Pozn.: Popis v článku vychází z virtuálního FortiGate FG-VM00 s FortiOS verzí 5.6.3.

Pozn.: FortiGate jsem zprovozňoval v rámci virtuálního datového centra, kde se využilo, že je nabízen i jako virtuální appliance. Na studování nebylo moc času, takže různé věci jsem řešil pokusy. Článek uvádí moje stručné poznámky, které jsem si v průběhu vytvořil.

Fortinet uvádí, že FortiGate má vždy všechny vlastnosti, takže model volíme pouze podle požadované propustnosti (výkonu). Dále dokupujeme HW/SW support. A k vlastnímu FW můžeme dokupovat předplatné (subskripce) pro aktualizaci různých definic FortiGuard Security Subscriptions.

Porovnání různých modelů FortiGate:

• FortiGate Virtual Appliances – specifikace virtuálních modelů
• Fortinet Product Matrix – parametry HW modelů FortiGate Network Security Platform i dalších appliance
• Maximum Values Table – maximální hodnoty, které podporují různé modely
• FortiOS 5.6 – vlastnosti operačního systému

Co znamenají některé Forti-něco termíny (zařízení a služby):

• Fortinet - název společnosti výrobce, https://www.fortinet.com/
• FortiGate - Next-Generation Firewall (HW appliance), Virtualized Next-Generation Firewall (VM)
• FortiWeb - publikace a ochrana webových serverů, Web Application Firewall (WAF)
• FortiOS - operační systém, The Operating System to Enable the Security Fabric
• FortiCare - podpora HW a SW, FortiCare Support Services
• FortiGuard - bezpečnostní služby (předplatné), FortiGuard Labs
• FortiManager - centralizovaná správa, Centralized Security Management
• FortiAnalyzer - centralizované logování a reporty, Centralized Network Security Logging and Reporting
• FortiSandbox - proaktivní ochrana proti hrozbám, Top-rated Proactive Advanced Threat Detection
• FortiCloud - centralizovaná cloudová správa, logování a Sandbox, Cloud-Based Management for Security and Wireless, určité funkce jsou zdarma
• FortiClient - zabezpečení stanice, může poskytovat info pro FortiGate, Endpoint Security, částečně zdarma

Základní dokumentace:

• FortiOS 5.6 Online Help
• FortiOS Help
• The Fortinet Cookbook
• FortiOS Handbook
• Fortinet Technical Discussion Forums

Instalace FortiGate VM

Dokumentace FortiGate-VM Install Guide For FortiOS 5.6.

V průběhu popisu jsou uváděny příklady, které vychází z následujícího testovacího zapojení. Virtuální stroj FortiGate má 10 síťových karet (NIC0 až NIC9), které jsou uvnitř FortiGate mapovány jako port 1 až 10. Z toho použijeme 4 pro různé sítě - internet (port 10), správa (port 1), DMZ (port 2) a DB (port 3).

Stručný postup úvodního zprovoznění VM:

• vytvoříme virtuál ze šablony / OVF
• nastavíme HW parametry VM, FG-VM00 verze 5.6 podporuje 1 vCPU, 1 (nebo 2 GB vRAM - musí být již licencovaný), vDisk 2GB systém a 30 GB pro logy (až 2TB), 1 virtual domain (max 2)
• na začátku zapojíme síť port1 - NIC0, který nastavíme do management sítě (přes toto rozhraní se bude spravovat)
• připojíme se na konzoli, uživatel admin prázdné heslo
• nastavíme IP adresu a přístup k administraci (na začátku se musí povolit http, protože do zadání licence podporuje pouze low-strength encryption)

config system interface
 edit port1
  set ip 192.168.0.1 255.255.255.0
  append allowaccess http
  append allowaccess ping
 end

• pokud potřebujeme, tak nastavíme GW pro tuto síť

config router static
 edit 1
  set device port1
  set gateway 192.168.0.254
 end

• pro otestování komunikace můžeme použít ping na nějakou adresu v síti

execute ping 192.168.0.10

• připojíme se na webové rozhraní http://192.168.0.1

VDOM - virtuální domény

Dokumentace VDOM configuration.

FortiGate podporuje na jednom zařízení vytvořit několik Virtual Domains (VDOMs) a tak hostovat více oddělených instancí FortiOS, které mají samostatnou správu a rozdělené prostředky.

Základní konfigurace a ovládání

Pouze bodově, kde nalezneme běžné věci.

• hostname, datum - System > Settings
• nahrání licence a zobrazení HW info - System > FortiGuard (po nahrání licence se provede restart, pak mi dlouhou dobu psalo přihlášení, že zadávám chybné heslo, když přihlášení prošlo, tak již další restarty byly OK)
• nastavení vlastností, které nabízí rozhraní (řada věcí je standardně skryta) - System > Feature Visibility - třeba DNS Database, Local In Policy, Multiple Interface Policies, Load Balance
• změna hesla a účty - pravý horní roh admin - Change Password, System > Administrators
• záloha - pravý horní roh admin - Configuration - Backup
• vypnutí - pravý horní roh admin - System - Shutdown

Základní režim funkce

Dokumentace NAT/Route Mode vs. Transparent Mode, Inspection Mode, NGFW Policy Mode, Inspection Modes.

Konfigurace je v System > Settings.

FortiGate může pracovat ve dvou hlavních operačních módech (Operation Mode):

• NAT/Route - standardní režim pro většinu situací, FortiGate funguje jako brána nebo směrovač mezi sítěmi, umožňuje využít NAT a skrýt interní adresy
• Transparent - v transparentním módu FortiGate nedělá žádné změny IP adres, pouze provádí bezpečnostní skenování provozu, umisťuje se mezi interní síť a router. Přepnutí do tohoto módu se provádí pomocí CLI.

A ve dvou inspekčních módech (Security Profile Inspection Mode):

• Proxy - dle Fortinetu preferovaný režim, který nabízí více vlastností a konfiguračních možností (třeba Web Application Profile, Explicit Web Proxy, WAN Optimization, Web Caching), dochází k uložení provozu do vyrovnávací paměti (rekonstrukci) a jeho kompletnímu prozkoumání, než se určí akce, takže je inspekce přesnější a analýza bezpečnější, v tomto módu se používá kombinace flow-based a proxy-based inspekce, pro Virtual Server můžeme využít všechny typy HTTP, TCP, UDP, IP, HTTPS, IMAPS,POP3S, SMTPS, SSL.
• Flow-based - provoz je analyzován tak, jak prochází skrze FortiGate, proto nejsou k dispozici všechny funkce, ale nezdržuje provoz a nabízí vyšší výkon, používá se jednoprůchodové porovnání Direct Filter Approach (DFA) paternu pro identifikaci útoků, v tomto módu můžeme použít Virtual Server pouze typu HTTP, TCP, UDP, IP.

Od FortiOS 5.6 jsou k dispozici další možnosti:

• Transparent Web Proxy - můžeme využít pro Proxy inspekční mód, nemá tolik možností jako Explicit Web Proxy, ale na klientovi není třeba nic konfigurovat
• NGFW mód - pokud nastavíme Flow-based inspekční mód, tak volíme ještě mód NGFW Profile-based, funguje jako dříve vytvářením Application Control nebo Web Filtering profilů, nebo Policy-based, kdy zadáváme aplikace a URL kategorie přímo do pravidla (politiky), SSL/SSH inspekce se aplikuje na všechna pravidla a také se SNAT definuje centrálně a ne na jednotlivých pravidlech

Nastavení sítí a adres

Dokumentace Installing a FortiGate in NAT/Route mode, Example network topologies, Behaviour on the GUI of the Interface Role .

Interfaces - rozhraní

Rozhraní jsou

• Interface - Physical nebo Virtual (VLAN, VPN tunel, atd)
• Zones - skupina více Interface (pak se nemohou používat samostatně)
• Virtual Wire Pair - zrcadlení portu

Můžeme jim nastavit určitou roli, což pouze skrývá některé položky v GUI u editace rozhraní, a využije se u logů.

• Undefined - zobrazuje vše
• WAN - připojení do internetu
• LAN - koncová zařízení
• DMZ - servery

Konfigurace Network > Interfaces. VM má k dispozici 10 portů, v rámci virtualizace je zařadíme do určité sítě. Přiřadíme alias a adresu.

• port 1 - MGMT_VLAN, MGMT, 192.168.0.1/255.255.255.0
• port 2 - DMZ_VLAN, DMZ, 10.0.0.1/255.255.255.0
• port 3 - DB_VLAN, DB, 10.0.1.1/255.255.255.0
• port 10 - Internet_VLAN, Internet, 80.0.0.10/255.255.255.0

U každého portu vyplníme

• Alias - popisný název portu (rozhraní)
• Role - WAN, LAN, DMZ, Undefined
• u internetu Estimated Bandwidth dle rychlosti připojení, třeba 100000 kbps
• Addressing mode - Manual, IP adresa rozhraní (většinou pak slouží jako GW pro danou síť, u internetu jde o adresu NATu) spolu s maskou
• Administrative Access - povolíme komunikace na rozhraní, hlavně u MGMT (povoluje přístup na GUI, SSH), jinde třeba ping
• na interních sítích povolíme Device Detection
• u internetu zvolíme Secondary IP Address a zadáme další veřejné IP adresy (je zde limit 32 adres, asi není třeba zadávat adresy sem, ale stačí vytvořit FW pravidlo a adresa se použije)
• pokud chceme interface vypnout, tak je poslední řádek Interface State

Default Gateway

Konfigurace Network > Static Routes

Vytvoříme novou routu s cílem 0.0.0.0/0.0.0.0, GW 80.0.0.1, interface port10

Další routy, pro přímo připojené interfacy, nemusíme definovat. Chování, jako routování nebo NAT, se řeší na jednotlivých pravidlech a může být jedno pravidlo s NATem a jiné s routingem.

DNS a DNS Server

Dokumentace Networking > DNS.

FortiGate potřebuje využívat DNS služeb k překladům různých adres. Defaultně využívá svoje servery, ale můžeme nastavit libovolné v Network > DNS.

Jako další vlastnost je, že FortiGuard může sloužit jako DNS Server pro interní klienty. Pak přeposílá dotazy na nastavené DNS servery. Ale můžeme vytvořit i lokální DNS databázi, tedy určitou DNS Zone pro nějaké doménové jméno, kde vytváříme záznamy. V konfiguraci DNS Serveru volíme interface, kde služba poslouchá (na IP adrese FW).

Konfigurace se provádí v Network > DNS Servers (musíme mít zapnuté zobrazení dané vlastnosti). U nastavení Interface volíme mód fungování:

• Forward to System DNS - pouze přeposílá na veřejné DNS servery
• Recursive - nejprve prohledá interní DNS záznamy, pokud nenalezne, tak přeposílá

Lokální DNS záznamy se doporučuje provozovat pouze pro interní klienty (nastavení zóny Shadow a ne Public).

NTP - synchronizace času

Dokumentace System Settings - System Time, Technical Note: Custom NTP server configuration.

Další doporučené nastavení je synchronizace času s nějakým časovým serverem. FortiGuard opět umí fungovat jako NTP Server pro lokální klienty na vybraných interfacech. Synchronizace probíhá buď vůči Fortinet serverům nebo nějakým nastaveným, ale tuto konfiguraci musíme provést pomocí CLI.

Nastavení se provádí v System > Settings sekce System Time. Nastavení vlastních serverů v CLI:

config system ntp
 set type custom
 config ntpserver 
 edit 1 
 set server tik.cesnet.cz
 next
 edit 2
 set server tak.cesnet.cz
 next
 end

Pro kontrolu, že synchronizace probíhá, můžeme použít příkaz.

diagnose sys ntp status

Vytváření pravidel (politik)

Dokumentace FortiGate Firewall.

Konfigurace Policy & Objects > IPv4 Policy

Vidíme seznam pravidel, který je standardně řazený podle interface (vpravo nahoře Interface Pair View). Na konci je implicitní Deny.

• Všechna pravidla (politiky) jsou jednoho typu a speciální situace se řeší pomocí speciálního objektu.
• K identifikaci zadáme název pravidla.
• Základem každého pravidla je definice jednoho nebo více rozhraní, přes které může komunikace přijít (Incoming Interface) a odejít (Outgoing Interface). To nijak neurčuje adresy, ty musíme omezit dále.
• Dále určujeme zdroj (Source) a cíl (Destination) komunikace. Můžeme zadat adresu, uživatele nebo zařízení (třeba Android Phone). Adresa může být FQDN a Wildcard FQDN, Geography (země), IP Range, Subnet, Dynamic SDN Address. Můžeme také zvolit all nebo none.
• Můžeme určit, kdy pravidlo platí (Schedule).
• Pod Service zadáme povolené protokoly/služby (ve skutečnosti porty).
• Jako Action většinou volíme Accept.
• Pod Firewall/Network Options se nastavuje NAT - je tím myšlen Source NAT, kdy se překládá zdrojová adresa (primárně při komunikaci z privátních IP adres do internetu).
• Pod Security Profiles nastavujeme kontroly na vyšších vrstvách (IPS, Web Filtert, atd).
• Dále nastavujeme parametry logování v Logging Options.
• A na konci můžeme pravidlo vypnout Enable this policy.

Fortinet používá termín politika (Policy), já jsem zvyklý používat pravidlo (Rule), takže to bude v článku častěji. Jak je uvedeno, všechna pravidla jsou jednoho typu. Já si osobně rozděluji pravidla na dvě kategorie (i když záleží na úhlu pohledu, použiji to i dále):

• přístupové pravidlo (Access Rule) - povoluji komunikaci z jedné sítě do druhé pro určitý protokol (cílový port), často přístupy interních klientů do internetu
• publikační pravidlo (Publish Rule) - zveřejňuji nějakou službu do jiné sítě, často za pomoci DNAT, třeba publikace webového serveru

NAT - Network Address Translation

Pěkný obecný popis Source NAT and Destination NAT, NAT Configuration Examples.

Pro komunikaci mezi dvěma sítěmi můžeme použít buď směrování routing nebo překlad adres NAT. Při komunikaci do/z internetu je většinou NAT potřeba, protože uvnitř (LAN, DMZ) běžně používáme privátní adresy, které se v rámci internetu nedají směrovat.

Proto z interní sítě do internetu většinou využijeme Source NAT, kde se na FW mění odchozí adresa (třeba 10.0.0.10 na 80.0.0.10). FW si ukládá spojení do tabulky, takže odpovědi na tuto komunikaci směruji na správného interního klienta. Pokud chceme z internetu komunikovat na server v DMZ, který nemá veřejnou adresu, tak použijeme Destination NAT, kde se mění cílová adresa (třeba 80.0.0.11 na 10.0.0.10). NAT se rozděluje ještě na mnoho variant, například jestli se překládá vždy jedna adresa na jednu nebo více interních adres na jednu veřejnou, apod.

U NATu je ještě důležitá práce s porty, buď se všechny porty ze zdroje přenáší na cíl, což označujeme jako Port Forwarding. Nebo u NATu nastavíme pouze jeden port a ten můžeme posílat na jiný port v cíli Port Translation.

U FortiGate se způsob komunikace mezi sítěmi (routing, NAT) nastavuje na každém pravidle. V pravidle je sekce Firewall/Network Options a zde zatržítko NAT. Pokud je vypnuté, tak se pro komunikaci z daného zdroje na cíl používá routing a adresy se nemění. Pokud jej zapneme, tak se použije Source NAT a mění se zdrojová adresa dle další konfigurace. To tedy primárně použijeme pro odchozí komunikaci do internetu.

V IP Pool Configuration můžeme zvolit Use Outgoing Interface Address. Pak se použije odchozí IP adresa interface, tedy všechny zdroje se přeloží na stejnou adresu. Nebo můžeme zvolit Use Dynamic IP Pool a definovat, jak se má překládat.

Když chceme publikovat server s neveřejnou adresou na nějakou veřejnou, tedy Destination NAT, tak musíme využít Virtual IPs. A tuto Virtual IP pak zadáme v pravidle jako Destination. U VIP můžeme určit interface, na kterém adresa poslouchá, potom External IP Address/Range (většinou veřejná IP) a Mapped IP Address/Range (většinou interní IP serveru). Volitelně můžeme určit další omezující kritéria Optional Filters. V části Port Forwarding můžeme nastavit jaké porty (nebo rozsahy) se přeposílají a případně je posílat na jiné cílové porty.

Přístupové pravidlo (Policy)

Dokumentace Creating security policies.

Obecné informace o vytváření pravidel (politik) jsou popsány výše. Zde je uvedený příklad povolení určité komunikace (DNS, HTTP, HTTPS, PING) do internetu z vnitřního subnetu (DMZ_VLAN).

• Policy & Objects > IPv4 Policy
• vytvoříme nové pravidlo a pojmenujeme
• vybereme Incoming Interface DMZ a Outgoing Interface Internet
• pro Source vytvoříme novou adresu DMZ_VLAN jako Subnet 10.0.0.0/255.255.255.0 a port DMZ
• Destination zvolíme all
• Schedule zvolíme always
• Service vybereme ping a DNS, HTTP, HTTPS (nebo můžeme vybrat Service Group Web Access, která obsahuje tyto tři služby)
• Action zvolíme ACCEPT
• komunikace je do internetu pomocí veřejné IP adresy, takže zatrhneme NAT
• můžeme zapnout určité Security Profiles, zajímavé je třeba Application Control pro identifikaci komunikujících aplikací
• Log Allowed Traffic povolíme All Sessions
• pravidlo necháme povolené Enable this policy
• hned po uložení OK začne pravidlo platit

Seřazení pravidel

Dokumentace Policy order.

FortiGate využívá princip, kdy vyhodnocuje pravidla od začátku seznamu a pokud celé pravidlo vyhovuje, tak jej uplatní a dále v seznamu nepokračuje. Na každý packet se tedy může aplikovat pouze jedno pravidlo. Proto musíme mít více specifická pravidla na začátku seznamu. Například, když máme pro subnet nějak omezený provoz, ale pro jednu adresu chceme udělat výjimku, tak toto pravidlo musí být první.

Po vytvoření nového pravidla je dobré se podívat na seznam a případně jej přesunout.

• Policy & Objects > IPv4 Policy
• zvolíme zobrazení By Sequence
• za číslo sekvence můžeme politiku přetáhnout na jinou pozici

Publikační pravidlo (Policy)

Dokumentace Using virtual IPs to configure port forwarding, Port forwarding, Why you should use SSL inspection, Protecting a web server with DMZ, One IP address serving multiple servers, Protecting a server running web applications.

V příkladu chceme publikovat web server (http a https) s interní adresou 10.0.0.10 na veřejnou adresu 80.0.0.11.

Publikační pravidlo je stejné jako přístupové pravidlo a většinu hodnot nastavíme obdobně. Základem je vytvoření Virtual IP (podrobněji popsáno v kapitole NAT). Buď ji můžeme vytvořit uvnitř pravidla, nebo připravit dopředu. Zde si dopředu vytvoříme dvě VIP (pro port 443 a 80):

• Policy & Objects > Virtual IPs
• vytvoříme novou adresu a pojmenujeme
• Interface vybereme Internet
• External IP Address zadáme do obou polí 80.0.0.11
• Mapped IP Address zadáme 10.0.0.10
• zapneme Port Forwarding a protokol TCP, External Service Port 443 směrujeme na Map to Port 443
• to samé uděláme znovu pro port 80

Tyto dvě VIP můžeme volitelně spojit do jednoho objektu pomocí Virtual IP Group. Vytvoříme publikační pravidlo (politiku).

• Policy & Objects > IPv4 Policy
• vytvoříme nové pravidlo a pojmenujeme
• vybereme Incoming Interface Internet a Outgoing Interface DMZ
• Source zvolíme all
• do Destination vybereme vytvořené VIP nebo jejich skupinu
• Schedule zvolíme always
• Service vybereme HTTP, HTTPS (pokud bychom ve VIP směrovali na jiné porty, tak zde musíme zadat ty cílové porty)
• Action zvolíme ACCEPT
• zdrojovou adresu nechceme měnit, takže nezatrhneme NAT
• můžeme zapnout určité Security Profiles, zajímavé je třeba IPS a Web Application Firewall, ale u šifrované komunikace záleží na dalších nastaveních
• Log Allowed Traffic povolíme All Sessions
• pravidlo necháme povolené Enable this policy

Load Balancing, Reverse Proxy a SSL Offloading

Dokumentace Configuring load balancing, SSL/TLS offloading.

FortiGate podporuje vlastnost rozvažování serverové zátěže (server load balancing), kdy je příchozí provoz distribuován na jeden nebo více serverů. Využívá k tomu Virtual Server, který zachytí příchozí komunikaci a pošle na backend server.

Pozn.: Trochu mi zde přijde matoucí využívání Virtual IPs pro DNAT a Virtual Servers (kde také definujeme Virtual IP). Nejzajímavější je, že v příkazové řádce se oboje konfiguruje stejně pomocí příkazu config firewall vip.

• Definujeme Virtual Server IP, cože je IP adresa externího rozhraní (veřejná IP adresa) na kterou přichází komunikace.
• Určíme typ (Type), což je buď obecný protokol IP, TCP nebo UDP, nebo protokol vyšší vrstvy (L7) HTTP, HTTPS nebo SSL/TLS, u kterých můžeme používat rozšířené funkce (Persistence, HTTP Multiplexing). Typy, které využívají SSL, jsou k dispozici pouze, když FortiGate pracuje v inspekčním módu Proxy (ne Flow-based).
• Dále specifikujeme port (Virtual Server Port), na kterém služba poslouchá.
• A jednu z rozvažovacích metod, podporováno je static (failover), round robin, weighted, least session, least RTT, first alive, http host.
• Přiřadit k rozvažování můžeme až 8 cílových serverů (Real Servers).

Také můžeme definovat metodu pro zjištění stavu serveru Health Check, podporováno je ping, tcp, http, passive-sip.

Pro šifrované spojení se využívá SSL Offloading, kdy na FortiGate nahrajeme certifikát serveru, příchozí komunikace je rozšifrována a mohou na ní proběhnout kontroly. Může to také sloužit k akceleraci spojení (šifrovací operace nemusí provádět cílový server). Podporovány jsou dvě metody:

• Client <-> FortiGate (Half Mode), kdy je šifrovaná komunikace od klienta na FW a na server se posílá nešifrovaná
• Client <-> FortiGate <-> Server (Full Mode), kdy je šifrovaná na obě strany

Virtual Server můžeme využít jako jednodušší Reverse Proxy pro zabezpečení webového serveru. Provoz je ukončen na FortiGate a zkontrolován, než se posílá na server. Bohužel není podporováno třeba Server Name Indication (SNI) a tedy směrování provozu z jedné IP adresy na různé cílové servery podle hostname. Ani další speciální možnosti, kterými disponuje vyspělá Reverse Proxy.

Abychom mohli SSL funkce použít, tak náš FortiGate model musí podporovat SSL Offloading, což se dozvíme v FortiOS 5.6.3 Feature/Platform Matrix.

Konfigurace je snadná:

• volitelně vytvoříme Policy & Objects > Health Check
• vytvoříme Policy & Objects > Virtual Servers kam zařadíme cílové adresy
• vytvoříme pravidlo Policy & Objects > IPv4 Policy, kde virtuální server použijeme jako Destination

Řadu speciálních nastavení (třeba určení povolených šifer) můžeme provést pouze pomocí CLI FortiOS 5.6 CLI Reference - Firewall.

Pozn.: Hledal jsem možnost, aby FortiGate přesměroval provoz z http na https (ne port forwarding, ale hlavička Location), ale to neumí. Už to vypadalo, že by to měl dělat příkaz set ssl-http-location-conversion enable na Firewall VIP, ale ten je pro situaci, kdy máme SSL Offloading Half (tedy https na Fortigate, ale na cílový server jde http), tak když server odpovídá a v HTTP hlavičce položky Location je http, tak jej změní na https.

Traffic Shaping - omezování provozu

Dokumentace Traffic Shaping, Limiting bandwidth with traffic shaping.

FortiGate podporuje zajištění Quality of Service (QoS) pomocí prioritizace a omezování šířky pásma. Díky Traffic Shaping můžeme omezovat pásmo pro určitého klienta či určitý typ provozu a tím zajistit dostatečné pásmo (bandwidth) a odezvu (latency) pro ostatní.

Realizace QoSu je docela komplikovaná záležitost. Máme k dispozici i řadu nastavení. Hlavní je, že v rámci Traffic Shaper můžeme definovat Max Bandwidth, pokud provoz přesáhne danou hodnotu, tak bude zahazován. A Guaranteed Bandwidth, provoz pod touto úrovní je prioritizován, takže by dané pásmo mělo být k dispozici. Záleží také na typu Shaperu, můžeme vytvořit Per-IP nebo Shared, který defaultně rozděluje pásmo pro všechny politiky, kde je použit, nebo můžeme přepnout na Per Policy, kdy se aplikuje individuálně na každou politiku.

• Policy & Objects > Traffic Shapers

Poté vytváříme politiku Traffic Shaping Policy, kde určíme, jakého provozu se bude omezování týkat, a jaký Shaper se aplikuje. Určujeme odchozí interface a můžeme určit jiné omezení pro odchozí komunikaci (Shared Shaper) a příchozí komunikaci (Reverse Shaper) nebo použít Per-IP Shaper.

• Policy & Objects > Traffic Shaping Policy

Security Profiles - bezpečnostní služby FortiGuard

Dokumentace Security Profiles, FortiGuard Security Subscriptions, FortiGuard Labs.

Abychom zvýšili bezpečnost a viditelnost (visibility) provozu, pro který jsme vytvořili firewallová pravidla (politiky), tak můžeme na tato pravidla aplikovat různé Security Profiles. Jedná se o kombinaci různých bezpečnostních vlastností na ochranu proti hrozbám (threats), obecně označované jako FortiGuard služby. Některé vlastnosti jsou zdarma, ale pro ostatní potřebujeme mít zaplacené předplatné (Subscription).

Bezpečnostní vlastnosti, které chceme používat, si musíme povolit v System > Feature Visibility. Některé jsou dostupné pouze, pokud máme zapnutý Proxy Inspection Mode.

Kontrola provozu (Traffic Inspection) může probíhat tak, že FortiGate zkoumá síťový provoz po paketech, pak provádí analýzu provozu (Traffic Analysis), což se používá třeba pro IPS. Druhá možnost je analýza obsahu (Content Analysis), kdy se provoz bufferuje, dokud se nesestaví kompletní přenášené soubory, emailové zprávy, webové stránky apod. Ty jsou pak prozkoumány jako celek, například Antivirem, DLP, Web filtrem.

Některé užitečné Security Profiles:

• Application Control - detekuje komunikující aplikace podle různých příznaků, takže pak v reportech vidíme více detailů, různé aplikace nebo jejich skupiny můžeme blokovat (a to nejen podle portů, jak je standardní). Od FortiOS 5.6.0 je FortiGuard služba Application Control zdarma a signatury se stahují samostatně (nejsou součástí IPS databáze). Jaká je aktuální verze vidíme v System > FortiGuard.
• Intrusion Prevention - IPS signatury detekují škodlivý síťový provoz, jako je využití známých zranitelností nebo komunikace nakažených klientů na C&C servery, podezřelý provoz můžeme logovat nebo blokovat, pro aktualizaci definic musíme mít aktivní předplatné
• Web Application Firewall - v dokumentaci k Security Profiles jsem k tomu nenašel žádnou zmínku, ale na FortiGate mám tuto službu, která by měla detekovat, a případně blokovat, určité útoky na publikované webové servery, jako je třeba Cross Site Scripting a SQL Injection nebo kontrolovat délku hlavičky, počet URL parametrů, apod.
• SSL/SSH Inspection - standardně FortiGate neví, co je obsahem šifrované komunikace, aby mohl takovou komunikaci kontrolovat, tak se musí provést Full SSL Inspection (deep inspection), kdy se šifrovaná komunikace ukončí na FortiGate, dešifruje, a nově se naváže šifrované spojení. FortiGate k tomu používá vlastní certifikáty - certifikační autoritu, což může působit problém. Když klient přistupuje na web v internetu, tak FortiGate vystaví certifikát od své autority a ten zobrazí klientovi. Minimálně je tedy třeba distribuovat tento CA certifikát na klienty jako důvěryhodný. Navíc je zde možno nastavit výjimky na určité servery, kde se nepoužije (třeba banky). Podporuje protokoly HTTPS, SMTPS, POP3S, IMAPS, FTPS a SSH. Další možnost je využít pouze Certificate Inspection, kdy se kontrolují pouze hlavičky paketů.
• FortiClient Compliance Profile - trochu jiný typ služby než ostatní, slouží k řízení FortiClient na počítačích
• Proxy Options - některé kontroly definované v Security Profile vyžadují, aby byl provoz podržen v proxy v průběhu kontroly

U každé FortiGuard služby máme nějaké předefinované profily, které specifikují parametry dané služby, a ty pak aplikujeme na FW pravidla. Můžeme si také vytvářet libovolné vlastní.

Monitoring - logy a reporty

Dokumentace Dashboard, FortiView , Logging and Reporting, Logging FortiGate traffic and using FortiView.

Pro dohled, monitoring a ladění můžeme využít řadu funkcí.

• Dashboard - rychlý pohled na vybrané informace (real-time a hlavní statistiky)
• Log & Report - obecná práce s logy (záznamy o síťovém provozu procházejícím skrze FortiGate a provedené akce) a reporty (interpretace určitých informací z logu), také můžeme nastavit zasílání alert emailů
• FortiView - monitorovací systém (prohlížení logů), který integruje real-time a historická data do jednoho pohledu
• Monitor - dohled určitých vlastností jako routování, DHCP, Load Balance, VPN, WiFi

Dashboard

V základu máme připravený hlavní Dashboard, a můžeme si vytvořit několik dalších. Na Dashboard můžeme umisťovat různé Widgety, nastavovat jim umístění a velikost. Widgety jsou interaktivní, najetím se zobrazí informace a kliknutím nabídnout akce.

Widgetů je k dispozici celá řada:

• Jedna skupina se týká našeho zařízení (systému a využití zdrojů), můžeme si zobrazovat systémové informace, info o licencích, aktivních administrátorech, využití CPU, paměti, disku, parametry VM.
• Potom informace ze Security Fabric a FortiCloud.
• A nakonec si můžeme zobrazit různé informace o provozu, jako přenosové pásmo na určitém portu (Interface Bandwidth) a statistiky/reporty z FortiView (třeba zdroje největšího přenosu, využívané aplikace, apod.), kde nastavujeme zobrazení (tabulka, graf, mapa) a periodu (okamžitě, 5 min, 1 hod, 24 hod).

Logging and Reporting

Pro všechny funkce musíme nejprve nastavit logování, abychom mohli získávat nějaké informace. V defaultním nastavení je logování minimalizováno, aby se šetřil diskový prostor, který logy zaberou. Pro většinu situací se hodí zapnout plné logování.

• Log & Report > Log Settings
• povolíme lokální logování na disk, lokální reporty i historické údaje (můžeme také nastavit Remote Logging and Archiving)
• Local Traffic Log a Event Logging nastavíme na All, Display Logs From Disk
• pokud chceme mít k dispozici detailní informace, tak musíme také na všech pravidlech (politikách) zapnout kompletní logování (jinak se budeme divit, že nemůžu v logu skoro žádný provoz nalézt)
• Policy & Objects > IPv4 Policy - v politice v části Logging Options nastavíme All Sessions

Když nám logování funguje, tak si můžeme prohlédnout (a také stáhnout) kompletní logy určité kategorie a v nich filtrovat.

• Forward Traffic - veškerý provoz procházející FortiGate jednotkou
• Local Traffic - provoz na a z FortiGate jednotky (Local In Policy)
• System Events a Security Audit Events - různé systémové události
• Application Control a další - logy určitých vlastností, musí být použit odpovídající Security Profile na politikách, zde třeba seznam detekovaných aplikací a související informace

Pro různé události můžeme nastavit zasílání informačního emailu v Log & Report > Email Alert Settings.

Poslední část jsou lokální FortiOS reporty, které se mohou automaticky generovat v určitém intervalu a případně zasílat na email. Poskytují centrální přehled o provozu a bezpečnosti na FortiGate jednotce. Log & Report > Local Reports.

Délka uchovávání logů

Na dvou FortiGate zařízeních, které jsem viděl, byla informace, že logy starší než 7 dní jsou automaticky mazány. V GUI není možno to nijak změnit, naštěstí je zde nastavení pomocí CLI, kde můžeme nastavit maximální stáří logů 0 až 3650.

config log disk setting
  set maximum-log-age 31

Aktuální nastavení si můžeme vypsat v daném kontextu.

  show full-configuration

FortiView

FortiView pracuje s logy, takže musíme mít prvně zapnuté logování na lokální disk. V menu FortiView se nachází řada různých konzolí, které jsou rozděleny do kategorií podle směrování provozu (využívá se zde zařazení portů do rolí) na provoz z interních sítí (LAN/DMZ), provoz z internetu (WAN) a veškerý provoz (All Segments).

• Je zde zobrazení detailních informací podle zdroje provozu (Sources) nebo cíle provozu (Destinations nebo Servers), kde si můžeme řadit přenesená data.
• Informace o detekovaných aplikacích pomocí Application Control (Applications a Cloud Applications).
• Pod Threats se nachází detekované hrozby, což může být třeba blokovaný provoz či neúspěšné pokusy o připojení.
• Pokud využíváme, tak zde nalezneme detaily o využití Traffic Shaping, WiFi Clients, VPN, FortiSandbox.
• V kategorii All Segments se nachází i speciální konzole, jako je System Events, která zobrazuje určité bezpečnostní události na FortiOS, detekované zranitelnosti Endpoint Vulnerability, geografické znázornění hrozeb Threat Map.
• Ke konci je užitečné zobrazení využití FW pravidel/politik (Policies) a portů/rozhraní (Interfaces).
• Úplně na závěr je zobrazení všech spojení (All Sessions).

Pozn.: Některé konzole FortiView, jako je třeba Applications a Web Sites, obsahují informace pouze, pokud používáme odpovídající Security Profile.

Rozhraní FortiView konzole má standardně tři části. Horní ovládací lištu, kde můžeme nastavovat filtr a parametry zobrazení. Důležitá věc je časový interval, za který se údaje zobrazují. Možnosti jsou (podle FortiGate modelu) nyní, 5 minut, 1 hodina a 24 hodin. Starší údaje než jeden den ve FortiView nezobrazíme. Dále se může nacházet určitý graf (pokud je interval zobrazení minimálně 60s). A zobrazení dat, nejčastěji formou tabulky. Zobrazení je interaktivní, takže můžeme vyvolávat různé akce. Na řádcích tabulky se dá dvojklikem zobrazit detail či vyfiltrování hodnot (Drill Down to Details).

FortiClient

Dokumentace FortiClient Free Downloads, FortiClient licensing, FortiGate Client limits.

Na klienty můžeme nainstalovat zdarma FortiClient aplikaci, která se skládá z různých komponent. Základní funkce je detekování zranitelností (Vulnerability Scan) na klientovi a vynucování shody nastavení (Compliance Enforcement). FortiClient se zaregistruje k FortiGate a tam pak získáváme různé informace (třeba FortiView > Endpoint Vulnerability) a k logovanému provozu se přiřazuje jméno přihlášeného uživatele. Další funkce jsou VPN klient, Firewall, Antivirus, Web Filter, SandBox, SSO.

Podle informací samostatný FortiClient nepotřebuje licenci (takže jej třeba můžeme použít jako domácí antivir). Pokud jej chceme spravovat z FortiGate, tak máme licenci na 10 klientů zdarma, další se musí dokupovat. Pro další centrální řízení se používá Enterprise Management Server (EMS).

FortiCloud

Dokumentace FortiCloud, Central Management - FortiCloud.

Fortinet nabízí webovou (cloud) platformu pro centrální správu FortiGate zařízení (a také FortiWiFi a FortiAP). Do FortiCloud připojíme jednu nebo více FortiGate jednotek a získáme možnost ukládání logů a jejich zpracování (Analyse), správu konfigurace (u podporovaných platforem), zálohování konfigurace, vzdálený přístup na zařízení (Management) a Sandbox (Advanced Threat Detection, simulační prostředí kam se umístí objekty a detekuje se, zda nejsou škodlivé).

Zajímavé je, že částečně omezená verze je zdarma (pro plné funkce je třeba koupit Subscription). Bez předplatného nabízí uchování logů po dobu 7 dní, předefinované reporty a FortiCloud Sandbox s limitem 100 souborů denně. FortiGate VM00 umí uchovávat logy pouze po dobu 7 dní (doplněno - pomocí CLI můžeme nastavit delší interval), cože je stejné jako FortiCloud bez předplatného (pokud si zaplatíme, tak můžeme mít až jeden rok). Ale FortiView lokálně pracuje s historií maximálně 1 den, ve FortiCloudu můžeme pracovat i s delšími intervaly.

Pro zprovoznění FortiCloudu:

• na webu FortiCloud vytvoříme jednoduchý účet
• na Dashboardu najdeme Widget FortiCloud, kde vidíme stav neaktivní
• klikneme do widgetu a zvolíme Activate FortiCloud
• zde zadáme přihlašovací údaje k našemu účtu (můžeme jej zde i vytvořit), také můžeme rovnou nechat nastavit odesílání logů (při prvním připojování jsem dostával neznámou chybu, ale po pár opakováních vše prošlo)
• dostaneme informaci, že FortiCloud byl aktivován
• pokud chceme napojení zrušit, tak na widgetu zvolíme Logout

Pokud chceme skrze FortiCloud provádět správu našeho zařízení, tak musíme povolit:

• System > Settings
• v části Central Management přepneme z None na FortiCloud

Když toto nastavíme, tak se naváže šifrovaný tunel z FortiGate do FortiCloud a ten umožní komunikaci z venku na FortiGate. Můžeme se pak připojit z internetu na naše admin rozhraní FortiGate a vzdáleně provádět akce, jako je záloha konfigurace. Pokud toto nepovolíme, tak ve FortiCloudu uvidíme u zařízení stav Management Tunnel is Down.

Nastavení odesílání logů do FortiCloudu:

• Log & Report > Log Settings
• v části Remote Logging and Archiving zapneme Send Logs to FortiCloud
• a nastavíme interval
• při ukládání dostaneme informaci, že při vzdáleném logování se nedoporučuje používat zároveň lokální (podle mne je to na zvážení)

Při prohlížení logů na FortiGate, třeba v Log & Report > Forward Traffic, můžeme v ovládací liště v pravém horním rohu (na ikoně) změnit zdroj dat na FortiCloud. Stejně tak si můžeme prohlížet logy a data přímo na webu FortiCloud.