FortiGate 800C – kompleksowe zabezpieczenie sieci
- Jarosław Kowalski,
- 14.10.2013
Właściwą konfigurację modułów bezpieczeństwa wykonuje się po zakładce Security Profiles. Administrator określa tam konfigurację wszystkich elementów odpowiedzialnych za poziom bezpieczeństwa ruchu sieciowego (antywirus, filtrowanie Web, kontrola aplikacji, IPS czy skanowanie poczty). Antywirus oraz Web Filtering oparte są na zdefiniowanych profilach. Wstępnie w tych usługach znajdują się standardowe profile z domyślnymi ustawieniami, które można wykorzystywać później w regułach zabezpieczeń, jeśli jednak istnieje konieczność użycia innego poziomu zabezpieczeń tego samego modułu dla różnych grup obiektów czy segmentów sieci, tworzy się wtedy odrębne ustawienia o różnym poziomie bezpieczeństwa i funkcjonalności.
Ochrona przed intruzami oraz filtrowanie aplikacji opiera się głównie na obiektach i sygnaturach dostarczanych przez systemy producenta. Działanie systemu IPS polega na zdefiniowanych sensorach, które są w stanie rozpoznać działanie intruza lub nieprawidłowe działanie aplikacji. Wybierając opcję Sensors z menu IPS użytkownik definiuje filtr opierając się na gotowej sygnaturze lub filtrując właściwości danego zagrożenia (określając m.in. aplikację, system operacyjny czy protokół). Podobnie jest w ustawieniach kontroli aplikacji, która również jest oparta na sensorach oraz gotowych sygnaturach. Jedyną różnicą jest możliwość zdefiniowania ram czasowych obowiązywania reguły kontroli aplikacji. Konfigurując obie funkcjonalności użytkownik ma do dyspozycji bardzo pokaźną listę gotowych definicji obiektów dostarczanych przez Fortinet, dlatego nie ma żadnego problemu z określeniem polityki bezpieczeństwa dla większości znanych zagrożeń i aplikacji. Dla IPS zdefiniowanych jest ponad 6000 gotowych sygnatur, natomiast w przypadku kontroli aplikacji istnieje ponad 2500 gotowych szablonów.
Zobacz również:
- Dzięki temu standardowi będziemy wiedzieć, że śledzi nas jakieś obce urządzenie Bluetooth
- KE zamierza oskarżyć kolejny raz Microsoft o złamanie ustawy antymonopolowej
- Ransomware - liczba ataków spada, ale są bardziej kosztowne
Konfiguracja VPN
Strona panelu SSL VPN
Aby użytkownicy mieli możliwość zestawiania bezpiecznych połączeń z siecią firmową, ich konta muszą mieć odpowiednie prawa do logowania. W tym celu najwygodniej jest w menu User and Device utworzyć odpowiednią grupę z możliwością dostępu do SSL VPN. Dodatkowo, aby uzyskać połączenie, trzeba również zdefiniować odpowiednią politykę na firewallu. Przy tworzeniu reguły określa się typ polisy jako VPN oraz wskazuje obsługiwane interfejsy i dozwoloną grupę użytkowników.
Po tej konfiguracji SSL VPN jest gotowy do realizacji połączeń. Przy pierwszym logowaniu mogliśmy ściągnąć aplikację FortiClient, aby wykorzystać ją do późniejszego zestawiania bezpiecznych połączeń. Ogólnie nie było problemu z dostępem do zasobów przy wykorzystaniu większości popularnych przeglądarek internetowych. Kłopot sprawiła przeglądarka Chrom, w której ostatecznie nie udało się poprawnie zestawić połączenia VPN.
Konfiguracja sieci bezprzewodowej z użyciem FortiAP
Razem z FortiGate 800C do testów zostało nam udostępnione urządzenie FortiAP-210B, które doskonale integruje się z FG 800C tworząc przy udziale zdefiniowanych polityk bezpieczeństwa bardzo dobrze chronioną sieć bezprzewodową. Możemy potwierdzić informacje uzyskane od technika firmy Fortinet, że dodatkowe urządzenia po podłączeniu bez problemu rozpoznawane są przez system. Należy je jedynie odpowiednio skonfigurować zgodnie z założonymi regułami bezpieczeństwa oraz dostępu do sieci.
Logi VPN
Powyższa konfiguracja tworzy sieć bezprzewodową o adresacji IP identycznej jak sieć przewodowa, ale bez problemu można również utworzyć dostęp całkowicie odseparowany od sieci kablowej, tylko z internetem.