Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.05.2019

Wzmocniony model

Panasonic Toughbook FZ-N1
23.05.2019

Szybsze sieci

D-Link Smart Mesh Wi-Fi AC1900/AC2600/AC3000
23.05.2019

Curved 4K

Samsung LU32R590
14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX

Fortinet FortiNAC

Data publikacji: 18-04-2019 Autor: Marcin Jurczyk
Menu Dashboard pozwala na...

Pełna wiedza o wszystkich urządzeniach podpiętych do sieci firmowej to bez wątpienia jeden z ważniejszych czynników zwiększających bezpieczeństwo infrastruktury. Testujemy jedno z rozwiązań typu Network Access Control, które oferuje wysoką skalowalność i zróżnicowane mechanizmy rozpoznawania sprzętu sieciowego.

 

Rozwiązania typu Network Access Control (NAC) to w zasadzie nic nowego. Wielu producentów sprzętu sieciowego miało lub ma w swoim portfolio narzędzia umożliwiające kontrolę dostępu do sieci, i to zarówno dla tradycyjnych sieci kablowych, jak i dla sieci bezprzewodowych. W tym drugim przypadku sytuacja wygląda nieco lepiej, a wynika to głównie z dostępności technologii i relatywnej łatwości wdrożenia.

Rynek takich rozwiązań można w zasadzie podzielić na dwa segmenty. Pierwszy to produkty znanych marek, takich jak Cisco, HPE czy Extreme Networks, gdzie NAC to tylko uzupełnienie głównej oferty. W drugiej grupie znajdują się firmy, dla których rozwiązanie NAC jest podstawowym i często jedynym produktem w ofercie, na którym opiera się cały biznes. Jak łatwo się domyślić, podstawowa różnica między obiema grupami sprowadza się głównie do wsparcia dla heterogenicznych środowisk sieciowych lub zdecydowanie lepszej integracji z własną linią produktową. Typowi dostawcy NAC muszą wspierać jak najwięcej rozwiązań sieciowych, możliwie wszystkich dostawców na rynku, z kolei produkty firm charakteryzujących się szerszą gamą rozwiązań zdecydowanie lepiej integrują się ze sprzętem i oprogramowaniem z rodzimej firmy, oczywiście nie wykluczając wsparcia dla narzędzi firm trzecich.

Od czerwca 2018 r. firma Fortinet dołączyła do grupy producentów rozwiązań sieciowych mających w swym portfolio narzędzie typu NAC. Stało się to za sprawą przejęcia firmy Bradford Networks, specjalizującej się właśnie w rozwiązaniach kontroli dostępu do sieci z flagowym produktem Network Sentry, który przemianowano na FortiNAC zgodnie z obowiązującą konwencją nazewniczą. Siłą napędową marketingu stojącego za tym produktem jest odpowiedź na trendy rewolucji cyfrowej, w tym BYOD oraz coraz bardziej popularny IoT. Nasze testowe środowisko ogranicza się jednak do tradycyjnej infrastruktury sieciowej, z kontrolą dostępu dla standardowych urządzeń końcowych, takich jak stacje robocze użytkowników.

> FUNKCJONALNOŚĆ

Co w takim razie proponuje FortiNAC? Dla użytkowników mających już do czynienia z Network Sentry będzie to kontynuacja opatentowanej i wielokrotnie nagradzanej platformy umożliwiającej widoczność wszystkich elementów infrastruktury podpiętych do sieci wraz z identyfikacją i profilowaniem końcówek oraz automatycznym reagowaniem na potencjalne zagrożenia. Dokładnie w ten sposób został także zbudowany model licencjonowania. W najtańszej opcji dla licencji Basic możliwe są detekcja urządzeń wpiętych do sieci, automatyczne blokowanie niezaufanych urządzeń i ich autoryzacja. Nie znajdziemy tu możliwości uwierzytelniania domenowego, funkcji Captive Portal czy chociażby wsparcia dla polityk dostępu. Licencja Plus pozwala na nieco bardziej złożoną kontrolę z profilowaniem urządzeń oraz użytkowników wraz z rozbudowaną funkcjonalnością analityki i raportów. Już na tym poziomie dostajemy większość interesujących funkcji, z obsługą BYOD, walidacją zgodności z polityką bezpieczeństwa dla urządzeń końcowych czy integracją z poziomu REST API włącznie. Najwyższy poziom licencji Pro to dodatkowo integracja z pozostałymi komponentami sieci, jak chociażby FortiGate czy FortiSIEM w celu automatycznego reagowania na nieautoryzowany dostęp w czasie rzeczywistym czy korelacja zdarzeń. Z tego poziomu licencji dostajemy tak naprawdę maksymalne wsparcie dla mechanizmów reagowania na incydenty. Pełna matryca funkcji dostępnych na każdym poziomie licencji jest widoczna na stronie producenta.

Podstawowa funkcja FortiNAC-a to wykrywanie wszystkich urządzeń podpiętych do sieci, bez względu na to, czy są to tradycyjne stacje robocze, drukarki, czy urządzenia IoT. Aplikacja jest w stanie wykryć typ urządzenia wraz z informacją o użytkowniku i działających aplikacjach. Oficjalnie wspieranych jest ponad 2000 urządzeń LAN oraz Wi-Fi, pochodzących od ponad 70 producentów sprzętu, a jeśli nie znajdziemy naszego sprzętu na oficjalnej liście, należy skontaktować się ze wsparciem producenta, który zweryfikuje kompatybilność z oprogramowaniem. Współpraca z aktywnymi urządzeniami sieciowymi odbywa się w sposób bezagentowy, a podstawą działania jest wykorzystanie dobrze znanego protokołu SNMP, za pomocą którego można zbierać informacje o urządzeniach klienckich podłączonych do przełączników sieciowych i punktów dostępowych.

Stosowane są w zasadzie dwa mechanizmy zbierania danych. Pierwszy z nich to pobieranie informacji dotyczących warstwy drugiej modelu OSI. Realizowane jest to na kilka sposobów: manualnie przez wysłanie zapytania typu L2 poll, w sposób automatyczny z wykorzystaniem harmonogramu (standardowo dla LAN – raz na godzinę, dla Wi-Fi – raz na 10 minut) lub z wykorzystaniem komunikatów SNMP typu Link Trap za każdym razem, gdy zmieni się stan portu. W ten sposób FortiNAC jest informowany o adresie MAC urządzenia końcowego, identyfikatorze przełącznika, na którym pojawiło się nowe urządzenie, oraz porcie, do którego zostało podpięte. Brakującym elementem jest informacja o adresie IP, niedostępna z tego poziomu.

Drugi mechanizm wiąże się ze wsparciem dla warstwy trzeciej. Można je uzyskać, integrując FortiNAC-a z routerem lub – jak to miało miejsce w przypadku naszego środowiska testowego – firewallem, np. Fortigate (L3 polling). W ten sposób możliwe jest wykorzystanie chociażby opcji DHCP Relay w celu obsługi zapytań DHCP dla VLAN-u izolacyjnego (kwarantanna), który obsługiwany jest z poziomu Forti­NAC-a. W tym celu FortiNAC musi zostać odpowiednio skonfigurowany – tryb pracy w warstwie trzeciej. Na podstawie pobranych informacji FortiNAC pozwala na profilowanie i identyfikację urządzeń końcowych. W zależności od implementacji oprogramowanie umożliwia automatyczną rejestrację użytkowników typu gość wraz z przypisaniem do odpowiedniego VLAN-u. Jeżeli urządzenie klienckie ma już profil w bazie danych FortiNAC-a, jest automatycznie przypisywane do odpowiedniego VLAN-u zgodnie z profilem. W przypadku stanów nieznany, zagrożony lub nieuwierzytelniony urządzenie może zostać przypisane do oddzielnego VLAN-u izolacyjnego, a następnie przy pierwszej próbie komunikacji użytkownik może zostać przekierowany na Captive Portal, z którego poziomu da się zarejestrować i uwierzytelnić. Oczywiście w przypadku urządzeń IoT rejestracja i profilowanie muszą się odbyć na podstawie innego mechanizmu. 

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"