FortiGate Tips en Trucs
Technisch niveau
Waddinxveen, 18 januari 2018
Networking
Tips en trucs FortiGate
1. (gratis) Dynamic DNS service
2. Administrator pagina timeout aanpassen
3. Twee gratis Fortitokens
4. Verplichting Policy naam uitzetten
5. Kleuren gebruiken in adresobjecten
6. Administrator pagina afschermen
7. Radius accounting van third party wireless controller
8. Logging aanzetten op Virtuele FortiGate
Een FortiGate heeft een heleboel handige features in zijn configuratie zitten, die vaak over het hoofd worden gezien of niet algemeen bekend zijn. Dit document behandeld een handvol van deze functionaliteiten. In dit document gaan wij uit van FortiOS 5.4.
Hoe ga je te werk?
Dynamic DNS kan makkelijk zijn in de situatie dat uw FortiGate op een internet verbinding wordt verbonden, waarbij het mogelijk is dat de FortiGate van extern IP adres wisselt, maar dat u toch met één DNS hostnaam van buitenaf kan bereiken.
Om Dynamic DNS aan te zetten is het wel verplicht dat uw DNS configuratie in uw FortiGate richting FortiGuard staat ingesteld, en dat Web filtering gelicenseerd is op uw FortiGate.
Ga naar Network-> DNS en zet de schuif "Fortiguard DDNS" om.
Vul de Interfaces in, dit moet de poort (of poorten) zijn die op het internet verbonden zijn. Als er nog een router tussen uw FortiGate en het internet zit, kunt u de schuif "Use Public IP address" omzetten.
Vul vervolgens uw server en Unique location in. Unique location zal uiteindelijk als hostnaam worden op het internet. Als u dus "fortitest" invoert met server "fortiddns.com", dan zal de uiteindelijke hostnaam "fortitest.fortiddns.com" worden. U krijgt tevens direct te zien of de unieke naam al in gebruik is. Bovendien kunt u zien welk IP adres wordt gebruikt en over welke poort van uw FortiGate (in geval van meerdere internet verbindingen).


U kunt eenvoudig zien of u al de twee gratis Fortitokens ontvangen hebt door in de Licentie informatie widget te kijken op het Dashboard van uw firewall:

Voor Administrators (Beheer): System -> Administrators


Ga naar Google Play® of de Apple app store® en download de "Fortitoken mobile" applicatie.
Na de installatie van de Fortitoken applicatie, open Fortitoken mobile en drup op de knop "Scan Barcode". Scan de QR code die U toegestuurd is. Als alles herkend wordt, ziet u nu een 6 cijferige code op uw scherm. Deze code kan nu worden gebruikt om in te loggen op VPN of op de Beheerpagina van uw FortiGate. Uitzetten en wisselen van Fortitokens is onbeperkt toegestaan.
Notitie: Standaard kan FortiOS 5.4 mailen via FortiGuard, een eigen mail server instellen is dus niet verplicht. Als u dit wel wilt doen, kan dit in System->Advanced->E-mail service->Use custom mail server. Verplichting Policy naam uitzetten Sinds FortiOS 5.4 is er een nieuw veld bij gekomen in de security policy regels: Naam. Dit veld moet uniek zijn en mag (standaard) niet leeg zijn.

Ga naar System-> Feature select, en zet de schuif "Allow Unnamed Policies" om.

Open de Commandline van de FortiGate.
Voer de volgende commando's in: FortiGate-VM64 # config system settings
FortiGate-VM64 (settings) # set gui-object-colors enable
FortiGate-VM64 (settings) # end
FortiGate-VM64 # Als u nu naar "Policy and Objects -> Addresses" een nieuw Adres object maakt of een bestaande aanpast, kunt u kleuren selecteren.


Beschikbaar op: Alle FortiGate modellen Administrator pagina afschermen Uw beheerpagina openzetten voor bepaalde netwerken (zoal het internet) brengt een groot risico met zich mee: een kwaadwillend persoon kan proberen in te loggen op uw firewall door bekende gebruikersnamen en wachtwoorden te proberen. Alhoewel de FortiGate tegen "brute force" aanvallen beveiligd is, is het beter dit volledig te vermijden.
U kunt de beheer pagina snel en gemakkelijk beschikbaar maken voor slechts een klein aantal subnetten door Trusted Hosts in te stellen op de Administrator accounts.
'Onder water' wordt de security policy aangepast voor toegang tot de FortiGate. Alles wat niet onder trusted hosts valt, heeft geen directe toegang meer tot de FortiGate. Beheer toegang zoals HTTP, HTTPS, SNMP, SSH etc. wordt dan geblokkeerd en zo hebben aanvallers vanaf het internet geen mogelijkheid meer om van buitenaf in te loggen op de FortiGate. Het is sowieso best-practice om Trusted hosts op het admin account in te stellen.
Om Trusted hosts in te stellen, gaat u als volgt te werk:
Ga naar System -> Interfaces en controleer of de juiste services openstaan op de juiste Interfaces:




Houd rekening dat trusted hosts op alle admin accounts aangezet moet worden om het goed te activeren. Als uw admin account geen Trusted host configuratie heeft, maar een account "admin2" wel, kan dit tot verwarring leiden, wanneer admin2 wil inloggen vanaf een (voor zijn account) niet trusted host. Hij zal de admin pagina zien, maar alles wat hij probeert zal er voor zorgen dat hij niet kan inloggen wegens "verkeerde gebruikersnaam/wachtwoord".
Houd er ook rekening mee dat Ping en Traceroute ook onder deze "trusted hosts" valt. Als u ping vanuit (bijvoorbeeld) een DMZ wilt toelaten, maakt u een dummy Admin account aan met een lang (> 32 tekens) wachtwoord, en voert u de DMZ reeks in. U kunt er ook voor kiezen om alle private IP reeksen (RFC1918) toe te voegen: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Radius accounting van third party wireless controller. Als u met gebruikersnaam/wachtwoord inlogt op uw wifi netwerk, kunt u met een simpele handeling deze gebruikersnamen ook administreren op uw FortiGate. Dit zal resulteren dat u naast het IP adres ook de gebruikersnamen in uw logging ziet van het Wi-fi netwerk. Om dit te gebruiken, gaat u als volgt te werk:
Ga naar User/Device -> RADIUS Servers, vul hier het IP adres in van uw Wireless Controller en een pre-shared key voor deze controller:



RADIUS IP adres: 10.0.0.254 (IP adres van Radius accounting Interface)
RADIUS shared secret: (wat u ingesteld heeft in de FortiGate)
RADIUS port: 1813
Let op! Radius accounting gebruikt poort 1813.
Als voorbeeld, de RADIUS configuratie op een Meru/FortiWLC-SD wireless controller:

Als U nu inlogt op uw Wireless netwerk met gebruikersnaam en wachtwoord, zal deze terecht komen in de FortiGate. U kunt dit controleren middels het menu Monitor -> Firewall User Monitor Logging aanzetten op Virtuele FortiGate. Een FortiVM appliance wordt standaard geleverd zonder lokale logging mogelijkheden. Standaard kan een FortiGateVM niet loggen omdat de logging schijf niet geformatteerd is. Om deze functionaliteit aan te zetten, ga als volgt te werk:
Voer het commando "get sys status" uit. Wanneer de log disk niet geformatteerd is, zie je de vermelding "Need format".

Gebruik nu het commando "execute formatlogdisk". De FortiGate zal herstarten en de harde schijf voor logging formatteren.

