Właściwą konfigurację modułów bezpieczeństwa wykonuje się po zakładce Security Profiles. Administrator określa tam konfigurację wszystkich elementów odpowiedzialnych za poziom bezpieczeństwa ruchu sieciowego (antywirus, filtrowanie Web, kontrola aplikacji, IPS czy skanowanie poczty). Antywirus oraz Web Filtering oparte są na zdefiniowanych profilach. Wstępnie w tych usługach znajdują się standardowe profile z domyślnymi ustawieniami, które można wykorzystywać później w regułach zabezpieczeń, jeśli jednak istnieje konieczność użycia innego poziomu zabezpieczeń tego samego modułu dla różnych grup obiektów czy segmentów sieci, tworzy się wtedy odrębne ustawienia o różnym poziomie bezpieczeństwa i funkcjonalności.

Ochrona przed intruzami oraz filtrowanie aplikacji opiera się głównie na obiektach i sygnaturach dostarczanych przez systemy producenta. Działanie systemu IPS polega na zdefiniowanych sensorach, które są w stanie rozpoznać działanie intruza lub nieprawidłowe działanie aplikacji. Wybierając opcję Sensors z menu IPS użytkownik definiuje filtr opierając się na gotowej sygnaturze lub filtrując właściwości danego zagrożenia (określając m.in. aplikację, system operacyjny czy protokół). Podobnie jest w ustawieniach kontroli aplikacji, która również jest oparta na sensorach oraz gotowych sygnaturach. Jedyną różnicą jest możliwość zdefiniowania ram czasowych obowiązywania reguły kontroli aplikacji. Konfigurując obie funkcjonalności użytkownik ma do dyspozycji bardzo pokaźną listę gotowych definicji obiektów dostarczanych przez Fortinet, dlatego nie ma żadnego problemu z określeniem polityki bezpieczeństwa dla większości znanych zagrożeń i aplikacji. Dla IPS zdefiniowanych jest ponad 6000 gotowych sygnatur, natomiast w przypadku kontroli aplikacji istnieje ponad 2500 gotowych szablonów.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach

Konfiguracja VPN

Tunelowanie do sieci firmowej w urządzeniu FG-800C można skonfigurować używając kilku różnych protokołów (IPsec, SSL VPN). Konfigurując SSL VPN należy przede wszystkim włączyć daną usługę. Wybierając z menu konfigurację portalu SSL VPN, administrator ustawia, w jakim trybie ma pracować – wybiera między opcjami Tunel Mode i/lub Web Mode. Należy również określić parametry pracy portalu VPN, do którego logują się użytkownicy. W trybie tunelowania wybiera się pulę adresów, jakie będą przyznawane przy połączeniu, którą wcześniej trzeba zdefiniować w obiektach firewalla. Natomiast przy konfiguracji portalu webowego ustawia się jego wygląd, widok wybranych okien informacyjnych oraz możliwość ściągnięcia aplikacji FortiClient dla różnych systemów operacyjnych. Ułatwiającym pracę zdalnym użytkownikom rozwiązaniem jest użycie zdefiniowanych zakładek z odnośnikami do korporacyjnych zasobów (stron internetowych czy połączeń zdalnego pulpitu), których można użyć bezpośrednio z portalu bez konieczności pamiętania parametrów połączenia. Opcje zaawansowanej konfiguracji SSL VPN pozwalają na określenie algorytmu szyfrowania (maksymalnie AES(128/256 bity) i 3DES) oraz użycie certyfikatów do zestawienia połączenia, przy czym można również wymóc wykorzystanie certyfikatu klienta.

Aby użytkownicy mieli możliwość zestawiania bezpiecznych połączeń z siecią firmową, ich konta muszą mieć odpowiednie prawa do logowania. W tym celu najwygodniej jest w menu User and Device utworzyć odpowiednią grupę z możliwością dostępu do SSL VPN. Dodatkowo, aby uzyskać połączenie, trzeba również zdefiniować odpowiednią politykę na firewallu. Przy tworzeniu reguły określa się typ polisy jako VPN oraz wskazuje obsługiwane interfejsy i dozwoloną grupę użytkowników.

Po tej konfiguracji SSL VPN jest gotowy do realizacji połączeń. Przy pierwszym logowaniu mogliśmy ściągnąć aplikację FortiClient, aby wykorzystać ją do późniejszego zestawiania bezpiecznych połączeń. Ogólnie nie było problemu z dostępem do zasobów przy wykorzystaniu większości popularnych przeglądarek internetowych. Kłopot sprawiła przeglądarka Chrom, w której ostatecznie nie udało się poprawnie zestawić połączenia VPN.

Konfiguracja sieci bezprzewodowej z użyciem FortiAP

Razem z FortiGate 800C do testów zostało nam udostępnione urządzenie FortiAP-210B, które doskonale integruje się z FG 800C tworząc przy udziale zdefiniowanych polityk bezpieczeństwa bardzo dobrze chronioną sieć bezprzewodową. Możemy potwierdzić informacje uzyskane od technika firmy Fortinet, że dodatkowe urządzenia po podłączeniu bez problemu rozpoznawane są przez system. Należy je jedynie odpowiednio skonfigurować zgodnie z założonymi regułami bezpieczeństwa oraz dostępu do sieci.

Sprzęt należy podłączyć do wybranego portu Ethernet urządzenia FG-800C, po czym przy konfiguracji tego interfejsu w jego ustawieniach wybrać opcję Dedicate to FortiAp. Aby FortiAp poprawnie pracowało, należy w pierwszej kolejności je autoryzować. Jeśli FortiGate poprawnie rozpoznał urządzenie sieci bezprzewodowej, powinno ono pojawić się na liście w menu Wifi Controllers wśród zarządzanych Access Pointów. Następnie administrator musi utworzyć i skonfigurować sieć bezprzewodową (SSID) określając tryb pracy (przy wykorzystaniu adresacji z sieci LAN jest to Local bridge with FortiAp’s interface), nazwę sieci i rodzaj szyfrowania oraz utworzyć klucz. Kolejnym krokiem jest określenie profilu pracy samego urządzenia FortiAP. W tym przypadku ustawiliśmy tryb Access Point oraz określiliśmy standard, w jakim sieć ma pracować, kanał i ostatecznie przypisaliśmy do tego profilu wcześniej utworzone SSID. Na koniec wystarczy jedynie „podpiąć” utworzony wcześniej profil do konkretnego urządzenia FortiAP, aby użytkownicy mogli bez problemu łączyć się do sieci bezprzewodowej.

Powyższa konfiguracja tworzy sieć bezprzewodową o adresacji IP identycznej jak sieć przewodowa, ale bez problemu można również utworzyć dostęp całkowicie odseparowany od sieci kablowej, tylko z internetem.