FortiGate 30E & FortiExtender 40D mit 3G/4G LTE SIM: Mobile WAN Setup vereinfacht!

WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom  Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht.

Das hat uns motiviert einen Test der zwei Geräte zu machen. Um es vorweg zu nehmen: Die neue FortiGate 30E 3G/4G und der FortiExtender 40D lässt sich ganz einfach konfigurieren und hat in unserem Test auf Anhieb funktioniert.

Ob nun eine FortiGate mit SIM Slot oder ein FortiExtender eingesetzt wird ist vor allem abhängig, ob die FortiGate an einem Ort installiert werden kann mit gutem Mobile Empfang. Wenn das nicht gegeben ist, wie es häufig in einem Rack der Fall ist, dann empfiehlt sich der Einsatz des FortiExtender. Dieser wird per Ethernet mit einer FortiGate verbunden. Das bietet die Möglichkeit den FortiExtender dort zu positionieren, wo der Mobile Empfang ideal ist.

FortiGate 30E-3G4GFotiExtender40D-3G4G

 

Erkennung und Grundkonfiguration SIM Karte

Continue reading ‘FortiGate 30E & FortiExtender 40D mit 3G/4G LTE SIM: Mobile WAN Setup vereinfacht!’

Fortinet PowerPoint Product Guide

Logo_Microsoft_PowerPoint_2013

Fortinet stellt Ihren Partner und Kunden ein umfassendes PowerPoint Product Guide zur Verfügung mit diversen Tech Specs.

Sie können die Präsentation von unserem Doc-Server herunterladen:

Version Stand vom 1. September 2016:

http://doc.boll.ch/virtual/1222/Fortinet_ProductGuide_Jul2016_R64.pptx

 

Fortinet Visio Stencils

visio2010_logo

Fortinet stellt Ihren Partner und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Sie können die Schablone von unserem Doc-Server herunterladen

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

 

Fortinet PowerPoint Icon Library

Logo_Microsoft_PowerPoint_2013

Fortinet stellt eine PowerPoint Icon Library für die Erstellung von Präsentationen zur Verfügung.

Sie können die Icon Library von unserem Doc-Server herunterladen:

 

März 2016
http://doc.boll.ch/virtual/1221/FTNT-IconLibrary-16-08-01.ppt

März 2016
http://doc.boll.ch/virtual/1186/FTNT-IconLibrary-16-03-01-Public.pptx

Dezember 2015
http://doc.boll.ch/virtual/1172/FTNT-IconLibrary-15-12-01-Public.pptx

September 2015
http://doc.boll.ch/virtual/1169/FTNT-IconLibrary-15-09-01-Public.pptx

August 2015
http://doc.boll.ch/virtual/1162/FTNT-IconLibrary-15-08-01-Public.pptx

Juli 2015
http://doc.boll.ch/virtual/1158/FTNT_IconLibrary_15_07_01_Public.ppt

Juni 2015
http://doc.boll.ch/virtual/1153/FTNT_IconLibrary_PUBLIC_15_06_01.pptx

April 2015
http://doc.boll.ch/virtual/1148/FTNT_IconLibrary_15_31_03_Public.pptx

IPs used by Fortigate

fortinet

Eventuell kennt Ihr bereits folgenden CLI Befehl:

FG-test (root) # diag ip address list
IP=192.168.86.147->194.191.86.147/255.255.255.192 index=3 devname=wan1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=root
IP=192.168.1.99->192.168.1.99/255.255.255.0 index=11 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm
IP=169.254.1.1->169.254.1.1/255.255.255.255 index=22 devname=test
IP=10.10.10.1->10.10.10.1/255.255.255.0 index=23 devname=tunnel
IP=192.168.20.1->192.168.20.1/255.255.255.0 index=25 devname=Test
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=26 devname=transp
IP=10.11.11.11->10.11.11.11/255.255.255.0 index=28 devname=transp.b
IP=169.254.1.2->169.254.1.2/255.255.255.255 index=29 devname=testdfsdfsf
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=30 devname=glo

Mit diesem Kommnado bekommt man eine Liste von allen IP Adressen, welche auf den Fortigate Interfaces konfiguriert sind – egal ob es ein physisches, ein virtuelles oder ein Tunnel Interface ist. Zusätzlich sieht man hier den dazugehörigen Interface Namen und die Index Nummer. Die Index Nummer wird von einer Reihe anderer CLI Befehle genutzt, z.B. “diag sys session list” oder “diag ip rtcache list”.

Aber es gibt noch weitere IP Adressen, welche der Fortigate “gehören”, auf welche die Fortigate also bei einem ARP request antwortet. Und das sind typischerweise die IPs, welche in den Virtual IP- und IP Pool-Objekten konfiguriert sind.

Und hier ist das CLI Kommando, welches diese IPs auflistet:

FG100-test (root) # diagnose firewall iplist list
list iplist info:(vf=root)
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.10-10.10.10.10
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.11-10.10.10.11
one iplist entry:
dev=0 devname= type=1 used=1 ip range=10.10.10.12-10.10.10.12
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.8-10.10.10.8
one iplist entry:
dev=0 devname= type=2 used=1 ip range=10.10.10.9-10.10.10.9

Einträge mit “type=1” sind IP Pools. Wenn die Checkbox “arp reply” hier nicht ausgewählt ist, so erscheint der Eintrag auch nicht in dieser Liste. Einträge mit “type=2” sind Virtual IPs, sowohl Port Forwarding als auch Static NAT.

Und nicht vergessen: auch wenn die konfigurierten Virtual IPs und IP Pools nicht verwendet werden (also in der Konfiguration “not referenced” sind) – die Fortigate antwortet dennoch auf entsprechende ARP requests…

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

fortinet

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run “execute disk format 16”. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

FortiOS 5.4.1: Vorsicht bei Einsatz von FortiSwitches!

FortiOS 5.4.1 ist endlich da! Viele Partner sowie Kunden welche schon mit den FortiSwitches arbeiten, sind höchstwahrscheinlich auch bereits mit V5.4.0 unterwegs und warten daher wahrscheinlich schon lange und sehnsüchtig auf diesen ersten Patch Release.

Doch es scheint definitiv etwas Vorsicht geboten zu sein vor dem Upgrade. Das Switch Management hat unter der Haube beim neuen Patch grundlegende Änderungen erfahren.
Genaue Details dazu was alles neu ist, werden am besten dem fortios-v5.4.1-managed-fortiswitch-upgrade-guide.pdf” Dokument entnommen. Zu finden ist das Dokument leider etwas versteckt unter den Firmware Downloads beim aktuellen FortiSwitch Patch V 3.4.2 im Fortinet Support Portal.

Wichtigster Punkt dürfte sicherlich folgende “Randbemerkung” auf Seite 11 sein:

All FortiSwitch devices must be running FortiSwitchOS 3.4.2 or later and must be upgraded prior to upgrading the FortiGate unit to FortiOS 5.4.1.

Die Switch Firmware sollte somit zeitgleich mit dem FortiOS Update geladen werden und die Firmware auf den Switches zuerst aktualisiert werden.
Wir dies nicht beachtet, so sind nach dem Update die FortiSwitches offline und können keine Verbindung mehr zum FortiGate Controller aufbauen!

Besten Dank and unseren Partner und Trainer Peter Bruderer für’s zurückmelden dieser Erkenntnis!

Locky – New Crypto Ransomware in the Wild

jonas_spieckermann

Quellenangabe:
Jonas Spieckermann, Watchguard

Artikel vom WatchGuard Security Center:
http://watchguardsecuritycenter.com/

 

Last week,  a new ransomware variant called Locky began spreading in the wild.

Locky encrypts data on an infected system using AES encryption, and then leaves a blackmail letter (which is localized in several languages) asking for half a bitcoin to get your data back. More disturbingly, it also searches for any network share (not just mapped shares), and encrypts data on those remote shares as well. If you leverage cloud storage solutions, your backup may get infected as well when it synchronizes the encrypted files. Currently, researchers have not found a way to decrypt files Locky has locked.

locky_01
Figure 1: Example of Locky’s ransom warning.

Continue reading ‘Locky – New Crypto Ransomware in the Wild’

How to prevent ransomware and other malicious malware with your Firebox

The number of ransomware incidents has exploded in the last few years, infecting hundreds of thousands of systems worldwide. Ransomware is malware that’s designed to hold your data hostage unless you pay up. Wait too long —or try to rescue it — and that data can be gone for good.

To protect your network and computers from ransomware and other malicious malware, be sure to first perform these fundamental tasks:

  • Backup and recovery
  • Segment BYOD (Bring Your Own Devices) from main network
  • Run antivirus software on clients

Is Your Firebox Ready to Block Ransomware?

Follow these steps to defend your network from malicious malware.

Signature Updates

  • Make sure the signatures for Gateway AntiVirus, IPS, and Application Control are up to date.
  • Enable automatic updates of all your signatures.

ransomware_01

Continue reading ‘How to prevent ransomware and other malicious malware with your Firebox’

HowTo: FortiCloud verwaltet FortiAPs auch ohne FortiCloud-Code

FortiAP’s können generell von einem dedizierten FortiGate Wireless Controller ‘managed’ werden oder über den FortiCloud Service. Letztere Methode benötigt keinen Wireless Controller vor Ort. Für einfachere Umgebungen ist das FortiCloud Wireless Management eine kostengünstige Alternative. Der Preis von FortiAP’s beinhaltet bereits den FortiCloud Wireless Management Service.

Für FortiAPs welche bei der Auslieferung noch keinen FortiCloud-Code aufgedruckt haben, müssen seit den aktuellsten V5.0 und V5.2 FortiAP Builds keinen FortiCloud-Key mehr bei Fortinet beantragen um diesen unter www.forticloud.com registrieren zu können. FortiAP’s mit einem FortiCloud Aktivierungs Key erkennen sie anhand eines aufgeklebten Sticker wie sie im folgenden Beispiel erkennen können:

IMG_1381

Bei FortiAP Modellen welche keinen solchen Sticker haben kann bei der WTP-Konfiguration des FortiAPs lediglich noch der Discovery-Type auf FortiCloud gestellt sowie die Account Login Daten hinterlegt werden und schon meldet sich der FortiAP in der FortiCloud, wo er danach autorisiert werden kann.

Fortinet beschreibt die Vorgehensweise in folgender Anleitung detailliert:
FortiCloud-manages FortiAP WiFi without a key

Wir wünschen viel Spass beim testen des Cloud-Dienstes!