www.SAMURAJ-cz.com 

24.10.2021 Nina Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Série článků (seriály, skupiny)

Bezpečnost

Nástroje zajišťující bezpečnost. Primárně Firewall a podobné.

Fortinet FortiGate

FortiGate je pokročilý Firewall (bezpečnostní brána) společnosti Fortinet, označuje se jako Next Generation Firewall (NGFW). Existuje řada modelů, které jsou buď fyzické (hardwarová appliance) nebo virtuální (pro různé hypervisory - VMware vSphere, Microsoft Hyper-V, Citrix XenServer, OpenXEN, KVM). Zde se věnujeme virtuální verzi, ale na tom příliš nezáleží, protože všechny FortiGate jsou vybaveny stejným operačním systémem FortiOS. Článek popisuje zprovoznění virtuální verze Fortinet FortiGate VM00. Následuje stručný popis hlavních operací, nastavení a vytváření komunikačních pravidel. Na konci jsou stručně zmíněny různé pokročilé funkce.
09.04.2018 | 25.02.2018 | Samuraj - Petr Bouška | FortiGate admin | 35018x | Komentáře [29]

Bezpečná evidence přístupových údajů - SecureAnyBox

V posledních letech se vymýšlí způsoby, jak řešit přihlašování do informačních systémů, protože jich užíváme stále větší množství. Převládající jsou přesto stále hesla. Ta mají řadu nevýhod, jako jednoduché heslo je možno rychle prolomit, složité heslo se hůře pamatuje. Pokud do všech systémů použijeme stejné heslo, tak pokud jej útočník získá, tak nám může kompromitovat mnoho systémů najednou. Takže je třeba používat pro každý systém/účet jiné heslo a hesla dostatečně složitá. Ta si většinou nedokážeme pamatovat, takže do hry přichází nějaký správce hesel nebo honosněji systém na správu přístupových (přihlašovacích) údajů. V první polovině článku probereme obecné věci, v druhé si popíšeme jednu speciální aplikaci.
04.04.2019 | 21.10.2018 | Samuraj - Petr Bouška | administrace | 7336x | Komentáře [12]

Bezkontaktní čipové technologie a přístupové systémy

Bezkontaktní čipy, ať již v podobě karty nebo klíčenky, a dnes také jako součást mobilních telefonů, jsou již řadu let velmi oblíbené. Jejich použití je široké, jednou z podstatných oblastí jsou přístupové systémy, tedy jednoduše otevírání dveří. Na první pohled vše vypadá jednoduše, ale v pozadí je řada různých technologií, rozličné standardy a různí výrobci. Zkusil jsem dát dohromady základní informace, ale mnoho detailů se těžko dohledává.

FortiAnalyzer základní konfigurace

FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.
21.05.2020 | 29.02.2020 | Samuraj - Petr Bouška | FortiGate admin | 4454x | Komentáře [0]

FortiGate High Availability cluster a Virtual Domains (VDOM)

Firewall na perimetru sítě je náš centrální bod pro přístup do internetu a dalších sítí. Určitě nechceme, aby šlo o Single Point of Failure, takže potřebujeme řešit redundanci a nejlépe rovnou cluster, který zajistí vysokou dostupnost (High Availability). Cluster nám řeší jednotnou konfiguraci a přepínání jednotek v případě výpadku (nejen zařízení, ale třeba i linky). Když jsme pořídili dvě zařízení, tak je můžeme chtít co nejlépe využít. Pro některé situace se mohou hodit virtuální domény (VDOM). Ty nám dovolí rozdělit FortiGate na několik částí, které pracují samostatně. Tedy vytvořit z jednoho zařízení (nebo clusteru) několik virtuálních firewallů.
01.05.2021 | 05.03.2020 | Samuraj - Petr Bouška | FortiGate admin | 4841x | Komentáře [2]

FortiGate uživatelé, skupiny a autentizace vůči LDAP (AD DS)

FortiGate podporuje různé typy uživatelů a uživatelských skupin. Uživatelé se mohou autentizovat nejen lokálně, ale také vůči externím serverům. Užitečná je autentizace vůči LDAP serveru, tak můžeme využít uživatele v Microsoft doméně (Active Directory Domain Services). Uživatele a skupiny můžeme používat v bezpečnostních politikách nebo pokud vytváříme VPN připojení. I správci FortiGate jednotky se mohou přihlašovat doménovým účtem.

FortiGate konfigurace, upgrade, mody provozu, síťová rozhraní, CLI

Článek se věnuje základní konfiguraci (instalace a upgrade) fyzické appliance Next Generation Firewall Fortinet Fortigate. Popisuje možné módy provozu (operační mód, inspekční mód a NGFW mód). Rozebírá fyzická i virtuální síťová rozhraní. Zmiňuje základy použití příkazové řádky (CLI). A na závěr možnost automatického zálohování konfigurace.

FortiGate dvě připojení k internetu (Dual WAN)

Připojení firmy k internetu je dnes zásadní věc a většinou se požaduje, aby bylo bezvýpadkové (v rámci možností). Můžeme využívat jednoho ISP, který řeší vysokou dostupnost (redundanci) svými prostředky (třeba přivedením dvou nezávislých optických tras). Nebo mít dva (či více) různé ISP, pak musíme řešit sami využití linek a případné přepínání. Také můžeme mít dvě linky k internetu a chtít manuálně rozdělit provoz. FortiGate má několik možností, jak tyto situace řešit. Nejvíce se zaměřujeme na SD-WAN. Docela důležitá je otázka, zda řešíme pouze přístup do internetu nebo také publikujeme nějaké služby na veřejných IP adresách.

FortiGate Firewall politiky, NAT, Load Balancing, Debug

Základní vlastností Firewallu je řízení síťového provozu. To provádíme definováním bezpečnostních politik. V tomto článku se podíváme na základní vlastnosti politik. Dále rozebereme možnosti překladu adres (NAT - Network Address Translation). Jednak překlad zdrojové adresy pro komunikaci klientů do internetu. Pak také překlad cílové adresy pro publikaci serverů. S tím také souvisí rozvažování provozu na více serverů (Server Load Balancing). Popíšeme si základní objekty pro politiky, jako jsou služby a adresy. Na závěr je stručná zmínka o možnostech troubleshootingu provozu.

FortiGate 6.2.3 bugy, debug a podpora

Článek postupně doplňuji a také různé věci testuji na novější verzích. Takže se netýká pouze FortiOS 6.2.3, ale obecně 6.2.x a 6.4.x. Před pár měsíci jsme nasadili FortiGate Firewally do provozu a od té doby stále řeším řadu problémů. Myslím, že řada z nich není způsobena mojí neznalostí či chybou konfigurace, ale chybou vlastního FortiOS. S jednou věcí jsem se dokonce obrátil na Fortinet Support a podělím se zde o moje špatné zkušenosti. Rozhodl jsem se sepsat problémy, na které si vzpomenu, a u toho největšího popsat kroky, které jsem prováděl pro zjištění příčiny problému.
02.05.2021 | 04.09.2020 | Samuraj - Petr Bouška | FortiGate admin | 7631x | Komentáře [26]

FortiGate NAT64 - publikace serveru s interní IPv4 na IPv6

Obecně se nedoporučuje používat pro IPv6 žádnou formu překladu adresu (NAT). Lepší by bylo využít například Dual Stack a IPv6 adresy mít na Front End serverech spolu s IPv4. Ale mohou nastat situace, kdy potřebujeme co nejjednodušším způsobem zajistit dostupnost existující služby přes IPv6. K dispozici máme NAT64, kdy do IPv6 sítě zveřejníme adresu, kterou překládáme na existující interní IPv4 adresu. Na serverech není třeba žádná změna. Bohužel NAT64 Policy na FortiGate má řadu omezení, hlavně nepodporuje žádné Security Profiles.

FortiGate autentizace RADIUS, skupiny a MS NPS

Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.

FortiGate identifikace uživatelů pomocí FSSO - Fortinet Single Sign-On

Na FortiGate můžeme využít techniku Fortinet Single Sign-On (FSSO), kterou Fortinet označuje jako autentizační protokol pro transparentní ověření uživatelů. Díky ní přiřazuje k IP adrese jméno uživatele, který se z ní přihlásil. V komunikaci, kde se používá zdrojová IP adresa, tak můžeme místo IP adres využít uživatele a skupiny. FSSO má řadu různých možností a využití. Zde se ale zaměříme na napojení na Active Directory doménu a využití pouze pro identifikaci uživatelů v lozích.