Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2

в 7:28, , рубрики: CTAP, cyber threat assessment, fortianalyzer, Fortigate, fortinet, антивирусная защита, Блог компании TS Solution, Сетевые технологии, системное администрирование

В предыдущей статье мы затронули тему аудита безопасности сети с помощью Fortinet (часть 1). Мы обсудили основные возможности и рассмотрели пример отчета. Теперь же мы рассмотрим непосредственно установку и настройку. Мы условились, что для аудита будем использовать виртуальные решения FortiGate VM и FortiAnalyzer. Т.е. для начала вам необходимо запросить эти образы и демо-лицензии. К сожалению не можем предоставить прямую ссылку на образы (лицензионные ограничения). Схема внедрения выглядит довольно просто:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 1

Т.е. на существующем сервере виртуализации «поднимаются» две виртуальные машины. В нашем случае мы будем использовать ESXi, но есть поддержка Hyper-V и KVM. FortiGate VM одним адаптером подключается к общей сети (vSwitch0). Этот линк будет использоваться для управления и для доступа в Интернет. Второй интерфейс подключается к другому vSwitch1, который в свою очередь подключен к свободному физическому порту сервера (eth2). Именно на этот порт должен зеркалироваться трафик для анализа. Обратите внимание, что для коммутатора vSwitch1 должен быть включен Promiscuous mode (Accept). Более подробно можно прочитать здесь.

Рядом так же устанавливается FortiAnalyzer, который достаточно подключить лишь одним интерфейсом к вашей сети (vSwitch0).

Импорт образов

Как вы понимаете, первым делом необходимо импортировать образы. Поставляются они в виде ovf, поэтому никаких проблем возникнуть не должно.

Импорт FortiGate VM:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 2

Теперь нужно выбрать файл. В архиве их несколько, но нам нужен именно FortiGate-VM64.ovf:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 3

Далее, при настройке интерфейсов необходимо для первого адаптера выбрать VM Network (что соответствует менеджмент сети — vSwitch0), а для второго — VM Network 2 (что соответствует SPAN порту — vSwitch1). Остальные порты можно оставить по «дефолту»:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 4

По умолчанию в свойствах виртуальной машины выставлен 1Гб оперативной памяти и 1 ядро. Не пытайтесь менять эти параметры, иначе триальная лицензия не активируется и вы не сможете подключиться к этому устройству. Позже поправим.

Виртуальная машина FortiAnalyzer импортируется точно так же. Необходимо выбрать файл FortiAnalyzer-VM64.ovf:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 5

При настройке сети достаточно включить первый интерфейс в VM Network (т.е. менеджмент сеть):

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 6

У этой виртуальной машины по умолчанию уже 4Гб оперативной памяти и 2 ядра. Как правило этих параметров всегда хватает.

Запуск и первоначальная настройка

После успешного импорта образов можно запустить обе «машины». В первую очередь нам необходимо настроить ip-адрес и дефолтный маршрут, чтобы можно было подключиться к устройствам уже через web-интерфейс.

В качестве логина используется admin, а пароль — пустой (нажмите просто enter):

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 7

Настройка ip — адреса выполняется с помощью следующих команд:

config system interface
edit port1 //имя сетевого интерфейса
set ip 10.10.10.112/24 //IP адрес и маска сети
end

Настройка шлюза по умолчанию:

config router static
edit 1 //номер маршрута в списке
set gateway 10.10.10.254
set device port1
end

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 8

Для проверки настроек можно использовать следующие команды:

show system interface (вывод настроек портов)
show router static (вывод настроек маршрутизатора)

Настройки для FortiAnalyzer аналогичны:

config system interface
edit port1 //имя сетевого интерфейса
set ip 10.10.10.113/24 //IP адрес и маска сети
end

Настройка шлюза немного отличается:

config system route
edit 1 //номер маршрута в списке
set gateway 10.10.10.254
set device port1
end

После настройки интерфейсов очень важно проверить, что на устройствах появился Интернет, иначе лицензии не активируются. Для проверки используйте команду execute ping

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 9

Подключение и активация лицензий

После настройки мы можем подключиться через web-интерфейс и активировать лицензии, которые вам должен предоставить партнер. Начнем с FortiAnalyzer:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 10

Логин admin и пустой пароль. После входа откроется стартовая страница:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 11

Нас интересуют System Settings:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 12

В правом верхнем углу мы увидим информацию о лицензии. На текущий момент активна триальная, но мы «подкинем» новую нажав на Upload License. После этого устройство перезагрузится уже с новой лицензией.

Для FortiGate похожая процедура. Подключаясь обратите внимание, что откроется http версия портала, а если попытаться подключиться по https, то браузер выдаст ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Это нормальная ситуация, обусловленная триальным режимом. После активации лицензии мы сможем подключаться по HTTPS. Окно входа выглядит следующим образом:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 13

Логин — admin, пароль — пустой. После входа мы увидим главную страницу FortiGate:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 14

Необходимо активировать лицензию нажав на FGVMEV License и затем подкинуть новую:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 15

После этого начнется процесс активации лицензии, который может занять некоторое время:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 16

После активации шлюз перезагрузится. Теперь для виртуальной машины можно выставить 2 ядра и 4 Гб оперативной памяти (зависит от лицензии, которую вам сгенерировали). В итоге вы должны увидеть примерно следующее:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 17

Обратите внимание, что сервисы IPS, Anti-Virus, Web-filtering могут активироваться не сразу, а через некоторое время.

Настройка One-Arm Sniffer

Теперь можно приступить непосредственно к настройке One-Arm Sniffer. Для этого нужно открыть настройки интерфейсов:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 18

Нас интересует port2, т.к. именно он подключен к SPAN-порту. Двойным кликом заходим в его свойства и выставляем настройки как на картинке ниже:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 19

Важно не забыть нажать OK, чтобы настройки применились. После этого необходимо еще раз зайти в настройки port2, и по очереди открыть настройки профилей AntiVirus, Web Filter, Application Control и IPS.

Начнем с AntiVirus (Edit Sniffer Profile). Настройки должны выглядеть следующим образом:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 20

Не забудьте нажать Apply. Настройки Web Filter (Edit Sniffer Profile):

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 21

Настройки Application Control (Edit Sniffer Profile):

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 22

Настройки IPS (Edit Sniffer Profile):

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 23

Как видно, по умолчанию в профиле включены сигнатуры с уровнем важности Critical и High. Необходимо добавить Medium:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 24

Так же для этого профиля в качестве действия нужно установить Monitor:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 25

Не забывайте сохранять настройки нажимая Apply.
На этом настройка One-Arm Sniffer завершена и далее необходимо настроить интеграция с FortiAnalyzer.

Интеграция с FortiAnalyzer

Для интеграции с FortiAnalyzer необходимо правильно настроить логирование. Переходим в Log Settings:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 26

Логирование на Disk можно выключить и указать ip-адрес нашего FortiAnalyzer-а, как на рисунке выше. Нажав на Test Connectivity мы увидим, что устройство необходимо зарегистрировать на FortiAnalyzer. Нажимаем Apply и переходим к настройкам FortiAnalyzer в раздел Device Manager:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 27

Переходим в раздел Unregistered:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 28

Здесь мы увидим наш FortiGate. Выбираем его и нажимаем Add:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 29

Жмем ОК:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 30

С этого момента FortiGate зарегистрирован:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 31

Возвращаемся к настройкам FortiGate в Log Settings. Еще раз проверяем Test Connectivity и выставляем Upload option в Real Time:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 32

Для Event Logging выставляем All, а в поле Display Logs выставляем FortiAnalyzer:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 33

Не забываем применить настройка (Apply). Но этом настройка FortiGate и FortiAnalyzer полностью завершена.

Генерация отчетов

Перед генерацией отчета необходимо убедиться что логи действительно приходят на FortiAnalyzer. Для этого необходимо перейти в раздел Log View:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 34

Вы должны увидеть логи FortiGate:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 35

Логи приходят. Теперь для сбора статистики необходимо продолжительное время (желательно 2-4 недели). Однако генерировать отчеты вы можете в любое время. Для этого перейдите в раздел Reports:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 36

Здесь доступно большое количество видов отчетов, но нас интересует именно Cyber Threat Assessment. Выдели его и нажмите Run Report:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 37

Готовый отчет можно будет найти в разделе Generated Reports:

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2 - 38

Перед генерацией отчета рекомендуется выждать хотя бы один час, дабы успела набраться хоть какая-то статистика. Пример отчета можно посмотреть здесь.

Заключение

Хоть процедура и простая (занимает максимум 30 минут времени) получилось довольно много картинок. Возможно где-то не совсем очевидны наши действия. Именно поэтому в ближайшее время мы опубликуем небольшие видео уроки, где шаг-за-шагом пройдем всю процедуру по настройке.

Как мы уже писали в первой части, данный аудит это хорошая возможность проанализировать текущее состояние своей сети. Отчеты весьма подробные и информативные. А учитывая простоту всего процесса, это под силу каждому.

Дополнительную информацию по Fortinet можно найти здесь.

Если вас заинтересовал подобный «пилотный» проект, то можете смело обращаться к нам за лицензиями и образами или просто за помощью по продуктам Fortinet. Спасибо.

P.S. Хотел бы поблагодарить Захарова Юрия (системный инженер Fortinet) за помощью при подготовке данной статьи.

Автор: TS Solution

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js