert werden.
Wenn folgende Fehlermeldung erscheint, muss die Javakomponente upgegradet werden. Falls kein Java installiert ist, muss diese Installiert werden:
Falls kein Java installiert ist, muss diese Installiert werden. Java kann man unter folgendem Link herunterladen und installieren lassen: https://java.com/de/download/ NOTE: - Wenn ein 64bit Betriebssystem auf dem Client installiert ist, zuerst die 32Bit Version Installieren und erst dann die 64Bit Version. - Bei der Installation darauf achten, es wird eine Checkbox eingeblendet, welche eine Toolbar installieren will. Diese Checkbox deaktivieren!
Nachdem der Link angewählt wurde, die Sicherheitswarnung mit weiter bestättigen.
Es erscheint eine Tabelle mit den Tunnelinformationen.
Der Local Port gibt den Port an welcher bei der URL im Browser angegeben werden muss. (gelb markiert) Im Browser kann jetzt https://localhost:<LOCAL_PORT> in unserem Beispiel https://localhost:11443 eingegeben werden
Wenn alles funktioniert hat, erscheint die Loggingmaske des FortiAnalyzer, FortiManager oder FortiAuthentikator:
FAQ
Wie lange werden meine Logs gespeichert?
Die Logs werden auf dem FortiAnalyzer 60 Tage gespeichert. In diesen 60 Tagen können die Daten realtime im FortiAnalyzer angeschaut werden. Danach werden die Daten auf einem FTP-Server noch einmal sechs Monate gespeichert. Diese Daten können heruntergeladen werden. Nach diesen sechs Monaten werden die Daten definitiv gelöscht. Die Logdaten werden jeden Tag komprimiert an den FTP Server gesichert.
Was passiert mit meinen Log Daten, wenn der MSS-ALSO Dienst nicht erreichbar ist?
Falls der MSS-ALSO Dienst aus irgendwelchen Gründen nicht erreichbar ist, sind die Log Daten der FortiGate nicht verloren. Die FortiGate nutzt 10% des Memories um die Logdaten Lokal abzuspeichern. Dies ist ungefähr eine Kapazität von 4-5 Tagen. Sobald der MSS-ALSO Dienst wieder erreichbar wird, werden die Daten auf den FortiAnalyzer übertragen.
Kann ich weitere User beantragen?
Es können weitere User angelegt werden für den MSS-ALSO Dienst. Diese müssen über folgende Email Adresse angefordert werden: fortinet-ch@also.com. Bis zu drei User sind im Grundpaket inbegriffen und sind somit gratis. Wenn mehr als drei User benötigt werden, sind die weiteren User kostenpflichtig.
Folgende Angaben müssen im Email angegeben werden:
- ALSO Kundennummer - ALSO Kundenname - Vorname des Users - Nachname des Users - Mobile Nummer des Users (für 2Factor Authentifikation) - Email Adresse des Users
Können weitere ADOMS angelegt werden?
Es können weitere ADOMS angelegt werden. Diese sind aber Kostenpflichtig. Um weitere ADOMS anlegen zu lassen, über fortinet-ch@also.com eine Anfrage senden.
Wie sieht es mit der Wartung des MSS-ALSO Dienstes aus?
Jeweils am letzten Donnerstag im Monat werden Wartungen ausgeführt. In dieser Zeit kann es vorkommen, dass der MSS-ALSO Dienst vorübergehend nicht verfügbar ist. Der Zeitraum ist von 18:30Uhr bis ca. 24:00Uhr. Während dieser Zeit werden die Logdaten auf der FortiGate lokal gespeichert und wen der Dienst wieder erreichbar ist auf den FortiAnalyzer übermittelt:
FortiGate:MSS-ALSO#Was_passiert_mit_meinen_Log_Daten.2C_wenn_der_MSS-ALSO_Dienst_nicht_erreichbar_ist_.3F
Wartung: jeweils am letzten Donnerstag im Monat zwischen 18:30 Uhr bis 24:00 Uhr