Fortinet to znana i ceniona przez administratorów sieci firma, dostarczająca różnego rodzaju systemy bezpieczeństwa IT (między innymi zintegrowane bramy bezpieczeństwa [UTM]), mogące również działać jako urządzenia typu NGFW (ang. Next Generation Firewal). Fortinet jest twórcą wielu autorskich technologii ochrony, które zaimplementowane są w ramach takich funkcjonalności jak: zapory ogniowe, systemy antywirusowe, wykrywania włamań (IPS), kontroli aplikacji, blokowania spamu i filtracji serwisów www.
Polski oddział Fortinet powstał w 2007 roku i mieści się w Warszawie choć same rozwiązania sprzedawane są kilka lat dłużej. Na rynku polskim, z produktów Fortinet skorzystały już instytucje państwowe m.in.: Ministerstwo Finansów RP, Generalna Inspekcja Transportu Drogowego oraz Generalna Dyrekcja Ochrony Środowiska, organizacje finansowe np. Krakowski Bank Spółdzielczy, NASK (Naukowa i Akademicka Sieć Komputerowa) a także operatorzy komórkowi jak PLAY czy Orange. Powyższe przykłady pokazują, że Fortinet nie jest podrzędną firmą, co więcej – zatrudniają własnych developerów, dzięki czemu może tworzyć dla swoich urządzeń autorskie rozwiązania.
Prolog
Korzystając z owocnej współpracy AVLab.pl oraz Fortinet Polska (reprezentowanej przez Veracomp – dystrybutora rozwiązań teleinformatycznych, w tym m.in właśnie m.in Fortinet) dostarczono nam urządzenie FortiWiFi 20C – ADSL., które jest skierowane na rynek SOHO (Small Office / Home Office), ale z powodzeniem może też być wykorzystywane w rozległych sieciach jako np. IPS, VPN, Web Filter, firewall, ochronę przed atakami ATP lub jako UTM zwiększający bezpieczeństwo sieci / podsieci.
Pierwsze wrażenie
Kurier dostarczył sporych rozmiarów pudło, które było solidnie zapieczętowane. We wnętrzu znajdowało się mniejsze pudełko, a w nim docelowo już FortiWiFi 20C.
Urządzenie od samego początku robi pozytywne wrażenie. Jest ładnie zaprojektowane a od spodu posiada mocowania do montażu na ścianie. Wszystkie potrzebne elementy znaleźć można w zestawie.
Po bliższym oglądzie zauważyć można, że górna część urządzenia jest lekko wypukła i po naciśnięciu ugina się co nie sprawia wrażenia solidnego i może być traktowane jako mankament produktu, lecz nie wpływa na jego użytkowanie. Po podłączeniu do sieci nie ma potrzeby dotykania go nawet przez wiele miesięcy.
Dodatkowo w zestawie znajdziemy, krótką instrukcję instalacji FortiWiFi 20C (w języku angielskim), oraz w języku polskim obszerną dokumentację a w niej m.in jak zarejestrować urządzenie, analizy problemów, tryby działania, routing i chyba wszystko co związane z konfiguracją FortiGate’a. Ponadto do zestawu dołączona jest 200-stronnicowa książka wydana w kolorze pt. „Essential recipies for success with your Fortigate” (jęz. ang) opisująca szerokie możliwości urządzenia z przejrzystymi rysunkami, przykładowymi problemami i konfiguracjami (książka idealna dla pierwsze kroki z FortiGate’m administratorów).
Specyfikacja
Aby zapoznać się ze szczegółami specyfikacji najlepiej przejść na stronę producenta. W tym miejscu wymienimy jedynie najważniejsze elementy: urządzenie posiada 1 port WAN, 4x LAN przy czym LAN4 może zostać skonfigurowany do działania jako WAN, port USB 2.0 oraz port USB MGMT do podłączenia FortiWiFi z komputerem w celu np. konfiguracji czy aktualizacji firmware.
Instalacja
Jeśli ktoś miał do czynienia z domowymi routerami lub urządzeniami przeznaczonymi na rynek SOHO nie napotka na żadne większe problemy przy podłączeniu tego „maleństwa” do sieci oraz konfiguracji (która de facto jest bardzo rozbudowana).
Aby sprzęt działał poprawnie wystarczy szerokopasmowy router ADLS RJ-11 lub zwykły RJ-45. FortiWiFi może również zastąpić router. Jeśli ktoś nie posiada ADSL’a, instrukcja użytkownika mówi, że port LAN4 może działać jako WAN RJ-45 po odpowiedniej konfiguracji FortiGate z konsoli CLI (wystarczą do tego 3 polecenia).
W zestawie znajduje się również oprogramowanie pod nazwą FortiExplorer – jest szybki kreator, który służy to konfiguracji sieci WAN, LAN, WiFi, ustawienia haseł dostępu, czasu dostępu do Internetu, aktualizacji firmware, konsoli CLI oraz samej konsoli do zarządzania z graficzną nakładką Fortineta.
Aby skorzystać z FortiExplorera należy podłączyć FortiWiFi do komputera za pomocą kabla „konsolowego” USB MGMT.
Możliwość konfiguracji przez kabel konsolowy to niewątpliwa zaleta. Dzięki temu po wyłączeniu dostępu do ustawień FortiGate przez HTTP/HTTPS osoby niepożądane mają utrudnione zadanie.
FortiWiFi 20C – ADSL – FortiGate
Po podłączeniu FortiGate’a do sieci należy przystąpić do czynności najważniejszej – konfiguracji ustawień oraz polityk bezpieczeństwa – jeśli takowe jest potrzebna – jeśli nie, warto przyjrzeć się wszystkim opcjom, aby nie marnować potencjału urządzenia. Jednak zanim to zrobimy przeanalizujmy kilka przykładów.
1. Czym jest FortiGate 20C / FortiWiFi 20C – ADSL
FortiGate to skonsolidowane urządzenie do ochrony sieci, zapewniające bezpieczeństwo na poziomie sieciowym oraz aplikacyjnym we wszystkich warstwach modelu OSI/ISO.
FortiGate może działać na stacji roboczej na zainstalowanej maszynie wirtualnej lub jako rozwiązanie sprzętowe. Posiada on własny system operacyjny (FortiOS o wadze około 25-30MB), własne procesory typu ASIC (Application Specific Integrated Circuit), czyli takie układy krzemowe, które zostały stworzone z myślą o akceleracji m.in (choć nie tylko). firewalla, IPSec-a, analizy antywirusowej czy IPS-owej (IPS – Intrusion Prevention System) a i ich wydajność w przypadku tych obliczeń znacznie przekracza możliwości popularnych CPU ogólnego przeznaczenia Intel / AMD. FortiGate zawiera w sobie wiele modułów wspierających ochronę, co najlepiej przedstawi poniższy obrazek.
2. FortiGate sprzętowy a wirtualny
Sam FortiGate jest dostępny w ramach licencji na maszynę wirtualną lub jako platforma sprzętowa. Odpowiedni rodzaj rozwiązania jest uwarunkowany zapotrzebowaniem konkretnej firmy, zaś podstawowa różnica pomiędzy nimi polega na tym, że rozwiązania wirtualne nie posiadają akceleracji właściwej rozwiązaniom sprzętowym. W efekcie FortiGate wirtualny będzie wprost proporcjonalnie wydajny do zasobów przydzielonych maszynie, na której jest zainstalowany.
Co ważne, kupując licencje na poszczególne funkcjonalności dostępne na urządzenia FortiGate (Antivirus, IPS wraz z Application Control, Web Filtering, AntySpam) nie jesteśmy ograniczeni liczbą użytkowników lub chronionych adresów IP. W przypadku zakupu licencji na zarządzanie FortiClient’em (to też jest licencja, którą umiejscawiamy na rozwiązaniu FortiGate) de facto otrzymujemy ją dożywotnio bez potrzeby corocznego odnowienia jak w przypadku konkurencyjnych rozwiązań.
FortiWiFi 20C – ADSL – FortiGate – konfiguracja
FortiGate’a możemy konfigurować albo z poziomu konsoli CLI, albo z poziomu interfejsu graficznego. Konfiguracja może przebiegać po podłączeniu się poprzez kabel konsolowy lub z poziomu przeglądarki.
DASHBOARD – to zbiór ważniejszych informacji na temat zużycia zasobów, gdzie możemy ustalić również konfigurację i tryb działania FortiGate’a na NGFW, UMT, ATP, FW, NFGT+ATP. Zakładka ta to także zbiór informacji o licencjach poszczególnych modułów np. Antivirus, IPS wraz z Application Control, Web Filtering, AntySpam.
POLICY – jedna z ważniejszych usług FortiGate’a. W zakładce tej konfigurujemy polityki ochrony urządzeń końcowych (polityki bezpieczeństwa) oraz definiujemy ich wdrożenie i podłączenie do sieci za pomocą np.
- identyfikacji urządzeń (z zastosowaniem agenta np. FortiClienta lub bez niego),
- kontroli dostępu po rozpoznaniu systemu operacyjnego,
- profili aplikacji np. host z zainstalowanym klientem P2P może być potraktowany bardziej restrykcyjnie
Jeśli chcemy mieć kontrolę nad grupą urządzeń korzystających z konkretnych protokołów – nic prostszego. Wystarczy odpowiednio skonfigurować politykę dostępu. Dla każdego protokołu może być ona inna. Na przykład dla ochrony SMTP oraz IMAP konfigurujemy z jakich portów i adresów IP korzysta protokół. Konfiguracja dla poszczególnych protokołów HTTP, HTTPS, FTP itd. może być zgoła inna lub taka sama. Wszystko zależy od polityki bezpieczeństwa firmy
FIREWALL OBJECTS – w tym miejscu konfigurujemy obiekty, których potem możemy używać w regułach firewalla. Mogą to być m. in. pojedyncze adresy IP, FQDN lub ich grupy czy też poszczególne usługi zdefiniowanie poprzez prymat protokołów i portów TCP/UDP.
SECURITY PROFILES – z poziomu tej zakładki zarządzamy wszystkimi funkcjonalnościami bezpieczeństwa dostępnymi bezpośrednio na rozwiązaniu FortiGate (AntiVirus, Web Filter, Application Control, IPS, Email-Filter, Data Leak Prevention, Client Reputation)
Opcje konfiguracji są bardzo rozbudowane. Aby się o tym przekonać trzeba to zobaczyć na własne oczy. Powyższy screen tego nie oddaje, gdyż poza widocznymi elementami jest wiele takich, które konfigurujemy w nowym oknie. Z poziomu tej zakładki możemy wyłączać/włączać konkretne moduły ochrony (AV, IPS, kontrola aplikacji, antyspam, DLP) czy zarządzać kategoriami/profilami WebFilteringu.
VPN – dzięki tej opcji mamy możliwość konfiguracji komunikacji szyfrowanej zarówno przy użyciu IPSec jak i SSL VPN.
USER & DEVICE – Użytkownicy i urządzenia. Administrator może monitorować wszystkie rodzaje urządzeń i kontrolować ich dostęp do zasobów sieciowych. Zakładka Endpoint Profile opisuje w jaki sposób można wymusić użycie FortiClient Endpoint, aby zastosować profil ochrony do urządzeń użytkowników. Funkcja ta pozwala m.in na:
- uwierzytelnianie użytkowników w oparciu o ich lokalną bazę, LDAP, RADIUS, TACACS, Active Directory
- tworzenie polityki bezpieczeństwa dla urządzeń
- identyfikowanie i monitorowanie urządzeń łączących się z siecią przewodową lub bezprzewodową
- umożliwienie kontroli dostępu do zasobów firmowych poprzez filtrację adresów MAC
- i wiele innych
Końcowe wnioski
FortiWiFi 20C – ADSL to świetne rozwiązanie dla małych i średnich firm. Jeśli nie chcesz wydawać majątku na bardzo drogie i urządzenia dla rozproszonych sieci, ten produkt jest prawdopodobnie dla Ciebie. Niewielkie rozmiary oraz bardzo szeroki wachlarz możliwości powoduje, że FortiWiFi 20C na pewno sprawdzi się jako agent ochrony ważnych danych w Twojej firmie oraz pozwoli wdrożyć politykę BYOD.
Nabywając to urządzenie kupujemy licencję na konkretną funkcjonalność i bez znaczenia jest liczba chronionych użytkowników oraz adresów IP. W przypadku FortiClienta (m.in antywirus na stacje robocze) licencję otrzymujemy dożywotnią.
Podsumowanie
FortiGate wirtualny jest tak wydajny jak maszyna, na której został zainstalowany. Niemniej różnice występują w budowie i architekturze poprzez wykorzystanie procesorów typu ASIC będzie zawsze wydajniejszy niż wirtualny.
FortiGate to bardzo rozbudowane narzędzie. O jego kompleksowości niech świadczy fakt, że samo podstawowe szkolenie z obsługi FortiGate trwa kilka dni i może być zakończone uzyskaniem certyfikatów FCNSA oraz FCNSP (Fortinet Certified Network Security Administrator oraz Fortinet Certified Network Security Professional). Jednak firma Fortinet słynie nie tylko z rozwiązania FortiGate:
Wady
-
cena licencji może wydawać się na pierwszy rzut oka wysoka, jednak zainwestowane pieniądze szybko się zwracają
Zalety
- dożywotnia licencja
- bardzo skuteczna, darmowa końcowa aplikacja zabezpieczająca
- rozbudowane możliwości konfiguracyjne
- niskie zapotrzebowanie na zasoby, zarówno przez FortiGate jak FortiClienta
- multiplatformowość
- optymalizacja WAN
- kontroler sieci bezprzewodowej zaimplementowany w FortiGate
- system operacyjny napędzany własnymi procesorami typu ASIC
- możliwość wdrożenia rozbudowanej polityki BYOD
Dla zainteresowanych zestawienie poszczególnych linków:
Strona głowna: http://www.fortinet.com
Również PL: http://www.fortinet.pl
Produkty i portfolio: http://www.fortinet.com/products/
Dokumentacja: http://kc.fortinet.com/ i http://docs.fortinet.com/
Fortiguard center: http://www.fortiguard.com/
Czy ten artykuł był pomocny?
Oceniono: 0 razy