Chris spielplatz

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

Spielplatz

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"


TINU

TEST CLI

Config cli.png CLI

Crass TEST

 
CLI Test

Piktogramme

Achtung.svg
Alert.svg
Info.svg
FortiOS 5x.svg
FortiOS 56.svg
FortiOS 6x.svg
FortiOS 60.svg
FortiOS 62.svg
FortiOS 64.svg
FortiOS 70.svg
FortiOS 56.svg
New.svg
New.png
Wichtig.svg
Achtung.svg

Reliable Logging

Wie aktiviere ich Reliable Logging?

Aktivierung von Reliable Logging führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert
- Bestätigung im Fall eines erfolgreichen Transfers
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man FortiAnalyzer als Option für Remote Logging im GUI, dann wird Reliable Logging automatisch aktiviert. Im CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:

Config cli.png Konfiguration über die CLI:
 # config log fortianalyzer setting 
      set reliable [enable/disable]

Wählt man Syslog als Option für Remote Logging, ist im CLI folgender Befehl nötig: CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:

Config cli.png Konfiguration über die CLI:
 # config log syslogd setting 
      set mode udp | reliable | legacy-reliable   
 
 (Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)

Wählt man FortiCloud als Option für Remote Logging, ist TCP bereits festgelegt.


Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln?

Bei aktiviertem Reliable Logging kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im CLI inklusive Konfiguration des enc-algorithm und Aktivierung des Reliable Logging:

Config cli.png Konfiguration über die CLI:
   # log fortianalyzer setting
         enc-algorithm [high-medium | high | low]
         set reliable enable 
   end


Authentifizierung

Troubleshooting

Im GUI findet man unter Firewall Policy nebst Namen, Source, Destination, Service etc. auch die Anzahl Bytes, welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

Config cli.png Konfiguration über die CLI:

Anzeigen der authentifizierten User und deren IP Addressen:

# diagnose firewall auth list

Bereinigen sämtlicher autorisierter User:

# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)

Troubleshooting bei aktiver Authentifizierung:

# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)

Testen des prehared key zwischen FortiGate und RADIUS server:

# diagnose test authserver radius-direct <ip> <port> <secret>

Testen der LDAP Authentifizierung für bestimmte User:

# diagnose test authserver ldap <server_name> <username> <password>


Zertifikate

Was ist der Unterschied zwischen SSL Certificate Inspection und Full SSL Inspection?

Datenaustausch im Internet:

Sicherheit beim Datenaustausch im Internet wird u.a. durch das kryptographische Protokoll TLS (Transport Layer Security) bzw. SSL (Secure Sockets Layer) gewährleistet. Dabei müssen sowohl Client wie auch Server TLS/SSL verwenden, und gegenseitig den Gebrauch zusammen mit weiteren Parametern (z.B. SSL Version) mittels SSL Handshake bestätigen, um Sicherheit beim Datenaustausch zu gewährleisten.

Der Client verwendet sämtliche Server-Informationen um den Server per se zu authentifizieren -> Beispiel: Web-Browser verbindet sich mit Web-Server, dabei überprüft Web-Browser, ob Subject Name vom Zertifikat (erhalten vom Web-Server) mit dem Namen des Web-Servers übereinstimmt. Ausserdem wird überprüft, ob der Herausgeber des Zertifikats glaubwürdig ist, und ob das Zertifikat abgelaufen und/oder widerrufen worden ist. Falls das Server-Zertifikat von den erwähnten Kriterien abweicht, erhält der Client/User eine entsprechende Warnung/Fehlermeldung.

Umgekehrt (jedoch optional) kann auch der Server eine Authentifizierung des Clients verlangen. Sowohl Client wie auch Server generieren bzw. verwenden Session Keys um Datenaustausch während einer TLS/SSL Session zu ver- und entschlüsseln.


SSL Certificate Inspection:

Bei SSL Certificate Inspection betrachtet FortiGate nur den Teil des Zertifikats, welcher den CN (Common Name) des Zertifikats bzw. die URL enthält. Somit kann FortiGate die entsprechende URL in der eigenen, Kategorie-basierten Datenbank überprüfen/abgleichen. Kurz gesagt, fokussiert sich SSL Certificate Inspection nur auf den "Kopf" der Datenpakete, und verringert somit das Auftreten von Certificate Errors. Diese treten bei SSL Certificate Inspection nur dann auf, wenn FortiGate Replacement Messages via HTTPS sendet. Um dies zu verhindern, muss auf dem Client/Endpoint ein entsprechendes Zertifikat installiert werden -> siehe Details im nächsten Unterkapitel Full SSL Inspection.

Folglich eignet sich SSL Certificate Inspection beispielsweise in Policies, welche nur WebFilter verwenden, um lediglich den Web-Server zu identifizieren. Somit wird verhindert, dass HTTPS-Protokolle als "Workaround" missbraucht werden, um auf Websites zu gelangen, die durch den WebFilter geblockt werden.


Full SSL Inspection:

Hauptzweck der Full SSL Inspection ist u.a. die Überprüfung heruntergeladener Datenpakete, um mögliche Angriffe, Viren und Applikationen aufzudecken, die sich oft in verschlüsselten HTTPS Sessions verstecken.

Im Gegensatz zur SSL Certificate Inspection, wird der oben-erwähnte SSL Handshake (i.e. gegenseitige Bestätigungen) durch FortiGate unterbrochen. Aus Sicht des Clients agiert FortiGate als Server, und umgekehrt nimmt FortiGate die Rolle des Clients aus Sicht des Servers an. Falls der Client eine URL abruft, dann muss FortiGate diesem ein entsprechendes Zertifikat zur Verfügung stellen. Es handelt sich dabei um ein Fortinet-internes Zertifikat, welches nicht von einer CA (Certificate Authority) ausgestellt wurde, und folglich Certificate Errors generiert. Um dies zu verhindern, muss dieses Zertifikat (i.e. SSL_Proxy_Inspection) auf dem Client/Endpoint bzw. dessen Betriebssystem, Browser etc. installiert werden.

Bei Full SSL Inspection ist Datenaustausch zwischen Client und FortiGate, sowie zwischen Server und FortiGate, verschlüsselt. Während der Untersuchung entschlüsselt FortiGate die Datenpakete um Bedrohungen zu erkennen/blockieren, und verschlüsselt diese anschliessend wieder mittels dem oben-erwähnten, Fortinet-internen Zertifikat, welches beispielsweise dem Client präsentiert wird.


Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen?

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FortiGate Zertifikate als PKCS#12-File sichern, welches folgendes beinhaltet:

- Private Key
- Public Key
- Zertifikat per se

Das PKCS#12-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist nur über CLI möglich (ausserdem wird ein TFTP-Server vorausgesetzt).

Config cli.png Konfiguration über die CLI:
 # execute vpn certificate local import tftp <file-name_str> <tftp_ip>
 # execute vpn certificate local export tftp <file-name_str> <tftp_ip>


Wie konfiguriere ich Zertifikate (VDOM und global)?

FortiGate erlaubt es, dass ein CA sowie ein lokales Zertifikat für eine VDOM oder global konfigurierbar sind.

- Wenn ein Zertifikat auf einer VDOM hochgeladen wird, kann dieses Zertifikat nur auf der gleichen VDOM aufgerufen werden
- Wenn ein Zertifikat global hochgeladen wird, kann es auf allen VDOMS sowie global aufgerufen werden

Die Konfiguration der Zertifikate (VDOM und global) ermöglicht es, die Zertifikate herunterzuladen, zu importieren, und zu löschen.

Ausserdem sind bei der Konfiguration sämtliche Details zu den Zertifikaten sichtbar. Einige Zertifikate haben eine bestimmte Länge im Namen, sowie bestimmte Algorithmen in der Signatur. Beispiel: Fortinet_SSL_ECDSA256 -> das Suffix ECDSA256 steht für Elliptic Curve Digital Signature Algorithm 256.

Config cli.png Konfiguration über die CLI:
   # config certificate local
     edit Fortinet_Factory
     set range <global/vdom>
     set source <factory/user/bundle/fortiguard>
     end   


Antivirus

Wie beschleunige ich Antivirus Scanning mit NP Acceleration?

FortiGate-Modelle mit Nturbo (i.e. NP6, NP7, oder SoC4 Modelle) können UTM- und NGFW-Prozesse auf Netzwerk Prozessoren umlagern.

NTurbo ermöglicht es, dass Traffic vom Ingress Interface zur IPS Engine umgeleitet wird, und von der IPS Engine zum Egress Interface. Dadurch wird Antivirus Scanning beschleunigt, ohne Auswirkung auf Netzwerk-Sicherheit.

Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.

Config cli.png Konfiguration über die CLI:
   # config ips global
       set np accel-mode {none | basic}
     end


Wie beschleunige ich Antivirus Scanning mit CP Acceleration?

FortiGate Modelle mit CP8 und CP9 Content Prozessoren können UTM- und NGFW-Prozesse auf Content Prozessoren umlagern.

Dabei werden (aus der IPS Engine und/oder IPS Datenbank) Datenbanken mit Flow-basierter Mustererkennung heruntergeladen. Weil Anfragen zu Flow-basierter Mustererkennung auf CP Hardware umgeleitet werden, wird Musterkennung beschleunigt und gleichzeitig CPU entlastet.

Falls SSL eingestellt, kann auch SSL Entschlüsselung auf Content Prozessoren umgelagert, und dadurch beschleunigt werden.

Diese Umlagerung funktioniert nur bei Flow-basiertem Antivirus Scanning.

Config cli.png Konfiguration über die CLI:
   # config ips global
       set cp-accel-mode {none | basic | advanced}
     end


SSL-VPN

Wie überprüfe ich Hosts bei SSL-Verbindungen?

Config webgui.png Konfiguration über das WebGui:
  1. VPN -> SSL-VPN Portals -> auf <portal> doppelklicken
Fortinet-3067.jpg

Mit der Option Restrict to Specific OS Versions können SSL-Verbindungen, die von spezifischen OS-Versionen ausgehen, zugelassen bzw. abgelehnt werden.

Config cli.png Konfiguration über die CLI:
# config vpn ssl web portal
    edit <portal_name>
      set host-check [none|av|fw|av-fw|custom] *
      set host-check-interval <seconds>
  end

* Erklärungen
none:   kein Host-Check
av:     Antivirus-Software-Check
fw:     Firewall-Software-Check
av-fw:  Antivirus- und Firewall-Software-Check
custom: Custom-Software-Check


Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch Zwei-Faktor-Authentifizierung?

Methode 1: Client-Zertifikat

Bei der Authentifizierung wird Remote-Client seitens FortiGate nach seinen (eigenen) Zertifikaten gefragt. Voraussetzung ist, dass Client-Browser ein lokales Zertifikat verwendet, und FortiGate gleichzeitig das entsprechende CA-Zertifikat besitzt.

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set reqclientcert enable
     end


Methode 2: FortiGate CA-Zertifikat

Im Client-Browser das CA-Zertifikat von FortiGate installieren und verwenden (Standard-Zertifikat: Fortinet_CA_SSL).

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set servercert <certificate>
     end


Wie erhöhe ich die Sicherheit der SSL-VPN-Verbindung durch IP- und MAC-Adressen?

Die Sicherheit der SSL-VPN-Verbindung kann zusätzlich durch Erlauben bzw. Ausschliessen ausgewählter Host-Adressen (IP und/oder MAC) erhöht werden.

Methode 1: IP-Adressen von Hosts

Im GUI und CLI kann der Zugang spezifischer IP-Adressen erlaubt werden.

Config webgui.png Konfiguration über das WebGui:
  1. VPN -> SSL-VPN Settings
Fortinet-3065.jpg

Anschliessend im Feld Hosts den entsprechenden Host auswählen.

Config cli.png Konfiguration über die CLI:
# config vpn ssl setting
    set source-address <46.22.16.164>
  end

Umgekehrt kann (nur) im CLI der Zugang spezifischer IP-Adressen ausgeschlossen werden. Beispielsweise können Hosts anhand ihrer geographischer IP-Adressen ausgeschlossen werden.

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set source-address-negate [enable|disable]
     end


Methode 2: MAC-Adressen von Hosts

Bei dieser Methode wird der Zugang eines Hosts basierend auf dessen MAC-Adresse gewährt bzw. abgelehnt.

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       edit <portal-name>
         set mac-addr-check [enable|disable]
         set mac-addr-action [allow|deny]
       end


Wo finde ich SSL-VPN Logs?

Config webgui.png Konfiguration über das WebGui:
  1. Log & Report -> Events
Fortinet-3066.jpg

VPN Events:

- Zeigt neue Verbindunsanfragen: z.B. ssl-new-con
- Zeigt ob SSL-VPN-Tunnel erfolgreich war oder nicht: z.B. tunnel-up, tunnel down


User Events:

- Zeigt Authentifizierungen von SSL-VPN-Usern: z.B. auth-logon, auth-logout


Wie verhindere ich Logout von SSL-VPN-Usern?

Mittels CLI, ermöglicht FortiGate das Konfigurieren von Timern, die verhindern, dass SSL-VPN-User ungewollt ausgeloggt werden, falls die Verbindung beispielsweise eine hohe Latenz hat. Das Logout erfolgt standardmässig nach 10 bzw. 30 Sekunden, und kann durch den Timer auf 60 bzw. 180 Minuten maximiert werden.

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set login-timeout <10-180>     -> Standardeinstellung: 10 Sekunden
       set dtls-hello-timeout <10-60> -> Standardeinstellung: 30 Sekunden
     end

Der Timer kann ausserdem bei unvollständigen HTTP-Anfragen verwendet werden, und somit möglicherweise DoS-Angriffe (z.B. Slowloris) verhindern, die sich dahinter verstecken.

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set http-request-header-timeout <1-60>
       set http-request-body-timeout <1-60>
     end


Wie kann ich die Anzahl möglicher SSL-VPN-Loginversuche einschränken?

Die entsprechende Meldung: Too many bad login attempts. Please try again in a few minutes.

Gemäss Default, haben SSL-VPN-User 2x Versuche, um sich erfolgreich einzuloggen, ansonsten werden sie (ebenfalls default) für 60 Sekunden gesperrt.

Beide Default-Einstellungen können sehr einfach im CLI geändert werden:

Config cli.png Konfiguration über die CLI:
   # config vpn ssl settings
       set login-attempt-limit [Wert; Anzahl Versuche] -> 0-10 möglich (0 = kein Limit)
       set login block-time [Wert; Sekunden] -> 0-86400 möglich
     end


Wie kann ich SSL-VPN-Verbindungen, die aus bestimmten Ländern initiiert werden, einschränken?

Im CLI

Schritt 1: Firewall Address konfigurieren

Config cli.png Konfiguration über die CLI:
   # config firewall address
       edit "restriction_switzerland" -> Name der "Firewall Address"
           set type geography
           set country "CH" -> erlaubt Verbindungen aus "CH"
       next
     end

Schritt 2: Firewall Address Group konfigurieren

Config cli.png Konfiguration über die CLI:
   # config firewall addrgroup
       edit "Geo_restriction_ssl_vpn"
           set member "restriction_switzerland"
       next
     end

Schritt 3: Bei SSL-VPN Settings u.a. Firewall Address Group als Source konfigurieren:

Config cli.png Konfiguration über die CLI:
   # config ssl vpn settings
       set soure-address "Geo_restriction_ssl_vpn"
     end


Im GUI

Schritt 1:

Config webgui.png Konfiguration über das WebGui:

Policy & Objects > Addresses > Create New : Address aus Drop-Down-Liste wählen

Fortinet-5007.png

Schritt 2:

Config webgui.png Konfiguration über das WebGui:

New Address > Name : Bel. Namen (z.B. Country_accept) wählen > Type : Geography (!) aus Drop-Down-Liste wählen

Fortinet-5008.png

Schritt 3:

Config webgui.png Konfiguration über das WebGui:

SSL VPN Settings > Restrict Access : Limit Access to specific hosts wählen > Hosts : Erstellten Host (e.g. Country_accept) aus Drop-Down-Liste wählen

Fortinet-5009.png


Wie kann ich nicht-gewünschte Login-Versuche (potenzielle Brute-Force-Attacken) auf das SSL-VPN-Portal verhindern?

Bei einer Brute-Force Attacke handelt es sich um eine enorm grosse Anzahl an (automatisierten) Versuchen, den Usernamen und das Passwort nach Trial-Error-Prinzip zu "knacken", um auf eine geschützte Web-Ressource zu gelangen, wie z.B. das Fortinet SSL-VPN-Portal und die darin verwalteten, internen Ressourcen/Services. Trotz Massnahmen wie z.B. Einschränkung der Zugriffe auf bestimmte Länder (GeoIP-Objekte), können Angreifer das SSL-VPN-Portal-Anmeldefenster weiterhin abrufen, und somit zahlreiche Login-Prompts "provozieren".

Beispiel eines gescheiterten Login-Versuchs im SSL-VPN-Portal-Anmeldefenster:

 Fortinet-323202.png

Die verdächtig hohe Anzahl gescheiterter Login-Prompts ist anschliessend in den VPN-Event-Logs mit der Action ssl-login-fail aufgelistet.


Lösung:

Schritt 1: Firewall-Adresse konfigurieren mit spezifischer IP-Adresse, Subnetz, Location

Config cli.png Konfiguration über die CLI:
   # config firewall address
       edit "Restricted_Acccess" -> Bespiel-Name 
           set ip "112.65.94.208" -> Beispiel einer "verdächtigen" IP-Addresse
       next
     end

Schritt 2: Local-In-Policy konfigurieren inkl. der Firewall-Adresse (aus Schritt 1)

Info.svg

Local-In-Policy kann nur via CLI konfiguriert werden
Local-In-Policy muss im WebGUI aktiviert werden: System -> Feature Visibility -> Additional Features

Config cli.png Konfiguration über die CLI:
   # config config firewall local-in-policy
       edit 1
           set intf "port1"
           set srcaddr "Restricted_Access" -> Firewall-Adresse (aus Schritt 1)
           set dstaddr "all"
           set service "ALL"
           set schedule "always"
       next
     end


Anschliessend führen Verbindungs- und Login-Versuche, die z.B. von IP "112.65.94.208" ausgehen, nicht mehr zum SSL-VPN-Portal-Anmeldefenster -> somit wird kein Login-Prompt generiert, und folglich auch auch kein VPN-Event-Log (ssl-login-fail). Das Risiko einer Brute-Force Attacke reduziert sich dementsprechend. Stattdessen resultieren Verbindungs- und Login-Versuch in einem gewöhnlichen Verbindungsfehler:

Fortinet-323201.png

Logs und Reports

Wo wähle ich den Speicherort von Logs auf der FortiGate?

Methode 1: Lokales Speichern auf FortiGate-Disk

Config webgui.png Konfiguration über das WebGui:
  1. Log & Report -> Log Settings
Fortinet-3068.jpg

Die Option Enable Historical FortiView ermöglicht es, dass Logs auch zu älteren Events aufrufbar sind.


Methode 2: Externes Speichern auf FortiAnalyzer, FortiManager, Syslog etc.

Config webgui.png Konfiguration über das WebGui:
  1. Log & Report -> Log Settings
Fortinet-3069.jpg


Wo wähle ich aus, welche Arten von Logs gespeichert werden?

Logs können in zwei Kategorien unterteilt werden: Event Traffic Logs und Local Traffic Logs

Event Traffic Logs:
- Fokus auf Systemänderungen/-eingriffe durch Administratoren, FortiGate-Aktionen die nicht auf Policies basieren
- Beispiele: Konfigurationen, Anmeldungen, Protokollierungen

Local Traffic Logs:
- Standardmässig nicht aktiviert aufgrund hoher Log-Quantität
- Basierend auf Traffic, welcher von der FortiGate ausgeht, oder Richtung FortiGate verläuft

Config webgui.png Konfiguration über das WebGui:
  1. Log & Report -> Log Settings
Fortinet-3070.jpg

Die Option Resolve Hostnames ermöglicht es, dass IP-Adressen in einfachere Host-Adressen umbenannt werden. Falls der entsprechende DNS-Server eine lange Reaktionszeit hat, kann das Aufrufen von Logs ebenfalls verlangsamt werden.


Wie aktiviere ich Logging in der Firewall Policy?

Sobald man Logging-Grundeinstellungen vorgenommen hat, benötigt es eine entsprechende Aktivierung innerhalb der Policy.

Wichtig ist, dass mindestens ein Security Profile (i.e. AntiVirus, Web Filter, DNS Filter, Application Control etc.) innerhalb der Policy aktiv ist, damit für die Policy der gewünschte Log generiert wird.

Die Option Log Allowed Traffic muss zwingend aktiviert werden, um Log-Generierung zu ermöglichen. Sobald aktivert, kann zusätzlich folgendes ausgewählt werden:

Security Events: Logs werden "nur" für Security Events generiert.
All Sessions: Logs werden alle Sessions generiert.

Config webgui.png Konfiguration über das WebGui:
  1. Policy & Objects -> Firewall Policy
Fortinet-3071.jpg


In der CLI sind noch folgende, empfehlenswerte Optionen/Einstellungen möglich:

Config cli.png Konfiguration über die CLI:
Testen, ob Generierung von Logs funktioniert:
  
   # diagnose log test           

Anonymisieren von User-Namen innerhalb Logs:
   
   # config log setting          
       set user-anonymize enable
     end


Speichern aller Logs auf FTP, TFTP, oder USB als LZ4-File:
   
   # excecute backup disk allogs [ftp|tftp|usb]         

Speichern ausgewählter Logs auf FTP, TFTP, oder USB als LZ4-File:
   
   # excecute backup disk log [ftp|tftp|usb] <log_type> 


Wie kann ich Bedrohungen für Logs/Reports klassifizieren bzw. gewichten?

U.a. für Applikations-Kontrollen, Web-Kategorien, oder IPS-Signaturen können Bedrohungen gewichtet werden mittels Punktesystem.

Standardeinstellungen:
Low = 5
Medium = 10
High = 30
Critical = 50

Diese Werte können gemäss individuellen Präferenzen geändert werden.

Wichtig: Gewichtung ist nur für (interne) Informationszwecke, d.h. es werden keine Aktionen für FortiGate konfiguriert.

Config webgui.png Konfiguration über das WebGui:
  1. Log & Report-> Threat Weight
Fortinet-3072.jpg


Multi-Gigabit mit FortiSwitch

Was ist Multi-Gigabit?

Multi-Gigabit, auch bekannt als Norm IEEE 802.3bz, ist ein Ethernet-Standard. Dieser bezieht sich auf die Übertragung der Daten (Cat5e- und Cat6 Kabel) in einer Geschwindigkeit von 2.5 Gbit/s und 5.0 Gbit/s.

Dieser Standard wurde 2016 seitens Institute of Electrical and Electronics Engineers (IEEE) eingeführt. Dadurch sollte die Lücke zwischen den bis dato vorhandenen Standards bzw. Geschwindigkeiten 1 Gbit/s und 10 Gbit/s minimiert werden. Ist die Geschwindigkeit höher als 1 Gbit/s, ist dank IEEE 802.3bz keine Neu-Verkabelung mehr notwendig.


Welche FortiSwitch unterstützt dieses Feature?

Weil Multi-Gigabit u.a. bei Integration von Access-Points entscheidend ist, ermöglicht Fortinet dieses Feature mittels FortiSwitch - momentan ausschliesslich auf FortiSwitch M426E-FPOE (insgesamt auf 8 Ports: 8x 2.5 GE RJ45 ports)


FortiToken:FAQ

Wie richte ich FortiToken bei einem HA-Cluster ein?

FortiToken kann vor/nach Einrichtung eines HA-Clusters (ForitGate oder FortiAuthenticator) eingerichtet werden. Lizenzen für FortiToken Mobile müssen dabei auf dem Hauptgerät eingespielt werden.

FortiToken werden anschliessend, nach finaler Konfiguration des Clusters, auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils 1x Lizenz für FortiToken Mobile.


Wie wird bei FortiToken Cloud abgerechnet?

Die Kosten pro Tag von FortiToken Cloud (FTC) werden gemäss folgender Formel kalkuliert:

 Daily Point Usage = 
(Gesamtzahl FTC User am entsprechenden Tag) x (1 / Anzahl Tage entsprechender Monat)


FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

- Neue Lizenz (z.B. FTC-LIC-120) deckt am 1. April 2021 90x Enduser ab

- Folglich zieht FTC am 1. April 2021 3x Daily Points (= 90 User x 1/30d) ab

- Folglich zeigt FTC Dashboard am 1. April 2021 folgendes:

 Current Month Usage: 3 Points 
Current Balance: 117 Points (= 120 – 3) Hat man z.B. für April 2021 (i.e. 30 Tage) insgesamt 3x User, zeigt FTC Dashboard am 30. April 2021 ebenfalls 3 Points an -> gemäss folgender Kalkulation: (3 User x 1/30d) x 30 Tage (gesamter April) = 3


Weiter zu beachten ist:

FTC wird ähnlich wie FortiToken Mobile verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von 1 Jahr.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro 250 SMS (an alle User) wird 1 Point abgezogen.

Siehe auch Lincensing Guide: Datei:Adding FTC Linceses.pdf


IGMP mit FortiSwitch

Was ist IGMP und IGMP Snooping?

Internet Group Management Protocol (IGMP) ist ein Protokoll (TCP/IP), welches sich auf Multicast fokussiert. Multicast ist eine Übertragungsmethode, die mehrheitlich in IPv4-Netzwerken verwendet wird. Der Hauptvorteil liegt darin, dass der Absender sämtliche IP-Datenpakete präzise an gewünschte Empfängergruppen sendet. Somit werden nicht separate Datenpakete and einzelne Empfänger übermittelt, was u.a. Einsparung der Bandbreite zur Folge hat. Ein prominentes Verwendungsbeispiel sind Streaming-Plattformen wie z.B. Spotify, Netflix oder IPTV, die allesamt via Multicasting Datenpakete an Privat-Netzwerke schicken.

Die Switches (Layer 2) erhalten zunächst vom Sender die Datenpakete, leiten diese anschliessend an jene Clients/Empfänger weiter, die sich mittels IGMP (Layer 3) für den entsprechenden Multicast angemeldet haben. Seitens Switch erfolgt ein sog. IGMP Snooping, wobei Multicasts zielgerichtet verteilt werden. Wie oben erwähnt, beansprucht diese Methode weniger Bandbreite, weil Datenpakete initial nur einmal verschickt werden, und erst durch Switches verdoppelt, verdreifacht etc. werden, entsprechend der Anzahl Multicast-Gruppen.


Welche FortiSwitch unterstützen IGMP und IGMP Snooping?

Von IGMP gibt es momentan Version 1, 2 und 3. Version 1 und 2 werden von sämtlichen FortiSwitch-Modellen unterstützt. Version 3 funktioniert z.Z. nur passiv, d.h. FortiSwitchOS erkennt zwar IGMPv3-Anfragen, das Multicasting basiert jedoch weiterhin auf IGMPv2. Wie im oberen Abschnitt erwähnt, wird IGMP in IPv4-Netzwerken eingesetzt. Die Alternative für IPv6 ist das sog. Multicast Listener Discovery (MLD).


Folgender Link ist empfehlenswert hinsichtlich Konfiguration und allgemeinen Hinweisen zu IGMP Snooping (Stand: FortiSwitchOS 6.4.2):

       https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guide/607214/igmp-snooping#Configur3


FortiAP und 5.0 GHZ

Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ?

Gemäss IEEE 802.11 haben WLANS mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist 2.4 GHZ der am meisten verwendete Frequenzbereich, gefolgt von 5.0 GHZ. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (Radio 1-3 Capabilities):

FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE 
FAP-U231F, FAP-U431F, FAP-U433F 
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV

edit 3.03.2023 - 4Tinu

Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ?

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter FortiAP Profiles zunächst Frequency Handoff und AP Handoff aktiviert werden. Bei TX power control (sowohl Radio 1 & 2) wählt man die Option Auto, und stellt anschliessend die entsprechenden Transmit Power Ranges ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.


FortiAnalyzer Cloud

Welche Features sind in der FortiAnalyzer Cloud enthalten?

Folgende Features werden unterstützt:

Central Log Management & Reporting 
Security Logs (UTM)
Event Logs
Traffic Logs (nur Premium)
IOC Scan
SOC Subscription (nur Premium)
FortiView
Network Monitoring & Alerting
Multi-Tenancy
Achtung.png

FortiAnalyzer Cloud unterstützt momentan (Stand: April 2021) nur Logs seitens FortiGate.


Wie funktioniert das Lizenzierungsmodell für die FortiAnalyzer Cloud?

Für FortiAnalyzer Cloud benötigt man folgende Lizenzen/Subscriptions:

FortiAnalyzer Cloud Subscription (Anzahl Subscriptions = Anzahl verwalteter FortiGates) 
sowie 
FortiCloud Premium Subscription (Anzahl Subscriptions = 1x)

FortiAnalyzer Cloud Subscription gibt es als:

FAZ Cloud Base (Fokus: u.a. Event Logs, Security Logs (UTM)) 
FAZ Cloud Premium (seit FortiOS 6.44, Fokus: u.a. Traffic Logs)

Wichtig: FAZ Cloud Premium ist keine Erweiterung zu FAZ Cloud Base, d.h.
- Besitzt man FAZ Cloud Premium, dann ist FAZ Cloud Base obsolet
- FAZ Cloud Premium deckt alles: Alle Log-Types, IOC, sowie SOC-Service
- FAZ Cloud Premium ist (im Gegensatz zu Base) nicht im 360 Protection Bundle integriert
- FAZ Cloud Premium ist nur für folgende Desktop-Modelle verfügbar: FG-30- bis FG-80-Serie


Wünscht man alle Log-Funktionalitäten, dann sind folgende Subscriptions nötig:

FAZ Cloud Premium für jede verwaltete FortiGate
z.B. FC-10-0060F-208-02-12: FortiGate-60F Premium subscription for Cloud-based Central Logging & Analytics. Supports all 
FortiGate log types with IOC service, SOC subscription and 24x7 FortiCare support included. - FortiGate-60F 1 Year 
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year

Wünscht man nur Event Logs und Security Logs (UTM), dann sind folgende Subscriptions nötig:

FAZ Cloud Base für jede verwaltete FortiGate
z.B. FC-10-0060F-188-02-12: FortiGate-60F FortiAnalyzer Cloud: Cloud-based Events and Security Log Monitoring including IOC Service - FortiGate-60F 1 Year 
FortiCloud Premium für FortiCare-Account (1x) z.B. FC-15-CLDPS-219-02-12: FortiCloud Premium Account License Access to advanced account and platform features. Per account license. - FortiCloud Premium Account License 1 Year


Wieviel Speicherplatz habe ich in der FortiAnalyzer Cloud zu Verfügung?

FAZ Cloud Base bietet einen Standard-Speicher von total 500 GB.

FAZ Cloud Premium hat keinen Standard-Speicher, dieser ist abhängig vom FortiGate-Modell - siehe Tabelle (Totaler Speicher):

Fortinet-3034.jpg

FAZ Cloud Base hat kein Limit bezüglich Speichernutzung pro Tag, da keine Traffic Logs unterstützt werden.

FAZ Cloud Premium weist hingegen ein Limit auf; die Speichernutzung pro Tag ist abhängig vom FortiGate-Modell - siehe Tabelle (Speicher pro Tag):

Fortinet-3035.jpg


Logs und Reports

Wie sehe ich CLI-Befehle in den System Event Logs?

FortiOS70.png

Die CLI-Funktion cli-audit-log ermöglicht es, dass zusätzliche CLI-Befehle innerhalb der System Event Logs sichtbar sind -> neu sind show-, get-, und diagnose-Befehle inkludiert, zusätzlich zu execute und config. Die CLI-Audit-Log-Funktion wird folgendermassen aktiviert:

Config cli.png Konfiguration über die CLI:
 # config system global
      set cli-audit-log [enable/disable]
   end

Nach Aktivierung, können die gewünschten System Event Logs generiert und analysiert werden - Beispiele:

# execute log filter category 1 (1 = event)
# execute log display 
1: date=2021-04-14 time=14:44:11 eventtime=1618404251380006191 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Show" msg="show system global"
2: date=2021-04-14 time=14:44:28 eventtime=1618404269064238424 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Get" msg="get sys status"
3: date=2021-04-14 time=14:44:34 eventtime=1618403855135580384 tz="+0200" logid="0100044548" type="event" subtype="system" level="information" vd="root" logdesc="Action performed" user="admin" ui="ssh(198.18.10.1)" action="Diagnose" msg="diagnose log test"


NAT

Wo kann ich sehen, wie oft Central SNAT und DNAT (VIP) aktiv waren?

FortiOS70.png

In CLI lässt sich mittels sogenannter Hit Counter analysieren bzw. zählen, wie oft es eine Übereinstimmung zwischen dem analysierten Traffic und den konfigurierten Central SNAT und DNAT (VIP) gab.

Config cli.png Konfiguration über die CLI:
 Central SNAT Counter:
 # diagnose firewall iprope show 10000d <id> 
 
 DNAT (VIP) Counter:
 # diagnose firewall iprope show 100000 <id>

 Counter bereinigen:
 # diagnose firewall iprope clear 10000d <id>
 # diagnose firewall iprope clear 100000 <id>

Beispiel:

# diagnose firewall iprope show 10000d 2 
idx=2 hit count:7 (2 5 0 0 0 0 0 0) first:2021-04-13 10:13:43 last:2021-04-14 10:17:32
Das Beispiel zeigt, dass es für ID 2 insgesamt 7 Treffer gab, seit der letzten Bereinigung des Counters. Es gab dementsprechend 7 Übereinstimmungen zwischen analysiertem Traffic und konfiguriertem Central SNAT. Die erste Ziffer innerhalb der Klammer bezieht sich auf den Hit Count des aktuellen Tages, die restlichen 7 Ziffern auf den Hit Count der letzten sieben Tage.
Tipp.png

Bei IPv6 sind die Befehle fast identisch: "iprope" einfach mit "iprope6" ergänzen.


ZTNA

Was ist Zero Trust Access Network (ZTNA)?

FortiOS70.png

ZTNA ist ein Feature, welches auf FortiGate, FortiGateVM, FortiClient, und FortiSASE einsetzbar ist. ZTNA wird primär verwendet, um die Sicherheit des VPN Netzwerks und dessen Applikationen zu erhöhen:

- Automatisch verschlüsselte Tunnels ermöglichen mehr Sicherheit bei Remote-Verbindungen 
- Geringerer Angriffsvektor: Applikationen sind durch Application Proxy versteckt/geschützt, und sind nur Usern
zugänglich, welche die Applikationen tatsächlich benötigen
- User und Endpoints werden im Rahmen jeder neu-gestarteten Session identifiziert/verifiziert

Voraussetzung ist, dass Endpoints einen FortiClient ZTNA Agent installiert haben, welcher die Identifizierung/Verifizierung vornimmt, und den verschlüsselten Tunnel zwischen Endpoint und FortiOS Proxy aufbaut. Statt einen VPN Tunnel zu initiieren, müssen User lediglich die gewünschte Netzwerk-Ressource bzw. -Applikation aufrufen/starten. Anschliessend erhalten User (wiederholt) die Aufforderung, den Usernamen, das Passwort und, im Fall von MFA, den Passcode einzugeben.


Wie kann ich ZTNA beziehen? Wie funktioniert die Lizenzierung?

FortiOS70.png

Hat man beispielsweise FortiGate im Einsatz, dann braucht man zusätzlich eine kostenpflichtige FortiClient-Lizenz; auf der kostenlosen FortiClient-Version funktioniert das Feature nicht. Es ist in allen, derzeitigen FortiClient-Versionen bzw. -Leveln (auch: à la carte) inkludiert:

Fortinet-3036.jpg

Achtung.png

ZTNA-Feature verlangt mindestens FortiOS 7.0 und FortiClient 7.0.


FortiGateCloud - Troubleshooting

Wie kann ich Fehlermeldungen (bei Aktivierung des FortiCloud-Accounts) vermeiden?

Beispiele:

Invalid Username or Password
FortiCloud Internal Error
HTTP 400

Lösungen:

- Passwort muss maximal 20 Zeichen enthalten

- Port443 muss offen/verfügbar sein

- FortiGate muss logctrl1.fortinet.com oder globallogctrl.fortinet.net pingen können

- Falls keine Änderung, dann wird FortiGateCloud-Debug empfohlen (Output anschliessend an TAC senden):

Config cli.png Konfiguration über die CLI:
# get    
# end
# diag debug console timestamp enable    
# diag debug app forticldd -1
# diag debug enable
# exec fortiguard-log login

- Falls Fehlermeldung mit HTTP 400, dann wird HTTP-Debug empfohlen:

Config cli.png Konfiguration über die CLI:
# diag debug app httpsd -1


- Falls Login für FortiCloud-Portal funktioniert, aber FortGateCloud-Account lässt sich nicht (mit gleichen Credentials) auf FortiGate aktivieren, dann müssen ggf. Sonderzeichen im Passwort entfernt werden -> diese werden nicht in allen FortiOS-Versionen unterstützt

- Falls HA-Cluster: Erst-Aktivierung immer im Master/Primary -> Aktivierung findet gleichzeitig im Slave/Secondary statt


Wie aktiviere ich den Management Tunnel Status auf der FortiGate?

- Mit foldendem CLI-Befehl:

Config cli.png Konfiguration über die CLI:
# config system central-management
# set type fortiguard
# end
# diag fdsm contract-controller-update
# fnsysctl killall fgfmd


- Falls FortiGate länger als 24 Stunden inaktiv ist, muss überprüft werden, ob Port443 offen/verfügbar ist, und via Port443 eine Telnet-Verbindung zu logctrl1.fortinet.com oder globallogctrl.fortinet.net möglich ist


Wie finde ich eine neu-hinzugefügte FortiGate im FortiCloud-Portal?

- Es kann sein, dass FortiCloud-Aktivierung auf der FortiGate erfolgreich war, aber die FortiGate anschliessend nicht im FortiCloud-Portal erscheint

- FortiGate wird entweder zum globalen oder europäischen FortiCloud-Service hinzugefügt (gemäss jeweiliger IP Geo-Location) -> daher beide überprüfen!

- Falls auf FortiGate Domain Selection (beim Login) möglich ist, kann man direkt auf den globalen (www.forticloud.com) oder europäischen (europe.forticloud.com) Service gelangen


Wie aktiviere ich FortiCloud mit einer E-Mail-Adresse, die vom FortiCare-Account abweicht?

- Mit foldendem CLI-Befehl:

Config cli.png Konfiguration über die CLI:
# execute fortiguard-log login


Wie gehe ich vor, wenn Log-Upload auf FortiCloud nicht funktioniert?

- Mit folgenden CLI-Befehlen:

Config cli.png Konfiguration über die CLI:
# execute telnet 514
# diag test app forticldd 1
# diag test app miglogd 6
# diag debug app miglogd -1
# diag debug enable


- Um Unterbrüche bei schlechter Netzwerkverbindung zu vermeiden, kann das Time-Out erhöht werden:

Config cli.png Konfiguration über die CLI:
# config log fortiguard setting
# set conn-timeout 120
# end


Wie gehe ich vor, wenn keine Dateien zum Sandboxing gesendet werden?

1. GUI: System > Feature Visibility, FortiSandbox Cloud einstellen

2. GUI: Security Fabric > Settings, Sandbox Inspection einstellen

3. GUI: Security Profile > AntiVirus, Suspicious Files Only oder All Supported Files einstellen

4. GUI: Policy & Objects > IPv4 Policy, AntiVirus für die entsprechende Policy aktivieren


Was muss ich beim Auto-Backup beachten?

- Auto-Backup entweder Per Session (default: nach 600 Sekunden) oder Per Day

- Backup findet nur statt, wenn auf der FortiGate (System-)Änderungen vorgenommen werden

- Für Backups besteht kein Speicher-Limit, bei nicht-lizenzierten FortiGates dauert die Aufbewahrung 7 Tage, bei lizenzierten FortiGates hingegen 1 Jahr


Wie gehe ich vor, wenn FortiDeploy nicht funktioniert?

- FortiManager-Einstellungen überprüfen

- Sicherstellen, dass Central Management Settings auf FortiGateCloud eingestellt sind

- Sicherstellen, dass via Port443 auf logctrl1.fortinet.com verbunden werden kann

- Mittels Device Key das Inventory importieren

- FortiGate im FortiManager ausrollen und neustarten, ansonsten:

Config cli.png Konfiguration über die CLI:
# execute fortiguard-log join


Fortinet Support Portal

Wie unterscheide ich zwischen Fortinet Support Portal und Fortinet Partner Portal?

Das Fortinet Support Portal (https://support.fortinet.com) wird primär für folgendes verwendet:

Registrierung von Fortinet-Produkten (z.B. FortiCare, FortiGuard, Bundles etc.)
Verwaltung registrierter Produkte/Assets
Download von Firmware (inkl. Upgrade-Paths) und HQIP-Images
Informationen zu Product-Lifecyles
Ticketing (Technical Assistance, Customer Service, RMA)

Das Fortinet Partner Portal (https://partnerportal.fortinet.com) wird primär für folgendes verwendet:

Sales- und Marketinginformationen (z.B. Preislisten, Promotionen etc.)
Tool für Deal-Registration
NSE-Trainings 
Verschiedene Webinare


Wie erstelle und ich einen neuen Account im Support Portal?

Tipp.png

Best Practice: Der Endkunde erstellt einen Account (mit dem eigenen Namen) im Support Portal, und registriert anschliessend seine Produkte/Assets. Es ist auch möglich, dass der Partner/Resseller im Auftrag des Endkunden dies vornimmt -> jedoch bleibt der Endkunde der Besitzer sämtlicher Produkte/Assests, sowie Administrator des Support Portal Accounts (sowie Sub-Accounts).


Schritt 1: Browser öffnen und https://support.fortinet.com aufrufen, Register auswählen

Fortinet-5000.png


Schritt 2: E-Mail Adresse auswählen

Fortinet-5001.png


Schritt 3: Verification- (gesendet an vorher ausgewählte E-Mail Adresse) und Captcha-Code eingeben

Fortinet-5002.png


Schritt 4: Passwort setzen

Fortinet-5003.png


Schritt 5: Alle erforderlichen Angaben (mit rotem Stern vermerkt) eingeben, u.a. Angaben zum Master-Account

Fortinet-5004.png


Schritt 6: Fortinet Terms & Conditions akzeptieren

Fortinet-5005.png


Schritt 7: Bei erfolgreicher Registrierung erhält man ein entsprechendes E-Mail von Fortinet

Fortinet-5006.png


Wie registriere und verwalte ich ein Produkt/Asset im Support Portal?

Unter My Assets die Option Register More auswählen, anschliessend Seriennummer/Vertragsnummer/Code eingeben, und den End User Type spezifizieren:

Fortinet-5007.png



Lizenzierung/FortiGuard

Was passiert wenn FortiGuard-Lizenzen ablaufen?

Folgende Services, Features, Engines etc. funktionieren ohne Einschränkungen nach Ablauf der FortiGuard-Lizenzen:

Firewall: Firewall-Services funktionieren weiterhin
                                                                                                                                                                        
High Availability: Clustering funktioniert weiterhin
                                                                                                                                                                     
Virtual Private Networking (VPN): VPN-Engine funktioniert weiterhin
                                                                                                                                                                    
Advanced Routing: Routing-Engine funktioniert weiterhin                                                                                                          
                                                                                                                                                                       
SD-WAN: SD-WAN-Services funktionieren weiterhin
                                                                                                                                                                  
Explicit Proxy & WAN Optimization: Beides funktioniert weiterhin
                                                                                                                                                                       
QoS & Traffic Shaping: Beides funktioniert weiterhin                                                                                                            
                                                                                                                                                                      
Data Loss Prevention (DLP): DLP-Services funktionieren weiterhin                                                                                                                                                                                    


Die Basisfunktionen folgender Security Profiles/Features bleiben vorhanden - jedoch sind die entsprechenden Datenbanken/Signaturen/Definitionen nicht mehr up-to-date:

Anti Virus:  AntiVirus-Engine und Basisfunktionen laufen weiterhin -> jedoch ist AV-Datenbank nicht mehr aktuell (keine neuen Signaturen) 
                                                                                                                                                                      
Anti Malware:  AntiMalware-Engine und Basisfunktionen laufen weiterhin -> aber: AntiMalware-Datenbank nicht mehr aktuell (keine neuen Signaturen) 
                                                                                                                                                                 
Intrusion Prevention (IPS): IPS-Engine und Basisfunktionen laufen weiterhin -> aber: IPS-Datenbank nicht mehr aktuell (keine neuen Signaturen) 
                                                                                                                                                               
Application Control: ApplicationControl-Engine und Basisfunktionen laufen weiterhin -> aber: Neue Application Definitions fehlen


Die Basisfunktionen folgender Security Profiles/Filtes bleiben vorhanden - jedoch ohne dynamische/Cloud-basierte Abfragen:

Web Filter: WebFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr
                                                                                                                                                                       
DNS Filter: DNSFilter-Engine funktioniert weiterhin -> aber: Online-Abfragen mit dynamischer Klassifizierung/Kategorisierung funktionieren nicht mehr
                                                                                                                                                                        
E-Mail Filter (AntiSpam): AntiSpam-Engine funktioniert weiterhin -> aber: Cloud-basierte Features funktionieren nicht mehr


Werde ich benachrichtigt bevor eine Lizenz abläuft?

Auf der FortiGate ist es mittels Automation Stitch/Trigger möglich, eine E-Mail-Notification einzurichten, welche über (bald) ablaufende Lizenzen informiert.

Config webgui.png Konfiguration über das WebGui:
  • Neuen Automation Stitch/Trigger erstellen via Automation -> +Create New
  • Anschliessend Lincense Expiry auswählen
Fortinet-32300.png
  • Unter Name kann ein Name für den Automation Stitch/Trigger vergeben werden
  • Unter License kann Any oder die gewünschte Lizenz ausgewählt werden
Fortinet-3231.png
Info.svg

Zusätzlich kann man im SupportPortal/FortiCloud, im entsprechenden Account (FortiGate muss in diesem Account registriert sein), beim Hinzufügen neuer User die Option Send renewal notices anklicken:

Fortinet-323200.png


Firewall Regeln

Wie kann ich die FortiGate Geo-IP Datenbank aktualisieren?

FortiOS 64.svg FortiOS 70.svg

Damit die im Kapitel 39.9 beschriebenen Geo-IP Adress-Objekte (sowie die entsprechenden FW-Policies) effektiv sind, muss die dazugehörige Datenbank (FortiGate Geo-IP Database) zeitgemäss sein. Diese wird monatlich durch FortiGuard aktualisiert. Es gibt zusätzlich die Option, die Geo-IP Datenbank manuell via. CLI zu aktualisieren.


Schritt 1: Aktuelle Version der Geo-IP Datenbank überprüfen

Config cli.png Konfiguration über die CLI:
   # diag autoupdate versions | grep -A6 Geo

Beispiel-Output: 

IP Geography DB
---------
Version: 3.00113
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Aug 3 20:09:12 2022
Last Update Attempt: Tue Aug 15 14:32:02 2022
Result: No Updates

Note: As at Aug 15, 2022 the latest Geo-IP DB is 3.00113

Schritt 2 (Falls aktuelle DB veraltet ist): Manuelles Update durchführen

Config cli.png Konfiguration über die CLI:
   # execute update-geo-ip

Somit ist sichergestellt, dass die Geo-IP Datenbank sowie die erstellten Geo-IP Adress-Objekte up-to-date sind, und in den entsprechenden FW-Policies z.B. als Source verwendet werden können.

Administrator

Wie kann ich die Dauer des Admin-Lockouts verkürzen?

Falls ein Administrator das Passwort mehrfach falsch eingibt, erhält er im WebGUI-Anmeldefenster die Meldung Too many login failures. Please try again in a few minutes..., gerät somit in ein Admin-Lockout, und muss ggf. mehrere Minuten (je nach Einstellung) warten, bis er sich wieder einloggen darf.

Der Admin-Lockout kann umgangen bzw. verkürzt werden mittels wenigen CLI-Einstellungen:

Config cli.png Konfiguration über die CLI:
Beispiel: Z.Z. dauert der Admin-Lockout 300s gemäss folgender (Vor-)Konfiguration:
   
   FGT# config system global
   FGT(global) set admin-lockout-duration 300 -> aktuelle Admin-Lockout-Dauer

Somit muss der Administrator 300s bzw. 5min warten, bis er einen neuen Login-Versuch tätigen darf. Falls der Administrator dringend auf die FortiGate zugreifen muss, kann der Admin-Lockout provisorisch verkürzt werden - z.B. auf 20s:
   
   FGT# config system global
   FGT(global) set admin-lockout-duration 20 -> neue Admin-Lockout-Dauer

Bis zum neuen Login-Versuch muss der Administrator nur noch 20s warten. Es wird empfohlen, die Admin-Lockout-Dauer anschliessend wieder auf den vorherigen Wert zu erhöhen.
Hinweis.svg

Admin-Lockout-Dauer ist orientiert sich an der IP-Addresse des Hosts/Clients, von welchem der Administrator auf die FortiGate zugreift. Der Admin-Lockout kann folglich umgangen werden, indem sich der Administrator von einer anderen IP-Adresse ausgehend mit der FortiGate verbindet.


Wie kann ich FortiManagerCloud-Lizenzen von FortiGateCloud-Lizenzen unterscheiden?

Früher waren FortiManagerCloud-Lizenzen auf spezifische FortiGate-Modelle ausgerichtet, sog. individual subscription SKUs. Beispiel:

FC-10-0040F-179-02-DD
FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service 


Diese Lizenzen sind EOL. Neu bietet Fortinet als Alternative sog. multi-device subscription SKUs:

FC1-10-MVCLD-227-01-DD
Subscription for 10 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.
FC2-10-MVCLD-227-01-DD
Subscription for 100 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.
FC3-10-MVCLD-227-01-DD
Subscription for 1000 devices/vdoms managed by FortiManager Cloud. FortiCare Premium support included.

Diese Multi-Device Lizenzen unterstützen u.A. folgende Features (z.T. identisch mit FortiManagerVM):
- Single Console Management 
- Central Policy und Device Management 
- Configuration Backups, Firmware Upgrades, und Script Management
- Diverse Automatisierungen
- Im Gegensatz zum "physischen" FMG, und FMG-VM (Private Cloud), haben FortiManagerCloud-Lizenzen keine FortiAnalyzer-Features!


Es gibt häufig Verwechslungen mit FortiGateCloud-Lizenzen, die effektiv auf spezifische FortiGate-Modelle konfiguriert sind. Folglich referenzieren sich SKU & Produktbeschreibung immer auf das entsprechende FortiGate-Modell. Beispiel:

FC-10-0040F-131-02-DD
FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention

Diese Single-Device Lizenzen unterstützen u.A. folgende Features:
- Configuration Management > war früher kostenlos
- Configuration Backup and Restoration > war früher kostenlos
- Firmware Upgrade
- 1x Jahr Log Retention
Mehr Details/Features: https://docs.fortinet.com/document/fortigate-cloud/22.4.0/administration-guide/215425/feature-comparison
Achtung.png

Aufgrund ähnlicher Produktbeschreibung, werden Modell-spezifische FortiGateCloud-Lizenzen (z.B. FortiGate-40F FortiGate Cloud Management, Analysis and 1 Year Log Retention) fälschlicherweise als Alternative zu ehemaligen (EOL), Modell-spezifischen FortiManagerCloud-Lizenzen (z.B. FortiGate 40F DD Year FortiManager Cloud: Cloud-Based Central Management & Orchestration Service) betrachtet.

Wie verwalte/ändere ich Administratoren Profile in FortiManagerCloud?

In FortiMangerCloud sind die Administratoren Profile per se indentisch mit jenen auf einer physischen oder virtuellen (VM) FortiManager Appliance. Eine kurze Übersicht:

Restricted User
Restricted User Profil hat nur Read-Only Privilege für alle verwalteten Geräte, und hat keine System Privilege 
Standard_User Standard User Profil hat Read-Write Access für alle verwalteten Geräte, hat keine System Privilege
Super_User Super User Profil hat sämtliche System and Device Privileges -> dieses Profil ist nicht editierbar
Package_User Package User Profil hat Read-Only Access for System and other Privileges, und hat Read-Write Policy & Object Privileges

Detaillierte Auflistung unter folgendem Link: https://docs.fortinet.com/document/fortimanager/7.2.2/administration-guide/392019/permissions
Config webgui.png Konfiguration über das WebGui:
  • Im Dashboard System Settings auswählen
FMGCloud 1.png

Admin > Administrators > hier das Pencil-Icon (wird es mit Kursor sichtbar) anklicken

FMGCloud2.png

Anschliessend erscheint ein Drop-Down mit sämtlichen Admin-Profilen, kann hier ausgewählt werden

FMGCloud 3.png