Обзор операционной системы FortiOS 6.0 в устройствах Fortinet


Обзор операционной системы FortiOS 6.0 в устройствах Fortinet

FortiOS — специализированная операционная система, разработанная компанией Fortinet и являющаяся основным средством управления для всех разрабатываемых компанией систем сетевой безопасности и защитных комплексов корпоративного уровня. Она обеспечивает комплексную безопасность на уровне сети, приложений и данных. В новой версии FortiOS 6.0 усовершенствованы механизмы защиты от продвинутых и целевых атак, эксплуатации уязвимостей нулевого дня и других новейших угроз. Также улучшена система мониторинга облачных окружений, предусмотрена защита сетей SD-WAN и многое другое.

Сертификат AM Test Lab

Номер сертификата: 227

Дата выдачи: 30.07.2018

Срок действия: 30.07.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Знакомство с FortiOS 6.0
  3. Функциональные возможности FortiOS 6.0
    1. 3.1. Сетевая безопасность
    2. 3.2. Безопасность многооблачной инфраструктуры
    3. 3.3. Безопасность конечных точек IoT
    4. 3.4. Защита от целевых атак (ATP)
    5. 3.5. Электронная почта и веб-приложения
    6. 3.6. Функции анализа и администрирования системы безопасности
    7. 3.7. Унифицированный доступ
    8. 3.8. Дополнительно
  4. Технические характеристики (системные требования) FortiOS 6.0
  5. Работа с FortiOS 6.0
    1. 5.1. Панель инструментов
    2. 5.2. Видимость
    3. 5.3. Security Fabric
    4. 5.4. Сеть
    5. 5.5. Система
    6. 5.6. Политика и Объекты
    7. 5.7. Профили безопасности
    8. 5.8. VPN
    9. 5.9. Пользователи и устройства
    10. 5.10. Ведение журнала и создание отчетов
    11. 5.11. Мониторинг
  6. Выводы

 

Введение

Специализированная операционная система FortiOS, которая позволяет управлять сетевым оборудованием (межсетевые экраны (FortiGate), точки доступа (FortiAP), коммутаторы (FortiSwitch), шлюзы защиты электронной почты (FortiMail), системы мониторинга и отчетности (FortiAnalyzer), SIEM-системы (FortiSIEM), системы централизованного управления сетевой безопасностью (FortiManager), песочница (FortiSandbox) и др.) и обеспечивает безопасность в сети организации, получила новую версию 6.0. В FortiOS 6.0 повышена совместимость продуктов. Новая версия операционной системы доступна для линейки межсетевых экранов FortiGate.

 

Рисунок 1. Обновление линейки FortiGate до новой FortiOS 6.0

 

Новая версия FortiOS 6.0 также доступна для таких продуктов Fortinet, как:

  • FortiSwitch — версия 3.6.4 и выше;
  • FortiClient iOS — версия 5.6.0 и выше;
  • FortiClient Android and FortiClient VPN Android — версия 5.4.2 и выше;
  • FortiAP — версия 5.4.2 и выше / версия 5.6.0 и выше;
  • FortiAP-S — версия 5.4.3 и выше / версия 5.6.0 и выше;
  • FortiController — версия 5.2.5 и выше (поддерживаются модели: FCTL-5103B, FCTL-5903C, FCTL-5913C);
  • FortiSandbox — версия 2.3.3 и выше;
  • Fortinet Single Sign-On (FSSO) — версия 5.0 (0266) и выше;
  • FortiExtender — версия 3.2.1;
  • и других.

Обновленная FortiOS 6.0 включает более 200 новых функций, которые обеспечивают автоматизацию операций безопасности и защиту корпоративных сетей от атак по всем направлениям, появившимся в связи с развитием информационных технологий.

Все чаще организации внедряют новые технологии, такие как мобильные вычисления, IoT (интернет вещей), ЦОДы и многооблачные сети. Что позволяет повысить гибкость бизнеса, степень автоматизации и охват большего количества операций. Соответственно, увеличивается и количество передаваемых в электронном виде данных, а это накладывает дополнительные задачи на обеспечение безопасности не только данных, но и информационной инфраструктуры организации (приложения, устройства, облачные сети и т. д.).

Соответственно, весьма актуальный вопрос — применение систем сетевой безопасности, представляющих собой интегрированную и автоматизированную инфраструктуру, обеспечивающую защиту современных постоянно изменяющихся сетей. Одними из ключевых требований к таким системам могут быть:

  • комплексное отслеживание различных угроз и атак;
  • выявление целенаправленных атак;
  • автоматическое принятие мер реагирования;
  • а также функция непрерывной оценки надежности, необходимой для эффективной защиты цифрового бизнеса.

Версия FortiOS 6.0 оснащена важными функциями, которые обеспечивают безопасность по всем направлениям, появившимся в связи с развитием информационных технологий.

Стоит напомнить, что мы уже рассматривали возможности FortiOS 5.4 в обзоре в 2016 году. Посмотрим более детально на возможности новой FortiOS 6.0.

 

Знакомство с FortiOS 6.0

В начале статьи хотелось бы разобраться, зачем нужна такая операционная система, как FortiOS 6.0? Где она устанавливается и что она может?

Итак, FortiOS 6.0 — специализированная сетевая операционная система, которая является программной основой FortiGate и устанавливается на линейку сетевого оборудования компании Fortinet (межсетевые экраны, VPN, SIEM, агенты защиты рабочих станций, шлюзы защиты электронной почты и т. д.). Эта операционная система предлагает обширный набор функций, позволяющий организациям любого размера обеспечивать безопасность в сети, наиболее подходящую для их среды. По мере развития требований их можно изменять с минимальными сбоями и затратами.

 

Таблица 1. Возможности FortiOS 6.0

ФункциональностьКонфигурацияЖурналы и отчетыДиагностикаМониторинг
Политики и управлениеОбъекты политикиИдентификация устройствРазбор трафика SSLРеагирование
БезопасностьАнтивирусная защитаIPS и DoSКонтроль приложенийВеб-фильтрация
Межсетевое экранированиеVPNDLPEmail-фильтрация
СетьSD-WAN«Явный прокси»IPv6Высокая доступность
Routing/NATL2/SwitchingOffline-инспекцияОсновные сетевые службы
Поддержка платформФизическое оборудование (+SPU)Виртуальные системыГипервизорОблако

 

FortiOS применяется для повышения эффективности, увеличения быстродействия и обеспечения лучшего сопряжения сетевого оборудования компании Fortinet. Это достигается за счет использования процессоров FortiASIC, реализующих аппаратное ускорение механизмов обработки содержимого сетевого трафика, таких как: антивирусная защита, web-фильтрация, IPS, межсетевое экранирование, защита облака. Технология FortiASIC позволяет применять одновременно несколько защитных мер без ухудшения производительности. Что позволяет обеспечить комплексную защиту на уровне сети, приложений и данных в режиме реального времени.

Функции, возможности применения и настройки FortiOS 6.0 весьма и весьма внушительны. На рисунке 1 представлены основные направления возможного применения FortiOS 6.0.

 

Рисунок 2. Основные направления возможностей FortiOS 6.0

 

Рисунок 3. Архитектура, находящаяся под управлением FortiOS 6.0

 

Также здесь стоит упомянуть, что FortiOS является ядром платформы (архитектуры безопасности) Fortinet Security Fabric, которая реализует комплексный подход к безопасности и обеспечение взаимосвязи различных технологий компании.

Среди основных атрибутов системы — видимость сетевых элементов, продвинутое обнаружение угроз и возможность автоматизированного реагирования на угрозы. Линейка продуктов Fortinet включает как физические, так и виртуальные устройства сетевой безопасности, которые находятся по управлением операционной системы FortiOS.

 

Рисунок 4. Архитектура безопасности Fortinet Security Fabric с ядром в виде FortiOS

 

Функциональные возможности FortiOS 6.0

Рассмотрим основные новые функциональные возможности, которые получила специализированная операционная система FortiOS 6.0, по заявлениям Fortinet, их больше 200. В частности, FortiOS 6.0 обзавелась улучшенной системой мониторинга облачных окружений, встроенной защитой сетей SD-WAN, обновленным решением FortiCASB 1.2 для облачных сред, усовершенствованной системой аудита сетевой безопасности, а также создает отчеты о выявлении теневых ИТ-ресурсов.

FortiOS предлагает обширный набор функций, позволяющий организациям любого размера обеспечить эффективную и востребованную настройку обеспечения безопасности своей сети.

Сетевая безопасность

В FortiOS 6.0 была улучшена технологии защиты SD-WAN (Software-Defined Wide Area Networks — программно определяемые распределенные сети), которая наделена элементами управления с помощью SLA и позволяет устанавливать приоритеты для приложений, что способствует эффективной работе критически важных приложений.

Помимо стандартных возможностей межсетевого экрана FortiGate по защите трафика, в FortiOS 6.0 реализовано детализированное управление SaaS, VoIP и другими бизнес-приложениями, а также автоматическое аварийное переключение, что гарантирует производительность для SaaS, VoIP и критических бизнес-приложений.

В FortiOS 6.0 предусмотрена функция развертывания в автоматическом режиме и включения VPN в одно касание, что обеспечивает упрощение и ускорение создания и поддержки канала связи с филиалами.

В число других обновлений входят функция формирования трафика, обеспечивающая оперативное выделение пропускной способности для важных приложений.

Также в FortiOS 6.0 теперь можно устанавливать приоритеты для устройства, интерфейса и объекта, таким образом, можно управлять трафиком несмотря на изменения на физическом уровне. Кроме того, доступны новые сервисы для упрощения оценки безопасности, такие как список скомпрометированных узлов для Службы индикаторов компрометации (IOC), автоматическое удаление вредоносных сценариев в файлах, почти мгновенные обновления базы для защиты от новых вредоносных программ и оценка состояния безопасности.

Безопасность многооблачной инфраструктуры

В FortiOS 6.0 расширенные облачные коннекторы в составе адаптивной системы сетевой безопасности теперь получили функции отслеживания нескольких облаков. В частности, коннекторами теперь охватываются частные облака (поддержка VMware NSX, Cisco ACI и Nokia Nuage), общедоступные облака  — поддержка AWS, Microsoft Azure, Google Cloud Platform и Oracle Cloud) и облака SaaS с коннекторами CASB (Cloud Access Security Broker) (поддержка Salesforce.com, Office 365, Dropbox, Box, AWS и т. д.). Коннекторы требуются для обеспечения полной видимости мультиоблачных сред и предлагают возможности включения сквозных политик с учетом соблюдения требований локальных правоприменительных актов по трансграничной передаче данных.

Эти облачные коннекторы обеспечивают комплексное отслеживание компонентов безопасности в составе всех облачных сетей в целях корреляции как внутрисетевого, так и внесетевого трафика при помощи единой консоли управления.

Облачные коннекторы – это своего рода API, которые абстрагируют FortiOS от объектов в облаке, и функциональность облачного коннектора может обновляться без необходимости обновления самой FortiOS.

Решение FortiCASB (Cloud Access Security Broker) 1.2 обеспечивает интеграцию системы безопасности с антивирусным модулем и песочницей FortiCloud Sandbox, реализацию расширенных функций защиты и обнаружения угроз, а также создание отчетов о выявлении теневых ИТ-ресурсов. Кроме того, FortiCASB предоставляет расширенную поддержку AWS в целях эффективного отслеживания и администрирования деятельности пользователей AWS при помощи современных инструментов обеспечения соответствия требованиям, анализа и составления отчетов.

Безопасность конечных точек IoT

Для защиты конечных точек в FortiOS 6.0 предусмотрено решение FortiClient 6.0 (агент), которое обзавелось новыми функциями поддержки операционной системы Linux. Функциональность FortiClient еще была улучшена в части сбора и передачи более полных данных обо всех типах конечных точек, в том числе теперь формируется перечень программного обеспечения для каждого устройства. Что весьма актуально для организаций, которые следуют требованиям регулятора в свой области деятельности. Например, требованиями Банка России предусмотрено иметь перечень ПО.

Агент системы безопасности FortiClient 6.0 поддерживает передачу телеметрических данных конечных точек в адаптивную систему сетевой безопасности, что способствует более эффективному отслеживанию состояния конечных устройств сети и оперативному выявлению уязвимостей. Кроме того, агент имеет сертификаты совместимости с рядом решений, разработанных партнерами, присоединившимся к программе интеграции с адаптивной системой сетевой безопасности: Carbon Black, McAfee, SentinelOne, Ziften и другие.

Защита от целевых атак (ATP)

Для защиты от целевых атак в FortiOS 6.0 предусмотрено применение следующих приложений/служб:

  • служба противодействия распространению вирусов (VOS) FortiGuard обеспечивает защиту в период между обновлениями антивируса. Для этого используется функция анализа в песочнице FortiCloud Sandbox, которая выявляет вредоносы и блокирует их распространение в корпоративной сети на протяжении интервалов между обновлениями подписей.
  • служба обезвреживания и реконструкции содержимого (CDR) FortiGuard заблаговременно исключает потенциально вредоносное содержимое, встроенное в файлы Microsoft Office и Adobe, в целях очистки файлов, принадлежащих к наиболее распространенным форматам, которые часто используются для распространения вредоносных программ. Такой подход препятствует заражению при помощи социальной инженерии или вследствие ошибок, связанных с человеческим фактором.
  • служба индикаторов компрометации (IOC — Indicator of Compromise) FortiGuard использует регулярно обновляющийся список известных вредоносных элементов и постоянно сканирует устройства, подключенные к адаптивной системе сетевой безопасности, в целях своевременного выявления зараженных устройств и принятия мер по противодействию угрозам.
  • приложение FortiSandbox (песочница) ATP для Amazon Web Services, доступное как по требованию, так и в рамках использования собственной лицензии (BYOL), предназначено для защиты корпоративных сетей от продвинутых угроз, ориентированных на поражение облаков. Это решение поддерживает как совместную работу со средствами защиты сети, электронной почты, конечных точек и других ресурсов, так и применение в качестве расширения в рамках локальной архитектуры безопасности.

Защита от целевых атак построена на базе антивируса, встроенного в FortiOS 6.0. Антивирус использует набор интегрированных технологий безопасности для защиты от различных угроз, включая известные и неизвестные вредоносные коды (вредоносные программы), а также расширенные целевые атаки.

Электронная почта и веб-приложения

В FortiOS 6.0 встроено приложение FortiMail, которое поддерживает новые службы FortiGuard VOS (служба противодействия распространению вирусов) и CDR (служба обезвреживания и реконструкции содержимого). Эти службы предотвращают распространение новых атак и извлекают активное содержимое в целях противодействия атакам при помощи выполнения встроенного кода.

Новые мини-приложения создают единое комплексное представление данных обо всех приложениях электронной почты и веб-приложениях в сети. Приложения, входящие в состав адаптивной системы сетевой безопасности, оснащаются интегрированными функциями защиты от целевых атак.

Функции анализа и администрирования системы безопасности

В связи с введением новых функций в FortiOS 6.0, связанных с реагированием на угрозы в течение всего их жизненного цикла, теперь процесс принятия мер реагирования может быть автоматизирован. Это можно сделать как на основе определенных триггеров (системные события, оповещения об угрозах, состояние пользователей и устройств), так и при помощи прямой интеграции с системой управления ИТ-услугами. Применение методов реагирования, таких как помещение в карантин, уведомления, изменение конфигурации и создание отчетов, позволит организации в режиме реального времени управлять средами бизнес-процессов.

Функция автоматизированного принятия усиленных мер защиты от атак по всем направлениям предоставляет рекомендации и данные о тенденциях в сфере разработки передовых методов и требований к безопасности. Сопутствующая функция сравнительного анализа предназначена для сопоставления организаций, имеющих сходство по таким параметрам, как размер, сфера деятельности и географическое положение.

Унифицированный доступ

В FortiOS 6.0 реализован механизм, с помощью которого интегрированные компоненты безопасности в коммутаторах и беспроводных точках доступа Fortinet обеспечивают автоматизацию реагирования на события, связанные с нарушением настроенной политики зараженным коммутатором или точкой доступа. Доступны такие меры реагирования, как помещение в карантин, сегментация и блокировка.

Дополнительно

Среди множества особенностей и новшеств FortiOS 6.0 мы рассмотрели вкратце наиболее интересные и востребованные функции. Охватить весь список новшеств весьма затруднительно — напомним, что, по заявлениям Fortinet. этих нововведений больше 200.

Еще ряд новых функций FortiOS 6.0 приведен в таблице 2.

 

Таблица 2. Новые функции, доступные в FortiOS 6.0

ФункцияРеализация
Дополнительные тесты оценки безопасности и правилаПоддержка IPv6 SD-WAN
Автоматические ежедневные отчетыSD-WAN DSCP значения
Автоматические отчеты по требованиюSDN-коннекторы
Виджет рейтинга безопасностиCloud-init в Azure
Совместимость FortiClient при управлении с помощью EMSУсовершенствование протокола IPv6
Карантин беспроводных пользователейУлучшения NAT
Аудит службы БДПоддержка EMAC-VLAN
Специализированные отчеты C-уровня и аудиторские отчеты (FortiAnalyzer)Объекты групповой политики приложений
Дополнительные виджеты мониторинга (FortiAnalyzer)Последовательность правил управления приложениями
История в FortiView (FortiCloud)Внешние черные списки web-фильтра
Обнаружение устройства через FortiSwitchУлучшенная загрузка ядер ЦП виртуальными машинами
Разрешение имен назначенияVM конфигурирование средств прерывания и распределение пакета
Динамическая маршрутизация SD-WANУлучшенный API для сети разработчиков

 

Также новые функции получила служба аудита Security Fabric Audit Update Service (SFAUS), которая научилась передавать рекомендации для обновленной FortiGuard — интеллектуальной платформы для выявления и исследования угроз. Fortinet со временем планирует добавить в SFAUS шаблоны соответствия — сначала PCI DSS, а затем и GDPR (General Data Protection Regulation — правила обработки персональных данных в ЕС).

 

Технические характеристики (системные требования) FortiOS 6.0

Сразу отметим, что FortiOS предназначена для установки на межсетевой экран FortiGate и другие аппаратные продукты Fortinet. Поэтому в данном разделе мы рассмотрим возможности FortiOS 6.0, а точнее FortiOS 6.0.1.

В таблице 3 приведены сведения об интеграции и поддержке продуктов FortiOS 6.0.1.

 

Таблица 3. Поддержка продуктов FortiOS 6.0.1

Веб-браузерыMicrosoft Edge 41
Mozilla Firefox version 59
Google Chrome version 65
Apple Safari version 9.1 (For Mac OS X)
Другие веб-браузеры могут работать правильно, но не поддерживаются Fortinet
«Явный» веб-прокси-браузер (Explicit Web Proxy Browser)Microsoft Edge 41
Microsoft Internet Explorer version 11
Mozilla Firefox version 59
Google Chrome version 65
Apple Safari version 9.1 (For Mac OS X)
Другие веб-браузеры могут работать правильно, но не поддерживаются Fortinet
Виртуальная инфраструктура 
CitrixXenServer version 5.6 Service Pack 2
XenServer version 6.0 and later
Linux KVMRHEL 7.1/Ubuntu 12.04 and later
CentOS 6.4 (qemu 0.12.1) and later
MicrosoftHyper-V Server 2008 R2, 2012, and 2012 R2
Open SourceXenServer version 3.4.3
XenServer version 4.1 and later
VMwareESX versions 4.0 and 4.1
ESXi versions 4.0, 4.1, 5.0, 5.1, 5.5, 6.0, 6.5
VM Series - SR-IOVПоддерживаются следующие чипсетные платы NIC:
Intel 82599
Intel X540
Intel X710/XL710

 

В FortiOS 6.0.1 предусмотрена поддержка следующих языков:

  • Английский
  • Китайский (упрощенный)
  • Китайский (традиционный)
  • Французский
  • Японский
  • Корейский
  • Португальский (Бразильский)
  • Испанский

К сожалению, по-русски FortiOS 6.0.1 пока не «разговаривает».

В таблице 4 перечислены операционные системы и веб-браузеры, поддерживаемые веб-режимом SSL VPN.

 

Таблица 4. Операционные системы и веб-браузеры, поддерживаемые веб-режимом SSL VPN в FortiOS 6.0.1

Операционная системаWeb-браузер
Microsoft Windows 7 SP1 (32-bit & 64-bit)Microsoft Internet Explorer version 11
Mozilla Firefox version 54
Google Chrome version 59
Microsoft Windows 8 / 8.1 (32-bit & 64-bit)
Microsoft Windows 10 (64-bit)Microsoft Edge
Microsoft Internet Explorer version 11
Mozilla Firefox version 54
Google Chrome version 59
Linux CentOS 6.5 / 7 (32-bit & 64-bit)Mozilla Firefox version 54
OS X El Capitan 10.11.1Apple Safari version 9
Mozilla Firefox version 54
Google Chrome version 59
iOSApple Safari
Mozilla Firefox
Google Chrome
AndroidMozilla Firefox
Google Chrome

 

Другие операционные системы и веб-браузеры могут работать правильно, но не поддерживаются Fortinet.

В таблице 5 перечислены поддерживаемые FortiOS 6.0.1 антивирусные средства и клиентское программное обеспечение межсетевого экранирования.

 

Таблица 5. Антивирусные средства и клиентское программное обеспечение межсетевого экранирования, поддерживаемые веб-режимом SSL VPN в FortiOS 6.0.1

ПродуктАнтивирусМежсетевой экран
CA Internet Security Suite Plus Software++
AVG Internet Security 2011--
F-Secure Internet Security 2011++
Kaspersky Internet Security 2011++
McAfee Internet Security 2011++
Norton 360™ Version 4.0++
Norton™ Internet Security 2011++
Panda Internet Security 2011++
Sophos Security Suite++
Trend Micro Titanium Internet Security++
ZoneAlarm Security Suite++
Symantec Endpoint Protection Small Business Edition 12.0++

 

Работа с FortiOS 6.0

Обзор возможностей проводился на базе межсетевого экрана FortiGate 2000Е с установленной на нем FortiOS 6.0.1. Сразу хочется оговориться, что настроек и отображений результатов работы тех или иных модулей в FortiOS 6.0.1 значительное количество. Осветить весь спектр возможностей в рамках данной статьи проблематично, поэтому рассмотрим основные наиболее интересные функции FortiOS 6.0.1.

Панель инструментов

Представляет собой начальную станицу, на которой в виде виджетов отображается информация о нашем (FortiGate 2000Е) межсетевом экране. Эти виджеты можно настраивать для получения необходимых данных. В частности, на панели инструментов отображается информация о состоянии устройства, лицензии, данные о событиях Security Fabric, данные о загруженности CPU и памяти и т. д.

 

Рисунок 5. Панель управления. Вид 1

 

Рисунок 6. Панель управления. Вид 2

 

Рисунок 7. Панель управления. Вид 3

Видимость

FortiView, в FortiOS 6.0.1, предоставляет возможности по наблюдению всего сетевого трафика. Можно просмотреть трафик по источнику, месту назначения, приложению, угрозе, интерфейсу, устройству, политике и стране. Графические визуализации, такие как карты стран, топологии и пузырьковые диаграммы на основе объемов, доступны в дополнение к обычным представлениям в табличной форме. Это позволяет администраторам быстрее выявлять проблемы, возникающие в сети.

Консоль Sources (Источники) предоставляет информацию об источниках трафика на устройстве FortiGate. Эта консоль может быть отфильтрована по стране, интерфейсу назначения, политике, результату, источнику и интерфейсу источника.

 

Рисунок 8. FortiView. Источники

 

Рисунок 9. FortiView. Информация по источнику

 

Рисунок 10. FortiView. Детальная информация по источнику

 

Консоль Место назначения предоставляет информацию об IP-адресах назначения трафика на устройстве FortiGate, а также об используемом приложении. Можно выполнить детализацию отображаемой информации, а также выбрать устройство и период времени, и применить поисковые фильтры.

 

Рисунок 11. FortiView. Место назначения в форме пузырьковой диаграммы

 

Примечания о пузырьковой диаграмме:

  • на пузырьковой диаграмме можно выполнить сортировку с помощью раскрывающегося меню;
  • размер каждого пузырька представляет соответствующий объем данных;
  • При наведении курсора на пузырек, отображаются всплывающие подсказки с подробной информацией об этом элементе;
  • при нажатии на пузырек отображается детализация, более подробная (отфильтрованная) информация.

Консоль приложений предоставляет сведения об используемых в сети приложениях.

 

Рисунок 12. FortiView. Приложения

 

Консоль угроз содержит список основных пользователей, вовлеченных в инциденты, а также сведения об основных угрозах сети.

Следующие инциденты считаются угрозами:

  • риски приложений, обнаруженные в рамках контроля приложений;
  • попытки несанкционированного проникновения, обнаруженые IPS;
  • вредоносные веб-сайты, обнаруженные с помощью веб-фильтрации;
  • вредоносные программы / ботнеты, обнаруженные антивирусом.

 

Рисунок 13. FortiView. Угрозы

 

Рисунок 14. FortiView. Угрозы в форме пузырьковой диаграммы

 

Консоль системных событий отображает список событий безопасности, обнаруженных FortiOS, с указанием имени и описания событий, оценки уровня серьезности события (предупреждение, критическая ситуация, ошибка или предупреждение), а также количества обнаруженных событий. Можно просмотреть события по следующим категориям: системные события, входы администратора и неудачная аутентификация.

 

Рисунок 15. FortiView. Системные события. Неудачная аутентификация

 

Рисунок 16. FortiView. Системные события. Входы администратора

 

Консоль карты угроз отображает сетевую активность по географическим регионам. Угрозы показывается по всему миру, но при этом показыватся только те угрозы, которые направлены в наш регион. Можно также посмотреть местоположение FortiGate, отобразить имя устройства, IP-адрес и название/местоположение города.

 

Рисунок 17. FortiView. Угрозы на карте

 

Консоль политик показывает, какие политики настроены и применяются в сети, каковы их интерфейсы источника и назначения, сколько сеансов в каждой политике и какой трафик был передан и получен.

Эту консоль можно фильтровать по странам, интерфейсу назначения, IP-адресу назначения, имени политики, источнику и другим параметрам.

 

Рисунок 18. FortiView. Политики

 

Рисунок 19. FortiView. Политики. Детализация политики Outbound

 

Консоль FortiSandbox обнаруживает и анализирует сложные атаки, предназначенные для обхода традиционной защиты безопасности, и имеет широкий спектр функций, которые позволяют предотвратить повторение атак в будущем.

Эта консоль может быть отфильтрована по контрольной сумме, имени файла, источнику, состоянию и имени пользователя.

 

Рисунок 20. FortiView. Песочница. Файлы

Security Fabric

Консоль физической топологии сети отображает физическую структуру сети, показывая устройства в структуре безопасности и соединения между ними.

 

Рисунок 21. Security Fabric. Топология сети

 

Security Fabric Audit — это функция, которая позволяет анализировать развертывание структуры безопасности для выявления потенциальных уязвимостей и выявления рекомендаций, которые можно использовать для повышения общей безопасности и производительности сети. Кроме того, проверяя оценку структуры безопасности, которая определяется на основе количества проверок, выполненных сетью во время аудита, можно быть уверенным, что со временем сеть становится более безопасной.

 

Рисунок 22. Security Fabric. Рейтинг безопасности. Вид 1

 

Рисунок 23. Security Fabric. Рейтинг безопасности. Вид 2

 

Рисунок 24. Security Fabric. Рейтинг безопасности. Вид 3

 

Коннекторы Security Fabric являются программно определяемыми сетевыми (SDN) коннекторами, которые обеспечивают интеграцию и согласование продуктов Fortinet с ключевыми решениями SDN. Структура безопасности обеспечивает видимость положения безопасности в нескольких облачных сетях, охватывающих частные, общедоступные облака и облака программного обеспечения как услуги (SaaS).

 

Рисунок 25. Security Fabric. Fabric Connectors

 

Рисунок 26. Security Fabric. Fabric Connectors. Детализация

Сеть

Консоль интерфейсов показывает, какие порты нашего FortiGate задействованы в потоке трафика между внутренними сетями и интернетом, а также между внутренними сетями. Также показывается тип интерфейса, разрешения по доступу и другая информация.

FortiGate имеет ряд параметров для настройки интерфейсов и групп подсетей, которые можно масштабировать в соответствии с растущими требованиями организации.

 

Рисунок 27. Network. Интерфейсы

 

Консоль SD-WAN показывает информацию о подключенных SD-WAN.

 

Рисунок 28. Network. SD-WAN

 

Рисунок 29. Network. SD-WAN. Детализация

Система

Консоль администраторов показывает администраторов устройства, профиль его прав доступа, с какого адреса администратор заходил, а также применение двухфакторной аутентификации.

 

Рисунок 30. System. Администраторы

 

Консоль FortiGuard показывает, какие компоненты защиты включены, статус их баз, возможность обновления и другие функции.

 

Рисунок 31. System. FortiGuard. Вид 1

 

Рисунок 32. System. FortiGuard. Вид 2

Политика и Объекты

Политики межсетевого экрана FortiGate являются одним из самых важных аспектов устройства. Есть много настроек и конфигураций, участвующих в создании межсетевого экранирования и обеспечения безопасности сети в рамках политики. Многие из этих компонентов собрались вместе, чтобы сформировать сплоченную единицу для выполнения основной функции межсетевого экрана — анализа сетевого трафика и адекватно реагирования на результаты этого анализа.

 

Рисунок 33. Policy and Objects. Пример политики для IPv4

Профили безопасности

Антивирус использует набор интегрированных технологий безопасности для защиты от различных угроз, включая известные и неизвестные вредоносные коды (вредоносные программы), а также целевые атаки и постоянные угрозы.

 

Рисунок 34. Security Profiles. Антивирус

 

Решение для веб-фильтрации предназначено для ограничения или управления контентом, к которому разрешен доступ и который доставляется через интернет с помощью веб-браузера. Он может использоваться для повышения безопасности, предотвращения нежелательных действий и повышения производительности в организации.

 

Рисунок 35. Security Profiles. Web-фильтр

 

Профили соответствия FortiClient используются в основном для обеспечения совместимости подключенных устройств с Endpoint Control и защиты от уязвимостей. Сканирование уязвимостей конечных точек на соответствие требованиям клиента. Это позволяет FortiClient работать как часть структуры безопасности.

 

Рисунок 36. Security Profiles. Профили соответствия FortiClient

 

Контроль приложений обеспечивает обнаружение и применение мер реагирования в случае необходимости. Управление приложениями использует декодеры протоколов с сигнатурами, которые анализируют сетевой трафик для обнаружения трафика приложений, даже если трафик использует нестандартные порты или протоколы.

 

Рисунок 37. Security Profiles. Контроль приложений. Вид 1

 

Рисунок 38. Security Profiles. Контроль приложений. Вид 2

 

Система предотвращения вторжений FortiOS (IPS) объединяет обнаружение сигнатуры и ее предотвращение с низкой задержкой и превосходной надежностью. С защитой от вторжений можно создать сенсоры (датчики) IPS, каждый содержит полную конфигурацию на основе сигнатур. Затем можно применить любой сенсор (датчик) IPS к любой политике безопасности.

 

Рисунок 39. Security Profiles. Система предотвращения вторжений

VPN

Когда удаленный клиент подключается к модулю FortiGate, модуль FortiGate проверяет подлинность пользователя на основе имени пользователя, пароля и домена проверки подлинности. Успешный вход в систему определяет права доступа удаленных пользователей в соответствии с группой пользователей. Параметры группы пользователей определяют, будет ли соединение работать в режиме только для интернета или в туннельном режиме.

 

Рисунок 40. Настройки SSL-VPN

Пользователи и устройства

Группа пользователей — это список подлинности пользователей. Идентификация пользователей может осуществляться по:

  • учетной записи локального пользователя (имя пользователя / пароль, хранящиеся в блоке FortiGate);
  • учетной записи удаленного пользователя (пароль, сохраненный на сервере RADIUS, LDAP или TACACS+);
  • учетной записи Пользователя PKI с цифровым сертификатом аутентификации клиента, хранящимся на блоке FortiGate;
  • серверу RADIUS, LDAP или tacacs+, дополнительно определяя группы пользователей на том сервере;
  • группе пользователей, определенной на сервере FSSO.

 

Рисунок 41. Группы пользователей в FortiOS 6.0

 

В консоли Пользовательские устройства и группы можно настроить ограничения для устройства, по определенным MAC-адресам, которые уже известны FortiGate и внесены в политику.

В политике безопасности можно указать несколько типов устройств. В качестве альтернативы можно добавить несколько типов устройств в пользовательскую группу устройств и включить эту группу в политику. Это позволяет создать другую политику для устройств, чем для устройств в целом.

 

Рисунок 42. Пользовательские устройства и группы

 

FortiGate может отслеживать и собирать информацию об устройствах, подключенных к сети. Собранная информация включает:

  • MAC-адрес;
  • IP-адрес;
  • операционная система;
  • имя хоста;
  • имя пользователя;
  • как давно было обнаружено устройство и на каком интерфейсе FortiGate.

 

Рисунок 43. Информация по устройствам в сети

Ведение журнала и создание отчетов

Ведение журнала и создание отчетов в FortiOS может помочь в определении того, что происходит в сети, а также в информировании об определенной сетевой активности, такой как обнаружение вируса или ошибок VPN-туннеля IPsec. Ведение журнала и отчетность детально показывают информацию по различным направлениям того, что происходит в сети.

В качестве примеров событий, по которым ведутся журналы рассмотрим:

  • системные события;
  • события VPN;
  • журнал антивируса;
  • контроль приложений.

При этом стоит отметить, что любой из журналов можно выгрузить в текстовом виде в файл.

 

Рисунок 44. Log and Report. Системные события

 

Рисунок 45. Log and Report. События VPN

 

Рисунок 46. Log and Report. Журнал антивируса

 

Рисунок 47. Log and Report. Контроль приложений

 

По критичным событиям можно настроить оповещение администратора.

 

Рисунок 48. Log and Report. Настройки отправки письма администратору на электронную почту

Мониторинг

В консоли мониторинга можно просматривать сведения о сеансе и политике, а также другие действия, выполняемые FortiGate. Мониторингу подвержены: активность пользователей, трафик и использовании политик для отображения активности в реальном времени.

Мониторы доступны для DHCP, маршрутизации, политик безопасности, формирования трафика, балансировки нагрузки, функций безопасности, VPN, пользователей и Wi-Fi.

FortiOS 6.0.1 имеет значительный набор параметров по мониторингу состояния сети, пользователей и устройств, работающих в ней.

 

Рисунок 49. Monitoring. Мониторинг маршрутизации

 

Рисунок 50. Monitoring. Мониторинг SD-WAN

 

Рисунок 51. Monitoring. Мониторинг DHCP

 

Выводы

FortiOS 6.0 — специализированная операционная система для всей линейки устройств Fortinet (межсетевые экраны (FortiGate), точки доступа (FortiAP), коммутаторы (FortiSwitch), шлюзы защиты электронной почты (FortiMail) и т. д.), которая позволяет обеспечивать информационную безопасность в сети.

Стоит отметить, что компания Fortinet в 2017 г. получила сертификат ФСТЭК России на FortiGate Enterprise Firewall, функционирующий под управлением операционной системы FortiOS 5.4.1, на соответствие требованиям руководящих документов:

  • Требования к межсетевым экранам;
  • Профиль защиты межсетевого экрана типа А четвертого класса защиты;
  • Профиль защиты межсетевого экрана типа Б четвертого класса защиты;
  • Требования к системам обнаружения вторжений;
  • Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты.

Скорее всего в скором времени стоит ожидать получения нового сертификата от ФСТЭК России для продуктов компании Fortinet, находящихся под управлением FortiOS 6.0.1.

FortiOS 6.0.1 предлагает обширный набор функций, позволяющий организациям любого размера обеспечить эффективную и востребованную настройку самой сети, обеспечения безопасности сети, мониторинга и отчетности. А также позволяют организациям реализовать требования регуляторов по защите информации (если это требуется). В частности, значительная часть требований Приказа №17, Приказа №21 и Приказа №31 ФСТЭК России, а также требования ФЗ-№187 о КИИ прекрасно могут быть реализованы с применением FortiGate под управлением FortiOS 6.0.1.

Новые ключевые функции и возможности FortiOS 6.0 включают:

  • улучшенные технологии защиты SD-WAN;
  • интеграция FortiCASB;
  • поддержка нескольких облаков с коннекторами SDN;
  • поддержка FortiClient для Linux;
  • новые сервисы FortiGuard;
  • усовершенствования функций FortiMail и FortiWeb;
  • автоматизация, определяемая администратором;
  • автоматизированные аудиты безопасности и расширенные правила аудита;
  • и другие.

В FortiOS 6.0 была улучшена технология защиты SD-WAN, которая наделена элементами управления с помощью SLA и позволяет устанавливать приоритеты для приложений, что способствует эффективной работе критически важных приложений.

В FortiOS 6.0 предусмотрена функция развертывания в автоматическом режиме и включения VPN в одно касание, что обеспечивает упрощение и ускорение создания и поддержки канала связи с филиалами.

Также в FortiOS 6.0 теперь можно устанавливать приоритеты для устройства, интерфейса и объекта — таким образом, можно управлять трафиком несмотря на изменения на физическом уровне.

Улучшены механизмы защиты от целевых атак, которые построены на базе FortiGuard, а также на базе антивируса, FortiSandbox (песочницы), встроенных в FortiOS 6.0.

В FortiOS 6.0 встроено приложение FortiMail, которое поддерживает новые службы FortiGuard VOS (служба противодействия распространению вирусов) и CDR (служба обезвреживания и реконструкции содержимого).

В FortiOS 6.0 теперь можно автоматизировать процесс принятия мер реагирования на возникающие угрозы. Реализовано это может быть с помощью триггеров, либо с помощью прямой интеграции с системой управление ИТ-услугами.

В FortiOS 6.0 была улучшена безопасность многооблачной инфраструктуры. В частности, внедрено обновленное решение FortiCASB 1.2, обеспечивающее интеграцию системы безопасности в облачной среде с антивирусным модулем и песочницей FortiCloud Sandbox, реализацию расширенных функций защиты и обнаружения угроз, а также создание отчетов о выявлении теневых ИТ-ресурсов.

В частности, коннекторами FortiCASB теперь охватываются частные облака (поддержка VMware NSX, Cisco ACI и Nokia Nuage), общедоступные облака (поддержка AWS, Microsoft Azure, Google Cloud Platform и Oracle Cloud) и облака SaaS (поддержка Salesforce.com, Office 365, Dropbox, Box, AWS и т. д.).

Для защиты конечных точек в FortiOS 6.0 предусмотрено решение FortiClient 6.0 (агент), которое теперь доступно для Linux. Кроме того, агент имеет сертификаты совместимости с рядом конечных точек, разработанных партнерами.

Достоинства:

  • Интуитивно понятный интерфейс.
  • Гибкие настройки по различным параметрам.
  • Единая ОС для всех устройств линейки Fortinet.
  • Гибкие настройки отчетов.
  • Предоставление отчетов по значительному количеству параметров.
  • Мониторинг, пожалуй, всего что происходит в сети. Гибкая настройка и большое количество параметров мониторинга.
  • Встроенная подсистема безопасности, которая объединяет в себе множество средств по безопасности (IDS, IPS, SIEM, антивирус, песочница и другие).
  • Обеспечение и настройка SD-WAN.
  • Обеспечение безопасности облачных сред и многое другое.

Недостатки:

  • Отсутствие русского языка.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.