FortiCloud:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiCloud(FAMS):FAQ 

 24 X 7 PROMOTION bis 31. Dezember 2015
 
                        Weitere Informationen finden Sie hier!

Vorwort

Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiCloud (FAMS)

Was ist unter FortiCloud (FAMS, Fortinet Analys and Mgmt. System) zu verstehen?

Nun Fortinet Devices haben teilweise keine lokale Disk's dh. solche Geräte loggen in's Memory (RAM 10%). Ist dieser Platz vollends aufgebraucht werden die bestehenden Logs aus dem Memory wiederrum überschrieben und die alten Logs gehen unwiederruflich verloren. Wird ein Neustart des Gerätes ausgeführt werden die Logs -da im Memory gespeichert- ebenfalls komplett gelöscht. Devices mit Disk's benützen Flash basierende Disk's was für das Logging problematisch ist. Folgendes ist zu berücksichtigen um festzustellen welcher Device über welche Log Option verfügt: 

       Ab FortiOS 4.3 Patch 12 sowie FortiOS 5.0.2 wird das Logging bei kleineren Devices (100D und kleiner) deaktiviert?
       
       Fortigate:FAQ#Ab_FortiOS_4.3_Patch_12_sowie_FortiOS_5.0.2_wird_das_Logging_bei_kleineren_Devices_.28100D_und_kleiner.29_deaktiviert.3F 

       Ab FortiOS 5.2 wird das Logging auf Disk (FortiGate 100D und kleiner) deaktiviert und Disk steht nicht mehr zur Verfügung?
       
       Fortigate:FAQ#Ab_FortiOS_5.2_wird_das_Logging_auf_Disk_.28FortiGate_100D_und_kleiner.29_deaktiviert_und_Disk_steht_nicht_mehr_zur_Verf.C3.BCgung.3F

       Desweiteren gibt die "Software Matrix" Auskunft welche Funktionen (Logging) auf welchem Device wie zur Verfügung steht:
       
       Fortigate:FAQ#Welche_Ger.C3.A4te.2FDevices_werden_vom_neuen_FortiOS_5_unterst.C3.BCtzt_und_welche_neuen_Features_umfasst_FortiOS_5.3F

Möchte man nun diese Logs extern speichen etc. hat man mehrere Möglichkeiten: 

       - FortiCloud (FAMS, Fortinet Analys and Mgmt. System)
       - FortiManager/FortiAnalyzer
       - Syslog

Dieser FortiCloud (FAMS) Service ist im "keinem" Service (Subscription) enthalten sondern steht zur Verfügung sobald ein Device registriert wurde. Der Name "FortiCloud" wird im Zusammenhang mit FortiOS 5.0.2 gebracht dh. früher hies der Service FAMS (Fortint Analys and Mgmt. System). Jedem Device steht 1 GB Storage (100 MB Log max. pro Tag und max 30 Tage Archiv) zur Verfügung (Daten werden im Datencenter in Burnaby, Canada gespeichert sowie die Komunikation in dieses Datencenter dh. von der Fortgate zur FortiCloud (FAMS) Infrastruktur ist/sind verschlüsselt). Wenn 1 GB aufgebraucht ist stoppt das Logging auf dem FortiCloud (FAMS) Server und alte Infos müssen zuerst gelöscht werden (Keine Auto-Roll Funktion). Ebenfalls können über den FortiCloud (FAMS) Service Reports erstellt werden. Diese Report's können jedoch nicht selbst erstellt werden. Die Report Funktion auf dem Device im üblichen Sinne stehen bei kleineren Geräten nicht mehr zur Verfügung (Menüpunkt fehlt vollends). Möchte man "mehr" Storage erwerben um die Daten länger aufzubewahren -auf dem FAMS Server- so kann ein Storage Contract abgeschlossen werden (Zusätzliche Subscription). Mit diesem Contract lässt sich dann individuell definieren wielange diese Logs aubewahrt werden sollen. Um den FortiCloud (FAMS) Service auf einem Gerät zu aktivieren gehe folgendermassen vor: 

       NOTE Der Service FortiCloud (FAMS) untersteht den Rechtsbestimmungen (under the law) von Kalifornien/US:
            
            https://www.forticloud.com/help/agreement.html

       Folgendes Offizielle Dokument von Fortinet gibt Auskunft ueber verschiedenen Fragen im Zusammenhang mit FortiCloud (FAMS):
       
       Datei:FortiCloud FAQ.pdf
       Datei:Forticloud-guide.pdf
       Datei:FortiCloud data sheet.pdf
       Datei:FortiCloud Sales Presentation.pptx

       -> Erstelle auf folgenden Internet Link einen Account (kann auch über den Device selber über Menüpunkt "FortiCloud" (FAMS) > Activate erstellt werden) dh. 
       
          https://www.forticloud.com  NEW (Oktober 2012)
          http://fams.fortinet.com    OLD
       
          NOTE Sobald die entsprechende Account ID für das Gerät existiert kann unter den Einstellungen im Account
               selber (Rechts Oben am Rand) ein Master Account ID hinzugefügt werden dh. später sind diese Geräte dann 
               auch in diesem Master Account ID ersichtlich dh. für den Endkunden sollten seperate Account ID's
               erstellt werden und danach den Reseller Account als Master Account ID hinzugefügt werden! Die 
               gleiche Hirachie kann bei einem Grossen Endkunden für Niederlassungen benützt werden. Ebenfalls
               wird unter den Einstellungen in der Account ID ein allfälliger "Storage Contract" hinzugefügt. Unter den
               Einstellungen in der Account ID findet man auch eine Menüpunkt "Users". Mit diesem Menüpunkt lassen sich 
               zusätzliche User für diese Account ID erfassen die zB nur "Read-Only" Funktion haben.
       
       -> Anhand der neu erstellten Account ID kann dann der Device selber über das Dashboard registriert werden dh. wähle (Anweisungen basierend auf 4.3 MR7):
       
          System > Dashboard > Status > License Information Widget > FAMS (Activate)
        
       -> Um den Device Anzuweisen die Logs dem FAMS zu senden führe folgendes durch:
        
          Log&Report > Log Config > Log Setting > Logging and Archiving > Updload logs remotely > FAMS (In Realtime)
        
       -> Erstelle eine Policy/Rule die das Logging zum FAMS erlaubt!
        
       -> Aktiviere in den entsprechenden Policy/Rule die Logging Funktion "Log Allowed Traffic"
        
       -> Wenn kein "FortiGuard Web service" existiert auf dem Device, jedoch betreffend URL Filter ein "web activity report" 
          gewünscht ist kann dies folgendermassen erreicht werden:
        
          --> Erstelle eine URL Filter der für JEDE URL Filter matched ("^.*$")
          --> Erstelle die entsprechende Policy/Rule für diesen URL Filter
          --> Aktiviere in dieser Policy/Rule für diesen URL Filter "Log Allowed Traffic"
        
          NOTE Durch diesen URL Filter matched anhand "Regular Expression" jede URL und da das Log für diese
               Policy/Rule für den URL Filter aktiviert ist, werden die entsprechenden Infos an den FortiCloud (FAMS) 
               Server übermittelt.

Sobald der Service FAMS registriert ist so komuniziert der Device mit dem FAMS Service über folgende Ports: 

          SSL over TCP Port 443, 514 und 541.

Nachfolgend einige Printscreens dieses FortiCloud (FAMS) Server und dessen Möglichkeiten: 

      Fortinet-208.jpg

      Fortinet-209.jpg

      Fortinet-210.jpg

      Fortinet-211.jpg

      Fortinet-1323.jpg

Gibt es für den FortiCloud (FAMS) Service betreffend Device Management Funktionen wie Backup, Script etc.?

Per Default stehen diese Management Funktionen über FortiCloud (FAMS) nicht zur Verfügung denn die Funktion benötigt eine Mgmt. Konfiguration auf der FortiGate. Dies bedeutet zu diesem Zweck muss der Mgmt. Tunnel auf der FortiGate zum FortiCloud (FAMS) Service konfiguriert werden (TCP 541). Um diesen Mgmt. Tunnel zu konfigurieren führe auf dem Device folgendes aus: 

       # config system central-management
       # set mode backup
       # set type fortiguard
       # end

Danach wird ein Mgmt. Tunnel in die FortiCloud (FAMS) etabliert und im Account in der FortiCloud (FAMS) können die Funktionen genutzt werden.

Ist es möglich mit dem FortiCloud (FAMS, Fortinet Analys and Mgmt. System) Service die Logs zu "rotieren" oder ein "purge" auszuführen?

Ja dies ist so möglich jedoch eingeschränkt dh. wenn über FortiGuard der Services FAMS oder neu unter "FortiCloud" genutzt wird können die entstehenden Logs auf der Platform nicht manuell manipuliert werden dh. zB ein "purge" oder ein "rotate" ausgeführt werden (Es kann nur Rolling Logs aktiviert oder deaktiviert werden)! Die Limite des FortiCloud (FAMS) Standard Accounts liegt bei max 100 MB pro Tag und max 1 GB Storage sowie 30 Tage Rotation. Wenn das Maximum erreicht ist, wird das Logging gestoppt (kein Alert über Email etc möglich) und es muss manuell eingegriffen werden resp. die Logs gelöscht werden. Weitere Informationen ueber den Service findet man im folgenden Artikel: 

       FortiCloud(FAMS):FAQ#Was_ist_unter_FortiCloud_.28FAMS.2C_Fortinet_Analys_and_Mgmt._System.29_zu_verstehen.3F

Um die Log's manuell zu löschen muss folgendermassen vorgegangen werden: 

       - Unter folgender Position "System > Dashboard > Status >License Information > FortiCloud (FAMS) > Account" erscheint folgendes:
       
         100% storage quota of FGT60C3G12005279 has been used! Logs are no longer being sent from 
         your FortiGate or FortiWiFi. Please delete some data or subscribe to the service.
       
       - Wähle unter "System > Dashboard" das "Device" Widget! Im "Device" Widget selektiere das "Icon" rechts neben dem Device Namen.
       
       - Wähle "Delete" Data. Nun kann anhand eines Datums definiert werden welche Informatione entfernt werden sollen dh. alle Daten
         "vor" dem definierten Datum werden unwiederruflich gelöscht.
       
         NOTE Weitere Informationen betreffend diesem Vorgang findet man im KB Artikel:
              
              http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33905&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=51971751&stateId=0 0 51973191

Soll ermöglicht werden die Logs zu rotieren (Definierung der Tage für die Rotation) resp. zu verwalten so muss betreffend "FortiCloud" (FAMS) ein Zusatz Vertrag (Subscription) erworben werden der dies danach ermöglicht: 

       FC-10-90801-131-02-12      1 year FortiCloud Basic Service with up to 200GB of storage for a single FortiGate

Unter Dashboard erscheint unter FortiCloud Status die Meldung "Activation Pending. Please view confirmation email"?

Wenn FortiCloud (FAMS) aktiviert wird kann es vorkommen, dass nach der Aktivierung diese Meldung auf dem "Dashboard" unter FortiCloud bestehen bleibt und die Aktivierung nicht abgeschlossen werden kann. Ist dies der Fall führe folgendes durch: 

       # config system fortiguard-log
       # unset service-account-id
       # end

Durch "unset service-account-id" wird der Cache betreffend ID gelöscht. Danach kann anhand folgendes Kommando die Aktivierung mitverfolgt werden: 

       # execute fortiguard-log update

Ist es möglich anhand eines FortiCloud Accounts Forti Access Points zu verwalten/konfigurieren?

Grundsätzlich war es bis anhin so, dass Forti Access Point's alleine dh. ohne eine FortiGate Wirless Controller nicht konfiguriebar waren. Dies bedeutet: Die Forti Access Point benötigen einen Wirless Controller und dieser befindet sich auf der FortiGate. Ab Version des FortiOS 5.2.2 (FAP Build 222) ist es nun möglich ein Forti Access Point ohne FortiGate Wireless Controller zu verwalten und zu konfigurieren, da nun die Forti Access Point's über die FortiCloud konfiguriert werden können. Wie das Ganze aussieht und was konfigurierbar ist kann über die Demo Seite von FortiCloud eingesehen werden. 

       https://partners.fortinet.com/FortiPartnerPortal/CMS/DocumentList.do?category=201&filterType=6
       
       NOTE Um auf den Link zu gelangen benötigt man einen Partner Account Login!

Für die Funktion der Verwaltung und der Konfiguration der Forti Access Point in der FortiCloud wurde das FAQ Dokument der FortiCloud um diese Funktion erweitert: 

       Datei:FortiCloud FAQ.pdf
       
       NOTE Das FAQ listet als unterstützte Devices "nur" den FAP-221C/320C auf. Dies ist nicht mehr der Wahrheit entsprechend.
            Dies bedeutet: Es werden alle Forti Access Point unterstützt. Weitere Informationen betreffend Registration eines Forti
            Access Point siehe nachfolgende Artikel! Desweiteren ist es möglich bei vielen FortiAPs diese anhand von FortiDeploy in
            die FortiCloud zu integrieren (Bulk Registration). Details dazu siehe nachfolgendes Dokument:
            
            Datei:Fortideploy-faq.pdf

Nachfolgend eine kurze Uebersicht über diese zusätzliche FAQ's: 

       Um was handelt es sich bei dem FortiCloud Access Point Feature?
       Dieses Feature auf der FortiCloud Platform erlaubt es Forti Access Point Remote in der FortiCloud zu konfigurieren.
       Dabei sind die Grundsätzlichsten Feature der Forti Access Point auf der FortiCloud konfigurierbar:
       
       - Access Point Name/Profile
       - SSID Konfiguration/Security inkl. Captive Portal
       - Power Einstellungen
       - AP Detection
       - User/Gruppen/Guest
       - Lokale Radius Authentifizierung
       - Visualisation
       - Traffic History
       - Localisation
       
       NOTE Um einen Eindruck zu gewinnen "was" möglich ist sollte die Demo Seite aufgerufen werden denn diese Zeigt die
            verschiedenen konfigurations Möglichkeiten! Was auf der FortiCloud möglich ist jedoch nicht auf der FortiGate ist 
            die Visualisation anhand von Map's. Dies bedeutet anhand von Visualisation und Map's wird der Standort der Forti
            Access Point's abgebildet.
       
       Wie wird ein Forti Access Point in der FortiCloud registriert?
       Ein Forti Access Point wird anhand eines FortiCloud "Account/Passwort" registriert. Forti Access Point können folgendermassen
       registriert werden:
       
       Verbinde dich lokal auf den Forti Access Point. Wie dies durchgeführt wird siehe folgender Artikel:
       
       FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
       
       Ueber das Web Mgmt. Interface kann nun unter "WTP Configuration" die Position "FortiCloud" angewählt werden und anhand
       "FortiCloud Account" und "FortiCloud Password" kann der Forti Access Point in die FortiCloud verbinden. Nachem der Forti
       Access Point Online ist und der Traffic in die FortiCloud erlaubt ist, kann über die FortiCloud anhand des Menüpunktes
       "Inventory" der Forti Access Point angewählt werden.
       
       Wie findet der Forti Access Point die FortiCloud?
       Ab FortiOS 5.2.2 wurde eine neue "AC Discovery" Variante implementiert dh. Als Standard versucht der Forti Access Point den
       FQDN "apctrl1.fortinet.com" (208.91.113.187) über CAPWAP zu erreichen. Dies bedeutet: als Voraussetzung muss auf dem Forti
       Access Point folgende Konfiguration bestehen:
       
       - Konfigurierte (DHCP, Statisch) IP/Subnet sowie Default Gateway für den FAP
       - Konfigurierter DNS Server oder per Standard definierter FortiGuard DNS Server um die Destination FortiCloud (apctrl1.fortinet.com) zu erreichen 
       - Firewall Policy Rule die den folgenden Outbound Traffic erlaubt: DNS (53), CAPWAP (UDP 5246/7)
       - FortiCloud Account und Passwort
       
       Wenn diese Konfiguration besteht versucht der Forti Access Point per Standard definiert die Destination zu erreichen:
       
       Auto = Multicast, Broadcast, FortiCloud, DHCP, Static, DNS
       
       Welche Modelle eines Forti Access Point können in der FortiCloud registriert werden?
       Alle anderen Modelle können registriert werden. Diese Aussage ist nicht gemäss FAQ dh. diese sind zum heutigen Zeitpuntk "nicht"
       Up to date. FortiWiFi Modelle sind für die Forti Access Point Verwaltungs/Konfigurations Funktion in der FortiCloud nicht unterstützt.
       
       Benötigt man für die Nutzung der Forti Access Point's in der FortiCloud eine Lizenz?
       Um die Funktion der Verwaltung/Konfiguration der Forti Access Point in der FortiCloud zu benützen benötigt man keine zusätzlichen
       Lizenzen und es entstehen keine zusätzlichen Kosten. Es besteht ebenfalls keine Limitierung über die Anzahl registrierter Forti
       Access Point's!
       
       Welches FortiOS unterstützt die Konfiguration sowie Verwaltung der Forti Access Point's in der FortiCloud?
       Es muss zwingend FortiOS 5.2.x installiert werden auf den Forti Access Point's!
       
       Welcher Traffic wird zur FortiCloud übermittelt?
       Es wird kein Traffic der Clients zur FortiCloud übermittelt. Es wird "nur" Mgmt. Traffic der Forti Access Point zur FortiCloud 
       übermittelt. Ein Forti Access Point der in der FortiCloud betrieben wird ist per Standard im "Bridge" Mode dh. der Traffic wird
       von Netzwerk Interface des Forti Access Point direkt in das Segement übermittelt und wird nicht wie beim Tunnel Mode zum Wireless
       Controller gesendet.
       
       Kommt es zu einem Unterbruch auf dem Forti Access Point wenn die FortiCloud nicht mehr erreichbar ist
       Nein denn die FortiCloud Wireless Controller ist für den Betrieb der Forti Access Point nicht nötig dh. in der Zeit in der die
       FortiCloud nicht erreichbar ist können zwar Mgmt. Informationen nicht mehr in die FortiCloud übermittelt werden jedoch den Betrieb
       der Forti Access Point wird dadurch nicht beeinflusst.
       
       Kann ich einen Forti Access Point auf einer FortiGate und/oder FortiCloud verwalten resp. konfigurieren?
       Nein dies ist so nicht möglich dh. da die FortiCloud den Wireless Controller einer FortiGate ersetzt ist dies nicht möglich 
       dh. ein Forti Access Point kann nur über einen Wireless Controller konfiguriert und verwaltet werden.
Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiCloud:FAQ&oldid=9685