უსაფრთხოების ზონა: ქსელის დაცვის კონლექსური მოწყობილობა FortiGate
მას შემდეგ, რაც Microsoft-მა გამოაცხადა ForeFront TMG- ის შემდგომი განვითარების შეწყვეტა, ბევრ კომპანიას დაუდგა არჩევანი ქსელის დაცვის ღირსეული მექანიზმის არჩევა სხვა მწარმოებლისგან. ღირსეულ ალტერნატივად, კომპანია Fortinet- ი გთავაზობთ ქსელის უსაფრთხოების საკუთარ პროდუქტს - FortiGate.
FortiGate-ის ხაზი წარმოადგენს ერთიან საფრთხის მართვის მოწყობილობას, იგივე რაც Unified Threat Management (UTM). ეს არის ქსელური უსაფრთხოების კომპლექსური მოწყობილობა, რომელიც უზრუნველყოფს შეუდარებელ შესრულებას და დაცვას, ქსელური ინფრასტრუქტურის გამატივებით. ქსელის ყოვლისმომცველი და მაღალი ხარისხის უსაფრთხოებისთვის FortiGate იყენებს FortiOS ერთიან სისტემას Forti ASIC-ის წარმოებით.მოწყობილობა მოიცავს ქსელის ფართო ფუნქციებს და უსაფრთხოების ფუნქციებს. განვიხილოთ თითოეული ეს კომპონენტი დეტალურად FortiGate TMG პრიზმაში ჩანაცვლებით.
მოიცვას
FortiGate-ს შეუძლია უზრუნველყოს ინსტრუმენტების ფართო სპექტრი ყველა მსხვილი კომპანიებისთვის, ქსელის უსაფრთხოების კომპლექსური სისტემის შესაქმნელად.
• როუტერი (სტატისტიკური, დინამიკური მარშრუტიზაცია RIP, OSPF, BGP, PIM)
• Firewall
• ანტი-ვირუსი და ანტი-სპამი
• პროგრამების კონტროლი
• ჩამონტაჟებული უკაბელო კონტროლერი
• ვებ-კონტენტის ფილტრაცია
• Failover რეჟიმი / კლასტერიზაცია
• IPv6, VLAN მხარდაჭერა
• VPN IPSec დაა SSL, VPN-კონცენტრატორი
• ტრაფიკის ფორმირება
• WAN-ტრაფიკის ოპტიმატიზაცია
• SSL-ტრაფიკის შემოწმება
• მონაცემთა დაკარგვის თავიდან აცილება
• სერვერზე დატვირთვის ბალანსი
• ვირტუალურ მოწყობილობად გამოყოფა
• საბოლოო წერტილების კონტროლი
• მომხმარებლის აუთენტიფიკაცია LDAP, RADIUS, TACACS+, Single Sign-On в MS Active Directory და Novell eDirectory.
არ გამოვტოვოთ არაფერი
უსაფრთხოების პლათტფორმის ერთ-ერთ ძირითად ელემენტს წარმოადგენს ქსელთაშორისი ეკრანი. ეს მოდული მიზანშეწონილია კორპორატიულ ქსელში არასასურველი შეერთების ფილტრაციისთვის. გარდა ამისა, FortiGate ქსელთაშორისი ეკრანი, საშუალებას გვაძლევს გამოვიყენოთ FortiOS-ის ჩამონტაჟებული ფუნქციების სრულუ კომპლექტი, ისეთები როგორიცაა: ანტი-ვირუსი, ანტი-სპამი, პრაგრამების კონტროლი, ვებ-ფილტრაცია და ა.შ.
მარიონეტული სესიების პროტოკოლებად გადაცემისთვის HTTP (HTTPS) და FTP FortiGate-ში მიზანშეწონილია ფუნქცია „Explicit web proxy”. Single Sign-ON (SSO) ფუნქციის FortiGate-ში სრულად ინტეგრირების დახმარებით, შესაძლებელია ვაკონტროლოთ მომხმარებელთა წვდომა ჯგუფის დომეინის აუცილებელი ეფლებების და შესაძლებლობების გამოყენებით (Active Directory , Novell eDirectory). ასეთ უსაფრთხოების პოლიტიკაში შეიძლება ჩართული იყოს ანტივირუსული დაცვის ფუნქცია, ვებ-ფილტრაცია და პროგრამების კონტროლი.
ვებ-მარიონეტული ჩართვა ხორციელდება საჭირო ინტერფეისზე და ნებადამრთველი პოლიტიკის შექმნით. კიდევ ერთი მნიშვნელოვანი ფუნქცია TMG მიგრაციის დროს - ეს არის
SSL-ტრაფიკის შემოწმება. ირთვება ის ისევე ადვილად, როგორც ნებისმიერი უსაფრთხოების ფუნქცია.
ერთიანი შესვლის პოლიტიკა
ინტეგრაციის მეთოდით, ერთიანი შესვლის დანერგვა კონტროლერის დომენით (Single Sign-ON) შესაძლებელია რამდენიმე მეთოდით:
1. სპეციალური პროგრამის გამოყენებით-აგენტი კონტროლერის დომენზე (DC Agent)
DC Agent -პრიგრამული კომპონენტი , რომელიც განკუთვნილია მომხმარებლის სისტემაში შესვლის თვალთვალისთვის. ის მოქმედებს არა FortiGate-თან პირდაპირ, არამედ Collector Agent-ის დახმარებით. Collector Agent-ი ყენდება ნებისმიერ სერვერზე ან კონტროლერის დომენზე. Agent-ი იღებს ინფორმაციას მომხმარებელთა სისტემაში შესვლის შესახებ და ცვლის ინფორმაციას FortiGate-თან.
2. Collector Agent-ის კვლევა
ეს მეთოდი მოიცავს Collector Agent-ის მონტაჟს, კონტროლერის დომენის DC Agent-ის გამოყენების გარეშე. Collector Agent-ი ყენდება ერთ-ერთ Windows -ის სერვერზე და იწყებს კონტროლერის დომენის კვლევას მომხმარებელთა აუთენტიფიკაციის მოვლენების შესახებ. გამოკითხვის მექანიზმი ამ შემთხვევაში არის Windows NetAPI ან Security event log.
3. FortiGate-ის პირდაპირი კვლევა
ოპერატიულ სისტემაში FortiOS5 მომხმარებელთა აუთენტიფიკაციისთვის კვლევის მექანიზმი ჩამონტაჟებულია FortiGate კონტროლერის დომენზე. გარდა ამისა, კვლევისათვის გამოიყენება მხოლოდ Security event log, ხოლო თვითონ მეთოდი უფრო შეესაბამება მცირე ქსელის ინფრასტრუქტურას, სადაც არ არის Collector Agent-ის ქსელის პარამეტრზე დაყენების საშუალება.
4. NTLM- აუთენტიფიკაცია
NTLM აუთენტიფიკაციის გამოყენება FortiGate-თან გაცვლისთვის ითხოვს ქსელის პერიმეტრზე პროგრამა Collector Agent-ის დაყენებას. URL მისამართის შეყვანისას, მომხმარებლის ბრაუზერში FortiGate -ი მოითხოვს მის ინფორმაციას. მიღების შემდეგ მოხდება მომხმარებლის საკუთრების შემოწმება დომენის ჯგუფებთან Collector Agent-ის დახმარებით და იქნება ხელმისაწვდომობა რესურსებზე, ჯგუფის უსაფრთხოების პოლიტიკის თანახმად.
5. ტერმინალური სერვერები
მომხმარებლებს, რომლებსაც აქვთ წვდომა კორპორატიულ რესურსებთან Microsoft ან Citrix-ის ტერმინალური სერვერების საშუალებით, IP მისამართის ნაცვლად აქვთ ერთი საერთო მისამართი. უსაფრთხოების SSO გამოყენებით Fortinet-ს აქვს პროგრამული კომპონენტი Terminal server Agent (TS Agent), რომელიც დამონტაჟებულია თვითონ ტერმინალის სერვერზე . ის გამოყოფს თითოეული მომხმარებლის პორტების დიაპაზონს და ცვლის ინფორმაციას Collector Agent-თან, რომელმაც თავის მხრივ იცის თითოეული ჯგუფის დომეინის ვინაობა. ამის შემდეგ FortiGate გამოყოფს რესურსების გარკვეულ ნაკრებს, რომელიც შეესაბამება აღნიშნული ჯგუფის პოლიტიკას.
ვებ-რესურსების გამოყენების საკითხი
Outlook Web Access ან Share Point ვებ შინაარსის გამოქვეყნების ძირითად ასპექტებს წარმოადგენს გარე IP მისამართის გადაცემა და მომხმარებელთა შორის გარე სერთიფიკატების გაცვლა. ამისათვის თავდაპირველად საჭიროა სერთიფიკატის იმპორტი, შემდეგ მის არჩევა მენიუში.შემდეგ, საპირისპირო მარიონეტული კონფიგურაციისათვის აუცილებელია დაყენდეს დატვირთვის დაბალანსება. ამისათვის იქმნება ვირტუალური სერვერი არსებულ რეალურ მოწყობილობის ბაზაზე. საბოლოო ნაბიჯი არის ახალი უსაფრთხოების პოლიტიკის შექმნა, რომელიც საშუალებას აძლევს გარე მოძრაობას. როგორც ჩვეულებრივი მარიონეტული სერვერის შემთხვევაში, არსებობს უსაფრთხოების ფუნქციის გახანგრძლივების საშუალება, პოლიტიკაში ანტივირუსული დაცვის პროფილის ჩართვით.
რადგანაც სერთიფიკატების გაცვლა გამჭვირვალეა საბოლოო მომხმარებლის შიდა ქსელში, შეგვიძლია გამოვიყენოთ მწარმოებლის სტანდარტული ჩამონტაჟებული სერთიფიკატი. თუ შიდა სერვერს ექნება საკუთარი თვითმოწერილი სერტიფიკატი,შეგვიძლია უბრალოდ ჩავრთოთ „Allow invalid SSL Certificates”, წინააღმდეგ შემთხვევაში აღიქმება როგორც არა კორექტული, რადგან არ ფიგურირებს Certificate Authority (CA) სიაში.
სერთიფიკატების გაცვლის კონფიგურაცია
იმისათვის, რომ ავამოქმედოთ პროგრამების ფუნქციების კინტროლი, საჭიროა შევქმნათ ე.წ. პროგრამების „სენსორი“. საჭიროა ავარჩიოთ კონკრეტული პროგრამა, სენსორის ტიპის „Specify Applications”-ზე გადართვით და შემდეგ ძიების მეთოდით მოვძებნოთ საჭირო ინფორმაცია.
პროგრამის სენსორის შექმნა
„სენსორი“ გამოგვადგება უსაფრთხოების პოლიტიკის ჩართვისას. აღსანიშნავია,რომ არ შეიძლება შეიქმნას ფილტრი პროგრამით ვებ-იტერფეისის საშუალებით. ეს შეიძლება გაკეთდეს CLI კონტროლით, ასეთი ბრძანების შესრულებით ან დავაკოპიროთ ისინი როგორც Script-ი (იხ.1). CLI ფილტრის შექმნის შემდეგ , მასში შეგვიძლია გამომვიყენოთ ნებისმიერი სიგნატური მხოლოდ IIS და Exchange.
config ips sensor
edit "OWA-Publishing"
config entries
edit 2
set application IIS MS_Exchange
set location server
next
end
next
end
კიდევ ერთი „ფარული“ ფუნქცია - საკუთარი IPS -სიგნატური დაწერის საშუალება, წვდომის ბლოკირებისათვის , არასწორი პაროლის შეყვანისას. OWA 2012 -ისთვის ამგვარი სიგნატური შექმნა, გამოიყურება შემდეგნაირად (იხ.2). აქ პარამეტრი «--rate 3,180» ნიშნავს არასწორად შეყვანილი პაროლების რაოდენობას (3) და მომხმარებლის IP-მისამართის ბლოკირები დროს წამებში (180)
config ips custom
edit "MS.OWA.Login.Error"
set comment ''
set signature "F-SBID( --attack_id 3608; --name \"MS.OWA.Login.Error\"; --protocol tcp; --service http; --flow from_server,reversed; --pattern \"<div class=|22|signInError|22 20|role=|22|alert|22|>\"; --context body; --no_case; --pattern !\"<|2F|div>\"; --context body; --no_case; --within_abs 20; --rate 3,180;)"
next
end
Lync-ის გამოქვეყნება
OWA/SharePoint - ის მთელი რიგი ფუნქციების დეტალური განხილვის შემდეგ, აღსანიშნავია, რომ Lync-ის როგორც ვებ-პროგრამის გამოქვეყნება FortiGate-ზე ხდება იმავე სქემით- მისამართების გაშუქება, სერთიფიკატების გაცვლა, UTM-ფუნქციებით დაცვა. გარდა ამისა, FortiGate-ში ჩამონტაჟებულია SIP ALG (Application Level Gateway) მხარაჭერა.
დისტანციური წვდომა და VPN-ქსელი
დიდი ხნის განმავლობაში ფართოდ გამოიყენება ვირტუალური კერძო VPN-ქსელი და დაშიფრული წვდომა. FortiGate-ს აქვს L2TP/IPSec დაა IPsec VPN მხარდაჭერა ე.წ. «site-to-site» კავშირისთვის და SSL-VPN დისტანციური წვდომისთვის ნებისმიერი წერტილიდან, რაც სავსებით შეესაბამება «client-to-site»-ს.
VPN კავშირის მუშაობის სქემა
Ipsec-ისთვის ხელმისაწვდომია რამდენიმე ვარიაცია სტატისტიკური ან «Dialup»- შეერთებისთვის.
FortiGate-ის მოწყობილობებისა და კომპიუტერებს შორის გვირაბები შენდება FortiClient-ის დახმარებით. გათვალისწინებულია აუთენტიფიკაციის ლიკალური ჯგეფები,ლოკალური და დისტანციური კვანძების იდენდიფიკატორები, X.509 სერთიფიკატები, Active Directory ჯგუფის მონაცემები.
SSL წარმოდგენილია ორ სამუშაო რეჟიმად- ვებ-პორტალური და გვირაბული. ვებ-პორტალური გათვალისწინებულია ვებ-ბრაუზერიდან კორპორატიულ რესურსებთან სწრაფი წვდომისთვის, რაც ძალზედ მნიშვნელოვანია მომხმარებლებისთვის და მობილური მოწყობილობებისთვის.
ამ რეჟიმში FortiGate მუშაობს როგორც დაცული HTTP/HTTPS შლუზი და აუთენტიფიკაციას უკეთებს მომხმარებლებს ვებ-პორტალთან წვდომის ეზრუნველყოფით, HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH და სხვა რესურსების გახსნით. გვირაბული ქსელი უზრუნველყოფს წვდომას კორპორატიული ქსელის ნებისმიერ პროგრამასთან, თუმცა ამისათვის ყენდება FortiClient ან მისი ცალკეული ნაწილი – FortiClient SSL VPN application.
FortiClient მხარს უჭერს ბევრ ОС, კერძოდ Windows, Mac OS X, Apple iOS დაა Android
VPN-ის კიდევ ერთი დამატებითი ავტორიზაციის ტიპი - ორ ფაქტორიანი აუთენტიფიკაცია აპარატული გენერატორის FortiToken- ის ერთჯერადი პაროლის გამოყენებით ან FortiTokenMobile პროგრამული გადაწყვეტილება მობილური გადაწყვეტილებებისათვის.
ჩვენ ვაწარმოებთ აღნიშნული ტექნიკის დისტრიბუციას საქართველოში
თუ გსურთ მიიღოთ ფასდაკლების პირადი პრომო-კოდი, მოგვწერეთ abo@muk.ua
მიროსლავ მიშენკო- Fortinet-ის Account Manager-ი უკრაინასა და ბელორუსიაში
FortiGate-ის ფლაგმანური გადაწყვეტილებების დახმარებით, კომპანია Fortinet -ს შეუძლია ეზრუნველყოს მთელი რიგი ფუნქციები, რაც საშუალებას გვაძლევს შევქმნათ ქსელური უსაფრთხოების კომპლექსური სისტემა ყველა ზომის საწარმოსათვის.
უსაფრთხოების ზონა: ქსელის დაცვის კონლექსური მოწყობ, მოწყობილობა FortiGate
