Nuovo FortiOS 5.4 - Fortigate - Exclusive Networks
59
Nuovo FortiOS 5.4 - Fortigate Heros Deidda System Engineer Exclusive Networks
Transcript of Nuovo FortiOS 5.4 - Fortigate - Exclusive Networks
Nuovo FortiOS 5.4 - Fortigate Heros Deidda
System Engineer Exclusive Networks
What’s New?
• Inspection mode: flow o proxy
• GUI Refresh
• FortiView
• CASI: Cloud Access Security Inspection
• WAF: Web Application Firewall
• DNS Filter
• FortiSandbox Integration
• Forticlient Integration
• Traffic Shaping Policies
• Wan Link Load Balancing
http://docs.fortinet.com/d/fortigate-whats-new-in-fortios-5.4
• Virtual Wire Pair
• VPN wizard e ADVPN
• More Features
• Upgrade Path
• Feature Matrix
• Supported Platform
What’s New?
Inspection mode: flow o proxy
Inspection mode to flow or proxy
http://cookbook.fortinet.com/fortios-antivirus-inspection-modes/ http://help.fortinet.com/fos50hlp/54/index.htm#FortiOS/fortigate-whats-new-54/Top_ProxyFlowPerVDOM.htm
• Inspection Mode globale Flow/Proxy anche da dashboard per VDOM • Flow mode Quick o Full • Full mode equivale al deep flow mode implementato 5.2 • Proxy mode rimane la modalità più efficace e granulare • Full Flow mode garantisce migliori performance e non modifica il payload • Quick Flow mode per massima leggerezza nell’analisi
Proxy VS Flow
• AntiVirus
• Web Filter
• Data Leak Prevention
• Anti-Spam
• SSL Inspection
• Application Control/IPS
• Cloud Access Security Inspection
• VoIP profile
• Web Application Firewall
• ICAP Servers
• Web Rating Override
• FortiClient Profile
• ICAP
• Proxy Options
• Web Profile Overrides
Proxy Mode Features
Flow Mode Features
GUI Refresh
GUI Refresh
• Admin menu su due soli livelli
• FortiView arricchito di nuove funzionalità
• Monitor Centralizzato
• CLI console contestuale
• Riordino razionale dei menù
(ES: ssh inspection spostato in Security Profiles)
• Not last but least, yes it’s green!
3 layer 5.2 style 2 layer 5.4 style
https://www.youtube.com/watch?time_continue=48&v=Yg_0GV09SD8
Più Opzioni Più Flessibilità
Aggiunte nuove opzioni come la possibilità di editare una firewall policy in CLI da un menù contestuale GUI o il link al Fortiview:
Shortcut per aggiungere, eliminare o editare un Security profile dalla lista delle policy cliccando sul simbolo mostrato in figura (+)
Monitor Centralizzato
Pannello unico per tutti i Monitor
..e qualche altro dettaglio
Possibilità di mostrare l’hostname sulla schermata di login amministrativa. Configurabile via CLI
FortiView
FortiView Console
Sono stati introdotti nuovi chart in formato tradizionale (Tabella o Istogramma) o nel nuovo formato Bubble. In entrambi i casi è possibile fare drill-down.
• Analisi per interfaccia del bandwidth (storica e realtime)
• Analisi per Firewall Policy
• Analisi per country sorgente o destinataria
• Analisi delle autenticazioni fallite
• Distinzione tra Applicazioni e Applicazioni Cloud
FortiView
(*) Solo I modelli di Fortigate 100D e superiori hanno lo storico a 24 ore
FortiView Threat Map
Analisi geografica delle minacce, lista degli attacchi,drill down & more
Device Topology Visualization
Permette di analizzare i device interni o esterni (BYOD).
Con effetto mouse-over verranno mostrate le seguenti informazioni per ogni device:
• Nome del dispositivo
• IP
• Sessioni
• Byte inviati/ricevuti
• Bandwidth impegnato
• Bytes droppati
N.B.: Analisi effettuata su base source IP, se c’è un dispositivo che applica politiche di SNAT tra il device ed il FortiGate, il grafico risulterà impreciso.
Supporta analisi realtime
Reverse Lookup
Verifica dell’IP mediante WHOIS lookup su portale (*)
(*) si appggia al servizio www.networksolutions.com
Cloud Access Security
Cloud Access Security Inspection (CASI)
http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_CASI.htm
Cloud Access Security Inspection (CASI)
• Controllo granulare sulle Cloud Application (YouTube, Dropbox, Baidu, Amazon, ecc…)
• Sostituisce e amplia l’opzione dell’Application Control profile “Deep Inspection of Cloud Applications”.
• Applicato alle firewall policy come qualunque altro profilo UTM.
http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_CASI.htm
Web Application Firewall
Web Application Firewall
Stack minimale ma indispensabile di protezione specifico per server web. Il profilo permette la protezione dai principali attacchi di Cross Site Scripting, Directory Traversal, SQL e Command Injection oltre a permettere la gestione delle Information Disclosure.
Web Application Firewall
E’ inoltre possibile controllare con granularità il formato dei pacchetti HTTP attraverso i Constraints e le HTTP Method Policy
DNS Filter
DNS Filter
Nuovo profilo UTM specifico per le richieste DNS. Tre Componenti: • Block DNS request to Known botnet • Static URL filter • DNS based Web Filtering
Block DNS Request To Known Botnet
• Blocca le richieste DNS verso botnet conosciute
• Si appoggia al motore IPS
• Aggiornato dinamicamente ma scaricato in locale sul Fortigate
• Richiede la licenza di WebFiltering (inclusa nel bundle) attiva
Static URL filter
• Permette di bloccare, creare eccezioni o monitorare le richieste DNS
• Usa il motore IPS per guardare dentro al pacchetto DNS e verificare se il dominio matcha con le entry della URL Filter List.
• Azioni disponibili: block, allow, exempt, monitor I. se il traffico è bloccato, viene bloccata la richiesta DNS quindi l’intero dominio sarà inaccessibile
indipendentemente dal servizio (destination port) richiesto
II. se è selezionata l’opzione Exempt, l’accesso al dominio sarà consentito anche se altri strumenti UTM sono configurati per inibirlo.
DNS-based web filtering
• Funzionalità simile alla precedente, permette di consentire, bloccare o monitorare le richieste DNS verso un dominio tramite le categorie FortiGuard.
• Block,allow,monitor le aziioni disponibili
External Security Devices
External Security Devices
• FortiSandBox: OnPremise o Cloud
via OFTP
• FortiCache
• FortiWeb
• FortiMail Integrati attraverso
WCCP incapsulato
via GRE
Gestione razionalizzata ed integrata delle Vertical Solution con il Fortigate.
FortiSandbox Integration
FortiSandbox- Setup
config antivirus profile
edit "default"
set comment "scan and delete virus"
set inspection-mode proxy
set ftgd-analytics everything
set analytics-db enable
config http
set options scan
end
config ftp
set options scan
end
config imap
set options scan
end
config pop3
set options scan
end
config smtp
set options scan
end
config nntp
set options scan
end
next
end
Integrazione con AntiVirus
Integrazione con AV e Forticlient
1-2. File sospetto ricevuto ed inviato per analisi alla FortiSandbox
3-4. La FortiSandbox rileva l’artefatto e genera una firma per l’Antivirus
5. Il database locale dell’antivirus è aggiornato entro qualche minuto. Entro poche
ore anche la rete Fortiguard viene aggiornata
6. Se il forticlient installato sugli host L’amministratore può quarantenare l’host
presumibilmente infetto
http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm
http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm
Integrazione con WebFiltering
• FortiSandbox invia l’URL malicious al motore di Webfiltering
• Il DB della rete FortiSandbox contiene tutti gli URL infetti dell’ultimo mese. Mitiga malvertising
• Bloccato ogni tentativo di contatto via web verso l’URL infetto
FortiSandbox Dashboard in FortiView
L’attività della FortiSandbox è accessibile in FortiView > FortiSandbox e mostra tutti gli artefatti sottoposti per l’analisi. Le informazioni possono essere filtrate per checksum, file name, result, source, status e user name. Su tutti i risultati è possibile fare drill-down per vedere maggiori dettagli sull’artefatto.
FortiSandbox in Cloud
FortiClient Integration
FortiClient Profile
Profile-VPN
Profile-Advanced
FortiClient Monitoring and Quarantine
• host-level quarantine blocca il traffico direttamente sull’endpoint evitando movimenti laterali delle infezioni e danni alle share.
• Quando un dispositivo è in quarantena, non è possibile disabilitare/disinstallare FortiClient.
• Inibita la deregistrazione del FortiClient dal FortiGate che lo sta gestendo, o il passaggio ad altro dispositivo.
FortiClient Monitoring and Quarantine
Dalla FortiView è possibile identificare gli endpoint infetti applicando l’azione di quarantena.
FortiClient Monitoring and Quarantine
E’ possibile quarantenare i client anche dal FortiClient Monitor.
Traffic Shaping Policies
Traffic Shaping Policies
Nuova sezione dedicata a QoS e Traffic Shaping che non si applica più alla firewall policy ma si appoggia a policy dedicate. I discriminanti per l’applicazione del Traffic Shaping ora sono:
• Source (Address, Local Users, Groups)
• Destination (Address, FQDN, URL or category)
• Service (General, Web Access, File Access, Email and Network services, Authentication, Remote Access, Tunneling, VoIP, Messaging and other Applications, Web Proxy)
• Application
• Application Category
• URL Category
WAN Link Load Balancing
WAN Link Load Balancing
WAN Link Load Balancing
Le regole di priorità permettono di selezionare quale interfaccia verrà scelta sulla base di source/dest address, user group, service. La scelta dell’interfaccia può essere fatta sulla base di jitter/Latenza/packet loss
Completa lo stack di bilanciameno l’ Health monitor ribattezzato Status Check
Internet Service Database
• DB Popolato con gli indirizzi dei servizi principali del web.
• Per ogni entry (Es:Gmail) è indicato il numero di indirizzi usato per erogare il servizio e nel dettaglio questi vengono specificato uno ad uno.
• Usato con il Wan Link Load Balancing
Virtual Wire Pair
Questa caratteristica rappresenta l’equivalente del port pairing nel transparent mode della release 5.2 e la sostituisce.
• Disponibile in Transparent e NAT mode
• Opera al layer 2. Le porte del Virtual Wire creato si scambiano Frame ethernet
• Le interfacce non hanno IP address ne routing table
• Supporta VLAN solo wildcard
VPN IPSEC
Wizard semplificato per le differenti casistiche della VPN con Topology Preview
ADVPN
Auto Discovery VPN
• Si applica in caso di infrastrutture complesse Hub & Spoke
• permette la creazione di VPN dinamiche «shortcut»
• Si appoggia a routing dinamico (RIP/BGP/OSPF)
• Limite: Tutti i Fortigate (hub & spoke) devono avere un indirizzo pubblico
..& More..
• Hardware acceleration: NP6 accounting, reason in caso si session non ottimizzata
• 802.1X MAC Authentication: su modelli di fortigate che supportano switch hardware
• FSSO su Exchange: M;onitoraggio in Polling Mode di MS Exchange Server
• Explicit proxy: aggiunte nuovi funzionalità, supporto dei VIP
• Assessment: compliance PCI-DSS per le regole del Fortigate
• ..yet much much more ..
(*) http://docs.fortinet.com/uploaded/files/2806/Supported%20Upgrade%20Paths%20to%20FortiOS%20Firmware%205.4.0.pdf
Upgrade Path
Hardware Supportati
(*) http://docs.fortinet.com/uploaded/files/2796/fortios-5.4.0-release-notes.pdf
(*) http://docs.fortinet.com/uploaded/files/2805/SWMATRIX-540-201602-R10.pdf
Feature Matrix
Q&A
