Fortigate Firewall – Basis Konfiguration

(Dieser Beitrag wurda am 23. Juni 2021 aktualisiert.)

Initiale Konfiguration einer Fortigate Firewall

Die Fortigate kommt zwar Stand heute mit einer vorkonfigurierten Default IP (192.168.1.99/24) an "Port 1" daher, manchmal macht es aber Sinn, dass man vor dem Anschließen im Netz, die Grundkonfiguration des internen Interfaces vornimmt. In unserem Beispiel wollen wir das System an ein Kundennetz anschließen und bekamen die Information, dass wir für das interne Interface die IP 10.1.1.1/24 konfigurieren sollen und alle Ports einzeln konfigurierbar sein sollen.

Die folgende Steps realiseren das in wenigen Minuten…

  • Eine Verbindung entweder via Consolenkabel / Adapter oder über den USB Management Port herstellen.

  • SSH aufrufen und mit dem Benutzernamen "admin" und ohne Passwort anmelden… (default, bei allen Fortigate Systemen)
  • DHCP Server deaktivieren, denn es wäre schlecht, wenn der im Kundennetz IP’s verteilt, außerdem verhindern seine Referenzierungen die weiteren Schritte…
config system dhcp server
purge
end
  • Alle Policies löschen, nur um auf Nummer sicher zu gehen, dass erstmal GAR NICHTS geht und auch hier alle Referenzierungen gelöscht werden…
config firewall policy
purge
end
  • Den Software "Switch" löschen (früher "Switch-Mode"), um alle Interfaces einzeln konfigurieren zu können…
config system virtual-switch
delete "lan"
end

Prüfe, ob das erfolgreich war…

show system interface

ACHTUNG! Bis einschl. Firmware 5.2…

config system global
set internal-switch-mode interface
end
  • Interface für internen Zugriff konfigurieren, um die Kundenanforderungen zu matchen…
config system interface
show

Jetzt das Interface der Wahl raussuchen (hier "internal1")

edit internal1
set ip 10.1.1.1 255.255.255.0
set allowaccess https ping ssh
end
end

Ab hier ist die Konfiguration via Web GUI über https://10.1.1.1 oder aber via SSH auf die 10.1.1.1 möglich. Das System tut zunächst nichts Unerwartetes und man kann mit dem Customizing beginnen. Das passiert im Regelfall dann direkt im Kunden-Netz und der erste Schritt ist selbstverständlich die Vergabe eines komplexen Passwortes für DEN "admin" Account, den man im Übrigen nie löscht, sondern zusätzlich auf sog. "Trusted Hosts" einschränkt. Dieser Account wird im Prinzip nie wieder verwendet. Alle Administratoren haben dedizierte Admin Accounts, die idealerweise noch mit einer 2-Faktor Authentifizierung geschützt sind, bspw. einem "FortiToken Mobile"… Im Übrigen sind für genau diesen Zweck – nach meinem Wissen min. ab der 100er Serie – immer zwei FortiToken Mobile inclusive und an Bord…

Tip zu den Admin Rollen:
Super-Admins –> können alle VDOMs eines Systems managen
Admins –> können nur die VDOM managen, in welcher Sie angelegt sind

Insofern gibt es bei "Single VDOM Systemen" keinen Unterschied bei den Berechtigungen der beiden Rollen…