Tag Archive for 'FortiGate'

Page 2 of 4

Neue FortiGate Desktop Modelle: FortiGate 92D

Die FortiGate-92D ist eine kompakte, auf UTM/Next Generation Funktionen optimierte 16 Port Firewall mit einem hervorragenden Preis/Performanz Verhältnis. Zusammen mit der FG-80D steht somit ein weiteres Nachfolgemodell der häufig eingesetzten FG-80C zur Verfügung. Die ältere FG-80C Serie ist jedoch nach wie vor noch nicht End-of-Sales. Neben vielen KMU Kunden setzen auch Enterprise Kunden die Desktop Modelle gerne für kleinere Niederlassungen und Heimarbeitsplätze ein. Werfen wir einen näheren Blick auf das „grösste“ Desktop-Modell der FortiGate Entry-Level Serie:

FortiGate-92D:

Die FortiGate-92D gibt es sowohl als normale Firewall, als auch als WiFi Variante. Für POE gibt es die FG-94D-POE mit 200W PoE-Budget mit 24 Ports als 19’-Variante. Für die FG-92D gibt es für eine 19’-Montage das passende Rackmount Kit RM-FR-T7.

Continue reading ‚Neue FortiGate Desktop Modelle: FortiGate 92D‘

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

Workaround:

Those wishing not to upgrade the firmware can modify the affected firewall services to explicitly set the protocol-number to 0.  For example:

config firewall service custom

edit „ALL“

set protocol-number 0

next

Das Bulletin ist hier zu finden: https://support.fortinet.com/Information/Bulletin.aspx (Login benötigt)

—————————————————————————————————————————-

Ursprünglicher Artikel:

Wir haben vermehrt festgestellt, dass nach nicht supporteten FortiOS Upgrades auf 5.2.2 der Service ALL nicht mehr ANY als Service beinhaltet, sondern nur noch IP/6, was dem TCP Protokoll entspricht. Damit gehen zum Beispiel ICMP oder auch UDP Pakete nicht mehr durch diese Firewall Policy, welche vor dem Upgrade alles durchgelassen hat.

ALL_Service

Bestätigen können wir dieses Problem aktuell für folgende Upgrades, welche von Fortinet aber nicht supported sind.

5.0.5 –> 5.2.2
5.0.6 –> 5.2.2
5.0.7 –> 5.2.2

Zusätzlich haben wir das Problem bei folgenden „supporteten“ Upgardes gesehen:

5.0.10 –> 5.2.2
5.0.11 –> 5.2.2

Als Lösung kann man im ALL Service die Protocol Number wieder auf 0 setzen.

ALL_Service_korrigiert

Offiziell supported ist der Upgrade ab 5.0.8 direkt auf 5.2.2. Bei den Upgrades von 5.0.8 und 5.0.9 haben wir das Problem bis jetzt nicht gesehen.

Trotz dieser Situation empfehlen wir im Normalfall, immer den supporteten Upgrade Pfad, wie in den Release Notes angegeben ist, zu befolgen. Für den Upgrade gibt es nebst den Release Notes auf ein eigenes Dokument für den unterstützten Upgrade.

Supported Upgrade Path für 5.2.2:
http://docs.fortinet.com/d/upgrade-paths-to-fortios-5.2.0

Für Neugeräte empfehlen wir, direkt den gewünschten Release per TFTP raufzuladen. Weiter ist auch möglich, per WebGUI direkt auf den gewünschten Release upzudaten ohne den Supported Upgrade Path zu beachten, dann aber die FortiGate per CLI  auf die Standardeinstellungen zurückzusetzen: exec factoryreset.

FortiClient Configuration Deployment

Mit den neueren FortiGate OS Releases ist es möglich, FortiClients via FortiClient Profile auf der FortiGate zu managen. So können etwa Webfilter Profile oder VPN Informationen an die FortiClients gepushed werden, sobald sich diese an der FortiGate registriert haben.

FortiClient_Default_Configuration

Es ist dank einer CLI Einstellung auch möglich, Teile oder die ganze Konfiguration im XML Format an den Client zu übermitteln. Continue reading ‚FortiClient Configuration Deployment‘

Neue FortiGate Desktop Modelle: FortiGate 80D

Länger als gewohnt hat es gedauert. Mit der FG-80D steht ab sofort ein Nachfolgemodell der häufig eingesetzten FG-80C zur Verfügung. Das Modell ist brandneu und wurde eben erst auf der Fortinet Webseite publiziert. Interessanterweise ist auch die ältere FG-80C Serie noch nicht End-of-Sales. Doch werfen wir einen näheren Blick auf das neuste Modell der FortiGate Low-End Serie:

FortiGate-80D:

FG80D

Die FortiGate-80D gibt es aktuell ausschliesslich als normale Firewall Variante. Ein POE oder Wifi Modell gibt es nicht.

Continue reading ‚Neue FortiGate Desktop Modelle: FortiGate 80D‘

Neue FortiGate Desktop Modelle: FortiGate 70D

In gewohnter Weise lanciert Fortinet wieder neue stärkere FortiGate Desktop Modelle. Wie kein anderer Enterprise Firewall Hersteller versteht es Fortinet auch im Low-End Segment immer wieder neue Massstäbe zu setzen, speziell im Bereich Features und Preis/Performance. Eine Strategie die aufgeht. Neben vielen KMU Kunden setzen auch Enterprise Kunden die Desktop Modelle gerne für kleinere Niederlassungen und Heimarbeitesplätze ein. Auch Industriekunden bauen die kleinen Firewalls in Geräte oder Maschinen ein. Doch schauen wir uns die neuen Geräte näher an:

FortiGate-70D:

FG-70D_Front

Die FortiGate-70D gibt es ausschliesslich als normale Firewall Variante. Andere Desktop FortiGate Modelle sind jeweils auch in einer POE oder FortiWifi Variante erhältlich.

Continue reading ‚Neue FortiGate Desktop Modelle: FortiGate 70D‘

Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!

Auf einigen der neuen Fortigate Modellen ist ein NP4lite enthalten. Dieser Prozessor sorgt insbesondere für eine schnellere Verarbeitung des Firewall- und VPN-Traffics.

Allerdings weisst dieser NP-Prozessor, wie auch die bereits existierenden NPs, einen kleinen Nachteil beim Troubleshooting auf. Da Pakete, die auf dem NP offloaded werden, nicht mehr zur CPU gesendet werden, sieht der Packetsniffer Befehl der Fortigate diese Pakete ebenfalls nicht mehr. D.h. wenn man  per Packetsniffer ein Ping mitsnifft, sieht man nur noch die ersten beiden Echo-Requests und -Replies, danach wird die ICMP Session offloaded und man sieht im Packetsniffer nichts mehr. Continue reading ‚Fortigate Modelle mit NP4lite – Packetsniffer sieht nicht mehr alle Pakete!‘

FortiOS FortiGuard DDNS Service: Registrieren und Deregistrieren

Seit FortiOS 5.x hat Fortinet einen äusserst praktischen ‚DynamicDNS‚ Service direkt in FortiOS integriert. Mit diesem kann einem beliebigen Interface mit dynamischer IP Adresse (DHCP, PPOE) einen DNS Namen zugewiesen werden über welchen dann die aktuell zugewiesene IP Adresse aufgelöst wird. Das war bereits mit früheren FortiOS Versionen möglich, aber dafür musste immer einen externen Dienst in Anspruch genommen werden. Dieser musste denn auch bezahlt werden wenn er auch verlässlich funktionieren sollte über längere Zeit. Mit dem neuen 5er Release hat Fortinet nun einen eigenen FortiGuard Service dafür geschaffen und vereinfachte dadurch das Management stark. Um den Service benutzen zu können müssen keine Zusatzservices oder Lizenzen gekauft werden. Die Konfiguration könnte einfacher nicht sein:

  1. Unter System -> Network -> DNS den FortiGuard DDNS Service aktivieren
  2. Gewünschtes Interface wählen
  3. Einer der 3 Domänen selektieren
  4. Hostname eingeben und auf ‚Apply‘ drücken

Nach der Eingabe des Hostnamen wird gleich angezeigt ob dieser noch frei ist. So lassen sich schnell die Namen ausprobieren ohne das jedes mal auf ‚Apply‘ geklickt werden.

DDNS

Deregistration

Muss ein bereits registrierter Name bei einem Hardware Austausch auf eine andere FortiGate migriert werden so kann dies über zwei Wege gemacht werden.

  1. Auf dem alten System Unter System -> Network -> DNS den FortiGuard DDNS Service deaktivieren und auf ‚apply‘ drücken. Damit wird der Name wieder frei gegeben und kann auf einem anderen Gerät wieder registriert werden
  2. Falls das Gerät nicht mehr zur Verfügung steht, beispielsweise durch einen Hardware Defekt so kann ein Support Ticket eröffnet werden. Der Support de-registriert dann den Namen. Dafür muss mindestens die Seriennummer des nicht mehr zur Verfügung stehenden Gerätes angegeben werden. Der DNS Name alleine reicht nicht

 

FortiGate-3600C – Fortinet’s neues Next Generation Enterprise Firewall Schlachtschiff

Schwerer Besuch von Fortinet bei BOLL Engineering AG.

Neulich hatten wir das Vergnügen die neue FortiGate 3600C in den Händen zu haben. Das neue Enterprise Flagschiff bietet beeindruckende Leistungsdaten. Sie gehört in ihrer Preisklasse (80k CHF HW only) mit 12 x 10GbE und 18xGbE zu den Firewalls mit der aktuell höchsten 10Gbit PoOF3C0002rtdichte auf dem Markt. Bestückt ist sie mit den neuesten FortiASIC Chips. Der FortiASIC CP8 Content Processor beschleunigt Signaturen basiertes Content Scanning sowie SSL Encryption/Decription auf Hardware Basis. Der FortiASIC NP4 bietet echte Wire-Speed Statefull Inspection Firewalling in allen Packetgrössen, VPN Beschleunigung, Anomaly-based IPS, und Packet Defragmentation sowie Traffic Shaping und Priority Queuing. Die Layer 4 Performance ist beeindruckend. Mit 60 Gbps, 28 Milllionen Concurrent Sessions (TCP) und 235’000 New Sessions/Sec setzt sie sich klar von anderen Firewalls in diesem Preissegment ab. Doch auch im Bereich der Content Security setzt sie Massstäbe (18Gbps AV, 14Gbps IPS/Application Control). Damit eignet sich die neue Hardware perfekt für Next Generation Enterprise Perimeter Firewalling oder Data Center Core Firewalling.

Für weitere Informationen haben wir neu sämtliche aktuellen FortiGate Produkte auf unserer Fortinet Portfolio Seite in einer schönen Übersicht zusammengefasst:

http://www.boll.ch/fortinet/fortigate.html

OF3C9995

FortiPlanner zur Planung und Analyse von Wireless Netzwerken

Fortinet hat die Software FortiPlanner zur Planung und Analyse von Wireless Netzwerken veröffentlicht.

Mit dieser Software lässt sich ein Grundrissplan des Gebäudes laden und FortiAPs plazieren. Damit kann bereits eine Einschätzung zur Wireless Abdeckung vorgenommen werden. Die Software kann auch automatisch FortiAPs in vordefinierten Bereichen zur optimalen Abdeckung platzieren.

fortiplanner_fortiap

 

Mit einer Pro Upgrade Lizenz kann die Software zusätzlich nach der Installation eine grafische Auswertung der plazierten FortiAPs vornehmen (Site Survey). Dazu misst man die Abdeckung an beliebig vielen Orten innerhalb der gewünschten Zone um ein aussagekräftiges Bild der Abdeckung der SSIDs und Access Points zu erhalten.

fortiplanner_sitesurvey

Zudem gibt es auch die Möglichkeit, die Sendeleistung und die Anzahl verbundener Clients sowie aktive Channels pro Access Point anzeigen zu lassen (Real Time Heat Map). Diese Funktionalitäten benötigen eine Verbindung direkt auf die FortiGate.

Weitere Informationen sind hier zu finden:

FortiPlanner User Guide
http://docs.fortinet.com/fgt/fplanner/fortiplanner-user-guide-14-mr3.pdf

FortiPlanner Download
http://planner.fortinet.net/update/publish.htm

New feature: FortiGate Hardware Switch Interface

hardware_switch

Virtual switch feature enables you create virtual switches on top of the physical switch(es) with designated interfaces/ports so that a virtual switch can build up its forwarding table through learning and forward traffic accordingly. When traffic is forwarded among interfaces belonging to the same virtual switch, the traffic doesn’t need to go up to the software stack, but forwarded directly by the switch. When traffic has to be relayed to interfaces not on the virtual switch, the traffic will go through the normal data path and be offloaded to NP4 when possible.

This feature is only available on mid to high end FortiGate units, including the 100D, 600C, 1000C, and 1240B.

To enable and configure the virtual switch, enter the CLI commands:

hardware_switch_code