Fortinet Security Fabric на практике. Часть 2. FortiSwitch

46adeaf6c4bb8c2fcfa8d204e7bf4f5c.png

Приветствуем! В нашей прошлой статье мы описали общую концепцию построения сети на продуктах компании Fortinet — Fortinet Security Fabric. Практически все продукты из этой концепции мы уже описывали. Неосвещенными остались только FortiSwitch и FortiAP. Сегодня мы хотим рассказать про FortiSwitch — коммутатор от компании Fortinet. В статье мы рассмотрим возможные способы управления данным продуктом, его основные функциональные возможности, а также преимущества при его использовании в составе Fortinet Security Fabric. 

FortiSwitch имеет два варианта развертывания — Managed и Standalone. В первом случае он полностью управляется через FortiGate и фактически служит для увеличения количества его физических портов. Это позволяет применять защитный функционал FortiGate на всех интерфейсах FortiSwitch. Также становится доступной информация о подключенных к FortiSwitch устройствам:

Если FortiSwitch в данном режиме будет установлен на уровне доступа, FortiGate сможет получать информацию о каждом конечном устройстве, который будет подключен к FortiSwitch. Также это позволит автоматизировать блокировку подключенных устройств при обнаружении угрозы. 

При развертывании в Standalone режиме FortiSwitch управляется через собственный GUI или CLI интерфейс. Такой вариант используется довольно редко: обычно FortiSwitch используют именно для того, чтобы получить все преимущества Fortinet Security Fabric. Поэтому, данный вариант мы рассматривать не будем. 

Также имеется возможность управлять продуктами FortiSwitch из облака или с помощью продукта FortiManager, но мы имеем дело с одним FortiSwitch, а данные способы обычно используются при большом количестве продуктов — поэтому данные возможности мы также рассматривать не будем. 

Теперь обсудим следующий вопрос — на что способен FortiSwitch? Доступных функций у него довольно много, поэтому мы коснемся только основных. Полный список функций можно найти в даташите. Также там можно проверить, поддерживает ли определенная модель конкретный функционал.  

DHCP Snooping— позволяет блокировать DHCP трафик, присущий DHCP серверам, с недоверенных источников (например с портов, подключенных к пользовательским устройствам), с которых могут происходить атаки или другие вредоносные действия. Это достигается путем выбора доверенных и недоверенных портов. Доверенными портами выбираются те порты, которые подключены к существующим DHCP серверам, остальные порты помечаются как недоверенные:

b25f61fe3340b679251fe6114ad83148

Spanning Tree Protocol (STP) — протокол управления каналами, который строит свободную от петель L2 топологию путем блокировки избыточных каналов:

48d3f603b6a1f485d95c3dd4c0c9e7c1

Loop Guard— также помогает предотвратить образование петель. Когда Loop guard активирован на порту коммутатора, он периодически отсылает служебные пакеты (LGDP — Loop Guard Data Packets). Если коммутатор, отправивший данный пакет, через какое-то время получает данный пакет обратно, значит в сети появилась петля. Поэтому порт, с которого был отправлен служебный пакет, блокируется. Данный функционал должен работать вместе с STP, а не заменять его. 

Edge Port — данный функционал можно активировать на портах, которые подключены к конечным устройствам (компьютеры пользователей и т.д.). Во первых, данные порты будут быстрее входить в рабочее состояние (поскольку им не нужно участвовать в STP процессе). Во вторых, смена состояния порта не будет влиять на текущее состояния STP процесса. 

STP BPDU Guard— защищает Edge порты от петель. BPDU Guard отключает порт при получении BPDU, поскольку получение BPDU означает, что к порту по ошибке был подключен коммутатор. Это в свою очередь может привести к петле.

336c80d72dcddc13a82c0f4ccc1feb7c

STP Root Guard — предотвращает возможность интерфейса, на котором он активирован, стать корневым. При этом, BPDU, получаемые данным интерфейсом, игнорируются или отбрасываются. Без использования данной опции, любой свитч, участвующий в STP, может стать корневым. Это может привести к тому, что большие объемы трафика будут передаваться по неоптимальным или небезопасным каналам. Использование данной опции позволит обеспечить соблюдение необходимой топологии сети. 

9a9a6a2675a04e0abdbe619d629f3838

Storm Control — механизм, предназначенный для обнаружения и блокировки L2 штормов в сети. Работает путем настройки максимальных значений для unknown-unicast, unknown-multicast и broadcast трафика. 

FortiSwitch Network Access Control — FortiSwitch позволяет настраивать политики контроля доступа, которые могут проверять устройства на соответствие различным критериям, принадлежности к определенной группе пользователей или присутствию EMS тегов. Устройства, которые попадают под условия данных политик, определяются в конкретный VLAN, или к ним применяются индивидуальные настройки. 

FortiSwitch Security Policies — для контроля доступа FortiSwitch также поддерживает IEEE 802.1x аутентификацию. В случае использования данного механизма, устройство, подключенное к FortiSwitch, должно быть аутентифицировано RADIUS сервером для получения доступа к сети. 

При использовании FortiSwitch совместно с FortiGate существует одна интересная возможность — Access VLANs. Понятие Access VLAN в терминологии FortiSwitch отличается от общепринятого. Здесь оно означает то, что весь трафик между конечными устройствами, (даже подключенными к одному FortiSwitch и одному VLAN) могут взаимодействовать между собой только через FortiGate. Это позволяет контролировать и инспектировать трафик между VLAN«ами. При использовании Access VLAN для разрешения трафика между VLAN«ами или в рамках одного VLAN необходимо создавать политики безопасности на FortiGate, где можно применить различные механизмы безопасности (антивирус, IPS, контроль приложений и т.д.).

a832b879703d0b274fc4c677ca2bebb6

Как уже упоминалось ранее, при использовании FortiSwitch в составе Fortinet Security Fabric можно обеспечить видимость устройств, работающих в сети. Выглядит это примерно таким образом:

8cab324bce5c2ffa59316a050f82cef8

Также при взаимодействии продуктов FortiGate, FortiAnalyzer и FortiSwitch появляется возможность добавления устройств в карантин по MAC адресу как вручную, так и автоматически при обнаружении вредоносной активности:

25b708aabaddd804f7240d58169f2f76

С помощью механизма Security Rating можно проверить конфигурацию FortiSwitch, включенных в Fortinet Security Fabric, на соответствие лучшим практикам. При выявлении определенных проблем требуемые настройки выборочно можно применить из одного окна:

f14947379a4ae234751cf5e68bb08629

Данными возможностями FortiSwitch не ограничивается — мы описали только самый основной функционал, а также то, чего будем касаться в дальнейшем. Для получения дополнительной информации о возможностях FortiSwitch можно изучить даташиты и руководство администратора. Следующий продукт, который мы рассмотрим — точки доступа FortiAP. После этого мы сможем перейти к построению защищенной сети на базе Fortinet. Чтобы ничего не пропустить, следите за обновлениями на наших ресурсах:  

Youtube канал

Группа Вконтакте

Яндекс Дзен

Наш сайт

Телеграм канал

© Habrahabr.ru