Fortinet Security Fabric на практике. Часть 5. Администрирование и автоматизация

ad8b6c7e88f40a5c10de9c6e30591c9a

Добрый день, друзья! В прошлый раз мы провели взаимную интеграцию основных продуктов фабрики безопасности. Пришло время заключительной статьи цикла Fortinet Security Fabric. В ней мы закончим создание нашей «мини-сети», о которой велась речь ранее. Мы дадим пользователям доступ в сеть через проводное и беспроводное подключение, а после этого рассмотрим, какие преимущества предоставляет выстроенная нами фабрика безопасности. 

Начнем с проводного подключения. Для этого нам необходимо завести отдельный VLAN для проводных подключений. Таких VLAN«ов может быть несколько, в зависимости от задач, однако для примера рассмотреть один VLAN будет вполне достаточно. Как оговаривалось здесь, номер VLAN«а — 100. Настройки происходят через меню WiFi & Switch Controller → FortiSwitch VLANs и выглядят примерно так:

0204e54be6c42b5e0c6fd494e003ad7c

Все, что необходимо — это указать название VLAN«а, его номер, IP адрес и настройки DHCP сервера (данный интерфейс может сам служить DHCP сервером, а может перенаправлять пользователей на другой DHCP сервер в сети). По желанию можно указать роль (она влияет только на список доступных настроек в графическом интерфейсе), а также цвет — довольно удобно для распознавания конкретного VLAN«а. 

Административное управление через VLAN интерфейсы включать не стоит. Здесь мы оставили только PING для тестовых целей, в рамках продуктива его тоже желательно отключать. 

Настройка VLAN«а для беспроводного подключения практически ничем не отличается. Единственное весомое отличие — в поле Administrative Access необходимо выбрать пункт Security Fabric Connection. Он отвечает за работу протокола CAPWAP, про который мы говорили в прошлых статьях. Номер VLAN«а — 50:

5b16a68445564b28b4a9a989b5b8fb50

Теперь необходимо привязать созданные VLAN«ы к конкретным портам FortiSwitch. Точку доступа мы включим в третий порт, а тестовый компьютер — в 7. Поэтому напротив данных портов в столбце Native VLAN выбираем соответствующие VLAN«ы:

e0a64e9a2e9fbc3bd6d3e5a938c10b39

Теперь, для беспроводного подключения необходимо создать один или несколько SSID, в зависимости от решаемых задач. Мы же разберем создание одного SSID. 

Создается он из меню WiFi & Switch Controller → SSIDs → Create New. Для нового SSID необходимо задать название интерфейса, IP адрес, административный доступ (в идеале он должен быть отключен полностью), настройки DHCP сервера, а также настройки самого SSID (имя SSID, режим безопасности, различные дополнительные настройки). Мы будем использовать стандартный broadcast SSID с аутентификацией общим ключом. Остальные настройки оставим по умолчанию. Обратим внимание на опцию Quarantine host — поскольку мы планируем использовать механизмы автоматизации для блокирования подозрительных пользователей на уровне доступа, данная опция должна быть включена. Общий вид настроек представлен на рисунках ниже:

115f2f155ce995ecfb7d3c206393a2a76e60c2ca2b4e8ab60ca4d96c2f04dec0

Важное примечание — в версии FortiOS 6.4.3 присутствуют проблемы, которые препятствуют нормальной работе беспроводной сети при подобной конфигурации. Данные проблемы описаны в документе Release Notes данной версии, там же предлагаются пути ее решения:

47a5510393e072f5575081870dc1c36f

В данном случае нам помог второй workaround. 

Теперь осталось разрешить доступ проводных и беспроводных пользователей в Интернет. Причем, необходимо также использовать различные механизмы безопасности для защиты пользователей. 

Для этого необходимо сделать две политики безопасности: для доступа проводных пользователей в Интернет, и аналогичную для беспроводных пользователей. В реальности политик может быть больше — с их помощью можно контролировать трафик пользователей между различными сегментами сети. 

Политика для проводных пользователей выглядит примерно так:

e8b076338b930390c032804c94750a93

Здесь, при возможности, необходимо распространить сертификаты для SSL инспекции на пользовательские машины и включить глубокую инспекцию. Иначе большинство угроз в зашифрованном виде смогут добираться до пользовательских машин. Другие профили также необходимо настроить исходя из решаемых задач. 

Политика для беспроводного доступа выглядит очень похоже:

1172b8353b516de7e37ec68456a82722

Однако, в данном случае распространение сертификатов представляется очень сложным (если вообще возможным), поэтому здесь обычно оставляется обычная проверка сертификатов. 

Для дальнейшей работы нам необходим активированный профиль веб фильтрации на приведенных выше политиках. Он должен логировать посещаемые пользователями ресурсы (это может быть просто мониторинг или блокировка некоторых ресурсов). Сервис IoC работает именно с этим типом логов. 

Проверим беспроводное подключение с помощью утилиты PingTools:

46ffeca09e021cc183fd4e28a5669e13

Как видно из рисунка выше — мы подключились к нашему SSID и через него можем выходить в Интернет. Проводное подключение также работает — достаточно подключить необходимую машину в настроенный порт FortiSwitch. 

Теперь перейдем к преимуществам фабрики безопасности. Самое очевидное преимущество: просмотр логов из одного места — FortiAnalyzer«а:

b19ee1aa5a3020b525b7e2265bf504cf

Начиная с версии 6.2 в FortiAnalyzer появилась возможность создания отдельного административного домена для различных устройств Fortinet — Security Fabric. Он позволяет ускорить обработку данных, а также обеспечивает корреляцию логов. 

Интеграция FortiEMS с FAZ

В прошлый раз мы забыли упомянуть про интеграцию FortiClient EMS и FortiAnalyzer. Делается это довольно просто — адрес FortiAnalyzer«а и перечень типов логов, которые необходимо отсылать, настраиваются в отдельных профилях безопасности, которые потом привязываются к конечным точкам:

13c33f63095267b3a4777b2b037ecc6a

Второе преимущество — автоматизация. С версии 6.4 доступно два варианта: более простой — Automation Stitch, и посложнее — FortiSOC. Начнем с механизма Automation Stitch.

Он работает на основе условий (или триггеров). То есть, если происходит определенное событие, система отвечает на него преднастроенным действием. Выглядит это таким образом:

5d7a4cdafbd0582a686a42f168d794a8

В поле Trigger представлены события, в ответ на которые можно настроить автоматические действия (поле Action). Действия могут различаться в зависимости от событий. Например, если вы выберем событие Compromised Host, у нас появятся дополнительные действия — карантин с помощью FortiClient EMS, блокировка IP адреса, а также карантин на уровне доступа:

56d6724616d7e57c0a5425fd1ff72640

Проверим данный механизм: попробуем с телефона получить доступ к зловредному ресурсу. После этого перейдем в меню Dashboards → Users & Devices. Виджет Quarantine показывает, что у нас одно устройство в карантине. Кликнем два раза на этот виджет, чтобы посмотреть подробности:

aac3d2e87465fcd476c636de221d992f

Да, действительно, устройство, с которого мы только что пытались стучаться к C2C было отправлено в карантинный VLAN. В текущей конфигурации он не имеет никакого доступа в сети, однако с помощью политик безопасности можно разрешить таким устройствам доступ к определенным ресурсам. 

Для более сложных сценариев можно использовать механизм FortiSoC, который доступен из устройства FortiAnalyzer. Он позволяет разрабатывать разнообразные сценарии автоматизации. По умолчанию доступно несколько преднастроенных сценариев:

aad505ad27b3f21c0a2c822f0e9c9c90

Также можно с нуля создать свой собственный сценарий. Рассмотрим его создание:

a77b64fdaa7996654587896fce3495e2

Первым делом необходимо создать триггер — это может быть определенное событие, созданный инцидент, ручной запуск сценария или запуск по расписанию. К примеру, создадим триггер — событие, которое происходит при обнаржуении скомпрометированного хоста:

f2f75ed0e11d8c1cf20942e98a4d25cc

После этого становятся доступны различные действия. Многообразие действий зависит от подключенных коннекторов:

ca4d27ae11f4e9029dff35703bba6f5b

Например, с помощью коннектора FortiAnalyzer можно создавать инциденты, прикреплять к нему различные данные и отчеты. С помощью коннектора EMS можно проводить на конечных точках антивирусные сканирования, сканирования на уязвимости, добавлять их в карантин или убирать оттуда. Мы создали простой плейбук, который при обнаружении скомпрометированного хоста добавляет его в карантин, проводит антивирусное сканирование и создает инцидент:

7a4cd8a6d4c844cbe63dce2fe0a07614

Проверим на ноутбуке, подключенном к FortiSwitch. Попробуем постучаться на зловредный хост:

373f97b6c7898f14cbe8bdb4271c8c02

Спустя небольшое время мы видим следующее:

4ab42e6893f9468f49316a9b03ccc43b

Значит наш плейбук начал работать. Проследить за выполнением плейбука можно из меню FortiSoC → Automation → Playbook Monitor. В списке необходимо выбрать интересующее исполнение плейбука. Получаем сводку о его действиях:

e0cba2f8d2712841857642df0edce90d

Как видим — все три действия завершены успешно. Теперь можно посмотреть на созданный инцидент. Список инцидентов находится в меню FortiSoC → Incidents. Выбираем нужный инцидент:

288ee2c43ba29c4ee70581034ea75a1c

Здесь можно найти информацию о данном инциденте, данные и отчеты, прикрепленные к инциденту в ходе исполнения плейбуков (сценариев). Также можно оставлять комментарии, а также отслеживать историю аудита данного инцидента. 

Следует отметить, что подписку на FortiSoC необходимо покупать отдельно, по умолчанию без нее доступно исполнение 5 сценариев в день. 

На этой ноте мы хотим закончить данный цикл статей. Но поскольку компания Fortinet обладает широким продуктовым портфелем, а каждый продукт в свою очередь обладает интересным функционалом, который в полной мере раскрывается именно в интеграции фабрики безопасности — тяжело сказать, что это последняя статья из данного цикла. Скорее — отправной пункт, на который мы сможем ссылаться при описании других продуктов и вариантов интеграций. Поэтому, следите за нашими ресурсами, чтобы не пропустить ничего интересного:

Youtube канал

Группа Вконтакте

Яндекс Дзен

Наш сайт

Телеграм канал

© Habrahabr.ru