Fortinet:FortiCare-FortiGuard
Fortinet:Fortinet:FortiCare-FortiGuard
Vorwort
Dieser Artikel enthält Informationen und Dokumente im Zusammenhang mit dem RMA Service/Support von Fortinet. Es zeigt Schritt für Schritt wie ein Gerät ausgetauscht wird und welche Vorraussetzungen für diesen Austausch gelten!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FortiCare/FortiGuard
Was ist der Unterschied zwischen FortiCare/FortiGuard und 8 X 5 oder 24 X 7?
FortiCare ist Grundsätzlich der Service/Subscription für die Deckung der Hardware (Austausch bei Defekt, Firmware Upgrade etc.). FortiGuard ist der Service/Subscription für die Services selber wie Antivirus, IPS etc. Nachfolgende Tabelle gibt eine Kurzübersicht über Deckung und Unterschied zwischen 8 X 5 und 24 X 7 im Zusammenhang mit FortiCare/FortiGuards sowie den Bundle's die durch Fortinet angeboten werden:
Datei:Licensing Fortinet Services.pdf
Auf der zweiten Seite des Dokuments wird erklärt wie sich die Services verhalten wenn diese zu bestimmten Zeitpunkten registriert werden!
Wie wird ein FortiCare oder FortiGuard Registriert?
Fortinet kennt betreffend seinen Service zwei vers. Produkte:
FortiCare Subscription für Hardware/Firmware/Support (Jährlich 8 X 5 oder 24 X 7)
FortiGuard Subscription für Antivirus, IPS, WebFiltering, Email Filtering und Analysis & Mgmt (Jährlich)
Die Bestellung wird vom Reseller an die ALSO Schweiz AG als Distributor anhand der Serien Nummer des Devices aufgegeben. Die ALSO Schweiz verarbeitet den Auftrag und gibt diesen Fortinet zur Bestellung weiter. Geliefert bekommen die ALSO Schweiz ein Registration Code mit Details zur Bestellung dh. ob 8 X 5 etc. Wenn es sich um ein Renewal (Erneuerung) handelt registriert Fortinet -im normal Fall- das Renewal dh. der Reseller/Kunde muss keine erneute Registrierung zum Renewal auf dem Gerät durchführen. Wenn im Dokument indem der Registration Code enthalten ist das End-Datum enthalten ist so wurde das Renewal (Erneuerung) durch Fortinet bereits registriert. Wenn dies nicht der Fall ist muss auf dem Gerät eine Registrierung (auch im Fall eines Renewals) durchgeführt werden. Nachfolgend einige Beispiele:
Renewal (Erneuerung) muss nicht durchgeführt werden da bereits korrekt von Fortinet Registriert (Enddatum ersichtlich)!
Datei:Fortinet-191.jpg
Registration Code der benutzt werden muss um eine Registrierung durchzuführen!
Datei:Fortinet-192.jpg
ACHTUNG Der Registration Code ist -sofern Fortinet die Registrierung/Renewal nicht selber durchführt- nicht gekoppelt mit der Serien Nummer!
Gibt es eine Möglichkeit vers. Service mit vers. Ablaufdaten für FortiCare/FortiGuard zu Synchronisieren (Quote-Term)?
Ja, diese Möglichkeit gibt es! Dieser Vorgang wird anhand eine Quote-Term durchgeführt. Dies bedeutet, dass der Kunde die Geräte mit dessen Serien-Nummern zustellt sowie die Informationen welcher Service/Subscription gewünscht wird. Anhand dieser Informationen wird eine Quote-Term bei Fortinet erstellt mit den Angaben des Kunden. Dieser Quote-Term gilt als Offerte von Fortinet an sich selber. Bei Bestellung wird dieser Quote-Term als Bestellung selber übermittelt. Fortinet verarbeitet diesen Quote-Term und bringt alle Ablaufdaten Synchron auf das gewünschte Ablaufdatum.
Um so eine Quote-Term zu erhalten muss der Kunde dem Distributor die zu "synchronisierenden" Serien Nummern der Device übermitteln mit dem gewünschen "Synchronisations Datum". Danach kann der Distributor unter der Distributions Partner Seite eine Quote-Term erstellen:
--> Logge Dich auf der Partner Seite von Fortinet ein:
https://partners.fortinet.com/Login.aspx
--> Nachdem erfolgreichen Einloggen wähle "Rechts" den folgenden Menüpunkt:
Renewal Tracking
--> Nun können die entsprechenden Serien Nummern unter "If you know the serial numbers,....." eingegeben werden:
NOTE Wenn mehrer Serien Nummern eingegeben werden, können diese mit "," getrennt eingegeben werden!
--> Sobald die Serien Nummern eingegeben wurden gehe auf "Search"
--> Nun wird im unteren Bereich der entsprechende "Reseller/Endkunde" angezeigt!
--> Selektiere den Reseller unter "Company"
--> Im nächsten Dialog werden die einzelnen Devices mit deren Ablauf Datum aufgelistet
--> Selektiere (Rechts Kästchen aktivieren) nun alle Devices für die ein Quote Term erstellt werden soll!
--> Danach gehe auf die Position "Generate Coterm Quote". Nun gebe folgendes ein:
Quote Title [ZB Reseller Name mit event. Projekt]
Comment [Zusätzliche Kommentare]
Effective Date [Heutiges Datum]
Coterm Date [Synchronisations Datum]
--> Danach gehe auf "Next"
--> Nun kann im nächsten Schritt unter "Select Renewal Service Package" das entsprechende Service Package
gewählt werden! Wähle dazu "Select" und gebe das entsprechende Service Package an. Danach gehe wiederum
mit "Next" weiter (Next steht erst dann zur Verfügung wenn für alle Modelle ein entsprechendes Service
Package gewählt wurde)!
--> Nun wird unter dem Register "Review Quote and Continue" eine Uebersicht gezeigt WAS gewählt worden ist
innerhalb der Quote!
--> Bis anhin wurde die Quote nicht abgesendet dh. zu Fortinet übemittelt! Sobald man auf "Confirm" geht
wird die Quote Fortinet übermittelt und eine Quote ID generiert anhand dieser die Bestellung
an Fortinet ausgeführt wird.
NOTE Um den $ Preis zu kalkulieren benutz in der Offert die Position "GPL USD"
Die Registrierung FortiCare/FortiGuard ist auf der Fortigate nicht ersichtlich, was kann ich tun?
Wenn die Registrierung von Fortinet ausgeführt wurde müssten die Angaben nachträglich auf der Fortigate über das Dashboard (System Information) ersichtlich sein. Ist dies nicht der Fall -oder nur teilweise- so sollte folgendes durchgeführt werden:
Wähle im Dashboard das Consolen Fenster (Widget). Dieses befindet sich am Ende der Seite (Schwarzes Fenster).
Dieses stellt über Web die Console dar. Gebe dort folgenden Befehl ein:
Ist der Server für Antivirus und IPS Updates von der FortiGate erreichbar:
# execute ping update.fortiguard.net
Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
# diagnose test app dnsproxy 1
Ist der Server für WebFilter und AntiSpam von der FortiGate erreichbar:
# execute ping service.fortiguard.net
Wenn der Server nicht erreichbar ist kontrolliere die DNS Einstellungen der FortiGate (System > Network > DNS) oder lösche event. den DNS Cache:
# diagnose test app dnsproxy 1
Kontrolliere ob das Autoupdate eingeschaltet ist:
# diagnose autoupdate status
IPS definition update: enable
Virus definition update: enable set
Kontrolliere wenn der nächste Update ausgeführt werden sollte:
# diagnose test update info
Führe einen manuellen Update (force) aus:
# execute update-now
ACHTUNG Es sollte mind. 2 Stunden gewartet werden bis die nächsten Schritte vollzogen werden resp. Wenn sich der Status
Der Registrierung nicht ändern sollten die nachfolgenden Schritte durchgeführt werden!
NOTE Wenn die Fortigate oder eine Fortimail plötzlich keine Registrierung zeigt ist dieser Vorgang ebenfalls durchzuführen.
Diese Situation kann entstehen wenn Fortinet Produkte abrupt vom Netz genommen werden oder unkontrolliert (Stromausfall)
vom Stromnetz genommen werden. Wenn in dieser Zeit der "Update-Prozess" ausgeführt wird bleibt dieser hängen und kann
nicht neu initiert werden. Durch die erneute Ausführung des "Update" (manuell über Console) und einem erneuten Reboot
wird/kann dieses Problem gelöst werden!
Um den Status des Updates abzufragen kann folgendes benutzt werden:
# diagnose debug application update [Debug Level zB 1]
# diagnose debug enable
NOTE Debug Level sind:
1: Fehlermeldungen
2: Major-Events
4: Alles
Nicht vergessen den Debug wieder abzuschalten mit:
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Durch diesen Befehl werden die Fortinet Services kontaktiert (force) und die neusten Informationen abgeholt. Bringt dies keine Abhilfe führe einen Neustart des Gerätes durch (auf jedenfall ca. 1 – 2 Stunden warten nachdem absetzen des obigen Befehls) und kontrolliere abermals das Dashboard:
# execute reboot
NOTE Auch nachdem Neustart kann es durchaus bis zu 2 Stunden gehen bis sich der Registrierungs Status
des Devices für die vers. Services ändert!
Wenn unsicher ist ob die FortiGuard Server zur Verfügung stehen (und welche), kann mit folgenden Befehl das "rating" dieser Server überprüft werden:
# diagnose debug rating
Locale : english
License : Contract
Expiration : Sun Jul 24 20:00:00 2011
Hostname : service.fortiguard.net
-=- Server List (Tue Nov 2 11:12:28 2010) -=-
IP Weight RTT Flags TZ Packets Curr Lost Total Lost
69.20.236.180 0 10 -5 77200 0 42
69.20.236.179 0 12 -5 52514 0 34
66.117.56.42 0 32 -5 34390 0 62
80.85.69.38 50 164 0 34430 0 11763
208.91.112.194 81 223 D -8 42530 0 8129
216.156.209.26 286 241 DI -8 55602 0 21555
NOTE Es sollten zwischen 3 - 5 Server zur Verfügung stehen für den FortiGuard Service der aus der Cloud von Fortinet
zur Verfügung steht! Die Server werden mit vers. Flags gekennzeichnet. Diese bedeute folgendes:
Datei:Fortinet-458.jpg
Ebenso kann der FortiGuard Status abgefragt werden:
# get system fortiguard-service status
Welcher Port wird durch den FortiGuard Service benutzt und wie kann ich diesen wechseln?
Der FortiGuard Service/Port läuft per Standard auf Port TCP 53 (DNS Port). Dies ist nicht in jedem Fall empfehlenswert dh. muss der FortiGuard Request zuerst durch eine "vorgelagerte" Firewall, IPS System ", wird/kann dieser Request durch die "vorgelagerte" Firewall, IPS System geblockt werden. Der Grund dafür liegt darin das Port 53 (DNS) ein "Priviligierter Port" ([Name and Transport Protocol Port Number Registry]) darstellt dh. wird für DNS benutzt. Der FortiGuard Service über Port TCP 53 wird auf dieser "vorgelagerter" Firewall und/oder IPS System als "Malformed DNS" Anfrage erkannt und geblockt da die Header nicht einer DNS Anfrage entspricht. Als Alternative steht der Port 8888 zur Verfügung. Möchte man diese Alternative (empfohlen) nützen so benütze folgendes Kommando:
# config system fortiguard
# set port [Wähle Port 53 oder 8888]
# end
Der Port kann ebenfalls über das Mgmt. WebInterface gewechselt werden:
System > Config > FortiGuard > Web Filtering and Email Filtering Options
Wo finde ich Informationen betreffend aktueller Datenbank für Virendefinition, IPS, WebFilter usw. für FortiGuard?
Auf der Web Seite von FortiGuard sind diese Informationen vorhanden. Nachfolgend einige wichtige Links betreffend diesen Informationen:
FortiGuard Service Update http://www.fortiguard.com/updates/ Antivirus Service http://www.fortiguard.com/updates/antivirus.html Intrusion Protection http://www.fortiguard.com/updates/ips.html Application Control http://www.fortiguard.com/updates/applications.html Web Filtering http://www.fortiguard.com/updates/webfiltering.html Antispam http://www.fortiguard.com/updates/antispam.html Vulnerability Management http://www.fortiguard.com/updates/vcm.html Database Security http://www.fortiguard.com/updates/db.html Web Security http://www.fortiguard.com/updates/web.html
Muss ich für die "Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?
Weitere Informationen betreffend dieser Frage siehe folgender Artikel:
FortiAP:FAQ#Muss_ich_f.C3.BCr_die_.22Warranty.22_eines_FortiAP.27s_ein_FortiCare_.28Maitenance.29_beziehen.3F
Werden in einem Trade-Up die bestehenden Services (Subscription FortiGuard/FortiCare) des alten Gerätes auf das Neue übernommen?
Wenn ein Trade-Up durchgeführt wird zB von einer Fortigate 100A auf eine 100D und auf der 100A noch bestehende Services existieren dh. zB FortiCare und/oder FortiGuard werden diese Services 1:1 übernommen sofern das Trade-Up in der gleichen Linie stattfindet! Dies gilt jedoch nicht generell dh. folgendes Dokument gibt genauen Aufschluss darüber ob die Service's für ein Device/Gerät übernommen werden:
Fortinet:Promotionen#Trade-Up