Άρθρ τυ Διαμαντή Ε. Παπάζγλυ e-maii/lync On!ine: diamantis@ρaρazoglou.biz Μέρc; 2 Σ τ 1 άρθρ της σειράς αναφερθήκαμε στην φιλσφία της Foήinet πυ διέπει τν σχεδιασμό και την λειτυργία των Connected UTMs, ανατρέξαμε σε πηγές πληρφόρησης και γνώσης για την κατάρτισή μας και κάναμε ένα πρώτ ξεκίνημα της διαρρύθμισης ενός FortiGate με την βήθεια τυ Setup Wizard τυ FortiExplorer. Στ παρόν 2 μέρς θα εξετάσυμε την διαδικασία μιας χειρκίνητης αρχικής διαρρύθμισης για μια βασική λειτυργικότητα και την διαδικασία τυ product registration. Έχυμε ως αναφρά την έκδση FoήiOS S.O.x, σε επόμεν άρθρ θα αναλύσυμε τις διαφρές πυ εισάγει η έκδση FoήiOS 5.2.χ. 5.2.2. Χειρκίνητη Ρύθμιση Για την manual ρύθμιση θα χρησιμπιήσυμε τ WEB GUI της συσκευής είτε μέσα από τν FortiExplorer, είτε δικτυακά. Αν συνδεθύμε δικτυακά σε κάπια από τις πόρτες τυ internal interface, έχυμε πάντα κατά νυ ότι η συσκευή διαθέτει εργστασιακά την ΙΡ Address 192.168.1.99/255.255.255.0, τ username είναι admin και τ password κενό. Ανίγυμε τν browser μας στην διεύθυνση αυτή, απδεχόμαστε τ warning για τ certificate και εισάγυμε τ (User)name στην θόνη login: 36 COMMUN I CAτiON SOLUτiONS ΝΟΕΜΒΡΙΟΣ- ΔΕΚΕΜΒΡΙΟΣ 2014
For1iGate 600.,..,/«111<_..,_ w ;;ι flt. t.dιn<i.... 1<>/'okor Μας υπδέχεται η θόνη τυ Status της συ- aπενεργπιήσει τ lnterface από τις ρυθμίσεις σκευής, όπυ με μια ματιά έχυμε όλες τις πλη- πυ θα δύμε παρακάτω και η ένδειξη Link ρφρίες πυ αφρύν την κατάσταση λειτυργίας της. Παρακάμmυμε αρχικά τ popup για την ενεργπίηση της συσκευής (βλέπε 5.3). Θα επανέλθυμε στην ενότητα System αργότερα (βλέπε 5.2.2.3): - ~olt$10,)0-~j'o J <( ~!o-,<!.ι.σ.~ > (QA-0) [- ) J-J - ~(- -...ι Jιι.. τωtn ; σ.. >j>jo"""( J S'M'(oJ υv..._ιs-..,,...,..._,,.., ~ - Θ- Status αν έχει σύνδεση και σε πια ταχύτητα. Η εικόνα τυ unit πάνω από τν πίνακα με τα interfaces, απεικνίζει την κατάσταση λειτυργίας των πρτών τυ σε πραγματικό χρόν. Αν πάμε με τ πντίκι μας πάνω από μια ενεργή πόρτα (πράσινυ χρώματς), μας εμφανίζει επιπλέν στιχεία όπως τν τύπ και την IP της, αν έχει Link και σε τι ταχύτητα και πόση κίνηση είχε μέχρι τώρα: -(ι->oj... J-o1} -~:ι - -mι s-~ι JOι...,1-~J ~(\.oo8e _,,...,._, -- -....<..~. -._.....,.. _ f... \I(M :ΞΙ - ""', ~u ι con...ι., αι,." Ως βάση για τις παρακάτω ενέργειες ρύθμισης, θα έχυμε κατά νυ την απλπιημένη σχεδιαστική φιλσφία των συσκευών πυ αναφέρθηκε στην αρχή τυ κεφαλαίυ 5. I F Ι:Ι ΑΊ"ΙΠΕτ. fσrtίg δ te 600 I Ο CΓe a te New in-ternal IP/ Netmask : 192.168. 1.99/ 24, l ink: Up j] ~~=:d~ :~~~:::~Fu l l Duplex Receίνed: 1719 packets Αν κάνυμε κλικ με τ πντίκι μας και μαυρίσυμε ένα interface στν πίνακα με τα interfaces και στην συνέχεια επιλέξυμε Edit (ή αν κάνυμε διπλό κλικ πάνω τυ), μπρύμε να επεξεργαστύμε τις ιδιότητές τυ: ons ons Physical 10.10.10.1 255.255.255.0 Physicίill 192. 168.4.31 255.255.255.0 Physicίil l 192.168.10 1.99 255.255.255.0 0.0.0.0 0.0.0.0 192.168.1.99 255.255 255 5.2.2.1 Ρυθμίσεις Δικτύων Στην ενότητα System -> Network βρίσκυμε την επιλγή lnterface, όπυ εμφανίζνται όλα τα Ethernet lnterfacesτoυ FortiGate: For1iGate βοd I 2 I ;!!. ~ FDAτιnεr..._. τ.. Sιιωι... - Τcφ~ τ..,...-..-.,_com;.._......... -- ~... ---...ι>- ~ ι~. ι~>.ιιι.ι>!~:ι-1ηα Olί\IQ,WΠI'!I.- -.C»WΙΨ,._,. ι n.ιω.._jι~!. : U.2SΙΙ.Ο OI<WO.OOOG--.~ιroo-ι-.::.,.,._ J t1. ι ω.ιoj.h2~.n~s.o I'IJOO. -Au....,..utO ljo!iι'c Η ένδειξη Type μας πληρφρεί αν πρόκειται για φυσική πόρτα ή VLAN ή ζώνη (αν μαδπιήσυμε interfaces) ή WiFi lnterface κλπ. Η στήλη IP/netmask μας πληρφρεί για την primary IP πυ διαθέτει κάθε interface, η ένδειξη Administrative Status αν έχυμε ενεργπιήσει ή Εσωτερικό Δίκτυ Ξεκινύμε ρυθμίζντας τ internal interface όπυ θα συνδέσυμε τ τπικό μας δίκτυ: Ορίζυμε ένα ψευδώνυμ (Aiias) ώστε να μπρύμε να τ αναγνωρίζυμε ευκλότερα. Στ πεδί Adressing Mode επιλέγυμε τν τρόπ διευθυνσιδ ότησης, συνήθως είναι manual (δηλαδή static IP) μιας και πρόκειται για τ gateway τυ δικτύυ μας. Εισάγ υμε την IP Address και την μάσκα της. Στ πεδί Administrative Access επιλέγυμε με πιν τρόπ θα είναι εφικτή η πρόσβαση στ συγκεκριμέν lnterface για διαχει- ΝΟΕΜΒΡΙΟΣ- ΔΕΚΕΜΒΡΙΟΣ 2014 COMMUNICATION SOLUτiONS 37
ριστικύς λόγυς (πρόσβαση μέσω ΗΤΤΡ, ΗΠΡs, Telnet, να απαντά στ ping κλπ). επιλγές μας έχυν να κάνυν με την πλιτ ική ασφαλείας τη ς εταιρείας μας και ρίζ υ ν πως θα είναι πρσβάσιμ τ FortiGate από τ εσωτερικό δ ίκτυ. Η εν δε ίξη FMG Access αφρά την δυνατότητα αυτόματης διαπίστευσης ενός FortiManager appliance (συσκευή π υ χρησιμπιείται για την κεντρική διαχείρηση πλλών FortiGates), η ένδειξη Οι (CAPWAP = Control And Proνisioning of Wireless Access Points) αφρά την λειτυργία τ υ FortiGate ως wireless ΑΡ controller και την δ ιαχε ίριση των Forti Access Points και η έν δειξη FCT-Access αφρά την δυνατότητα τ unit να απδέχεται συνδέσεις από PCs με FortiCiient endpoint control software (θα καλυφθεί σε ειδικό κεφάλαι σε άλλ άρθρ). Στ πεδί DHCP Server επιλέγυμε αν θα ενεργπιήσυμε (έναν ή περισσότερυς) DCHP Serνer(s) σε αυτό τ lnterface και ρίζυμε τ μιράζυν. IP Pool των διευθύνσεων πυ θα Στ πεδί Comments εισάγυμε μια περιγραφή κάπιας λειτυργίας ή κάπιας ρύθμισης πυ κάναμε ώστε να θυμόμαστε σε τι απσκπεί. ΔίκτυWΑΝ Η επόμενη ρύθμιση αφρά την διασύνδεσή μας με τν έξω κόσμ. Παραμετρπιύμε την πόρτα wan στην πία έχυμε συνδέσει τν Serνice Proνider μας (π.χ. wan 1): Ορίζυμε ένα ψευδώνυμ (Aiias). Στ πεδί Adressing Mode επιλέγυμε τν τρόπ διευθυνσιδότησης, συνήθως είναι ΡΡΡΕ (εφόσν έχυμε ρυθμίσει τ DSL CPE/Modem μας σε Bridge Mode) μιας και πρόκειται για τ gateway τυ δικτύυ μας. Εισάγυμε τ username και password τυ Account πυ έχυμε στν lnternet Serνice Proνider, επιλέγυμε "Retrieve default gateway from server" και 'Όverride internal DNS". Ο proνider μας παρέχει αυτόματα την WAN IP Address μας (είτε στατική είτε δυναμική) και τις διευθύνσεις τυ gateway και τυ DNS. Name Alias link Status Type Addressi ng mode IP/Network f'1 ask Admin i s tr<ι t iv e Access internai(08: SB:OE: 12 :AD :9A) ComsoiLAN Up 0 Physical Interface @ Manual θ DHCP :') ΡΡ ΡΕ θ Dedicate to FortiAP t92. ι 6s.-1.99j255.255 ~2 ss.o ---- ~ -~ ΗΠΡS ~ PI NG [ij ΗΠΡ [lj FMG-Access [ij CAPWAP Στ πεδί Administrative Access επιλέγυ- Name Alia s Unk Stat.us Type Edίt Interface wanl(08 :5Β: Ο Ε : 12 :AD:9C) ComsoiiSP Up 0 Physical I nteιfa ce r~ SSH LJ SNMP [j TELNEf[j Fcτ-Access LJ Auto IPsec Request Addressing mode θ Manu al DHCP @ Ρ ΡΡΕ θ Dedicat e t o FortiAP DHCP Server ~ Enable Usemame comsol@com sol.gr Address Range Ο CreateNew Password Netmask Default Gatew<Ιy starting ΙΡ 192.168.1.110 255.255.255.0 @ Same as Interface ΙΡ Ο Specify 192.168.1.210 Unnumbered ΙΡ Initial Di sc τί m eo u t Initial ΡΑΟΤ τίm eo ut Oist ance 0.0.0.0 ~-~----"-----~.-- 1 --- ----~------ 1 DNS Serνer @ Sam e as System DNS e> Specify Re t rieν e default gateway from s e rνer. Advanced... Oνer rid e internal DNS. Security Node A dm i ι1 ίstratίνe Access [) ΗΠΡS [tj PI NG EJ ΗΠΡ [} FMG-Access EJ CAPWA P Device Management EJ SSH LJ SNMP [] TELNΠ EJ Fcτ-Access EJ Auto IPsec Request Detect and Identify Devices Enable STP Enable Explicit Web Proxy ϋ sten for RADIUS Acco un tinσ Messaσes Ε] Secondary Ι Ρ Address ι1j EJ EJ Comments C~n n-ect~,-,o~i n-te-,n~al _la_n -and proν.i d es... DHCP Serνer serνices to connected (.] clients. _ sonss Adminis tratiνe Status @ 0 Up Deν i ce Nanagement Detect and Identify D eνices Enabl e Expli cit Web Proχy Usten f or RADIUS Accounting Messages EJ EJ [tj Comment s Connects t o the ISP ν ia Ρ Ρ Ρ Ε. : ; J0/255 A dm i ni stratiνe @ 0 Up θ Ο Oo ~v n Status b κ 11 cancel 38 COMMUNICATION SOLU τi ONS ΝΟΕΜΒ ΡΙ ΟΣ- ΔΕ Κ Ε Μ Β ΡΙΟΣ 2014
με με πιόν τρόπ θα είναι εφικτή η πρόσβαση στ συγκεκριμέν lnterface για διαχειριστικύς λόγυς. Για WAN interfaces συνιστάται να είναι όλες ι επιλγές aπενεργπιημένες, στην περίmωση πυ τ χρειαζόμαστε αφήνυμε τ ρing ενεργπιημέν. Στ πεδί Comments εισάγυμε μια περιγραφή κάπιας λειτυργίας ή κάπιας ρύθμισης πυ κάναμε ώστε να θυμόμαστε σε τι απσκπεί. Εφ' όσν εισαγάγαμε σωστά τα στιχεία τυ ISP account μας κι έχυμε συνδέσει τ DSL CPE/ Modem στ FortiGate και στην γραμμή, μετά α πό λίγα δευτερόλεmα κι αν κάνυμε ένα refresh στην σελίδα των interfaces θα πρέπει να εμφανιστεί η wan IP πυ μας εκχώρησε proνider: Serνer, είναι σημαντικό να έχυμε ρυθμίσει σω στά τα DNS Settings της συσκευής. Μεταβαίνυμε στην ενότητα System -> Network -> DNS. Εκεί έχυμε δύ επιλγές : να ρίσυμε τυς DNS Serν~rs της επιλγής μας (π.χ. τυ proνider μας) ή να αφήσυμε τ FortiGate να χρησιμπιεί τυς DNS Serνers τυ δικτύυ της Fortinet: Sy ste nι ι3 Θ Dashboard S ta tιιs Top Sou rc:es ~ Top Destinations ~ Top Ap ptications θ ~ Netw ork. Policy Interfaces Routing Firewal l 0'-' bj~eάs~-. ι _s_ec u_rity_p.':'_files~~-- IJ DNS Settings - DNSSettings~_.= '~ @ Use FortiGuard Se rνer s P rίm a ry DNS Serνer Secondary DNS Server Local Domain Name Connected to Fort:iGuard Web Filtering Ucensed LJ En<Jble Fo r1:iguard DDNS () Spe<:ify!2-08 9i-~i-12."s3 i.39_~ 9_!-.i12:.52: Ο Ο Apρ l y ~ Top Applications ~ Network : Ro ~D ~ g. DNS Explicit Proxy dmz wan2.. wanl (Comsoii SP) T Name 'Υ IP/Net:mask PhysicaJ 192.168.180.1 255.255.255.0 Physica! 192.168.101.99 255.255.255.0 Physical 141.237.105.2:4 255.255.255.255 m e sh.root ($ SSI O : fortine t.mesh.root ) W ίfi 0.0.0.0 0.0.0.0 interηa l Phy sical 19 2.168.4.1 255. 255.255.0 Αν επιλέξυμε πάλι edit για τ wan 1 interface, θα δύμε τ Status της γραμμής να είναι connected καθώς και τις διευθύνσεις IP τυ wan interface, των DNS Serνers και τυ Gateway. Εφ' όσν διαθέτυμε υπηρεσία με δυναμικό IP, με τ μπυτόν Renew μπρύμε να ζητήσυμε την εκχώρηση νέας wan IP address: 5.2.2.2. Policies Τ τελευταί βήμα πριν η συσκευή μας να μπρεί να αρχίσει να λειτυργεί, είναι να ελέγξυμε αν υπάρχει κι αν είναι σωστό τ κατάλληλ policy πυ θα επιτρέψει την πρόσβαση στ lnternet. Τα policies είναι βασική λειτυργία τυ συστήματς και απτελύν κανόνες πυ ελέγχ υν την κίνηση από και πρς τα interfaces τυ FortiGate. Επιπλέν, εφαρμόζυν πάνω στην κίνηση τις πλιτικές χρήσης και ασφάλειας π υ θ α επιλέξυμε. Κάθε policy είνα ι υ σιαστικά ένα routing task μεταξύ δύ δικτύω ν, τ π ί υπόκειτα ι σε ελέγχυς βάσει των επιλγών μας. Name Alias Unk Status Type wan l (00:09:0F:DF:32: 19 ) ComsoiiSP Up 0 Physical Interface Στην ενότητα Policy -> Policy βλέπυμε ότι τ σύστημα έχε ι δημ ιυργήσε ι ή δη δύ εγγραφές από μό ν τ υ : Addressing mode status Obtained I P/Netmask Acquired DNS Default Gate\νay 62.38.0.170 Usemame com sol@com soj. g r PaSS \VOΓd θ Manual δ DHCP @ ΡΡΡΕ ιf> Dedicate to Fo rtiap connected$ 141.237.105.24 255.255.255.255 j Renew I 62.38.1.81 62.38.0.8 1 " PI"oxyOρtio n s ' SSt. Ι nspectlon ι.!ιίlt Mnnltn Fln!.w/111 Objeςl~--~- ι;:...ι:.ιt.νρ<-<>f Ι W... -..- i n t ~.W(Coms<::ιii.AH)-.,~J{Coιmoi!SP)(l - 1 )..- ιmρlkit{2-l) Ρύθμιση DNS Τ policy route με Seq.# 1 αφρά την δρμ Για την σωστή λειτυργία τυ δικτύ υ μας και λόγηση κ ίνησης απ ό τ εσωτερ ι κό μας δίκτυ μάλιστα αν τ FortiGate εκτελεί χρέη DHCP στ wan 1 δ η λαδή στ lnternet. Για να έχυμε και ΝΟΕΜΒ ΡΙ ΟΣ - Δ Ε Κ Ε ΜΒΡ Ι ΟΣ 2014 COMMUN I CAτiON SOLU τi ONS 39
Με αυτά τα δ ύ polίcies ασφάλεια στην χρήση τυ lnternet, έχυμε ενεργπιήσει επιπλέν τα Security Profiles Antiνirus μπρύμε να ξεκινήσυμε άμεσα την χρήση της συσκευής μας. και IPS πυ εφαρμόζνται σε όλυ ς τυς τύ πυς content πυ ε ισέ ρχνται στ δ ίκτυό (web, files, emails κλπ): Edit Policy Policy Type ~ Firew all VPN Policy Subtype ι Address User ldentity t Deνice ldentity Jncoming Jnterface intemal (ComsollAN) U Source Address Q d Q Outgoing Interface wanl (Comsoi!SP) U Destination Address Q d u Schedule Serνice Action [JJ Er1able ΝΑΤ ιa always All V ACCEPT ~ ~ Use Destination Interface Address Ε3 Fixed Port Use Dynamic ΙΡ Pool Cllck to add... ιogging Options Ν l09 Log Security Eνents Log all Sessions μας 5.2.2.3. Λιπές ενέργειες - ρυθμίσεις Στη ν ενότητα System lnformation έχυμε πληρφό ρ η ση για τα στιχεf? τυ appliance (Host Name πυ μπρύμε να αλλάξυμε, Serial Number), τ Mode λειτυργίας τυ (ΝΑΤ, Transparent), αν υπάρχε ι ή όχι συνδεσμλγία High Aνai l ability (ΗΑ), τ χρόν τυ συστήματς κ. α. 'φ Systenι Infom1atίon I' -t.~ χ Host Name FGT6004613011388 [Change] Serial Number FGT6004613011388 Operation Mode ΝΑΤ [Change] Η Α Status Standalσne [Configure] System Time Wed Feb 5 20:35:28 2014 (FortiGuard) [ Change] Firm v.. are Version ν5.0, bu ild0252 (GA Patch 5) [Update] [Details] System Configuration [Backup] [Restore] (ReνΙsions] Current Administrator admin [Change Password] /1 in Total [Details] Uptime Ο day(s) Ο hour(s) 9 min(s) security Profiles.. AntiVirus. Web Filter --...,~ Application Control.. lps Email Filter Μια πρώτη ενέργεια πυ πρέπει να κάν υμε είναι να αλλάξυμε τ password τυ χρήστη admin, επιλέγντας τ σχετικό link: - DLPSensor SSL I115pection (j Traffic Shaping ΕΙ Disclaimer Comments ~2/1023 Pσlicy to allo~~ internailan to access the lnternet. Ο Κ Can cel Τ policy με Seq.# 2 είναι τ 2 εργστασιακό πυ υπάρχει και περιέχει μόν ένα Deny Action, "' System lnfoπnation ιf' t'\- Χ Host Name Serί a l Number Operation t 1ode Η Α Status System Time Firmware Version System Configuration Cuπent Adm i Uptime nίstrator FGT60D4613011388 [Change] FGT6004613011388 ΝΑΤ [Change] Standalone [Confιgure] \~led Feb 5 20:35:28 2014 νs.o,build0 252 (GA Ρ [Backup] {Rest ore] t admin {Change Pass\νord] /1 in Total [Details] Ο day(s) Ο hour(s) 9 min(s} Αφήνυμε τ πεδί "Oid Password" κενό και εισάγυμε τ νέ password στα επόμενα πεδία: είναι δε ένα «σιωπηρό, policy πυ απαγρεύει την κίνηση σε ότι «περίσεψε» κατά την εφαρμγή των policies από πάνω πρς τα κάτω: Administrator Old Password admin Edit Policy Incoming Interface any Source Address all Outgoi ΙlQ Interface any Destination Address all Action Θ DΕΝΥ Logging Opt ions EJ Log Violation Traffic Cancel Θα εξετάσυμε αναλυτικά τις παραμέτρυς, την λειτυργία των policies, των εφαρμζόμενων security profiles και τυ top-down policy priority στ επόμεν άρθρ. New Password Confirm Password ΟΚ Cancel Από την ίδια ενότητα έχυμε πρόσβαση στ σημαντ ι κής σημασίας εργαλεί backup/restore τυ system configuration πυ μας επιτρέπει να πάρυμε ή να επαναφέρυμε αντίγραφα ασφαλείας όλων των ρυθμίσεων τυ FortiGate: System Time Wed Feb 5 20:35:28 2014 (FortiGuard) [ Change] f irmware Version νs. O,bu i l d0252 (GA Patch S) [ Update] [ Det ails) System Confίg u rat i on [ Ba ckup] [ Restore] [Reνisίon s] Current Administrator admin [Change Password] /1 in Total [Det ails] Uptime Ο day(s) Ο hour(s) 9 min(s) 40 COMMUNICAτiON SOLUτiON S ΝΟΕΜΒΡΙΟΣ - ΔΕΚΕΜΒΡΙΟΣ 20 14
Η απθήκευση τυ αρχείυ τυ configuration, μπρεί να γίνει σε plain text (πυ μπρύμε να επεξεργαστύμε σε ένα Wordpad) ή κρυmγραφημένα, τόσ στν τπικό μας δίσκ όσ και σε USB Deνice συνδεδεμέν απ ' ευθείας στ FortiGate. Η επιλγή restore έχει τις αντίστιχες ρυθμίσεις: Backup confiquration to: @ Local PC ΕΊ Encrypt configuration file USB Disk Backup Cancel ~""~~ Restore κ Restore configuration from: r!) Local PC USB Disk Στην ενότητα Admin βρίσκυμε την επιλγή Settings απ ' όπυ αλλάζυμε τν innactiνity timer από τα εργστασιακά 5 λεmά στη διάρκεια της αρεσκείας μας (για να μην μας κάνει αυτόματα logout αν μεσλαβήσυν 5 λεmά απραξίας). Στην ενότητα Config βρίσκυμε την επιλγή FoήiGuard με τις τρέχυσες ενημερώσεις των υπηρεσιών ενημέρωσης (πρϋπόθεση να έχυμε κάνει register την συσκευή βλέπε παράγραφ 5.3), την ημερμηνία λήξης τυς καθώς και τ schedule πυ ισχύει για τ αυτόματ update (τ έχυμε ρίσει να γίνεται καθημερινά στις 01 :00): Filename: Password SuppOrtCOntrltct. Restore Cancel ' Top Soufcu τopoa tl n ιι kιns ' To;>ρAρplk;ιιions Enh..,ιedSu~ R89istc<W {t 0Qin!O j (LOφnHow ] Ο ι xsιuρρoι t { f xplru:2 0Ι4 07 07} Ο Ι SιuppOtt( t plrh 20 1 4 07 07 } 0 Systen1 eι Θ oashboard Status Τρ Sources Τρ Oestlnations Τρ Applications Η δυνατότητα να απθηκεύυμε τ configuration file σε τπικό USB Media πάνω στ Forti Gate, μας παρέχει ένα ακόμη χρήσιμ εργαλεί στην καθημερινή μας εργασία: αν απθηκεύσυμε μαζί με αυτό κι ένα firmware file και τπθετήσυμε τ USB media στ FortiGate, μπρύμε να ξεκινήσυμε την συσκευή από αυτό σε περίmωση πυ θέλυμε να δκιμάσυμε ένα configuration ή σε περίmωση πυ δεν ξεκινά η συσκευή μας όπως επιθυμύμε από λάθς πργραμματισμό. Η λειτυργία αυτή νμάζεται USB Auto-lnstall και θα αναλυθεί περαιτέρω σε επόμεν άρθρ. Central Managen1ent Status - ------. ------ Adnιιnlstrators Settings O NotManaged FortiManager IP/Domain Name: Ι Send Request t:j Use FortiManager for all FortiGuard communications Administratio n Settings Confl9 F ort i Gu<ιrd S u bscr t ριto ιι S~rν lces ι>ollcy ' 11 8ρlac mι nt Mιυ ιg... ιeιw 11rawιι1JOb)ecl_,. SecurtιyVrOIU.._. WAHOpt. c.cho!... """" FIA!wιiiOO~ S.CutiΙνPnΙII Ι.s I PSo.fl nk lo<>ι 4,0G<ι l(uρdι tld20 1 4 02 1 0..,.Sdt«Juι.d Upd ι e) IUpι:I~Ι) IPS E"91ne 2. 00 Ι 74(Vι>d t"20 Ι 4 02 Ι O... Sdt«i«ι.dllpdmo) 2 1.00601 { Uρd ιι ι d 20 Ι 4 Ο2 Ι Ο'<f14 s.:ιι.dιm<iι.jpdιt.) (Uρcl.ιtι} ι.ν Englne S.OOH6 (UρςΙ ιt ιd 2013 05 21 vu-.tυ~) W eb FΙit..v.g V ι l d ιkenm ( Explres20 1 4 07 06 ) 0 Fo r ticiiι:ιιtl n fo r nιιιiion νιlldιk...,s.(e~ρi""n ι 07 07) 0 1. 00347 { Updι t oιd20 14 -<I \ 30WNN...w/ι.Jpdιr.) (Uρctιt"') Vallc!Lic:-(f-p/fn10 Ι4 0'1' 06 ) 0 ΙΙ 89Ιιt.,.κ1{ 11 >φlr 20 14.0Η>4 ) 0 IAiowιό(OUHd) AV Signιtu< ΙI 21. 600(Updι t e-<12 0\ 4 0 2 1 0) fortic II ι nιν..-.ιon{mac) s.o. 7(U ρςl ιlt<ι20h Ol Ι O) tor«:llentν..-.lon{window ι) 5. 0.7( Updιt ιd 2 0 Ι 4 02 1 0) SSL VPN P,_ c k;ιg e l SSL νi> N P~V...ιlon FortiToken ~ se rνer 1\.~ ι ι.ιn ιιlorm,_t ion..,.. AV & IPS OQwnloιd Opdons AllowPuιhuρd ι t.o 5.3. Product Registration.,.., UpHte- Administrators AdminProfiles Ut HΠPPort 80 HΠPS P ort 44) Telnet Port 23 SSH Port 22 ldleτimeout 30 ClJ Redirect to ΗΠΡS Για τη ν ενεργπίηση των υπηρεσιών ανανέωσης (FortiGuard) των μηχανισμών πρστασ ίας τυ FortiGate, των υπηρεσιών υπστήριξης και Firewcι l l Object_,. secuήty Profiles VPN ------1 Ust!;r &. Oeνic~ W AN Opt. &. Cδch e [1 E n ιιb l e Pιιsswo rd Policy View Settings Lcιngu cι ge english Lines Per Pcιge so!ξι (20 1000} της δυνατότητας αναβάθμισης firmware, είναι απαραίτητη η δήλωση τυ πρ'ίόντς στ support site τη ς Fortinet. Η δήλωση μπρεί να γίνει WiFI Controller App ly με δύ τρόπυς: ΝΟΕΜΒΡΙΟΣ - ΔΕΚΕΜΒΡΙΟΣ 2014 C OMMUNI CAτiON S OLUτiON S 41
5.3.1. Μέσα από τν FoήiExplorer κατά την διαδικασία εκκίνησής τυ: T σol s Ηεlρ 5.3.2. Μέσα από τ WEB GUI την ώρα πυ τ ξεκινύμε για πρώτη φρά (τ reminder popup θα εμφανίζεται μέχρι να πρχωρήσυμε κάπια στιγμή στην διαδικασία): Mon itored Firmwa re FortiGate-900 SetuρWozιrd W eb bιs e d M ιnιq e r νs.o,build0228,130θ26(gapatd\4) R.egl s lrδ t lorι: No t Re ~ιιs te red ~ FortiGete SOD ι C omm6!'hi hnelnterfιce ά DLP Watermark Curτ e nt Firmwι re V e rslon: νs. O,bu ild0228, 13082δ (GAPatch4 ) θ...-.ι Noupdatesaνaιlable c:::-:j setup Wilerd ~ Co n fio u reforti n etdeνιceνi a δ s etupwιzard ~ W e b bιι s e d M ιιneo er l!,;':~c onfiou r o Fo rtιn etd ιtνice ν ι a a wιι b ι nt e rf ;:ιce ~ C omnι a nd - Ιin e lnt e rf ace ~Confiou r e Fortιnetd eν i ceν i aaco mmand- l ι nein t e r1 acιι ί.r Remembe rthisde ν ιceanclcf1eιtfo r uodatesw ιth FOSa utom a tιe<ι l l y A!N'ΨS'iit,ιψ fn,111~~'''ίιιι ~~ι-ι ~..-ι?ιι ω.... cι. J Ι,W...J(Οι.-ι,.._,.. -ιι-j -.-....,._,,,.,y_;_l 04>\'( JO'-'{a\!A'"I(J) "'' Α Att f! n ti oιo t Oeν i ct: Rtι9f5tr; t iqιt l nco toφl e t «: We~<kl~... UΙ~ I yννr <ιo!w.ιlόll lι ltlwnιιlf(f, TO..to;>)'Wf F<><tleo.-. (S~ \ -ounl,pln....ι oct ~ oii\m:t<- ". lldonotlfi<-otlonoo o Mur<ιf<Φt Στην επόμενη ερώτηση κι αν έχυμε ήδη δημιυργήσει από πρηγύμενη εγκατάσταση ένα account στ support site της Fortinet (http:// support.fortinet.com), εισάγυμε τα στιχεία πρόσβασης πυ διαθέτυμε (e-mail, password): ~- -_:--:_-=-=~-~------------- Registerthis dev'ice: FGT90D P1ease fill the fol loνιing fields in English only E!άrtngFo rtc~euser For licδre logi1 New U:er Cιede FωC4 e Accoιn - "._ '""Χ"" σ- = ι:ι- αιc.ι>n-.. o.t.tttι' >ι Αν επιλέξυμε "Register Now", θα μας εμφανιστεί τ παρακάτω παράθυρ pop-up για να συμπληρώσυμε τα στιχεία μας: '"'1 Register with Forti F orιlδre log in (e maιilδddιe t sr Password' Coi.IΓI! ry' ι:gc::"~=-' ---=~=~== ) Register this FortiGate: FGT90 D Please fill the fo Ho\ν ing fields in English only Existing FortiCare user- proνide FortiCare login name & password 1'91 New user - create FortiCare account First Name* last Name *- Company Αν δεν έχυμε (κάνει registration), επιλέγυμε "New User- Create FortiCare Account": Regi sterthis device: FGT90D Please fil! the following fields in English only: ~ E~i$t~FortiCδr e User F or ticaιelogin (ι N e wu se r Cι e at e Foι~Caι e Acrourt 11 Title Email"' Address City'" Countrv State Ι Pr oνi n ce Postal Ι Zip Code"' Contact Phone" Fax Number" ReseHer Password* Confirm Password Greece r Diamantis Ε. Papazog lou FirstNerne' rtj Use the same email and password t o create a new FortiCioud account LastNerne' P ostal/ά Code' F δκνι.πιber ',... Reteler'!Diamcn:i$E. Papazc9ou Addι esι' C~y Counιry ' ι:g:.o: "~co"'-----------' P ιιs ;word" Conlirm P ιιsswo rd" Cancel κ Με τ ίδι username/password μπρύμε να ενεργπίησυμε ένα δκιμαστικό FoήiCioud Account πυ μας δίνει η Fortinet για Reporting και Ανάλυση (περισσότερα σε επόμεν άρθρ). 42 COMMUNICAτiON SOLUτiONS ΝΟΕΜΒΡΙΟΣ- ΔΕΚΕΜΒΡΙΟΣ 2014
11\,.. """""""""'*_.,_ι;,..,..,,.-...ι Cl'...ι:iowt...,.. Tech Paper 5.3.3. Τ Suppoή Account μας Στ account πυ ενεργπιήσαμε, έχυμε πρόσβαση από τ support site της Fortinet (https:// support.fortinet.com/login/userlogin.aspx). F Ξ:Ξ RΤΙΠΕΤ 5.3.3.2. Ενημέρωση για την ημερμηνία λήξης Αν χρησιμπιήσυμε τ παραπάνω username/ password για να εισέλθυμε, έχυμε μια συνλική εικόνα των ενεργειών πυ μπρύμε να κάνυμε σχετικά με τα πρ'ίόντα μας: των συμβλαίων μας των υπηρεσιών Foήi Guard /FortiCare των συσκευών μας: - Ιnformation φ UI<.OIJOn ~.. ~.,=- =:::ι Prodυct Entitlements SuρponC<>VI!ragι Customer Support Bulletin -~~... --ΙΙ>Ι!'ιιii'S.._-... ~...,._...-...,... --... ""'~-...-... l--..,.w.o r-t.ιιo-n-.ι"""'"""...s~...,.---l.l..._,.,..,.,... ~x..ι.... d-..,.. :ι._s.- s,ιuc..-,_.,,_.....,--~... 8!'1""'-(-- -ι--..ι-,. As><t Asslstance =..._.,...,._.,ι;,......,.-... ιιι.μι.ι:w,;ι-...,...... --...... Toc.t!ι\luiWtbCM 5.3.3.3. Registration νέων πρϊόντων, συμβλαίων ή features: Download. e Resources FortiGuard ~.. Qulcklinks Programs '"'S"'>'-C..> 1 >) ~ 4 Οι ενέργειες αυτές περιλαμβάνυν: 5.3.3.1. Διαχείριση των πριντων και των συμβλαίων μας (Asset ή Manage Products) 5.3.3.4. Κατέβασμα των Firmware updates για ακόμη και των «αρχαίων»: τ FortiGate: ΝΟΕΜΒΡΙΟΣ- ΔΕΚΕΜΒΡΙΟΣ 2014 COMMUNICAτiON SOLUτiONS 43
Στα επόμενα άρθρα της σειράς θα εξετάσυμε τα παρακάτω θέματα: w.mιr.tn-s.t.na.-moynoι:~>o...,_..lf<iι<>><<..,,ι>o-ιw<. ιι,..r~o~<> o.-i oκ~ _,_ _of,..,>e<lι<""""""'''"''~-.., l>twr<onlorι<lψ"""'\fi\<~oo"\dd<j<~-,...,.. Ιo-ι,...,,..,~;.~,o,...,,t>o<=<><"'iOd'-=n'α'""-""' d1""-λ\οπα_..,.--...00ιf"'υ<>ο~"''~-"""<ο """.. -~.. -.-..~ Yoι><""-0<<0'<0... 1.1<""~-"Y""""'&"'-"'I!:%-~<φj""\ll<t"""""'--Ί"'iif-1-'""""""""!«~._,R'iSfNd EM}jffl ~ 5.3.3.5. Επικινωνία με τ τεχνικό τμήμα για τα όπια θέματά μας: 3 Μέρς: Καθημερινές ανάγκες: Policie's, Firewa/1 Objects, Security Profiles, VPNs, Logging & Alerting, Firmware & configuration file management, basic diagnostics. 4 Μέρς : Adνanced features: πλλαπλά internet feeds με load balancing, high aνailability, WAN optimization Ι caching κλπ. 5 Μέρς: Τ επόμεν βήμα: central management & reporting, endpoint control, security νirtualization (FortiGate-VMs) κ.α. Sp«:ityReques!rit keιτype - -~ 1oo'-">«WAC~-'oti«<!Oo;.φ..flMo:'l<,.,>tt<ll<>"""''""'nj'"«"""',...,.,.._~ ~ "<Ι'ικ.-d~ "'""' fq""""'' """""'""""'~"*""'""""' """-ι"""'~ ---"""""'ri"""-'"""""""''""'~d(>to<..,.ι...v.or... "' Λίγα λόγια για τν αρθργράφ Ο κ. Διαμαντής Παπάζγλυ είναι επαγγελματίας τυ χώρυ των ΤΠΕ από τ 1990. Έκττε έχει ιδρύσει τέσσερις εταιρείες τεχνλγίας με βασική φιλσφία την αναζήτηση καιντόμων, παραγωγικών και πραγματιστικών απαντήσεων στις επιχειρησιακές ανάγκες. Από τ 2004 δραστηριπιείται με την δική τυ εταιρεία συμβύλων τεχνλγίας στν σχεδιασμό, την υλπίηση και την υπστήριξη σύνθετων υπδμών πυ ενσωματώνυν ευρύ φάσμα των τεχνλγιών επικινωνιών και υπλγιστών. Επ ικεντρώ νει την δραστηριότητά τυ σε πρωτότυπες corporate λύσεις για Conνerged Communications, lntegrated Otfice Automation, Data Center Virtualization και Optimization, IP-based Surνei llance και Physical Security, Customized Automation Solutions & Applications, Online & Cloud-based Serνices. 44 COMMUNICAτιON SOLUτιONS ΝΟΕΜΒΡΙΟΣ- ΔΕΚΕΜΒΡΙΟΣ 2014