Nuovo FortiOS 5.4 - Fortigate
Transcript
Nuovo FortiOS 5.4 - Fortigate
Nuovo FortiOS 5.4 - Fortigate Heros Deidda System Engineer Exclusive Networks What’s New? • • • • • • • • • • Inspection mode: flow o proxy GUI Refresh FortiView CASI: Cloud Access Security Inspection WAF: Web Application Firewall DNS Filter FortiSandbox Integration Forticlient Integration Traffic Shaping Policies Wan Link Load Balancing http://docs.fortinet.com/d/fortigate-whats-new-in-fortios-5.4 What’s New? • • • • • • Virtual Wire Pair VPN wizard e ADVPN More Features Upgrade Path Feature Matrix Supported Platform Inspection mode: flow o proxy Inspection mode to flow or proxy • • • • • • Inspection Mode globale Flow/Proxy anche da dashboard per VDOM Flow mode Quick o Full Full mode equivale al deep flow mode implementato 5.2 Proxy mode rimane la modalità più efficace e granulare Full Flow mode garantisce migliori performance e non modifica il payload Quick Flow mode per massima leggerezza nell’analisi http://cookbook.fortinet.com/fortios-antivirus-inspection-modes/ http://help.fortinet.com/fos50hlp/54/index.htm#FortiOS/fortigate-whats-new-54/Top_ProxyFlowPerVDOM.htm Proxy VS Flow Proxy Mode Features • • • • • • • Web Rating Override AntiVirus • FortiClient Profile Web Filter Data Leak Prevention • ICAP • Proxy Options Anti-Spam • Web Profile Overrides SSL Inspection Application Control/IPS Flow Mode Features • Cloud Access Security Inspection • VoIP profile • Web Application Firewall • ICAP Servers GUI Refresh GUI Refresh • • • • • Admin menu su due soli livelli 3 layer 5.2 style FortiView arricchito di nuove funzionalità Monitor Centralizzato CLI console contestuale Riordino razionale dei menù (ES: ssh inspection spostato in Security Profiles) • Not last but least, yes it’s green! https://www.youtube.com/watch?time_continue=48&v=Yg_0GV09SD8 2 layer 5.4 style Più Opzioni Più Flessibilità Aggiunte nuove opzioni come la possibilità di editare una firewall policy in CLI da un menù contestuale GUI o il link al Fortiview: Shortcut per aggiungere, eliminare o editare un Security profile dalla lista delle policy cliccando sul simbolo mostrato in figura (+) Monitor Centralizzato Pannello unico per tutti i Monitor ..e qualche altro dettaglio Possibilità di mostrare l’hostname sulla schermata di login amministrativa. Configurabile via CLI FortiView FortiView Console Sono stati introdotti nuovi chart in formato tradizionale (Tabella o Istogramma) o nel nuovo formato Bubble. In entrambi i casi è possibile fare drill-down. • • • • • Analisi per interfaccia del bandwidth (storica e realtime) Analisi per Firewall Policy Analisi per country sorgente o destinataria Analisi delle autenticazioni fallite Distinzione tra Applicazioni e Applicazioni Cloud FortiView (*) Solo I modelli di Fortigate 100D e superiori hanno lo storico a 24 ore FortiView Threat Map Analisi geografica delle minacce, lista degli attacchi,drill down & more Device Topology Visualization Permette di analizzare i device interni o esterni (BYOD). Con effetto mouse-over verranno mostrate le seguenti informazioni per ogni device: • Nome del dispositivo • IP • Sessioni • Byte inviati/ricevuti • Bandwidth impegnato • Bytes droppati N.B.: Analisi effettuata su base source IP, se c’è un dispositivo che applica politiche di SNAT tra il device ed il FortiGate, il grafico risulterà impreciso. Supporta analisi realtime Reverse Lookup Verifica dell’IP mediante WHOIS lookup su portale (*) (*) si appggia al servizio www.networksolutions.com Cloud Access Security Cloud Access Security Inspection (CASI) http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_CASI.htm Cloud Access Security Inspection (CASI) • Controllo granulare sulle Cloud Application (YouTube, Dropbox, Baidu, Amazon, ecc…) • Sostituisce e amplia l’opzione dell’Application Control profile “Deep Inspection of Cloud Applications”. • Applicato alle firewall policy come qualunque altro profilo UTM. http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_CASI.htm Web Application Firewall Web Application Firewall Stack minimale ma indispensabile di protezione specifico per server web. Il profilo permette la protezione dai principali attacchi di Cross Site Scripting, Directory Traversal, SQL e Command Injection oltre a permettere la gestione delle Information Disclosure. Web Application Firewall E’ inoltre possibile controllare con granularità il formato dei pacchetti HTTP attraverso i Constraints e le HTTP Method Policy DNS Filter DNS Filter Nuovo profilo UTM specifico per le richieste DNS. Tre Componenti: • Block DNS request to Known botnet • Static URL filter • DNS based Web Filtering Block DNS Request To Known Botnet • • • • Blocca le richieste DNS verso botnet conosciute Si appoggia al motore IPS Aggiornato dinamicamente ma scaricato in locale sul Fortigate Richiede la licenza di WebFiltering (inclusa nel bundle) attiva Static URL filter • Permette di bloccare, creare eccezioni o monitorare le richieste DNS • Usa il motore IPS per guardare dentro al pacchetto DNS e verificare se il dominio matcha con le entry della URL Filter List. • Azioni disponibili: block, allow, exempt, monitor I. II. se il traffico è bloccato, viene bloccata la richiesta DNS quindi l’intero dominio sarà inaccessibile indipendentemente dal servizio (destination port) richiesto se è selezionata l’opzione Exempt, l’accesso al dominio sarà consentito anche se altri strumenti UTM sono configurati per inibirlo. DNS-based web filtering • Funzionalità simile alla precedente, permette di consentire, bloccare o monitorare le richieste DNS verso un dominio tramite le categorie FortiGuard. • Block,allow,monitor le aziioni disponibili External Security Devices External Security Devices Gestione razionalizzata ed integrata delle Vertical Solution con il Fortigate. • FortiSandBox: OnPremise o Cloud via OFTP • FortiCache • FortiWeb • FortiMail Integrati attraverso WCCP incapsulato via GRE FortiSandbox Integration FortiSandbox- Setup Integrazione con AntiVirus config antivirus profile edit "default" set comment "scan and delete virus" set inspection-mode proxy set ftgd-analytics everything set analytics-db enable config http set options scan end config ftp set options scan end config imap set options scan end config pop3 set options scan end config smtp set options scan end config nntp set options scan end next end Integrazione con AV e Forticlient 1-2. File sospetto ricevuto ed inviato per analisi alla FortiSandbox 3-4. La FortiSandbox rileva l’artefatto e genera una firma per l’Antivirus 5. Il database locale dell’antivirus è aggiornato entro qualche minuto. Entro poche ore anche la rete Fortiguard viene aggiornata 6. Se il forticlient installato sugli host L’amministratore può quarantenare l’host presumibilmente infetto http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm Integrazione con WebFiltering • FortiSandbox invia l’URL malicious al motore di Webfiltering • Il DB della rete FortiSandbox contiene tutti gli URL infetti dell’ultimo mese. Mitiga malvertising • Bloccato ogni tentativo di contatto via web verso l’URL infetto http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_SandboxIntegration.htm FortiSandbox Dashboard in FortiView L’attività della FortiSandbox è accessibile in FortiView > FortiSandbox e mostra tutti gli artefatti sottoposti per l’analisi. Le informazioni possono essere filtrate per checksum, file name, result, source, status e user name. Su tutti i risultati è possibile fare drill-down per vedere maggiori dettagli sull’artefatto. FortiSandbox in Cloud FortiClient Integration FortiClient Profile Profile-VPN Profile-Advanced FortiClient Monitoring and Quarantine • host-level quarantine blocca il traffico direttamente sull’endpoint evitando movimenti laterali delle infezioni e danni alle share. • Quando un dispositivo è in quarantena, non è possibile disabilitare/disinstallare FortiClient. • Inibita la deregistrazione del FortiClient dal FortiGate che lo sta gestendo, o il passaggio ad altro dispositivo. FortiClient Monitoring and Quarantine Dalla FortiView è possibile identificare gli endpoint infetti applicando l’azione di quarantena. FortiClient Monitoring and Quarantine E’ possibile quarantenare i client anche dal FortiClient Monitor. Traffic Shaping Policies Traffic Shaping Policies Nuova sezione dedicata a QoS e Traffic Shaping che non si applica più alla firewall policy ma si appoggia a policy dedicate. I discriminanti per l’applicazione del Traffic Shaping ora sono: • Source (Address, Local Users, Groups) • Destination (Address, FQDN, URL or category) • Service (General, Web Access, File Access, Email and Network services, Authentication, Remote Access, Tunneling, VoIP, Messaging and other Applications, Web Proxy) • Application • Application Category • URL Category WAN Link Load Balancing WAN Link Load Balancing WAN Link Load Balancing Le regole di priorità permettono di selezionare quale interfaccia verrà scelta sulla base di source/dest address, user group, service. La scelta dell’interfaccia può essere fatta sulla base di jitter/Latenza/packet loss Completa lo stack di bilanciameno l’ Health monitor ribattezzato Status Check Internet Service Database • DB Popolato con gli indirizzi dei servizi principali del web. • Per ogni entry (Es:Gmail) è indicato il numero di indirizzi usato per erogare il servizio e nel dettaglio questi vengono specificato uno ad uno. • Usato con il Wan Link Load Balancing Virtual Wire Pair Questa caratteristica rappresenta l’equivalente del port pairing nel transparent mode della release 5.2 e la sostituisce. • Disponibile in Transparent e NAT mode • Opera al layer 2. Le porte del Virtual Wire creato si scambiano Frame ethernet • Le interfacce non hanno IP address ne routing table • Supporta VLAN solo wildcard VPN IPSEC Wizard semplificato per le differenti casistiche della VPN con Topology Preview ADVPN Auto Discovery VPN • Si applica in caso di infrastrutture complesse Hub & Spoke • permette la creazione di VPN dinamiche «shortcut» • Si appoggia a routing dinamico (RIP/BGP/OSPF) • Limite: Tutti i Fortigate (hub & spoke) devono avere un indirizzo pubblico ..& More.. • Hardware acceleration: NP6 accounting, reason in caso si session non ottimizzata • 802.1X MAC Authentication: su modelli di fortigate che supportano switch hardware • FSSO su Exchange: M;onitoraggio in Polling Mode di MS Exchange Server • Explicit proxy: aggiunte nuovi funzionalità, supporto dei VIP • Assessment: compliance PCI-DSS per le regole del Fortigate • ..yet much much more .. Upgrade Path (*) http://docs.fortinet.com/uploaded/files/2806/Supported%20Upgrade%20Paths%20to%20FortiOS%20Firmware%205.4.0.pdf Hardware Supportati (*) http://docs.fortinet.com/uploaded/files/2796/fortios-5.4.0-release-notes.pdf Feature Matrix (*) http://docs.fortinet.com/uploaded/files/2805/SWMATRIX-540-201602-R10.pdf Q&A Grazie! Ing. Heros Deidda [email protected]