Fmg access что это
Fortinet Single Sign-On. Описание технологии
Приветствуем! На протяжении всего времени нашей работы с решениями компании Fortinet, а в частности с межсетевым экраном нового поколения FortiGate, одним из самых интересующих вопросов является контроль и отслеживание трафика отдельных пользователей или групп пользователей. Сегодня мы хотим подробно рассказать о механизме прозрачной аутентификации пользователей на межсетевом экране FortiGate с помощью технологии Fortinet Single Sign-On. Данная статья будет посвящена именно теоретическому аспекту FSSO, поскольку в данном случае без теории тяжело разобраться, что происходит на практике.
FSSO для Windows AD использует коллектор агента. Агенты для контроллеров домена (DC агент) также могут использоваться, в зависимости от режима работы коллектор агента. Существует два основных режима работы: DC Agent Mode (режим, в котором используются DC агент) и Polling Mode (в этом режиме используются только коллектор агенты). Также на FortiGate может использоваться Polling режим, который не требует установки сторонних агентов на сервера. Однако, данный вариант подходит только для простых сетей с минимальным количеством пользователей.
Для начала рассмотрим режим DC Agent Mode. Данный режим является рекомендованным для FSSO. Для него требуется:
Схема работы FSSO в режиме DC Agent Mode представлена на рисунке ниже:
При аутентификации пользователя DC агент перехватывает запись о входе на контроллере домена.
Затем DC агент выполняет DNS запрос для определения IP адреса пользователя и передает полученную информацию на коллектор.. После того, как коллектор получает информацию, он снова выполняет DNS запрос для того, чтобы определить, был ли изменен IP адрес пользователя.
После этого, вся информация о пользователе передается на FortiGate.
После того, как коллектор передал всю информацию о пользователе, FortiGate знает этого пользователя, его IP адрес и группы, к которым он принадлежит. Когда пользователь пытается получить доступ к интересующим его сетевым ресурсам (в том числе и к Интернету), FortiGate сравнивает IP адрес источника с IP адресами, находящимися в списке активных FSSO пользователей. Поскольку пользователь уже авторизован в домене, и FortiGate содержит информацию о нем, пользователь не будет авторизовываться повторно. Вместо этого, доступ данного пользователя к интересующему ресурсу будет разрешен или запрещен в зависимости от политики безопасности, под которую попадает трафик данного пользователя.
NetAPI: Агент обращается к временным сессиям, созданным на контроллере домена в момент входа пользователей в домен, и вызывает функцию NetSessionEnum. Данный метод работает быстрее остальных, однако он может пропустить некоторые события входа при высокой нагрузке контроллера домена. Это связано с тем, что при высокой нагрузке сессии могут удаляться из оперативной памяти до того, как агент успеет к ним обратиться и передать информацию на FortiGate.
WMI: Агент с помощью Windows API получает системную информацию с контроллера домена. Контроллер домена по запросу возвращает все требуемые события входа пользователей в домен. Данный способ позволяет уменьшить нагрузку канала между коллектор агентом и контроллером домена.
Схема работы Collector Agent-Based Polling режима представлена на рисунке ниже:
Пользователь аутентифицируется в домене, предоставляя свои учетные данные на контроллер домена;
Коллектор агент периодически (раз в несколько секунд) опрашивает контроллер домена на предмет наличия событий входа пользователей в домен;
Коллектор агент посылает полученную информацию на FortiGate;
Поскольку пользователь уже авторизован в домене, и FortiGate содержит информацию о нем, пользователь не будет авторизовываться повторно. Вместо этого, доступ данного пользователя к интересующему ресурсу будет разрешен или запрещен в зависимости от политики безопасности, под которую попадает данный трафик.
Требуется больше системных ресурсов;
Схема работы данного режима представлена на рисунке ниже.
FortiGate опрашивает контроллер домена для получения событий входа пользователей в систему.
После аутентификации пользователя на контроллере домена, FortiGate получает это событие во время следующего опроса в совокупности со следующей информацией: имя пользователя, имя машины, IP адрес. Затем, он запрашивает группы пользователей, о которых получил информацию.
Когда пользователь пытается получить доступ к сетевому ресурсу, FortiGate уже имеет всю необходимую информацию о данном пользователе, и пользователю не нужно аутентифицировать повторно. Вместо этого, доступ данного пользователя к интересующему ресурсу будет разрешен или запрещен в зависимости от политики безопасности, под которую попадает трафик данного пользователя.
Подведем итоги, выделив основные отличия в режимах DC Agent Mode и Polling Mode:
FSSO в режиме DC Agent Mode сложнее в инсталяции. Он требует установки коллектор агента, а также DC агента на каждый контроллер домена, в котором мониторятся события входа в систему. Но в то же время этот режим является более масштабируемым, поскольку работа по захвату событий входа реализуется DC агентами, которые и передают данную информацию на коллектор агент.
Также, в режиме DC Agent Mode необходимые события собираются один раз и отправляются на привязанные коллектор агенты. Поэтому, события входа пользователей не упускаются. А в режиме Polling Mode, некоторые события входа могут быть пропущены, или при их передаче может возникнуть задержка.
Для удобства, основные отличия в режимах были сведены в таблицу:
Требуется ли DC агент
Высокий уровень масштабирования
Низкий уровень масштабирования
Уровень захвата событий
Захватываются все события
Некоторые события могут быть пропущены (NetAPI) или могут быть переданы с задержкой (WinSecLog)
На этом теоретическая часть, посвященная технологии FSSO, закончена. В следующий раз мы осветим именно практические аспекты данной технологии. Чтобы не пропустить новых материалов, следите за новостями на наших каналах:
Building security into FortiOS
The FortiOS operating system, FortiGate hardware devices, and FortiGate virtual machines (VMs) are built with security in mind, so many security features are built into the hardware and software. Fortinet maintains an ISO:9001 certified software and hardware development processes to ensure that FortiOS and FortiGate products are developed in a secure manner.
Boot PROM and BIOS security
The boot PROM and BIOS in FortiGate hardware devices use Fortinet’s own FortiBootLoader that is designed and controlled by Fortinet. FortiBootLoader is a secure, proprietary BIOS for all FortiGate appliances. FortiGate physical devices always boot from FortiBootLoader.
FortiOS kernel and user processes
FortiOS is a multi-process operating system with kernel and user processes. The FortiOS kernel runs in a privileged hardware mode while higher-level applications run in user mode. FortiOS is a closed system that does not allow the loading or execution of third-party code in the FortiOS user space. All non-essential services, packages, and applications are removed.
FortiGate appliances with SD drives are encrypted to prevent unauthorized access to data.
Administration access security
This section describes FortiOS and FortiGate administration access security features.
As the first step on a new deployment, review default settings such as administrator passwords, certificates for GUI and SSL VPN access, SSH keys, open administrative ports on interfaces, and default firewall policies. As soon as the FortiGate is connected to the internet it is exposed to external risks, such as unauthorized access, man-in-the-middle attacks, spoofing, DoS attacks, and other malicious activities from malicious actors. Either use the start up wizard or manually reconfigure the default settings to tighten your security from the beginning, thereby securing your network to its full potential.
Admin administrator account
All FortiGate firewalls ship with a default administrator account called admin. By default, this account does not have a password, except for FortiGate VMs on public clouds. FortiOS allows administrators to add a password for this account or to remove the account and create new custom super_admin administrator accounts.
Secure password storage
Passwords are encrypted when stored on the FortiGate, and encoded when displayed in the CLI and configuration file.
To enhance your password security, you can specify your own private key for the encryption process. This ensures that your key is unique. The key is also required to restore the system from a configuration file. In HA clusters, the same key should be used on all of the units.
FortiGate models with a Trusted Platform Module (TPM) can store the master encryption password, which is used to generate the master encryption key, on the TPM. For more information, see Trusted platform module support.
To enable and enter your own private encryption key:
This is an example. Using 0123456789abcdef0123456789abcdef as your private key is not recommended.
Maintainer account
Administrators with physical access to a FortiGate appliance can use a console cable and a special administrator account called maintainer to log into the CLI. When enabled, the maintainer account can be used to log in from the console after a hard reboot. The password for the maintainer account is bcpb followed by the FortiGate serial number. An administrator has 60-seconds to complete this login. See the Fortinet knowledge base or Resetting a lost Admin password for details.
The only action the maintainer account has permissions to perform is to reset the passwords of super_admin accounts. Logging in with the maintainer account requires a hard boot of the FortiGate. FortiOS generates event log messages when you log in with the maintainer account and for each password reset.
The maintainer account is enabled by default; however, there is an option to disable this feature. The maintainer account can be disabled using the following command:
config system global
set admin-maintainer disable
If you disable this feature and lose your administrator passwords you will no longer be able to log into your FortiGate.
Administrative access security
Secure administrative access features:
config system global
set admin-scp enable
Non-factory SSL certificates
Non-factory SSL certificates should be used for the administrator and SSL VPN portals. Your certificate should identify your domain so that remote users can recognize the identity of the server or portal that they are accessing through a trusted CA.
The default Fortinet factory self-signed certificates are provided to simplify initial installation and testing. Using these certificates leaves you vulnerable to man-in-the-middle attacks, where an attacker spoofs your certificate, compromises your connection, and steals your personal information.
It is highly recommended that you purchase a server certificate from a trusted CA to allow remote users to connect to SSL VPN with confidence. Your administrator web portal should also be configured with a server certificate from a trusted CA. See Purchase and import a signed SSL certificate for information.
Network security
This section describes FortiOS and FortiGate network security features.
Network interfaces
The following are disabled by default on each FortiGate interface:
TCP sequence checking
FortiOS uses TCP sequence checking to ensure a packet is part of a TCP session. By default, anti-replay protection is strict, which means that if a packet is received with sequence numbers that fall out of the expected range, FortiOS drops the packet. Strict anti-replay checking performs packet sequence checking and ICMP anti-replay checking with the following criteria:
Reverse path forwarding
FortiOS implements a mechanism called Reverse Path Forwarding (RPF), or Anti Spoofing, to block an IP packet from being forwarded if its source IP does not:
If those conditions are not met, FortiOS silently drops the packet.
FIPS and Common Criteria
FortiOS has received NDPP, EAL2+, and EAL4+ based FIPS and Common Criteria certifications. Common Criteria evaluations involve formal rigorous analysis and testing to examine security aspects of a product or system. Extensive testing activities involve a comprehensive and formally repeatable process, confirming that the security product functions as claimed by the manufacturer. Security weaknesses and potential vulnerabilities are specifically examined during an evaluation.
To see Fortinet’s complete history of FIPS/CC certifications go to the following URL and add Fortinet to the Vendor field:
FortiAP-14С – remote access point от Fortinet. Хороший вариант построения безопасной беспроводной сети для удалённого офиса
В данной статье мы поговорим о FortiAP-14С, новинке в линейке беспроводных точек доступа FortiAP от Fortinet – миниатюрной одномодульной точке для построения для удалённых офисов/филиалов предприятий, которая по праву позиционирована и названа Remote AP. Это одна из трёх точек доступа, позиционирующихся вендором как «удалённая» — в линейке есть ещё FortiAP-11С послабее (зато удобнее для личных целей, а-ля путешествий и частых перемещений вне офиса) и FortiAP-28С (помощнее).
Описывая функциональность UTM-устройств FortiGate в одной из предыдущих статей, мы обозначили, что FortiGate среди множества своих возможностей имеет «на борту» встроенный беспроводный контроллер (у моделей 40С и выше) для управления «тонкими» точками доступа FortiAP.
Поэтому в качестве «Дано» для сегодняшнего обзора нашей новинки подразумеваем центральный офис с защищённой с помощью FortiGate корпоративной сетью и офис удалённый, где мы будем разворачивать отдельный островок безопасной инфраструктуры. При этом, очень важен тот факт, что удалённый офис будет защищён теми же правилами и политиками, которые настроены на FortiGate центрального офиса, что минимизирует трату времени на администрирование и предоставляет широкие возможности централизованного управления и защиты сетевых ресурсов. Помимо этого, пользователям могут транслироваться те же SSID, что и в главном офисе, а для подключённых в LAN-интерфейс устройства можно создать мост либо в SSID, либо в адресный пул на WAN-интерфейсе точки.
Поскольку мы затронули возможности и технические характеристики сабжа, вот полный их список:
Размеры очень небольшие, а вес всего 100 грамм, поэтому удалённым офисам без этих 100 грамм просто не обойтись 🙂 Чего не скажешь о настройке точки, она очень проста и доступна, а главное – одноразова, после чего админ центрального офиса и FortiGate в его руках будут администрировать всю сеть комплексно и незаметно, вместе с отдельными островками филиалов и удалённых офисов.
Но к настройке приступим позже, так как точка-то у нас лежит не распакованная и нетронутая.
Взяв в руки запакованную коробку и открыв её – видим комплект поставки.
Итак, посмотрим, что нам досталось:
— Точка доступа FortiAP-14C – 1 шт.;
— Блок питания для точки доступа (5В, 1А на выходе) с «евро»-розеткой – 1 шт.;
— Сетевой патч-корд UTP Cat5e с разъёмами RJ-45 – 1 шт.;
— «Mounting kit» в виде пары саморезов для крепления на стену и пары дюбелей;
— QuickStart Guide – увлекательное чтиво-мануал на английском по комплектности, подключению и настройке сабжа.
Верхняя сторона точки выглядит так:
Здесь видим индикаторы (слева направо): Питание, статус WiFi, статус WAN, статус LAN-портов 1-2-3-4.
Вот как выглядит точка FortiAP-14C с обратной стороны, там где расположены интерфейсы. С этой стороны видим гнездо питания от БП (DC-IN), 4 разъёма для LAN-интерфейсов, разъём WAN-интерфейса, и кнопку «Reset» для сброса настроек.
Немного смущает наличие характерных гнёзд, вернее заглушек для якобы установки внешних антенн. Возможно в таком корпусе будет выпущена ещё какая-то модель. Пока это загадка, ибо информации по данному вопросу нет.
Теперь о возможностях точки. Как мы уже указывали в характеристиках, точка имеет всего один радиомодуль в диапазоне 2,4 ГГц, 802.11n стандарта со скоростью до 150 Мбит/с. Хоть это и удалённый вариант (Remote AP), точка при этом остаётся «тонкой» и управляется встроенным в FortiGate контроллером, подключаясь в Интернет по WAN-интерфейсу и устанавливая защищённый туннель с FortiGate. По воздуху можно получить доступ, подключившись к любой заранее настроенной и вещаемой SSID того же FortiGate, как и в центральном офисе. По LAN-интерфейсам в удалённом офисе можно получить доступ к адресам в пуле WAN-интерфейса точки, либо к SSID FortiGate. А каждый SSID на FortiGate и есть отдельным интерфейсом, дабы унифицировать настройку различных видов политик межсетевого экрана.
Таким образом, подключая точку удалённо в офисе, предварительно настроив её на адрес внешнего интерфейса Интернет у FortiGate, мы получаем ту же защиту, профили безопасности и аутентификации из любой точки земного шара. Грань между проводным и беспроводным доступом стирается всё больше и больше, что очень актуально при нынешней тенденции повсеместного использования беспроводных устройств, постоянно увеличивающих своё количество.
Что ж, перейдём непосредственно к настройке, чтобы разобраться как сего добиться.
Точка имеет т.н. «нулевую» конфигурацию, способную откликаться по HTTP по адресу http:// 192.168.1.2 (на ПК надо настроить статику, а-ля 192.168.1.3/24).
Логин стандартный, как и на FortiGate – admin, без пароля.
Также, точка по умолчанию может получать адрес от DHCP-сервера. Далее точка с определённым адресом начинает обнаруживать беспроводный контроллер разными способами, а именно:
— Broadcast
— Multicast
— DHCP option 138, что описано и соответствует RFC 5417 для CAPWAP протокола.
Когда точка найдёт контроллер – она появится в разделе WiFi Controller > Managed Access Points > Managed FortiAPs веб-интерфейса FortiGate, а в веб-интерфейсе самой точки появится соответствующий статус «AC Discovery Status – Discovered AC».
Видим, что в верхней части веб-интерфейса FortiAP-14C, помимо просмотра информации о состоянии, деталях действующих настроек, времени работы, загрузки ресурсов точки и прочего, можно произвести такие манипуляции:
— Сменить версию прошивки в разделе Firmware Version.
— Сменить стандартный пароль доступа в разделе Current Administrator.
— Загрузить/выгрузить копию конфигурации System Configuration – Backup, Restore.
Далее же следуют сетевые настройки, ниже мы видим раздел Network Configuration, где можно менять тип Static или DHCP. Ничто не мешает прописать в режиме Static раз и навсегда статический адрес, маску и шлюз по умолчанию, а также VLAN ID, если таковые будут иметь место в подсети точки. Эти же настройки, только с припиской «Default» присутствуют в DHCP-режиме. Тут же, можно включить/выключить доступы по HTTP и TELNET к данному веб-интерфейсу.
Раздел Connectivity предлагает выбрать режим аплинка для нашей точки, на выбор:
— Ethernet – тут всё понятно, проводной аплинк по Ethernet, в нашем случае – по WAN-интерфейсу.
— Mesh – поддерживается и такая полносвязная топология построения беспроводной сети, где сами точки доступа могут выступать в качестве ретранслятора и маршрутизатора без использования проводных соединений между собой. Эта возможность является достоянием операционной системы FortiOS версии 5.0 и выше.
— Ethernet with mesh backup support – совмещённый режим проводного аплинка с резервированием подключения по mesh-сети при обрыве.
Для Ethernet в веб-интерфейсе настраивать ничего не нужно, для Mesh же необходимо указать пароль и SSID, по которому будет осуществляться внутреннее сопряжение с остальными точками. Функция Ethernet Bridge организует подключение между двумя точками доступа в режиме моста для построения WiFi пролётов между зданиями и т.д. Ethernet with mesh backup support, являясь по сути тем же Mesh, имеет те же настройки.
Далее раздел WTP Configuration предлагает нам настроить режимы обнаружения беспроводного контроллера. Среди них Auto, сочетающий в себе все настройки скопом. Детальнее же рассматривая это будут режимы:
— Static – статический режим с возможностью назначить три адреса удалённого контроллера.
— DHCP – указывается порт и Option Code, значение равно 138 по умолчанию и рекомендовано для CAPWAP AC DHCPv4 Option, согласно RFC 5417 «Control And Provisioning of Wireless Access Points (CAPWAP)».
— DNS — указывается порт и до трёх доменных имён узла, где находится удалённый контроллер.
— Broadcast – для обнаружения с помощью широковещательной рассылки достаточно только порта (наконец-то упомним, что по умолчанию у нас порт 5246, его же по умолчанию слушает и контроллер, если иное неизвестно администратору и не настроено на FortiGate).
— Multicast – тот же порт и адрес 224.0.1.140, соответствующий CAPWAP-AC (RFC5415) в IANA (IPv4 Multicast Address Space Registry).
Будем считать, что необходимые настройки сделаны. В нашей конфигурации были прописаны адреса удалённо расположенного контроллера, как ниже:
Мы сверяем серийник, видим адрес источника, откуда пришла к нам точка и авторизуем её, нажав Authorize в меню раздела:
Некоторое время точка ещё повисит в неавторизованном состоянии:
… после чего чётко и ясно отобразится в меню, как авторизованная и теперь всецело подконтрольная нам:
При этом точка расскажет о своём наименовании/серийном номере, приятном авторизованном (зелёном) состоянии, адресе (полученном удалённо), какие SSID она транслирует, каналы, количество подключенных клиентов и свою версию ПО. Что ж, кликаем дважды на эту запись или нажимаем Edit и посмотрим что внутри:
— Wireless Settings
AP Profile: выбор профиля для работы точки доступа
Automatic – при выборе можно настроить вручную в этом меню все нижеуказанные настройки Wireless Settings
FAP-14C_default – встроенный профиль в FortiGate для данной модели
[Apply] – применить профиль после выбора
Enable WiFi Radio — вкл./выкл. для работы радиомодуля
SSID: — выбор SSID для вещания точкой
— Automatically Inherit all SSIDs – возможность вещать все заранее созданные на FortiGate SSID автоматически
— Select SSIDs: — выбор конкретных SSID вручную (выбор – множественный)
FAP_14C_test (SSID: FAP_14C_test) – пример выбранной SSID через Select SSIDs
Auto TX Power Control Disable/Enable – вкл./выкл. автоматической подстройки мощности сигнала радиомодуля
TX Power 0 — 100 % — установка мощности в процентах при значении Disable параметра Auto TX Power Control
Band 802.11bgn_2.4G 2.4GHz 5GHz – диапазон вещания (для этой модели 5 ГГц неактивен)
Channel 6 – рабочий канал
Do not participate in Rogue AP scanning – «неподвержение» параллельному сканированию незарегистрированных в беспроводной сети и соответственно потенциально небезопасных точек доступа (т.н. Rogue AP)
LAN Port: настройка встроенных LAN-портов точки
Mode — None – работа LAN-портов осуществляется в режиме обычного коммутатора, без аплинка.
— Bridge to: WAN Port – режим моста с WAN-портом точки. Устройства в LAN получат адрес из того же пула, что и WAN-порт
SSID name – режим моста с выбранной SSID точки (беспроводные и проводные пользователи будут в одном адресном пространстве, настроенном в SSID-интерфейсе).
Настройки мы посмотрели, но для работы нам нужно создать SSID который, как уже упоминалось, будет и отдельным интерфейсом для применения к нему политик безопасности и аутентификации, настройки и включения нужных UTM-функций FortiGate, таких как антивирус, антиспам, веб-фильтрация, IPS, DLP, контроль приложений, VoIP и прочие.
А посему, заходим в WiFi Controller > WiFi Network > SSID и создаём там SSID с помощью интуитивно понятной кнопки Create new:
Внутри мы видим такие настройки:
Здесь поясним что есть что. Итак:
Name – наименование интерфейса
Type – тип, под которым скрывается WiFi SSID, что предельно понятно
Traffic Mode – режим трафика, ниже варианты
Tunnel to Wireless Controller – туннель к контроллеру, означает, что адреса будут такие, как в сетевых настройках интерфейса ниже
Local bridge with FortiAP’s Interface – режим моста с WAN-портом точки, который уже был описан для LAN-портов данной модели точки, однако для остальных моделей (в т. ч. и этой), доступен ещё один режим моста с WAN и для беспроводных клиентов.
Mesh Downlink – назначение SSID участвующим в построении Mesh-сети
IP/Network Mask – IP-адрес и маска сети будущего интерфейса
— Administrative Access: HTTPS, PING, HTTP, FMG-Access, SSH, SNMP, TELNET, FCT-Access, Auto IPsec Request – разные режимы административного доступа к интерфейсу.
— DHCP Server Enable – включение DHCP-сервера для беспроводных клиентов
Address Range (Create New – Edit – Delete) – создание, редактирование и удаление диапазона адресов для DHCP-сервера
Starting IP — End IP – начальный и конечный IP-адрес DHCP-сервера
Netmask – маска сети DHCP-сервера
Default Gateway (Same as Interface IP, Specify) – шлюз по умолчанию DHCP-сервера (либо такой же, как адрес интерфейса, либо указанный вручную)
DNS Server (Same as System DNS, Specify) – сервер DNS, выдаваемый клиентам DHCP-сервером (такой же, как системные, или указанные вручную)
— WiFi Settings
SSID – наименование (может быть идентичным с наименованием интерфейса)
Security Mode – WPA/WPA2-Personal, WPA/WPA2-Enterprise, Captive Portal, Open – режим работы SSID (при WPA/WPA2-Personal указывается Data Encryption и Pre-shared Key, при WPA/WPA2-Enterprise — Data Encryption и Authentication (в нём, преднастроенный на FortiGate RADIUS Server или Usergroup – группа пользователей), при Captive Portal указываются User Groups) Там, где фигурируют нужные группы пользователей со всеми поддерживаемыми типами аутентификации FortiGate, вплоть до интеграции с AD).
Data Encryption (AES, TKIP, TKIP-AES) – выбор алгоритма шифрования по списку
Pre-shared Key (8 — 63 characters) – ключ доступа к сети с этим SSID
Block Intra-SSID Traffic – галочка выбора блокировать или нет трафик между клиентами в одной сети с этим SSID
Maximum Clients – ограничение на максимальное количество клиентов сети с этим SSID
Device Management: Detect and Identify Devices – функция обнаружения и идентификации подключенных устройств для политик идентификации по устройствам в настройках межсетевого экрана
Listen for RADIUS Accounting Messages – включение приёма сообщений учётный данных (Accounting Messages) в сессиях обмена данными с RADIUS-серверами
Secondary IP Address – вторичный IP-адрес интерфейса
Comments – текстовые комментарии, если таковые необходимы
Не забываем после внесения нужных вам настроек нажать Apply, в результате чего наш первый SSID создан.
Теперь быстро пробежимся по остальным возможностям веб-интерфейса по части беспроводного контроллера, после чего приступим к созданию политик доступа для удалённых пользователей не менее удалённой точки доступа во всё ещё удалённом офисе.
Далее у нас следуют настройки Rogue AP. Долго описывать не будем, тут из настроек сам факт включения обнаружения контроллером «неучтённых» SSID (Enable Rogue AP Detection), и включение такового обнаружения параллельно с вещанием SSID (Enable On-Wire Rogue AP Detection Technique). Заметим только, что Enable Rogue AP Detection стоит считать эдаким «центральным тумблером» для всего контроллера беспроводной сети, так как активная галочка Do not participate in Rogue AP scanning в настройках точки доступа раздела WiFi Controller > Managed Access Points > Managed FortiAPs запретит именно этой конкретно взятой точке участие в обнаружении Rogue AP. Скрин ниже.
Настройки – настройками, а есть у нас ещё «учёт и контроль» с помощью нескольких мониторов. Client Monitor, например, отобразит нам всех подключенных на данный момент клиентов:
Roque AP Monitor отображает все SSID найденные и вещаемые (или неактивные, но пойманные в момент вещания с момента включения Roque-обнаружения). Можно увидеть почти всё: название, статус, тип шифрования, MAC-адреса и связанного с ним вендора, мощность сигнала и радиомодуль FortiAP, которым была обнаружена сеть:
Также, присутствует чрезвычайно информативный монитор Wireless Health со своими графиками:
— AP Status (аптайм точек доступа контроллера, количество активных точек и недостающих, отвалившихся по каким-то причинам);
— Client Count Over Time (количество клиентов всего с графиком за промежуток времени: час/день/месяц);
— Top Client Count Per-AP (вариации: 2.4 GHz Band, 5 GHz Band) – топ точек доступа с наибольшим количеством клиентов;
— Top Wireless Interference (вариации: 2.4 GHz Band, 5 GHz Band) – интерференция находящихся рядом точек доступа FortiAP, каналы вещания и ошибки;
— Login Failures Information – информация о неудачных логинах на SSIDы, вещаемые FortiAP, с целью определения попыток взломов и т.д.
Вроде с настройками FortiAP закончили, адресная часть есть, теперь точка FortiAP готова вещать все нужные вам SSIDы с шифрованием или без, а возможно это будет осуществлено с аутентификацией пользователей через сервера AD, RADIUS, TACACS+, либо вообще будет Captive Portal или Mesh-сеть.
Ниже пример настройки простейшей «адресной» политики безопасности (Address), с применением адресов и интерфейсов источника и назначения (Incoming/Outgoing Interface, Source/Destination Address), расписания (Schedule), разрешения определённых встроенных сервисов/протоколов (Web Access) и действие ACTION (разрешить/запретить).
Logging Options здесь предназначены для определения уровня логирования (Без логов/Только события безопасности/Все логи).
Security Profiles предназначены для включения нужных профилей UTM, которые, в свою очередь должны быть настроены заранее в меню с таким же названием, либо использовать профили предлагаемые по умолчанию.
После Create New имеем следующий диалог:
Тут фигурирует настройка адреса(-ов) назначения, выбор пользовательских групп аутентификации и/или отдельные пользователи, расписание, сервис, и действие (разрешить/запретить). Ну и без профилей защиты Security Profiles тут никуда – их также можно применять в полном объёме.
Вот как выглядит адресная политика безопасности межсетевого экрана для выхода WiFi-пользователей нашей точки доступа в Интернет после создания. Заранее прошу прощения за скриншот в «два приёма».
Таким же образом, можно создать политики и для доступа пользователей во внутреннюю корпоративную сеть и обратно (обратите внимание на политики «2» и «4», где фигурируют оба интерфейса, внешний wan1 и внутренний internal).
Теперь наша сеть защищена, нужные доступы разрешены и нам время подвести итоги. Их почему-то хочется подвести для беспроводных сетей на оборудовании от Fortinet в общем, а сабж этой статьи, FortiAP-14C, всё же оставить немного в стороне, как одну из многих и весьма унифицированных между собой реализаций. FortiAP не зря является отдельной линейкой в портфеле вендора и тут есть с десяток моделей точек доступа как внутреннего, так и наружного (промышленного) использования для построения WiFi-сетей. При этом, вендор тратит усилия на развитие этого направления и стремится соответствовать современным тенденциям беспроводных технологий, что подтверждается весьма известными исследованиями от Gartner.
Первый итог, который хотелось бы напомнить – это итоговое отсутствие разницы между проводными и беспроводными клиентами и соединениями в плане безопасности и её реализации.
Второй аспект финансовый – ведь затраты на построение, развёртывание и администрирование такой сразу защищённой сети сокращаются, и огромный плюс состоит в том, что за беспроводный контроллер, который будет управлять WiFi точками доступа уже заплачено вместе с покупкой FortiGate. Если говорить доказывать «от противного», на данный момент, всего лишь две самых начальных модели FortiGate НЕ имеют контроллера «на борту». Вместе с этим, никто не будет против, если FortiGate будет использован только в качестве контроллера беспроводных сетей, насколько же это будет оправдано – решать не совсем нам.
Следующий, третий аспект – это отмеченный уже рост из года в год позиций Fortinet на рынке беспроводной связи. Надеемся на стремительное развитие, ибо задатки есть!
В заключение скажем, что сабж статьи, миниатюрная по размерам точка доступа FortiAP-14C, хоть и имея более мощного «старшего брата» в виде FortiAP-28C, идеально подошла бы удалённым офисам, филиалам и прочим предприятиям с разнесённой многоофисной структурой. Да и находясь «на месте», рядом с контроллером точка будет работать абсолютно корректно, как и все FortiAP из линейки. А привлекательная цена только добавит плюсов и раздумий потенциальным покупателям, активно ищущим и просто интересующимся.