Рекомендации по безопасности при работе с FortiGate
Рекомендации, которые позволят повысить уровень безопасности.
Настройки в инструкции актуальны для версий FortiOS 6.x и 7.x. Если у вас другая версия FortiOS, вы можете найти документацию для нее в панели управления FortiGate в верхнем правом углу �или на официальном сайте FortiGate.
Использовать безопасные протоколы доступа
Запретите HTTP или Telnet для административного доступа к FortiGate. Рекомендуем оставить только доступ по HTTPS и SSH.
Графический интерфейс
CLI
Изменить эти настройки для отдельных интерфейсов можно на вкладке Network → Interfaces.
Для изменения через CLI введите:
config system interface
edit <interface_name>
set allowaccess https ssh
end
Включить перенаправление на HTTPS
Перенаправьте все попытки подключения по протоколу HTTP на HTTPS.
Графический интерфейс
CLI
- Перейдите в System → Settings → Administrator Settings
- Включите Redirect to HTTPS.
Для изменения через CLI введите:
config system global
set admin-https-redirect enable
end
Изменить стандартные порты доступа
Измените стандартные порты для доступа администратора по HTTPS и SSH на нестандартные. Перед изменением убедитесь, �что порты не используются для других служб.
Графический интерфейс
CLI
- Перейдите в System → Settings → Administrator Settings
- Измените HTTPS- и SSH-порты.
Для изменения через CLI введите:
config system global
set admin-sport 48344
set admin-ssh-port 48022
end
Настроить короткие таймауты входа
Установите время простоя на короткое время, чтобы избежать доступа посторонних лиц при отсутствии администратора.
Графический интерфейс
CLI
FortiOS 6.x
FortiOS 7.x
- Перейдите в System → Settings.
- В поле Idle timeout укажите время простоя в минутах. Рекомендуемое время — пять минут.
- Нажмите Apply.
- Перейдите в System → Settings.
- В блоке Admimistration settings → Idle timeout укажите время простоя в минутах. Рекомендуемое время — пять минут.
- Нажмите Apply.
FortiOS 6.x
FortiOS 7.x
Вы можете настроить время ожидания между установленным соединением SSH и аутентификацией. По умолчанию установлено 120 секунд.
config system global
set admin-ssh-grace-time <grace_time>
end
Укажите <grace_time> — числовое значение времени ожидания между установленным соединением SSH и аутентификацией. Минимальное значение в секундах — 10, максимальное — 3600.
config system global
set admintimeout <administrator_timeout>
end
Укажите <administrator_timeout> — числовое значение времени простоя. Минимальное значение в минутах — 1, максимальное — 480.
Настроить вход для доверенных адресов
Разрешите вход только с доверенных адресов.
Графический интерфейс
CLI
- Перейдите в System → Administrators.
- Отредактируйте учетную запись, включите Restrict login to trusted hosts.
- Добавьте доверенные адреса или сети.
Для изменения через CLI введите:
config system admin
edit admin
set trustedhost1 <ip_address>/<mask>
end
Создать несколько учетных записей администратора
В целях безопасности для каждого администратора рекомендуется иметь отдельную учетную запись. Создайте несколько учетных записей администратора.
Настроить блокировку учетных записей
Для защиты от подбора пароля настройте блокировку учетной записи после ввода неправильного пароля. По умолчанию количество неудачных попыток ввода пароля равно трем.
Переименовать учетную запись администратора
Переименуйте учетную запись администратора. Это затрудняет вход злоумышленника в FortiOS.
Отключить неиспользуемые интерфейсы
Графический интерфейс
CLI
- Перейдите в Network → Interfaces.
- Отредактируйте интерфейс и установите для параметра Interface Status значение Disabled.
Для изменения через CLI введите:
config system interface
edit port2
set status down
end
Отключить неиспользуемые протоколы
Можно отключить неиспользуемые протоколы, которые злоумышленники могут использовать для сбора информации. Многие из этих протоколов отключены по умолчанию.
CLI
Для изменения через CLI введите:
config system interface
edit <interface_name>
set dhcp-relay-service disable
set pptp-client disable
set arpforward disable
set broadcast-forward disable
set l2forward disable
set icmp-redirect disable
set vlanforward disable
set stpforward disable
set ident-accept disable
set ipmac disable
set netbios-forward disable
set security-mode none
set device-identification disable
set lldp-transmission disable
end