www.SAMURAJ-cz.com 

16.07.2020 Luboš Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Poslední články

FortiGate dvě připojení k internetu (Dual WAN)

Připojení firmy k internetu je dnes zásadní věc a většinou se požaduje, aby bylo bezvýpadkové (v rámci možností). Můžeme využívat jednoho ISP, který řeší vysokou dostupnost (redundanci) svými prostředky (třeba přivedením dvou nezávislých optických tras). Nebo mít dva (či více) různé ISP, pak musíme řešit sami využití linek a případné přepínání. Také můžeme mít dvě linky k internetu a chtít manuálně rozdělit provoz. FortiGate má několik možností, jak tyto situace řešit. Nejvíce se zaměřujeme na SD-WAN. Docela důležitá je otázka, zda řešíme pouze přístup do internetu nebo také publikujeme nějaké služby na veřejných IP adresách.

FortiGate konfigurace, upgrade, mody provozu, síťová rozhraní, CLI

Článek se věnuje základní konfiguraci (instalace a upgrade) fyzické appliance Next Generation Firewall Fortinet Fortigate. Popisuje možné módy provozu (operační mód, inspekční mód a NGFW mód). Rozebírá fyzická i virtuální síťová rozhraní. Zmiňuje základy použití příkazové řádky (CLI). A na závěr možnost automatického zálohování konfigurace.

FortiAnalyzer základní konfigurace

FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.
21.05.2020 | 29.02.2020 | Samuraj - Petr Bouška | FortiGate admin | 1661x | Komentáře [0]

FortiGate konfigurace SSL VPN

Po několika úvodních článcích, které se věnovali autentizaci uživatelů, je tu rozsáhlý díl o konfiguraci SSL VPN. Snažil jsem se udělat popis hodně komplexně, protože oficiální dokumentace je pro mne nedostatečná. Pro vytvoření základního VPN připojení stačí pár jednoduchých kroků (příklady jsou v oficiální dokumentaci). Tento článek by měl ukazovat i všechny speciální možnosti, které můžeme nastavit. Věnuje se vazbám mezi jednotlivými částmi konfigurace. A snaží se o globální pohled, který přechází do popisu detailů.
07.05.2020 | 29.04.2020 | Samuraj - Petr Bouška | FortiGate admin | 1516x | Komentáře [0]

FortiGate SSL VPN Host Check - kontroly klienta při připojení

V tomto článku doplníme poslední část k dříve popsanému vytvoření SSL VPN na FortiGate. Budeme se věnovat kontrolám klienta při připojení do SSL VPN. Na klientovi můžeme ověřit řadu věcí a podle výsledku kontroly rozhodnout, zda se může nebo nemůže připojit do VPN. Kontroly můžeme provádět pouze na operačním systému Windows (něco málo na Macu). Ověřovat můžeme verzi operačního systému, přítomnost antiviru a firewallu, klientskou MAC adresu, existenci určitého souboru, procesu nebo klíče v registrech.

FortiGate dvoufaktorová autentizace s použitím OTP

Další pokračování, které se věnuje možnostem vícefaktorové autentizace (MFA) na FortiGate. Podíváme se na dvoufaktorovou autentizaci (2FA) pomocí OTP (One-time Password) zaslaného na email nebo jako SMS zpráva. Použití je pro přihlášení do SSL VPN, ale můžeme využít i jinde.

FortiGate autentizace certifikátem do SSL VPN

Minule jsme si popsali uživatelské účty na FortiGate a ověření lokálně či vůči vzdáleným serverům (LDAP). Dnes se podíváme na možnosti vícefaktorové autentizace (MFA). Speciálně využití digitálního certifikátu pro přihlášení do SSL VPN. Ukážeme si, jak můžeme využít běžnější uživatelský, ale také počítačový certifikát.

FortiGate uživatelé, skupiny a autentizace vůči LDAP (AD DS)

FortiGate podporuje různé typy uživatelů a uživatelských skupin. Uživatelé se mohou autentizovat nejen lokálně, ale také vůči externím serverům. Užitečná je autentizace vůči LDAP serveru, tak můžeme využít uživatele v Microsoft doméně (Active Directory Domain Services). Uživatele a skupiny můžeme používat v bezpečnostních politikách nebo pokud vytváříme VPN připojení. I správci FortiGate jednotky se mohou přihlašovat doménovým účtem.

FortiGate High Availability cluster a Virtual Domains (VDOM)

Firewall na perimetru sítě je náš centrální bod pro přístup do internetu a dalších sítí. Určitě nechceme, aby šlo o Single Point of Failure, takže potřebujeme řešit redundanci a nejlépe rovnou cluster, který zajistí vysokou dostupnost (High Availability). Cluster nám řeší jednotnou konfiguraci a přepínání jednotek v případě výpadku (nejen zařízení, ale třeba i linky). Když jsme pořídili dvě zařízení, tak je můžeme chtít co nejlépe využít. Pro některé situace se mohou hodit virtuální domény (VDOM). Ty nám dovolí rozdělit FortiGate na několik částí, které pracují samostatně. Tedy vytvořit z jednoho zařízení (nebo clusteru) několik virtuálních firewallů.

Ověřování emailů pomocí DMARC - Domain-based Message Authentication, Reporting and Conform

Metody pro ověřování původu poštovních zpráv (Email Authentication) kontrolují poštovní servery, které se účastní odeslání (a možné modifikace) emailu. Cílem je ověřit, že byla zpráva zaslána autorizovaným odesílatelem (serverem). Kontroluje se doména odesílatele, ne přímo emailová adresa. SPF a DKIM provádí ověření na úrovni domény. DMARC doplňuje politiky chování pro zprávy, které kontrolou neprojdou, a možnost zasílání zpětné vazby majiteli domény. Porovnává také doménu odesílatele v hlavičce.
07.02.2020 | 02.02.2020 | Samuraj - Petr Bouška | administrace | 2478x | Komentáře [0]

Nejčtenější článek

TCP/IP - adresy, masky, subnety a výpočty

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
11.08.2008 | 05.09.2007 | Samuraj - Petr Bouška | sítě | 2247530x | Komentáře [82]

Poslední aktuality

Subnet kalkulačka

23.11.2008 | Samuraj | sítě | 37555x | Komentáře [2]

Poslední fotogalerie

Poslední komentáře

  1. [2] Tyto dotazy nějak nechápu. Nevím, jestli jste ten článek četl.

    Pro sledování dostupnosti cesty do internetu se u SD-WAN používá Performance SLA. Zadám si nějaký server v internetu, pokud nebude dostupná, tak se bere cesta jako nedostupná.

    Čemu by mělo vadit, že někteří klienti komunikují z jedné IP adresy a jiní klienti z jiné IP adresy? Tak to v internetu normálně funguje.

  2. Zdravíčko, zajímavý článek. Ale jak řešíte, pokud ISP nepadne přímo Vaše brána, ale něco po cestě mezi GW a ISP GW?

    A jak se na 2 WAN tváří koncové aplikace? Není problém např. s tím, že jednou jdete v rámci komunikace z IP 1.1.1.1 a jindy z 2.2.2.2 pokud máte LB?

  3. Pro pravidla pres nekolik interfacu, ktere maji shodnou funkci je mozne s uspechem vyuzit zony.

    https://docs.fortinet.com/document/fortigate/6.2.3/cli-reference/69620/system-zone

  4. Советую посетить

    <a href=https://khersonmasternews.com.ua/post/besshovnye-bodi-i-vodolazki-novyy-trend-ili-vybor-za-udobstvom>женское бесшовное белье</a>

  5. Nevíte, jaký je rozdíl mezi FSSO a RSSO?