FortiGate License Expired – Minha licença do FortiGate expirou e agora?

Fala galera, tudo beleza? Frequentemente, os clientes me fazem o seguinte questionamento: “E se a licença do meu FortiGate expirar? (FortiGate License Expired) O que acontece? O que ainda vai funcionar e o que vai parar de funcionar?” Ah! Isso se aplica também a firewalls em estado de EOS, temos uma matéria falando só disso aqui: Fim do Suporte FortiGate (EOS).

Primeiro e mais importante: não deixe isso acontecer! Mas, caso aconteça, aqui está o que você precisa saber. Quando a assinatura dos serviços expirar, muitas coisas vão parar de trabalhar, mas muitas coisas vão continuar funcionando. A seguir, listarei os recursos em um Fortigate que continuarão funcionando após a assinatura expirar. E também isso significa que esses recursos funcionam mesmo se o seu Fortigate nunca teve a assinatura. 

FortiGate License Expired: O que ainda funciona?

Se você é um administrador de rede ou um analista de segurança, provavelmente já se deparou com a temida mensagem: “FortiGate License Expired”. Essa notificação pode causar preocupação e levantar várias perguntas. Mas não entre em pânico!   

Dashboard:

• Fortiview: Todos os Dashboards funcionarão;
• Os serviços gratuitos do Forticloud.

Policy & Objects:

• Regras de firewall: O FortiGate continuará filtrando os pacotes conforme as regras já criadas. E não tem problema algum em criar novas regras em um firewall expirado, pois funcionará de forma eficiente;
• Todos os tipos de NAT: SNAT, DNAT, VIP e até mesmo o central NAT funcionará perfeitamente;
• QoS (Traffic Shaping);
• VIP: do tipo de balanceamento de carga;
• Regras de proteção DoS/DDoS.

Security Profiles:

• IPS: As assinaturas do IPS funcionarão, porém, somente a base atualiza pela última vez antes da assinatura expirar. Sendo assim, o IPS funcionará, mas novas assinaturas não serão baixadas;
• Botnet IPs/Domains: Sensores IPS e DNS Filter com Botnet C&C configurados continuam funcionando, mas os bancos de dados de IPs de botnet e domínios de botnet não são atualizados e nenhuma nova assinatura é adicionada;
• Application Control: Segue a mesma lógica do IPS;
• Antivírus: A verificação antivírus continua funcionando, mas o banco de dados antivírus não é atualizado e nenhuma nova assinatura será adicionada;
• SSL Inspection;
• Perfis de VOIP;
• DLP;
• WAF com as assinaturas atualizadas pela última vez antes da assinatura expirar;
• Operational Technology (OT): As assinaturas continuam funcionando, mas as definições de ataque do banco de dados não são atualizadas e nenhuma nova assinatura é adicionada.

  Network:

• Interfaces: Físicas, VLANs, Virtual Wire Pair, Loopbacks, LAGs, etc;
• Protocolo de roteamento estático;
• Protocolo de roteamento dinâmico: BGP, OSPF e RIP;
• DHCP (Server e Relay);
• SD-WAN.
• VRFs, se suportado pela versão FortiOS;
• Encapsulamento de tráfego GRE e VXLAN;
• One-arm sniffer;
• Dynamic DNS.

Wifi & Switch Controller:

• Gestão de FortiAP;
• Gestão de FortiSwitch.

VPN:

• VPN: Todos os tipos de IPSec site-to-site, VPNs client-to-site tal como VPN SSL em modo web e túnel com Forticlient e como cliente IPSec permanecerão funcionando.

User & Authentication:

• Todos os tipos de autenticação: local, LDAP, Radius, Tacacs, SAML, MFA.

System:

• VDOM;
• HA;
• SNMP.

Security Fabric:

• Feeds de Ameaças Externas.

Logs & Reports:

• Relatórios e Logs: Todas as funcionalidades de registro e relatórios continuam a operar.

Meu amigoooo, urfa! Parece que o assunto acabou, né? Eu deveria ter falado “olha, funciona isso, etc e fim!” haha, mas acabei focando em tudo que funciona. Afinal, as dúvidas sempre giram em torno dos recursos que os clientes têm medo de parar. Mas agora, vamos descobrir o que realmente não funciona. 🤔  

O que não funciona?

• Atualizações do FortiGuard: sem uma licença ativa, as atualizações do FortiGuard não funcionam. Isso inclui atualizações de antivírus, web filter e categorias;
• Web Filter: Embora o filtro da web continue a funcionar, você não poderá usar as categorias do FortiGuard. No entanto, é possível usar listas de URLs internas e filtragem de conteúdo;
• DNS Filter: A filtragem DNS depende do FortiGuard, portanto, não funcionará completamente quando a licença expirar.
• Antispam: A maioria das funcionalidades do antispam não funciona, pois depende do FortiGuard.
• Firmware e Atualizações em Geral: Principalmente o recurso do FortiOS, System > Firmware & Registration > Fabric Upgrade, no qual realiza o upgrade direto pelo FortiOS seguindo os saltos corretos para não corromper o sistema;
• Suporte do time técnico da Fortinet;
• Cobertura de Garantia.

Em geral, quando a licença do FortiGate expira, todas as políticas que possuem filtro de conteúdo Web e filtro de conteúdo DNS são descartadas (dropadas). E aqui está o problema: a maioria do tráfego de uma organização passa por essa classificação de filtro de conteúdo Web. Quando a mensagem “FortiGate License Expired” aparece, todos os pacotes são descartados. Você já deve estar imaginando o caos que isso pode causar na sua organização, não é mesmo?

Solução de contorno para o ambiente não ficar parado

Visto que todas as sessões que contêm o filtro Web habilitado serão descartadas, já sabemos que 90% das conexões webs de uma organização serão descartadas. E o sentimento para todos os usuários será “O ambiente está todo parado”. Há várias maneiras de resolver isso, listarei algumas e o analista escolhe a maneira que será melhor.

Por meio da tela de Policy & Objects:

É possível corrigir o problema pela interface GUI, selecionando todas as policies por meio da tela Policy & Objects > Firewall Policy, na coluna Security Profiles clica no funil e seleciona todos os Web Filter.

E logo em seguida é só clicar no lápis e clicar em qualquer Web Filter que será removido. Seguem imagens:

Por meio do Security Profiles > Web Filter:

O jeito mais rápido e simples de corrigir esse problema. Acessar a aba Security Profiles > Web Filter e abrir um por um Web Filteres e habilitar a configuração Allow websites when a rating error occurs.

Por meio de scripts:

Outra forma, é executar script de habilitar o set options error-allow em cada perfil de Web Filter. O Script poderá ser executado de várias maneiras, Python, FortiManager ou até mesmo Manual.

Script Python:

Se o ambiente for muito grande e não souber a quantidade de policies, você pode exportar as policies nas versões mais novas clicando em Export > CSV. Nas versões antigas, você pode usar o seguinte, um script em Python que já usei por muito tempo.

1. Baixe o fgpoliciestocsv.zip abaixo (Somente para Windows).
2. Descompacte fgpoliciestocsv.py em um diretório.
3. Acesse o FortiGate via GUI e baixe o arquivo de backup.
   
   
   
   
4. Então, execute o comando no CMD do Windows python fgpoliciestocsv.py -i nome_do_arquivo_de_backup.conf.
   
   
   
   
5. Após executar o comando acima, o arquivo em CSV estará disponível.
   
   
   
   
6. Vá ao diretório utilizando o Excel e abra o arquivo.

Arquivo para download: fgpoliciestocsv o script permite converter um arquivo de backup .conf em uma planilha do excel.

Por meio do FortiManager:

E para um ambiente que possui FortiManager, basta acessar cada Web Filter em Policy & Objects > Objects Configurations >Security Profiles > Web Filter e aí, é só habilitar o Allow Websites When a Rating Error Occurs e mandar instalar o Policy Package.

Por meio de regra de Bypass:

Crie uma regra Bypass sem Web Filter e desabilite todas as regras anteriores com Web Filter.

Conclusão

Lembre-se de que, mesmo com a licença expirada, o FortiGate ainda atua como um firewall e permite a criação de políticas de segurança. Caso você deseje conhecer mais sobre as políticas e termos de condições da Fortinet, segue o link oficial.

Quer saber mais sobre esse e outros tipos de conteúdo? Fique de olho no Diário de Suporte. 😉