Rozwiązaniem konsolidującym najpotrzebniejsze funkcje ochrony, które są niezbędne, aby solidnie zabezpieczyć cały obszar IT, jest urządzenie klasy UTM, zamknięte w małej obudowie i wyglądem przypominające zwykły router. Małe firmy zatrudniające do 50 pracowników, a do nich skierowana jest ta recenzja, najprawdopodobniej posiadają w swoim składzie co najmniej jedną osobę, do której obowiązków należy zabezpieczenie interesów na poziomie cyfrowym, opiekowanie się sprzętem i oprogramowaniem, by funkcjonowało prawidłowo i bez awarii. Recenzowany FortiWiFi-30E został zaprojektowany z myślą o ochronie właśnie takich niewielkich przedsiębiorstw, które zaliczają się do sektora MŚP wytwarzającego prawie 70% produktu krajowego brutto.
Dla małych firm ograniczony budżet to jeden z najpoważniejszych problemów. Polska gospodarka od wielu lat krępowana jest przez wysokie koszty pracy, co bezpośrednio przekłada się na (nie)inwestowanie w nowe technologie i bezpieczeństwo. Całkowite wyeliminowanie kapitałowego zaangażowania w ochronę obszaru IT to dla małych firm zadanie bardzo trudne, ale nie niemożliwe. Na rynku dostępne są przecież bezpłatne rozwiązania do użytku komercyjnego, np.: antywirusy, antyspam na poziomie bramy, pakiety CRM, oprogramowanie biurowe, klienty pocztowe, systemy operacyjne, a nawet open-source’owe firewalle. Problem polega na tym, że darmowe odpowiedniki nie zawsze mogą zastąpić te komercyjne, więc jeśli już korzystać z oprogramowania „darmowego”, to w sposób odpowiedzialny i przemyślany. A tu, jedną z głównych wad rozproszonej ochrony, jest brak centralnej konsoli integrującej wszystkie funkcje w jednym miejscu. Stąd dobranie taniego modelu urządzenia klasy UMT, które spełni niewygórowane wymagania małego przedsiębiorstwa, nawet w przypadku rozproszonych działów, jest chyba najrozsądniejszym wyjściem z tej sytuacji.
Poznajcie FortiWiFi-30E
Zintegrowany system zabezpieczeń FortiWiFi-30E firmy Fortinet wyposażony jest w:
- port USB, który daje możliwość podłączenia modemu GSM w awaryjnych sytuacjach i zyskania zapasowego bądź drugiego łącza WAN;
- dodatkowy dedykowany port zarządzania out-of-band na kabel konsolowy RS232 DB9 RJ45
- port WAN RJ45 o przepustowości 1GB/s;
- 4 porty RJ45;dwie dookólne anteny 2,4 GHz i 5 GHz wspierające protokół 802.11 a/b/g/n o maksymalnej mocy do 17 dBm;
W rozproszonych środowiskach IT na niewielkiej odległości, urządzenie FortiWiFi-30E pozwala na segmentowanie sieci bezprzewodowej, zapewniając odrębną politykę i odseparowanie rozgłaszanych sieci Wi-Fi. Segmentacja realizowana jest z zachowaniem zgodności standardu PCI DSS (Payment Card Industry Data Security Standard), gdzie dużą wagę przykłada się do zabezpieczenia przed nieautoryzowanymi bezprzewodowymi punktami dostępowymi (rogue access point). Wymagającym klientom firma Fortinet może zaoferować punkty dostępowe FortiAP, które są przeznaczone do sieci o różnym natężeniu. Dzięki temu możliwe jest dostarczenie źródła sygnału bezprzewodowego w każdym miejscu. Takie rozwiązanie będzie przez długi czas służyło produktywnością wszędzie tam, gdzie wymagana jest duża elastyczność zarządzania komunikacją sieciową i politykami bezpieczeństwa, przy jednoczesnym zintegrowanym zarządzaniu infrastrukturą Wi-Fi.
W tego typu urządzeniach trudność konfigurowania polityki bezpieczeństwa jest uwarunkowana topologią sieci — w nieskomplikowanych strukturach wystarczy podłączyć urządzenie do zasilania, wpiąć kabel RJ45 do portu WAN, połączyć router ze switch’em , a resztą zajmie się urządzenie, które (jeśli nie wymaga zmiany domyślnej adresacji z serwera DHCP) w minutę będzie gotowe do działania.
Cała moc urządzeń firmy Fortinet jest ukryta w oprogramowaniu FortiOS i procesorach FortiASIC, które przyśpieszają przetwarzanie pakietów przepływających przez porty sieciowe: procesory treści realizują inspekcję pakietów oraz ich deszyfrowanie i ponowne szyfrowanie, z kolei procesory sieci działają w korelacji z funkcjami firmware FortiOS i poddają dekapsulacji i ponownej enkapsulacji przychodzące i wychodzące pakiety przez firewall. Za konsolidację procesorów treści i sieci odpowiadają wyspecjalizowane procesory „System-on-a-Chip” zamknięte w jednym układzie krzemowym, który cechuje się większą sprawnością w stosunku do poprzednich wersji procesorów. W efekcie praca urządzenia bez wentylatorów, których po prostu tutaj niema (bo nie są potrzebne) jest cicha, temperatury są niskie, a pobór prądu jest niewielki.
Producent deklaruje, że FortiWiFi-30E dysponuje przepustowością firewallu na poziomie 950Mb/s. Przy włączonych funkcjach ochrony (antywirus na poziomie bramy, kontrola aplikacji, ochrona punktów końcowych za pośrednictwem antywirusa FortiClient dla Windows, MacOS, Android, iOS; także moduł IPS i moduł skanujący protokoły HTTP/S) urządzenie może skanować ruch z przepustowością do 150Mb/s. Biorąc pod uwagę dostępność łącz na rodzimym rynku, granica 150Mb/s dla małych firm prywatnych i instytucji publicznych czy urzędów, powinna być wystarczająca.
FortiOS: firmware o ogromnych możliwościach
Jedną z bardziej istotnych zalet tej klasy urządzeń jest komplet funkcji, które są zintegrowane w jednej konsoli administracyjnej. UTM może całkowicie zastąpić niemal każdy mniej lub bardziej zaawansowany router. W skład „podstawowych” funkcji zaliczamy konfigurację, np.: priorytetyzacji ruchu internetowego, zapory sieciowej, wirtualnych sieci LAN czy konfiguracji protokołów trasowania. Rozszerzeniem funkcji routera są m.in.: system prewencji włamań (IPS), ochrona antywirusowa na poziomie bramy sieciowej i stacjach roboczych, kontrola treści internetowych, moduł anty-spam, podział ruchu pomiędzy kilka łączy WAN, których zadaniem jest ochrona pracowników przed szkodliwym oprogramowaniem. Uzyskanie podobnych efektów przy wykorzystaniu rozwiązań kilku różnych producentów wymagałoby wdrożenia kilku konsol zarządzających, mocniejszego serwera pobierającego dużo więcej prądu, zwiększonego nakładu pracy na konfigurację, osobnego serwera na kopię zapasową oraz zainwestowanie w zasilacze UPS (jeśli mówimy o nieprzerwanym działaniu). Brak kompatybilności czy dublowanie niektórych funkcji to kolejna wada rozproszenia ochrony. Dlatego jednym z ważniejszych czynników, na które warto zwrócić uwagę, jest prostota konfigurowania i kompleksowość funkcji w jednym urządzeniu.
Korzystanie z oprogramowania graficznego FortiOS nie wymaga od administratora specjalistycznych umiejętności (o ile polityka bezpieczeństwa firmy nie spełnia takiego warunku).
Praktyczną funkcją, która znacznie ułatwia konfigurację oraz zabezpieczenie segmentów sieci, jest wspomniany audyt. Graficzna funkcjonalność audytu [BT1] [A-AŚ2] automatycznie wyświetli rekomendowane ustawienia np. dla wdrożenia programów antywirusowych FortiClient na wykrytych urządzeniach z Windows i MacOS, zaimportowania certyfikatu SSL wymaganego do szyfrowania połączenia pomiędzy przeglądarką a urządzeniem, lepszego zabezpieczenia sieci WiFi czy usunięcia nieużywanych od wielu tygodni polityk.
Początkowych rekomendacji, które będą wymagały od administratora uwagi, jest około kilkunastu. Ale to żaden problem, ponieważ za pomocą kilku kliknięć możliwe jest przeglądnięcie zmian, które zostaną wprowadzone po zaakceptowaniu.
FortiWiFi-30E: raportowanie
Rozbudowane i graficzne statystyki generowane w oparciu o dane z urządzeń doskonale oddają przydatność takich funkcji. Dzięki wizualizacji danych, które są przyjazne i intuicyjne, a informacje o stanie sieci i produktywności pracowników z pewnością usprawnią zarządzanie. Na przykład na ich podstawie możliwe jest stworzenie polityki dopasowanej do aktualnych wymagań przedsiębiorstwa, konkretnego departamentu, aplikacji, bądź wymogu zagregowania kilku różnych łączy w sieciach SD-WAN. W skład statystyk wchodzą m.in. zużywające nadmierną przepustowość zainstalowane programy na urządzeniach końcowych (niezależnie od systemu operacyjnego), najczęściej wykorzystywane porty i protokoły, znalezione i zablokowane szkodliwe zasoby internetowe czy najczęściej blokowane kategorie stron, które są nieodpowiednie dla pracowników w skonfigurowanej polityce bezpieczeństwa.
Raportowanie dostępne w urządzeniach firmy Fortinet jest tak naprawdę czymś w rodzaju audytu przeprowadzanego w czasie rzeczywistym, na którego podstawie możliwe jest określenie aktualnego stanu bezpieczeństwa.
Rozszerzeniem lokalnych statystyk jest globalna usługa FortiCloud, która dostępna w rozszerzonej ofercie jest opartą na chmurze platformą do zarządzania urządzeniami FortiGate, FortiWiFi oraz FortiAP. Zarządzanie w panelu FortiCloud obejmuje m.in. konfigurację urządzeniami, instalowanie nowych klientów z użyciem klucza grupowego czy automatyczną aktualizację firmware FortiOS na wszystkich wdrożonych punktach. FortiCloud, jako że oferuje dostęp z chmury do wszystkich urządzeń, jest szczególnie przydatny w środowiskach rozproszonych, np. w dużych sieciach handlowych czy placówkach edukacyjnych. Z kolei FortiCloud w podstawowej ofercie, chociaż nie obejmuje pośredniczenia w zarządzaniu urządzeniami z chmury, to niepodważalną zaletą usługi są skorelowane wizualne raporty w jednej konsoli.
Do czego w praktyce da się wykorzystać FortiCloud? W czasie rzeczywistym FortiCloud daje wgląd na stan urządzeń, które rejestrują ruch internetowy ze wszystkich źródłowych adresów IP, używane przez pracowników aplikacje oraz serwery docelowe, z którymi się komunikują; odwiedzane strony internetowe czy wykryte zagrożenia w sieci lokalnej, a także zablokowany podejrzany ruch na poziomie bramy. Każdy taki widok może być filtrowany według dostępnych atrybutów: wybranego urządzenia lub daty kalendarzowej. Warto podkreślić, że administrator z poziomu FortiCloud ma wgląd w najróżniejsze statystyki dotyczące wszystkich sieci, którymi zarządza. Każda informacja o potencjalnych problemach stanowi wartość dodaną, która pozwala precyzyjnie zidentyfikować zasób stwarzający najwięcej problemów z bezpieczeństwem.
FortiGuard: składniki bezpieczeństwa
Bardzo istotnym składnikiem systemu jest usługa FortiGuard. Jej mianem określane są moduły bezpieczeństwa, które są zintegrowane z oprogramowaniem FortiOS w jednej konsoli. Część z tych składników dostępna jest w standardzie, a część po wykupieniu licencji. Zaliczamy do nich:
- Ochronę przed intruzami (Intrusion Protection). Producent deklaruje, że baza danych IPS zawiera ponad 5000 sygnatur identyfikujących ataki sieciowe. W najnowszych testach NSS Labs system IPS firmy Fortinet osiągnął wynik 100% zablokowanych ataków:
-
Kontrolę Aplikacji (Application Control). Umożliwia wgląd w aktualnie uruchomione aplikacje w czasie rzeczywistym, które mogą ukrywać trojany i przechodzić w ten sposób na inne segmenty sieci. Moduł potrafi identyfikować aplikację niezależnie od portu, protokołu czy zainstalowanego systemu operacyjnego.
-
Kontrola treści internetowych (Web Filtering). Jak twierdzi producent — w oparciu o adresy URL, adresy IP, nagłówki HTTP, system operacyjny czy nawet interakcję użytkownika z przeglądarką, moduł blokuje każdego dnia 160000 złośliwych stron internetowych. Przetestowany Web Filtering przez Virus Bulletin zdołał zablokować ponad 83% wszystkich złośliwych stron WWW, w tym stron tzw. landing page, inicjujących ataki drive-by download.
-
Antywirus (Anti-Virus). Jego baza powiększa się każdego dnia o 300000 sygnatur, dzięki czemu lepiej chroni pracowników w czasie rzeczywistym na poziomie bramy (i na stacjach roboczych).
-
Ochrona przed botnetami (Anti-Botnet). Agreguje złośliwe adresy IP z rozproszonej sieci honeypotów zespołów CERT i organizacji zajmujących się wdrażaniem nowoczesnych technologii w „miastach 2.0”.
-
Antyspam (Anti-Spam). Według dostarczonych przez producenta statystyk, zabezpiecza przed spamem w oparciu o powiększającą się co dzień bazę o ponad 11 milionów sygnatur.
-
Moduł wykrywania podatności (Endpoint Vulnerability). Gwarantuje systematyczną i automatyczną metodę łatania aplikacji na punktach końcowych bez ingerencji administratorów.
Wszystkie te moduły zabezpieczające są już dostępne „out of the box”. Na wstępnym etapie wymagana jest jedynie interakcja osoby zarządzające z suwakiem, aktywującym lub dezaktywującym poszczególne składniki zabezpieczeń.
Nie warto rezygnować z usługi FortiGuard, ponieważ praktyka pokazuje, że dobrze skonfigurowana polityka, która jest wsparta technologiami ochronnymi zdobywającymi systematycznie wysokie oceny w testach NSS Labs, jest czymś, czego potrzebują przede wszystkim małe firmy — firmy, które nie dysponują środkami na dodatkowe audyty lub zakup specjalistycznych rozwiązań do ochrony aplikacji Web lub punktów końcowych.
FortiWiFi-30E: podsumowanie
FortiWiFi-30E to urządzenie światowej klasy. Umożliwia centralne zarządzanie, raportowanie, wdrażanie zabezpieczeń dla aplikacji Web, systemów pocztowych, punktów dostępowych czy ochrony sieci przed atakami DDoS. Dla bardziej wymagających klientów, którzy posiadają rozproszoną infrastrukturę, firma Fortinet przygotowała zarządzanie architekturą SD-WAN wspierającą różne typy połączeń pomiędzy oddziałami i centralą firmy (np. LTE), a punktem agregującym te połączenia.
Jeżeli głównym celem firmy zatrudniającej od kilku do kilkudziesięciu pracowników jest chęć skoncentrowania się na bezpieczeństwie sieci i ochronie przed współczesnymi zagrożeniami, w tym przed szkodliwym oprogramowaniem z rodziny ransomware, a także zagrożeniami wykorzystującymi socjotechnikę i atakami drive-by download, to rozwiązanie FortiWiFi-30E z powodzeniem zastąpi tradycyjny router z jednym lub dwoma interfejsami WAN. O jednym trzeba pamiętać — UTM nie zastąpi kopii zapasowej.
Czy ten artykuł był pomocny?
Oceniono: 0 razy