Рекомендации по безопасности

Рекомендации, которые позволят повысить уровень безопасности.

Использовать безопасные протоколы доступа

Запретите HTTP или Telnet для административного доступа к FortiGate. Рекомендуем оставить только HTTPS и SSH доступ.

Включить перенаправление на HTTPS

Перенаправьте все попытки подключения по протоколу HTTP на HTTPS.

Изменить стандартные порты доступа

Измените стандартные порты для доступа администратора по HTTPS и SSH на нестандартные. Перед изменением убедитесь, что порты не используются для других служб.

Настроить короткие таймауты входа

Установите время простоя на короткое время, чтобы избежать доступа посторонних лиц при отсутствии администратора.

Настроить вход для доверенных адресов

Разрешите вход только с доверенных адресов.

Настроить двухфакторную аутентификацию

Для усиления защиты настройте двухфакторную аутентификацию администратора. FortiOS поддерживает двухфакторную аутентификацию FortiToken и FortiToken Mobile. FortiToken Mobile доступен бесплатно для устройств iOS и Android в соответствующих магазинах приложений.

Каждое зарегистрированное устройство FortiGate включает в себя два токена бесплатно. Перед началом работы следует создать бэкап-файл конфигурации, с помощью которого можно восстановить настройки FortiGate.

Чтобы воспользоваться FortiToken Mobile и назначить токен администратору:

  1. Перейдите в System → Administrators.
  2. Выберите Two-factor Authentication для каждого администратора.
  3. В качестве Authentication Type укажите FortiToken и выберите один из доступных токенов.
  4. Укажите адрес электронной почты в поле Email или номер телефона в поле SMS → Phone number, на которые будут присланы данные для активации токена.
  5. Скачайте приложение FortiToken Mobile на мобильный телефон, и в нём введите данные, которые были присланы ранее для активации, отсканировав QR-код или введя код вручную.
  6. После на экране появится одноразовый токен-код, который необходимо ввести при авторизации пользователя.

При активации токена для единственного пользователя-администратора, в случае потери доступа к приложению, предоставляющему токен-код, можно потерять доступ к самому FortiGate.

Восстановить доступ можно с помощью инженеров Selectel, которые, подключившись физически, отформатируют FortiGate и сбросят настройки. Для этого создайте тикет, указав в нем устройство, которое следует отформатировать.

После этого можно загрузить сохранённый ранее бекап-файл, которой следует предварительно отредактировать, удалив строчки, отвечающие за двухфакторную аутентификацию:

config system admin
        edit "admin"
        set accprofile "super_admin"
        set vdom "root"
        set two-factor fortitoken
        set fortitoken "FTKMOB06EF00208F"
        set email-to "email_example@gmail.com"
        set password ENC ...

В случае, когда двухфакторная аутентификация подключена для другого пользователя, администратор может перенести токен на другое устройство, выключив двухфакторную аутентификацию для пользователя и сохранив изменения, а затем повторив настройку двухфакторной аутентификации, как описано выше.

Создать несколько учетных записей администратора

В целях безопасности для каждого администратора рекомендуется иметь отдельную учетную запись. Создайте несколько учетных записей администратора.

Настроить блокировку учетных записей

Для защиты от подбора пароля настройте блокировку учетной записи после ввода неправильного пароля. По умолчанию количество неудачных попыток ввода пароля равно трем.

Переименовать учетную запись администратора

Переименуйте учетную запись администратора. Это затрудняет вход злоумышленника в FortiOS.

Отключить неиспользуемые интерфейсы

Отключить неиспользуемые протоколы

Можно отключить неиспользуемые протоколы, которые злоумышленники могут использовать для сбора информации. Многие из этих протоколов отключены по умолчанию.