Рекомендации по безопасности

Ниже приведены рекомендации, которые позволят повысить уровень безопасности.

Безопасные протоколы для доступа

Графический интерфейс

Для большей безопасности запретите HTTP или Telnet для административного доступа к FortiGate. Рекомендуем оставить только HTTPS и SSH доступ.

Можно изменить эти настройки для отдельных интерфейсов на вкладке Network → Interfaces.

Консольный интерфейс

Для изменения через CLI введите:

config system interface
edit <interface-name>
set allowaccess https ssh
end

Перенаправление на HTTPS

Графический интерфейс

Перейдите в System → Settings → Administrator Settings и включите Redirect to HTTPS, чтобы убедиться, что все попытки подключения по протоколу HTTP перенаправлены на HTTPS.

Консольный интерфейс

Для изменения через CLI введите:

config system global
set admin-https-redirect enable
end

Изменение стандартных портов доступа

Графический интерфейс

Измените стандартные порты для доступа администратора по HTTPS и SSH на нестандартные.

Перед изменением убедитесь, что порты не используются для других служб.

Перейдите в System → Settings → Administrator Settings и измените HTTPS и SSH порты.

Консольный интерфейс

Для изменения через CLI введите:

config system global
set admin-port 48008
set admin-sport 48344
set admin-ssh-port 48022
set admin-telnet-port 48032
end

Настройка коротких таймаутов входа

Графический интерфейс

Установите время простоя на короткое время, чтобы избежать доступа посторонних лиц при отсутствии администратора. Для этого перейдите в System → Settings и введите значение Idle timeout. Лучше всего придерживаться стандартного времени в 5 минут.

Консольный интерфейс

Для изменения через CLI введите:

config system global
set admintimeout 5
end

Можно использовать следующую команду, чтобы настроить grace time между установлением соединения SSH и аутентификацией. Диапазон может составлять от 10 до 3600 секунд, по умолчанию – 120 секунд. Например, можно установить время на 30 секунд:

config system global
set admin-ssh-grace-time 30
end

Настройка входа для доверенных адресов

Графический интерфейс

Чтобы разрешить вход только с доверенных адресов:

  1. Перейдите в System → Administrators.
  2. Отредактируйте учетную запись, включите Restrict login to trusted hosts.
  3. Добавьте доверенные адреса или сети.

Консольный интерфейс

Для изменения через CLI введите:

config system admin
edit admin
set trustedhost1 <IP/MASK>
end

Настройка двухфакторной аутентификации

Графический интерфейс

Для усиления защиты настройте двухфакторную аутентификацию администратора. FortiOS поддерживает двухфакторную аутентификацию FortiToken и FortiToken Mobile. FortiToken Mobile доступен бесплатно для устройств iOS и Android в соответствующих магазинах приложений.

Каждое зарегистрированное устройство FortiGate включает в себя два токена бесплатно. Перед началом работы следует создать бэкап-файл конфигурации, с помощью которого можно восстановить настройки FortiGate.

Чтобы воспользоваться FortiToken Mobile и назначить токен администратору:

  1. Перейдите в System → Administrators.
  2. Выберите Two-factor Authentication для каждого администратора.
  3. В качестве Authentication Type укажите FortiToken и выберите один из доступных токенов.
  4. Укажите адрес электронной почты в поле Email или номер телефона в поле SMS → Phone number, на которые будут присланы данные для активации токена.
  5. Скачайте приложение FortiToken Mobile на мобильный телефон, и в нём введите данные, которые были присланы ранее для активации, отсканировав QR-код или введя код вручную.
  6. После на экране появится одноразовый токен-код, который необходимо ввести при авторизации пользователя.

Обратите внимание! При активации токена для единственного пользователя-администратора, в случае потери доступа к приложению, предоставляющему токен-код, можно потерять доступ к самому FortiGate.

Восстановить доступ можно с помощью инженеров Selectel, которые, подключившись физически, отформатируют FortiGate и сбросят настройки. Для этого создайте тикет, указав в нем устройство, которое следует отформатировать.

После этого можно загрузить сохранённый ранее бекап-файл, которой следует предварительно отредактировать, удалив строчки, отвечающие за двухфакторную аутентификацию:

config system admin
        edit "admin"
        set accprofile "super_admin"
        set vdom "root"
        set two-factor fortitoken
        set fortitoken "FTKMOB06EF00208F"
        set email-to "email_example@gmail.com"
        set password ENC ...

В случае, когда двухфакторная аутентификация подключена для другого пользователя, администратор может перенести токен на другое устройство, выключив двухфакторную аутентификацию для пользователя и сохранив изменения, а затем повторив настройку двухфакторной аутентификации, как описано выше.

Создание нескольких учетных записей администратора

Графический интерфейс

В целях безопасности для каждого администратора рекомендуется иметь отдельную учетную запись. Для создания нового пользователя:

  1. Перейдите во вкладку System → Administrators.
  2. Выберите Create new → System administrator.
  3. Введите имя, пароль и профиль. Профиль — это роль, которая обладает набором прав. Настроить профиль или создать новый можно на вкладке Admin Profiles.

Настройка блокировки учетных записей

Графический интерфейс

Для защиты от подбора пароля настройте блокировку учетной записи после ввода неправильного пароля. По умолчанию количество неудачных попыток ввода пароля равно трем.

Консольный интерфейс

В CLI можно настроить как количество попыток (admin-lockout-threshold), так и время ожидания, после которого администратор может попытаться ввести пароль снова (admin-lockout-duration).

Значение по умолчанию admin-lockout-threshold — 3, а диапазон значений — от 1 до 10. По умолчанию admin-lockout-duration установлено на 60 секунд, а диапазон значений — от 1 до 4294967295 секунд.

Для изменения через CLI введите:

config system global
set admin-lockout-threshold 3
set admin-lockout-duration 60
end

Переименование учетной записи администратора

Графический интерфейс

Вы можете повысить безопасность, переименовав учетную запись администратора. Для этого создайте новую учетную запись администратора с профилем super_admin и войдите под ней в систему, так как нельзя редактировать имя пользователя, под которым он зашёл в данный момент. Затем перейдите в System → Administrators, отредактируйте имя. Переименование учетной записи администратора затрудняет вход злоумышленника в FortiOS.

Отключение неиспользуемых интерфейсов

Графический интерфейс

Чтобы отключить интерфейс из графического интерфейса:

  1. Перейдите в Network → Interfaces.
  2. Отредактируйте интерфейс и установите для параметра Interface Status значение Disabled.

Консольный интерфейс

Для изменения через CLI введите:

config system interface
edit port2
set status down
end

Отключение неиспользуемых протоколов

Графический интерфейс

Можно отключить неиспользуемые протоколы, которые злоумышленники могут использовать для сбора информации. Многие из этих протоколов отключены по умолчанию.

С помощью команды config system interface можно увидеть текущую конфигурацию каждого из этих параметров для выбранного интерфейса, а затем отключить их при необходимости.

Консольный интерфейс

Для изменения через CLI введите:

config system interface
edit <interface-name>
set dhcp-relay-service disable
set pptp-client disable
set arpforward disable
set broadcast-forward disable
set l2forward disable
set icmp-redirect disable
set vlanforward disable
set stpforward disable
set ident-accept disable
set ipmac disable
set netbios-forward disable
set security-mode none
set device-identification disable
set lldp-transmission disable
end