На текущий момент известна информация, что компания Fortinet принудительно прервала сервисные контракты и отключила от своих сервисов обновлений оборудование заказчиков, которые попали в SDN список.
По состоянию на 10 марта 2022г. информация, что как-то пострадал сервис кого-либо из других заказчиков (не из SDN списка) не подтвердилась.
Ниже приводится анализ ситуации, когда облачные сервисы Fortinet окажутся недоступны и даны рекомендации, что с этим делать, где это уместно.
1. FortiClient EMS Cloud. Будет недоступна:
- Настройка, развертывание и управление FortiClient
- Интеграция конечных точек с Security Fabric
- Сканирование уязвимостей с установкой исправлений
- Инвентаризация программного обеспечения
- Сводка угроз, предупреждения и уведомления
- FortiGate не сможет отправлять файлы на проверку в облако Fortinet
- Централизованное управление FortiGate будет недоступно.
- Для изменения настроек на FortiGate потребуется подключение напрямую к FortiGate.
- Не будет доступа к FortiGate через DDNS.
- На FortiGate всё еще можно будет подключиться локально или через публичный адрес при настройке внешнего интерфейса
1. Работу и обновление сигнатур IPS
- устройство продолжит работать с последней версией БД
- устройство продолжит работать с последней версией БД
- устройство продолжит работать с последней версией БД
- При отсутствии действующей подписки фильтрация работать не будет.
- потребуется отключить веб фильтрацию в правилах доступа FortiGate
6. Передача логов с FortiGate на FortiCloud.
- Передача логов на локальный FortiAnalyzer будет работать.
- останется возможность ручного анализа журналов событий без учета индикаторов компрометации.
- Рекомендуется использовать альтернативные сервисы двухфакторной аутентификации и подключать их к FortiGate через Radius.
- также для новых устройств на базе мобильной ОС Android возможно скачать apk пакет приложения FortiToken в интернет и установить вручную.
Действия для сохранения конфигурации оборудования
Рекомендуется сохранить текущую версию конфигурации оборудования на случай сбоев или необходимости восстановления:- зайти в веб интерфейс FortiGate и выбрать в меню справа вверху Backup и скачать файл
- зайти в консоль устройства и ввести команду
- для копирования на FTP
execute backup config ftp
{string} Make a file name (path) on the FTP server.
{ftp server}[:ftp port] FTP server IP or FQDN, can be attached with port.
{Enter}|{user} FTP username may be needed.
{passwd} FTP password.
{Enter}|{passwd} Optional password to protect the backup content.
- для копирования на USB
execute backup config usb Backup config file to USB disk.
{string} Make a file name on the USB disk.
{Enter}|{passwd} Optional password to protect the backup content.
Действия для отключения обновлений и доступа к облачным сервисам на оборудовании FortiGate
Изменение настроек DNS
Рекомендуется выставить пользовательские сервера DNS в настройках FortiGate.config system dns
set primary <ip>
set secondary <ip>
end
Настройка специальных интерфейса и маршрута для отброса нежелательного исходящего трафика
Для исключения возможности отправки исходящего трафика до облачных сервисов Fortinet, настраивается маршрут типа «черная дыра». Для обеспечения корректной работы маршрута создаётся интерфейс типа loopback, с адресом из неиспользуемого в нормальных условиях адресного пространства (Link-Local, сеть 169.254.0.0/16, в соответствие с RFC 3927)config system interface
edit "loopback"
set vdom "root"
set ip 169.254.0.1 255.255.0.0
set type loopback
next
end
Далее создается маршрут типа «черная дыра» для всего трафика, направленного в сеть интерфейса типа loopback
config router static
edit 4294967295
set dst 169.254.0.0 255.255.0.0
set blackhole enable
next
end
Отключение обновлений
Для исключения возможности коммуникации с сервером обновлений Fortinet, выполняется отключение автоматического обновленияconfig system autoupdate schedule
set status disable
end
Дополнительно, для исключения любого трафика, имеющего отношение к процессу обновления (например, проверка регистрации FortiGate и наличия сервисного контракта), настраивается туннелирование трафика обновлений в «черную дыру»
config system autoupdate tunneling
set status enable
set address "169.254.0.2"
set port 8080
end
Дополнительно, для отключения поиска доступных облачных серверов, настраивается использование адреса из «черной дыры», с отключением поиска адресов в Интернет
config system central-management
set type none
config server-list
edit 1
set server-type update rating
set server-address 169.254.0.2
next
end
set include-default-servers disable
end
Отключение обращений к сервисам Fortinet
Для исключения исходящих обращений к сервисам, выполняется отключение таких обращений. Отключение подписки на оповещения FortiGuard и отправки статистики срабатывания IPS в FortiGuardconfig system global
clear fgd-alert-subscription
set fds-statistics disable
end
Отключение запросов к сервисам веб-фильтрации, антиспам и репутации DNS
config system fortiguard
set antispam-force-off enable
set webfilter-force-off enable
end
Исключение возможности отправки событий в облачный сервис FortiGuard за счёт использования адреса из «черной дыры» в качестве отправителя
config log fortiguard setting
set source-ip 169.254.0.1
end
Отключение трафика многоадресной рассылки для поиска подключаемых точек доступа Fortinet
config wireless-controller global
set discovery-mc-addr 0.0.0.0
end