Fortigate 61e hinter Fritzbox

[TheKlumpen]

Hallo zusammen,
ich bin im November in einen renovierten Altbau Anfang der 80er Jahre gezogen. Wir haben die komplette Elektrik neu gemacht und alle wichtigen Zimmer mit 2 Doppeldosen Cat6 versorgt. Internet kommt von der deutschen Glasfaser, dahinter werkelt eine Fritzbox 7530AX an einem HPE OfficeConnect Switch 1920. Das WLAN im 1.OG ist über einen Repeater 1200AX per LAN im Mesh versorgt. Alles läuft wunderbar.
Ich würde gerne die unzähligen Samrthome Geräte in ein eigenes WLAN Netz bringen, per se mit der Fritzbox nur über das Gastwlan möglich.
Jetzt habe ich von unserem Firmen ITler ausgediente Hardware geschenkt bekommen. Eine Fortigate 61E, 4 FortiAP 221E und ein HPE OfficeConnect Switch 1920S mit POE. Er hat mir das Ganze auf der Fortigate auch schon eingerichtet. Seperate SSIDs für alle Anwendungen, Firewallregeln für den Zugriff untereinander, etc.
Ich bin etwas skeptisch was den Betrieb der Fortigate angeht. Diese Modell ist EOL, d.h. es gibt keine Updates mehr. Ich möchte es also auf keinen Fall ohne die Fritzbox als Router betreiben. Im Moment ist es so konfiguriert, dass die Fortigate über ihren WAN Port an der Fritzbox hängt. Wenn ich Google und die KI richtig verstehe, habe ich so doppeltes NAT. Bei einem kurzen Test lief alles problemlos. Ich bin mir jedoch unsicher, ob ich das alles einfach so betreiben kann, daher steht das Zeug erstmal ungenutzt im Schrank.
Meine Frage:
Gibt es eine Anwendungsmöglichkeit für die Fortigate hinter der Fritzbox, ohne auf Sicherheitsfunktionen der Fritzbox verzichten zu müssen und alle Funktionen der Fortigate uneingeschränkt nutzen zu können?
Danke!

 

[nutrix]

So schade es auch ist, ich würde nichts mehr, was EOL ist und sicherheitsrelevant betrieben werden soll, verwenden. Bei fast allen großen FW Herstellern trudeln permanent Sicherheitslücken und Sicherheitswarnungen rein, so schnell kann man fast gar nicht patchen (ich spreche da von den großen Umgebungen mit vielen vielen FWs).
Verstehst Du was von PAP?
https://www.bsi.bund.de/SharedDocs/...n_Edition_2023.pdf?__blob=publicationFile&v=3
Wird sehr oft bei Kritisstrukturen und Behörden eingesetzt. Da könnte man das Ding am Ende vielleicht beim letzten P noch einsetzen. Aber das wäre für den Heimgebrauch natürlich absolut überdimensioniert. Wenn Du jetzt viele VLANs und Subnetze hättest, wo Du hin- und herrouten und NATen müßtest, wäre es vielleicht auch sinnvoll.

Und Du darfst nicht vergessen, daß sowas natürlich auch zusätzlich Strom kostet. Wenn Du jetzt normaler Benutzer bist, der nichts extravagantes macht, was besondere Sicherheitsstrukturen erfordert, würde ich es eher weglassen. Es wird für Dich so nichts weiter bringen, Du hast keinen Zusatznutzen davon. Selbst ich als (EX-) Netzwerker und Firewaller nutze sowas zu Hause mittlerweile auch nicht mehr.

 

[Thomrock]

ich würde nichts mehr, was EOL ist und sicherheitsrelevant betrieben werden soll, verwenden

genau Das!

 

[Ja_Ge]

Naja eigentlich ist die erst im Juli EOL, bis dahin kann dir jeder der Zugang zum Portal bei Fortinet hat (dein Admin z.B.) noch die Firmware - Updates zur Verfügung stellen.
Der andere Punkt ist, ob die Fortigate noch eine laufende Subscription hat. Vermutlich nicht, aber selbst wenn, wird diese dann bald auslaufen.
Ohne ein solches Abonnement sind AV, IPS, Webfilter etc. auf der Firewall deaktiviert. Diese Funktionen machen ohne min. tägliches Update aber auch keinen Sinn.
Du kannst die Fortigate aber weiterhin als Stateful Firewall mit Regelwerk auf Port - Basis, Router, VLANs, Switch etc. mit umfangreichen Log - Funktionen innerhalb deines Netzwerks (wie bei dir hinter der Fritzbox) nutzen.

 

[Mojo1987]

Man kann jetzt diskutieren ob man überhaupt eine FortiGate verwenden sollte... aber wenn sie EOL ist, hat sie unabhängig der Marke nix im Perimeter verloren.

Ansonsten... wenn das Gast WLAN der FB nicht genutzt wird, dann pack dir paar IoT Geräte doch einfach da rein wenn sonst alles geht. Das unnötig zu verkomplizieren seh ich hier nicht.

 

[chris_2401]

Ist ne nette Spielerei, aber welche Problemstellung löst du mit der FortiGate, den man langfristig (Stromverbrauch!) nicht günstiger mit anderer Hardware lösen könnte?

Aber ja, mit dem doppel NAT ist es erstmal richtig gebaut. Solang du an der Fritzbox keine Ports freigibts, passiert da erstmal nichts.

 

[TheKlumpen]

Danke für die Antworten. Im Grunde geht es wohl hauptsächlich um die Spielerei und das Verstehen lernen. Netter Nebeneffekt wären noch die getrennten Netze bzw. VLANs gewesen. Aber dann bleibt das Zeug wohl im Schrank stehen bzw. wandert irgendwann in den Elektroschrott.

 

[gaym0r]

So schade es auch ist, ich würde nichts mehr, was EOL ist und sicherheitsrelevant betrieben werden soll, verwenden. Bei fast allen großen FW Herstellern trudeln permanent Sicherheitslücken und Sicherheitswarnungen rein, so schnell kann man fast gar nicht patchen (ich spreche da von den großen Umgebungen mit vielen vielen FWs).

Wie viele dieser Sicherheitslücken sind ausnutzbar, wenn das Gerät hinter einem anderen Gerät hängt inkl. NAT und ohne Erreichbarkeit von draußen?

@TheKlumpen
Meiner Meinung nach kannst du das Gerät für die interne Trennung der VLANs nutzen.

 

[nutrix]

Wie viele dieser Sicherheitslücken sind ausnutzbar, wenn das Gerät hinter einem anderen Gerät hängt inkl. NAT und ohne Erreichbarkeit von draußen?

Darum alleine geht es ja nicht. Es gibt ja ein GUI für Fortigate, die man sich lokal auf seinem PC installieren kann (ich weiß nicht mehr, wie sie heißt), und wenn die eine Lücke hat, können beispielsweise sich andere darüber Zugriff auf die Fortigate verschaffen und Einstellungen ändern wie aushebeln. Dem kannst Du wieder entgegen, indem Du die Software auf einem separat gesichertem Server installierst, wo kein Alltagssurfen gemacht wird, und diesen entsprechen abschotten.

Wenn man sowas einsetzt, will man ja zu einem gewissen Maß Sicherheit haben. Das wird dann aber bei potentiellen Gefahren und Lücken eben zur Makulatur, und man schafft sich dadurch eher ein Einfallstor, als wenn man es gleich weggelassen hätte. Als Netzwerker und Firewalladmin muß man eben paranoide sein und alle Gefahrenaspekte bedenken und jedes Risiko betrachten, auch wenn es noch so geringfügig wie unwahrscheinlich ist.

 

[Ja_Ge]

die man sich lokal auf seinem PC installieren kann

Die wird über die Weboberfläche verwaltet, oder SSH.
Es gibt den Fortimanager, der ist zu lizensieren und den installiert man nicht auf Workstations, schon mal gar nicht für 1 oder 2 Fortigates.

 

[nutrix]

Im Grunde geht es wohl hauptsächlich um die Spielerei und das Verstehen lernen.

Kannst Du ja trotzdem machen, wenn Du das Ding so im Netz einsetzt, daß es im normalen Netz nicht verfügbar ist und davon separiert ist. Aber fürs Lernen kannst Du auch zu einer Linux-VM und iptables oder nftables greifen, oder sowas wie OPNSense oder pfSense greifen. Das auf einem kleinen Mini-PC mit mehreren LAN-Buchsen wäre dann auch immer auf einem aktuellen Stand, da OpenSource.

Ergänzung (Gestern um 13:46)

Die wird über die Weboberfläche verwaltet, oder SSH.

Auch das kann Lücken haben.

Es gibt den Fortimanager, der ist zu lizensieren und den installiert man nicht auf Workstations, schon mal gar nicht für 1 oder 2 Fortigates.

Ja, ich glaube, das Ding wars, und das Zeug war nach meinen Erinnerungen immer alles arschteuer.

 

[Ja_Ge]

Ja, ich glaube, das Ding wars, und das Zeug war nach meinen Erinnerungen immer alles arschteuer.

Ich arbeite fast täglich mit dem Fortimanager. Der macht nur Sinn ab einer gewissen Anzahl von Forti – Produkten (Firewalls, Switche, APs), die zumindest zum Teil gleiche Konfiguration, Regelwerk, Security – Profile etc. haben. Dann kann man die Einstellung einmal setzten und auf mehrere Geräte puschen. Der Focus liegt also weit außerhalb des privaten Users.

 

[gaym0r]

Darum alleine geht es ja nicht. Es gibt ja ein GUI für Fortigate, die man sich lokal auf seinem PC installieren kann (ich weiß nicht mehr, wie sie heißt), und wenn die eine Lücke hat, können beispielsweise sich andere darüber Zugriff auf die Fortigate verschaffen und Einstellungen ändern wie aushebeln.

Wenn das Endgerät kompromittiert ist, ist ne EoL Firewall auch egal.

 

[nutrix]

Nicht ganz, jede Hürde ist wichtig und gut, und da können Kleinigkeiten durchaus den Unterschied machen. Man sollte es ja potentiellen Eindringlingen nicht so einfach wie möglich machen.