Bezpečnostní mechanismy na platformě FortiGate

Podobné dokumenty
PB169 Operační systémy a sítě

STRUČNÝ NÁVOD K POUŽITÍ

Zabezpečení v síti IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Access Control Lists (ACL)

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Použití programu WinProxy

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Semestrální projekt do předmětu SPS

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Informace o poštovním provozu na serveru mail.ktkadan.cz a stručný návod na použití OpenWebMailu

Firewally a iptables. Přednáška číslo 12

Představení Kerio Control

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Uživatelský modul. DF1 Ethernet

Osobní firewall s iptables

Uživatelský modul Stunnel

Flow monitoring a NBA

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Návod na používání webmailu

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Analýza a zabezpečení počítačové sítě

Identifikátor materiálu: ICT-3-03

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

B Series Waterproof Model. IP Kamera. Uživatelský manuál

Uživatelský modul. Transparent Mode

Dodávka UTM zařízení FIREWALL zadávací dokumentace

32-bitová čísla Autonomních Systémů v protokolu BGP

Zajištění kvality služby (QoS) v operačním systému Windows

JAK ČÍST TUTO PREZENTACI

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Analýza aplikačních protokolů

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Uživatelský modul. File Uploader

5. Směrování v počítačových sítích a směrovací protokoly

Nastavení přístupových práv terminálů BM-Finger na čipování docházky a otevírání dveří

Téma bakalářských a diplomových prací 2014/2015 řešených při

12. Bezpečnost počítačových sítí

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

P2P komunikace I/O modulů řady E1200 I/O moduly s komunikací přes mobilní telefonní sítě

SSL Secure Sockets Layer

Analýza protokolů rodiny TCP/IP, NAT

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Návod na nastavení bezdrátového routeru Asus WL-520g Deluxe v režimu klient

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Nastavení telefonu Nokia N9

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Audit bezpečnosti počítačové sítě

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

Typická využití atributu Community protokolu BGP - modelové situace

ADMINISTRACE UNIXU A SÍTÍ - AUS Metodický list č. 1

Nezávislé unicast a multicast topologie s využitím MBGP

Routování směrovač. směrovač

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Monitorování datových sítí: Dnes

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

L2 multicast v doméně s přepínači CISCO

XL-IPM-301W(I/T) Bezdrátové ovládání zásuvek 230V

Y36SPS Bezpečnostní architektura PS

LAN/RS485. Převodník BMR Ethernet LAN/RS485

Instalace SQL 2008 R2 na Windows 7 (64bit)

a autentizovaná proxy

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

FFUK Uživatelský manuál pro administraci webu Obsah

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Konfigurace sítě s WLAN controllerem

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

CISCO CCNA I. 8. Rizika síťového narušení

Průmyslový Ethernet. Martin Löw

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Uživatel počítačové sítě

Úvod do informačních služeb Internetu

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Administrace Unixu (Nastavení firewallu)

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Technická specifikace zařízení

Instalace Microsoft SQL serveru 2012 Express

Signalizace a ovládací prvky. Konektory a připojení

Desktop systémy Microsoft Windows

i4 Portfolio s.r.o

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

ID-Ware II Posílání upozornění em na událost s datumovou závislostí

Nastavení programu pro práci v síti

Bezdrátové routery LTE & UMTS datové a hlasové brány

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

L2 multicast v doméně s přepínači CISCO

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Transkript:

Bezpečnostní mechanismy na platformě FortiGate Petr Havíček, Pham Long, Jan Davidek Abstrakt: Cílem této práce je prozkoumat bezpečností mechanismy na bezpečnostní bráně Fortigate. Toto zařízení nabízí značné množství bezpečnostních mechanismů jako firewall, IPS, antivir, antispyware, antispam a mnohé další. Většinu z těchto bezpečnostních mechanizmů jsme prozkoumali, popsali jejich funkčnost a uvedli příklad praktického použití. Klíčová slova: Fortigate, bezpečnost, firewall, IPS, antivir, antispyware, antispam. 1 Bezpečnostní brána Fortigate...2 2 IPS...2 2.1 Fortigate IPS...2 2.1.1 Předdefinované signatury...2 2.1.2 Vlastní signatury...3 2.1.3 Síťové anomálie...4 3 Antivirus...5 3.1 Skenovací pořadí...5 3.2 Antivirové techniky...5 3.2.1 Velikost souboru...5 3.2.2 Vzor souboru...5 3.2.3 Typ souboru...5 3.2.4 Virové skenování...5 3.2.5 Grayware...5 3.2.6 Heuristické skenování...6 4 Firewall...6 4.1Stavový filtr...6 4.2 Traffic shaping...7 4.3 Logování příchozích spojení...9 4.4 Časově omezené platnosti pravidel...9 5 Příklad konfigurace...10 5.1 Konfigurace síťových rozhrání...10 5.2 Konfigurace bloků adres pro skupiny...12 5.3 Vytváření skupiny adres...12 5.4 Vytváření nového firewall profilu...13 5.5 Vytváření vlastní službu...13 5.6 Nastavení traffic shaper...14 5.7 Nastavení firewall pravidel...15 5.8 Vytváření filtrů pro funkci antivirus...17 5.8.1 Ukázka výsledku filtrů...18 6 Ověření možnosti Ipv6 v FortiGate 200A...19 7 Závěr...20 1/20

1 Bezpečnostní brána Fortigate Každá větší počítačová síť by měla mít zařízení, které ji bude chránit před nebezpečím z okolního světa. Takovým zařízením se říká bezpečnostní brány a bývají většinou umístěny na rozhraní sítě a internetu. Mezi takové zařízení patří i bezpečností brána Fortigate. Obsahuje velké množství funkcí, které dokážou ochránit počítačovou síť před velkým počtem hrozeb. Na obrázku číslo 1 vidíme její hlavní funkce. Většina z těchto funkcí je prozkoumána a popsána v další části textu. Obrázek 1. Hlavní funkce bezpečnostní brány Fortigate 2 IPS Zkratka IPS(Intrusion Prevention System) je výraz pro systém, který chrání počítačovou síť před hrozbou. Hrozba může být různého charakteru, například útok hackera, počítačový virus, škodlivý software a další. Systém IPS se snaží hrozbu v reálném čase rozpoznat a provést příslušná opatření k jejímu zamezení. 2.1 Fortigate IPS IPS na platformě Fortigate využívá dvě hlavní metody k vyhledání hrozeb. První je hledání hrozeb pomocí signatur a druhá je vyhledávání síťových anomálií. Pokud je objevena první či druhá možnost, Fortigate má schopnost útok přerušit a dále provést příslušné akce, které se mají provést, je-li příslušný útok detekován. Všechny útoky mohou být logovány, včetně příslušných provedených protiopatření. IPS předefinované signatury a IPS systém jsou pravidelně aktualizovány přes FortiGuard Distribution Network(FDN). Tyto aktualizace poskytují nejnovější ochranu proti hrozbám. Definice síťových anomálií jsou aktualizovány s aktualizací firmwaru. Pokud použijeme výchozí konfiguraci IPS, tak obsahuje doporučené nastavení pro všechny signatury a anomálie. To je velice užitečné, vzhledem k jejich velkému množství. Signatur je kolem 1300. Takže můžeme upravit nastavení jen těch, s kterými hlavně potřebujeme pracovat a ostatní ponechat nastaveny jako výchozí. Pokud dojde k hrozbě, pak je zaznamenána do logu a administrátor sítě může být informován pomocí emailu. Další funkcí, která může pomoct k analyzování hrozeb je logování podezřelých paketů. 2.1.1 Předdefinované signatury Předdefinované signatury jsou uspořádány ve webovém rozhraní v abecedním pořadí pro jejich rychlé vyhledávání. Standardně jsou některé signatury vypnuty, ale logování je zapnuté u všech. Vypínání signatur, které nejsou potřeba, zlepšuje výkon systému a snižuje zápis do log souboru, čímž ho dělá mnohem 2/20

přehlednější. Ukázku předdefinovaných signatur vidíme na obrázku číslo 2. Obrázek 2. Předdefinované signatury Jak je z obrázku patrné, tak každá signatura má svoje jméno, náročnost zatížení, určení zda je pro klienta či server, určení protokolu, aplikace, zda je povolena a akce, která se vykoná, pokud je signatura zjištěna. Celkem existuje 8 druhů akcí, které se mohou vykonat. Nejdůležitější z nich jsou: Pass Pokud je signatura zjištěna, tak systém vygeneruje alert zprávu, ale paket propustí dál. Drop Pokud je signatura zjištěna, tak je paket zahozen. Reset Pokud je signatura zjištěna, pak je paket zahozen, je vygenerována alert zpráva. Je zaslán reset na klienta a server (funguje pouze u TCP). 2.1.2 Vlastní signatury Vlastní signatury slouží k nadefinování hledání vlastních druhů nebezpečí. Signatura je textový řetězec obsahující klíčová slova a jejich hodnoty. Celková délka řetězce by neměla přesahovat 1000 znaků. Klíčových slov je velké množství, je možno jimi nastavit protokoly a jejich specifické vlastnosti. Signatura se skládá z hlavičky, klíčových slov a hodnot. Hlavička je označena pomocí klíčového slova FSBID. Klíčové slova začínají pomocí znaku -- a jejich hodnoty jsou uvedeny v uvozovkách. Jednotlivé klíčové slova jsou oddělena středníkem. Signatury se tedy zapisují ve tvaru: F-SBID(-- klíčové_slovo " hodnota " ; ) Chceme-li například blokovat provoz obsahující určité slovo, pak použijeme následující signaturu: F-SBID (--protocol tcp; --flow established; --content "slovo"; --no_case) Nastavování signatur můžeme provádět buď v příkazovém řádku (CLI) nebo přes webové rozhraní. Na obrázku číslo 3 a 4 máme ukázku nastavení signatury přes příkazový řádek. Ukázka přes webové rozhraní je na obrázku číslo 5. 3/20

Obrázek 3. Natavení signatury v příkazovém řádku - šablona Obrázek 4. Natavení signatury v příkazovém řádku - příklad Obrázek 5. Nastavení signatury přes webové rozhraní 2.1.3 Síťové anomálie Fortigate používá hledání anomálií k odhalení nežádoucího provozu (útoku). To může být například, když klient vytváří mnoho spojení za sekundu, což způsobuje zaplavování cíle. Jako obrana je možnost nastavit maximální počet těchto spojení za sekundu. Celkově je možnost nastavit 4 statické typy anomálií pro protokoly TCP, UDP a ICMP: Flooding Pokud počet spojení směrující do jedné části sítě je větší než maximální hodnota, pak je oblast zaplavována. Scan Pokud počet spojení z jednoho místa větší než maximální hodnota, pak je oblast skenována. Source session limit Pokud je počet souběžných spojení z jedné části sítě větší než maximální hodnota, pak je limit zdrojových souběžných připojení překročen a je vyvolána tato anomálie. Destination session limit Pokud je počet souběžných spojení do jedné části sítě větší než maximální hodnota, pak je limit cílových souběžných připojení překročen a je vyvolána tato anomálie. Obrázek 6. Nastavení anomálie Definice anomálií podle regulárních výrazů není podporována. Na obrázku číslo 6 je ukázáno nastavení maximálního počtu tcp spojení na 300. 4/20

3 Antivirus Slovo antivirus indikuje skupinu nástrojů, které zabrání neočekávaným a potenciálně nebezpečným souborům v síti ohrozit systém. FortiGate zařízení může aplikovat antivirovou funkci pro různé protokoly : HTTP, FTP, IMAP, POP3, SMTP, IM a NNTP. 3.1 Skenovací pořádí Antivirový proces ve FortiGate je proveden podle prioritního pořadí (první má nejvýšší prioritu) : ověření velikosti souboru ověření vzoru souboru ověření typu souboru provedení virového skenování ověření, zda se jedná o grayware provedení heuristického skenování Nepodáří-li se souboru projít u nějakého úkolu, antivirový proces bude hned ukončen bez ohledu na další úkol, událost bude logována a chybová zpráva bude poslana uživateli. Například pokud je velikost souboru je větší než předdefinovaný limit, tak se nemusí provést úkol zkontrolování souborového vzorce. Kažký úkol bude zmíněn konkrétněji v dalších částech. 3.2 Antivirové techniky 3.2.1 Velikost souboru Ten úkol kontroluje, zda velikost souboru nebo emailu převyšuje stanovené hranice. Tento úkol může být nastaven v menu Firewall -> Protection Profile, vybrat editovaný profil a pak zvolit Anti-Virus. U složky Oversize File/Email změnit z Pass na Block u protokolů, které chceme zkontrolovat velikost souboru. Limit veliskosti je nastaven v textovém poli v intervalu 1 10MB. 3.2.2 Vzor souboru Vzor reprezentuje část názvu souboru včetně přípony (třeba *et.exe všechny.exe soubory, jejichž názvy končí výrazem et ). V tomto úkolu FortiGate aplikuje filtr podle vzorů. Vzor nerozlišuje velikost písmena. Pokud název souboru obsahuje blokovaný vzor, soubor bude zastaven a třeba zaveden do karantény. Ten úkol je nastaven v menu UTM -> AntiVirus > File Filter, vybrat editovaný profil a pak zvolit File Patterns. 3.2.3 Typ souboru Úkol záleží na zkoumání obsahu souboru bez ohledu na jeho název. Zde je aplikován filtr podle obsahu souboru. Soubor bude blokován pokud je jeho typ v seznamu filtru, i když se změní jeho přípona. Nastavení je podobné jako filtr vzorců v menu UTM -> AntiVirus > File Filter, vybrat editovaný a pak zvolit File Types. 3.2.4 Virové skenování Virové skenování je aktivováno v menu Firewall -> Protection Profile, vybrat editovaný profil a pak zvolit Anti-Virus. Zvolit ty checkboxy u protokolů, které chceme aplikovat do antivirového skenování. 3.2.5 Grayware Grayware je obtěžující program jako spyware, adware nebo keylogger. Sice nečiní moc škod jako malware, ale může ovlivňovat systémový výkony nebo tvořit nebezpečné problemy někdy později. Grayware skenování je vypnuto implcitně, pokud chceme používat grayware skenování, musíme aktivovat zároveň antivirové a grayware skenování. Ten úkol může být aktivován v menu UTM -> AntiVirus -> Virus Database, zvolit checkbox Enable 5/20

Grayware Detection. 3.2.6 Heuristické skenování Pokud soubor prošel všechny úkoly výše, bude provedeno heuristické skenování (pokud je zapnuto). Heuristické skenování zkontroluje chování souboru, jestli je potenciální virus nebo ne. Tímto způsobem může detekovat nový typ viru, ale také může vytvářet omyly u čístých souborů. 4 Firewall Fortigate Firewall kombinuje technologii ASIC-zrychlený stavovou inspekcí s arzenálem integrovaných bezpečnostních mechanizmů aplikací a rychlou identifikací a blokací komplexních hrozeb. 4.1 Stavový filtr Stavové firewally přicházejí s koncepčně odlišným přístupem, kdy při filtrování berou v úvahu nejen informace obsažené v záhlaví zkoumaného datagramu, ale dokáží na něj nahlížet komplexně, v kontextu spojení, do kterého patří. Stavový firewall rozezná paket, který otevírá nové spojení, od paketů, které tuto komunikaci realizují, a díky tomu můžeme precizněji filtrovat datové toky. Každý zkoumaný datagram (a to nejen TCP segment, ale i UDP paket) je pak zařazen do některé z těchto kategorií: NEW datagram otevírá novou komunikaci ESTABLISHED, RELATED datagram je součástí již navázaného spojení nebo s ním nějakým způsobem souvisí. INVALID datagram není součástí žádného spojení nebo se jej nepodařilo identifikovat. Na základě stavové informace můžeme tedy pakety třídit. Můžeme například stanovit, že spojení mohou být navazována pouze směrem z vnitřní sítě ven a ne naopak, přičemž pakety již otevřených spojení mohou putovat oběma směry. Viz. Obrázek 7 a Obrázek 8 Obrázek 7. Výpis pravidel 6/20

Obrázek 8. Nastavení pravidel Stavový firewall přináší značné zjednodušení filtrovacích pravidel oproti dobám, kdy jsme pomocí ipchains museli brát v úvahu různé kombinace adres, vysokých portů a SYN flagů. Nyní tedy můžeme, díky klasifikaci paketů, imlicitně povolit, aby firewallem protékaly pakety patřící k již navázaným spojením (ESTABLISHED), a omezení stanovujeme na úrovni navázání spojení. Nová inteligence stavového firewallu dovoluje přísnější lustrování paketů. Nyní již můžeme odstranit i podvržené pakety, které se pohledem statického firewallu jeví jako nezávadné, ale v kontextu probíhajících spojení je stavový firewall dokáže odhalit. Díky tomu se můžeme lépe bránit nejrůznějším technikám fingerprintingu (zjišťování typu OS) a portscanningu (zjišťování otevřených portů), které může útočník zneužít při odhalování slabin naší sítě. Stavový firewall řeší s konečnou platností fungování pasivního a zejména aktivního FTP režimu (viz níže), což bylo dříve přinejmenším problematickou záležitostí. 4.2 Traffic shaping Cílem traffic shaperu je nějakým způsobem ovlivnit priority a možnosti určitých služeb v síti. Hlavním účelem shaperu, je nadřadit některé služby nad jiné, čímž zvýhodnit jejich fungovaní. Tzn. Když vím, že některou službu potřebuji mít co nejrychlejší, nastavím ji nejvyšší prioritu, čímž ji ve frontě požadavků na zpracování upřednostním před službami s menší prioritou. Další funkcí traffic shaperu je nastavení kvóty pro jednu, blok nebo skupinu IP adres. Klasický důvod pro využití této služby, je omezení uživatelů ve vnitřní síti ve stahování dat z internetu. Nastavením kvóty pro službu http a třeba ftp, určím, že uživatel může být připojený na internet, ale po přečerpání kvóty mu bude služba dočasně pozastavena. 7/20

Obrázek 9. Výpis pravidel pro shaping Obrázek 10. Nastavení pravidla shapingu Obrázek 11. Princip shapingu na rozhraních Shapování příchozího provozu se provádí na rozhraní, které směřuje do vnitřní (lokální) sítě (LAN). Upload se ladí na rozhraní, které směřuje do internetu nebo do nějaké jiné vnější sítě (WAN). Vždy prostě nastavíme pravidla s filtry na to rozhraní, které posílá později shapovaná data. Viz. Obrázek 11 8/20

4.3 Logování příchozích spojení V systému lze ukládat a zobrazovat zaznamenané povolené i zablokované pokusy o přístup do sítě viz. Obrázek 12. Výpis lze třídit a filtrovat podle nejrůznějších požadavků uživatele. Obrázek 12. Výpis logu 4.4 Časově omezené platnosti pravidel Ke každému pravidlu lze nastavit časové období (perioda), kdy bude pravidlo aktivní.viz. Obrázek 13. Obrázek 13. Nastavení času pravidla 9/20

5 Příklad konfigurace Obrázek 14. Topologie sítě Na obráku 14 je topologie, která bude použita pro zkoumání funkcí zařízení FortiGate. Uprostřed je zařízení FortiGate 200A mající roli jako router. Jeho rozhrání wan1 je připojeno do vnější síti (internet). Rozhrání internal je připojeno do vnítřní síti přes switch, do kterého jsou zapojeny skupiny terminálů GroupA a GroupB. Pro jednoduchost každá skupina je reprezentována 1 počítačem s adresou v předdefinovaném intervalu. Konfigurace může být dostupná z webového rozhrání z počítače ve vnítřní síti u adresy https://192.168.1.99, nebo z počítače ve vnější síti u adresy https://158.196.135.49. Jméno je admin a není nutné zadat heslo. 5.1 Konfigurace síťových rozhrání Obrázek 15. Nastavení rozhrání Nastavení rozhrání je dostupné z menu System -> Network -> Interface. Na obrázku 15 je seznam všech nastavených rozhrání v zářízení. 10/20

Obrázek 16. wan1 rozhrání Rozhrání wan1 dostává adresu dynamicky z DHCP, tak nic se nemusí nastavit. Všechny výchozí nastavení jsou na obrázku 16. Standardní parametry jsou: IP adresa : 158.196.135.49 Maska : 255.255.255.192 Obrázek 17. internal rozhrání Internal rozhrání je konfigurováno manuálně, ale necháme výchozí parametry zařízení. IP adresa : 192.168.1.99 Maska : 255.255.255.0 11/20

U obou rozhrání položka HTTPS u Administrative Access je škrtnuta, indikuje, že admin může přistupovat do konfigurace v webové strance ze vnítřní i vnější síti. 5.2 Konfigurace bloků adres pro skupiny Určíme si IP adresy (bloky, skupiny) které budeme používat v pravidlech. Konfigurace je dostupná z menu Firewall -> Address. Zvolit Create New a vkladat potřebné parametry. Na obrázku 18 je nastavení pro GroupA a na obrázku 19 je pro GroupB. Obrázek 18. Vytvoření bloku adres pro GroupA Obrázek 19. Vytvoření bloku adres pro GroupB Type- tím říkáme, jakým způsobem budeme adresy zadávat Subnet/IP Range- zadáním jedné IP adresy označíme jedinnou adresu, do [] můžeme vložit rozsah hodnot pro označení bloku adres a pro označení sítě vložíme adresu sítě / masku sítě. Interface- označíme na kterém rozhraní FortiGate je adresa, blok adres nebo síť připojena. 5.3 Vytváření skupiny adres Obrázek 20. Vytváření skupiny adres Když máme vytvořené adresy, můžeme je sdružovat do skupin např. když vím, že systém budu chtít nastavovat z domu, z práce a ze školy, vytvořm si skupinu administrace, do které vložím adresy z_domu, 12/20

z_prace a ze_skoly. Ta funkce je dostupná v menu Firewall -> Address -> Group. Zvolit Create New a provést potřebné kroky. Detailně je na obrázku 20. Položka Group Name je pro zadání názvu skupiny. U položky Available Addresses je seznam všech definovaných adres nebo bloků adres. Položka Member obsahuje zvolené adresy nebo bloky adres ve skupině. Výpis vytvořených adres, bloků a sítí může vypadat jako na Obrázku 21. Obrázek 21. Výpis vytvořených adres a bloků 5.4 Vytváření nového firewall profilu Firewall profil se skládá ze shromáždění všech konfigurací pro určítou skupinu adres. Ovládání firewall profilů je v menu Firewall -> Protection Profile. Obrázek 22. Nastavení firewall profilu U položky Anti-Virus zvolíme Virus Scan a File Filter pro protokoly HTTP, FTP, IMAP, POP3, SMTP. Firewall provede virové skenování a filtrování souborů pro uvedené protokoly. U ostátních nastavení necháme výchozí hodnoty. 5.5 Vytváření vlastní službu Např. chci vytvořit službu pro přístup do nahrávacího DVR zařízení, které běží na portu 6100. Při vytváření služby vybereme protokol, na kterém služba běží a v tabulce zadáme porty, ze kterých se na službu můžeme připojit z rozhraní WAN a na které porty na interním rozhraní se bude služba přeposílat. Na obrázku 23 je služba přístupná na portu 6100 z rozhraní WAN i na interním rozhraní. Na obrázku 24 je nastavení služby docházkového systému, který ve vnitřní síti běží na portu 80, ale na WAN rozhraní bude naslouchat na portu 5566. 13/20

Obrázek 23. Služba DVR Obrázek 24. Služba docházky Služby stejně jako adresy můžeme sdružovat do skupin, např. na obrázku 25 je zobrazena skupina bezne_sluzby, ve které jsou sdruženy služby, které potřebuje ke své práci běžný uživatel a které mohu díky sdružení do skupin použít v jednom pravidle firewallu najednou. Obrázek 25. Skupina bezne_sluzby 5.6 Nastavení traffic shaper Na obrázku 26 nastavujeme omezení pro rozsah adres označené jako GroupA, bohužel v této sekce nastavení nelze použít vytvořené adresy, bloky a skupiny adres z první části konfigurace. Maximum badwidth omezení na rychlost připojení Enforce Traffic Quota nastavení omezení pro objem přenesených dat v časovém úseku IP List adresy pro které má omezení platit, na obrázku zadáváme blok adres pro GroupA, ale musíme blok zadat znovu, nelze použít předpřipravené adresy. 14/20

Obrázek 26. Omezeni groupa Na obrázku 27 nastavujeme garantování služby pro nastavení switche Guaranteed bandwidth garantovaná rychlost, která bude pro službu(pravidlo FW) vyhrazena Maximum bandwidth maximální rychlost pro službu Traffic priority nastavení priority služby, u této služby požadujeme vysokou prioritu, tzn. služba bude předbíhat ostatní požadavky ve frontě Obrázek 27. Shaper pro switch_setup 5.7 Nastavení firewall pravidel Aby firewall profil byl platný, musí se patřit nějakému firewall pravidlu. Pomocí nastavení pravidla pro určené adresy můžeme zaručit různé stupně přítupu pro různé skupiny uživatelů. Nastavení pravidla je dostupné z menu Firewall -> Policy. Zvolit Create New a vkladat potřebné parametry. Na obrázku 28 je nastavení pravidla pro omezení zařízení patřící do GroupA. V nastavení definujeme, že požadavky z vnitřní sítě, z adres GroupA, směrem do internetu budou v časovém období dopoledne_pracovniden povolena, ale omezena pravidlem traffic shaperu omezeni_groupa. Ačkoliv hrozby (virus, spam,...) mohou se objevit ze vnější síti, požadavky pro email nebo webové stranky příchazeji ze vnítřní síti. Takže pravidlo bude aplikována pro internal -> wan1. 15/20

Obrázek 28. Pravidlo omezení GroupA Na obrázku 29 je nastavení pravidla, které garantuje rychlost služby přenosu videa z DVR zařízení. Pravidlo definuje, že zařízení je přístupné z internetu přes rozhraní wan1, pro adresy ze skupiny administrace a použitím pravidla Traffic shaperu dvr_garance garantujeme rychlost a dostupnost služby dvr. Obrázek 29. Garance dvr služby Na obrázku 30 je vytvořeno pravidlo pro zákaz přístupu zařízení z GroupB do internetu v časovém období dopoledne. 16/20

Obrázek 30. Zákaz pro groupb Položky v nastavení pravidla firewallu: Source interface rozhraní, ze kterého pochází požadavek na přístup ke službě Source address adresa, ze které pochází požadavek na přístup ke službě Destination Interface rozhraní, do kterého je směřovaný požadavek Destination address adresa, na kterou je směřovaný požadavek Schedule časové omezení pro použití pravidla Service služba, nebo skupina služeb, na kterou je pravidlo aplikováno Action akce, kterou má pravidlo vyvolat (ACCEPT / DENY) Protection Profile výběr pro přednastavený profil chování firewallu Trafic shaper výběr pravidla traffic shaperu Per-IP traffic shaping výběr pravdila traffic shaperu pro adresu, blok nebo skupinu adres Log Allowed Traffic nastavení logování povolených přístupů 5.8 Vytváření filtrů pro funkci antivirus Funkce filtr souboru umožňuje blockovat potenciálně nebezbeční soubory záležející na jejich vzorech (název) nebo typech. Vytvoření nového filtru je v menu UTM -> Antivirus -> File Filter. Zvolit Create New a žadat jméno pro nový filtr. V nově vytvořeném filtru můžeme nastavit filtry podle typu nebo vzorcu souboru. U obou případů zvolit Create New. Obrázek 31. Filtr podle vzoru Na obrázku 31 je nastavení filtru podle vzorce. U Filter Type zvolíme File Name Pattern. Výraz *serial* u položky Pattern znamená, že budou filtrovány všechny soubory, jejichž názvy obsahují ten výraz. Block u Action znamená, že všechny soubory s výrazem *serial* budou zákazány. Položka 17/20

Enable je škrtnuta, indikuje že filtr bude aplikován. Obrázek 32. Filtr podle typu Na obrázku 32 je nastavení filtru podle typu. Všechno je skoro stejné jako u filtru podle vzorce, jenže u File Filter zvolíme File Type a u File Type zvolíme požadovaný typ z seznamu typů. Aby byl platný, filtr se musí patřit nějakému profilu. Ten úkol může být splněn v menu Firewall -> Protection Profile -> Anti-Virus, položka File Filter. viz na obrázku 22 5.8.1 Ukázka výsledku filtrů Obrázek 33. Zákaz souboru podle vzoru Na obrázku 33 je ukázka zákazu souboru, který obsahuje výraz serial v jeho názvu. Obrázek 34. Zákaz souboru podle typu Na obrázku 34 je ukázka zákazu souboru, který má typ komprese (.zip). 18/20

6 Ověření možnosti Ipv6 v FortiGate 200A Při ověřování jak je na tom bezpečností brána Fortigate s podporou IPv6 jsme se nejdříve podívali do jejího manuálu. Z něho jsme se dověděli několik důležitých věcí. Vůbec největším překvapením bylo, že není možné nakonfigurovat IPv6 z webového rozhraní bezpečnostní brány. Což vzhledem k tomu, že všechny ostatní funkce z něho jdou nakonfigurovat, je poněkud divné. Dalším zajímavým zjištěním bylo, že nejsou podporovány dynamické směrovací protokoly pro IPv6. Je podporováno pouze statické směrování IPv6. Vzhledem k tomuto faktu jsme zapojení pro ověření IPv6 udělali poněkud jednoduché, je zobrazeno na obrázku 35 Obrázek 35. Schéma zapojení pro IPv6 Na obrázku 36 jsou zobrazeny možnosti nastavení pro IPv6 a také je zde ukázán příkaz pro nastavení adresy IPv6 na síťové rozhraní. Obrázek 36. Ukázka nastavení možností pro IPv6 a nastavení adresy Jakmile jsme nastavili příslušné IPv6 adresy podle schématu zapojení (obrázek 35), tak jsme ověřili dostupnost pomocí příkazu ping. Výsledek je zobrazen na obrázku 37. Je vidět, že spojení je v pořádku, obě zařízení spolu můžou komunikovat přes IPv6. 19/20

Obrázek 37. Ověření dostupnosti spojení Nevýhodu co se týká IPv6 je to že nepodporuje dynamické směrovací protokoly, z tohoto důvodu se tato bezpečnostní brána hodí na okraj IPv6 sítě, kde stačí nakonfigurovat několik statických cest, pro její správnou funkčnost. Dále jsme zjistili, že v již zmiňovaném webovém rozhraní není možnost jak nastavit, tak dokonce ani ověřit, zda je IPv6 nakonfigurovaná. To se dá vnímat jako bezpečnostní riziko. 7 Závěr V projektu jsme ověřili několik hlavních funkcí bezpečnostní brány Fortigate a to firewall, IPS a antivirus. Dále jsme ověřili možnost podpory IPv6. Popsali jsme teoreticky funkce a principy a také jsme uvedli příklady praktické konfigurace. 20/20

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář