FortiOS 5.4 — специализированная операционная система, разработанная компанией Fortinet и являющаяся основой для всех платформ FortiGate. FortiOS эффективно реализует архитектуру, оптимизированную для аппаратного ускорения подсистемы безопасности посредством процессоров FortiASIC, устанавливаемых на платформах FortiGate. Это позволяет обеспечить комплексную защиту на уровне сети, приложений и данных в режиме реального времени.
2. Визуализация и администрирование
3. Журналирование и отчетность
4. Контроль над персональными устройствами
9. Контроль доступа к облачным сервисам
10. Система предотвращения вторжений
12. Система предотвращения утечек информации
Введение
Недавно разработчик анонсировал выход обновленной операционной системы FortiOS 5.4, содержащей значительное количество нововведений. В сумме они позволят реализовать в корпоративных сетях стратегии внутренней сегментации и многоуровневой безопасности, направленные на защиту сетей от продвинутых угроз (Advanced Persistent Threats, APT). В процессе развития FortiOS накапливался опыт противодействия сетевым угрозам, целенаправленным атакам, уязвимостям нулевого дня, фишинговым атакам. Эксперты лаборатории FortiGuard поддерживают FortiOS, исследуя постоянно изменяющиеся угрозы информационной безопасности и предлагая эффективные решения по их устранению.
Таблица 1. Эволюция операционной системы FortiOS
|
Версия операционной системы |
Год выпуска |
Новые ключевые функциональные возможности |
|
2.8 |
2005 |
Антиспам |
|
3.0 |
2007 |
|
|
4.0 |
2009 |
|
|
4.1 |
2009 |
|
|
4.2 |
2010 |
|
|
4.3 |
2011 |
|
|
5.0 |
2012 |
|
|
5.2 |
2014 |
|
|
5.4 |
2016 |
|
Высокая эффективность и быстродействие FortiOS 5.4 на платформах FortiGate достигаются за счет использования процессоров FortiASIC, реализующих аппаратное ускорение механизмов обработки пакетов и проверки содержимого сетевого трафика, таких как: антивирусная защита, контроль приложений, система предотвращения вторжений (Intrusion Prevention System, IPS), межсетевое экранирование. Технология FortiASIC позволяет применять одновременно несколько защитных мер без ухудшения производительности. Компания Fortinet заявляет о повышении пропускной способности и производительности платформ FortiGate под управлением FortiOS 5.4 в 5-10 раз по сравнению с аналогичными платформами других производителей.
Операционная система FortiOS 5.4 хорошо документирована. На сайте производителя имеется весь необходимый материал для ее настройки и эксплуатации. Познакомиться с демоверсией FortiOS 5.4 на устройстве FortiGate можно здесь.
Компания Fortinet проводит программу CTAP (Cyber Threat Assessment Program), которая позволяет продемонстрировать эффективность разработанных решений без вмешательства в сеть за счет установки на span-порт, что позволяет увидеть всю эффективность решений Fortinet на реальной сети. Межсетевой экран следующего поколения покажет сетевые аномалии, используемые сетевые приложения, потенциальные уязвимости, наличие вредоносных программ в сети и данные о ее производительности.
Межсетевой экран FortiGate с установленным программным обеспечением FortiOS 5.0 (исполнения FortiGate-40C-LENC/FortiGate-80C-LENC/FortiGate-100D-LENC/FortiGate-300C-LENC/FortiGate-600C-LENC/FortiGate-1000C-LENC/FortiGate-3040B-LENC/FortiGate-3950B-LENC/FortiGate-5101C-LENC) прошел испытания в Системе сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России (сертификат № 3171, срок действия до 30 июня 2017 года) на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3 классу, руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля и может быть использован для защиты информации в информационных системах персональных данных до 1 уровня защищенности и в государственных информационных системах до 1 класса защищенности включительно.
В настоящей статье описаны основные функции безопасности, реализуемые операционной системой FortiOS 5.4.
Таблица 2. Основные возможности FortiOS 5 (версия 5.4)
|
Эксплуатация |
Системная интеграция |
Центральное управление и резервирование |
Облачная и SDN-интеграция |
||||
|
Конфигурация |
Обзор сети |
Журналирование |
Диагностика |
Виртуализация |
|||
|
Политики и управление |
Объекты политики |
Аутентификация пользователей |
Идентификация устройств |
Разбор трафика SSL/TLS |
Реагирование |
||
|
Безопасность |
Anti-Malware / ATP |
IPS и DoS |
Контроль приложений |
Контроль безопасности доступа к облачным технологиям |
Веб-фильтрация |
||
|
Межсетевой экран |
VPN |
Система предотвращения утечек информации (DLP) |
Фильтрация электронных писем |
Соблюдение требований PCI DSS |
|||
|
Расширения |
Контроллер беспроводных сетей |
Контроллер маршрутизации |
Менеджер WAN интерфейса |
Менеджер конечных устройств |
Сервер токенов |
||
|
Сети |
Routing/NAT |
L2/Switching |
Offline-инспекция |
Hybrid WAN |
Высокая доступность |
||
|
QoS |
IPv6 |
Оптимизация WAN |
Явный прокси |
Сервер балансировки нагрузки |
|||
|
Основные сетевые службы |
|||||||
|
Поддержка платформ |
Оборудование (+ASIC) |
Гипервизор |
Облако |
||||
Визуализация и администрирование
Прежде всего стоит отметить обновленный плоский дизайн интерфейса администратора операционной системы FortiOS 5.4. Интерфейс обладает широкими возможностями по представлению информации о состоянии защищаемой сети, транзитном трафике, функционировании приложений и деятельности пользователей. Интерфейс администратора упрощает управление и отслеживание работы всех защитных мер FortiGate, а также предоставляет аналитику по зарегистрированным событиям безопасности.
Рисунок 1. Начальная страница интерфейса администратора (Dashboard)
Администратор может настроить виджеты начальной страницы (dashboard), отображающие информацию о состоянии устройств Fortinet, записи электронных журналов, системную информацию, статистику по противостоянию APT.
К утилите аналитики по зарегистрированным событиям безопасности FortiView наряду с табличным представлением информации добавлены новые консоли, позволяющие быстро идентифицировать возникшие проблемы.
Консоль управления политиками позволяет отслеживать активность действующих правил разграничения доступа, контролировать их срабатывание, отключать избыточные и неиспользуемые правила. Переход на консоль управления осуществляется по нажатию на идентификатор правила.
Рисунок 2. Консоль управления политиками. Суммарная информация о применении правила 14 за последние 24 часа
Рисунок 3. Консоль управления политикой для IPv4. Управление правилом с идентификатором 14
Консоль сетевых интерфейсов позволяет выполнять мониторинг интерфейсов с возможностью определения их загруженности.
Рисунок 4. Визуализация сетевых соединений для интерфейса GUEST-WIRED
Консоль стран отображает администратору информацию о сетевой активности по странам, соответствующим IP-адресам отправителей и получателей трафика.
Рисунок 5. Визуализация сетевой активности по странам мира
Консоль топологии устройств представляет обзор структуры сети.
Рисунок 6. Топология устройств
Консоль карты угроз была введена для мониторинга рисков в контексте географического расположения отправителей и получателей трафика.
Рисунок 7. Карта угроз
Консоль угроз отображает информацию о зафиксированных в защищаемой сети угрозах. Подробная информация по каждой угрозе дает представление об IP-адресах отправителей и получателей, устройствах, сетевых интерфейсах FortiGate, странах и сессиях.
Рисунок 8. Консоль угроз
Консоль приложений отображает информацию о сетевых приложениях, функционирующих в защищаемой сети.
Рисунок 9. Консоль приложений
Консоль авторизации администратора предоставляет информацию о взаимодействии администратора с системой (число входов в систему, количество неудачных попыток входа, продолжительность времени работы).
Рисунок 10. Консоль авторизации администратора
В дополнение к консоли авторизации администратора в FortiView доступна консоль неудавшихся попыток аутентификации, отображающая сущности, от имени которых пользователи пытались подключиться к системе. Детальная информация о попытках аутентификации пользователя включает дату и время каждой попытки входа, причину отказа в аутентификации — например, неправильный пароль или несогласованный IP-адрес источника.
Рисунок 11. Консоль неудавшихся попыток аутентификации
Консоль системных событий перечисляет события безопасности, зафиксированные операционной системой FortiOS, отображая имя и описание событий, степень важности, а также количество событий одного типа.
Рисунок 12. Консоль системных событий
Операционная система FortiOS 5.4 поддерживает управление сетевыми настройками устройств FortiGate через графический интерфейс администратора, включая определение основных параметров сетевых интерфейсов, настройку DNS, активацию захвата пакетов, определение правил балансировки нагрузки глобальной компьютерной сети (Wide Area Network, WAN), настройку статической и динамической (RIP, OSPF, BGP) маршрутизации и маршрутизации многоадресной рассылки.
Рисунок 13. Консоль управления сетевыми интерфейсами
Рисунок 14. Статическая маршрутизация
Рисунок 15. Политика IPv4
Благодаря интуитивно понятному интерфейсу администратора упрощается процесс настройки устройств под управлением FortiOS 5.4 и ввод их в эксплуатацию. За счет средства централизованного управления FortiManager уменьшается рабочая нагрузка на персонал ИТ путем использования единой консоли для выполнения целого ряда задач управления, предоставления возможности на ранней стадии возникновения определять, исправлять и предотвращать возможные проблемы конфигурации.
Познакомиться с демоверсией FortiManager можно здесь.
Рисунок 16. Начальная страница средства централизованного управления FortiManager
Журналирование и отчетность
Ведение журналов и возможности аналитики и отчетности в FortiOS 5.4 могут помочь администратору быстро определить, какие события происходят в защищаемой сети. В журналы заносятся записи о сетевом трафике, системных событиях, событиях VPN и Wi-Fi, функционировании защитных мер (антивирус, веб-фильтр, контроль приложений, DLP и IPS).
Рисунок 17. Журнал системных событий
Рисунок 18. Журнал системы предотвращения вторжений
Контроль над персональными устройствами
В обновленной версии FortiOS появилась возможность контролировать доступ к сети для различных типов персональных мобильных устройств (стратегия Bring Your Own Device, BYOD).
Рисунок 19. Список зарегистрированных в сети устройств
Список контроля доступа (ACL) MAC-адресов разрешает или блокирует доступ на сетевом интерфейсе, на котором функционирует сервер DHCP. Список контроля доступа позволяет создать списки только заблокированных или только разрешенных устройств. Разрешенным устройствам присваивается IP-адрес из диапазона DHCP.
Операционная система позволяет применять правила разграничения доступа в соответствии с типом устройства.
Профили безопасности
Графический интерфейс администратора предоставляет возможность выбора включенных механизмов безопасности операционной системы FortiOS 5.4 и устройств FortiGate. Каждый механизм может быть включен/отключен одним нажатием мыши.
Рисунок 20. Консоль выбора механизмов безопасности
Антивирусная защита
Антивирусная защита включает возможности эвристического анализа и подключения к сервисам эмуляции угроз («песочницам») как в облачном, так и в локальном (FortiSandbox) исполнении. Подозрительные файлы помещаются в «песочницу» с целью выявления в поведении файла действий, представляющих угрозу безопасности. Для выявленных вредоносных объектов генерируются и распространяются сигнатуры, что позволяет предотвратить дальнейшее их распространение.
Рисунок 21. Настройка антивирусной защиты
Возможности по контролю включают не только мониторинг, но и блокировку выявленных угроз.
Помимо прочего, операционная система FortiOS 5.4 поддерживает защиту мобильных устройств от вредоносного программного обеспечения.
Веб-фильтрация
Функции веб-фильтрации распределены на три компонента — веб-фильтр содержимого, фильтр URL и служба веб-фильтрации FortiGuard,— взаимно дополняющих друг друга для обеспечения максимального контроля просматриваемой в интернете информации.
Рисунок 22. Настройка веб-фильтрации
Контроль приложений
Использование контроля приложений позволяет оперативно определять сетевое приложение, соответствующее сессии, и далее применять ответные меры, например: блокировать сессию или отслеживать действия пользователя. Контроль приложений опирается на декодеры протоколов, что позволяет выявлять приложения как на стандартных, так и на нестандартных портах.
Рисунок 23. Настройка функций контроля приложений
Рисунок 24. Пример сигнатуры приложений для мобильных устройств
Контроль доступа к облачным сервисам
В обновленной версии FortiOS добавлен новый тип профилей безопасности — Cloud Access Security Inspection (CASI), который обеспечивает гранулярный контроль доступа к популярным облачным приложениям, таким как: YouTube, Dropbox, Baidu, Amazon AWS и Microsoft Azure.
Рисунок 25. Настройка доступа к облачным сервисам
Система предотвращения вторжений
IPS использует два метода обнаружения атак — сигнатурный и статистический. Движок IPS содержит функции декодирования и динамического анализа.
Для быстрого обнаружения и реализации действия по предотвращению атак применяется технология аппаратного ускорения NTurbo, повышающая производительность устройств FortiGate за счет разгрузки и ускорения потока обрабатываемых данных.
NTurbo создает специальный канал передачи данных для перенаправления трафика от входного интерфейса на IPS, и с IPS к выходному интерфейсу. NTurbo останавливает выполнение операций межсетевого экрана для этого канала, позволяя IPS выполнять функции проверки. Это снижает нагрузку на процессор FortiGate, улучшая общую пропускную способность.
Рисунок 26. Настройка системы предотвращения вторжений
Рисунок 27. Сигнатуры IPS
Защита от спама
Для защиты от спама применяется ряд проверок, в т. ч. проверка IP-адреса, URL и контрольной суммы сообщения электронной почты. Обновление баз данных репутации IP-адресов и сигнатур осуществляется в режиме реального времени — все запросы проверки IP-адреса, URL и контрольной суммы проверяются облачным сервисом FortiGuard.
Рисунок 28. Настройка защиты от спама
Система предотвращения утечек информации
DLP позволяет выявить, зарегистрировать, а также предотвратить передачу уязвимых данных через FortiGate. Сенсор DLP представляет собой фильтр контента по признакам содержимого. Фильтрация осуществляется по различным параметрам, таким как тип файла, размер файла, водяные знаки и т. д.
DLP содержит несколько заранее настроенных шаблонов признаков уязвимых данных, например признаки кредитных карт — номера кредитных карт в форматах, используемых American Express, MasterCard и Visa.
Рисунок 29. Настройка системы предотвращения утечек информации на примере кредитных карт
FortiClient
Программное обеспечение FortiClient предназначено для установки на пользовательские устройства — ПК (Windows, Mac), мобильные (Android, iOS, Windows Mobile) — и реализует широкий спектр функций защиты информации.
FortiClient сопрягается с FortiGate, что позволяет определить единые правила работы защитных мер для всех защищаемых устройств. Профиль FortiClient предоставляет возможность применить к защищаемым устройствам существующие профили защитных мер — таких как антивирус, веб-фильтр, VPN и т. д.
Рисунок 30. Настройка профилей FortiClient
Рисунок 31. Настройки профиля FortiClient для мобильных устройств под управлением мобильных операционных систем iOS и Android
Выводы
FortiOS 5.4 — программная основа для всех устройств Fortinet, позволяющая решать актуальные проблемы информационной безопасности. Операционная система поддерживает взаимодействие с уникальным аппаратным обеспечением, оснащенным процессором обработки содержимого FortiASIC и обеспечивающим высокую эффективность и производительность на платформах FortiGate.
Будучи простой в применении, FortiOS 5.4 снижает затраты и уменьшает рабочую нагрузку на персонал ИТ. Единая система управления устройствами FortiGate и централизованного анализа обеспечивает удобство создания и соблюдение политик безопасности и упрощает развертывание и настройку. FortiOS 5.4 обеспечивает большую видимость сетевого трафика и более последовательный, детальный контроль над пользователями, приложениями и конфиденциальными данными.
Защитные механизмы продукта позволяют интегрировать мобильные устройства с FortiGate, поддерживая установку агентов на устройства с операционными системами iOS и Android, а гибкий контроль над мобильными устройствами за счет идентификации устройств и применение политик доступа и специальных профилей позволяют обеспечить безопасность информации в среде BYOD.
Особенности решений Fortinet, которые мы раскроем в следующих статьях цикла:
- интеграция защиты от ATP (FortiClient, FortiMail, FortiSandbox и FortiWeb);
- единый интерфейс администратора, обеспечивающий централизованное управление всеми платформами производства Fortinet;
- интеграция SDN-сетей (VMware NSX и Cisco ACI);
- защита от вредоносного кода с использованием облачных сервисов, включающих репутационные базы данных и песочницы;
- автоматическое обнаружение угроз и противодействие им.
