www.SAMURAJ-cz.com 

12.11.2018 Benedikt Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Fortinet FortiGate

Upraveno 09.04.2018 11:24 | vytvořeno 25.02.2018 14:26 | Samuraj - Petr Bouška |
FortiGate je pokročilý Firewall (bezpečnostní brána) společnosti Fortinet, označuje se jako Next Generation Firewall (NGFW). Existuje řada modelů, které jsou buď fyzické (hardwarová appliance) nebo virtuální (pro různé hypervisory - VMware vSphere, Microsoft Hyper-V, Citrix XenServer, OpenXEN, KVM). Zde se věnujeme virtuální verzi, ale na tom příliš nezáleží, protože všechny FortiGate jsou vybaveny stejným operačním systémem FortiOS. Článek popisuje zprovoznění virtuální verze Fortinet FortiGate VM00. Následuje stručný popis hlavních operací, nastavení a vytváření komunikačních pravidel. Na konci jsou stručně zmíněny různé pokročilé funkce.

Pozn.: FortiGate jsem zprovozňoval v rámci virtuálního datového centra, kde se využilo, že je nabízen i jako virtuální appliance. Na studování nebylo moc času, takže různé věci jsem řešil pokusy. Článek uvádí moje stručné poznámky, které jsem si v průběhu vytvořil.

Fortinet uvádí, že FortiGate má vždy všechny vlastnosti, takže model volíme pouze podle požadované propustnosti (výkonu). Dále dokupujeme HW/SW support. A k vlastnímu FW můžeme dokupovat předplatné (subskripce) pro aktualizaci různých definic FortiGuard Security Subscriptions.

Porovnání různých modelů FortiGate:

Co znamenají některé Forti-něco termíny (zařízení a služby):

Základní dokumentace:

Instalace FortiGate VM

Dokumentace FortiGate-VM Install Guide For FortiOS 5.6.

V průběhu popisu jsou uváděny příklady, které vychází z následujícího testovacího zapojení. Virtuální stroj FortiGate má 10 síťových karet (NIC0 až NIC9), které jsou uvnitř FortiGate mapovány jako port 1 až 10. Z toho použijeme 4 pro různé sítě - internet (port 10), správa (port 1), DMZ (port 2) a DB (port 3).

FortiGate - testovací topologie

Stručný postup úvodního zprovoznění VM:

  • vytvoříme virtuál ze šablony / OVF
  • nastavíme HW parametry VM, FG-VM00 verze 5.6 podporuje 1 vCPU, 1 (nebo 2 GB vRAM - musí být již licencovaný), vDisk 2GB systém a 30 GB pro logy (až 2TB), 1 virtual domain (max 2)
  • na začátku zapojíme síť port1 - NIC0, který nastavíme do management sítě (přes toto rozhraní se bude spravovat)
  • připojíme se na konzoli, uživatel admin prázdné heslo
  • nastavíme IP adresu a přístup k administraci (na začátku se musí povolit http, protože do zadání licence podporuje pouze low-strength encryption)
config system interface
 edit port1
  set ip 192.168.0.1 255.255.255.0
  append allowaccess http
  append allowaccess ping
 end
  • pokud potřebujeme, tak nastavíme GW pro tuto síť
config router static
 edit 1
  set device port1
  set gateway 192.168.0.254
 end
  • pro otestování komunikace můžeme použít ping na nějakou adresu v síti
execute ping 192.168.0.10

VDOM - virtuální domény

Dokumentace VDOM configuration.

FortiGate podporuje na jednom zařízení vytvořit několik Virtual Domains (VDOMs) a tak hostovat více oddělených instancí FortiOS, které mají samostatnou správu a rozdělené prostředky.

Základní konfigurace a ovládání

Pouze bodově, kde nalezneme běžné věci.

  • hostname, datum - System > Settings
  • nahrání licence a zobrazení HW info - System > FortiGuard (po nahrání licence se provede restart, pak mi dlouhou dobu psalo přihlášení, že zadávám chybné heslo, když přihlášení prošlo, tak již další restarty byly OK)
  • nastavení vlastností, které nabízí rozhraní (řada věcí je standardně skryta) - System > Feature Visibility - třeba DNS Database, Local In Policy, Multiple Interface Policies, Load Balance
  • změna hesla a účty - pravý horní roh admin - Change Password, System > Administrators
  • záloha - pravý horní roh admin - Configuration - Backup
  • vypnutí - pravý horní roh admin - System - Shutdown
FortiGate - System > Settings

Základní režim funkce

Dokumentace NAT/Route Mode vs. Transparent Mode, Inspection Mode, NGFW Policy Mode, Inspection Modes.

Konfigurace je v System > Settings.

FortiGate může pracovat ve dvou hlavních operačních módech (Operation Mode):

  • NAT/Route - standardní režim pro většinu situací, FortiGate funguje jako brána nebo směrovač mezi sítěmi, umožňuje využít NAT a skrýt interní adresy
  • Transparent - v transparentním módu FortiGate nedělá žádné změny IP adres, pouze provádí bezpečnostní skenování provozu, umisťuje se mezi interní síť a router. Přepnutí do tohoto módu se provádí pomocí CLI.

A ve dvou inspekčních módech (Security Profile Inspection Mode):

  • Proxy - dle Fortinetu preferovaný režim, který nabízí více vlastností a konfiguračních možností (třeba Web Application Profile, Explicit Web Proxy, WAN Optimization, Web Caching), dochází k uložení provozu do vyrovnávací paměti (rekonstrukci) a jeho kompletnímu prozkoumání, než se určí akce, takže je inspekce přesnější a analýza bezpečnější, v tomto módu se používá kombinace flow-based a proxy-based inspekce, pro Virtual Server můžeme využít všechny typy HTTP, TCP, UDP, IP, HTTPS, IMAPS,POP3S, SMTPS, SSL.
  • Flow-based - provoz je analyzován tak, jak prochází skrze FortiGate, proto nejsou k dispozici všechny funkce, ale nezdržuje provoz a nabízí vyšší výkon, používá se jednoprůchodové porovnání Direct Filter Approach (DFA) paternu pro identifikaci útoků, v tomto módu můžeme použít Virtual Server pouze typu HTTP, TCP, UDP, IP.

Od FortiOS 5.6 jsou k dispozici další možnosti:

  • Transparent Web Proxy - můžeme využít pro Proxy inspekční mód, nemá tolik možností jako Explicit Web Proxy, ale na klientovi není třeba nic konfigurovat
  • NGFW mód - pokud nastavíme Flow-based inspekční mód, tak volíme ještě mód NGFW Profile-based, funguje jako dříve vytvářením Application Control nebo Web Filtering profilů, nebo Policy-based, kdy zadáváme aplikace a URL kategorie přímo do pravidla (politiky), SSL/SSH inspekce se aplikuje na všechna pravidla a také se SNAT definuje centrálně a ne na jednotlivých pravidlech
FortiGate - Inspection Mode

Nastavení sítí a adres

Dokumentace Installing a FortiGate in NAT/Route mode, Example network topologies, Behaviour on the GUI of the Interface Role .

Interfaces - rozhraní

Rozhraní jsou

  • Interface - Physical nebo Virtual (VLAN, VPN tunel, atd)
  • Zones - skupina více Interface (pak se nemohou používat samostatně)
  • Virtual Wire Pair - zrcadlení portu

Můžeme jim nastavit určitou roli, což pouze skrývá některé položky v GUI u editace rozhraní, a využije se u logů.

  • Undefined - zobrazuje vše
  • WAN - připojení do internetu
  • LAN - koncová zařízení
  • DMZ - servery

Konfigurace Network > Interfaces. VM má k dispozici 10 portů, v rámci virtualizace je zařadíme do určité sítě. Přiřadíme alias a adresu.

  • port 1 - MGMT_VLAN, MGMT, 192.168.0.1/255.255.255.0
  • port 2 - DMZ_VLAN, DMZ, 10.0.0.1/255.255.255.0
  • port 3 - DB_VLAN, DB, 10.0.1.1/255.255.255.0
  • port 10 - Internet_VLAN, Internet, 80.0.0.10/255.255.255.0
FortiGate - Interfaces

U každého portu vyplníme

  • Alias - popisný název portu (rozhraní)
  • Role - WAN, LAN, DMZ, Undefined
  • u internetu Estimated Bandwidth dle rychlosti připojení, třeba 100000 kbps
  • Addressing mode - Manual, IP adresa rozhraní (většinou pak slouží jako GW pro danou síť, u internetu jde o adresu NATu) spolu s maskou
  • Administrative Access - povolíme komunikace na rozhraní, hlavně u MGMT (povoluje přístup na GUI, SSH), jinde třeba ping
  • na interních sítích povolíme Device Detection
  • u internetu zvolíme Secondary IP Address a zadáme další veřejné IP adresy (je zde limit 32 adres, asi není třeba zadávat adresy sem, ale stačí vytvořit FW pravidlo a adresa se použije)
  • pokud chceme interface vypnout, tak je poslední řádek Interface State
FortiGate - Edit Interface

Default Gateway

Konfigurace Network > Static Routes

Vytvoříme novou routu s cílem 0.0.0.0/0.0.0.0, GW 80.0.0.1, interface port10

Další routy, pro přímo připojené interfacy, nemusíme definovat. Chování, jako routování nebo NAT, se řeší na jednotlivých pravidlech a může být jedno pravidlo s NATem a jiné s routingem.

DNS a DNS Server

Dokumentace Networking > DNS.

FortiGate potřebuje využívat DNS služeb k překladům různých adres. Defaultně využívá svoje servery, ale můžeme nastavit libovolné v Network > DNS.

Jako další vlastnost je, že FortiGuard může sloužit jako DNS Server pro interní klienty. Pak přeposílá dotazy na nastavené DNS servery. Ale můžeme vytvořit i lokální DNS databázi, tedy určitou DNS Zone pro nějaké doménové jméno, kde vytváříme záznamy. V konfiguraci DNS Serveru volíme interface, kde služba poslouchá (na IP adrese FW).

Konfigurace se provádí v Network > DNS Servers (musíme mít zapnuté zobrazení dané vlastnosti). U nastavení Interface volíme mód fungování:

  • Forward to System DNS - pouze přeposílá na veřejné DNS servery
  • Recursive - nejprve prohledá interní DNS záznamy, pokud nenalezne, tak přeposílá

Lokální DNS záznamy se doporučuje provozovat pouze pro interní klienty (nastavení zóny Shadow a ne Public).

FortiGate - DNS Servers

NTP - synchronizace času

Dokumentace System Settings - System Time, Technical Note: Custom NTP server configuration.

Další doporučené nastavení je synchronizace času s nějakým časovým serverem. FortiGuard opět umí fungovat jako NTP Server pro lokální klienty na vybraných interfacech. Synchronizace probíhá buď vůči Fortinet serverům nebo nějakým nastaveným, ale tuto konfiguraci musíme provést pomocí CLI.

Nastavení se provádí v System > Settings sekce System Time. Nastavení vlastních serverů v CLI:

config system ntp
 set type custom
 config ntpserver 
 edit 1 
 set server tik.cesnet.cz
 next
 edit 2
 set server tak.cesnet.cz
 next
 end

Pro kontrolu, že synchronizace probíhá, můžeme použít příkaz.

diagnose sys ntp status

Vytváření pravidel (politik)

Dokumentace FortiGate Firewall.

Konfigurace Policy & Objects > IPv4 Policy

FortiGate - pravidla (politiky)

Vidíme seznam pravidel, který je standardně řazený podle interface (vpravo nahoře Interface Pair View). Na konci je implicitní Deny.

  • Všechna pravidla (politiky) jsou jednoho typu a speciální situace se řeší pomocí speciálního objektu.
  • K identifikaci zadáme název pravidla.
  • Základem každého pravidla je definice jednoho nebo více rozhraní, přes které může komunikace přijít (Incoming Interface) a odejít (Outgoing Interface). To nijak neurčuje adresy, ty musíme omezit dále.
  • Dále určujeme zdroj (Source) a cíl (Destination) komunikace. Můžeme zadat adresu, uživatele nebo zařízení (třeba Android Phone). Adresa může být FQDN a Wildcard FQDN, Geography (země), IP Range, Subnet, Dynamic SDN Address. Můžeme také zvolit all nebo none.
  • Můžeme určit, kdy pravidlo platí (Schedule).
  • Pod Service zadáme povolené protokoly/služby (ve skutečnosti porty).
  • Jako Action většinou volíme Accept.
  • Pod Firewall/Network Options se nastavuje NAT - je tím myšlen Source NAT, kdy se překládá zdrojová adresa (primárně při komunikaci z privátních IP adres do internetu).
  • Pod Security Profiles nastavujeme kontroly na vyšších vrstvách (IPS, Web Filtert, atd).
  • Dále nastavujeme parametry logování v Logging Options.
  • A na konci můžeme pravidlo vypnout Enable this policy.
FortiGate - Policy & Objects > IPv4 Policy

Fortinet používá termín politika (Policy), já jsem zvyklý používat pravidlo (Rule), takže to bude v článku častěji. Jak je uvedeno, všechna pravidla jsou jednoho typu. Já si osobně rozděluji pravidla na dvě kategorie (i když záleží na úhlu pohledu, použiji to i dále):

  • přístupové pravidlo (Access Rule) - povoluji komunikaci z jedné sítě do druhé pro určitý protokol (cílový port), často přístupy interních klientů do internetu
  • publikační pravidlo (Publish Rule) - zveřejňuji nějakou službu do jiné sítě, často za pomoci DNAT, třeba publikace webového serveru

NAT - Network Address Translation

Pěkný obecný popis Source NAT and Destination NAT, NAT Configuration Examples.

Pro komunikaci mezi dvěma sítěmi můžeme použít buď směrování routing nebo překlad adres NAT. Při komunikaci do/z internetu je většinou NAT potřeba, protože uvnitř (LAN, DMZ) běžně používáme privátní adresy, které se v rámci internetu nedají směrovat.

Proto z interní sítě do internetu většinou využijeme Source NAT, kde se na FW mění odchozí adresa (třeba 10.0.0.10 na 80.0.0.10). FW si ukládá spojení do tabulky, takže odpovědi na tuto komunikaci směruji na správného interního klienta. Pokud chceme z internetu komunikovat na server v DMZ, který nemá veřejnou adresu, tak použijeme Destination NAT, kde se mění cílová adresa (třeba 80.0.0.11 na 10.0.0.10). NAT se rozděluje ještě na mnoho variant, například jestli se překládá vždy jedna adresa na jednu nebo více interních adres na jednu veřejnou, apod.

U NATu je ještě důležitá práce s porty, buď se všechny porty ze zdroje přenáší na cíl, což označujeme jako Port Forwarding. Nebo u NATu nastavíme pouze jeden port a ten můžeme posílat na jiný port v cíli Port Translation.

U FortiGate se způsob komunikace mezi sítěmi (routing, NAT) nastavuje na každém pravidle. V pravidle je sekce Firewall/Network Options a zde zatržítko NAT. Pokud je vypnuté, tak se pro komunikaci z daného zdroje na cíl používá routing a adresy se nemění. Pokud jej zapneme, tak se použije Source NAT a mění se zdrojová adresa dle další konfigurace. To tedy primárně použijeme pro odchozí komunikaci do internetu.

FortiGate - Source NAT

V IP Pool Configuration můžeme zvolit Use Outgoing Interface Address. Pak se použije odchozí IP adresa interface, tedy všechny zdroje se přeloží na stejnou adresu. Nebo můžeme zvolit Use Dynamic IP Pool a definovat, jak se má překládat.

Když chceme publikovat server s neveřejnou adresou na nějakou veřejnou, tedy Destination NAT, tak musíme využít Virtual IPs. A tuto Virtual IP pak zadáme v pravidle jako Destination. U VIP můžeme určit interface, na kterém adresa poslouchá, potom External IP Address/Range (většinou veřejná IP) a Mapped IP Address/Range (většinou interní IP serveru). Volitelně můžeme určit další omezující kritéria Optional Filters. V části Port Forwarding můžeme nastavit jaké porty (nebo rozsahy) se přeposílají a případně je posílat na jiné cílové porty.

FortiGate - Virtual IPs

Přístupové pravidlo (Policy)

Dokumentace Creating security policies.

Obecné informace o vytváření pravidel (politik) jsou popsány výše. Zde je uvedený příklad povolení určité komunikace (DNS, HTTP, HTTPS, PING) do internetu z vnitřního subnetu (DMZ_VLAN).

  • Policy & Objects > IPv4 Policy
  • vytvoříme nové pravidlo a pojmenujeme
  • vybereme Incoming Interface DMZ a Outgoing Interface Internet
  • pro Source vytvoříme novou adresu DMZ_VLAN jako Subnet 10.0.0.0/255.255.255.0 a port DMZ
  • Destination zvolíme all
  • Schedule zvolíme always
  • Service vybereme ping a DNS, HTTP, HTTPS (nebo můžeme vybrat Service Group Web Access, která obsahuje tyto tři služby)
  • Action zvolíme ACCEPT
  • komunikace je do internetu pomocí veřejné IP adresy, takže zatrhneme NAT
  • můžeme zapnout určité Security Profiles, zajímavé je třeba Application Control pro identifikaci komunikujících aplikací
  • Log Allowed Traffic povolíme All Sessions
  • pravidlo necháme povolené Enable this policy
  • hned po uložení OK začne pravidlo platit

Seřazení pravidel

Dokumentace Policy order.

FortiGate využívá princip, kdy vyhodnocuje pravidla od začátku seznamu a pokud celé pravidlo vyhovuje, tak jej uplatní a dále v seznamu nepokračuje. Na každý packet se tedy může aplikovat pouze jedno pravidlo. Proto musíme mít více specifická pravidla na začátku seznamu. Například, když máme pro subnet nějak omezený provoz, ale pro jednu adresu chceme udělat výjimku, tak toto pravidlo musí být první.

Po vytvoření nového pravidla je dobré se podívat na seznam a případně jej přesunout.

  • Policy & Objects > IPv4 Policy
  • zvolíme zobrazení By Sequence
  • za číslo sekvence můžeme politiku přetáhnout na jinou pozici

Publikační pravidlo (Policy)

Dokumentace Using virtual IPs to configure port forwarding, Port forwarding, Why you should use SSL inspection, Protecting a web server with DMZ, One IP address serving multiple servers, Protecting a server running web applications.

V příkladu chceme publikovat web server (http a https) s interní adresou 10.0.0.10 na veřejnou adresu 80.0.0.11.

Publikační pravidlo je stejné jako přístupové pravidlo a většinu hodnot nastavíme obdobně. Základem je vytvoření Virtual IP (podrobněji popsáno v kapitole NAT). Buď ji můžeme vytvořit uvnitř pravidla, nebo připravit dopředu. Zde si dopředu vytvoříme dvě VIP (pro port 443 a 80):

  • Policy & Objects > Virtual IPs
  • vytvoříme novou adresu a pojmenujeme
  • Interface vybereme Internet
  • External IP Address zadáme do obou polí 80.0.0.11
  • Mapped IP Address zadáme 10.0.0.10
  • zapneme Port Forwarding a protokol TCP, External Service Port 443 směrujeme na Map to Port 443
  • to samé uděláme znovu pro port 80

Tyto dvě VIP můžeme volitelně spojit do jednoho objektu pomocí Virtual IP Group. Vytvoříme publikační pravidlo (politiku).

  • Policy & Objects > IPv4 Policy
  • vytvoříme nové pravidlo a pojmenujeme
  • vybereme Incoming Interface Internet a Outgoing Interface DMZ
  • Source zvolíme all
  • do Destination vybereme vytvořené VIP nebo jejich skupinu
  • Schedule zvolíme always
  • Service vybereme HTTP, HTTPS (pokud bychom ve VIP směrovali na jiné porty, tak zde musíme zadat ty cílové porty)
  • Action zvolíme ACCEPT
  • zdrojovou adresu nechceme měnit, takže nezatrhneme NAT
  • můžeme zapnout určité Security Profiles, zajímavé je třeba IPS a Web Application Firewall, ale u šifrované komunikace záleží na dalších nastaveních
  • Log Allowed Traffic povolíme All Sessions
  • pravidlo necháme povolené Enable this policy
FortiGate - pravidlo pro publikaci serveru

Load Balancing, Reverse Proxy a SSL Offloading

Dokumentace Configuring load balancing, SSL/TLS offloading.

FortiGate podporuje vlastnost rozvažování serverové zátěže (server load balancing), kdy je příchozí provoz distribuován na jeden nebo více serverů. Využívá k tomu Virtual Server, který zachytí příchozí komunikaci a pošle na backend server.

Pozn.: Trochu mi zde přijde matoucí využívání Virtual IPs pro DNAT a Virtual Servers (kde také definujeme Virtual IP). Nejzajímavější je, že v příkazové řádce se oboje konfiguruje stejně pomocí příkazu config firewall vip.

  • Definujeme Virtual Server IP, cože je IP adresa externího rozhraní (veřejná IP adresa) na kterou přichází komunikace.
  • Určíme typ (Type), což je buď obecný protokol IP, TCP nebo UDP, nebo protokol vyšší vrstvy (L7) HTTP, HTTPS nebo SSL/TLS, u kterých můžeme používat rozšířené funkce (Persistence, HTTP Multiplexing). Typy, které využívají SSL, jsou k dispozici pouze, když FortiGate pracuje v inspekčním módu Proxy (ne Flow-based).
  • Dále specifikujeme port (Virtual Server Port), na kterém služba poslouchá.
  • A jednu z rozvažovacích metod, podporováno je static (failover), round robin, weighted, least session, least RTT, first alive, http host.
  • Přiřadit k rozvažování můžeme až 8 cílových serverů (Real Servers).
FortiGate - Virtual Server

Také můžeme definovat metodu pro zjištění stavu serveru Health Check, podporováno je ping, tcp, http, passive-sip.

FortiGate - Health Check

Pro šifrované spojení se využívá SSL Offloading, kdy na FortiGate nahrajeme certifikát serveru, příchozí komunikace je rozšifrována a mohou na ní proběhnout kontroly. Může to také sloužit k akceleraci spojení (šifrovací operace nemusí provádět cílový server). Podporovány jsou dvě metody:

  • Client <-> FortiGate (Half Mode), kdy je šifrovaná komunikace od klienta na FW a na server se posílá nešifrovaná
  • Client <-> FortiGate <-> Server (Full Mode), kdy je šifrovaná na obě strany

Virtual Server můžeme využít jako jednodušší Reverse Proxy pro zabezpečení webového serveru. Provoz je ukončen na FortiGate a zkontrolován, než se posílá na server. Bohužel není podporováno třeba Server Name Indication (SNI) a tedy směrování provozu z jedné IP adresy na různé cílové servery podle hostname. Ani další speciální možnosti, kterými disponuje vyspělá Reverse Proxy.

Abychom mohli SSL funkce použít, tak náš FortiGate model musí podporovat SSL Offloading, což se dozvíme v FortiOS 5.6.3 Feature/Platform Matrix.

Konfigurace je snadná:

  • volitelně vytvoříme Policy & Objects > Health Check
  • vytvoříme Policy & Objects > Virtual Servers kam zařadíme cílové adresy
  • vytvoříme pravidlo Policy & Objects > IPv4 Policy, kde virtuální server použijeme jako Destination

Řadu speciálních nastavení (třeba určení povolených šifer) můžeme provést pouze pomocí CLI FortiOS 5.6 CLI Reference - Firewall.

Pozn.: Hledal jsem možnost, aby FortiGate přesměroval provoz z http na https (ne port forwarding, ale hlavička Location), ale to neumí. Už to vypadalo, že by to měl dělat příkaz set ssl-http-location-conversion enable na Firewall VIP, ale ten je pro situaci, kdy máme SSL Offloading Half (tedy https na Fortigate, ale na cílový server jde http), tak když server odpovídá a v HTTP hlavičce položky Location je http, tak jej změní na https.

Traffic Shaping - omezování provozu

Dokumentace Traffic Shaping, Limiting bandwidth with traffic shaping.

FortiGate podporuje zajištění Quality of Service (QoS) pomocí prioritizace a omezování šířky pásma. Díky Traffic Shaping můžeme omezovat pásmo pro určitého klienta či určitý typ provozu a tím zajistit dostatečné pásmo (bandwidth) a odezvu (latency) pro ostatní.

Realizace QoSu je docela komplikovaná záležitost. Máme k dispozici i řadu nastavení. Hlavní je, že v rámci Traffic Shaper můžeme definovat Max Bandwidth, pokud provoz přesáhne danou hodnotu, tak bude zahazován. A Guaranteed Bandwidth, provoz pod touto úrovní je prioritizován, takže by dané pásmo mělo být k dispozici. Záleží také na typu Shaperu, můžeme vytvořit Per-IP nebo Shared, který defaultně rozděluje pásmo pro všechny politiky, kde je použit, nebo můžeme přepnout na Per Policy, kdy se aplikuje individuálně na každou politiku.

  • Policy & Objects > Traffic Shapers
FortiGate - Traffic Shapers

Poté vytváříme politiku Traffic Shaping Policy, kde určíme, jakého provozu se bude omezování týkat, a jaký Shaper se aplikuje. Určujeme odchozí interface a můžeme určit jiné omezení pro odchozí komunikaci (Shared Shaper) a příchozí komunikaci (Reverse Shaper) nebo použít Per-IP Shaper.

  • Policy & Objects > Traffic Shaping Policy
FortiGate - Traffic Shaping Policy

Security Profiles - bezpečnostní služby FortiGuard

Dokumentace Security Profiles, FortiGuard Security Subscriptions, FortiGuard Labs.

Abychom zvýšili bezpečnost a viditelnost (visibility) provozu, pro který jsme vytvořili firewallová pravidla (politiky), tak můžeme na tato pravidla aplikovat různé Security Profiles. Jedná se o kombinaci různých bezpečnostních vlastností na ochranu proti hrozbám (threats), obecně označované jako FortiGuard služby. Některé vlastnosti jsou zdarma, ale pro ostatní potřebujeme mít zaplacené předplatné (Subscription).

FortiGate - FortiGuard služby

Bezpečnostní vlastnosti, které chceme používat, si musíme povolit v System > Feature Visibility. Některé jsou dostupné pouze, pokud máme zapnutý Proxy Inspection Mode.

FortiGate - System > Feature Visibility

Kontrola provozu (Traffic Inspection) může probíhat tak, že FortiGate zkoumá síťový provoz po paketech, pak provádí analýzu provozu (Traffic Analysis), což se používá třeba pro IPS. Druhá možnost je analýza obsahu (Content Analysis), kdy se provoz bufferuje, dokud se nesestaví kompletní přenášené soubory, emailové zprávy, webové stránky apod. Ty jsou pak prozkoumány jako celek, například Antivirem, DLP, Web filtrem.

Některé užitečné Security Profiles:

  • Application Control - detekuje komunikující aplikace podle různých příznaků, takže pak v reportech vidíme více detailů, různé aplikace nebo jejich skupiny můžeme blokovat (a to nejen podle portů, jak je standardní). Od FortiOS 5.6.0 je FortiGuard služba Application Control zdarma a signatury se stahují samostatně (nejsou součástí IPS databáze). Jaká je aktuální verze vidíme v System > FortiGuard.
  • Intrusion Prevention - IPS signatury detekují škodlivý síťový provoz, jako je využití známých zranitelností nebo komunikace nakažených klientů na C&C servery, podezřelý provoz můžeme logovat nebo blokovat, pro aktualizaci definic musíme mít aktivní předplatné
  • Web Application Firewall - v dokumentaci k Security Profiles jsem k tomu nenašel žádnou zmínku, ale na FortiGate mám tuto službu, která by měla detekovat, a případně blokovat, určité útoky na publikované webové servery, jako je třeba Cross Site Scripting a SQL Injection nebo kontrolovat délku hlavičky, počet URL parametrů, apod.
  • SSL/SSH Inspection - standardně FortiGate neví, co je obsahem šifrované komunikace, aby mohl takovou komunikaci kontrolovat, tak se musí provést Full SSL Inspection (deep inspection), kdy se šifrovaná komunikace ukončí na FortiGate, dešifruje, a nově se naváže šifrované spojení. FortiGate k tomu používá vlastní certifikáty - certifikační autoritu, což může působit problém. Když klient přistupuje na web v internetu, tak FortiGate vystaví certifikát od své autority a ten zobrazí klientovi. Minimálně je tedy třeba distribuovat tento CA certifikát na klienty jako důvěryhodný. Navíc je zde možno nastavit výjimky na určité servery, kde se nepoužije (třeba banky). Podporuje protokoly HTTPS, SMTPS, POP3S, IMAPS, FTPS a SSH. Další možnost je využít pouze Certificate Inspection, kdy se kontrolují pouze hlavičky paketů.
  • FortiClient Compliance Profile - trochu jiný typ služby než ostatní, slouží k řízení FortiClient na počítačích
  • Proxy Options - některé kontroly definované v Security Profile vyžadují, aby byl provoz podržen v proxy v průběhu kontroly
FortiGate - Web Application Firewall

U každé FortiGuard služby máme nějaké předefinované profily, které specifikují parametry dané služby, a ty pak aplikujeme na FW pravidla. Můžeme si také vytvářet libovolné vlastní.

FortiGate - Security Profiles

Monitoring - logy a reporty

Dokumentace Dashboard, FortiView , Logging and Reporting, Logging FortiGate traffic and using FortiView.

Pro dohled, monitoring a ladění můžeme využít řadu funkcí.

  • Dashboard - rychlý pohled na vybrané informace (real-time a hlavní statistiky)
  • Log & Report - obecná práce s logy (záznamy o síťovém provozu procházejícím skrze FortiGate a provedené akce) a reporty (interpretace určitých informací z logu), také můžeme nastavit zasílání alert emailů
  • FortiView - monitorovací systém (prohlížení logů), který integruje real-time a historická data do jednoho pohledu
  • Monitor - dohled určitých vlastností jako routování, DHCP, Load Balance, VPN, WiFi

Dashboard

V základu máme připravený hlavní Dashboard, a můžeme si vytvořit několik dalších. Na Dashboard můžeme umisťovat různé Widgety, nastavovat jim umístění a velikost. Widgety jsou interaktivní, najetím se zobrazí informace a kliknutím nabídnout akce.

Widgetů je k dispozici celá řada:

  • Jedna skupina se týká našeho zařízení (systému a využití zdrojů), můžeme si zobrazovat systémové informace, info o licencích, aktivních administrátorech, využití CPU, paměti, disku, parametry VM.
  • Potom informace ze Security Fabric a FortiCloud.
  • A nakonec si můžeme zobrazit různé informace o provozu, jako přenosové pásmo na určitém portu (Interface Bandwidth) a statistiky/reporty z FortiView (třeba zdroje největšího přenosu, využívané aplikace, apod.), kde nastavujeme zobrazení (tabulka, graf, mapa) a periodu (okamžitě, 5 min, 1 hod, 24 hod).
FortiGate - Dashboard

Logging and Reporting

Pro všechny funkce musíme nejprve nastavit logování, abychom mohli získávat nějaké informace. V defaultním nastavení je logování minimalizováno, aby se šetřil diskový prostor, který logy zaberou. Pro většinu situací se hodí zapnout plné logování.

  • Log & Report > Log Settings
  • povolíme lokální logování na disk, lokální reporty i historické údaje (můžeme také nastavit Remote Logging and Archiving)
  • Local Traffic Log a Event Logging nastavíme na All, Display Logs From Disk
  • pokud chceme mít k dispozici detailní informace, tak musíme také na všech pravidlech (politikách) zapnout kompletní logování (jinak se budeme divit, že nemůžu v logu skoro žádný provoz nalézt)
  • Policy & Objects > IPv4 Policy - v politice v části Logging Options nastavíme All Sessions

Když nám logování funguje, tak si můžeme prohlédnout (a také stáhnout) kompletní logy určité kategorie a v nich filtrovat.

  • Forward Traffic - veškerý provoz procházející FortiGate jednotkou
  • Local Traffic - provoz na a z FortiGate jednotky (Local In Policy)
  • System Events a Security Audit Events - různé systémové události
  • Application Control a další - logy určitých vlastností, musí být použit odpovídající Security Profile na politikách, zde třeba seznam detekovaných aplikací a související informace
FortiGate - Log - Forward Traffic

Pro různé události můžeme nastavit zasílání informačního emailu v Log & Report > Email Alert Settings.

Poslední část jsou lokální FortiOS reporty, které se mohou automaticky generovat v určitém intervalu a případně zasílat na email. Poskytují centrální přehled o provozu a bezpečnosti na FortiGate jednotce. Log & Report > Local Reports.

Délka uchovávání logů

Na dvou FortiGate zařízeních, které jsem viděl, byla informace, že logy starší než 7 dní jsou automaticky mazány. V GUI není možno to nijak změnit, naštěstí je zde nastavení pomocí CLI, kde můžeme nastavit maximální stáří logů 0 až 3650.

config log disk setting
  set maximum-log-age 31

Aktuální nastavení si můžeme vypsat v daném kontextu.

  show full-configuration

FortiView

FortiView pracuje s logy, takže musíme mít prvně zapnuté logování na lokální disk. V menu FortiView se nachází řada různých konzolí, které jsou rozděleny do kategorií podle směrování provozu (využívá se zde zařazení portů do rolí) na provoz z interních sítí (LAN/DMZ), provoz z internetu (WAN) a veškerý provoz (All Segments).

  • Je zde zobrazení detailních informací podle zdroje provozu (Sources) nebo cíle provozu (Destinations nebo Servers), kde si můžeme řadit přenesená data.
  • Informace o detekovaných aplikacích pomocí Application Control (Applications a Cloud Applications).
  • Pod Threats se nachází detekované hrozby, což může být třeba blokovaný provoz či neúspěšné pokusy o připojení.
  • Pokud využíváme, tak zde nalezneme detaily o využití Traffic Shaping, WiFi Clients, VPN, FortiSandbox.
  • V kategorii All Segments se nachází i speciální konzole, jako je System Events, která zobrazuje určité bezpečnostní události na FortiOS, detekované zranitelnosti Endpoint Vulnerability, geografické znázornění hrozeb Threat Map.
  • Ke konci je užitečné zobrazení využití FW pravidel/politik (Policies) a portů/rozhraní (Interfaces).
  • Úplně na závěr je zobrazení všech spojení (All Sessions).
FortiGate - FortiView Sources

Pozn.: Některé konzole FortiView, jako je třeba Applications a Web Sites, obsahují informace pouze, pokud používáme odpovídající Security Profile.

FortiGate - FortiView Applications

Rozhraní FortiView konzole má standardně tři části. Horní ovládací lištu, kde můžeme nastavovat filtr a parametry zobrazení. Důležitá věc je časový interval, za který se údaje zobrazují. Možnosti jsou (podle FortiGate modelu) nyní, 5 minut, 1 hodina a 24 hodin. Starší údaje než jeden den ve FortiView nezobrazíme. Dále se může nacházet určitý graf (pokud je interval zobrazení minimálně 60s). A zobrazení dat, nejčastěji formou tabulky. Zobrazení je interaktivní, takže můžeme vyvolávat různé akce. Na řádcích tabulky se dá dvojklikem zobrazit detail či vyfiltrování hodnot (Drill Down to Details).

FortiClient

Dokumentace FortiClient Free Downloads, FortiClient licensing, FortiGate Client limits.

Na klienty můžeme nainstalovat zdarma FortiClient aplikaci, která se skládá z různých komponent. Základní funkce je detekování zranitelností (Vulnerability Scan) na klientovi a vynucování shody nastavení (Compliance Enforcement). FortiClient se zaregistruje k FortiGate a tam pak získáváme různé informace (třeba FortiView > Endpoint Vulnerability) a k logovanému provozu se přiřazuje jméno přihlášeného uživatele. Další funkce jsou VPN klient, Firewall, Antivirus, Web Filter, SandBox, SSO.

FortiClient install

Podle informací samostatný FortiClient nepotřebuje licenci (takže jej třeba můžeme použít jako domácí antivir). Pokud jej chceme spravovat z FortiGate, tak máme licenci na 10 klientů zdarma, další se musí dokupovat. Pro další centrální řízení se používá Enterprise Management Server (EMS).

FortiCloud

Dokumentace FortiCloud, Central Management - FortiCloud.

Fortinet nabízí webovou (cloud) platformu pro centrální správu FortiGate zařízení (a také FortiWiFi a FortiAP). Do FortiCloud připojíme jednu nebo více FortiGate jednotek a získáme možnost ukládání logů a jejich zpracování (Analyse), správu konfigurace (u podporovaných platforem), zálohování konfigurace, vzdálený přístup na zařízení (Management) a Sandbox (Advanced Threat Detection, simulační prostředí kam se umístí objekty a detekuje se, zda nejsou škodlivé).

Zajímavé je, že částečně omezená verze je zdarma (pro plné funkce je třeba koupit Subscription). Bez předplatného nabízí uchování logů po dobu 7 dní, předefinované reporty a FortiCloud Sandbox s limitem 100 souborů denně. FortiGate VM00 umí uchovávat logy pouze po dobu 7 dní (doplněno - pomocí CLI můžeme nastavit delší interval), cože je stejné jako FortiCloud bez předplatného (pokud si zaplatíme, tak můžeme mít až jeden rok). Ale FortiView lokálně pracuje s historií maximálně 1 den, ve FortiCloudu můžeme pracovat i s delšími intervaly.

Pro zprovoznění FortiCloudu:

  • na webu FortiCloud vytvoříme jednoduchý účet
  • na Dashboardu najdeme Widget FortiCloud, kde vidíme stav neaktivní
  • klikneme do widgetu a zvolíme Activate FortiCloud
  • zde zadáme přihlašovací údaje k našemu účtu (můžeme jej zde i vytvořit), také můžeme rovnou nechat nastavit odesílání logů (při prvním připojování jsem dostával neznámou chybu, ale po pár opakováních vše prošlo)
  • dostaneme informaci, že FortiCloud byl aktivován
  • pokud chceme napojení zrušit, tak na widgetu zvolíme Logout

Pokud chceme skrze FortiCloud provádět správu našeho zařízení, tak musíme povolit:

  • System > Settings
  • v části Central Management přepneme z None na FortiCloud

Když toto nastavíme, tak se naváže šifrovaný tunel z FortiGate do FortiCloud a ten umožní komunikaci z venku na FortiGate. Můžeme se pak připojit z internetu na naše admin rozhraní FortiGate a vzdáleně provádět akce, jako je záloha konfigurace. Pokud toto nepovolíme, tak ve FortiCloudu uvidíme u zařízení stav Management Tunnel is Down.

Nastavení odesílání logů do FortiCloudu:

  • Log & Report > Log Settings
  • v části Remote Logging and Archiving zapneme Send Logs to FortiCloud
  • a nastavíme interval
  • při ukládání dostaneme informaci, že při vzdáleném logování se nedoporučuje používat zároveň lokální (podle mne je to na zvážení)
FortiGate - Send Logs to FortiCloud

Při prohlížení logů na FortiGate, třeba v Log & Report > Forward Traffic, můžeme v ovládací liště v pravém horním rohu (na ikoně) změnit zdroj dat na FortiCloud. Stejně tak si můžeme prohlížet logy a data přímo na webu FortiCloud.

zobrazeno: 12125krát | Komentáře [29]

Autor:

Související články:

Bezpečnost

Nástroje zajišťující bezpečnost. Primárně Firewall a podobné.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

  1. [1] KarelS

    Děkuji za super článek. Měl bych jen jednu otázku pochopil jsem správně že bez FortiCloudu nejsem schopen prohlížet logy starší než 1 den byť se ukládá 7 dni? Je nějaká možnost ukládat a prohlížet logy třeba za celý rok bez využití FortiCloudu (prostě lokálně)? Díky.

    Neděle, 25.02.2018 16:21 | odpovědět
  2. [2] Ondřej Hornig

    odpověď na [1]KarelS: tohle je odvislé od verze fortigate. Obecně modely končící 0 (napr. 60E) v sobě nemají disk. Pak není kam ukládat a logy se dají odkládat jen do ram, které není mnoho a ani není dobré ji logy zabírat. Modely končící 1 (např. 61E) disk mají a logy se dají ukládat tam. Pak už je to jen o konfiguraci a jejich počtu. Různé modely mají disky různé velké.

    Neděle, 25.02.2018 23:30 | odpovědět
  3. [3] Samuraj

    odpověď na [1]KarelS: V tom virtuálním modelu, který používám. Pomocí FortiView mohu prohlížet maximálně 24 hodin staré "reporty". Ale pomocí Log & Report zobrazím veškeré logy, které mám k dispozici. Ta virtuální verze mne nenechá logovat víc než týden (nevím, zda by nepomohlo zvětšit disk pro logy, ale v tuto chvíli je skoro prázdný a stejně to dovolí jen týden). Moc nechápu tato omezení.

    Pondělí, 26.02.2018 07:56 | odpovědět
  4. [4] kyssling

    Dobrý den obecná otázka: Jaký HW Firewall byste doporučili pro firmu cca 25 zaměstnanců. Váhal jsem mezi Kerio NG 300, Zyxell Zywall USG110 a Fortinetem (verzi si nepamatuji). Nakonec vzhledem k bídné podpoře ze strany GFI dáme přednost Zyxelu.

    Nahrazujeme LinuxFW. (pár vzdálených přístupů, jinak nic speciálního nechceme). Prioritou je bezpečnost (proto měníme - chci nově antivir+multiwan) a pak cena. Díky za eventuelní tipy ...

    Úterý, 27.02.2018 14:48 | odpovědět
  5. [5] KarelS

    Zywall má dobrý poměr cena/výkon sám jej momentálně provozuji (starší USG300). Nicméně se rozhlížím po něčem lepsim hlavně právě z pohledu možností monitorovat provoz a kvalitní reporting. To mi bohužel u Zywallu chybí. Co jsem se tak dívám tak se mi líbí Sophos nebo právě Fortinet i když ten jsem bohužel neměl možnost vidět v produkci.

    Úterý, 27.02.2018 17:04 | odpovědět
  6. [6] Elvi

    odpověď na [1]KarelS:

    u fortigate muzes nastavit SysLog server, na ktery je veskery logovani prehazovano a z tama muzes analyzovat

    Úterý, 27.02.2018 21:44 | odpovědět
  7. [7] Elvi

    odpověď na [4]kyssling: rekl bych ze verze Fortigate 50E je idealni. na dalcish 10 let pokoj :)

    Úterý, 27.02.2018 21:46 | odpovědět
  8. [8] Strnadk

    Zajímalo by mě zda preferujete firewall jako HW applianci nebo virtuální applianci? Zatím měl vždy HW ale premyslim... zda ten Fortigate nepořídit virtuální?

    Středa, 28.02.2018 00:17 | odpovědět
  9. [9] Samuraj

    Zrovna jsem se díval na ty malé appliance a optimální mi připadá FortiGate-61E, docela mne překvapila nízká cena (víc se platí za předplatné, pokud je člověk chce).

    V řadě případů se více kloním k HW řešení (a zajímavé je i využití VDOM), ale někde se virtuální vyloženě hodí. A pokud si dobře zabezpečím tu virtuální vrstvu (třeba přivedení nezabezpečené linky - internet), tak proč ne.

    Středa, 28.02.2018 08:08 | odpovědět
  10. [10] Michal Zobec

    ahoj, díky moc za nový a konečně pro mne zajímavý článek :) zajímalo by mne na základě čeho jsi vybral fortinet? tedy pokud výběr byl na tobě?

    Sobota, 03.03.2018 01:07 | odpovědět
  11. [11] Michal Zobec

    odpověď na [4]kyssling: mohl bych vědět víc o těch problémech s podporou ze strany GFI?

    Sobota, 03.03.2018 01:09 | odpovědět
  12. [12] Samuraj

    odpověď na [10]Michal Zobec: V cloudu to bylo jediné, co bylo k dispozici :-). Ale ještě vybírám FW na jiné místo a Fortinet je žhavý kandidát kvůli vlastnostem, rozšíření, rozhraní (to je pro mne dost důležité) a ceně.

    Sobota, 03.03.2018 09:38 | odpovědět
  13. [13] Michal Zobec

    odpověď na [12]Samuraj: možná by bylo fajn zrovna tyto informace uvést :) já právě kvůli tomu váhám mezi fortinetem, zyxel usg a případně kerio firewall. já teda bych upřednostnil spíše hw appliance.

    Pondělí, 05.03.2018 05:14 | odpovědět
  14. [14] Alivo

    odpověď na odpověď na [3]Samuraj: Samuraj: Omezeni je nejspis kvuli tomu, aby lidi ukladali napr. prave na Forticloud nebo Fortianalyzer potazmo fortimanager. Je o nejspis marketingova vec. Dalsi vec by mohla byt zivotnost disku. V pripade VM by to fortinetu mohlo byt jedno, nicmene se asi developerum toto nechtelo rozlisovat. Preci jenom prodavat HW a SW je rozdil...odpověď na odpověď na [3]Samuraj: Samuraj:

    Pondělí, 05.03.2018 20:52 | odpovědět
  15. [15] Alivo

    Jeste lze ukladat z fortigatu na syslog...

    Pondělí, 05.03.2018 20:53 | odpovědět
  16. [16] Alivo

    odpověď na [8]Strnadk: Virtualni firewall ma mnoho nevyhod a to je predevsim performance. V pripade FortiGateVM prijdete o hardware acceleration - content processors a network processors a security processory proste ve VMku nenajdete :). V pripade VM to vsechno tahne CPU, ktere nikdy nedosahne stejne efektivy jako vyse zmineny hardware.

    Pondělí, 05.03.2018 21:07 | odpovědět
  17. [17] mateo22

    Ahojte,

    spravuji 5 fortin (3x 90D, 2x100D a 1x200D) a to více než 5 let, vše běží na 5.6.3 a na HW. Do VM bych nešel z mnoha důvodů viz. příspěvek od Alivo. Zatím převládá spokojenost, ale přechody mezi verzemi 5.0 -> 5.2 -> 5.4 -> 5.6 bývá někdy o nervy. Doporučuji mít HA nebo počkat na 2 až 3 release ve verzi. Téma logování je spíš marketingová záležitost, tak aby se prodávali FortiAnalyzery nebo místo na ForiCloudu. Zkoušel jsem i posílát na syslog, ale pro mě je to nepřehledné. S Forticlientem je také někdy pěkná "sranda" :-).

    Středa, 07.03.2018 15:10 | odpovědět
  18. [18] Madmucho

    Pokud řešíte firewall typu NG zkuste taky ještě kouknout po Sophos UTM nebo NG. Určitě jsou si tyto firewally navzájem konkurencí, a u toho Sophosu si mužete provozovat home verzi co je free pro 50 ipček v lan.

    Žádně boxy navíc nemusíte kupovat, vše je in v teto verzi jde i HA.

    Čtvrtek, 08.03.2018 22:09 | odpovědět
  19. [19] Čtvrtek

    Dobrý den, koukám, že se tu objevil i Fortinet. Tak k tomu mám taký myslím co říct.

    Rozhodovaní mezi Kerio, Zyxel a Fortinetem je myslím z hlediska bezpečnosti jednoznačné pro Fortinet. Fortigatu ostatní 2 nesahají ani po kotníky.

    Nicméně jde taky o cenu a tam je zase u Fortinetu někde úplně jinde než Zyxel a Kerio.

    A ještě jedna věc, i když ta bude asi u všech hodně podobná. Je to support a ochota řešit chyby, případně ochota vytvořit i pro prťavého klienta z ČR patch pro jeho prťavý firewall např. 200D, 300D. Přeci jen to jsou mezinárodní firmy a nějaký malý zákazník z "východu" je moc netrápí.

    Příklad z poslední doby. Fortigate 300 v HA 5.6.2, box padá do conserve mode. Odpověď od Fortinetu: našli jsme podobné chování ve verzi 5.6.3 a je to pravděpodobně chyba wad, nebo ips enginu, oprava je ve verzy 5.6.4. Na otázku kdy že bude software 5.6.4, je odpověď hádejte, můžete dvakrát. Ano C je správně: "to nidko" neví. :-))) Takže máte firewall za 100-tisíce, ale kvůli chybě nemůžete používat ty security funkce jako IPS, web filtering, APPCTRL atd, protože tam je chyba a vytěžuje to box, tak že se sekne a vytíží se mu pamět a spadne do conserve modu, supeeer. A oprava není a výrobce neví kdy bude. A jen pro vás žádnou opravu rozhodně nenapíšou, na to jste moc malý.

    Ale jak říkám, pžná takovéto scénáře existují i u jiných výrobců a Fortinet není jediný.

    Sobota, 10.03.2018 19:38 | odpovědět
  20. [20] Matesovic

    Pěkný článek. Před odchodem od bývalého zaměstnavatele, kde byl corporate standard firewall od CheckPointu se počítal business case právě proti Fortigate a za cenu maintenanci na CP jsme dostali nové boxy Fortigate. U implementace už jsem nebyl, ale vím, že se s tím kluci dost trápili. Údajně byl problém přímo s boxem. Teď už si to sedlo, ale podobný pohled co zmiňuje Čtvrtek je dost stejný. U stávajícího zaměstnavatele používáme Kerio Control. Přecházeli jsme z HW boxu (nějaké PCko) na VM platformu na Hyper-V v HA režimu (HP VSA, MS Cluster) a funguje spolehlivě. Přes Kerio Control přistupuje cca 30 uživatelů (klasický provoz e-mail, www, pak vzdálený přístup přes Kerio Control VPN klienta a také Citrix). S ohledem na cenu = funkcionalita POHODA. Ohledně podpory tzn. GFI je snad možné v rámci podpory řešit ZDARMA pouze jeden ticket...ostatní je placená služba. Nevím nemám zkušenost, jelikož řešení je funkční a když jsme něco řešili, tak Google vždy pomohl.

    Úterý, 13.03.2018 08:06 | odpovědět
  21. [21] StrnadK

    odpověď na [16]Alivo: Souhlasím, zůstanu u HW firewallu. Nicméně co říkáte na virtuální Fortianalyzer? Je to levnější než HW analyzer a na výkon by to již nemuselo být tak kritické... Nemáte s tím někdo zkušenost? Díky.

    Čtvrtek, 15.03.2018 16:19 | odpovědět
  22. [22] StrnadK

    odpověď na [20]Matesovic: Trochu mimo téma, ale nedá mi to, rád bych se zeptal jak jste spokojeni s řešením HP VSA namísto HW diskového pole? Díky.

    Čtvrtek, 15.03.2018 16:23 | odpovědět
  23. [23] kyssling

    odpověď na [11]Michal Zobec: Dobrý den vycházím z následujících zdrojů :

    http://forums.kerio.com/?t=msg&goto=136596&

    http://forums.kerio.cz/m/16858/

    https://www.lupa.cz/clanky/odchody-lidi-a-smirovaci-software-ceske-kerio-je-po-akvizici-od-gfi-v-rozkladu/

    + zkušenost našeho externisty ohledně dotazů na HWFW (v Zebře tomu pořádně rozumí jeden člověk ...)

    Pondělí, 19.03.2018 15:54 | odpovědět
  24. [24] Samuraj

    Tak jsem se dozvěděl, že délka logování se nastavuje pomocí CLI :D a můžu dát mnohem více než 7 dní. Doplním do článku.

    Pondělí, 09.04.2018 10:37 | odpovědět
  25. [25] PetrS_HK

    odpověď na [9]Samuraj: K tomu Fortigate: Na doma a do malicke firmy je velmi zajimave je FWF61E v kombinaci s FortiAP to luxusne pokrylo potreby celeho domu i laborky.

    Pro firmu bych uvazoval o HA. Pak je lepsi volba model bez integrovaneho radia (FGT61E) a radia zvlast.

    Pro vetsi pozadavky jsou vetsi boxy.

    Vyhoda HW boxu je HW offload toho co se offloadovat da (typicky non UTM traffic).

    Vyhoda VM je lepsi skalovatelnost a brutalni vykon v UTM aplikacich (mas poradne CPU) za cenu vetsiho zdrzeni.

    Středa, 13.06.2018 17:17 | odpovědět
  26. [26] Michal

    odpověď na [19]Čtvrtek: Taky máte nově několik Fortigate a zatím pohoda. Jeden ticket už jsem s Fortinetem řešil (objevil jsem jim bug) a trvalo to sice hodně dlouho, ale vyřešili to. Rozhodně množství funkcí těch prvků je velké a cenově nevychází špatné.

    Čtvrtek, 21.06.2018 13:45 | odpovědět
  27. [27] kyssling

    Používáte někdo dual WAN (obě linky aktivní) na tom Fortinetu (u Zyxelu 110 jsme museli nahrát neoficiální firmware, jinak se rozpadal https protokol - online bankovnictví, datové zprávy např. nefungovaly správně)?

    A jestli je tady nějaký specialista ... Mám problém s připojenými VPN klienty zvenku, čas od času se jim klient odpojuje (internet jim jede) a pomocí různých měření jsem zjistil, že máme na hlavním připojení firmy mikrovýpadky uploadu trvající třeba 5 vteřin ... Netušil jsem, že je VPN tak náročné na kvalitu připojení ...

    Pátek, 22.06.2018 13:31 | odpovědět
  28. [28] mateo22

    [29]mikrovýpadek 5 vteřin? Tomu bych neříkal mikro. To bych radši vyměnil ISP. Zkoušel jsi polovit "keep alive" jak na Fortigate, tak na klientovi? Btw, používáš SSL nebo IPSec VPN ? Se "split tunnelingem" ? Jakou máš verzi FortiOS a jakou mají klienti?

    Pondělí, 25.06.2018 16:05 | odpovědět
  29. [29] kyssling

    [30]Děkuji za odpověď, špatně jsem se vyjádřil, používáme router Zyxel USG110. Používáme SSL. Možnost "Keep alive" jsem nalezl pouze na L2TP VPN (ne u SSL a IPSec) a "split tunneling" vůbec.

    Budu muset trvat na zlepšení linky od ISP ... (download OK, ale upload mívá výpadky).

    Úterý, 26.06.2018 14:00 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách