Chris spielplatz

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

Spielplatz

Vorwort


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Virtueller Schutz

Physischer Schutz

Physischer Schutz im Alltag

Physischer Schutz in den Ferien

Ferien sind schön
Ferien sind toll 

Ferien waren schön
Ferien werden schön

Datei:FortiCompanionToTechnicalSupport V2.10.pdf


Reliable Logging

Wie aktiviere ich Reliable Logging?

Aktivierung von Reliable Logging führt zum Wechsel des Transportprotokolls beim Transfer der Logs von FortiGate zu FortiAnalyzer oder Syslog. Das Transportprotokoll wechselt von UDP zu TCP. TCP hat folgende Vorteile:

- Reihenfolge der Daten bleibt unverändert
- Bestätigung im Fall eines erfolgreichen Transfers
- Verwendung von SYN, SYN-ACK, ACK handshake

Wählt man FortiAnalyzer als Option für Remote Logging im GUI, dann wird Reliable Logging automatisch aktiviert. Im CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:

Config cli.png Konfiguration über die CLI: 
 # config log fortianalyzer setting 
      set reliable [enable/disable]

Wählt man Syslog als Option für Remote Logging, ist im CLI folgender Befehl nötig: CLI muss Reliable Logging mit folgendem Befehl aktiviert werden:

Config cli.png Konfiguration über die CLI: 
 # config log syslogd setting 
      set mode udp | reliable | legacy-reliable   
 
 (Hinweis: Bei legacy-reliable wird Port 601 als Standard festgelegt)

Wählt man FortiCloud als Option für Remote Logging, ist TCP bereits festgelegt.

Wie aktiviere ich OFTPS um Log-Transfers zu verschlüsseln?

Bei aktiviertem Reliable Logging kann der Transfer der Logs von FortiGate zu FortiAnalyzer zusätzlich verschlüsselt werden, durch Verwendung von OFTP (SSL-verschlüsselt). Dies ist zu empfehlen, wenn der Transfer in einem unsicheren Netzwerk stattfindet.

Folgender Befehl im CLI inklusive Konfiguration des enc-algorithm und Aktivierung des Reliable Logging:

Config cli.png Konfiguration über die CLI: 
   # log fortianalyzer setting
         enc-algorithm [high-medium | high | low]
         set reliable enable 
   end

Authentifizierung

Troubleshooting

Im GUI findet man unter Firewall Policy nebst Namen, Source, Destination, Service etc. auch die Anzahl Bytes, welche die Firewall Policy passieren. Bytes (bzw. deren Anstieg) dienen als wichtiger Parameter bei der Analyse von Authentifizierungsproblemen. Beispielsweise, wenn ein User keine Aufforderung zur Authentifizierung erhält, obwohl die Firewall den Traffic analysiert und somit die Anzahl Bytes ansteigt.

CLI bietet mehrere Befehle, um zusätzliche Informationen zu fehlgeschlagenen Authentifizierungsversuchen sowie den entsprechenden Usern zu gewinnen:

Config cli.png Konfiguration über die CLI:

Anzeigen der authentifizierten User und deren IP Addressen: 

# diagnose firewall auth list

Bereinigen sämtlicher autorisierter User: 

# diagnose firewall auth clear

(Hinweis: Hilfreich, wenn mehrere User nach einem System- oder Gruppenwechsel neu authentifiziert werden müssen)

Troubleshooting bei aktiver Authentifizierung: 

# diagnose debug application fnbamd -1

(Hinweis: Immer zusammen mit # diagnose debug enable)

Testen des prehared key zwischen FortiGate und RADIUS server: 

# diagnose test authserver radius-direct <ip> <port> <secret>

Testen der LDAP Authentifizierung für bestimmte User: 

# diagnose test authserver ldap <server_name> <username> <password>

Zertifikate

Wie kann ich Zertifikate sichern (Back-Up) und wiederherstellen?

Mit der Sicherung einer FortiGate-Konfiguration werden simultan die Keys sowie die Zertifikate gesichert. Zusätzlich lassen sich auf der FotiGate Zertifikate als PKCS#12-File sichern, welches folgendes beinhaltet:

- Private Key
- Public Key
- Zertifikat per se

Das PKCS#12-File kann auf jedem FortiGate-Modell (sowie jeder Firmware-Version), und auf nicht-Fortinet Firewalls wiederhergestellt werden.

Das Sichern bzw. Back-Up ist nur über CLI möglich (ausserdem wird ein TFTP-Server vorausgesetzt). Folgender CLI-Befehl:

Config cli.png Konfiguration über die CLI: 
 # execute vpn certificate local import tftp <file-name_str> <tftp_ip>
 # execute vpn certificate local export tftp <file-name_str> <tftp_ip>

Wie konfiguriere ich Zertifikate (VDOM und Global)?

Possible to configure CA and a local certificate globally or per VDOM If uploading certificate to a VDOM, it is accessible only inside that VDOM If uploading certificate globally, it is accessible to all VDOMs and globally

VDOM and global-based certificate configuration includes ability to view certificate details, as well as download, delete, and import certificates

Note that some FG certificates have specific signature algorithms and key lengths in their names such as Elliptic Curve Digital Signature Algorithm 256 (i.e. ECDSA256)

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=Chris_spielplatz&oldid=26714