Fortinet Tips & Tricks

Op deze pagina treft u diverse tips en tricks aan voor de inrichting van uw Fortigate Firewall. Het is nadrukkelijk de bedoeling u met met deze tips en tricks te inspireren en tot nadenken te zetten over de zaken welke komen kijken bij de beveiliging van uw netwerk. Ieder punt in dit voorbeeld dient u zelf af te wegen en op maat te maken voor uw organisatie. 

Security Fabric
De visie van Fortinet is die van samenwerking van componenten en consolidatie van Dashboards in 1 overzicht. Dit noemen ze het Securty Fabric. Het advies is dit te gaan gebruiken want dit bespaart tijd en vergroot het inzicht.

Administrator Settings
Wij adviseren de HTTPS en SSH poorten te wijzigen van de default port naar een alternatief. Gebruik bijvoorbeeld in plaats van poort 443 voor HTTPS bijvoorbeeld poort 4443, en in plaats van poort 22 voor SHH port 4422 zodat deze moeilijker te achterhalen zijn.

Zorg er dan wel voor dat erg geen redirects aan staan richting deze poorten. De redirect zorgt ervoor dat een hacker niet eens de poort hoeft te achterhalen maar wordt automatisch er heen geleid met deze instelling.

Admin Lockout Duration
Deze staat standaard op 60 seconden en dit kan makkelijk naar een uur. 

HTTPS server certificate
Standaard word gebruik gemaakt van een builtin Fortinet certificaat. Het advies is dit te vervangen voor een certificaat op naam van uw bedrijf.

Password Policy
Deze wordt geadviseerd aan te zetten.

Trusted Hosts
Trusted Hosts bepalen vanaf welk IP je de Fortigate mag beheren. Het wordt aangeraden dit zo restrictief mogelijk in te stellen.

Local Admin Type
Beperk het aantal local admins, het advies is dit waar mogelijk aan te passen naar LDAP of Radius. In het geval van uitdiensttreding loop je minder risico dat het account blijft bestaan.

Two-Factor
2-factor authenticatie staat standaard uit en ook hierbij is het advies dit aan te zetten.

SSL VPN Certificate
Idem als Admin Portal Certificate.

Beheer via onbeveiligde protocollen
Management over HTTP is cleartext en dus verstuur je het wachtwoord unencrypted over het netwerk. Het advies is HTTP uit te zetten als management protocol.

Block Connections to Botnet Sites
Advies is dit verkeer te blokkeren. Is te vinden onder Network→Interfaces→wan1

Ping Uitzetten op Internet Facing Interfaces
Het heeft de voorkeur ping op de WAN1 interface uit te zetten. Ping aan laten staan vergroot je vindbaarheid en trekt hackers aan.

Policies
De policies kunnen veel overzichterlijker gemaakt worden door gebruik te maken van Sequence Groupings.

Internet-2-Servers
Hier zou je SSL deep inspection kunnen gebruiken voor HTTPS verkeer. Wanneer je dit niet doet of slechts certificate inspection doet wordt een intrusion attempt waarschijnlijk niet waargenomen.

DNS Filtering
Het advies is gebruik te maken van DNS filtering, dit staat nu niet aan. DNS request worden nu mogelijk niet onderzocht tbv dreigingen.

SSL Deep Inspection
Veel verkeer is tegenwoordig geencrypt en dus kan een firewall sommige dreiging niet zien zonder SSL inspectie. Het advies is om te kijken waar dit toegepast kan worden (hier zitten haken en ogen aan).

Verwijder overbodige Policies
Indien verkeer geen policy matched dan wodt het al geblokkeerd middels Policy ID 0.

Continuïteit
Overweeg indien dit niet het geval is een tweede/back-up line. Middels link-monitoring kan dan dynamisch overgeschakeld worden op de andere lijn indien de primaire uitvalt. Hiervoor zijn zelfs 4G backup scenarios mogelijk, dus in die zin geen beperking qua beschikbaarheid van alternatieven.

Blackhole Routing
Het is een best practice om blackhole routes te gebruiken in het geval van IPSec site-2-site verbindingen, deze woden nu niet gebruikt.

DNS Resolving
Het advies is geen gebruik te maken van de Fortinet DNS servers, deze zijn trager dan 8.8.8.8 of 1.1.1.1 bijvoorbeeld.

Terug naar overzicht

fortinet

Deel via:

Blijf op de hoogte!

Meld u aan voor onze maandelijkse business update.