W temacie FortiGate tak się zapuściłem, że po zobaczeniu świeżego FortiOS nawet nie chcę wymieniać co mnie nowego zaskoczyło. Wszystko przez to, że jakiś czas temu (pół roku ?) odcięto mi dostęp przez HTTPS i całą konfigurację musiałem robić w CLI. Oczywiście to zawsze wychodzi na dobre, bo można poznać więcej, ale przez to odpuściłem temat aktualizacji. (więcej…)
Wpisy otagowane ‘FortiOS’
Forti-zapuszczenie
środa, 25 Maj 2011Nowy FortiOS
środa, 26 Sierpień 2009Oczywiście czuwam (czyt. aktualizuję), ale jestem na szkoleniu i nie mam czasu na opisywanie tego co robię. Niemniej nadrabiam teraz: Fortinet wydał nową wersję FortiOS – oznaczoną jako 4.0MR1 (v400-build0178). Poniżej odpowiednie odnośniki:
Wszystko działa (nie ma problemu ze zdalną aktualizacją z 4.0).
PS C:\> Get-WmiObject -Class Win32_Product -computername DC | Where-Object { $_.name -like “Forti*” }
IdentifyingNumber : {8BB826C4-4CB5-42B0-A124-AA9B69F8CB41}
Name : Fortinet Server Authentication Extension (FSAE)
Vendor : Fortinet Inc.
Version : 3.5.047
Caption : Fortinet Server Authentication Extension (FSAE)
Nowy FortiOS
wtorek, 30 Czerwiec 2009
Tym razem przed Firewall Guru ;-)
FortiOS 4.0.2
piątek, 10 Kwiecień 2009Niedługo nacieszyłem się wersją 4.0.1 FortiOS – jest już nowsza! Na FTP właśnie pokazała się wersja 4.0.2, co ciekawe katalogu 4.0.1 nie ma w ogóle, a przecież zawsze historyczne wydania zostawały (w przypadku FortiOS 3 – MRx i patchY).
FSAE nie zmienił się, przez co pewnie nadal nie będzie działać. Nie mam niestety czasu by to zdiagnozować dokładnie i zaraportować, więc tylko narzekam.
Z uwagi na moją wczorajszą wiadomość, zostawię to sobie na po świętach…
Przy okazji – robiąc dziwne kierowanie ruchem poznałem sniffer, którego można użyć na konsoli. Tak czy inaczej, nawet przy jego pomocy nie udało mi się rozwiązać problemu. Wątek na forum się rozwija.
FortiOS 4.0.1
poniedziałek, 6 Kwiecień 2009Na FTP firmy Fortinet pojawiła się nowa wersja FortiOS – w katalogu 4.0.1 czyli 4.0.0 build 098 (FortiGate) i 4.0.0 build 043 (FortiAnalyzer). Nocna praca przede mną, bo i FSAE też jest nowy (poprzedni działał ‘dziwnie’ i wróciłem do ostatniej wersji dla FortiOS 3).
Przy okazji – FortiAnalyzer jakoś mnie nie powalił możliwościami, ale kilku stron i ładnych wykresów w comiesięcznym raporcie bezpieczeństwa dostarcza :>
FortiGate w ciągu minionego tygodnia zawiesił się trzykrotnie. Zbiegła się aktualizacja FortiOS (ale troszkę wcześniej, więc może nie ma bezpośredniego wpływu), podłączenie do FortiAnalyzer i, co może najistotniejsze, podłączenie się do sieci użytkowników, którzy sami konfigurują sobie sieć i czasem mylą adres IP z domyślną bramą. Dodam, że MAC adres był poprawny w każdej tablicy ARP urządzeń, które były po drodze. Tak czy inaczej, ostatnie dwie sytuacje zdecydowanie nie powinny mieć wpływu na pracę tego urządzenia. Sprawa więc jest ‘rozwojowa’ .
FortiOS upgrade
sobota, 14 Marzec 2009Jeśli komuś się nie chce czytać tego artykułu do końca, to w skrócie: pierwsze podejście nie udało się, kolejne niby tak, ale i tak nie jestem przekonany, że działa wszystko dobrze.
Naładowany pozytywną energią postanowiłem w czwartek z rana zaktualizować firmware w FortiGate 100A. Zgodnie ze wskazówkami zrobiłem wcześniej kopię konfiguracji, bo update nie powinien napsuć, natomiast co do upgrade, to inżynierowie Fortinet raczej tego nie gwarantują. Niemniej po restarcie z nowym FortiOS konfiguracja była zachowana, ale zmieniła się logika niektórych funkcji, toteż nie zaczęło to od razu działać jak należy.
Przede wszystkim, co od razu zauważyłem, inaczej definiuje się reguły z autoryzacją (FSAE). Teraz do każdej Policy można stworzyć jedną lub więcej Identity Based Policy, co w sumie nie jest złe, ale inaczej niż wcześniej i trzeba się przestawić. Poza tym, co ważne, FSAE (wersja 3.5.037, ma nawet parę widocznych nowych opcji) dostarczany z wersją 4.0 FortiOS nie działa dobrze, bo nie pozwala w ogóle zainstalować DC Agenta (w systemie MS Windows 2003 Server Standard pokazuje enigmatyczny komunikat o braku uprawnień). Działa natomiast wcześniejsza wersja – 3.5.032.
Wspomniany upgrade pozwala zachować konfigurację (dostosowuje ją do nowej wersji), niestety downgrade trochę ją psuje. Sekcje konfiguracji interfejsów są niezmienne, więc można zrobić tą operację zdalnie, a dostęp do urządzenia zostanie. Czy w jedną, czy w drugą stronę, zalecam dokładne przejrzenie ustawień po zmianie wersji FortiOS.
Menu zostało trochę zmienione i niektóre opcje sa w innym miejscu, więc potrzeba trochę czasu by się przyzwyczaić.
Z ciekawych rzeczy dodany został User Monitor – podgląd użytkowników uwierzytelnionych (firewall, IPSEC, SSL, IM) – tym samym odchodzi trochę ‘klepania’ w konsoli.
Przy okazji – udało mi się skonfigurować moją zaporę, by rutowała pakiety do jednego z dwóch dostawców w zależności od polityki. Niestety (jeszcze) nie działa odpowiadanie łączem, którym pakiet przyszedł (takie reply-to z pf w OpenBSD).
A na zakończenie – na LinkedIn pojawiła się grupa Enterprise Network Security sygnowana logo Fortinet. Natomiast pod koniec miesiąca wybieram się na szkolenie MS-2199 + FSAE. Mam nadzieję, że na nowym oprogramowaniu.
FortiOS v4.0
czwartek, 26 Luty 2009
W tym tygodniu światło dzienne ujrzał nowy OS do urządzeń firmy Fortinet. Jestem jeszcze przed aktualizacją na moim FortiGate 100A, ale Release Notes wygląda ciekawie. Pozwoliłem sobie na małe podsumowanie Resolved Issues vs. Known Issues (This sectio
n [Known Issues in FortiOS v4.0.0] lists the known issues of this release, but is NOT a complete list. For enquiries about a particular bug not listed here, contact Customer Support.):
| Resolved | Known | |
| CLI | 3 | 4 |
| Web UI | 1 | 9 |
| System | 6 | 14 |
| HA | 7 | 5 |
| Router | 3 | 2 |
| FW | 5 | |
| VPN | 4 | 3 |
| WAN opt. | 1 | 2 |
| AV | 1 | 4 |
| IPS | 2 | |
| Web filter | 1 | |
| Data Leak Prevention | 3 | |
| IM | 1 | |
| P2P | 3 | |
| App Control | 1 | |
| Endpoint Control | 4 | |
| VoIP | 1 | |
| Log | 2 | 7 |
| FSAE | 1 | |
| 29 | 71 |
Nie wiem, którzy są ‘nasi’, ale Known wygrywają ;-)