UTM w sieci firmowej – Fortigate 80E

Temat trochę mniej związany z ISP, ale wydaje mi się że warty uwagi. Posiadacie swoje firmowe sieci, macie też na pewno wymagających, biznesowych klientów. Warto takie sieci dodatkowo zabezpieczyć.

UTM (unified threat management) to tzw. wielofunkcyjna zapora sieciowa. Na rynku jest sporo rozwiązań sprzętowych jak i programowych. Fortigate jest chyba najpopularniejszą propozycją ze sprzętowych rozwiązań. Dawno temu miałem styczność z modelem 90D, który skutecznie zniechęcił mnie do tego producenta. Urządzenie było koszmarnie niewydajne. Po kilku latach przerwy, testowania innych rozwiązań (o jednym z nich napiszę w kolejnym wpisie) postanowiłem dać się jeszcze raz namówić na Fortigate. Tym razem wybrałem znacznie wydajniejszy model czyli 80E (jak widać nie ma co się sugerować cyferkami i wyższy nie znaczy wcale lepszy).

Sieć którą chroni 80E liczy kilkadziesiąt komputerów, serwerów i smartfonów w osobnych vlanach. W sumie ok 80 aktywnych urządzeń. Dodatkowo pracownicy korzystają z VPN.

Czym właściwie różni się UTM od zwykłego routera? UTM łączy możliwości routera, firewalla i IPSa w jednym urządzeniu. Otrzymujemy m.in ochronę przed atakami, wirusami, złośliwym oprogramowaniem czy nawet spamem. Ochrona wiąże się niestety z koniecznością wykupienia i odnawiania rocznych licencji na poszczególne moduły lub pakiety. W przypadku Fortigate usługa nazywa się Forti Guard. Poniżej opis usług wchodzących w skład tego pakietu z których sam korzystam:

Routing i firewall. Tutaj nie ma żadnych wodotrysków. Konfigurujemy interfejsy, vlany, podsieci, adresację i uruchamiany dostęp do Internetu w naszej sieci. Firewall ma domyślną politykę „deny all”. Czyli musimy sobie go odpowiednio skonfigurować aby uzyskać połączenie z Internetem i zasobami w naszej firmowej sieci.

Budowanie firewalla jest bardzo elastyczne dzięki obiektom które możemy dowolnie tworzyć i modyfikować. Mogą to być adresy IP i ich zakresy, domeny, całe sieci, interfejsy, usługi, porty czy poszczególni użytkownicy lub grupy użytkowników.

Antywirus. Ta usługa jest podstawowym elementem pakietu Forti Guard. W zależności od konfiguracji antywirus może skanować cały ruch lub tylko wybrane protokoły/usługi. Baza definicji wirusów jest na bieżąco aktualizowana. Antywirus jest pasywny dla użytkownika i nie wymaga instalowania żadnego dodatkowego oprogramowania.

Web Filter. Usługa filtrowania stron www na podstawie zdefiniowanych przez Forti Guard kategorii. Strony mogą być blokowane lub monitorowane dla poszczególnych kategorii. Istnieje możliwość definiowania własnych kategorii i dodawania do nich stron. Usługa bardzo przydatna w miejscach gdzie chcemy zablokować daną kategorię stron www np. pornografię. Poza tym otrzymujemy możliwość blokady stron uznanych za niebiezpieczne. Użytkownik trafiając na zablokowaną stronę zostanie o tym poinformowany odpowiednim komunikatem w swojej przeglądarce. Dodatkowo Web Filter pozwoli nam raportować z jakich stron www korzystają użytkownicy naszej sieci.

DNS Filter. Usługa działająca na podobnej zasadzie jak Web Filter. Na podstawie zdefiniowanych kategorii mamy możliwość blokowania lub monitorowania domen.

Application Control. Bardzo ciekawa usługa, która na podstawie sygnatur pozwala na monitorowanie i blokowanie konkretnych usług i aplikacji. Możemy zablokować np. Facebooka w firmie lub dowiedzieć się kto z niego korzysta za dużo 🙂 Dodatkowo korzystając z monitoringu możemy precyzyjnie raportować usługi z jakich korzystają użytkownicy w naszej sieci.

VPN. Chyba w każdej sieci firmowej jest potrzebny VPN. Fortigate pozwala nam na utworzenie sieci VPN z wykorzystaniem IPSec, L2TP, PPTP oraz SSL-VPN. Możemy korzystać z dedykowanej aplikacji Forti Client do łączenia się z siecią VPN (dostępna zarówno na stacjonarne systemy operacyjne jak i mobilne) lub w przypadku L2TP/PPTP z natywnych klientów systemów operacyjnych.

Na uwagę zasługuje usługa SSL-VPN która za pomocą przeglądarki www umożliwia dostęp do wybranych usług w naszej sieci firmowej. Bardzo przydatne i z doświadczenia powiem, że taka forma korzystania z VPN wystarczyła większości użytkownikom naszej sieci. Dla sieci VPN możemy tworzyć takie same polityki firewalla jak dla sieci wewnętrznej, włączając w to funkcjonalność Forti Guard. Dodatkowo użytkowników korzystających z Forti Client możemy objąć dodatkową ochroną ich systemu operacyjnego (wymagana osobna licencja).

Logi i raporty. Kilkukrotnie wspominałem o możliwości raportowania poszczególnych usług Forti Guard. Mamy możliwość tworzenia bieżących wykresów i statystyk lub dziennych czy tygodniowych raportów, które otrzymamy na maila. Dane mogą być przechowywane lokalnie na routerze lub w platformie Forti Cloud w której otrzymujemy w ramach podstawowej licencji 5GB miejsca. Poniżej kilka screenów:

Jak widzicie możliwości jest całkiem sporo. Zdaje sobie sprawę, że tematu UTM nie poruszyłem szczegółowo ale starałem się opisać funkcjonalność tego konkretnego urządzenia z perspektywy moich potrzeb i zastosowania. Po szczegółowy opis poszczególnych usług Fortigate zapraszam na stronę producenta 🙂 Podejrzewam, że ciekawi Was cena takiego rozwiązania. Niestety nie jestem w stanie podać konkretnych cen. Zależna jest ona od urządzenia które wybierzecie oraz licencji na które się zdecydujecie. Poza zakupem trzeba się jednak liczyć z wydatkiem rzędu kilkuset euro rocznie za licencje. Jeżeli jesteście poważnie zainteresowani zakupem takiego urządzenia, to mogę nakierować Was na odpowiedni kontakt 🙂