FortiGate je pokročilý Firewall (bezpečnostní brána) společnosti Fortinet, označuje se jako Next Generation Firewall (NGFW). Existuje řada modelů, které jsou buď fyzické (hardwarová appliance) nebo virtuální (pro různé hypervisory - VMware vSphere, Microsoft Hyper-V, Citrix XenServer, OpenXEN, KVM). Zde se věnujeme virtuální verzi, ale na tom příliš nezáleží, protože všechny FortiGate jsou vybaveny stejným operačním systémem FortiOS. Článek popisuje zprovoznění virtuální verze Fortinet FortiGate VM00. Následuje stručný popis hlavních operací, nastavení a vytváření komunikačních pravidel. Na konci jsou stručně zmíněny různé pokročilé funkce.

V posledních letech se vymýšlí způsoby, jak řešit přihlašování do informačních systémů, protože jich užíváme stále větší množství. Převládající jsou přesto stále hesla. Ta mají řadu nevýhod, jako jednoduché heslo je možno rychle prolomit, složité heslo se hůře pamatuje. Pokud do všech systémů použijeme stejné heslo, tak pokud jej útočník získá, tak nám může kompromitovat mnoho systémů najednou. Takže je třeba používat pro každý systém/účet jiné heslo a hesla dostatečně složitá. Ta si většinou nedokážeme pamatovat, takže do hry přichází nějaký správce hesel nebo honosněji systém na správu přístupových (přihlašovacích) údajů. V první polovině článku probereme obecné věci, v druhé si popíšeme jednu speciální aplikaci.

Bezkontaktní čipy, ať již v podobě karty nebo klíčenky, a dnes také jako součást mobilních telefonů, jsou již řadu let velmi oblíbené. Jejich použití je široké, jednou z podstatných oblastí jsou přístupové systémy, tedy jednoduše otevírání dveří. Na první pohled vše vypadá jednoduše, ale v pozadí je řada různých technologií, rozličné standardy a různí výrobci. Zkusil jsem dát dohromady základní informace, ale mnoho detailů se těžko dohledává.

FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.

Firewall na perimetru sítě je náš centrální bod pro přístup do internetu a dalších sítí. Určitě nechceme, aby šlo o Single Point of Failure, takže potřebujeme řešit redundanci a nejlépe rovnou cluster, který zajistí vysokou dostupnost (High Availability). Cluster nám řeší jednotnou konfiguraci a přepínání jednotek v případě výpadku (nejen zařízení, ale třeba i linky). Když jsme pořídili dvě zařízení, tak je můžeme chtít co nejlépe využít. Pro některé situace se mohou hodit virtuální domény (VDOM). Ty nám dovolí rozdělit FortiGate na několik částí, které pracují samostatně. Tedy vytvořit z jednoho zařízení (nebo clusteru) několik virtuálních firewallů.

FortiGate podporuje různé typy uživatelů a uživatelských skupin. Uživatelé se mohou autentizovat nejen lokálně, ale také vůči externím serverům. Užitečná je autentizace vůči LDAP serveru, tak můžeme využít uživatele v Microsoft doméně (Active Directory Domain Services). Uživatele a skupiny můžeme používat v bezpečnostních politikách nebo pokud vytváříme VPN připojení. I správci FortiGate jednotky se mohou přihlašovat doménovým účtem.

Článek se věnuje základní konfiguraci (instalace a upgrade) fyzické appliance Next Generation Firewall Fortinet Fortigate. Popisuje možné módy provozu (operační mód, inspekční mód a NGFW mód). Rozebírá fyzická i virtuální síťová rozhraní. Zmiňuje základy použití příkazové řádky (CLI). A na závěr možnost automatického zálohování konfigurace.

Připojení firmy k internetu je dnes zásadní věc a většinou se požaduje, aby bylo bezvýpadkové (v rámci možností). Můžeme využívat jednoho ISP, který řeší vysokou dostupnost (redundanci) svými prostředky (třeba přivedením dvou nezávislých optických tras). Nebo mít dva (či více) různé ISP, pak musíme řešit sami využití linek a případné přepínání. Také můžeme mít dvě linky k internetu a chtít manuálně rozdělit provoz. FortiGate má několik možností, jak tyto situace řešit. Nejvíce se zaměřujeme na SD-WAN. Docela důležitá je otázka, zda řešíme pouze přístup do internetu nebo také publikujeme nějaké služby na veřejných IP adresách.

Základní vlastností Firewallu je řízení síťového provozu. To provádíme definováním bezpečnostních politik. V tomto článku se podíváme na základní vlastnosti politik. Dále rozebereme možnosti překladu adres (NAT - Network Address Translation). Jednak překlad zdrojové adresy pro komunikaci klientů do internetu. Pak také překlad cílové adresy pro publikaci serverů. S tím také souvisí rozvažování provozu na více serverů (Server Load Balancing). Popíšeme si základní objekty pro politiky, jako jsou služby a adresy. Na závěr je stručná zmínka o možnostech troubleshootingu provozu.

Článek postupně doplňuji a také různé věci testuji na novější verzích. Takže se netýká pouze FortiOS 6.2.3, ale obecně 6.2.x a 6.4.x. Před pár měsíci jsme nasadili FortiGate Firewally do provozu a od té doby stále řeším řadu problémů. Myslím, že řada z nich není způsobena mojí neznalostí či chybou konfigurace, ale chybou vlastního FortiOS. S jednou věcí jsem se dokonce obrátil na Fortinet Support a podělím se zde o moje špatné zkušenosti. Rozhodl jsem se sepsat problémy, na které si vzpomenu, a u toho největšího popsat kroky, které jsem prováděl pro zjištění příčiny problému.

Obecně se nedoporučuje používat pro IPv6 žádnou formu překladu adresu (NAT). Lepší by bylo využít například Dual Stack a IPv6 adresy mít na Front End serverech spolu s IPv4. Ale mohou nastat situace, kdy potřebujeme co nejjednodušším způsobem zajistit dostupnost existující služby přes IPv6. K dispozici máme NAT64, kdy do IPv6 sítě zveřejníme adresu, kterou překládáme na existující interní IPv4 adresu. Na serverech není třeba žádná změna. Bohužel NAT64 Policy na FortiGate má řadu omezení, hlavně nepodporuje žádné Security Profiles.

Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.

Na FortiGate můžeme využít techniku Fortinet Single Sign-On (FSSO), kterou Fortinet označuje jako autentizační protokol pro transparentní ověření uživatelů. Díky ní přiřazuje k IP adrese jméno uživatele, který se z ní přihlásil. V komunikaci, kde se používá zdrojová IP adresa, tak můžeme místo IP adres využít uživatele a skupiny. FSSO má řadu různých možností a využití. Zde se ale zaměříme na napojení na Active Directory doménu a využití pouze pro identifikaci uživatelů v lozích.

FortiClient Endpoint Management Server (FortiClient EMS) slouží k centrální správě koncových stanic. Na počítačích využívá FortiClient agenta, kterého konfiguruje a získává pomocí něj informace. Podle licence máme k dispozici funkce pro vzdálený přístup, dnes označované Zero Trust Network Access (ZTNA). Nebo také Advanced Threat Protection (ATP), kde je Antivirus, Firewall a další. Zde se stručně podíváme na správu EMS a využití základní licence (nebudeme řešit pravý ZTNA princip a použití).

DNSSEC slouží k zabezpečení DNS záznamům před podvržením pomocí digitálního podpisu a řetězu důvěry. Pokud na doméně (DNS zóně) využíváme DNSSEC, tak podepisujeme všechny DNS zdrojové záznamy. DNS Resolver může díky tomu zkontrolovat, že záznam pochází od jeho vlastníka a nebyl změněn. Článek se pokouší (stručně) popsat princip fungování DNSSEC a souvisejících technologií.

DNSSEC slouží k zabezpečení DNS záznamům před podvržením. Na Windows Server můžeme nainstalovat roli DNS Server a provozovat Authoritative Name Server, který spravuje určitou doménu (zónu), nebo Recursive Name Server, který slouží k vyhledání odpovědi na DNS dotaz klienta. V obou případech je podporován DNSSEC. V článku si popíšeme, jak se DNSSEC na Microsoft DNS Serveru používá. Zaměříme se na podpis veřejné domény v internetu, ale zmíníme i další využití.