Обзор возможностей FortiOS 5.4

Обзор возможностей FortiOS 5.4

FortiOS 5.4 — специализированная операционная система, разработанная компанией Fortinet и являющаяся основой для всех платформ FortiGate. FortiOS эффективно реализует архитектуру, оптимизированную для аппаратного ускорения подсистемы безопасности посредством процессоров FortiASIC, устанавливаемых на платформах FortiGate. Это позволяет обеспечить комплексную защиту на уровне сети, приложений и данных в режиме реального времени.

 

 

 

1. Введение

2. Визуализация и администрирование

3. Журналирование и отчетность

4. Контроль над персональными устройствами

5. Профили безопасности

6. Антивирусная защита

7. Веб-фильтрация

8. Контроль приложений

9. Контроль доступа к облачным сервисам

10. Система предотвращения вторжений

11. Защита от спама

12. Система предотвращения утечек информации

13. FortiClient

14. Выводы

 

Введение

Недавно разработчик анонсировал выход обновленной операционной системы FortiOS 5.4, содержащей значительное количество нововведений. В сумме они позволят реализовать в корпоративных сетях стратегии внутренней сегментации и многоуровневой безопасности, направленные на защиту сетей от продвинутых угроз (Advanced Persistent Threats, APT). В процессе развития FortiOS накапливался опыт противодействия сетевым угрозам, целенаправленным атакам, уязвимостям нулевого дня, фишинговым атакам. Эксперты лаборатории FortiGuard поддерживают FortiOS, исследуя постоянно изменяющиеся угрозы информационной безопасности и предлагая эффективные решения по их устранению.

 

Таблица 1. Эволюция операционной системы FortiOS

Версия операционной системы

Год выпуска

Новые ключевые функциональные возможности

2.8

2005

Антиспам

3.0

2007

  • SSL VPN;
  • управление IM/P2P

4.0

2009

  • Система предотвращения утечек информации;
  • балансировка по WAN (Wide Area Network) каналам;
  • проксирование SSL;
  • контроль приложений

4.1

2009

  • Контроль беспроводных соединений;
  • IPv6 UTM;
  • журналирование SQL

4.2

2010

  • Обновленный графический интерфейс;
  • сеть виртуальных машин (Network VM)

4.3

2011

  • Сервер токенов;
  • IPAC (Internet Protocol Access Control)

5.0

2012

  • «Репутация клиента»;
  • интеграция с песочницами;
  • контроль конечных точек;
  • политика, основанная на устройствах

5.2

2014

  • FortiView;
  • глубокий антивирусный анализ потока;
  • оптимизация производительности программного обеспечения

5.4

2016

  • Интеграция защиты от APT;
  • интеграция программно-определяемых сетей (Software-Defined Networking, SDN)

 

Высокая эффективность и быстродействие FortiOS 5.4 на платформах FortiGate достигаются за счет использования процессоров FortiASIC, реализующих аппаратное ускорение механизмов обработки пакетов и проверки содержимого сетевого трафика, таких как: антивирусная защита, контроль приложений, система предотвращения вторжений (Intrusion Prevention System, IPS), межсетевое экранирование. Технология FortiASIC позволяет применять одновременно несколько защитных мер без ухудшения производительности. Компания Fortinet заявляет о повышении пропускной способности и производительности платформ FortiGate под управлением FortiOS 5.4 в 5-10 раз по сравнению с аналогичными платформами других производителей.

Операционная система FortiOS 5.4 хорошо документирована. На сайте производителя имеется весь необходимый материал для ее настройки и эксплуатации. Познакомиться с демоверсией FortiOS 5.4 на устройстве FortiGate можно здесь.

Компания Fortinet проводит программу CTAP (Cyber Threat Assessment Program), которая позволяет продемонстрировать эффективность разработанных решений без вмешательства в сеть за счет установки на span-порт, что позволяет увидеть всю эффективность решений Fortinet на реальной сети. Межсетевой экран следующего поколения покажет сетевые аномалии, используемые сетевые приложения, потенциальные уязвимости, наличие вредоносных программ в сети и данные о ее производительности.

Межсетевой экран FortiGate с установленным программным обеспечением FortiOS 5.0 (исполнения FortiGate-40C-LENC/FortiGate-80C-LENC/FortiGate-100D-LENC/FortiGate-300C-LENC/FortiGate-600C-LENC/FortiGate-1000C-LENC/FortiGate-3040B-LENC/FortiGate-3950B-LENC/FortiGate-5101C-LENC) прошел испытания в Системе сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России (сертификат № 3171, срок действия до 30 июня 2017 года) на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3 классу, руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля и может быть использован для защиты информации в информационных системах персональных данных до 1 уровня защищенности и в государственных информационных системах до 1 класса защищенности включительно.

В настоящей статье описаны основные функции безопасности, реализуемые операционной системой FortiOS 5.4.

 

Таблица 2. Основные возможности FortiOS 5 (версия 5.4)

Эксплуатация

Системная интеграция

Центральное управление и резервирование

Облачная и SDN-интеграция

Конфигурация

Обзор сети

Журналирование

Диагностика

Виртуализация

Политики и управление

Объекты политики

Аутентификация пользователей

Идентификация устройств

Разбор трафика SSL/TLS

Реагирование

Безопасность

Anti-Malware / ATP

IPS и DoS

Контроль приложений

Контроль безопасности доступа к облачным технологиям

Веб-фильтрация

Межсетевой экран

VPN

Система предотвращения утечек информации (DLP)

Фильтрация электронных писем

Соблюдение требований PCI DSS

Расширения

Контроллер беспроводных сетей

Контроллер маршрутизации

Менеджер WAN интерфейса

Менеджер конечных устройств

Сервер токенов

Сети

Routing/NAT

L2/Switching

Offline-инспекция

Hybrid WAN

Высокая доступность

QoS

IPv6

Оптимизация WAN

Явный прокси

Сервер балансировки нагрузки

Основные сетевые службы

Поддержка платформ

Оборудование (+ASIC)

Гипервизор

Облако

 

Визуализация и администрирование

Прежде всего стоит отметить обновленный плоский дизайн интерфейса администратора операционной системы FortiOS 5.4. Интерфейс обладает широкими возможностями по представлению информации о состоянии защищаемой сети, транзитном трафике, функционировании приложений и деятельности пользователей. Интерфейс администратора упрощает управление и отслеживание работы всех защитных мер FortiGate, а также предоставляет аналитику по зарегистрированным событиям безопасности.

 

Рисунок 1. Начальная страница интерфейса администратора (Dashboard)

Начальная страница интерфейса администратора (Dashboard) 

 

Администратор может настроить виджеты начальной страницы (dashboard), отображающие информацию о состоянии устройств Fortinet, записи электронных журналов, системную информацию, статистику по противостоянию APT.

К утилите аналитики по зарегистрированным событиям безопасности FortiView наряду с табличным представлением информации добавлены новые консоли, позволяющие быстро идентифицировать возникшие проблемы.

Консоль управления политиками позволяет отслеживать активность действующих правил разграничения доступа, контролировать их срабатывание, отключать избыточные и неиспользуемые правила. Переход на консоль управления осуществляется по нажатию на идентификатор правила.

 

Рисунок 2. Консоль управления политиками. Суммарная информация о применении правила 14 за последние 24 часа

Консоль управления политиками. Суммарная информация о применении правила 14 за последние 24 часа 

 

Рисунок 3. Консоль управления политикой для IPv4. Управление правилом с идентификатором 14

Консоль управления политикой для IPv4. Управление правилом с идентификатором 14 

 

Консоль сетевых интерфейсов позволяет выполнять мониторинг интерфейсов с возможностью определения их загруженности.

 

Рисунок 4. Визуализация сетевых соединений для интерфейса GUEST-WIRED

 Визуализация сетевых соединений для интерфейса GUEST-WIRED

 

Консоль стран отображает администратору информацию о сетевой активности по странам, соответствующим IP-адресам отправителей и получателей трафика.

 

Рисунок 5. Визуализация сетевой активности по странам мира

 Визуализация сетевой активности по странам мира

 

Консоль топологии устройств представляет обзор структуры сети.

 

Рисунок 6. Топология устройств

 Топология устройств

 

Консоль карты угроз была введена для мониторинга рисков в контексте географического расположения отправителей и получателей трафика.

 

Рисунок 7. Карта угроз

Карта угроз 

 

Консоль угроз отображает информацию о зафиксированных в защищаемой сети угрозах. Подробная информация по каждой угрозе дает представление об IP-адресах отправителей и получателей, устройствах, сетевых интерфейсах FortiGate, странах и сессиях.

 

Рисунок 8. Консоль угроз

Консоль угроз 

 

Консоль приложений отображает информацию о сетевых приложениях, функционирующих в защищаемой сети.

 

Рисунок 9. Консоль приложений

Консоль приложений

 

Консоль авторизации администратора предоставляет информацию о взаимодействии администратора с системой (число входов в систему, количество неудачных попыток входа, продолжительность времени работы).

 

Рисунок 10. Консоль авторизации администратора

Консоль авторизации администратора

 

В дополнение к консоли авторизации администратора в FortiView доступна консоль неудавшихся попыток аутентификации, отображающая сущности, от имени которых пользователи пытались подключиться к системе. Детальная информация о попытках аутентификации пользователя включает дату и время каждой попытки входа, причину отказа в аутентификации — например, неправильный пароль или несогласованный IP-адрес источника.

 

Рисунок 11. Консоль неудавшихся попыток аутентификации

Консоль неудавшихся попыток аутентификации

 

Консоль системных событий перечисляет события безопасности, зафиксированные операционной системой FortiOS, отображая имя и описание событий, степень важности, а также количество событий одного типа.

 

Рисунок 12. Консоль системных событий

Консоль системных событий

 

Операционная система FortiOS 5.4 поддерживает управление сетевыми настройками устройств FortiGate через графический интерфейс администратора, включая определение основных параметров сетевых интерфейсов, настройку DNS, активацию захвата пакетов, определение правил балансировки нагрузки глобальной компьютерной сети (Wide Area Network, WAN), настройку статической и динамической (RIP, OSPF, BGP) маршрутизации и маршрутизации многоадресной рассылки.

 

Рисунок 13. Консоль управления сетевыми интерфейсами

Консоль управления сетевыми интерфейсами

 

Рисунок 14. Статическая маршрутизация

Статическая маршрутизация

 

Рисунок 15. Политика IPv4

Политика IPv4

 

Благодаря интуитивно понятному интерфейсу администратора упрощается процесс настройки устройств под управлением FortiOS 5.4 и ввод их в эксплуатацию. За счет средства централизованного управления FortiManager уменьшается рабочая нагрузка на персонал ИТ путем использования единой консоли для выполнения целого ряда задач управления, предоставления возможности на ранней стадии возникновения определять, исправлять и предотвращать возможные проблемы конфигурации.

Познакомиться с демоверсией FortiManager можно здесь.

 

Рисунок 16. Начальная страница средства централизованного управления FortiManager

Начальная страница средства централизованного управления FortiManager

 

Журналирование и отчетность

Ведение журналов и возможности аналитики и отчетности в FortiOS 5.4 могут помочь администратору быстро определить, какие события происходят в защищаемой сети. В журналы заносятся записи о сетевом трафике, системных событиях, событиях VPN и Wi-Fi, функционировании защитных мер (антивирус, веб-фильтр, контроль приложений, DLP и IPS).

 

Рисунок 17. Журнал системных событий

Журнал системных событий

 

Рисунок 18. Журнал системы предотвращения вторжений

Журнал системы предотвращения вторжений

 

Контроль над персональными устройствами

В обновленной версии FortiOS появилась возможность контролировать доступ к сети для различных типов персональных мобильных устройств (стратегия Bring Your Own Device, BYOD).

 

Рисунок 19. Список зарегистрированных в сети устройств

Список зарегистрированных в сети устройств

 

 

Список контроля доступа (ACL) MAC-адресов разрешает или блокирует доступ на сетевом интерфейсе, на котором функционирует сервер DHCP. Список контроля доступа позволяет создать списки только заблокированных или только разрешенных устройств. Разрешенным устройствам присваивается IP-адрес из диапазона DHCP.

Операционная система позволяет применять правила разграничения доступа в соответствии с типом устройства.

 

Профили безопасности

Графический интерфейс администратора предоставляет возможность выбора включенных механизмов безопасности операционной системы FortiOS 5.4 и устройств FortiGate. Каждый механизм может быть включен/отключен одним нажатием мыши.

 

Рисунок 20. Консоль выбора механизмов безопасности

Консоль выбора механизмов безопасности

 

Антивирусная защита

Антивирусная защита включает возможности эвристического анализа и подключения к сервисам эмуляции угроз («песочницам») как в облачном, так и в локальном (FortiSandbox) исполнении. Подозрительные файлы помещаются в «песочницу» с целью выявления в поведении файла действий, представляющих угрозу безопасности. Для выявленных вредоносных объектов генерируются и распространяются сигнатуры, что позволяет предотвратить дальнейшее их распространение.

 

Рисунок 21. Настройка антивирусной защиты

Настройка антивирусной защиты

 

Возможности по контролю включают не только мониторинг, но и блокировку выявленных угроз.

Помимо прочего, операционная система FortiOS 5.4 поддерживает защиту мобильных устройств от вредоносного программного обеспечения.

 

Веб-фильтрация

Функции веб-фильтрации распределены на три компонента — веб-фильтр содержимого, фильтр URL и служба веб-фильтрации FortiGuard,— взаимно дополняющих друг друга для обеспечения максимального контроля просматриваемой в интернете информации.

 

Рисунок 22. Настройка веб-фильтрации

Настройка веб-фильтрации

 

Контроль приложений

Использование контроля приложений позволяет оперативно определять сетевое приложение, соответствующее сессии, и далее применять ответные меры, например: блокировать сессию или отслеживать действия пользователя. Контроль приложений опирается на декодеры протоколов, что позволяет выявлять приложения как на стандартных, так и на нестандартных портах.

 

Рисунок 23. Настройка функций контроля приложений

Настройка функций контроля приложений

 

Рисунок 24. Пример сигнатуры приложений для мобильных устройств

Пример сигнатуры приложений для мобильных устройств

 

Контроль доступа к облачным сервисам

В обновленной версии FortiOS добавлен новый тип профилей безопасности — Cloud Access Security Inspection (CASI), который обеспечивает гранулярный контроль доступа к популярным облачным приложениям, таким как: YouTube, Dropbox, Baidu, Amazon AWS и Microsoft Azure.

 

Рисунок 25. Настройка доступа к облачным сервисам

Настройка доступа к облачным сервисам

 

Система предотвращения вторжений

IPS использует два метода обнаружения атак — сигнатурный и статистический. Движок IPS содержит функции декодирования и динамического анализа.

Для быстрого обнаружения и реализации действия по предотвращению атак применяется технология аппаратного ускорения NTurbo, повышающая производительность устройств FortiGate за счет разгрузки и ускорения потока обрабатываемых данных.

NTurbo создает специальный канал передачи данных для перенаправления трафика от входного интерфейса на IPS, и с IPS к выходному интерфейсу. NTurbo останавливает выполнение операций межсетевого экрана для этого канала, позволяя IPS выполнять функции проверки. Это снижает нагрузку на процессор FortiGate, улучшая общую пропускную способность.

 

Рисунок 26. Настройка системы предотвращения вторжений

Настройка системы предотвращения вторжений

 

Рисунок 27. Сигнатуры IPS

Сигнатуры IPS

 

Защита от спама

Для защиты от спама применяется ряд проверок, в т. ч. проверка IP-адреса, URL и контрольной суммы сообщения электронной почты. Обновление баз данных репутации IP-адресов и сигнатур осуществляется в режиме реального времени — все запросы проверки IP-адреса, URL и контрольной суммы проверяются облачным сервисом FortiGuard.

 

Рисунок 28. Настройка защиты от спама

Настройка защиты от спама

 

Система предотвращения утечек информации

DLP позволяет выявить, зарегистрировать, а также предотвратить передачу уязвимых данных через FortiGate. Сенсор DLP представляет собой фильтр контента по признакам содержимого. Фильтрация осуществляется по различным параметрам, таким как тип файла, размер файла, водяные знаки и т. д.

DLP содержит несколько заранее настроенных шаблонов признаков уязвимых данных, например признаки кредитных карт — номера кредитных карт в форматах, используемых American Express, MasterCard и Visa.

 

Рисунок 29. Настройка системы предотвращения утечек информации на примере кредитных карт

Настройка системы предотвращения утечек информации на примере кредитных карт

 

 

 

FortiClient

Программное обеспечение FortiClient предназначено для установки на пользовательские устройства — ПК (Windows, Mac), мобильные (Android, iOS, Windows Mobile) — и реализует широкий спектр функций защиты информации.

FortiClient сопрягается с FortiGate, что позволяет определить единые правила работы защитных мер для всех защищаемых устройств. Профиль FortiClient предоставляет возможность применить к защищаемым устройствам существующие профили защитных мер — таких как антивирус, веб-фильтр, VPN и т. д.

 

Рисунок 30. Настройка профилей FortiClient

Настройка профилей FortiClient

 

Рисунок 31. Настройки профиля FortiClient для мобильных устройств под управлением мобильных операционных систем iOS и Android

Настройки профиля FortiClient для мобильных устройств под управлением мобильных операционных систем iOS и Android

 

Выводы

FortiOS 5.4 — программная основа для всех устройств Fortinet, позволяющая решать актуальные проблемы информационной безопасности. Операционная система поддерживает взаимодействие с уникальным аппаратным обеспечением, оснащенным процессором обработки содержимого FortiASIC и обеспечивающим высокую эффективность и производительность на платформах FortiGate.

Будучи простой в применении, FortiOS 5.4 снижает затраты и уменьшает рабочую нагрузку на персонал ИТ. Единая система управления устройствами FortiGate и централизованного анализа обеспечивает удобство создания и соблюдение политик безопасности и упрощает развертывание и настройку. FortiOS 5.4 обеспечивает большую видимость сетевого трафика и более последовательный, детальный контроль над пользователями, приложениями и конфиденциальными данными.

Защитные механизмы продукта позволяют интегрировать мобильные устройства с FortiGate, поддерживая установку агентов на устройства с операционными системами iOS и Android, а гибкий контроль над мобильными устройствами за счет идентификации устройств и применение политик доступа и специальных профилей позволяют обеспечить безопасность информации в среде BYOD.

Особенности решений Fortinet, которые мы раскроем в следующих статьях цикла:

  • интеграция защиты от ATP (FortiClient, FortiMail, FortiSandbox и FortiWeb);
  • единый интерфейс администратора, обеспечивающий централизованное управление всеми платформами производства Fortinet;
  • интеграция SDN-сетей (VMware NSX и Cisco ACI);
  • защита от вредоносного кода с использованием облачных сервисов, включающих репутационные базы данных и песочницы;
  • автоматическое обнаружение угроз и противодействие им.
Полезные ссылки: 
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любых продуктов или сервисов по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.