Wielu administratorów spotyka się z sytuacją, w której po wygaśnięciu licencji subskrypcyjnych FortiGate przestaje przepuszczać ruch do Internetu. Na pierwszy rzut oka może to wyglądać na błąd lub awarię. Jednak po dokładniejszym przeanalizowaniu polityk bezpieczeństwa okazuje się, że to oczekiwane zachowanie.
Spis treści:
1. Web Filtering i DNS Filtering
Najczęstszym problemem po wygaśnięciu subskrypcji jest blokowanie ruchu przez profile Web Filter i DNS Filter. Oba moduły wykorzystują FortiGuard do klasyfikacji witryn i domen, a bez aktywnej licencji nie mogą się połączyć z serwerami FortiGuard, przez co mechanizm filtrowania nie działa poprawnie.
Domyślne ustawienie profili Web Filter oraz DNS Filtering to blokuj wszystko, jeżeli wystąpi problem z połączeniem do serwerów FortiGuard.
Rozwiązania:
- Zmiana zachowania w profilach Web Filter i DNS Filter z “block” na “allow”
- Usunięcie filtrów z polityk firewall. W środowiskach z dużą liczbą polityk może to być czasochłonne.
2. Pozostałe moduły bezpieczeństwa
Moduły takie jak Antivirus, Application Control czy IPS nie blokują ruchu po wygaśnięciu licencji. Jednak po utracie subskrypcji:
- FortiGate nie otrzymuje już aktualizacji sygnatur,
- ochrona opiera się wyłącznie na ostatnio pobranej bazie danych,
- z czasem skuteczność wykrywania zagrożeń maleje.
3. Problemy z geolokalizacją IP.
Kolejny przypadek to problemy z działaniem reguł opartych na geolokalizacji adresów IP. FortiGate wykorzystuje lokalną bazę danych GeoIP, która jest aktualizowana przez FortiGuard.
Po wygaśnięciu licencji:
- baza GeoIP przestaje być aktualizowana,
- reguły ograniczające ruch np. z Chin czy Rosji mogą przestać działać poprawnie,
- możliwe są błędne klasyfikacje lokalizacji IP.
Rozwiązaniem tego problemu jest usunięcie z konfiguracji obiektów opierających się na geolokalizacji i zastąpienie ich statycznymi obiektami adresowymi.
