Добрый день, друзья! В прошлый раз мы провели взаимную интеграцию основных продуктов фабрики безопасности. Пришло время заключительной статьи цикла Fortinet Security Fabric. В ней мы закончим создание нашей “мини-сети”, о которой велась речь ранее. Мы дадим пользователям доступ в сеть через проводное и беспроводное подключение, а после этого рассмотрим, какие преимущества предоставляет выстроенная нами фабрика безопасности.
Начнем с проводного подключения. Для этого нам необходимо завести отдельный VLAN для проводных подключений. Таких VLAN’ов может быть несколько, в зависимости от задач, однако для примера рассмотреть один VLAN будет вполне достаточно. Как оговаривалось здесь, номер VLAN’а - 100. Настройки происходят через меню WiFi & Switch Controller -> FortiSwitch VLANs и выглядят примерно так:
Все, что необходимо - это указать название VLAN’а, его номер, IP адрес и настройки DHCP сервера (данный интерфейс может сам служить DHCP сервером, а может перенаправлять пользователей на другой DHCP сервер в сети). По желанию можно указать роль (она влияет только на список доступных настроек в графическом интерфейсе), а также цвет - довольно удобно для распознавания конкретного VLAN’а.
Административное управление через VLAN интерфейсы включать не стоит. Здесь мы оставили только PING для тестовых целей, в рамках продуктива его тоже желательно отключать.
Настройка VLAN’а для беспроводного подключения практически ничем не отличается. Единственное весомое отличие - в поле Administrative Access необходимо выбрать пункт Security Fabric Connection. Он отвечает за работу протокола CAPWAP, про который мы говорили в прошлых статьях. Номер VLAN’а - 50:
Теперь необходимо привязать созданные VLAN’ы к конкретным портам FortiSwitch. Точку доступа мы включим в третий порт, а тестовый компьютер - в 7. Поэтому напротив данных портов в столбце Native VLAN выбираем соответствующие VLAN’ы:
Теперь, для беспроводного подключения необходимо создать один или несколько SSID, в зависимости от решаемых задач. Мы же разберем создание одного SSID.
Создается он из меню WiFi & Switch Controller -> SSIDs -> Create New. Для нового SSID необходимо задать название интерфейса, IP адрес, административный доступ (в идеале он должен быть отключен полностью), настройки DHCP сервера, а также настройки самого SSID (имя SSID, режим безопасности, различные дополнительные настройки). Мы будем использовать стандартный broadcast SSID с аутентификацией общим ключом. Остальные настройки оставим по умолчанию. Обратим внимание на опцию Quarantine host - поскольку мы планируем использовать механизмы автоматизации для блокирования подозрительных пользователей на уровне доступа, данная опция должна быть включена. Общий вид настроек представлен на рисунках ниже:
Важное примечание - в версии FortiOS 6.4.3 присутствуют проблемы, которые препятствуют нормальной работе беспроводной сети при подобной конфигурации. Данные проблемы описаны в документе Release Notes данной версии, там же предлагаются пути ее решения:
В данном случае нам помог второй workaround.
Теперь осталось разрешить доступ проводных и беспроводных пользователей в Интернет. Причем, необходимо также использовать различные механизмы безопасности для защиты пользователей.
Для этого необходимо сделать две политики безопасности: для доступа проводных пользователей в Интернет, и аналогичную для беспроводных пользователей. В реальности политик может быть больше - с их помощью можно контролировать трафик пользователей между различными сегментами сети.
Политика для проводных пользователей выглядит примерно так:
Здесь, при возможности, необходимо распространить сертификаты для SSL инспекции на пользовательские машины и включить глубокую инспекцию. Иначе большинство угроз в зашифрованном виде смогут добираться до пользовательских машин. Другие профили также необходимо настроить исходя из решаемых задач.
Политика для беспроводного доступа выглядит очень похоже:
Однако, в данном случае распространение сертификатов представляется очень сложным (если вообще возможным), поэтому здесь обычно оставляется обычная проверка сертификатов.
Для дальнейшей работы нам необходим активированный профиль веб фильтрации на приведенных выше политиках. Он должен логировать посещаемые пользователями ресурсы (это может быть просто мониторинг или блокировка некоторых ресурсов). Сервис IoC работает именно с этим типом логов.
Проверим беспроводное подключение с помощью утилиты PingTools:
Как видно из рисунка выше - мы подключились к нашему SSID и через него можем выходить в Интернет. Проводное подключение также работает - достаточно подключить необходимую машину в настроенный порт FortiSwitch.
Теперь перейдем к преимуществам фабрики безопасности. Самое очевидное преимущество: просмотр логов из одного места - FortiAnalyzer’а:
Начиная с версии 6.2 в FortiAnalyzer появилась возможность создания отдельного административного домена для различных устройств Fortinet - Security Fabric. Он позволяет ускорить обработку данных, а также обеспечивает корреляцию логов.
Интеграция FortiEMS с FAZ
В прошлый раз мы забыли упомянуть про интеграцию FortiClient EMS и FortiAnalyzer. Делается это довольно просто - адрес FortiAnalyzer’а и перечень типов логов, которые необходимо отсылать, настраиваются в отдельных профилях безопасности, которые потом привязываются к конечным точкам:
Второе преимущество - автоматизация. С версии 6.4 доступно два варианта: более простой - Automation Stitch, и посложнее - FortiSOC. Начнем с механизма Automation Stitch.
Он работает на основе условий (или триггеров). То есть, если происходит определенное событие, система отвечает на него преднастроенным действием. Выглядит это таким образом:
В поле Trigger представлены события, в ответ на которые можно настроить автоматические действия (поле Action). Действия могут различаться в зависимости от событий. Например, если вы выберем событие Compromised Host, у нас появятся дополнительные действия - карантин с помощью FortiClient EMS, блокировка IP адреса, а также карантин на уровне доступа:
Проверим данный механизм: попробуем с телефона получить доступ к зловредному ресурсу. После этого перейдем в меню Dashboards -> Users & Devices. Виджет Quarantine показывает, что у нас одно устройство в карантине. Кликнем два раза на этот виджет, чтобы посмотреть подробности:
Да, действительно, устройство, с которого мы только что пытались стучаться к C2C было отправлено в карантинный VLAN. В текущей конфигурации он не имеет никакого доступа в сети, однако с помощью политик безопасности можно разрешить таким устройствам доступ к определенным ресурсам.
Для более сложных сценариев можно использовать механизм FortiSoC, который доступен из устройства FortiAnalyzer. Он позволяет разрабатывать разнообразные сценарии автоматизации. По умолчанию доступно несколько преднастроенных сценариев:
Также можно с нуля создать свой собственный сценарий. Рассмотрим его создание:
Первым делом необходимо создать триггер - это может быть определенное событие, созданный инцидент, ручной запуск сценария или запуск по расписанию. К примеру, создадим триггер - событие, которое происходит при обнаржуении скомпрометированного хоста:
После этого становятся доступны различные действия. Многообразие действий зависит от подключенных коннекторов:
Например, с помощью коннектора FortiAnalyzer можно создавать инциденты, прикреплять к нему различные данные и отчеты. С помощью коннектора EMS можно проводить на конечных точках антивирусные сканирования, сканирования на уязвимости, добавлять их в карантин или убирать оттуда. Мы создали простой плейбук, который при обнаружении скомпрометированного хоста добавляет его в карантин, проводит антивирусное сканирование и создает инцидент:
Проверим на ноутбуке, подключенном к FortiSwitch. Попробуем постучаться на зловредный хост:
Спустя небольшое время мы видим следующее:
Значит наш плейбук начал работать. Проследить за выполнением плейбука можно из меню FortiSoC -> Automation -> Playbook Monitor. В списке необходимо выбрать интересующее исполнение плейбука. Получаем сводку о его действиях:
Как видим - все три действия завершены успешно. Теперь можно посмотреть на созданный инцидент. Список инцидентов находится в меню FortiSoC -> Incidents. Выбираем нужный инцидент:
Здесь можно найти информацию о данном инциденте, данные и отчеты, прикрепленные к инциденту в ходе исполнения плейбуков (сценариев). Также можно оставлять комментарии, а также отслеживать историю аудита данного инцидента.
Следует отметить, что подписку на FortiSoC необходимо покупать отдельно, по умолчанию без нее доступно исполнение 5 сценариев в день.
На этой ноте мы хотим закончить данный цикл статей. Но поскольку компания Fortinet обладает широким продуктовым портфелем, а каждый продукт в свою очередь обладает интересным функционалом, который в полной мере раскрывается именно в интеграции фабрики безопасности - тяжело сказать, что это последняя статья из данного цикла. Скорее - отправной пункт, на который мы сможем ссылаться при описании других продуктов и вариантов интеграций. Поэтому, следите за нашими ресурсами, чтобы не пропустить ничего интересного: