Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Fortinet FortiNAC

Data publikacji: 18-04-2019 Autor: Marcin Jurczyk
Menu Dashboard pozwala na...

Pełna wiedza o wszystkich urządzeniach podpiętych do sieci firmowej to bez wątpienia jeden z ważniejszych czynników zwiększających bezpieczeństwo infrastruktury. Testujemy jedno z rozwiązań typu Network Access Control, które oferuje wysoką skalowalność i zróżnicowane mechanizmy rozpoznawania sprzętu sieciowego.

 

Rozwiązania typu Network Access Control (NAC) to w zasadzie nic nowego. Wielu producentów sprzętu sieciowego miało lub ma w swoim portfolio narzędzia umożliwiające kontrolę dostępu do sieci, i to zarówno dla tradycyjnych sieci kablowych, jak i dla sieci bezprzewodowych. W tym drugim przypadku sytuacja wygląda nieco lepiej, a wynika to głównie z dostępności technologii i relatywnej łatwości wdrożenia.

Rynek takich rozwiązań można w zasadzie podzielić na dwa segmenty. Pierwszy to produkty znanych marek, takich jak Cisco, HPE czy Extreme Networks, gdzie NAC to tylko uzupełnienie głównej oferty. W drugiej grupie znajdują się firmy, dla których rozwiązanie NAC jest podstawowym i często jedynym produktem w ofercie, na którym opiera się cały biznes. Jak łatwo się domyślić, podstawowa różnica między obiema grupami sprowadza się głównie do wsparcia dla heterogenicznych środowisk sieciowych lub zdecydowanie lepszej integracji z własną linią produktową. Typowi dostawcy NAC muszą wspierać jak najwięcej rozwiązań sieciowych, możliwie wszystkich dostawców na rynku, z kolei produkty firm charakteryzujących się szerszą gamą rozwiązań zdecydowanie lepiej integrują się ze sprzętem i oprogramowaniem z rodzimej firmy, oczywiście nie wykluczając wsparcia dla narzędzi firm trzecich.

Od czerwca 2018 r. firma Fortinet dołączyła do grupy producentów rozwiązań sieciowych mających w swym portfolio narzędzie typu NAC. Stało się to za sprawą przejęcia firmy Bradford Networks, specjalizującej się właśnie w rozwiązaniach kontroli dostępu do sieci z flagowym produktem Network Sentry, który przemianowano na FortiNAC zgodnie z obowiązującą konwencją nazewniczą. Siłą napędową marketingu stojącego za tym produktem jest odpowiedź na trendy rewolucji cyfrowej, w tym BYOD oraz coraz bardziej popularny IoT. Nasze testowe środowisko ogranicza się jednak do tradycyjnej infrastruktury sieciowej, z kontrolą dostępu dla standardowych urządzeń końcowych, takich jak stacje robocze użytkowników.

> FUNKCJONALNOŚĆ

Co w takim razie proponuje FortiNAC? Dla użytkowników mających już do czynienia z Network Sentry będzie to kontynuacja opatentowanej i wielokrotnie nagradzanej platformy umożliwiającej widoczność wszystkich elementów infrastruktury podpiętych do sieci wraz z identyfikacją i profilowaniem końcówek oraz automatycznym reagowaniem na potencjalne zagrożenia. Dokładnie w ten sposób został także zbudowany model licencjonowania. W najtańszej opcji dla licencji Basic możliwe są detekcja urządzeń wpiętych do sieci, automatyczne blokowanie niezaufanych urządzeń i ich autoryzacja. Nie znajdziemy tu możliwości uwierzytelniania domenowego, funkcji Captive Portal czy chociażby wsparcia dla polityk dostępu. Licencja Plus pozwala na nieco bardziej złożoną kontrolę z profilowaniem urządzeń oraz użytkowników wraz z rozbudowaną funkcjonalnością analityki i raportów. Już na tym poziomie dostajemy większość interesujących funkcji, z obsługą BYOD, walidacją zgodności z polityką bezpieczeństwa dla urządzeń końcowych czy integracją z poziomu REST API włącznie. Najwyższy poziom licencji Pro to dodatkowo integracja z pozostałymi komponentami sieci, jak chociażby FortiGate czy FortiSIEM w celu automatycznego reagowania na nieautoryzowany dostęp w czasie rzeczywistym czy korelacja zdarzeń. Z tego poziomu licencji dostajemy tak naprawdę maksymalne wsparcie dla mechanizmów reagowania na incydenty. Pełna matryca funkcji dostępnych na każdym poziomie licencji jest widoczna na stronie producenta.

Podstawowa funkcja FortiNAC-a to wykrywanie wszystkich urządzeń podpiętych do sieci, bez względu na to, czy są to tradycyjne stacje robocze, drukarki, czy urządzenia IoT. Aplikacja jest w stanie wykryć typ urządzenia wraz z informacją o użytkowniku i działających aplikacjach. Oficjalnie wspieranych jest ponad 2000 urządzeń LAN oraz Wi-Fi, pochodzących od ponad 70 producentów sprzętu, a jeśli nie znajdziemy naszego sprzętu na oficjalnej liście, należy skontaktować się ze wsparciem producenta, który zweryfikuje kompatybilność z oprogramowaniem. Współpraca z aktywnymi urządzeniami sieciowymi odbywa się w sposób bezagentowy, a podstawą działania jest wykorzystanie dobrze znanego protokołu SNMP, za pomocą którego można zbierać informacje o urządzeniach klienckich podłączonych do przełączników sieciowych i punktów dostępowych.

Stosowane są w zasadzie dwa mechanizmy zbierania danych. Pierwszy z nich to pobieranie informacji dotyczących warstwy drugiej modelu OSI. Realizowane jest to na kilka sposobów: manualnie przez wysłanie zapytania typu L2 poll, w sposób automatyczny z wykorzystaniem harmonogramu (standardowo dla LAN – raz na godzinę, dla Wi-Fi – raz na 10 minut) lub z wykorzystaniem komunikatów SNMP typu Link Trap za każdym razem, gdy zmieni się stan portu. W ten sposób FortiNAC jest informowany o adresie MAC urządzenia końcowego, identyfikatorze przełącznika, na którym pojawiło się nowe urządzenie, oraz porcie, do którego zostało podpięte. Brakującym elementem jest informacja o adresie IP, niedostępna z tego poziomu.

Drugi mechanizm wiąże się ze wsparciem dla warstwy trzeciej. Można je uzyskać, integrując FortiNAC-a z routerem lub – jak to miało miejsce w przypadku naszego środowiska testowego – firewallem, np. Fortigate (L3 polling). W ten sposób możliwe jest wykorzystanie chociażby opcji DHCP Relay w celu obsługi zapytań DHCP dla VLAN-u izolacyjnego (kwarantanna), który obsługiwany jest z poziomu Forti­NAC-a. W tym celu FortiNAC musi zostać odpowiednio skonfigurowany – tryb pracy w warstwie trzeciej. Na podstawie pobranych informacji FortiNAC pozwala na profilowanie i identyfikację urządzeń końcowych. W zależności od implementacji oprogramowanie umożliwia automatyczną rejestrację użytkowników typu gość wraz z przypisaniem do odpowiedniego VLAN-u. Jeżeli urządzenie klienckie ma już profil w bazie danych FortiNAC-a, jest automatycznie przypisywane do odpowiedniego VLAN-u zgodnie z profilem. W przypadku stanów nieznany, zagrożony lub nieuwierzytelniony urządzenie może zostać przypisane do oddzielnego VLAN-u izolacyjnego, a następnie przy pierwszej próbie komunikacji użytkownik może zostać przekierowany na Captive Portal, z którego poziomu da się zarejestrować i uwierzytelnić. Oczywiście w przypadku urządzeń IoT rejestracja i profilowanie muszą się odbyć na podstawie innego mechanizmu. 

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"