FortiGate Tips en Trucs
Technisch niveau
Waddinxveen, 18 januari 2018
Networking
Tips en trucs FortiGate
1. (gratis) Dynamic DNS service
2. Administrator pagina timeout aanpassen
3. Twee gratis Fortitokens
4. Verplichting Policy naam uitzetten
5. Kleuren gebruiken in adresobjecten
6. Administrator pagina afschermen
7. Radius accounting van third party wireless controller
8. Logging aanzetten op Virtuele FortiGate
Een FortiGate heeft een heleboel handige features in zijn configuratie zitten, die vaak over het hoofd worden gezien of niet algemeen bekend zijn. Dit document behandeld een handvol van deze functionaliteiten. In dit document gaan wij uit van FortiOS 5.4.
Hoe ga je te werk?
(gratis) Dynamic DNS service
Als u beschikt over een bij Fortinet geregistreerde FortiGate, is het mogelijk om de gratis Dynamic DNS te gebruiken van de FortiGate. Bovendien is het zeer makkelijk in gebruik!
Dynamic DNS kan makkelijk zijn in de situatie dat uw FortiGate op een internet verbinding wordt verbonden, waarbij het mogelijk is dat de FortiGate van extern IP adres wisselt, maar dat u toch met één DNS hostnaam van buitenaf kan bereiken.
Om Dynamic DNS aan te zetten is het wel verplicht dat uw DNS configuratie in uw FortiGate richting FortiGuard staat ingesteld, en dat Web filtering gelicenseerd is op uw FortiGate.
Ga naar Network-> DNS en zet de schuif "Fortiguard DDNS" om.
Vul de Interfaces in, dit moet de poort (of poorten) zijn die op het internet verbonden zijn. Als er nog een router tussen uw FortiGate en het internet zit, kunt u de schuif "Use Public IP address" omzetten.
Vul vervolgens uw server en Unique location in. Unique location zal uiteindelijk als hostnaam worden op het internet. Als u dus "fortitest" invoert met server "fortiddns.com", dan zal de uiteindelijke hostnaam "fortitest.fortiddns.com" worden. U krijgt tevens direct te zien of de unieke naam al in gebruik is. Bovendien kunt u zien welk IP adres wordt gebruikt en over welke poort van uw FortiGate (in geval van meerdere internet verbindingen).
Beschikbaar op: Alle FortiGate modellen
Administrator pagina timeout aanpassen
Normaal gesproken, wanneer u 5 minuten niets doet op uw FortiGate, wordt u uit veiligheidsoverwegingen uitgelogged. Dit kunt u langer zetten door naar System -> Settings te gaan en het veld "Idle timeout" op de door u gewenste timeout te zetten:
Twee gratis Fortitokens
Fortitoken is een zeer handige en makkelijke manier om two-factor authenticatie te gebruiken als u inlogt op de beheerpagina van uw firewall of als u inlogt via SSLVPN. Standaard heeft iedere FortiGate recht op 2 Fortitokens. Om recht te hebben op deze Fortitokens, is verplicht dat uw FortiGate geregistreerd is bij Fortinet. Een onderhoudscontract of UTM bundel is daarentegen niet nodig.
U kunt eenvoudig zien of u al de twee gratis Fortitokens ontvangen hebt door in de Licentie informatie widget te kijken op het Dashboard van uw firewall:
Ga naar uw Administrator/Gebruikers account waar u Two-factor authenticatie op wilt aanzetten. Vul daar uw E-mail adres in en wijs 1 van de 2 gratis tokens toe aan de gebruikersaccount.
Voor Administrators (Beheer): System -> Administrators
Gebruikersaccounts (SSLVPN/Captive portal): Users & Devices -> User Definition
Klik op de Knop "Send Activation Code Email". U krijgt vervolgens een e-mail met een QR code als afbeelding in de bijlage. Open deze afbeelding.
Ga naar Google Play® of de Apple app store® en download de "Fortitoken mobile" applicatie.
Na de installatie van de Fortitoken applicatie, open Fortitoken mobile en drup op de knop "Scan Barcode". Scan de QR code die U toegestuurd is. Als alles herkend wordt, ziet u nu een 6 cijferige code op uw scherm. Deze code kan nu worden gebruikt om in te loggen op VPN of op de Beheerpagina van uw FortiGate. Uitzetten en wisselen van Fortitokens is onbeperkt toegestaan.
Notitie: Standaard kan FortiOS 5.4 mailen via FortiGuard, een eigen mail server instellen is dus niet verplicht. Als u dit wel wilt doen, kan dit in System->Advanced->E-mail service->Use custom mail server. Verplichting Policy naam uitzetten Sinds FortiOS 5.4 is er een nieuw veld bij gekomen in de security policy regels: Naam. Dit veld moet uniek zijn en mag (standaard) niet leeg zijn.
Als het voor u onnodig is om namen toe te voegen aan security policy regels, of als het veld "Comments" afdoende is, kunt u deze functionaliteit zeer gemakkelijk uitschakelen.
Ga naar System-> Feature select, en zet de schuif "Allow Unnamed Policies" om.
Nu mag u policy regels zonder naam aanmaken.
Kleuren gebruiken in adresobjecten
FortiOS heeft al heel lang de mogelijkheid om kleuren te gebruiken op adresobjecten, helaas is dit standaard uitgeschakeld en niet zichtbaar te maken vanuit de Web GUI. Sinds FortiOS 5.4 is het mogelijk om de "kleur" optie aan te zetten op adresboek gegevens.
Open de Commandline van de FortiGate.
Voer de volgende commando's in: FortiGate-VM64 # config system settings
FortiGate-VM64 (settings) # set gui-object-colors enable
FortiGate-VM64 (settings) # end
FortiGate-VM64 # Als u nu naar "Policy and Objects -> Addresses" een nieuw Adres object maakt of een bestaande aanpast, kunt u kleuren selecteren.
Tevens werkt dit nu ook voor Services, Schedules, Virtual IPs en IP Pools.
Beschikbaar op: Alle FortiGate modellen Administrator pagina afschermen Uw beheerpagina openzetten voor bepaalde netwerken (zoal het internet) brengt een groot risico met zich mee: een kwaadwillend persoon kan proberen in te loggen op uw firewall door bekende gebruikersnamen en wachtwoorden te proberen. Alhoewel de FortiGate tegen "brute force" aanvallen beveiligd is, is het beter dit volledig te vermijden.
U kunt de beheer pagina snel en gemakkelijk beschikbaar maken voor slechts een klein aantal subnetten door Trusted Hosts in te stellen op de Administrator accounts.
'Onder water' wordt de security policy aangepast voor toegang tot de FortiGate. Alles wat niet onder trusted hosts valt, heeft geen directe toegang meer tot de FortiGate. Beheer toegang zoals HTTP, HTTPS, SNMP, SSH etc. wordt dan geblokkeerd en zo hebben aanvallers vanaf het internet geen mogelijkheid meer om van buitenaf in te loggen op de FortiGate. Het is sowieso best-practice om Trusted hosts op het admin account in te stellen.
Om Trusted hosts in te stellen, gaat u als volgt te werk:
Ga naar System -> Interfaces en controleer of de juiste services openstaan op de juiste Interfaces:
Ga naar System->Administrators en pas het account "admin" aan:
Zet de schuif "Restrict login to trusted hosts" aan, en vul de subnetten in die met het account "admin" mogen inloggen op de firewall:
U hoeft niet direct 3 trusted hosts in te vullen, als u slecht 1 trusted host invult wordt alleen die specifieke waarde toegepast:
U kunt hier dus ook vertrouwde externe locaties (zoals neven/hoofdlocatie) IP adressen invullen, en zullen deze alleen toegang hebben tot de beheerpagina vanaf het internet.
Houd rekening dat trusted hosts op alle admin accounts aangezet moet worden om het goed te activeren. Als uw admin account geen Trusted host configuratie heeft, maar een account "admin2" wel, kan dit tot verwarring leiden, wanneer admin2 wil inloggen vanaf een (voor zijn account) niet trusted host. Hij zal de admin pagina zien, maar alles wat hij probeert zal er voor zorgen dat hij niet kan inloggen wegens "verkeerde gebruikersnaam/wachtwoord".
Houd er ook rekening mee dat Ping en Traceroute ook onder deze "trusted hosts" valt. Als u ping vanuit (bijvoorbeeld) een DMZ wilt toelaten, maakt u een dummy Admin account aan met een lang (> 32 tekens) wachtwoord, en voert u de DMZ reeks in. U kunt er ook voor kiezen om alle private IP reeksen (RFC1918) toe te voegen: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Radius accounting van third party wireless controller. Als u met gebruikersnaam/wachtwoord inlogt op uw wifi netwerk, kunt u met een simpele handeling deze gebruikersnamen ook administreren op uw FortiGate. Dit zal resulteren dat u naast het IP adres ook de gebruikersnamen in uw logging ziet van het Wi-fi netwerk. Om dit te gebruiken, gaat u als volgt te werk:
Ga naar User/Device -> RADIUS Servers, vul hier het IP adres in van uw Wireless Controller en een pre-shared key voor deze controller:
Ga naar User/Device -> Single Sign-on en maar een Radius Single Sign-on object aan. Zorg er voor dat "Use RADIUS Shared Secret" en "Send RADIUS Responses" aanstaan.
Ga naar System->Interfaces en selecteer de Interface waar de Radius accounting op zal worden ontvangen van de Wireless controller:
Log in op uw wireless controller en maak een nieuwe RADIUS server definitie aan. In dit geval zal de radius server als volgt ingesteld moeten worden:
RADIUS IP adres: 10.0.0.254 (IP adres van Radius accounting Interface)
RADIUS shared secret: (wat u ingesteld heeft in de FortiGate)
RADIUS port: 1813
Let op! Radius accounting gebruikt poort 1813.
Als voorbeeld, de RADIUS configuratie op een Meru/FortiWLC-SD wireless controller:
Stel nu in dat de accounting gegevens doorgestuurd moeten worden naar de FortiGate. Dit doet u veelal in de authenticatie configuratie van uw wireless netwerk.
Als U nu inlogt op uw Wireless netwerk met gebruikersnaam en wachtwoord, zal deze terecht komen in de FortiGate. U kunt dit controleren middels het menu Monitor -> Firewall User Monitor Logging aanzetten op Virtuele FortiGate. Een FortiVM appliance wordt standaard geleverd zonder lokale logging mogelijkheden. Standaard kan een FortiGateVM niet loggen omdat de logging schijf niet geformatteerd is. Om deze functionaliteit aan te zetten, ga als volgt te werk:
Voer het commando "get sys status" uit. Wanneer de log disk niet geformatteerd is, zie je de vermelding "Need format".
Als deze op "Not available" staat, moet er in de virtuele machine nog een extra harde schijf gekoppeld worden.
Gebruik nu het commando "execute formatlogdisk". De FortiGate zal herstarten en de harde schijf voor logging formatteren.
Wanneer de FortiGate herstart is, ga naar de web interface en kijk onder Log & Report -> Log setting. Zet daar de schuif gelabeld "Disk" om. U zal dan ook de "Free Space" hoger zien staan als 0B.
Logging staat nu aan in de FortiGate VM en kan gebruikt worden.
Dynamic DNS kan makkelijk zijn in de situatie dat uw FortiGate op een internet verbinding wordt verbonden, waarbij het mogelijk is dat de FortiGate van extern IP adres wisselt, maar dat u toch met één DNS hostnaam van buitenaf kan bereiken.
Om Dynamic DNS aan te zetten is het wel verplicht dat uw DNS configuratie in uw FortiGate richting FortiGuard staat ingesteld, en dat Web filtering gelicenseerd is op uw FortiGate.
Ga naar Network-> DNS en zet de schuif "Fortiguard DDNS" om.
Vul de Interfaces in, dit moet de poort (of poorten) zijn die op het internet verbonden zijn. Als er nog een router tussen uw FortiGate en het internet zit, kunt u de schuif "Use Public IP address" omzetten.
Vul vervolgens uw server en Unique location in. Unique location zal uiteindelijk als hostnaam worden op het internet. Als u dus "fortitest" invoert met server "fortiddns.com", dan zal de uiteindelijke hostnaam "fortitest.fortiddns.com" worden. U krijgt tevens direct te zien of de unieke naam al in gebruik is. Bovendien kunt u zien welk IP adres wordt gebruikt en over welke poort van uw FortiGate (in geval van meerdere internet verbindingen).
Beschikbaar op: Alle FortiGate modellen
Administrator pagina timeout aanpassen
Normaal gesproken, wanneer u 5 minuten niets doet op uw FortiGate, wordt u uit veiligheidsoverwegingen uitgelogged. Dit kunt u langer zetten door naar System -> Settings te gaan en het veld "Idle timeout" op de door u gewenste timeout te zetten:
Twee gratis Fortitokens
Fortitoken is een zeer handige en makkelijke manier om two-factor authenticatie te gebruiken als u inlogt op de beheerpagina van uw firewall of als u inlogt via SSLVPN. Standaard heeft iedere FortiGate recht op 2 Fortitokens. Om recht te hebben op deze Fortitokens, is verplicht dat uw FortiGate geregistreerd is bij Fortinet. Een onderhoudscontract of UTM bundel is daarentegen niet nodig.
U kunt eenvoudig zien of u al de twee gratis Fortitokens ontvangen hebt door in de Licentie informatie widget te kijken op het Dashboard van uw firewall:
Ga naar uw Administrator/Gebruikers account waar u Two-factor authenticatie op wilt aanzetten. Vul daar uw E-mail adres in en wijs 1 van de 2 gratis tokens toe aan de gebruikersaccount.
Voor Administrators (Beheer): System -> Administrators
Gebruikersaccounts (SSLVPN/Captive portal): Users & Devices -> User Definition
Klik op de Knop "Send Activation Code Email". U krijgt vervolgens een e-mail met een QR code als afbeelding in de bijlage. Open deze afbeelding.
Ga naar Google Play® of de Apple app store® en download de "Fortitoken mobile" applicatie.
Na de installatie van de Fortitoken applicatie, open Fortitoken mobile en drup op de knop "Scan Barcode". Scan de QR code die U toegestuurd is. Als alles herkend wordt, ziet u nu een 6 cijferige code op uw scherm. Deze code kan nu worden gebruikt om in te loggen op VPN of op de Beheerpagina van uw FortiGate. Uitzetten en wisselen van Fortitokens is onbeperkt toegestaan.
Notitie: Standaard kan FortiOS 5.4 mailen via FortiGuard, een eigen mail server instellen is dus niet verplicht. Als u dit wel wilt doen, kan dit in System->Advanced->E-mail service->Use custom mail server. Verplichting Policy naam uitzetten Sinds FortiOS 5.4 is er een nieuw veld bij gekomen in de security policy regels: Naam. Dit veld moet uniek zijn en mag (standaard) niet leeg zijn.
Als het voor u onnodig is om namen toe te voegen aan security policy regels, of als het veld "Comments" afdoende is, kunt u deze functionaliteit zeer gemakkelijk uitschakelen.
Ga naar System-> Feature select, en zet de schuif "Allow Unnamed Policies" om.
Nu mag u policy regels zonder naam aanmaken.
Kleuren gebruiken in adresobjecten
FortiOS heeft al heel lang de mogelijkheid om kleuren te gebruiken op adresobjecten, helaas is dit standaard uitgeschakeld en niet zichtbaar te maken vanuit de Web GUI. Sinds FortiOS 5.4 is het mogelijk om de "kleur" optie aan te zetten op adresboek gegevens.
Open de Commandline van de FortiGate.
Voer de volgende commando's in: FortiGate-VM64 # config system settings
FortiGate-VM64 (settings) # set gui-object-colors enable
FortiGate-VM64 (settings) # end
FortiGate-VM64 # Als u nu naar "Policy and Objects -> Addresses" een nieuw Adres object maakt of een bestaande aanpast, kunt u kleuren selecteren.
Tevens werkt dit nu ook voor Services, Schedules, Virtual IPs en IP Pools.
Beschikbaar op: Alle FortiGate modellen Administrator pagina afschermen Uw beheerpagina openzetten voor bepaalde netwerken (zoal het internet) brengt een groot risico met zich mee: een kwaadwillend persoon kan proberen in te loggen op uw firewall door bekende gebruikersnamen en wachtwoorden te proberen. Alhoewel de FortiGate tegen "brute force" aanvallen beveiligd is, is het beter dit volledig te vermijden.
U kunt de beheer pagina snel en gemakkelijk beschikbaar maken voor slechts een klein aantal subnetten door Trusted Hosts in te stellen op de Administrator accounts.
'Onder water' wordt de security policy aangepast voor toegang tot de FortiGate. Alles wat niet onder trusted hosts valt, heeft geen directe toegang meer tot de FortiGate. Beheer toegang zoals HTTP, HTTPS, SNMP, SSH etc. wordt dan geblokkeerd en zo hebben aanvallers vanaf het internet geen mogelijkheid meer om van buitenaf in te loggen op de FortiGate. Het is sowieso best-practice om Trusted hosts op het admin account in te stellen.
Om Trusted hosts in te stellen, gaat u als volgt te werk:
Ga naar System -> Interfaces en controleer of de juiste services openstaan op de juiste Interfaces:
Ga naar System->Administrators en pas het account "admin" aan:
Zet de schuif "Restrict login to trusted hosts" aan, en vul de subnetten in die met het account "admin" mogen inloggen op de firewall:
U hoeft niet direct 3 trusted hosts in te vullen, als u slecht 1 trusted host invult wordt alleen die specifieke waarde toegepast:
U kunt hier dus ook vertrouwde externe locaties (zoals neven/hoofdlocatie) IP adressen invullen, en zullen deze alleen toegang hebben tot de beheerpagina vanaf het internet.
Houd rekening dat trusted hosts op alle admin accounts aangezet moet worden om het goed te activeren. Als uw admin account geen Trusted host configuratie heeft, maar een account "admin2" wel, kan dit tot verwarring leiden, wanneer admin2 wil inloggen vanaf een (voor zijn account) niet trusted host. Hij zal de admin pagina zien, maar alles wat hij probeert zal er voor zorgen dat hij niet kan inloggen wegens "verkeerde gebruikersnaam/wachtwoord".
Houd er ook rekening mee dat Ping en Traceroute ook onder deze "trusted hosts" valt. Als u ping vanuit (bijvoorbeeld) een DMZ wilt toelaten, maakt u een dummy Admin account aan met een lang (> 32 tekens) wachtwoord, en voert u de DMZ reeks in. U kunt er ook voor kiezen om alle private IP reeksen (RFC1918) toe te voegen: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Radius accounting van third party wireless controller. Als u met gebruikersnaam/wachtwoord inlogt op uw wifi netwerk, kunt u met een simpele handeling deze gebruikersnamen ook administreren op uw FortiGate. Dit zal resulteren dat u naast het IP adres ook de gebruikersnamen in uw logging ziet van het Wi-fi netwerk. Om dit te gebruiken, gaat u als volgt te werk:
Ga naar User/Device -> RADIUS Servers, vul hier het IP adres in van uw Wireless Controller en een pre-shared key voor deze controller:
Ga naar User/Device -> Single Sign-on en maar een Radius Single Sign-on object aan. Zorg er voor dat "Use RADIUS Shared Secret" en "Send RADIUS Responses" aanstaan.
Ga naar System->Interfaces en selecteer de Interface waar de Radius accounting op zal worden ontvangen van de Wireless controller:
Log in op uw wireless controller en maak een nieuwe RADIUS server definitie aan. In dit geval zal de radius server als volgt ingesteld moeten worden:
RADIUS IP adres: 10.0.0.254 (IP adres van Radius accounting Interface)
RADIUS shared secret: (wat u ingesteld heeft in de FortiGate)
RADIUS port: 1813
Let op! Radius accounting gebruikt poort 1813.
Als voorbeeld, de RADIUS configuratie op een Meru/FortiWLC-SD wireless controller:
Stel nu in dat de accounting gegevens doorgestuurd moeten worden naar de FortiGate. Dit doet u veelal in de authenticatie configuratie van uw wireless netwerk.
Als U nu inlogt op uw Wireless netwerk met gebruikersnaam en wachtwoord, zal deze terecht komen in de FortiGate. U kunt dit controleren middels het menu Monitor -> Firewall User Monitor Logging aanzetten op Virtuele FortiGate. Een FortiVM appliance wordt standaard geleverd zonder lokale logging mogelijkheden. Standaard kan een FortiGateVM niet loggen omdat de logging schijf niet geformatteerd is. Om deze functionaliteit aan te zetten, ga als volgt te werk:
Voer het commando "get sys status" uit. Wanneer de log disk niet geformatteerd is, zie je de vermelding "Need format".
Als deze op "Not available" staat, moet er in de virtuele machine nog een extra harde schijf gekoppeld worden.
Gebruik nu het commando "execute formatlogdisk". De FortiGate zal herstarten en de harde schijf voor logging formatteren.
Wanneer de FortiGate herstart is, ga naar de web interface en kijk onder Log & Report -> Log setting. Zet daar de schuif gelabeld "Disk" om. U zal dan ook de "Free Space" hoger zien staan als 0B.
Logging staat nu aan in de FortiGate VM en kan gebruikt worden.
Wilt u hulp van een gecertificeerd Fortinet expert?
Contact
SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen
KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98
