Приветствуем! В нашей прошлой статье мы описали общую концепцию построения сети на продуктах компании Fortinet - Fortinet Security Fabric. Практически все продукты из этой концепции мы уже описывали. Неосвещенными остались только FortiSwitch и FortiAP. Сегодня мы хотим рассказать про FortiSwitch - коммутатор от компании Fortinet. В статье мы рассмотрим возможные способы управления данным продуктом, его основные функциональные возможности, а также преимущества при его использовании в составе Fortinet Security Fabric.
FortiSwitch имеет два варианта развертывания - Managed и Standalone. В первом случае он полностью управляется через FortiGate и фактически служит для увеличения количества его физических портов. Это позволяет применять защитный функционал FortiGate на всех интерфейсах FortiSwitch. Также становится доступной информация о подключенных к FortiSwitch устройствам:
Если FortiSwitch в данном режиме будет установлен на уровне доступа, FortiGate сможет получать информацию о каждом конечном устройстве, который будет подключен к FortiSwitch. Также это позволит автоматизировать блокировку подключенных устройств при обнаружении угрозы.
При развертывании в Standalone режиме FortiSwitch управляется через собственный GUI или CLI интерфейс. Такой вариант используется довольно редко: обычно FortiSwitch используют именно для того, чтобы получить все преимущества Fortinet Security Fabric. Поэтому, данный вариант мы рассматривать не будем.
Также имеется возможность управлять продуктами FortiSwitch из облака или с помощью продукта FortiManager, но мы имеем дело с одним FortiSwitch, а данные способы обычно используются при большом количестве продуктов - поэтому данные возможности мы также рассматривать не будем.
Теперь обсудим следующий вопрос - на что способен FortiSwitch? Доступных функций у него довольно много, поэтому мы коснемся только основных. Полный список функций можно найти в даташите. Также там можно проверить, поддерживает ли определенная модель конкретный функционал.
DHCP Snooping — позволяет блокировать DHCP трафик, присущий DHCP серверам, с недоверенных источников (например с портов, подключенных к пользовательским устройствам), с которых могут происходить атаки или другие вредоносные действия. Это достигается путем выбора доверенных и недоверенных портов. Доверенными портами выбираются те порты, которые подключены к существующим DHCP серверам, остальные порты помечаются как недоверенные:
Spanning Tree Protocol (STP) — протокол управления каналами, который строит свободную от петель L2 топологию путем блокировки избыточных каналов:
Loop Guard — также помогает предотвратить образование петель. Когда Loop guard активирован на порту коммутатора, он периодически отсылает служебные пакеты (LGDP - Loop Guard Data Packets). Если коммутатор, отправивший данный пакет, через какое-то время получает данный пакет обратно, значит в сети появилась петля. Поэтому порт, с которого был отправлен служебный пакет, блокируется. Данный функционал должен работать вместе с STP, а не заменять его.
Edge Port - данный функционал можно активировать на портах, которые подключены к конечным устройствам (компьютеры пользователей и т.д.). Во первых, данные порты будут быстрее входить в рабочее состояние (поскольку им не нужно участвовать в STP процессе). Во вторых, смена состояния порта не будет влиять на текущее состояния STP процесса.
STP BPDU Guard — защищает Edge порты от петель. BPDU Guard отключает порт при получении BPDU, поскольку получение BPDU означает, что к порту по ошибке был подключен коммутатор. Это в свою очередь может привести к петле.
STP Root Guard — предотвращает возможность интерфейса, на котором он активирован, стать корневым. При этом, BPDU, получаемые данным интерфейсом, игнорируются или отбрасываются. Без использования данной опции, любой свитч, участвующий в STP, может стать корневым. Это может привести к тому, что большие объемы трафика будут передаваться по неоптимальным или небезопасным каналам. Использование данной опции позволит обеспечить соблюдение необходимой топологии сети.
Storm Control - механизм, предназначенный для обнаружения и блокировки L2 штормов в сети. Работает путем настройки максимальных значений для unknown-unicast, unknown-multicast и broadcast трафика.
FortiSwitch Network Access Control - FortiSwitch позволяет настраивать политики контроля доступа, которые могут проверять устройства на соответствие различным критериям, принадлежности к определенной группе пользователей или присутствию EMS тегов. Устройства, которые попадают под условия данных политик, определяются в конкретный VLAN, или к ним применяются индивидуальные настройки.
FortiSwitch Security Policies - для контроля доступа FortiSwitch также поддерживает IEEE 802.1x аутентификацию. В случае использования данного механизма, устройство, подключенное к FortiSwitch, должно быть аутентифицировано RADIUS сервером для получения доступа к сети.
При использовании FortiSwitch совместно с FortiGate существует одна интересная возможность - Access VLANs. Понятие Access VLAN в терминологии FortiSwitch отличается от общепринятого. Здесь оно означает то, что весь трафик между конечными устройствами, (даже подключенными к одному FortiSwitch и одному VLAN) могут взаимодействовать между собой только через FortiGate. Это позволяет контролировать и инспектировать трафик между VLAN’ами. При использовании Access VLAN для разрешения трафика между VLAN’ами или в рамках одного VLAN необходимо создавать политики безопасности на FortiGate, где можно применить различные механизмы безопасности (антивирус, IPS, контроль приложений и т.д.).
Как уже упоминалось ранее, при использовании FortiSwitch в составе Fortinet Security Fabric можно обеспечить видимость устройств, работающих в сети. Выглядит это примерно таким образом:
Также при взаимодействии продуктов FortiGate, FortiAnalyzer и FortiSwitch появляется возможность добавления устройств в карантин по MAC адресу как вручную, так и автоматически при обнаружении вредоносной активности:
С помощью механизма Security Rating можно проверить конфигурацию FortiSwitch, включенных в Fortinet Security Fabric, на соответствие лучшим практикам. При выявлении определенных проблем требуемые настройки выборочно можно применить из одного окна:
Данными возможностями FortiSwitch не ограничивается - мы описали только самый основной функционал, а также то, чего будем касаться в дальнейшем. Для получения дополнительной информации о возможностях FortiSwitch можно изучить даташиты и руководство администратора. Следующий продукт, который мы рассмотрим - точки доступа FortiAP. После этого мы сможем перейти к построению защищенной сети на базе Fortinet. Чтобы ничего не пропустить, следите за обновлениями на наших ресурсах: