FortiGate-5.4-5.6:FAQ
FortiGate-5.4:FAQ
24 X 7 PROMOTION bis 31. März 2016 Weitere Informationen finden Sie hier!
Vorwort
Diese FAQ's sind für Fortinet Systeme basierend auf OS 5.4. Zu Test-Zwecken stand eine Fortigate 60D zur Verfügung!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend Fortigate Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fortigate/admin-guides
FortiOS 5.4 Datei:Fortigate-Whats-New-54.pdf (FortiOS 5.4 Handbook - What's New) Datei:Fortigate-CLI-Ref-54.pdf (FortiOS 5.4 CLI Reference) Datei:FortiOS-Log-Reference-54.pdf (FortiOS 5.4 FortiOS Log Reference)
Datei:FortiOS-Upgradepath-54.pdf (FortiOS 5.4 Supported Upgrade Paths for Firmware) Datei:FortiOS-Software-Platform-Matrix-54.pdf (FortiOS 5.4 Feature / Platform Matrix)
Datei:FortiGate Managed FortiSwitch Matrix.pdf (Managed FortiSwitch Compatibility Matrix) Datei:FortiOS-Compatibility-FMG-FAZ.pdf (Managed FortiManager/FortiAnalyzer Compatibility Matrix)
Datei:Fortigate-Authentication-54.pdf (FortiOS 5.4 Handbook - Authentication) Datei:Fortigate-Carrier-54.pdf (FortiOS 5.4 Handbook - Carrier) Datei:Fortigate-HA-54.pdf (FortiOS 5.4 Handbook - High Availability) Datei:Fortigate-IPSec-VPN-54.pdf (FortiOS 5.4 Handbook - IPsec VPN) Datei:Fortigate-IPv6-54.pdf (FortiOS 5.4 Handbook - IPv6) Datei:Fortigate-Load-Balancing-54.pdf (FortiOS 5.4 Handbook - Load Balancing) Datei:Fortigate-Managing-Devices-54.pdf (FortiOS 5.4 Handbook - Managing Devices) Datei:Fortigate-Managing-Switch-54.pdf (FortiOS 5.4 Handbook - Managing FortiSwitch from FortiGate) Datei:Fortigate-Optimal-Life-54.pdf (FortiOS 5.4 Handbook - Optimal Path Processing "Life of a Packet") Datei:Fortigate-SSL-VPN-54.pdf (FortiOS 5.4 Handbook - SSL VPN) Datei:Fortigate-Security-Profiles-54.pdf (FortiOS 5.4 Handbook - Security Profiles) Datei:Fortigate-WANopt-Cache-Proxy-54.pdf (FortiOS 5.4 Handbook - WAN Optimization, Web Cache, Explicit Proxy, and WCCP) Datei:Fortigate-Wireless-54.pdf (FortiOS 5.4 Handbook - Deploying Wireless Networks)
Gibt es einen direkten Link auf die "Fortinet Knowledgebase" auf der die "KB Artikel" alle aufgelistet sind?
Die Fortinet "Knowledgebase" Artikel sind über den folgenden Link erreichbar:
http://kb.fortinet.com/
Ueber diesen Link sieht man die verschiedenen Fortinet Produkte die man anwählen und über eine Suchfunktion für das entsprechende Produkt einen entsprechenden "KB Artikel" suchen kann. Möchte man jedoch sämtliche "KB Artikel" auflisten - vorallem die Neusten - ist dies über den Link nicht möglich. Nachfolgender Link bietet diese Möglichkeit dh. sämtliche "KB Artikel" werden aufgelistet (die Neusten zu oberst):
http://pub.kb.fortinet.com/index/
Hardware
Wo finde ich die Hardware Revision und Hardware Generation Informationen eines FortiGate Devices?
Ein FortiGate Device verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Ueber diese Information wird ein entsprechender FortiGate Device identifiziert. Möchte man die "Hardware Revision" herausfinden einer FortiGate kann dies folgendermassen bewerkstelligt werden:
Variante Device Label Die "Hardware Revision" wird als "label" auf der Rückseite eines FortiGate Devices aufgeführt in nachfolgender Form und als Strich-Code: PN: P15968-01
Variante FortiOS Wenn man über CLI folgenden Befehl absetzt erhält man die "Hardware Revision" Information: # get system status | grep Part-Number System Part-Number: P15968-01
Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht erruiert werden sei es über ein "label" noch über CLI. Wenn diese Informatione dennoch benötigt wird kann über ein Ticket die entsprechende Information der "Hardware Generation" angefragt werden. Wie ein Ticket für Fortinet eröffnet wird siehe nachfolgender Artikel:
Fortinet:Support-Case NOTE Bei dieser "Hardware Revision" wie in unserem Beispiel gezeigt (P15968-01) handelt es sich zB um eine FG-70D. Das bedeutet: Wenn eine neue "Hardware Revision" für diesen Device released wird so kann diese über eine PN Nr "P15968-01" verfügen jedoch als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN Nummer verfügt zB "P15978-02". Somit kann anhand der PN Nummer keine Rückschlüsse gezogen werden über die nötige Information von: PN Nummer (Hardware Revision) + Hardware Generation Diese Information der "Hardware Revison" sowie "Hardware Generation" sind dann wichtig wenn es sich um einen Cluster handelt. Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle für den Austausch diese Informationen damit diese exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zustellt!
Wo finde ich eine Uebersicht welcher FortiGate Device zB über wieviel "Memory" verfügt, ein "SOC" und/oder "NP" verbaut ist?
Nachfolgend eine Aufstellung die zeigt über welche Komponenten wie "SOC, NP, Memory, Storage ein FortiGate Device verfügt:
NOTE Diese Informationen stammen aus einem Post im "Fortinet Forum" da Fortinet diese Informationen nicht komuniziert: https://forum.fortinet.com/tm.aspx?m=100451#100451
LEGENDE FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet) I2 = Intel Core 2 Duo I3 = Intel Pentium III I4 = Intel Pentium 4 IA = Intel Atom IC = Intel Celeron (Covington) II3 = Intel Core i3 II5 = Intel Core i5 IM = Intel Mobile IX = Intel Xeon CP: Content Processor NP: Network Processor SoC: System on a Chip
Was für FortiGate Devices stehen in den verschiedenen Verfügung und welche ist die Richtige?
Wenn für einen Kunden ein FortiGate Device installiert werden soll stellt sich die Frage welcher Device ist der Richtige? Dabei sind verschiedenen Informationen wichtig wie zB:
- Ueber was für eine Internet Anbindung verfügt der Kunde an der ein FortiGate Device installiert werden soll? - Ist ein Ausbau/Wechsel der Internet Anbindung geplant und wenn ja wir diese vergrössert (Dowstream/Upstream)? - Wieviele User werden durch den FortiGate Device geschützt? - Welche UTM Features werden auf dem FortiGate Device eingesetzt (Antivirus, WebFilter, IPS usw) - Wird "deep inspection" eingesetzt (Aufbrechen von verschlüsseltem Traffic)? - Werden spezielle Interface's benötigt zB SFP+ - Wird ein spezieller Durchsatz in einem Bereich benötigt? - Wo wird "logging" durchgeführt zB Disk, FortiAnalyzer usw.?
Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung in der die verschiedenen Devices gegenüber gestellt werden und die verschiedenen "Durchsätze" in verschiedenen Kategorieren wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet und gegenüber gestellt werden. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieser Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um den richtigen Device für den Kunden auszuwählen:
Fortinet:ProduktInfo#Fortinet_Produkt-Matrix
Zu den verschiedenen FortiGate Devices stehen jeweils die "Datasheet" zur Verfügung die nochmals detailliert über den jeweiligen FortiGate Device Auskunft gibt. Desweiteren stehen zu den "Datasheet" ebenso die "Quickstart" Guide zur Verfügung die zeigen "was" zum jeweiligen Device mitgeliefert wird sowie das Aussehen:
Fortinet:ProduktInfo#FortiGate
Desweiteren steht für die Produkte Information der Produkt Guide zur Verfügung der jeden FortiGate Device in einer Kurzübersicht darstellt:
Fortinet:ProduktInfo#Fortinet_Produkt-Guide
Nachfolgend als Anhaltspunkt eine Uebersicht der FortiGate Devices in den verschiedenen Kategorieren wie "Entry Level, Midsize usw.":
Wie kann ich auf einem FortiGate Device einen Hardwartest ausführen (Troubleshooting/HQIP Testing)?
Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image" das für jeden Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support Seite findet man die Images über das Icon "HQIP Images" am ende der Seite. Nachfolgend der direkte Link für "HQIP Images":
https://support.fortinet.com/Download/HQIPImages.aspx NOTE Damit man zu diesem Link gelangt muss anhand eines Support Accounts eingeloggt werden sowie damit das entsprechende Image runtergeladen werden kann, muss die entsprechende Serien Nummer des Devices eingegeben werden. Dies muss durchgeführt werden da jeder Device identifiziert werden muss anhand der Revision und Generation um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu benützen um auf einem Baugleichen Device den Test durchzuführen da die Devices -obwohl Baugleich- sich unterscheiden können in Revision und Generation.
Auf der FortiGate wird dieses HQIP Image wie beim "staging" Prozess selber über TFTP hochgeladen. Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt wurde (kein Passwort) kann anhand des Befehls "diagnose hqip start" ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "staging" Prozess selber ist einzig und alleine, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) in den Memory Bereich temporär installiert. Der Output der Serial Console muss "geloggt" werden damit es später dem Fortinet Support übermittelt werden kann. Im "putty" wird dies für eine Session unter folgender Position konfiguriert:
Category > Session > Logging > All Session output
Nachfolgend eine Schritt für Schritt Anleitung wie so ein HQIP Image geladen sowie das Scritp ausgeführt wird:
-> Lade das entsprechende Image herunter (siehe Link oben; Serien Nummer des Devices muss angegeben werden) -> Benenne das File um nach "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers. Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link um diesen runterzuladen: SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx -> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der Konfiguration der FortiGate durchzuführen! -> Führe ueber die Serielle Console nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen: # execute shutdown -> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit eine FortiGate verbunden werden (Beispiel: FortiGate-60D) _____________________________ | RS232 Verbindung | Consolen Port | | ___________|___ | RS232 Anschluss | | ____|_______________ | FortiGate 60D | 192.168.1.100/24 | | |_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten | | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root WAN1 | | |_____________________| NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)! -> Oeffne über Putty eine Serielle Verbindung (Console) und achte darauf das "putty" für Log aktiviert wurde. Schalte Die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint: FortiGate-60D (10:49-11.12.2014) Ver:04000024 Serial number: FGT60D4615013788 CPU(00): 800MHz Total RAM: 2GB Initializing boot device... Initializing MAC... nplite#0 Please wait for OS to boot, or press any key to display configuration menu Unterbreche den Boot-Prozess durch "Press any key" [C]: Configure TFTP parameters. [R]: Review TFTP parameters. [T]: Initiate TFTP firmware transfer. [F]: Format boot device. [I]: System information. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot. [H]: Display this list of options. Enter C,R,T,F,I,B,Q,or H: T Please connect TFTP server to Ethernet port 'WAN1'. MAC: 08:5b:0e:d9:18:f0 Connect to tftp server 192.168.1.100 ... ############################################################ Image Received. Checking image... OK ACHTUNG Beim nächsten Menüpunkt wähle "R" dh. NICHT "D" oder "B" Speichern sondern NUR Ausführen! Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?R Reading boot image... 1829759 bytes. Initializing firewall... System is starting.. Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ... You are running HQIP test program. To start testing, login as "admin" without password, and type: diagnose hqip start Logge dich nun ein anhand der obigen Informationen! HQIP login: admin Password: Welcome ! HQIP # diagnose hqip start
Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:
1.BIOS Integrity Check 2.System Configuration Check 3.Memory test 4.CPU test 5.CPU/Memory Performance Test 6.FortiASIC Test 7.USB Test 8.Boot Device Test 9.Hard Disk Test 10.Network Interface Controller Test 11.NPU DDR Memory Test 12.LED Test 13.Reset Button Test
dh. normalerweise müssten alle Netzwerkkarten Ports angeschlossen werden. Geschieht dies nicht erscheint eine Fehlermeldung die jedoch keinen weiteren Einfluss hat auf die auszuführenden Tests, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten Test korrekt ausgeführt werden soll müssen die Ports folgendermassen verbunden werden (Beispiel FortiGate-60D):
Nachfolgend ein Output eines solchen Tests für eine FG-60D (Netzwerkport gemäss Grafik oberhalb "überlistet"):
Datei:Hqip-output-v54.txt
Um die Fortigate wieder in den Orginalzustand zu versetzen führe ein Login über die Serielle Consoel durch mit dem User "admin" (kein Passwort). Danach führe folgendes aus:
HQIP login: admin Password: Welcome ! HQIP # execute reboot This operation will reboot the system ! Do you want to continue? (y/n)y
Da das HQIP Image "nur" temporärer (Memory) installiert wurde sind alle Informationen nach einem Neustart betreffend diesem Image gelöscht worden. Wenn es nach dem Neustart zu Hinweise/Errors betreffend der Konfiguration kommt zB:
System is started. The config file may contain errors, Please see details by the command 'diagnose debug config-error-log read'
Führe ein Login durch und führe folgendes aus:
# diagnose debug config-error-log read >>> "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)
Oftmals ist ein einfach Neustart der Fortigate nötig um das Problem zu beheben:
# execute reboot
Für eine FortiGate Device der "E" Serie existiert kein HQIP Image wie kann ich dennoch einen Hardwartest ausführen?
Bei der "E" Serie kann von der "Support" Seite kein seperates HQIP Image herungergeladen werden. Auf diesen Umstand wird auf der "Support" Seite auch darauf hingewiesen. Dazu steht jedoch auf der "E" Serie ein "diagnose" Kommando zur Verfügung der diese "Hardware Tests" im Stil von "HQIP" durchführt:
# diagnose hardware test [Parameter]
Als "Parameter" kommen folgende Attribute in Frage:
bios führt eine BIOS spezifische Überprüfung durch system führt eine System spezifische Überprüfung durch usb führt eine USB spezifische Überprüfung durch button führt eine button spezifische Überprüfung durch cpu führt eine CPU spezifische Überprüfung durch memory führt eine Memory spezifische Überprüfung durch network führt eine Netzwerkinterface spezifische Überprüfung durch disk führt eine disk spezifische Überprüfung durch led führt eine LED spezifische Überprüfung durch wifi führt eine Wireless spezifische Überprüfung durch suite runthe HQIP test suite setting die Testeinstellungen können auf diesen Weg geändert werden info zeigt die aktuellen Test Parameter an
Gibt es für FortiGate Device's eine Uebersicht wie die Luftzirkulation (Airflow) in den Device's aufgebaut ist?
Nachfolgende Dokument zeigen für die jeweiligen FortiGate Devices wie die Luftzirkulation/Kühlung in den Devices aufgebaut ist und wie diese funktionieren. Diese Dokumente stehen jedoch nur für FortiGate Devices 100D und höher zur Verfügung.
Datei:FG-100D Airflow.pdf Datei:FG-200D Airflow.pdf Datei:FG-300C Airflow.pdf Datei:FG-600C 800C Airflow.pdf Datei:FG-1000C Airflow.pdf Datei:FG-1500D Airflow.pdf Datei:Fg-3700D Airflow.pdf
Disk
Wie kann ich auf einer FortiGate die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen?
Ab FortiOS 5.0.5 gibt es die Möglichkeit die "Disk" (Internal) und/oder den "System Boot Device" über "low level" zu formatieren. Dies ist dann Wichtig wenn ein Device entsorgt wird oder dem Hersteller im RMA Fall zurückgesendet werden soll um so zu gewährleisen, dass sämtliche enthaltenen Daten auf der Disk gelöscht werden sollen. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk" resp. des "System Boot Device's" mit zufälligen Daten 3 X überschrieben um so zu gewährleisten das die vorhandenen Daten komplett gelöscht werden. Ab FortiOS 5.0.5 steht für diesn Vorgang folgender Befehl zur Verfügung:
# execute erase-disk [SYSTEM | Internal]
Wenn ein Device aus Gründen der "Security Gründen" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an der es ermöglicht bei einem RMA Austausch den Device selber zu entsorgen anstelle diesen dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F
Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen ob diese Fehler enthält?
Anhand des Befehls "diagnose disktest" kann auf einer FortiGate ab FortiOS 5.2.1 die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maitenance Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss anhand des Befehls zuerst die entsprechende Disk gewählt werden. Um die Disk's aufzulisten benutze folgenden Befehl:
NOTE Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit läuft der Test für 7728M ca 45 Minuten! Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2". Der Test kann anhand "Ctrl + C" abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes: "User interrupt! Restoring data back to disk....".
Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst gewählt werden. Daraus ergiebt sich folgendes Vorgehen:
Liste die vorhandenen Device's auf: # diagnose disktest device 1 /dev/sda, size 3864MB, boot device 2 /dev/sdb, size 7728MB
Selektieren die gewünschte Disk zB /dev/sdb dh. "2": # diagnose disktest device 2 Current Test Device: /dev/sdb
Setze für den Test verschiedene Optionen dh.: # diagnose disktest [bllock | time | size] NOTE Die Optionen haben folgende Bedeutung: block Die Blocksize für jede Lese- sowie Schreiboperation. time Die Limite der Testzeit für jeden Zyklus. Standard "keine Limite". size Die Limite der Testgrösse für jeden Zyklus. Standard "keine Limite".
Wenn der gewünschte Device gesetzt/gewählt wurde/ist sowie sofern notwendig die Optionen konfiguriert wurden führe den Test aus:
# diagnose disktest run Round 1 started. Current Test Device: /dev/sdb Total size: 7728M Current Test Block: 4M. Current Time Limit: No limit Current Size Limit: No limit Time(Sec) Size(MB) Read(MB/s) Write(MB/s) 0.0 0(0.00%): .................................................. 15.0 8.6 76.0 200(2.59%): .................................................. 15.1 8.9 150.2 400(5.18%): .................................................. 15.0 9.0 224.3 600(7.76%): .................................................. 15.0 8.9 298.8 800(10.35%): .................................................. 15.1 8.9 372.9 1000(12.94%): .................................................. 15.1 9.0 446.9 1200(15.53%): .................................................. 15.1 9.0 520.7 1400(18.12%): .................................................. 15.2 9.0 594.4 1600(20.70%): .................................................. 15.1 9.0 668.4 1800(23.29%): .................................................. 15.2 9.0 742.1 2000(25.88%): .................................................. 15.3 9.0 815.8 2200(28.47%): .................................................. 15.3 9.0 889.5 2400(31.06%): .................................................. 15.3 8.9 963.1 2600(33.64%): .................................................. 15.4 9.0 1036.7 2800(36.23%): .................................................. 15.3 9.0 1110.3 3000(38.82%): .................................................. 15.3 9.0 1183.9 3200(41.41%): .................................................. 15.3 9.0 1257.6 3400(44.00%): .................................................. 15.3 9.0 1331.2 3600(46.58%): .................................................. 15.3 9.0 1404.7 3800(49.17%): .................................................. 15.3 9.0 1478.3 4000(51.76%): .................................................. 15.3 9.0 1551.9 4200(54.35%): .................................................. 15.2 8.9 1625.8 4400(56.94%): .................................................. 14.5 8.6 1702.5 4600(59.52%): .................................................. 15.0 8.8 1777.3 4800(62.11%): .................................................. 15.2 8.9 1851.6 5000(64.70%): .................................................. 15.1 8.9 1925.9 5200(67.29%): .................................................. 15.1 8.9 2000.3 5400(69.88%): .................................................. 15.1 8.9 2074.7 5600(72.46%): .................................................. 15.1 8.9 2148.9 5800(75.05%): .................................................. 15.2 8.9 2223.2 6000(77.64%): .................................................. 15.2 8.8 2297.5 6200(80.23%): .................................................. 15.1 8.9 2371.9 6400(82.82%): .................................................. 15.2 8.9 2446.2 6600(85.40%): .................................................. 15.1 8.9 2520.5 6800(87.99%): .................................................. 15.3 8.9 2594.6 7000(90.58%): .................................................. 14.6 8.6 2671.4 7200(93.17%): .................................................. 15.1 8.4 2748.0 7400(95.76%): .................................................. 15.3 5.4 2851.2 7600(98.34%): ................................ Test Result: Passed Tested size: 7728MB (100.00% Coverage of whole disk) Time used: 2901.5 sec Read Speed: 15.2MB/s Write Speed: 8.7MB/s Round 1 Finished! Round 2 started. Current Test Device: /dev/sdb Total size: 7728M Current Test Block: 4M. Current Time Limit: No limit Current Size Limit: No limit Time(Sec) Size(MB) Read(MB/s) Write(MB/s) 0.0 0(0.00%): .................................................. 14.7 8.4 77.9 200(2.59%): .............User interrupt! Restoring data back to disk... Test Result: Interrupted Tested size: 256MB (3.31% Coverage of whole disk) Time used: 99.3 sec Read Speed: 14.7MB/s Write Speed: 8.4MB/s Round 2 Finished!
Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt?
Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test Manuell ausführt siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F
Wie erwähnt wurde für ein "unclean shutdown" (zB Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start Prozess dies erkannt wird und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" das auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt das ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint:
System is starting... Starting system maintenance... scanning /dev/sda2... (100%)
In vorhergehenden Versionen des FortiOS dh. zB 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet ab FortiOS Version 5.2.3 wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde:
Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt so wird ein Neustart des Devices ausgeführt und dieser "filesystem check" beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem Einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!
PowerSupply
Kann man für FortiGate's seperate Spare und/oder Redundante PowerSupply (RPS) beziehen?
Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für die grösseren Devices stehen zusätzlich für die Redundanz ebenfalls "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatible sind zu den seperaten "RPS Devices" siehe nachfolgender Artikel:
Fortinet:ProduktInfo#FortiRPS
Nachfolgende Tabelle zeigt für welchen FortiGate Device welches sperate zu beziehende "PowerSupply" bestellt werden kann:
Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply":
ALSO Art Nr. Hersteller SKU Beschreibung 16503530H SP-FG20C-PA-EU AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D 16502510H SP-FG80-PDC AC power adaptor - AC power adaptor for FG/FWF-80C/CM 16501668H SP-FG60C-PDC AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D 16502889H SP-FG600C-PS AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C 16505060H SP-FG1240B-PS AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B
Ebenso stehen für die FortiAP sowie FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F
SFP Ports
Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte wie Cisco oder Huawai einsetzen?
Dies ist möglich jedoch ausgiebig vorgängig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren:
Copper GigaBit 10/100/1000 GLC-T=746320861579 Cisco Catalyst GigaEthernet SFP Modul 1000Base T 02314171 Huawayi Electrical Transceiver SFP Module 1000Base T NOTE Durch Fortinet werden ebenfalls nicht eigenen Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver über Fortinet bestellt, wird ein Transceiver zB von Huaway geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+ Module von Fortinet sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel: FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F
Welche FortiGate Device's unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert?
Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden:
NOTE NIL = Not Included!
Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden jedoch gibt es keine Gewährleistung das diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F) NOTE Desweiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt werden (speziell Seite 2 "3rd Party Transceivers Support"): Datei:Tech Note-Transceivers FAQs-201407-R3.pdf
Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung:
Transceiver LX, Long Range; all FortiGate models with SFP interfaces ALSO SKU 16500426H (Hersteller SKU FG-TRAN-LX) Transceiver SX, Short Range; all FortiGate models with SFP interfaces ALSO SKU 16500428H (Hersteller SKU FG-TRAN-SX) Transceiver Base-T (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000) ALSO SKU 16500427H (Hersteller SKU FG-TRAN-GC) 10-Gig transceiver, short range SFP+; all FortiGate models with SFP+ interfaces ALSO SKU 16500429H (Hersteller SKU FG-TRAN-SFP+SR) 10-Gig transceiver, short range XFP; all FortiGate models with XFP interfaces ALSO SKU 16500430H (Hersteller SKU FG-TRAN-XFPSR) 10-Gig transceiver, SFP+, Long Range; all FortiGate models with SFP+ interfaces ALSO SKU 16500431H (Hersteller SKU FG-TRAN-SFP+LR) 10-Gig transceiver, XFP, Long Range; all FortiGate models with XFP interfaces ALSO SKU 16500432H (Hersteller SKU FG-TRAN-XFPLR) 40-Gig transceiver, QSFP+, short range; all FortiGate models with QSFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+SR) 40-Gig transceiver, QSFP+, long range; all FortiGate models with QSFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR) 100-Gig transceiver, CFP2, short Range; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber) ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10) 100-Gig transceiver, CFP2, long Range; all FortiGate models with CFP2 interfaces (only singlemode) ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-LR4)
Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung:
10-Gig transceiver, SFP+, 10m direct attach cable; all FortiGate models with SFP+ and SFP/SFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)
Eine detaillierte Beschreibung der Tranceivereigenschaften befindet sich im folgenden Dokument:
Datei:TRAN-DAT-R2-201503 web.pdf
Was sind die genauen Spezifikationen der SFP's Module die von Fortinet für die FortiGate Devices geliefert werden?
Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird und welche SFP/SFP+ Module offiziell für die FortiGate's zur Verfügung stehen:
FortiGate-5.4:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F
In der nachfolgenden Tabelle werden die technischen Spezifikationen aufgelistet der SFP Module die von Fortinet für die FortiGate Devices geliefert werden:
NOTE Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" und über diesen sind weitere Informationen verfügbar: http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1
Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver:
Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-SX Rev 1.03.pdf Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-LR4 Rev 1.00.pdf Regulatory Doc Datei:Regulatory-Compliance-Document FG-TRAN-CFP2-SR10 Rev 1.00.pdf
ASIC/Hardware Acceleration
Consolen Port (Mgmt. Port)
Was für ein Kabel (Converter) benötige ich für den Consolen Anschluss (Seriell RS-232) auf einer FortiGate?
Eine Fortinet kann über Consolen Port, SSH, Telnet, HTTP, HTTPS Administriert werden. Bei Problemen oder für das initial Setup ist der Consolen Port unablässlich. Dabei handelt es sich beim Consolen Port über eine RS232 Schnittstelle. Die heutigen Workstation und/oder Laptops werden jedoch nicht mehr mit einem RS232 Anschluss ausgeliefert. Aus diesem Grund muss auf einen Converter zurückgegriffen werden. Bei diesen Convertern handelt es sich meistens um "USB to RS232 Converter". Dieses sind jedoch nicht unproblematisch dh. je nach Betriebssystem, Consolen Anschluss usw. kann es zu Problemen kommen dh. die Kompatibilität zu den verschiedenen Consolen Anschlüssen dh. vers. Hersteller und Geräten ist eine kompatibilitäts Frage! Der nachfolgende Artikel bietet eine "sehr hohe" Kompatibilität zu vers. Herstellern und hat den Vorteil, dass unter Windows 7/8 KEIN Treiber installiert werden muss (ab Windows 7 SP1). Wichtig bei der Installation ist nur das man das Gerät anschliesst und nachträglich einen Neustart ausführt. Ebenfalls wird der "FTDI Chip" basierende "USB to RS232 Converter" nur dann korrekt erkannt wenn dieser beim Start des Laptop korrekt angeschlossen ist (Immer den gleichen Anschluss benützen am Laptop). Nach der korrekten Erkennung des "USB to RS232 Converter" kann im entsprechenden Eintrag im Gerätemanager der Anschluss auf "Com1" umgestellt werden (per Standard ist Com3 gesetzt). Alle anderen Einstellungen sollten/können auf Standard belassen werden. Nachfolgend einige Informationen betreffend dieses "USB to RS232 Converter":
Datei:Fortinet-619.jpg
Technische Daten Hersteller: EXSYS (https://www.exsys.ch/index.php?page=product&info=393) Produkte-Nr: EX-1301-2 ALSO-Nr: [17500313H] Anschlüsse: 1 x A-Stecker Upstream, 1 x 9 Pin D-SUB Seriell Stecker Datenblatt: Datei:EX-1301-2-Datenblatt.pdf Handbuch: Datei:EX-1301-2-Handbuch.pdf Unterstützung: Win98SE/ME/XP/CE/2000/2003/Vista/Win7 und Linux (MacOS X) Driver: Datei:EX-1301-2.zip Driver Link: https://www.exsys.ch/index.php?page=product&info=393 Beschreibung: Das USB 1.1 zu RS-232 Kabel stellt eine Serielle RS-232 High Performance UART 16C550 Ausgang zur Verfügung. Er ist entwickelt worden um einen weiteren Seriellen Ausgang für PC, kleine Workstation oder Server über den USB 1.1 oder 2.0 Bus zu erweitern. NOTE Beim EX-1301-2 wird "kein" RS232-to-RJ45 Kabel mitgeliefert. Diese kann unter folgender ALSO-Nr bezogen werden: [16502947H]
Nachfolgendes Dokument zeigt wie auf einem MacOSx basierend auf diesem "USB to RS232 Converter" Adapter konfigiguriert wird inkl. der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:
Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf
Weitere Informationen zur genauen Pin-Belegung betreffend Fortinet Appliance und dem Seriellen Consolen Port siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F
Wie sieht die PIN-Belegung der Seriellen Consolen (RS-232 / DB9 / RJ-45 / AUX) auf einem FortiGate Device aus?
Nachfolgend die technischen Informationen über die Pin-Belegung der Seriellen Console der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail:
NOTE Einige FortiGate Devices haben einen RS-232 DB9 Konsolen Verbindung und andere haben eine RJ-45 Verbindung (wie zB A Modelle). Ebenso existieren Modelle mit einem AUX Port. Alle diese Varianten benützen die gleiche Serielle Pin-Belegung!
Kann ich auf einer FortiGate den Seriellen Consolen Port (RS-232) deaktivieren?
Wenn man zB verhindern möchte, dass in einem Datacenter usw. über den Seriellen Console Port unerlaubt zugegriffen wird, kann dieser ab FortiOS 5.0 mit folgenden Befehl deaktiviert werden:
# config system console # set login disable # end NOTE Dieses Kommando steht ab FortiOS 5.0 zur Verfügung und deaktiviert unter FortiOS 5.0 den "Seriellen Consolen" Port sowie den "USB" Port für den FortiExplorer. Ab FortiOS 5.2 wurde dieses Kommando erweitert dh. durch den hier gezeigten Befehl wird ab FortiOS 5.2 nur der "Consolen Port" deaktiviert und der "USB" Port muss sofern gewünscht seperat deaktiviert werden: # config system console # set fortiexplorer disable # end
Web Gui
Unter FortiOS 5.4 ist der Hostname auf der Login Page ersichtlich wie kann ich diesen aktivieren/deaktivieren?
Wenn man über das Web Mgmt. Interface einer FortiGate unter FortiOS 5.4 einloggt dann kann es sein das die Login Seite den "Hostnamen" des FortiGate Devices zeigt:
Möchte man diesen "Hostnamen" über die Login Page aktivieren resp. deaktivieren kann folgendes ausgeführt werden:
# config system global # set gui-display-hostname [enable | disable] # end
Unter FortiOS 5.4 kann ich zwar "Dashboards" sowie "Widgets" einblenden jedoch nicht mehr eigenen konfigurieren?
Unter FortiOS 5.4 fällt einem auf das keine zusätzlichen Dashboard's mehr erstellt werden können dh. es stehen über Mgmt. Web Interface folgende Konfigurationspunkte zur Verfügung:
Durch "Add Widget" kann ein zusätzliches "Widget" eingeblendet werden:
Möchte man nun ein zusätzliches "Dashboard" und/oder ein zusätzliches "Widget" über CLI konfigurieren ist dies nicht mehr möglich da folgende Befehle nicht mehr exisiteren:
# config system admin # edit [Name des Administrators zB "admin"] # config dashboard-tabs # end
# config system admin # edit [Name des Administrators zB "admin"] # config dashboard # edit 0 # set widget-type app-usage # set widget-type storage # set widget-type protocol-usage # set widget-type device-os-dist "Deivce/ # next # end
Somit steht unter FortiOS 5.4 nur das per Standard existierende "Dashbaord" zur Verfügung sowie die zur Verfügung stehenden "Widgets" die unter "Add Widgets" hinzugefügt werden können. Möchte man die Standard Konfiguration betreffend "Dashboard" wiederherstellen kann der Menüpunkt "Reset Dashboard" ausgeführt werden oder man kann unter CLI folgendes durchführen:
# diagnose sys dashboard reset
Durch diesen Befehl und/oder durch Ausführen von "Reset Dashboard" führt das System folgendes durch für den eingeloggten "Administratore" zB "admin":
# config system admin # edit "admin" # config dashboard # edit 1 # set column 1 # end # end # config system admin # edit "admin" # config dashboard # edit 2 # set widget-type licinfo # set column 1 # end # end # config system admin # edit "admin" # config dashboard # edit 3 # set widget-type jsconsole # set column 1 # end # end # config system admin # edit "admin" # config dashboard # edit 4 # set widget-type sysres # set column 2 # end # end # config system admin # edit "admin" # config dashboard # edit 5 # set widget-type alert # set column 2 # set top-n 10 # end # end
Unter FortiOS 5.4 sehe ich über das Web Gui nicht alle Features wie kann ich diese aktivieren/deaktivieren?
Wenn man unter FortiOS 5.4 auf dem Web Mgmt. Interface einloggt kann es sein, dass nicht alle Features resp. Menüpunkte angezeigt werden. Ein Beispiel ist zB die "Local In Policy". Auf dem Web Mgmt. Interface stehen diese Features zur Verfügung um diese zu aktivieren resp. zu deaktiveren:
System > Feature Select
Diese Feature sind ebenfalls über CLI verfügbar. Der Vorteil der CLI liegt darin das dort einige zusätzliche Features zur Verfügung stehen die über Web Mgmt. Interface nicht zur Verfügung stehen. Um die verschiedenen Features im Gui Bereich aufzulisten kann folgender Befehl benutzt werden:
# config system settings # get | grep gui gui-default-policy-columns: gui-icap : disable gui-implicit-policy : enable gui-dns-database : enable gui-load-balance : disable gui-multicast-policy: enable gui-dos-policy : enable gui-object-colors : disable gui-replacement-message-groups: enable gui-voip-profile : enable gui-ap-profile : enable gui-dynamic-profile-display: disable gui-ipsec-manual-key: disable gui-local-in-policy : enable gui-explicit-proxy : enable gui-dynamic-routing : enable gui-dlp : enable gui-sslvpn-personal-bookmarks: enable gui-sslvpn-realms : enable gui-policy-based-ipsec: enable gui-threat-weight : enable gui-multiple-utm-profiles: enable gui-spamfilter : enable gui-application-control: enable gui-casi : enable gui-ips : enable gui-endpoint-control: enable gui-dhcp-advanced : enable gui-vpn : enable gui-wireless-controller: enable gui-switch-controller: enable gui-fortiap-split-tunneling: enable gui-webfilter-advanced: enable gui-traffic-shaping : enable gui-wan-load-balancing: enable gui-antivirus : enable gui-webfilter : enable gui-dnsfilter : enable gui-waf-profile : enable gui-fortiextender-controller: disable gui-advanced-policy : disable gui-allow-unnamed-policy: enable gui-email-collection: enable gui-domain-ip-reputation: enable # set [Gebe die gewünschte Gui Option an] [enable | disable]
# config system global # get | grep gui gui-certificates : enable gui-custom-language : enable gui-device-latitude : gui-device-longitude: gui-display-hostname: enable gui-ipv6 : disable gui-lines-per-page : 50 gui-theme : green gui-wireless-opensecurity: enable # set [Gebe die gewünschte Gui Option an] [enable | disable] # end
Kann man auf einer FortiGate unter FortiOS 5.4 die Spalten innerhalb der "IPv4 Policy" konfigurieren?
Wenn man auf einer FortiGate unter FortiOS 5.4 eine Firewall Policy Rule erstellt dh. unter dem Menüpunkt "IPv4 Policy" dann werden nach der Erstellung der Firewall Policy Rule diese innerhalb verschiedener Spalten angezeigt. Diese Spalten können zwar im Browser verändert dh. zusätzliche Spalten hinzgefügt und gelöscht werden, jedoch diese Konfiguration ist nicht "persistent" dh. wenn der Browser Cache gelöscht wird geht die Konfiguration die über den Browser durchgeführt wurde verloren. Ueber die CLI sind diese Spalten der Firewall Policy Rule dh. für den Menüpunkt "IPv4 Policy" konfigurierbar und "persistent". Dazu führe folgendes aus:
NOTE Die Konfiguration unter zB FortiOS 5.2 für die "gui-default-policy-columns" geht bei einem Upgrade auf FortiOS 5.4 verloren. Der Grund ist die verschiedenen zur Verfügung stehenden Optionen wie zB "count" existieren nicht mehr. Anstelle von "count" wird "hit_count" benutzt und aus diesem Grund wird die Konfiguration nach einem Upgrade auf "unset" gesetzt was wiederum bedeutet auf FortiOS 5.4 "Standard"!
# config system settings # set gui-default-policy-columns ? *name Column name. # Seq #. name Name. policyid Policy ID. srcintf Source. dstintf Destination. srcaddr Source Address. dstaddr Destination. schedule Schedule. service Service. action Action. logtraffic Log. nat NAT. status Status. bytes Bytes. packets Packets. session Sessions. last_used Last Used. first_used First Used. hit_count Hit Count. profile Security Profiles. av-profile AV. spamfilter-profile Email Filter. webfilter-profile Web Filter. application-list Application Control. ips-sensor IPS. dlp-sensor DLP. icap-profile ICAP Profile. voip-profile VoIP Profile. profile-protocol-options Proxy Options. ssl-ssh-profile SSL Inspection. vpntunnel VPN Tunnel. comments Comments. source Source. users Users. groups Groups. devices Devices. profile-group Profile Group. traffic-shaper Traffic Shapers. per-ip-shaper Per-IP Traffic Shaper. endpoint-compliance Endpoint Compliance.
Aus den zur Verfügung stehenden Optionen kann somit folgendes als Beispiel ausgeführt werden:
# set gui-default-policy-columns "#" "policyid" "srcintf" "dstintf" "srcaddr" "dstaddr" "schedule" "service" "groups" "action" "profile" "logtraffic" "nat" "bytes" "hit_count" # end
NOTE bei der Konfiguration muss berücksichtig werden das die "Sequenz" dh. "#" definiert werden muss. Zusätzlich muss "name" ebenfalls definiert werden sofern das Feature "gui-allow-unnamed-policy" nicht aktiviert ist was wiederum bedeutet, dass dieses Feature innerhalb eine Firewall Policy erzwingt jeder Firewall Policy Rule einen Namen zu vergeben!
Upgrade
Soll ich (Stand Dezember 2015) ein Upgrade auf FortiOS 5.4.0 durchführen?
Es ist bei der FortiOS 5.4.0 zu beachten, dass es sich um einen neuen "General Availlibility Release" handelt. Wie aus den "Release Notes" zu entnehmen ist existieren auf diesem "Release 5.4.0" noch etliche "known issues". Ebenso stehen momentan noch nicht alle Informationen zur Verfügung betreffend den neuen Features und Funktionen zur Verfügung. Aus diesem Grund empfehlen wir diesen Release nicht für einen "produktiven Einsatz" da dieser Release aus unsere Sicht nicht "stable" ist. Für Testgeräte oder Laborgeräte ist es aber eine gute Sache sich mit dem neuen Release vertraut zu machen und sich in den neuen Release einzuarbeiten. Man kann sich mit dem neuen Menudesign vertraut machen und die neuen Features auf Herz Niere testen. Dabei ist jedoch die Kompatibilität zu anderen Devices wie zB FortiAnalyzr, FortiManager sowie FortiAP's zu berücksichtigen die in den "Release Notes" von FortiOS 5.4.0 explizit erwähnt werden.
Datei:Fortios-v5.4.0-release-notes.pdf
Es ist zu erwarten, dass neue Devices wie zB eine FG-30E, FG-50E mit dem neuen FortiOS 5.4.0 ausgeliefert werden. Speziell neue Devices wie FG-30E und FG-50E werden dann mit einem sogenannten "Brache Release" ausgeliefert was nicht dem "General Availibitliy Relase" entspricht. Aus diesem Grund und in jedem Fall empfehlen wir neue Devices von Grund auf neu zu "stagen". Wie dies durchzuführen ist siehe nachfolgender Artikel:
FortiGate:KonfigExample#How_to_Staging.2FSetup_.22Konfigurations_Example.22.3F
Welche FortiGate Geräte/Devices werden vom neuen FortiOS 5.4 unterstützt?
Das neue FortiOS Unterstützt wie nachfolgend abgebildet folgende Geräte:
Dies bedeutet: Nur die hier abgebildeten Geräte können durch ein Upgrade mit FortiOS 5.4 betrieben werden.
FortiView
In FortiView unter FortiOS 5.4 werden "unbekannte Applikationen" sowie "lokaler Traffic" nicht aufgelistet?
Unter der Voraussetzung das ein "logging" auf einer FortiGate korrekt konfiguriert wurde fällt einem auf, dass "unbekannte Applikationen" sowie "lokaler Traffic" nicht unter FortiView aufgelistet werden. Dies bedeutet: Wird "Application Control" benutzt und eine FortiGate kann eine Applikation nicht "identifizieren" fehlt dieser "Traffic" per Standard unter FortiView. Möchte man diese "unbekannten Applikationen" dennoch auflisten kann dies durch folgende Konfiguration durchgeführt werden:
# config log gui-display # set fortiview-unscanned-apps [enable | disable] # end
Ebenso wird der "lokale Traffic" einer FortiGate dh. initiert durch den Device selber wie zB DNS, FortiGuard usw. nicht unter FortiView aufgelistet. Möchte man diesen "lokalen Traffic" auflisten so kann dies folgendermassen Konfiguriert werden:
# config log gui-display # set fortiview-local-traffic [enable | disable] # end
Diese Konfiguration kann auch über Mgmt. Web Interface durchgeführt werden unter folgender Position:
Rules/Filter (Policy)
Gibt es für eine Firewall Policy Rule für FortiOS 5.4 betreffend benutzen Objekten eine Limite (Policy is too big for system)?
Ja diese Limite existiert und zwar bei allen FortiOS Versionen. Dies bedeutet: wenn eine Firewall Policy Rule erstellt wird und in dieser Firewall Policy Rule wird zB eine Gruppe benutzt für Objekte und in dieser Gruppe exisiteren eine Vielzahl von Objekten kann es zu Fehlermeldungen kommen wie zB:
"Policy is too big for system"
Dieser Umstand tritt auf wenn zB ein Upgrade durchgeführt wird und nachträglich eine neue Firewall Policy Rule erstellt werden möchte. Die Limite für eine Firewall Policy Rule betreffend enthaltenen Objekte ist die Folgende:
Für FortiOS 5.4.0 oder höher 9000+ Objekte
NOTE Für Informationen betreffend FortiOS 5.2.x siehe nachfolgender Artikel: FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_eine_Firewall_Policy_Rule_f.C3.BCr_FortiOS_5.2_betreffend_benutzen_Objekten_eine_Limite_.28Policy_is_too_big_for_system.29.3F
Der Grund für diese Limite ist realtiv einfach. Eine Firewall Policy Rule wird in den Kernel eines FortiOS geschrieben. In diesem Kernel existieren "memory limits" und diese verhindern das mehr Memory alloziert wird als gesetzt. Wenn dieser Umstand eintritt dh. zB für die Limite von 8000 Objekten (FortiOS 5.2.4 und tiefer) muss die Firewall Policy aufgeteilt werden in zwei Firewall Policy Rules.
Unter FortiOS 5.4 für eine "Firewall Policy Rule" existiert die Position "Name" um was handelt es sich dabei?
Wenn man unter FortiOS 5.4 eine neue Firewall Policy Rule" erstellt so fällt einem auf das im oberen Bereich eine Position existiert "Name". Wenn man für die zu erstellende "Firewall Policy Rule" per Standard keinen "Name" vergiebt so kann die "Firewall Policy Rule" nicht nicht entsprechend abgespeichert werden da per Standard die Vergabe des "Name" erzwungen wird. Diese Position indiziert einen "PCI Compliance" und wird für "Audits" benützt:
Die Bezeichnung des "Name" kann nicht benützt werden um die Logs auf der FortiGate zu Filtern da keine entsprechende Position zur Verfügung steht um dies auszuführen. Ebenso ist diese Position in den "Log Refrence" nicht enthalten. Somit steht diese Position rein im Zusammenhang mit der "PCI Compliance" resp. "Audits". Dies wird dann ersichtlich wenn ein "PCI Compliance" Report ausgeführt wird:
NOTE Weitere Informationen dazu wie ein "PCI Compliance" Report ausgeführt wird und um was es sich dabei handelt siehe nachfolgenden Artikel: FortiGate-5.4:FAQ#Was_ist_.22PCI_Compliance.22_und_wie_kann_ich_unter_FortiOS_5.4_einen_.22PCI_Compliance.22_Report_ausf.C3.BChren.3F
Bei einem Upgrade auf FortiOS 5.4 werden zwar die bestehenden "Firewall Policy Rules" übernommen dh. ohne "Name" und auch wenn bestehende "Firewall Policy Rules" modifiziert werden wird die Position "Name" nicht erzwungen, jedoch bei jeder neu erstellten "Firewall Policy Rule" wird "Name" erzwungen. Möchte man diese Funktion deaktiveren dh. damit die Vergabe von "Name" nicht mehr erzwungen wird so kann dieses Feature über folgende Position aktiviert werden:
System > Feature Select > Allow unnamed Policies
Ebenso kann über CLI dies konfiguriert werden:
# config system settings # set gui-allow-unnamed-policy [enable | disable] # end
Wenn ich für eine "Firewall Policy Rule" unter FortiOS 5.4 verschiedenen "Inspection Mode" benütze (flow/proxy) was gilt?
Neu unter FortiOS 5.4 wird der "Inspection Mode" Global konfiguriert dh. weitere Informationen siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Was_hat_sich_unter_FortiOS_5.4_betreffend_.22Security_Profiles.22_und_.22Inspection_Mode.22_grunds.C3.A4tzlich_ge.C3.A4ndert.3F
Wie dieser Artikel aufzeigt ist es jedoch möglich für "Security Profiles" individuelle Konfigurationen für den "Inspection Mode" durchzuführen dh. "proxy mode" und/oder "flow mode". Wenn dies geschieht kann der Traffic jedoch nicht individuell nach Konfiguration im "proxy mode" und/oder "flow mode" abgearbeitet werden dh. es gilt dann:
Wenn in einer Firwall Policy Rule "proxy mode" sowie "flow mode" Security Profiles gemischt werden, wird für alle UTM Funktionen die beides anbieten dh. "proxy mode" und/oder "flow mode" automatisch "proxy mode" benutzt obwohl ein Security Profile "flow mode" konfiguriert wurde!
UTM Proxy Options / Protocol Options
Was hat sich unter FortiOS 5.4 betreffend "Security Profiles" und "Inspection Mode" grundsätzlich geändert?
Für FortiOS 5.2 und tiefer wurde der "Inspection Mode" dh. "proxy mode" und/oder "flow mode" über die "Security Profiles" gesteuert. Dies bedeutet: Es gab keine "Globale" Einstellung um den Mode eben "proxy" und/oder "flow" Mode zu bestimmen. Dies ist nun möglich dh. der "Inspecton Mode" kann nun "Global" konfiguriert werden und gilt als Konfiguration für sätmliche bestehenden und neu erstellten "Security Profiles". Die Konfiguration wird unter Mgmt. Web Interface über folgender Position konfiguriert:
Wie man sieht wird bei dieser Konfiguration ein Hinweis eingeblendet dh. "Warning" um darauf hinzuweisen, dass dieser Wechsel des "Inpsection Mode" zur Folge hat, dass entsprechende "Security Profiles" umgeschrieben werden. Dieser Hinweis dh. die "Warning" wird nur über Mgmt. Web Interface angzeigt dh. wird die Konfiguration mit nachfolgenden Kommando über CLI durchgeführt, wird kein entsprechender Hinweis gezeigt:
# config system settings # set inspection-mode [proxy | flow] # end
Somit steht neu der "Inspection Mode" für jede VDOM im "vdom" Mode individuell zur Verfügung und kann seperat konfiguriert werden da die Option unter "config system settings" verfügbar ist dh. keine "Globale" Konfiguration sondern für jede VDOM konfigurierbar:
# config vdom # edit [VDOM Name zB "root"] # config system settings # set inspection-mode [proxy | flow] # end
Wenn der "Inspection Mode" geändert wird dh. von "proxy mode" auf "flow mode" oder umgekehrt so führt das FortiOS 5.4 im Hintergrund folgende Modifikationen automatisch durch:
-> Für jedes "Antivirus" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt. -> Für jedes "WebFilter" Profile wird das Kommando "set inspection-mode [proxy | flow]" durchgeführt. -> Wenn Global unter "config system settings" von "proxy mode" auf "flow mode" umkonfiguriert wird so wird für jede "Firewall Policy Rule" für die ein "Security Profile" im "proxy mode" existiert dieses entfernt! NOTE Wenn die "proxy mode" Security Profiles in den Firewall Policy Rules entfernt werden wie beschrieben so ist diese Konfiguration nicht mehr Rückgängig zu machen dh. es ist umbedingt empfohlen vorgängig ein Backup der Konfiguration durchzuführen. Ebenso empfiehlt es sich über Mgmt. Console den folgenden "debug" für die CLI zu aktivieren um so zu sehen was genau bei der Aenderung durchgeführt wird: # diagnose debug cli -1
Desweiteren ist ebenfalls zu berücksichtigen "was" mit den Security Profiles "Antivirus" sowie "WebFilter" durchgeführt wird, wenn der "Inspection Mode" geändert wird. Nachfolgende Tabelle zeigt au welche Unterschiede in den verschiedenen "Inspection Mode" für "Antivirus" sowie "WebFilter" Security Profiles existieren:
Nichts desto trotz und obwohl die Konfiguration unter "config system settings" konfiguriert wird, steht in den "Security Profiles" die "proxy mode" und "flow mode" unterstützten die Option per Standard bei Folgenden "Security Profiles" zur Verfügung um individuell eine Konfiguration durchzuführen:
# config [webfilter | antivirus] profile # edit [Name des Profiles] # set inspection-mode [proxy | flow] # end
Somit fragt man sich, ob diese "Security Profiles" dh. "WebFilter" und/oder "Antivirus" die einzigen die individuell konfiguriert werden können da andere "Security Profiles" ebenfalls im "proxy mode" und/oder "flow mode" unterstüzen. Nachfolgende Tabelle zeigt auf welche "Security Profiles" welchen "Inspection Mode" unterstützen:
Somit kann auch ein "DLP" sowie ein "Spamfilter" auf "flow mode" konfiguriert werden jedoch sind diese per Standard im "proxy mode" und werden bei Aenderung des "Globalen" Mode unter "config system settings" nicht in "flow mode" unkonvertiert und verbleiben somit im "proxy mode":
# config dlp sensor # edit [Name des Profiles] # set flow-based [enable | disable] # end
# config spamfilter profile # edit [Name des Profiles] # set flow-based [enable | disable] # end
Wenn der "Inspection Mode" für verschiedenen "Security Profiles" individuell konfiguriert wird ist zu berücksichtigen, was durchgeführt wird in einer "Firewall Policy Rule" wenn beide "Inspection Mode" benützt werden dh. "proxy mode" und/oder "flow mode". Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wenn_ich_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_unter_FortiOS_5.4_verschiedenen_.22Inspection_Mode.22_ben.C3.BCtze_.28flow.2Fproxy.29_was_gilt.3F
NTP / Time / Date
Wie kann ich auf einer FortiGate die Zeit sowie das Datum überprüfe sowie konfigurieren?
Die Zeit sowie das Datum lassen sich über Web Mgmt. Interface überprüfen sowie über CLI. Um die Zeit sowie das Datum über Web Mgmt. zu überprüfen sowie zu konfigurieren wähle folgendes:
Dashboard > [Widget Systeminformation] > System Time > Change
Unter dieser Position kann die Zeit und das Datum manuell überprüft sowie konfiguriert werden! Um die Zeit und das Datum über die CLI zu überprüfen kann folgendes Kommando benutzt werden:
# execute time current time is: 19:23:51 last ntp sync:Wed Dec 23 18:55:08 2015
# execute date current date is: 2015-12-23
Um die Zeit sowie das Datum über CLI zu konfigurieren kann folgendes durchgeführt werden:
# execute time hh:mm:ss
# execute date yyyy-mm-dd
Wie kann ich auf einer FortiGate die Zeitzone konfigurieren?
Die Definition der Zeitzone auf einer FortiGate kommt eine "wichtige" Funktion zu dh. FortiGuard benützt die Zeitzone für verschiedenen Konfigurationen. Die Zeitzone auf einer FortiGate ist per Standard auf "US&Canada" gesetzt. Somit benützt "FortiGuard" für dessen Service Server aus dieser Zeitzone "US&Canada". Das gleiche gilt für den WebFilter dh. wenn die Zeitzone nicht angepasst wird so benützt FortiGuard die WebFilter Datenbank der Zeitzone "US&Canada". Um die Zeitzone über Web Mgmt. Interface zu konfigurieren benütze folgende Position:
Dashboard > [Widget Systeminformation] > System Time > Change
Um die Zeitzone über CLI zu konfigurieren kann folgendes durchgeführt werden:
# config system global # set timezone ? 01 (GMT-11:00)Midway Island, Samoa 02 (GMT-10:00)Hawaii 03 (GMT-9:00)Alaska 04 (GMT-8:00)Pacific Time(US&Canada) 05 (GMT-7:00)Arizona 81 (GMT-7:00)Baja California Sur, Chihuahua 06 (GMT-7:00)Mountain Time(US&Canada) 07 (GMT-6:00)Central America 08 (GMT-6:00)Central Time(US&Canada) 09 (GMT-6:00)Mexico City 10 (GMT-6:00)Saskatchewan 11 (GMT-5:00)Bogota,Lima,Quito 12 (GMT-5:00)Eastern Time(US & Canada) 13 (GMT-5:00)Indiana(East) 74 (GMT-4:30)Caracas 14 (GMT-4:00)Atlantic Time(Canada) 77 (GMT-4:00)Georgetown 15 (GMT-4:00)La Paz 16 (GMT-3:00)Santiago 17 (GMT-3:30)Newfoundland 18 (GMT-3:00)Brasilia 19 (GMT-3:00)Buenos Aires 20 (GMT-3:00)Nuuk(Greenland) 75 (GMT-3:00)Uruguay 21 (GMT-2:00)Mid-Atlantic 22 (GMT-1:00)Azores 23 (GMT-1:00)Cape Verde Is. 24 (GMT)Monrovia 80 (GMT)Greenwich Mean Time 79 (GMT)Casablanca 25 (GMT)Dublin,Edinburgh,Lisbon,London 26 (GMT+1:00)Amsterdam,Berlin,Bern,Rome,Stockholm,Vienna 27 (GMT+1:00)Belgrade,Bratislava,Budapest,Ljubljana,Prague 28 (GMT+1:00)Brussels,Copenhagen,Madrid,Paris 78 (GMT+1:00)Namibia 29 (GMT+1:00)Sarajevo,Skopje,Warsaw,Zagreb 30 (GMT+1:00)West Central Africa 31 (GMT+2:00)Athens,Sofia 85 (GMT+2:00)Istanbul 32 (GMT+2:00)Bucharest 33 (GMT+2:00)Cairo 34 (GMT+2:00)Harare,Pretoria 35 (GMT+2:00)Helsinki,Riga,Tallinn 36 (GMT+2:00)Jerusalem 37 (GMT+3:00)Baghdad 38 (GMT+3:00)Kuwait,Riyadh 83 (GMT+3:00)Moscow 84 (GMT+3:00)Minsk 40 (GMT+3:00)Nairobi 41 (GMT+3:30)Tehran 42 (GMT+4:00)Abu Dhabi,Muscat 43 (GMT+4:00)Baku 39 (GMT+3:00)St.Petersburg,Volgograd 44 (GMT+4:30)Kabul 46 (GMT+5:00)Islamabad,Karachi,Tashkent 47 (GMT+5:30)Kolkata,Chennai,Mumbai,New Delhi 51 (GMT+5:30)Sri Jayawardenepara 48 (GMT+5:45)Kathmandu 45 (GMT+5:00)Ekaterinburg 49 (GMT+6:00)Almaty,Novosibirsk 50 (GMT+6:00)Astana,Dhaka 52 (GMT+6:30)Rangoon 53 (GMT+7:00)Bangkok,Hanoi,Jakarta 54 (GMT+7:00)Krasnoyarsk 55 (GMT+8:00)Beijing,ChongQing,HongKong,Urumgi,Irkutsk 56 (GMT+8:00)Ulaan Bataar 57 (GMT+8:00)Kuala Lumpur,Singapore 58 (GMT+8:00)Perth 59 (GMT+8:00)Taipei 60 (GMT+9:00)Osaka,Sapporo,Tokyo,Seoul 62 (GMT+9:30)Adelaide 63 (GMT+9:30)Darwin 61 (GMT+9:00)Yakutsk 64 (GMT+10:00)Brisbane 65 (GMT+10:00)Canberra,Melbourne,Sydney 66 (GMT+10:00)Guam,Port Moresby 67 (GMT+10:00)Hobart 68 (GMT+10:00)Vladivostok 69 (GMT+10:00)Magadan 70 (GMT+11:00)Solomon Is.,New Caledonia 71 (GMT+12:00)Auckland,Wellington 72 (GMT+12:00)Fiji,Kamchatka,Marshall Is. 00 (GMT+12:00)Eniwetok,Kwajalein 82 (GMT+12:45)Chatham Islands 73 (GMT+13:00)Nuku'alofa 86 (GMT+13:00)Samoa 76 (GMT+14:00)Kiritimati # set timezone 26 # end
Wie kann ich auf einer FortiGate die NTP Zeitsynchronisierung aktiviren und konfigurieren?
Um die NTP Zeitsynchronisierung über Web Mgmt. Interface zu aktivieren und zu konfigurieren wähle folgendes:
Dashboard > [Widget Systeminformation] > System Time > Change
NOTE Per Standard ist für die NTP Zeitsynchronisierung "FortiGuard" aktiviert. Dies ist nicht zu empfehlen. Es sollte ein "öffentlichen" NTP Server konfiguriert werden. Wir empfehlen "ch.pool.ntp.org" da dieser ein "öffentlicher" NTP Server ist und über mehrer "Stratum" Server verfügt! Wenn dennoch "FortiGuard" benutzt wird muss berücksichtig werden, dass diese NTP Server für "FortiGuard" nicht kostenlos zur Verfügung stehen sondern ein Service ist der unter der "FortiCare" Lizensierung zur Verfügung steht. Weitere Informationen dazu siehe nachfolgenden Artikel: Fortinet:FortiCare-FortiGuard#Wenn_ich_.22nur.22_DDNS_.28Dynamic_DNS.29.2C_GeoIP.2C_NTP_und_DNS_Service_von_FortiGuard_benutze_was_muss_ich_im_Minimum_lizensieren.3F
Wenn man die NTP Zeitsynchronisierung über CLI konfigurieren möcht kann folgendes durchgeführt werden:
# config system ntp # set ntpsync enable # set type custom # set syncinterval 360 # set server-mode enable # set interface "internal" # config ntpserver # edit 1 # set server "ch.pool.ntp.org" # set ntpv3 disable # next # end # end
Bei diesem Beispiel wird zusätzlich zur NTP Synchronisierung über "ch.pool.ntp.org" die Option "server-mode" aktiviert sowie das "internal" Interface. Dies bedeutet: Auf dem "internal" Interface wird durch die Aktivierung von "server-mode" ein NTP Dienst aktiviert der in diesem Segment den Clients für eine NTP Zeitsynchronisierung zur Verfügung gestellt wird. Dabei ist zu beachten, dass diese Konfiguration keine zusätzliche "Firewall Policy Rule" benötigt da im Hintergrund eine automatische "Firewall Policy Rule" hinzugefügt wird durch das FortiOS (Local-In Policy). Diese erlaubt den Zugriff auf das definierte "Interface" aus diesem Segement. Diese "Local-In Policy" ist über Web Mgmt. Interface ersichtlich sofern das entsprechende Feature aktiviert ist:
System > Feature Select > Additional Features > Local In Policy
Wenn dieses Feature aktiviert ist, sind die entsprechenden "Local In Policy" über folgende Position ersichtlich:
Policy & Objects > Local In Policy
PCI Compliance
Was ist "PCI Compliance" und wie kann ich unter FortiOS 5.4 einen "PCI Compliance" Report ausführen?
Die "PCI Compliance" Definition ist eine Beschreibung von Standards denen ein Implementer zB ISP, Finanzinstitute usw. folgend sollte. Somit bietet die Definion "PCI Compliance" Richtlinien an denen sich diese Implementer halten muss um als "PCI Compliance" zu gelten. Dies ist speziell im Zahlungsverkehr dh. Kreditkarten ein "muss". Weitere Informationen siehe nachfolgenden Link:
https://www.pcisecuritystandards.org/
Unter FortiOS 5.4 wurde dem Rechnung getragen dh. verschiedenen Positionen in verschiedenen Konfigurationen lehnen sich an diesen "PCI Compliance" an. Ein Beispiel wäre zB die Position "Name" innerhalb eine "Firewall Policy Rule". Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Unter_FortiOS_5.4_f.C3.BCr_eine_.22Firewall_Policy_Rule.22_existiert_die_Position_.22Name.22_um_was_handelt_es_sich_dabei.3F
Somit kann unter FortiOS 5.4 auch ein "PCI Compliance" Report ausgeführt werden dh. dieser überprüft die vorhandenen Konfiguration nach "PCI Compliance" Standard. Der Report resp. die Funktion ist jedoch per Standard deaktiviert und kann über Web Mgmt. Interface aktiviert und über einen "schedule" konfiguriert werden. Dabei wird "täglich" durch die Definition des "schedules" ein Report generiert in Form eines Logs. Um die entsprechende Konfiguration durchzuführen wähle im Web Mgmt. Interface folgende Position:
System > Advanced > Compliance
Der "PCI Compliance" Report kann ebenfalls nach der Aktivierung direkt ausgeführt werden mit "run now". Wird dies durchgeführt ist der Report in Form von Log's unter folgender Position verfügbar:
Log & Report > Compliance Events
NOTE Diese Konfiguration über Web Mgmt. Interface ist VDOM basierend dh. wenn der VDOM Mode benutzt wird so muss unter "global" generell die Funktion zur Verfügung gestellt werden. Dabei wird der "schedule" Global konfiguriert und in der VDOM entweder aktiviert oder deaktiviert!
Um auf der CLI die Konfiguration des "PCI Compliance" Report durchzuführen führe folgendes aus:
# config system global # set compliance-check enable # set compliance-check-time 09:00:00 # end
# config system settings # set compliance-check enable # end
Dabei ist folgendes zu berücksichtigen: Bei kleineren Devices wie zB FG-60D kann nicht auf "disk" geloggt werden. Somit stehen für die Logs lokal nur "memory" zur Verfügung sofern nicht Remote zB auf einen FortiAnalyzer geloggt wird. Da für das "memory" Logging 10% des vorhandenen Memory genutzt wird sind diese "Compliance Events" nicht "persistent" sondern sind nach kurzer Zeit nicht mehr verfügbar. Ebenso ist folgendes zu berücksichtigen: Jede Meldung des Reports resp. jeder Eintrag unter "Compliance Events" muss analysiert werden um zu bestimmen ob der Eintag ein Problem für die "PCI Compliance" darstellt. Dies bedeutet auch: Der nachfolgende Eintrag weist daraufhin, dass "deep inspection" für SSH nicht aktiviert wurde. Diese Funktion jedoch steht auf einem FG-60D nicht zur Verfügung also ist dieser Log Eintrag ein Hinweis jedoch kann nicht durch eine entsprechende Konfiguration behoben werden:
Es ist somit anzufügen, dass diese Funktion Hinweise liefert im "PCI Compliance" Bereich und nicht im allgemeinen "security" technische Bereich!
Log/Logging
Wie sieht eine vollständige Log Konfiguration für FortiOS 5.4 aus und wie wird diese durchgeführt?
Wenn man mit einer Firewall arbeitet ist die absolute Grundvoraussetzung ein zur Verfügung stehendes Log um anhand dessen Analysen durchzuführen. Desweiteren sind die enthaltenen Informationen in den Logs dh. Funktionen die man für die Log Details aktivieren kann unumgänglich und absolut Fundamental. Um eine vollständige Log Konfiguration durchzuführen unter FortiOS 5.4 führe folgendes aus:
Globale Log Konfiguration # config log setting # set resolve-ip [enable | disable] # set resolve-port [enable | disable] # set log-user-in-upper [enable | disable] # set fwpolicy-implicit-log [enable | disable] # set fwpolicy6-implicit-log [enable | disable] # set log-invalid-packet [enable | disable] # set local-in-allow [enable | disable] # set local-in-deny-unicast [enable | disable] # set local-in-deny-broadcast [enable | disable] # set local-out [enable | disable] # set daemon-log [enable | disable] # set neighbor-event [enable | disable] # set brief-traffic-format [enable | disable] # set user-anonymize [enable | disable] # set fortiview-weekly-data [enable | disable] # end NOTE Die Option "fortiview-weekly-data" steht nur Devices zur Verfügung die über ein "disk" Logging verfügen! Wir empfehlen für eine komplette Grundkonfiguration folgendes auszuführen: # config log setting # set resolve-ip enable # set resolve-port enable # set log-user-in-upper disable # set fwpolicy-implicit-log enable # set fwpolicy6-implicit-log disable # set log-invalid-packet disable # set local-in-allow enable # set local-in-deny-unicast disable # set local-in-deny-broadcast disable # set local-out enable # set daemon-log disable # set neighbor-event disable # set brief-traffic-format disable # set user-anonymize disable # end
Globale Network Visibility Log Konfiguration Aktiviere/Deaktivieren Network Visibility # config system network-visibility # set destination-visibility [enable | disable] # set source-location [enable | disable] # set destination-hostname-visibility [enable | disable] # set hostname-ttl [Definiere TTL Standard 86400] # set hostname-limit [Definiere Anzahl Hostname Limit Standard 5000] # set destination-location [enable | disable] # end Wir empfehlen für eine Konfiguration folgendes: # config system network-visibility # set destination-visibility enable # set source-location enable # set destination-hostname-visibility enable # set hostname-ttl 86400 # set hostname-limit 5000 # set destination-location enable # end
Globale Eventfilter Log Konfiguration # config log eventfilter # set event [enable | disable] # set system [enable | disable] # set vpn [enable | disable] # set user [enable | disable] # set router [enable | disable] # set wireless-activity [enable | disable] # set wan-opt [enable | disable] # set endpoint [enable | disable] # set ha [enable | disable] # set compliance-check [enable | disable] # end Wir empfehlen für eine Konfiguration folgendes: # config log eventfilter # set event enable # set system enable # set vpn enable # set user enable # set router enable # set wireless-activity enable # set wan-opt enable # set endpoint enable # set ha enable # set compliance-check enable # end
Globale Gui Log Konfiguration # config log gui-display # set resolve-hosts [enable | disable] # set resolve-apps [enable | disable] # set fortiview-unscanned-apps [enable | disable] # set fortiview-local-traffic [enable | disable] # set location [memory | disk | fortianalyzer | fortiguard] # end NOTE In dieser Konfiguration muss darauf geachtet werden, dass für die Option "location" der Device definiert ist der als "Log Device" definiert wird. Dies bedeutet: Wird als "Log Device" das Memory definiert so muss als "location" ebenfalls "memory" definiert werden. Durch "location" wir die API Schnittstelle definiert für den Zugriff auf die Datenbank die benützt wird für das Logging! Wir empfehlen für eine Konfiguration ausgehend davon, dass "memory" Logging benutzt wird folgendes: # config log gui-display # set resolve-hosts enable # set resolve-apps enable # set fortiview-unscanned-apps enable # set fortiview-local-traffic enable # set location memory # end
Device Log Konfiguration NOTE Bei dieser Konfiguration ist zu berücksichtigen, dass nur grösseren Geräten die "disk" für das Logging zur Verfügung steht. Kleineren Devices steht nur das "memory" für das Logging zur Verfügung. Wird "memory" benutzt wird 10% des Memory herangezogen um ein "memory" Logging durchzuführen. Diese 10% Memory werden immer wieder überschrieben um ein kontinuierliches Logging zu gewährleisten. Somit steht im Zusammenhang mit "memory" Logging keine History zur Verfügung. Wir empfehlen ein "Logging" auf FortiAnalyzer um eine History zu gewährleisten und das Memory nicht zusätzlich mit einem "memory" Logging zu belasten! Um zu verfizieren ob ein Device über die Möglichkeit verfügt auf "disk" zu "Loggen" kann die "Software Matrix" herangezogen werden: Datei:FortiOS-Software-Platform-Matrix-54.pdf Device Log Konfiguration "Null-Device" Diese Konfiguration ist zuständig, das Devices die nicht für "Remote Logging" (FortiAnalyzer) konfiguriert wurde dh. zB für "memory" dennoch über "statistics" verfügen. Dies bedeutet: Diese Funktion steht nur im Zusammenhang mit Lokalen Logging! # config log null-device setting # set status [enable | disable] # end Zu diesem Device dh. "null-device" existiert ebenfalls ein entsprechender Filter: # config log null-device filter # set severity [emergency | alert | critical | error | warning | notification | information | debug] # set forward-traffic [enable | disable] # set local-traffic [enable | disable] # set multicast-traffic [enable | disable] # set sniffer-traffic [enable | disable] # set anomaly [enable | disable] # set voip [enable | disable] # set filter [Benütze ? für weitere Informationen] # set filter-type [include | exclude] # end Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" oder "disk" als "Device Konfiguration" benutzt wird: # config log null-device setting # set status enable # end # config log null-device filter # set severity information # set forward-traffic enable # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # unset filter # set filter-type include Device Log Konfiguration "Memory" # config log memory setting # set status [enable | disable] # set diskfull overwrite # end # config log memory filter # set severity [emergency | alert | critical | error | warning | notification | information | debug] # set fortward-traffic [enable | disable] # set local-traffic [enable | disable] # set multicast-traffic [enable | disable] # set sniffer-traffic [enable | disable] # set anomaly [enable | disable] # set voip [enable | disable] # set set filter [Benütze ? für weitere Informationen] # set set filter-type [include | exclude] # end Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "memory" als "Device Konfiguration" benutzt wird: # config log memory setting # set status enable # set diskfull overwrite # end # config log memory filter # set severity information # set fortward-traffic enable # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # unset filter # set filter-type include # end Device Log Konfiguration "FortiAnalyzer" # config log fortianalyzer setting # set status [enable | disable] # set ips-archive [enable | disable] # set server [FortiAnalyzer IP] # set enc-algorithm [default | high | low | disable] # set conn-timeout [Buffer in Sekunden; Standard 10 ] # set monitor-keepalive-period [OFTP keepalive für Buffer und Status in Sekunden; Standard 5 ] # set monitor-failure-retry-period [Retry für keepalive und Buffer in Sekunden; Standard 5 ] # set source-ip 0.0.0.0 # set upload-option realtime # set upload-interval [Frequenz für Upload; Standard daily] # set upload-day [Tag in der Woche/Monat für den Upload; Standard "Kein Wert"] # set upload-time [Zeit Definition für Upload zB 00:00] # set reliable [enable | disable] # end NOTE Die Optionen "upload-interval, upload-day sowie upload-tim" stehen nur dann zur Verfügung wenn die "disk" für das Logging konfiguriert werden kann! # config log fortianalyzer filter # set severity [emergency | alert | critical | error | warning | notification | information | debug] # set fortward-traffic [enable | disable] # set local-traffic [enable | disable] # set multicast-traffic [enable | disable] # set sniffer-traffic [enable | disable] # set anomaly [enable | disable] # set voip [enable | disable] # set dlp-archive [enable | disable] # set filter [Benütze ? für weitere Informationen] # set filter-type [include | exclude] # end Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "fortianalyzer" als "Device Konfiguration" benutzt wird: # config log fortianalyzer setting # set status enable # set ips-archive enable # set server [FortiAnalyzer IP] # set enc-algorithm default # set conn-timeout 10 # set monitor-keepalive-period 5 # set monitor-failure-retry-period 5 # set upload-option realtime # set reliable enable # end # config log fortianalyzer filter # set severity information # set fortward-traffic enable # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # set dlp-archive enable # unset filter # set filter-type include # end Device Log Konfiguration "Disk" NOTE Ein Logging auf "disk" ist in allen Bereichen nicht empfohlen wenn der FortiGate Device über eine "Flash Disk" verfügt. Ob ein Device über "disk" Logging verfügt, kann der "Software Matrix" entnommen werden: Datei:FortiOS-Software-Platform-Matrix-54.pdf # config log disk setting # set status [enable | disable] # set ips-archive [enable | disable] # set max-log-file-size [Maximum Log Grösse bevor ein "Rolling" durchgeführt wird in MB; Standard 20] # set max-policy-packet-capture-size [Max Grösse für Capturing in MB; Standard 10] # set roll-schedule [daily | weekly] # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday] # set roll-time [Zeit Definition für "Rolling" zB 00:00] # set diskfull [overwrite | nolog] # set log-quota [Grösse der Log Quota in MB; Standard 0] # set dlp-archive-quota [Grösse der DLP Archiv Quota in MB; Standard 0] # set report-quota [Grösse der Report Quota in MB; Standard 0] # set maximum-log-age [Löschen von Logs die älter sind als X Tage; Standard 7] # set upload [enable | disable] # set upload-destination [ftp-server] # set uploadip [IPv4 Adresse des FTP Servers] # set uploadport [FTP Server Port; Standard 21] # set source-ip [IPv4 Source Adresse der Anfrage an FTP Server] # set uploaduser [FTP Server Username] # set uploadpass [FTP Server Passwort] # set uploaddir [FTP Server Upload Verzeichnis] # set uploadtype [traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp] # set uploadzip [enable | disable] # set uploadsched [enable | disable] # set uploadtime [Zeit Definition für Upload auf FTP Server zB 00:00] # set upload-delete-files [enable | disable] # set upload-ssl-conn {default | high | low | disable} # set full-first-warning-threshold [Erste Log Device Full Warnung in % 1 - 98, Standard 75] # set full-second-warning-threshold [Zweite Log Device Full Warnung in % 2 - 99, Standard 90] # set full-final-warning-threshold [Finale Log Device Full Warnung in % 3 - 100, Standard 95] # end # config log disk filter # set severity [emergency | alert | critical | error | warning | notification | information | debug] # set fortward-traffic [enable | disable] # set local-traffic [enable | disable] # set multicast-traffic [enable | disable] # set sniffer-traffic [enable | disable] # set anomaly [enable | disable] # set voip [enable | disable] # set dlp-archive [enable | disable] # set filter [Benütze ? für weitere Informationen] # set filter-type [include | exclude] # end NOTE Wenn eine Konfiguration betreffend "Rolling" durchgeführt werden möchte siehe nachfolgender Artikel: FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F Wir empfehlen folgende Konfiguration unter der Voraussetzung, dass "disk" als "Device Konfiguration" benutzt wird: # config log disk setting # set status enable # set ips-archive enable # set max-log-file-size 512 # set max-policy-packet-capture-size 10 # set diskfull overwrite # set log-quota 2048 # set dlp-archive-quota 256 # set maximum-log-age 7 # set full-first-warning-threshold 75 # set full-second-warning-threshold 90 # set full-final-warning-threshold 95 # end # config log disk filter # set severity information # set fortward-traffic enable # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # set dlp-archive enable # unset filter # set filter-type include # end Device Log Konfiguration "Syslog" Für eine Konfiguration betreffend "syslog" Server siehe nachfolgender Artikel: FortiGate-5.4:FAQ#Wie_wird_auf_einer_Fortigate_unter_FortiOS_5.4_eine_Log_Konfiguration_f.C3.BCr_einen_.22Syslog_Server.22_durchgef.C3.BChrt.3F Device Log Konfiguration "FortiGuard" # config log fortiguard setting # set status [enable | disable] # set upload-option [store-and-upload | realtime] # set upload-interval [daily | weekly | monthly] # set upload-day [Definition des Tages der Woche um ein Rolling der Logs durchzuführen] # set upload-time [Definition der Zeit für den Uploade zB 00:00] # set enc-algorithm [default | high | low | disable] # set source-ip [Definition der Source IPv4 Adresse für die Anfrage] # end NOTE Wenn "fortiguard" Logging konfiguriert wird muss vorgängig ein ForitCloud Account ID konfiguriert werden. Dies kann unter folgender Position im Mgmt. Web Interface durchgeführt werden: Dashboard > License Information Widget > FortiCloud Account > Activate Weitere Informationen zu FortiGuard "Logging" sowie FortiCloud siehe nachfolgender Artikel: FortiCloud(FAMS):FAQ
Zusätzlich existieren in den verschiedenen "Security Profiles" Logs die aktiviert werden können. Nachfolgend eine Aufstellungen dieser Logs betreffend "Security Profiles":
SSL Inspection Profile # config firewall ssl-ssh-profile # edit [Name des Profiles] # set ssl-invalid-server-cert-log [enable | disable] # end
Proxy Option Profile # config firewall profile-protocol-options # edit [Name des Profiles] # set oversize-log [enable | disable] # set switching-protocols-log [enable | disable] # end
Antivirus Profile # config antivirus profile # edit [Name des Profiles] # config http # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config ftp # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config imap # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config pop3 # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config smtp # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config mapi # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config nntp # set archive-log [encrypted | corrupted | multipart | nested | mailbomb | unhandled] # end # config nac-quar # set log [enable | disable] # end # set av-block-log [enable | disable] # set av-virus-log [enable | disable] # end
WebFilter Profile # config webfilter profile # edit [Name des Profiles] # config web # set log-search [enable | disable] # end # set log-all-url [enable | disable] # set web-content-log [enable | disable] # set web-filter-activex-log [enable | disable] # set web-filter-command-block-log [enable | disable] # set web-filter-cookie-log [enable | disable] # set web-filter-applet-log [enable | disable] # set web-filter-jscript-log [enable | disable] # set web-filter-js-log [enable | disable] # set web-filter-vbs-log [enable | disable] # set web-filter-unknown-log [enable | disable] # set web-filter-referer-log [enable | disable] # set web-filter-cookie-removal-log [enable | disable] # set web-url-log [enable | disable] # set web-invalid-domain-log [enable | disable] # set web-ftgd-err-log [enable | disable] # set web-ftgd-quota-usage [enable | disable] # end
Data Leak Prevention Profile # config dlp sensor # edit [Name des Profiles] # set dlp-log [enable | disable] # set nac-quar-log [enable | disable] # end
Application Control Profile # config application list # edit [Name des Profiles] # set other-application-log [enable | disable] # set unknown-application-log [enable | disable] # config entries # edit [Gebe einen entsprechenden Integer an zB "1"] # set log [enable | disable] # set log-packet [enable | disable] # end # end
Anti-Spam Profile # config spamfilter profile # edit [Name des Profiles] # set spam-log [enable | disable] # config imap # set log enable # end # config pop3 # set log enable # end # config smtp # set log enable # end # config mapi # set log enable # end # config msn-hotmail # set log enable # end # config yahoo-mail # set log enable # end # config gmail # set log enable # end # end
DNS Filter Profile # config dnsfilter profile # edit [Name des Profiles] # set log-all-url [enable | disable] # end
Cloud Access Security Inspection Profile # config application casi profile # edit [Name des Profiles] # config entries # edit [Gebe einen entsprechenden Integer an zB "1"] # set log [enable | disable] # end
Intrustion Protection Profile # config ips sensor # edit [Name des Profiles] # config entries # edit [Gebe einen entsprechenden Integer an zB "1"] # set log [enable | disable] # set log-packet [enable | disable] # set log-attack-content [enable | disable] # end
VoIP Profile # config voip profile # edit [Name des Profiles] # config sip # set log-violations [enable | disable] # set log-call-summary [enable | disable] # end # config sccp # set log-violations [enable | disable] # set log-call-summary [enable | disable] # end # end
Web Application Firewall # config waf profile # edit [Name des Profiles] # config constraint # config header-length # set log [enable | disable] # end # config content-lenght # set log [enable | disable] # end # config param-lenght # set log [enable | disable] # end # config line-length # set log [enable | disable] # end # config url-param-lenght # set log [enable | disable] # end # config version # set log [enable | disable] # end # config method # set log [enable | disable] # end # config hostname # set log [enable | disable] # end # config malformed # set log [enable | disable] # end # config max-cookie # set log [enable | disable] # end # config max-header-line # set log [enable | disable] # end # config max-url-param # set log [enable | disable] # end # config max-range-segment # set log [enable | disable] # end # end # config method # set log [enable | disable] # end # config address-list # set blocked-log [enable | disable] # end # config url-access # edit [Gebe einen entsprechenden Integer an zB "1"] # set log [enable | disable] # end # end
FortiClient Profile # config endpoint-control profile # edit [Name des entsprechenden Profiles] # config forticlient-winmac-settings # set forticlient-log-upload [enable | disable] # end # end
Desweiteren stehen auf "Globaler" sowie "System" Ebene folgende Logs zur Verfügung:
# config system global # set cli-audit-log [enable | disable] # set log-uuid [poliy-only | extended | disable] # end
# config system settings # set vpn-stats-log [ipsec | pptp | l2tp | ssl] # end
Für die "DoS-Policy" kann für jede "anomaly" ein Log aktiviert resp. deaktiviert werden:
# config firewall DoS-policy # edit [Gebe einen entsprechenden Integer an zB "1"] # config anomaly # edit [Name der "anomaly"] # set log [enable | disable] # end # end
Wie wird auf einer Fortigate unter FortiOS 5.4 eine Log Konfiguration für einen "Syslog Server" durchgeführt?
Das nachfolgend Beispiel zeigt wie auf einer FortiGate unter FortiOS 5.4 eine Log Konfiguration durchgeführt basierend auf einem "Syslog Server". Als "Syslog Server" wurde unter CentOS 5.x und/oder 6.x der integrierte "syslog" benutzt. Als ersten Schritt wird die FortiGate für den "Syslog Server" konfiguriert:
FortiGate Konfiguration # config log syslogd setting # set status enable # set server [FQDN Syslog Server] # set reliable [Aktiviere TCP-514 Verbindung; Per Standard deaktiviert resp. UDP-514] # set port [Standard 514] # set csv [enable | disable] # set facility [Per Standard local0] # set source-ip [Source IP der FortiGate; Standard 0.0.0.0] # end # config log syslogd filter # set severity information # set fortward-traffic enable # set local-traffic enable # set multicast-traffic enable # set sniffer-traffic enable # set anomaly enable # set voip enable # unset filter # set filter-type include # end NOTE Achte bei der Konfiguraiton des "filter" darauf das die "severity" auf "information" gesetzt wird!
Syslog Server Konfiguration CentOS 5.x / 6.x Als Erstes muss auf dem CentOS der "syslog" Server so konfiguriert werden, damit er von einem Remote Server "syslog" Nachrichten überhaupt annimmt. Führe auf der Shell folgendes durch: # vi /etc/sysconfig/syslogd --------------- /etc/sysconfig/syslogd --------------- # Options to syslogd # -m 0 disables 'MARK' messages. # -r enables logging from remote machines # -x disables DNS lookups on messages recieved with -r # See syslogd(8) for more details SYSLOGD_OPTIONS="-m 0 -r" # Options to klogd # -2 prints all kernel oops messages twice; once for klogd to decode, and # once for processing with 'ksymoops' # -x disables all klogd processing of oops messages entirely # See klogd(8) for more details KLOGD_OPTIONS="-x" # SYSLOG_UMASK=077 # set this to a umask value to use for all log files as in umask(1). # By default, all permissions are removed for "group" and "other". --------------- /etc/sysconfig/syslogd --------------- NOTE Achte und aktiviere unter "SYSLOGD-OPTIONS" den Schalter "-r" denn dieser ist zuständig damit von "Remote" Syslog Nachrichten entgegengenommen werden! Ist diese Option nicht gesetzt lehnt der "Syslog Server" auf dem CentOS die "syslog" Nachrichten von Remote ab! Nun legen wir ein neues Log File an und konfigurieren im "Syslog Server" welche Nachrichten entgegengenommen werden sollen. Zu diesem Zweck definieren wir die "facility" dh. "local0.*. Diese "facility" wurde ebenfalls auf der FortiGate als "local0" definiert. Durch die Differenzierung über die "facility" können vers. Fortigate's diesem "Syslog Server" Nachrichten senden und somit die vers. Log's der FortiGate Device's unterschieden werden! # vi /etc/syslog.conf --------------- /etc/syslog.conf --------------- # Log all kernel messages to the console. # Logging much else clutters up the screen. kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! local0.none;*.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log # Save Fortigate log messages to fortigate.log local0.* /var/log/fortigate.log #*.* @loghost --------------- /etc/syslog.conf --------------- NOTE Beachte bei der Konfiguration, dass die Leerschläge/Zwischenräume "gezwungenermassen" (Fileformat) Tabulatoren sein müssen! Um das Format zu überprüfen kann folgender Befehl abgesetzt werden: # m4 -D LOGHOST /etc/syslog.conf Nun legen wir das entsprechende Log File an, dass der "Syslog Server" benutzt um die "local0" Nachrichten des FortiGate Device, in das Log zu schreiben. Danach kann der "syslog" Service neu gestartetn werden um die Konfiguration zu aktivieren: # touch /var/log/fortigate.log # chmod 644 /var/log/fortigate.log # chown root:root /var/log/fortigate.log # service syslog stop # service syslog start Um das Log in "realtime" anzuschauen führe folgenden Befehl aus (um abzubrechen benütze Ctrl + C): # tail -f /var/log/fortigate.log
Die Konfiguration ist abgeschlossen dh. um die Konfiguration zu testen kann folgendes auf der FortiGate durchgeführt werden:
# diagnose log test
Dieses Kommando erstellt Test Log Einträge für jeden Bereich wie Authentication, SSL-VPN, Antivirus usw. Diese Test Log Einträge werden nun durch die Konfiguration für "log syslogd setting" zum "Syslog Server" gesendet und sollten im entsprechenden Log File "/var/log/fortigate.log" ersichtlich sein. Kommt es dabei zu Problem und es muss verifiziert werden "ob" die Fortigate diese "syslog" Nachrichten überhaupt sendet resp. die Log's auf dem CenOS ankommen benütze folgenden Befehl:
# tcpdump -nnp -i eth0 ip dst [Syslog Server IP] and port 514
Um das Log File "/var/log/fortigate.log" Täglich zu rotieren auf dem CentOS erstelle das folgende File:
# vi /etc/logrotate.d/fortigate --------------- /etc/logrotate.d/fortigate --------------- /var/log/fortigate.log { rotate 30 daily sharedscripts postrotate nomail /usr/bin/killall -HUP syslogd endscript } --------------- /etc/logrotate.d/fortigate ---------------
Die Konfiguration kann getestet werden mit folgenden Befehl:
# logrotate --force /etc/logrotate.d/fortigate
Wie kann ich unter FortiOS 5.4 für einen FortiGate Device eine "Log Rotation" konfigurieren?
Die Voraussetzung das auf einem FortiGate Device eine "Rotation" für das Log konfiguriert werden kann ist ein "disk" Logging. Ob ein FortiGate Device über diese Möglichkeit verfügt kann der "Software Matrix" entnommen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
Ein Log eines FortiGate Device's wird per Standard nicht "rotiert" dh. zum Beispiel auf täglicher Basis. Möchte man dies Konfigurieren führe folgendes durch:
# config log disk setting # set status enable # set diskfull overwrite # set max-log-file-size [Max Grösse in MB bevor ein neues Log erstellt wird; Standard 20] # set log-quota [Grösse für gesamter Log Speicher; Standard 0] # set roll-schedule [daily oder weekly] # set roll-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday] # set roll-time [Gebe die Zeit an im Format hh:mm] # set maximum-log-age [Gebe an nach wieviel Tagen ein Log gelöscht werden soll; Standard 7] # end
Berücksichtige dabei folgendes: Die Logs die "rotiert" werden können im Web Mgmt. Interface nicht explizit gewählt werden! Möchte man die Logs zusätzlich auf einen FTP Server überspielen siehe nachfolgenden Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Logs_eines_FortiGate_Devices_automatisiert_einem_FTP_Server_.C3.BCbermitteln.3F
Wie kann ich unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert einem FTP Server übermitteln?
Wenn unter FortiOS 5.4 die Logs eines FortiGate Devices automatisiert auf einen FTP Server übermittelt werden soll, muss muss zuerst eine Log "Rotation" konfiguriert werden. Die nötige Voraussetzung damit dies durchgeführt werden kann ist ein "disk" Logging. Ob ein "disk" Logging für einen FortiGate Device zur Verfügung steht, kann der "Software Matrix" entnommen werden:
Datei:FortiOS-Software-Platform-Matrix-54.pdf
Um eine Log "Rotation" zu konfigurieren siehe nachfolgender Artikel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_FortiGate_Device_eine_.22Log_Rotation.22_konfigurieren.3F
Für die Konfiguration um die Logs automatisiert einem FTP Server zu übermitteln stehen folgende Optionen zur Verfügung:
# set upload [Aktiviere oder Deaktiviere einen Upload der File anhand "enable oder disable"] # set upload-delete-files [Aktiviere oder Deaktiviere die Löschung der Logs lokal auf der Fortigate "nach" dem Upload anhand "enable oder disable"] # set upload-destination [Gebe das Ziel an für den Upload dh. "rortianalyzer oder "ftp-server"] # set upload-ssl-conn [Gebe an sofern ein FortiAnalyzer für den Upload benutzt wird wie Verschlüsselt werden soll dh. "default | high | low | disable"] # set uploaddir [Gebe das Upload Verzeichnis an in der Form zB /Log-Archiv/ ] # set uploadip [Wenn ein FTP Server benutzt wird für den Upload gebe die IP Adresse des FTP Server an] # set uploaduser [Wenn ein FTP Server benutzt wird für den Upload gebe den Usernamen des FTP Server an] # set uploadpass [Wenn ein FTP Server benutzt wird für den Upload gebe das Passwort des FTP Server an] # set uploadport [Wenn ein FTP Server benutzt wird für den Upload gebe den benutzten Port des FTP Server an] # set uploadsched [Aktiviere oder Deaktiviere den Upload zu einer bestimmten Zeit dh. anhand "disable | enable"] # set uploadtime [Definiert den Zeitpunkt (hh:mm) des Uploads sofern "uploadsched" aktiviert wurde] # set uploadtype [Gebe an "welche" File berücksichtigt werden; traffic | event | virus | webfilter | IPS | spamfilter | dlp-archive | anomaly | voip | dlp | app-ctrl | waf | netscan | gtp] # set uploadzip [Gebe an ob die Log Files "nach" dem Upload anhand ZIP Komprimiert werden sollen dh "disable | enable"] # set source-ip [Definiert die Source IPv4 Adresse für den Upload auf den FTP Server] NOTE Wenn "uploadsched" deaktiviert ist wird per Standard der Upload "nach" dem rotieren den Log Files ausgeführt!
Aus diesen zur Verfügung stehenden Optionen kann als Beispiel folgendes konfiguriert werden:
# config log disk setting # set upload enable # set upload-delete-files disable # set upload-destination ftp-server # set uploaddir /log-archive/ # set uploadip 193.193.135.65 # set uploaduser local.intra # set uploadpass only4also # set uploadport 21 # set uploadsched disable # set uploadtype traffic traffic event virus webfilter IPS spamfilter dlp-archive anomaly voip dlp app-ctrl waf netscan gtp # set uploadzip enable
Nach der Uebermittlung der Log Files auf den FTP Server werden diese in folgender Art und Weise auf dem FTP Server gespeichert (Beispiel Traffic Log):
tlog.FGT60D3G12013754.root.20120927000000.zip
Bei diesem Vorgehen ist folgendes zu berücksichtigen: Werden Logs vom FortiGate Device auf den FTP Server übermittelt, gibt es keine Möglichkeit diese für zB einer Analyse auf den FortiGate Device wieder einzuspielen.
Wie beeinflusst unter FortiOS 5.4 das Kommando "system network-visibility" die Logs und die enthaltenen Informationen?
Das Kommando "system network-visibility" steht im Zusammehang mit der "Geo IP Location". Diese bedeutet: Werden diese Optionen aktiviert (ist per Standard der Fall) so werden betreffend den einzelnen enthaltenen Optionen wie zB "source" Geo Location Informationen in den Logs zu den IP's angezeigt/hinzugefügt:
# config system network-visibility # destination-visibility [enable | disable] # source-location [enable | disable] # destination-hostname-visibility [enable | disable] # hostname-ttl [Definiere TTL Standard 86400] # hostname-limit [Definiere Anzahl Hostname Limit Standard 5000] # destination-location [enable | disable] # end NOTE Wenn die Option "source-location" aktiviert wird so wird für "internal" Resourcen zB LAN anstelle der Geo Location die Information "reserved" in den Logs angezeigt. Ebenso steht das nachfolgenden Kommando im direkten Zusammenhang mit der "network-visibility" resp. muss aktiviert werden damit die Geo Location in den Logs angezeigt/hinzugefügt werden: # config log gui-display # set resolve-hosts [enable | disable] # end
CLI
Wie kann ich auf einer FortiGate "sämtliche" zur Verfügung stehenden Befehle/Konfiguration aufzulisten?
Die CLI einer FortiGate ist umfassend und ist Hierachisch strukturiert. Diese Hierachie kann auf einer FortiGate anhand des nachfolgenden Befehls ausgegeben werden um einen Ueberblick zu erhalten:
# tree
Wenn dieser Befehl abgesetzt wird sollte dieser innerhalb eine SSH Verbindung abgesetzt werden und nicht innerhalb einer RS-232 Verbindung über den Mgmt. Port. Nachfolgend ein Beispiel des Output:
Output basierend auf FortiOS 5.4.0 tree-5.4.0