www.SAMURAJ-cz.com 

09.07.2020 Drahoslava Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Série článků (seriály, skupiny)

Fortinet FortiGate a další

Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate.

Fortinet FortiGate

FortiGate je pokročilý Firewall (bezpečnostní brána) společnosti Fortinet, označuje se jako Next Generation Firewall (NGFW). Existuje řada modelů, které jsou buď fyzické (hardwarová appliance) nebo virtuální (pro různé hypervisory - VMware vSphere, Microsoft Hyper-V, Citrix XenServer, OpenXEN, KVM). Zde se věnujeme virtuální verzi, ale na tom příliš nezáleží, protože všechny FortiGate jsou vybaveny stejným operačním systémem FortiOS. Článek popisuje zprovoznění virtuální verze Fortinet FortiGate VM00. Následuje stručný popis hlavních operací, nastavení a vytváření komunikačních pravidel. Na konci jsou stručně zmíněny různé pokročilé funkce.
09.04.2018 | 25.02.2018 | Samuraj - Petr Bouška | administrace | 28790x | Komentáře [29]

FortiAnalyzer základní konfigurace

FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.
21.05.2020 | 29.02.2020 | Samuraj - Petr Bouška | administrace | 1658x | Komentáře [0]

FortiGate High Availability cluster a Virtual Domains (VDOM)

Firewall na perimetru sítě je náš centrální bod pro přístup do internetu a dalších sítí. Určitě nechceme, aby šlo o Single Point of Failure, takže potřebujeme řešit redundanci a nejlépe rovnou cluster, který zajistí vysokou dostupnost (High Availability). Cluster nám řeší jednotnou konfiguraci a přepínání jednotek v případě výpadku (nejen zařízení, ale třeba i linky). Když jsme pořídili dvě zařízení, tak je můžeme chtít co nejlépe využít. Pro některé situace se mohou hodit virtuální domény (VDOM). Ty nám dovolí rozdělit FortiGate na několik částí, které pracují samostatně. Tedy vytvořit z jednoho zařízení (nebo clusteru) několik virtuálních firewallů.

FortiGate uživatelé, skupiny a autentizace vůči LDAP (AD DS)

FortiGate podporuje různé typy uživatelů a uživatelských skupin. Uživatelé se mohou autentizovat nejen lokálně, ale také vůči externím serverům. Užitečná je autentizace vůči LDAP serveru, tak můžeme využít uživatele v Microsoft doméně (Active Directory Domain Services). Uživatele a skupiny můžeme používat v bezpečnostních politikách nebo pokud vytváříme VPN připojení. I správci FortiGate jednotky se mohou přihlašovat doménovým účtem.

FortiGate autentizace certifikátem do SSL VPN

Minule jsme si popsali uživatelské účty na FortiGate a ověření lokálně či vůči vzdáleným serverům (LDAP). Dnes se podíváme na možnosti vícefaktorové autentizace (MFA). Speciálně využití digitálního certifikátu pro přihlášení do SSL VPN. Ukážeme si, jak můžeme využít běžnější uživatelský, ale také počítačový certifikát.

FortiGate dvoufaktorová autentizace s použitím OTP

Další pokračování, které se věnuje možnostem vícefaktorové autentizace (MFA) na FortiGate. Podíváme se na dvoufaktorovou autentizaci (2FA) pomocí OTP (One-time Password) zaslaného na email nebo jako SMS zpráva. Použití je pro přihlášení do SSL VPN, ale můžeme využít i jinde.

FortiGate konfigurace SSL VPN

Po několika úvodních článcích, které se věnovali autentizaci uživatelů, je tu rozsáhlý díl o konfiguraci SSL VPN. Snažil jsem se udělat popis hodně komplexně, protože oficiální dokumentace je pro mne nedostatečná. Pro vytvoření základního VPN připojení stačí pár jednoduchých kroků (příklady jsou v oficiální dokumentaci). Tento článek by měl ukazovat i všechny speciální možnosti, které můžeme nastavit. Věnuje se vazbám mezi jednotlivými částmi konfigurace. A snaží se o globální pohled, který přechází do popisu detailů.
07.05.2020 | 29.04.2020 | Samuraj - Petr Bouška | administrace | 1518x | Komentáře [0]

FortiGate SSL VPN Host Check - kontroly klienta při připojení

V tomto článku doplníme poslední část k dříve popsanému vytvoření SSL VPN na FortiGate. Budeme se věnovat kontrolám klienta při připojení do SSL VPN. Na klientovi můžeme ověřit řadu věcí a podle výsledku kontroly rozhodnout, zda se může nebo nemůže připojit do VPN. Kontroly můžeme provádět pouze na operačním systému Windows (něco málo na Macu). Ověřovat můžeme verzi operačního systému, přítomnost antiviru a firewallu, klientskou MAC adresu, existenci určitého souboru, procesu nebo klíče v registrech.

FortiGate konfigurace, upgrade, mody provozu, síťová rozhraní, CLI

Článek se věnuje základní konfiguraci (instalace a upgrade) fyzické appliance Next Generation Firewall Fortinet Fortigate. Popisuje možné módy provozu (operační mód, inspekční mód a NGFW mód). Rozebírá fyzická i virtuální síťová rozhraní. Zmiňuje základy použití příkazové řádky (CLI). A na závěr možnost automatického zálohování konfigurace.