fortigate что это такое

Итак, приступим к детальному рассмотрению обеспечиваемых функций предлагаемым «альтернативным» решением, способным, по словам вендора, оказать равноценную замену нашему сабжу.

Собственно, предложением Fortinet является миграция на FortiGate следующего списка функций:

Здесь, прежде всего, хотелось бы сказать, что для крупных предприятий при наличии сложной сетевой инфраструктуры, рекомендуется разделить свои задачи и использовать отдельные узконаправленные решения. Fortinet, в частности, может предложить реализацию такого раздельного и целенаправленного, но, в то же время гибкого и легко масштабируемого подхода с помощью линеек оборудования Fortinet:
— FortiWeb — Web Application Firewall, решение для защиты веб-ресурсов и приложений (в т.ч. – реализация Reverse Proxy с защищённой публикацией веб-ресурсов);
— FortiMail, комплексное антиспам-решение для защиты почты;
— FortiBalancer, FortiADC, Coyote Point Equalizer – всё линейки балансировщиков нагрузки и контроллеров доставки приложений.
Для обеспечения полного комплекса мер по сетевой безопасности, всё это лучше дополнить и включением в инфраструктуру самого FortiGate, однако, малым и средним предприятиям можно обойтись лишь услугами этого решения в аппаратном, либо виртуальном исполнении.
Итак, что же обеспечивает FortiGate в разрезе аналогичных с TMG функций? Будем поочерёдно их рассматривать через призму замены TMG, а заодно и в общих чертах ознакомимся с умениями FortiGate.

Межсетевой экран

Межсетевой экран – начало начал фильтрации нежелательных подключений извне, из Интернета в корпоративную сеть. В то же время, необходимо вести учёт, контроль и разграничение доступа пользователей изнутри сети к внешним ресурсам. Поэтому, помимо пакетной фильтрации, трансляции адресов и портов, поддержки глубокого инспектирования пакетов с проверкой на принадлежность существующему соединению (Stateful/Deep Packet Inspection), FortiGate – это прежде всего платформа комплексной защиты сети, под управлением единой операционной системы FortiOS с полным набором встроенных функций безопасности, таких как: антивирус, антиспам, контроль приложений, система предотвращения вторжения, веб-фильтрация, предотвращение утечки данных и прочие.
При всём широком наборе функциональности, стандартная политика для веб-доступа пользователей из внутренней сети в Интернет, созданная в веб-интерфейсе FortiGate, будет выглядеть так:

Веб-прокси

Одна из старейших и наиболее используемых функций TMG для предоставления доступа пользователей к Интернет без дополнительной аутентификации.
В FortiGate есть функция «Explicit web proxy» для передачи через прокси сессий по HTTP (HTTPS) и FTP, плюс поддержка авто-конфигурации с помощью PAC-файла.
Также, благодаря полностью интегрированной в FortiGate функции Single Sign-On (SSO), доступна возможность взаимодействовать с контроллером домена (Active Directory, Novell eDirectory) и контролировать доступ аутентифицированных пользователей, применяя к определённым группам домена необходимые права и возможности.
В дополнение к этому, в такие политики безопасности могут быть включены функции антивирусной защиты, предотвращения вторжения, веб-фильтрация и контроль приложений.

Включение веб-прокси осуществляется на требуемом(-ых) интерфейсе(-ах) («port1» на верхнем рисунке) и созданием разрешающей политики (на рисунке снизу):

Внедрение же Single Sign-On может быть осуществлено несколькими способами:

1. Используя специальную программу-агент на контроллере домена (DC Agent)
DC Agent – программный компонент в виде отдельной службы слежения за входами в систему пользователей, устанавливаемый на контроллере домена. Он взаимодействует с FortiGate не напрямую, а через коллектор-агент (Collector Agent).
Collector Agent инсталлируется на любом сервере или, опять же, на контроллере домена. Агент получает информацию о входах в систему пользователей и обменивается ею с FortiGate. Количество установленных агентов может быть больше одного для отказоустойчивости.

2. Опрос Collector Agent’а
Такой метод также предусматривает установку дополнительного софта в виде Collector Agent, но на контроллере домена службу DC Agent устанавливать не придётся. Collector Agent можно установить в любом месте сети (желательно на каком-то из Windows-серверов) и тогда он сможет опрашивать контроллер домена о событиях аутентификации пользователей («логонах»). Механизмы опроса осуществляются с помощью Windows NetAPI или Security event log.

3. Опрос напрямую с FortGate
Начиная с FortiOS версии 5, механизм опроса логонов с контроллера домена был полностью встроен в FortGate. При этом, для опроса используется только Security event log, а сам метод использования позиционируется как для небольших сетевых инфраструктур, там где нет возможности установить Collector Agent на периметре сети.
Правда, при этом, не стоит забывать, что FortGate если и избавит Вас от лишних хлопот с установкой софта — то возьмёт нагрузку по хранению в памяти структуры домена и опроса логонов пользователей на себя.

4. NTLM-аутентификация
Использование аутентификации по NTLM, требует для обмена с FortGate установленного Collector Agent на периметре сети. При запросе URL-адреса в браузере пользователя, FortGate запросит его доменные учётные данные (логин/пароль), получит их через браузер, сверит у Collector Agent принадлежность пользователя к группам домена и предоставит доступ к ресурсам согласно своей групповой политики безопасности.

5. Терминальные сервера
Пользователи, которые получают доступ к корпоративным ресурсам через терминальные сервера Microsoft или Citrix, имеют вместо собственного IP-адреса один общий адрес или пул. Для применения к таким пользователям политик безопасности посредством SSO, у Fortinet есть очередной программный компонент – Terminal Server Agent (TS Agent), устанавливаемый на самом терминальном сервере. Он выделяет заданный диапазон портов на каждого пользователя и обменивается этой информацией с Collector Agent, который, в свою очередь знает о принадлежности пользователя к доменным группам, а каким группам дать какой набор ресурсов и какую применить политику – знает FortiGate. Выглядит агент так:

В довершение описания реализации SSO хотелось бы также отметить, что производитель стремится к усовершенствованию функциональности даже в самых младших моделях UTM. В подтверждение этому, в 2012 году был анонсирован выход кардинально переработанной версии ОС FortiOS 5, из числа усовершенствований которой была и поддержка Terminal Server Agent, и более корректной работы SSO в целом, с его вышеописанным изобилием вариаций применения и вспомогательного софта.
Хоть поверьте, хоть проверьте, а взяв последние версии софта: Collector Agent, DC Agent, TS Agent в сочетании с FortiGate на версии FortiOS 5.0.4 и выше – всё будет работать как часы. А если будет интересно постичь тайности SSO и погрузиться в детали – будем про него «песать исчо», т.к. эта тема заслуживает отдельной статьи.

Переходя к части применения политик безопасности, взглянем, как это будет выглядеть на FortiGate при успешно настроенных программных компонентах SSO:

Применяемое правило для доступа конкретной группы или пользователя выглядит так:

Более разграниченные политики со множеством разных доменных групп предоставляют больше возможностей для контроля доступа пользователей к ресурсам сети.

Публикация OWA/SharePoint

Основными аспектами вопроса публикации веб-ресурсов Outlook Web Access или SharePoint являются следующие:
— Трансляция внешнего IP-адреса;
— Обмен сертификатами с пользователями извне.

Для начала нам нужно импортировать сертификат, делается это так:

В нужном меню просто выберите свой сертификат и нажмите ОК.

Далее, для настройки реверс-прокси необходимо настроить балансировку нагрузки. Создаём для этого виртуальный сервер:

Для виртуального сервера нужно определить реальный сервер:

Финальным этапом, создаём политику безопасности, где разрешаем трафик извне:

Входящий интерфейс (Incoming Interface) в таком случае будет внешний, исходный адрес (Source Address) будет «all», а адрес назначения (Destination Address) – только что созданный виртуальный сервер. В качестве сервиса, пропускаем HTTPS, т.к. обмен трафиком будет происходить только по HTTPS, а большего нам и не надо.
Как и в обычном прокси, существует возможность расширить функции безопасности, включив в политику профили:
— Антивирусной защиты;
— Системы предотвращения вторжения (IPS);
— Контроля приложений (тут мы можем ограничить или отследить, что кроме нужного приложения не используются другие);
— URL-фильтрации.

Инспектирование SSL-трафика

Ещё одна важная функция при миграции с TMG – это инспектирование SSL-трафика.
Включается так же просто как и остальные функции безопасности – преднастроенным профилем в политике.

Поскольку обмен сертификатами прозрачен для конечного пользователя внутри сети, можно использовать стандартный встроенный от вендора, а если внутренний сервер будет иметь собственный самоподписанный сертификат – можно просто включить «Allow invalid SSL Certificates», ведь они будут восприниматься как некорректные, т.к. не фигурируют в списке доверенных Certificate Authority (CA).
В разрезе публикации веб-ресурсов на FortiGate, настройка инспектирования относится лишь к публикуемому приложению и не будет касаться остального трафика, однако функция SSL-инспектирования может использоваться и для более детального контроля SSL-трафика конечных пользователей в корпоративных политиках безопасности.

Контроль приложений

Для того, чтобы задействовать функцию контроля приложений необходимо создать «сенсор» приложений. Это тот же профиль, только — в профиль 🙂
Смотрим:

В нашем случае, можно и нужно выбрать конкретное приложение, переключив тип сенсора на «Specify Applications» и методом поиска найти нужное приложение:

Система предотвращения вторжений

Для включения в политику безопасности – опять нужен сенсор для IPS:

Единственное – это то, что через веб-интерфейс нельзя создать фильтр по приложению, но это можно сделать из CLI-консоли, выполнив такие команды или скопировав их как скрипт:

После создания в CLI фильтра, в нём можно применять любые сигнатуры исключительно для IIS и Exchange.

Ещё одна «неявная» функция – это написание своей IPS-сигнатуры для блокирования доступа при попытке ввести неправильный пароль. Для создания таковой для OWA 2012 это будет выглядеть следующим образом:

Здесь параметр «—rate 3,180;» символизирует количество ложных ошибок ввода пароля (3) и время блокировки пользователя по его IP-адресу в секундах (180).

Защита от вредоносного/шпионящего ПО

Профиль антивируса выглядит так:

Как видим, помимо HTTP есть ещё другие виды трафика (SMTP, POP3, IMAP, MAPI, FTP). Нам же для публикации достаточно только HTTP(S).

Итак, собираем это всё воедино. Создаём политику для нашего реверс-прокси с публикацией, извне в корпоративную сеть, а точнее – на сервера веб-приложений, плюс включаем все настроенные профили и сенсоры, в том числе и SSL-инспектирование:

Публикация Lync

Теперь, когда мы детально рассмотрели вопрос публикации OWA/SharePoint с полным возможным набором функций безопасности, стоит отметить, что публикация Lync как веб-приложения происходит на FortiGate практически по той же схеме (трансляция адресов, обмен сертификатами, защита функциями UTM) и по тем же протоколам, за исключением появления необходимости контролировать также и трафик SIP:

Дабы учесть и такой аспект, помимо описанных возможностей, в FortiGate встроена поддержка SIP ALG (Application Level Gateway) – шлюза прикладного уровня, который обеспечивает детальное инспектирование и фильтрацию трафика SIP. Как и многие функции FortiGate, SIP ALG заслужил у производителя отдельного мануала – поэтому его детальное рассмотрение также заслуживает отдельной статьи в будущем.

Удаленный доступ пользователей и VPN-сети

Виртуальные частные сети VPN и защищённый шифрованный доступ с их помощью удалённых пользователей к корпоративным ресурсам сети или туннели между разнесенными площадками предприятий, очень широко используются уже большое количество времени, и TMG здесь не является единственным и неповторимым, обеспечивая нам данный функционал. FortiGate тоже не панацея, но искать решение для VPN на стороне зная, что и тут мы всё сможем сделать «из коробки» — это уже, простите, моветон. Да и оговорились мы ещё вначале, что решение наше полнофункциональное, поэтому обманывать не будем – а будем продолжать с миграцией всех функций TMG.
Итак, что имеем? Имеем поддержку L2TP/IPSec и IPsec VPN для т.н. «site-to-site» подключений и SSL-VPN для удалённого доступа из любой точки, что вполне подходит для «client-to-site».

Для IPsec доступно несколько вариаций, а-ля статического или же «Dialup»-подключения (имея статический адрес на одной стороне и динамический с удалённого конца туннеля), Dynamic DNS. Туннели строятся и между FortiGate’ами, и между ПК и FortiGate — с помощью дополнительного софта FortiClient. Присутствует множество аутентификаций (локальные группы пользователей, идентификаторы локального и удалённого узла, сертификаты X.509, учётные данные групп Active Directory).

SSL представлен двумя режимами – веб-портальным и туннельным. Веб-порталы предназначены для быстрого доступа к корпоративным ресурсам из веб-браузера, что особенно актуально для тонких клиентов и мобильных устройств. В таком режиме, FortiGate служит как защищённый HTTP/HTTPS шлюз, и аутентифицирует пользователей, предоставляя им затем доступ к веб-порталу, где доступны ресурсы HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH и прочие. Туннельный режим предлагает доступ любому приложению к корпоративной сети, но для этого устанавливается FortiClient или отдельная его часть — FortiClient SSL VPN application. FortiClient поддерживает многие ОС: Windows, Mac OS X, Apple iOS и Android.

Ещё один из типов дополнительной авторизации для VPN – это двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей FortiToken или софтварного FortiTokenMobile для мобильных устройств.

В общем, VPN-функционал опять же достаточно широк и во всей красе описывается на парочке сотен страниц, но, в то же время, немного потренировавшись (прямыми руками) можно легко управляться с многочисленными туннелями и веб-порталами. Напоследок, отметим также поддержку VPN-туннелей со сторонними (third-party) производителями, среди которых возможность подключения к облачному сервису Windows Azure от Microsoft, который тоже использует IPSec VPN.

Наконец, подытоживая всё вышеописанное, с уверенностью говорим, что Fortinet в лице своего флагмана – линейки UTM-устройств FortiGate может обеспечить с его покупкой очень широкий набор функциональности для построения системы комплексной сетевой безопасности предприятий любых размеров, оставляя при этом зазор для роста их численности. Нельзя обойти стороной возможность более узкопрофильно усилить защиту с помощью отдельных линеек оборудования Fortinet, таких как: FortiWeb, FortiMail, FortiBalancer, FortiToken и FortiClient, упомянутых нами в качестве перехода с Microsoft TMG, а также остальных продуктовых линеек: FortiWifi и FortiAP для построения защищённой беспроводной связи, централизованного управления FortiManager, централизованного сбора и анализа отчётности FortiAnalyzer, защиты от DDoS-атак FortiDDoS, защиты баз данных FortiDB, веб-кэширования FortiCache, кэширующего DNS-сервера FortiDNS, отдельного решения для аутентификации пользователей FortiAuthenticator, работы «в разрыв» при выходе из строя сетевых устройств FortiBridge, коммутация FortiSwitch и это ещё не конец списка…

Вопрос масштабируемости необходимо рассматривать в зависимости от требуемых функций, ранее используемых в TMG. И если уж Вам приглянулся FortiGate в одиночку или вместе с другим железом от Fortinet – то малым предприятиям (примерно до 100 пользователей) стоило бы обратить внимание на модель FortiGate-90D и ниже, а более крупным организациям – на FortiGate-100D и выше, т.к. поддержка некоторых функций (как и цена) разнится в зависимости от модели.

В завершение, от себя хотелось бы подчеркнуть, что о том, достоен ли FortiGate стать для Вас не только полнофункциональным, а ещё и незаметным и беспроблемным переходом с Microsoft TMG – решать, естественно, Вам. Как по мне — вполне реализуемо.

Источник

Комплексная инфобезопасность: блиц-обзор линейки Fortinet

Привет! Ниже будет ликбез по одной конкретной линейке оборудования, позволяющий понять, что это, зачем нужно (и нужно ли) и какие задачи при этом решаются (общая защита ИКТ-инфраструктуры, реализация блокировок, соответствие ФЗ о ПД).

Итак, на сегодняшний день компоненты защиты обычно выглядят как настоящий «зоопарк»:

Это потоковый антивирус, файрвол, антиспам и антидидос, а также системы обнаружения вторжений и т. п., стоящие на входе в ваш дата-центр. Фортинет (как и ряд других производителей) объединяет эти устройства в одну железку, плюс пересматривает концепцию защиты в принципе. Они уже 7 лет лидируют по Гартнеру в сегменте UTM (FW + IPS + VPN + Application Control + WebFiltering + Antispam + Antivirus и другие функции).

Их идея в том, что периметр находится не на границе с публичным Интернетом. Если раньше защитное железо ставили на выходе, то эти парни считают, что надо ставить устройства ближе к локальной сети — работать с WLAN и в дата-центре прямо между машинами. Естественно, это требует совершенно других потоковых мощностей, но, с другой стороны, даёт и пару огромных плюсов.

Решаемые задачи

Решения Фортинет — это полный комплекс для защиты сетевой инфраструктуры, встроенный в одну-единственную железку.

Вот области применения:
— Общая защита сети, внутреннего сегмента и клиентов оператора от сетевых, контентных угроз и угроз прикладного уровня.
— Фильтрация запросов в Интернет, в т. ч. для выполнения требований федеральных законов и постановлений правительства по блокировке.
— Избавление от «зоопарка» подсистем.
— Защита ПД (ФЗ-152) в соответствии с нормами РФ.
— Интеграция системы обнаружения и предотвращения направленных атак.
— Защита АСУТП.

Архитектурные возможности

«Ядро» решения представляет собой программно-аппаратный комплекс со множеством сетевых портов. У него есть три типа процессоров: для обработки трафика (сетевые процессоры), управляющие и контент-процессоры. Управляющие процессоры распределяют задачи межу сетевыми и контент-процессорами, балансируют и вообще выполняют системные задачи. У больших железок несколько процессоров, поэтому задачи довольно ровно распараллеливаются. На уровне сетевых процессоров сессия каждый раз тоже распределяется по сетевым сопроцессорам. Все «фишки» типа email-фильтрации, песочницы и прочего лежат на контент-процессорах. Если использовать железку как обычный NGFW, она близка к заявленным синтетическим результатам. Если начать нагружать правилами (в особенности сложными, вроде «не давать сотрудникам разглашать на форуме конфиденциальную информацию»), то контент-процессоры будут предсказуемо жрать мощность.

Подход к безопасности системный: все события сети собираются, коррелируются и рассматриваются как цепочка взаимодействий. Например, одна из самых интересных практических задач — запрет торрентов в банках — делается на базе решений Фортинета очень быстро и очень смешно.

История такая: у нас был один банк, в котором хитрые пользователи качали торренты. Сначала они использовали свою стандартную прокси-механику, но проблем было несколько. Начиная от необходимости разбирать SSL (что не очень-то реально) и заканчивая тем, что у особо ушлых тот же TCP over DNS никаким прокси не брался. А в банк время от времени приходили письма от американских правообладателей (мол, чего же вы, гады, творите, это был наш фильм).

Через год туда поставили UTM и настроили в качестве теста NGFW блокировку торрент-сессий. FortiGate умеет блокировть трафик P2P-клиентов, устанавливая взаимосвязи между поведением пользователей и последующими харкатерными признаками P2P. Вот тут, например, есть про то, как решить этот вопрос для компании раз и навсегда. Кстати, отрабатывается и ещё один традиционный способ обхода прокси и классических решений по контролю пользователей — Translate.Google, лучший анонимайзер.

Глубокая интеграция в дата-центр

Итак, чтобы обрабатывать весь поток внутри дата-центра, первое, что требуется, это железки с куда более высокой производительностью, чем обычные «стоящие на выходе». Заявленные синтетические характеристики их железа просто огромные. Естественно, тут есть нюанс именно про синтетику (будет ниже), и не один.

В целом для инфраструктуры используется распределённый подход к безопасности. На каждый узел (точнее, конечную машину) ставится клиент. Клиенты обрабатывают данные и передают события на основной сервер с UTM, который обрабатывает трафик. Подозрительные объекты с клиентских машин автоматом уходят в песочницу, клиенты сами интегрируются с тем же антиспамом (сами ходят по ссылкам, сами отдают вложения антивирусу и в песочницу и так далее) — в общем, делают всё то, что должны делать в идеале.

Типы защиты, дальше мы будем говорить в основном про левый вариант архитектуры

Пока главное — Фортинет быстро перемалывает хорошие потоки. Например, UDP «размалывается» на скоростях 52 Гб/с на mid-range вполне штатно, тогда как ближайшие аналоги — это такие же коробочки примерно в тех же ценах, только работающие на 2 Гб/с.

Вторая особенность — у этого производителя есть вообще всё для защиты. То есть они закрывают всё и сразу, если вам нужно. Вот их полный набор решений:

Всё своё: антивирус, VPN, решение по защите баз данных, свои точки доступа, маршрутизаторы, свитчи

У них есть даже свои телефонные шлюзы. Из последнего — очень удачным оказалось то, что у них к их железкам можно прикручивать собственные внешние 3G/LTE экстендеры. Собственно, один файерволл Fortigate может являться контроллером точек доступа, и уже к нему идет модуль внешней антенны, который определяется как обычный интерфейс.

Раньше в банках при падении основного канала резервом часто в удалённых регионах был «свисток» одного из операторов — с соответствующими танцами с бубном по интеграции в безопасность или же конкретно проседающим уровнем защиты на время перемены канала (без входной фильтрации, например). А здесь всё в одной коробке, и не надо заморачиваться совместимостью. Это тоже плюс, потому что, например, на маленькие филиалы сейчас все берут Хуавей (где раньше была Циска), а не всё работает точно так, как должно бы (разница реализаций даёт о себе знать).

Кому нужно

В первую очередь линейку Фортинет смотрят либо компании, на которые регулярно идут атаки, либо различные операторы трафика, например, решения этой группы развёрнуты у Амазона и у LTE-операторов для очистки трафика. Вообще же «зоопарк» внедрений вот такой:

Плюс ещё 50 операторов связи от Verizon и T-Mobile до China Telecom и Vodafone.

Несмотря на этих «монстров», больше трети продаж Fortinet за 2015 год — это SMB и low-end железо. Малому и среднему бизнесу это тоже интересно за счёт того, что куча разного железа, такого как роутеры, NGFW, WLC и прочее, теперь может быть на одной железке. Имеет смысл брать тем, кто открывает новые филиалы, например.

Вот их аналоги по Гартнеру:

Отличия «на пальцах» от аналогов в том, что Фортинет даёт в целом высокий стандарт по рынку в плане защиты канала, только лицензируется на устройство и позволяет распределять мощность как угодно. При подключении новых функций у всех этих решений падает производительность, у Фортинета при использовании дополнительных функций поведение более предсказуемое за счёт оптимизации нагрузки аппаратными сопроцессорами.

Чем выгодно

Фортинет предлагает достаточно выгодные по стоимости решения по сравнению с аналогичным оборудованием других производителей. Для крупного бизнеса главная «точка» сравнения — цена за единицу трафика, для малого и среднего — функциональность. У других вендоров часто такой же набор фич требует очень дорогой железки.

Подводные камни

Резюме

Это железо верхнего сегмента, которое окупается за счёт лучшей стоимости владения на больших инфраструктурах. У него предсказуемая производительность (в сравнении с конкурентами), есть широкая поддержка виртуальных инфраструктур (ESXi, Xen, KVM, Hyper-V, а также облачные Azure и AWS), большое количество поддерживаемых гипервизоров, куча разных типов защит. Однако отмечу: при определении бюджета или настройке правил нужны обязательные тесты до внедрения.

30 марта у нас состоится вебинар по теме обеспечения информационной безопасности на базе решений Fortinet. Кому интересно — подключайтесь.

Источник