OzzTech - FortiOS 7.0.3 Upgrade

FortiOS 7.0.3 Upgrade

FortiOS 7.0.3 Upgrade

FortiOS 7.0.3 Desteklenen Upgrade Bilgileri hakkında daha detaylı bir bilgi almak için yapmanız gerekenler:

  1. https://support.fortinet.com websitesine gidin.
  2. Download menüsünden Firmware Images'i seçin.
  3. Select Product yani seçilmiş ürünün FortiGate olduğunu kontrol edin.
  4. Upgrade Path sekmesine tıklayın ve aşağıdakileri seçin:
    • Current Product (Mevcut Ürün)
    • Current FortiOS Version (Mevcut FortiOS sürümü)
    • Upgrade To FortiOS Version (FortiOS sürümüne yükselt)
  5. Go sekmesine tıklayın.

Fortinet Security Fabric Upgrade

FortiOS 7.0.3 Upgrade ile diğer Fortinet ürünleri arasındaki birlikte çalışabilirliği arttırmaktadır. Bu ürünler;

FortiAnalyzer7.0.2
FortiManager7.0.2
FortiClient* Microsoft Windows7.0.0 ile 0029 veya üst sürüm
FortiClient* Mac OS X7.0.0 ile 0022 veya üst sürüm
FortiClient* Linux7.0.0 ile 0018 veya üst sürüm
FortiClient* iOS6.4.6 ile 0507 veya üst sürüm
FortiClient* Android6.4.6 ile 0539 veya üst sürüm
FortiClient* EMS7.0.0 ile 0042 veya üst sürüm
FortiAPFortiAP-SFortiAP-UFortiAP-W2FortiAP için Güçlü kriptografik şifreleme gereksinimlerini inceleyin.
FortiSwitch OS (FortiLink support)6.4.6 ile 0470 veya üst sürüm
FortiSandbox2.3.3 ve üstü ile 4.0.0 tavsiye edilir

* FortiClient'i yalnızca IPsec VPN veya SSL VPN için kullanıyorsanız, FortiClient sürüm 6.0 ve üstü desteklenir.

Security Fabric'inizi yükseltmeden önce diğer cihazları yöneten cihazları yükseltmelisiniz. Aşağıdaki verilen listedeki sırayla her cihazın firmware'ini upgrade edin. Böylece manuel işlemlere gerek duymadan network bağlantısını korur.

  1. FortiAnalyzer
  2. FortiManager
  3. FortiGate devices
  4. Managed FortiSwitch devices
  5. Managed FortiAP devices
  6. FortiClient EMS
  7. FortiClient
  8. FortiSandbox
  9. FortiMail
  10. FortiWeb
  11. FortiADC
  12. FortiDDOS
  13. FortiWLC
  14. FortiNAC
  15. FortiVoice
  16. FortiDeceptor
  17. FortiAI
  18. FortiTester

NOT: Security Fabric etkinleştirildiği zaman, mutlaka tüm FortiGate cihazları 7.0.3'e upgrade edilmelidir. FortiOS 7.0.3'te Security Fabric etkinleştirildikten sonra tüm FortiGate cihazları FortiOS 7.0.3' ü çalıştırmalıdır.

Cihazınızı Önceki Firmware Sürümüne Düşürme

Bir önceki firmware sürümğnbe tekrardan dönmek veya düşürmek, tüm modellerin üzerinde konfigürasyonda kayıplara neden olacaktır. Eğer bu işlemi yaparsanız yalnızca aşağıda belirtilen ayarlar korunur;

  • Operation modu
  • İnterface IP/Management IP
  • Static route table
  • DNS ayarları
  • Admin user hesabı
  • Session helpers
  • System Access Profiles

Firmware İmajı Denetim Toplamları

Tüm Fortinet yazılımları ve firmware sürümleri için MD5 denetim toplamları, https://support.fortinet.com adresindeki Müşteri Hizmetleri ve Destek portalında bulunmaktadır . Oturum açtıktan sonra Download> Firmware Image Checksums öğesine tıklayın daha sonra, uzantıyla birlikte image dosyasının adını yazın ve Get Checksum Code öğesini seçin.

IPsec interface MTU değeri

IPsec interfaceleri, 6.4 sürümünden yükseltildikten sonra farklı MTU değeri hesaplayabilir.

Bu değişiklik muhtemelen, upgrade (yükseltme) işleminden sonra bir OSPF neighborunun kurulmamasına yol açabilir. Geçici çözüm mtu-ignore'nun OSPF interface'inin konfigürasyonunda etkinleştirilecek şekilde ayarlanmasıdır. Bunun için:

config router ospf
    config ospf-interface
        edit "ipsce-vpnx"
            set mtu-ignore enable
        next
    end
end

HA Rol İfadesi Değişiklikleri

İlk olarak master terimi ikinci olarak ise slave terimi değiştirilmiştir. Bu değişiklikler, HA ile ilgili tüm CLI komutları ve çıktısı için geçerlidir. Diğerlerinden tek farkı, hiçbir şekilde değişmeyen VRRP ile ilgili herhangi bir çıktıdır.

FortiAP için güçlü kriptografik şifre gereksinimleri

FortiOS 7.0.0 ile 3DES ve SHA1'i güçlü kriptografik şifreler listesinden çıkarttı. Bu yüzden

Şifre ihtiyacını karşılayabilmek adına, ismi E veya F harfleriyle biten mevcut FortiAP modelleri aşağıda belirtilen firmware sürümlerine yükseltilmelidir:

  • FortiAP (F modelleri): sürüm 6.4.3 ve üstü
  • FortiAP-S ve FortiAP-W2 (E modelleri): sürüm 6.2.4, 6.4.1 ve üstü
  • FortiAP-U (EV ve F modelleri): sürüm 6.0.3 ve üstü
  • FortiAP-C (FAP-C24JE), sürüm 5.4.3'ün gelecekteki sürümünde güçlü şifreleri destekleyecektir.

FortiOS 7.0.1 çalıştıran FortiGate'lerin upgrade edilemeyen FortiAP modellerini veya isimleri B, C, CR veya D harfleriyle biten eski FortiAP modellerini yönetmesi gerektğinde, yöneticiler uyumluluk modu aracılığıyla bu FortiAP'lerin bağlantılarına zayıf parola şifrelemeyle izin verebilir:

config wireless-controller global
    set tunnel-mode compatible
end

VoIP profili ayarları, güvenlik duvarı ilkesi inceleme modunu nasıl belirler?

FortiOS 7.0.3 Upgrade esnasında, seçilen bir VoIP profili bulunan tüm firewall policyleri, proxy tabanlı denetleme moduna dönüştürülür. VoIP profili seçilmemiş tüm firewall policyleri ise upgrade işleminden sonra aynı güvenlik duvarı ilkeleri, yükseltmeden sonra aynı denetleme modunda kalacaktır.

IPsec üzerinden L2TP konfigürasyonu, 6.4.x veya 7.0.0'dan 7.0.1'e upgrade edildikten sonra manuel olarak güncellenmesi yapılmalıdır.

Upgrade işleminden sonra IPsec üzerinden L2TP'nin çalışması için:

  • vpn l2tp içindede konfigüre edilen IP aralığı için static route eklemelisiniz. Örneğin, önceki sürümün root VDOM'sindeki L2TP ayarı için:
config vpn l2tp
    set eip 210.0.0.254
    set sip 210.0.0.1
    set status enable
    set usrgrp "L2tpusergroup"
end

Upgrade işleminden sonra bir static route ekleyin:

config router static
    edit 1
        set dst 210.0.0.0 255.255.255.0
        set device "l2tp.root"
    next
end
  • Firewall policy kaynak arayüzü tünel adını l2t.VDOM olarak değiştirin.

Policy ve Route Konfigürasyonlarını basit hale getirmek için NAT46 ve NAT64'e arayüz ekleyin

Bu güncelleme ile  firewall vipvip6ve firewall policy ayarlara NAT tünel arayüzü ve seçeneklerini ekleyerek NAT46 ve NAT64 policylerinin daha basit hale gelmesini sağlamaktadır.  policy46 ve policy64 ayarları policy, vip46 ve vip64 haline getirildi içine vipve vip6. Firewall Policy seçeneklerinin çoğu artık NAT46 ve NAT64 seçeneklerinin etkinleştirildiği policylerde kullanılabilmektedir.

FortiOS 7.0.3 Upgrade

FortiOS 6.4.x veya 7.0.0 sürümünden 7.0.1'e yükseltirken eski konfigürasyonlar için kullanılan vip46vip64policy46policy64nat64, ve gui-nat46-64 sürümden kaldırılır. Aynı şekilde içlerindeki tüm objeler de kaldırılacaktır.

Kaldırılan CLI komutları:

  • config firewall vip46
  • config firewall vip64
  • config firewall policy46
  • config firewall policy64
  • config system nat64
  • set gui-nat46-64 {enable | disable} (under config system settings)

Aşağıdaki GUI sayfaları kaldırıldı:

  • Policy & Objects > NAT46 Policy
  • Policy & Objects > NAT64 Policy
  • NAT46 ve NAT64 VIP kategori seçenekleri Policy & Objects > Virtual IPs  üzerindeki ilişkili sayfalar

Yeni Policyler Oluşturma

FortiOS 6.4.x veya 7.0.0'ı 7.0.1'e upgrade işlemi bittikten sonra, manuel olarak vip46 ve vip64 için yeni policyler oluşturmalısınız.

  • Bir vip46 kaynak oluşturun config firewall vip ve nat46 seçeneği etkinleştirin .
  • Bir vip64 kaynak oluşturun config firewall vip6 ve nat64 seçeneği etkinleştirin .
  • ippool ve ippool6 öğesini oluşturun veya değiştirin ve nat64nat46 etkinleştirin .
  • Bir policy oluşturun ve nat46 seçeneğini etkinleştirin. Policy içinde vip46 ve ippool6 uygulayın.
  • Bir policy oluşturun ve nat64 seçeneğini etkinleştirin. Policy içinde vip64 ve ippool uygulayın.
  • İstemci ve serverdaki yönlendirmenin yeni vipvip6 ve ippool/ippool6 ile eşleştiğinden emin olun.

Örnek konfigürasyonlar

vip46 object:

eski konfigürasyon

config firewall vip46
    edit "test-vip46-1"
        set extip 10.1.100.155
        set mappedip 2000:172:16:200::55
    next
end

yeni konfigürasyon

config firewall vip
    edit "test-vip46-1"
        set extip 10.1.100.150
        set nat44 disable
        set nat46 enable
        set extintf "port24"
        set ipv6-mappedip 2000:172:16:200::55
    next
end

ippool6 object:

eski konfigürasyon

config firewall ippool6
    edit "test-ippool6-1"
        set startip 2000:172:16:201::155
        set endip 2000:172:16:201::155
    next
end

yeni konfigürasyon

config firewall ippool6
    edit "test-ippool6-1"
        set startip 2000:172:16:201::155
        set endip 2000:172:16:201::155
        set nat46 enable
    next
end

NAT46 policy

eski konfigürasyon

config firewall policy46
    edit 1
        set srcintf "port24"
        set dstintf "port17"
        set srcaddr "all"
        set dstaddr "test-vip46-1"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic enable
        set ippool enable
        set poolname "test-ippool6-1"
    next
end

yeni konfigürasyon

config firewall policy
    edit 2
        set srcintf "port24"
        set dstintf "port17"
        set action accept
        set nat46 enable
        set srcaddr "all"
        set dstaddr "test-vip46-1"
        set srcaddr6 "all"
        set dstaddr6 "all"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set ippool enable
        set poolname6 "test-ippool6-1"
    next
end

vip64 object

eski konfigürasyon

config firewall vip64
    edit "test-vip64-1"
        set extip 2000:10:1:100::155
        set mappedip 172.16.200.155
    next
end

yeni konfigürasyon

config firewall vip6
    edit "test-vip64-1"
        set extip 2000:10:1:100::155
        set nat66 disable
        set nat64 enable
        set ipv4-mappedip 172.16.200.155
    next
end

ippool object:

eski konfigürasyon

config firewall ippool
    edit "test-ippool4-1"
        set startip 172.16.201.155
        set endip 172.16.201.155
    next
end

yeni konfigürasyon

config firewall ippool
    edit "test-ippool4-1"
        set startip 172.16.201.155
        set endip 172.16.201.155
        set nat64 enable
    next
end

NAT64 policy:

eski konfigürasyon

config firewall policy64
    edit 1
        set srcintf "wan2"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "test-vip64-1"
        set action accept
        set schedule "always"
        set service "ALL"
        set ippool enable
        set poolname "test-ippool4-1"
    next
end

yeni konfigürasyon

config firewall policy
    edit 1
        set srcintf "port24"
        set dstintf "port17"
        set action accept
        set nat64 enable
        set srcaddr "all"
        set dstaddr "all"
        set srcaddr6 "all"
        set dstaddr6 "test-vip64-1"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set ippool enable
        set poolname "test-ippool4-1"
    next
end

İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.