Анализ работоспособности сервисов Fortinet для проданного оборудования
Изображение: Joshua Hoehne (Unsplash)
Fortinet объявила о прекращении операций в России. Компания остановила все продажи, поддержку и профессиональные сервисы в России.
На текущий момент известна информация, что компания Fortinet принудительно прервала сервисные контракты и отключила от своих сервисов обновлений оборудование заказчиков, которые попали в SDN список.
По состоянию на 10 марта 2022г. информация, что как-то пострадал сервис кого-либо из других заказчиков (не из SDN списка) не подтвердилась.
Ниже приводится анализ ситуации, когда облачные сервисы Fortinet окажутся недоступны и даны рекомендации, что с этим делать, где это уместно.
В случае отключения доступа к FortiCloud, будут недоступны все облачные сервисы. Не будет доступа к:
- FortiClient EMS Cloud. Будет недоступна:
Настройка, развертывание и управление FortiClient
Интеграция конечных точек с Security Fabric
Сканирование уязвимостей с установкой исправлений
Инвентаризация программного обеспечения
Сводка угроз, предупреждения и уведомления - FortiSandbox Cloud
FortiGate не сможет отправлять файлы на проверку в облако Fortinet - FortiManager Cloud
Централизованное управление FortiGate будет недоступно.
Для изменения настроек на FortiGate потребуется подключение напрямую к FortiGate. - FortiGate Cloud
Не будет доступа к FortiGate через DDNS.
На FortiGate всё еще можно будет подключиться локально или через публичный адрес при настройке внешнего интерфейса
В случае закрытия доступа к личному кабинету, будет недоступна регистрация новых устройств и заведение тикетов в поддержку.
Все функции FortiGate, не зависящие от FortiGuard, должны остаться работать (VPN, межсетевое экранирование L3-L4, маршрутизация). Остановка услуг может затронуть следующие функции FortiGate: - Работу и обновление сигнатур IPS
устройство продолжит работать с последней версией БД - Работу и обновление сигнатур Application Control
устройство продолжит работать с последней версией БД - Работу и обновление базы антивируса
устройство продолжит работать с последней версией БД - Работу и обновление базы для Web фильтра.
При отсутствии действующей подписки фильтрация работать не будет.
потребуется отключить веб фильтрацию в правилах доступа FortiGate - Обновление FortiGate
- Передача логов с FortiGate на FortiCloud.
Передача логов на локальный FortiAnalyzer будет работать. - Подписки на индикаторы компрометации IOC в FortiAnalyzer
останется возможность ручного анализа журналов событий без учета индикаторов компрометации. - FortiToken не доступен для скачивания в Google Play и App Store
Рекомендуется использовать альтернативные сервисы двухфакторной аутентификации и подключать их к FortiGate через Radius.
также для новых устройств на базе мобильной ОС Android возможно скачать apk пакет приложения FortiToken в интернет и установить вручную.
Из-за остановки продаж не будет возможности обновить подписки на какие-либо сервисы Fortinet.
Действия для отключения обновлений и доступа к облачным сервисам на оборудовании FortiGate
Изменение настроек DNS
Рекомендуется выставить пользовательские сервера DNS в настройках FortiGate.
config system dns
set primary
set secondary
end
Настройка специальных интерфейса и маршрута для отброса нежелательного исходящего трафика
Для исключения возможности отправки исходящего трафика до облачных сервисов Fortinet, настраивается маршрут типа «черная дыра». Для обеспечения корректной работы маршрута создаётся интерфейс типа loopback, с адресом из неиспользуемого в нормальных условиях адресного пространства (Link-Local, сеть 169.254.0.0/16, в соответствие с RFC 3927)
config system interface
edit «loopback»
set vdom «root»
set ip 169.254.0.1 255.255.0.0
set type loopback
next
end
Далее создается маршрут типа «черная дыра» для всего трафика, направленного в сеть интерфейса типа loopback
config router static
edit 4294967295
set dst 169.254.0.0 255.255.0.0
set blackhole enable
next
end
Отключение обновлений
Для исключения возможности коммуникации с сервером обновлений Fortinet, выполняется отключение автоматического обновления
config system autoupdate schedule
set status disable
end
Дополнительно, для исключения любого трафика, имеющего отношение к процессу обновления (например, проверка регистрации FortiGate и наличия сервисного контракта), настраивается туннелирование трафика обновлений в «черную дыру»
config system autoupdate tunneling
set status enable
set address «169.254.0.2»
set port 8080
end
Дополнительно, для отключения поиска доступных облачных серверов, настраивается использование адреса из «черной дыры», с отключением поиска адресов в Интернет
config system central-management
set type none
config server-list
edit 1
set server-type update rating
set server-address 169.254.0.2
next
end
set include-default-servers disable
end
Отключение обращений к сервисам Fortinet
Для исключения исходящих обращений к сервисам, выполняется отключение таких обращений. Отключение подписки на оповещения FortiGuard и отправки статистики срабатывания IPS в FortiGuard
config system global
clear fgd-alert-subscription
set fds-statistics disable
end
Отключение запросов к сервисам веб-фильтрации, антиспам и репутации DNS
config system fortiguard
set antispam-force-off enable
set webfilter-force-off enable
end
Исключение возможности отправки событий в облачный сервис FortiGuard за счёт использования адреса из «черной дыры» в качестве отправителя
config log fortiguard setting
set source-ip 169.254.0.1
end
Отключение трафика многоадресной рассылки для поиска подключаемых точек доступа Fortinet
config wireless-controller global
set discovery-mc-addr 0.0.0.0
end
