Fortinet
Fortinet — яркий представитель постоянных лидеров среди UTM/NGFW решений. Ранее мы публиковали соответствующий отчет Гартнер за 2017 год. Пожалуй флагманским продуктом данной компании является FortiGate — шлюз безопасности (его мы и будем рассматривать далее). Однако продуктовый портфель компании значительно шире, как можно заметить по картинке выше. Вот краткий список:
FortiGate — Межсетевой экран следующего поколения (NGFW);
FortiManager — Централизованное управление устройствами Fortinet;
FortiAnalyzer — Централизованный сбор данных о событиях (логи) со всех устройств Fortinet;
FortiSandbox — Защита от таргетированных атак (песочница);
FortiMail — Защищает от спама, вредоносного ПО во вложениях и прочих угроз электронной почты;
FortiWeb — Межсетевой экран для ваших Web-приложений;
FortiSIEM — Система сбора, анализа и корреляции событий;
FortiSwitch — Коммутаторы Fortinet;
FortiClient — Защита компьютеров пользователей;
FortiADC — Контроллер доставки приложений;
FortiDB — Защита баз даных;
FortiAuthenticator — Двухфакторная аутентификация (2FA) и доступ SSO;
FortiToken — Токены для двухфакторной аутентификации (2FA);
FortiAP — Беспроводная точка доступа;
FortiExtender — Усилитель сигнала 3G/LTE;
FortiPresence — Анализ посещаемости;
FortiCloud — Сохранение журналов в облаке;
FortiDDoS — Предотвращение DDoS-атак.
Более подробно о решениях Fortinet можно почитать здесь, либо поcмотреть наш предыдущий вебинар:
Здесь вкратце рассматриваются современные угрозы, история компании, продуктовая линейка, модели FortiGate, интерфейс устройств и так далее (очень рекомендую это видео для экспресс ознакомления с компанией Fortinet).
Cyber Threat Assessment Program (CTAP)
Компания Fortinet предоставляет бесплатную возможность провести аудит защищенности сети с помощью решения FortiGate. Данная программа носит название Cyber Threat Assessment Program (CTAP). Принцип аудита довольно простой — в вашу сеть устанавливается FortiGate, который анализирует трафик (позже мы рассмотрим что конкретно анализируется). При этом есть несколько вариантов такого “пилотного” проекта, который как правило длится от двух до четырех недель. Рассмотрим их.
1) Копия трафика (One-Arm Sniffer)
Самый простой и в то же время самый популярный способ — анализ копии трафика. FortiGate подключается к SPAN-порту коммутатора, который зеркалирует интересующий трафик. Как правило анализируется трафик между коммутатором ядра и интернет-шлюзом. Т.к. FortiGate работает только с копией трафика, то нет никакого риска для вашей сети. Мы подробно рассмотрим именно этот способ.
2) В режиме моста (Transparent mode)
Менее популярный способ. В данном случае FortiGate устанавливается в режиме моста и через него идет реальный трафик. Этот метод выбирают редко, т.к. в этом случае приходится изменять физическую топологию сети и организовывать технологическое окно на время переключения.
FortiGate Appliance vs FortiGate VM
Для аудита можно выбрать два варианта исполнения FortiGate: Appliance (железка) и VM (виртуальная машина). У каждого метода есть свои плюсы и недостатки.
1) FortiGate Appliance
«Железное» устройство. На тест как правило выдается несколько вариантов (в зависимости от объемов обрабатываемого трафика):
Устройство на тест можно получить только по запросу к партнерам Fortinet.
Плюсы:
- Не требуется выделение виртуальных ресурсов (которых часто не хватает);
- Высокая производительность;
- Тестируете реальное устройство и можете оценить его производительность (если рассматривать FortiGate, то чаще всего покупают именно “железное” решение).
- Ожидание Appliance (железок почти всегда не хватает, все на тестах).
К тому же далеко не в каждом городе есть партнер, который сможет предоставить вам оборудование на тест. С виртуальными машинами все проще…
2) FortiGate VM
Виртуальная машина FortiGate. Поддерживаемые гипервизоры — VMware ESXi, KVM, Hyper-V,
XenServer.
В виде виртуальных машин доступны не только FortiGate, как это видно из рисунка выше.
Плюсы использования FortiGate VM:
- Простота развертывания (импортируется через ovf);
- Скорость развертывания (получить у партнеров виртуальную машину гораздо быстрее, чем ”железное” решение).
- Необходимо выделять виртуальные мощности.
В целом это не такая большая проблема, т.к. для сети средних размеров (100-200 компьютеров) достаточно виртуальной машины с параметрами 2-4 ядра и 2-4 Гб оперативной памяти. Характеристики виртуальных машин:
Далее мы будем рассматривать именно этот способ аудита — с помощью виртуальной машины FortiGate VM.
Генерация отчета
Сам FortiGate при анализе трафика генерирует огромное количество логов. Пример:
Логи хоть и интересные (показывают используемые приложения, объемы трафика, посещаемые сайты, вредоносную активность и т.д.), но не предоставляют полную картину по защищенности сети. Гораздо интереснее комплексные отчеты, сгенерировать которые можно разными способами:
- Отправлять логи в облако Fortinet для последующего анализа. Функция доступна только для “железок”. Пожалуй это самый простой вариант. По окончанию аудита партнер предоставляет подробный отчет по безопасности вашей сети. Есть одно НО — не все готовы отправлять свои логи во внешний мир (даже в облако Fortinet). В этом случае есть компромиссные варианты.
- Собрать логи локально на устройстве, после чего передать их партнеру на анализ одним архивом. Есть ограничение в 100 Мбайт. Такой вариант используется весьма редко.
- Отправлять логи на локальный FortiAnalyzer. В этом случае все логи хранятся у вас и вы можете генерировать отчеты хоть каждый час, а не только в конце пилотного проекта. Единственное — придется дополнительно разворачивать FortiAnalyzer (это не сложно).
Мы рассмотрим именно третий вариант, где совместно с виртуальным FortiGate мы развернем виртуальный FortiAnalyzer. Кроме того, для виртуального решения нет возможности отправлять логи в облако на анализ.
Состав отчета
В случае использования локального FortiAnalyzer нам доступно большое количество видов отчетов:
Т.к. мы делаем комплексный анализ защищенности сети, то нас будет больше интересовать отчет Cyber Threat Assessment. Данный отчет содержит большое количество информации по состоянию сети:
На первой же странице вы увидите общую сводку, что-то вроде:
Далее можно увидеть статистику по “опасным” приложениям:
Найденные уязвимости:
Статистика по скачанным вирусам:
Объемы трафика по конкретным приложениям:
Категории используемых сайтов:
И многое другое. Пример отчета можно скачать здесь.
Вывод
В целом, данный вариант аудита дает довольно подробную статистику по вашей сети, которая будет полезна для любой компании. На основе результатов тестирования можно будет сделать выводы об эффективности существующих средств защиты, имеющихся угрозах, либо просто о качестве решений Fortinet. Если вас заинтересовал подобный тест, то можете смело обращаться.
На этом первая часть заканчивается. Во второй части мы рассмотрим сам процесс настройки и генерации отчета.
Комментарии (7)
Pave1
09.08.2017 15:52Спасибо за отличные статьи!
А итоговое сравнение вендоров с уточнением слабых и сильных сторон будет?
ilyasc
10.08.2017 09:22добрый день,
есть еще один тип развертывания Fortigate — в режиме Router/NAT, в разрыв действующего продакшна.
вопрос по appliance Fortigate-VM на гипервизоре ESXI- поддерживается или планируется ли:
функционал по подключению проброшенного (PCI Ethernet passthrough) физического сетевого интерфейса PNIC с bare-metal сервера напрямую в виртуальную машину, в обход Vswitch?
Данный метод позволит подключать виртуальный Fortigate-VM (в режиме Router/NAT) как аппаратный девайс физически витой парой куда угодно (свитч, роутер, фаервол).
Судя по документации конкурентов это умеет PaloAlto-VM и Forcepoint:
https://www.websense.com/content/support/library/web/hosted/getting_started/install_vm.aspxcooper051 Автор
10.08.2017 09:26К сожалению не владею подобной информацией. Думаю стоит задать это вопрос вендору (направил). А в чем преимущество данного метода? За всю практику не встречал проблем при использовании vSwitch. Никто же не мешает взять отдельный сервер под FG, накатить туда esxi и использовать практически как аппаратный девайс.
ilyasc
10.08.2017 10:03частный случай: есть сервер с ESXI, в котором есть 2 свободных сетевых интерфейса PNIC3,4,
другие 2 сетевых интерфейса (management PNIC1,2) подключены к продакшн-агрегационному свитчу.
L2/L3 агрегационный свитч подключен по L3 к продакшн-UTM_фаерволу(роутинг в WAN к провайдеру).
Агрегационный свитч не имеет технологию зеркалирования портов в TAP-SPAN-Mirror.
На сервере с ESXI крутятся десятки Windows/Linux серверов в разных VLAN на standard Vswitch.
Access-свитчи по L2 подключены к агрегационному свитчу.
Endpoint-workstation (pc/laptop) подключены к access-свитчам.
В данном случае, при топологии подключения Fortigate-VM (в режиме Router/NAT) через Vswitch к продакшн-агрегационному свитчу — нельзя проверить работу NGFW Fortigate-VM для текущего продакшна парка виртуальных серверов на ESXI и физических ПК, можно лишь проверить новые ПК в новом (песочном) VLAN. Т.е. сделать honeypot со старой WindowsXP/7 (без обновлений, антивирусов, брэндмаэуров) — в таком режиме проверим что пропустил старый UTM и как это задетектил новый Fortigate-VM.
При топологии подключения Fortigate-VM (в режиме Transparent) через Vswitch были коллизии, связанные с Promiscuous mode Vswitch, BlockGuestBPDU=1 ESXI; STP & BPDU protection агрегационного свитча. В данном режиме можно проверить работу NGFW Fortigate-VM только для текущего продакшна парка виртуальных серверов, но не для действующих ПК\ноутов.
Но, если Fortigate-VM на ESXI умеет работать с проброшенными PCI Ethernet в обход Vswitch, то подключив его напрямую в старый UTM-фаервол в обход агрегационного свитча — можно было сделать полноценный анализ безопасности всего действующего продакшна (сервера + рабочие станции).
ps: Бюджет на новый сервер не выделяют :(cooper051 Автор
14.08.2017 13:43Если нужен именно appliance, то лучше использовать «железку» fortigate, а не виртуалку. Это и дешевле, да и правильнее.
dklein
Аж в глазах зарябило от количества подпродуктов с одинаковым префиксом :)
cooper051 Автор
Да, продуктов действительно много.