Компания
60,67
рейтинг
29 января 2014 в 14:22

Разработка → Fortigate — достойная замена уходящему Microsoft Forefront TMG tutorial

Для всех уже давно не секрет, что компания Microsoft объявила о прекращении дальнейшего развития своего продукта Forefront TMG. При этом, продукт стал недоступен к приобретению с 1 декабря 2012 года, основная его поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года.
Оставшийся в помощь Forefront Unified Access Gateway (UAG) для публикации веб-ресурсов таких как: MS Exchange, SharePoint, Lync и т.д., не обеспечивает функций безопасности, предоставляемых ранее посредством TMG, что отображено в небольшой сравнительной таблице функций:



И раз уж зашёл разговор о необходимых функциях безопасности, кратко обозначим, какими же из них TMG способен был осчастливить нас, пользователей:
• Межсетевой экран;
• Веб-прокси;
• Reverse proxy для публикации внутренних ресурсов;
• Web и Email-фильтрация;
• Защита от вредоносного/шпионящего ПО;
• Система предотвращения вторжений (IPS);
• Инспектирование SSL-трафика;
• Балансировка нагрузки;
• Удаленный доступ пользователей и функционал VPN, как клиент-сервер (client-to-site), так и между площадками (site-to-site).

Таким образом, перед пользователями TMG рано или поздно (исходя из озвученных конечных дат поддержки) предстанет вопрос о выборе и последующей миграции на аналогичные продукты сторонних производителей.
Так, некоторые из компаний (Sophos, Citrix, Cyberoam, WatchGuard, Kemp и др.) уже начали свои кампании (думаю, такая тавтология была бы уместной) по активному продвижению программных и/или аппаратных решений и предоставляют полнофункциональную альтернативу плавно и неизбежно уходящему пресловутому TMG. Это подтверждается наличием в сети рекламных флаеров, акций и прочих маркетинговых материалов в виде «TMG Replacement Guide», «{Vendorname} VS. TMG Comparsion» и т.д.
Компания Fortinet пошла тем же путём, что и остальные вендоры и на сегодняшний день также предлагает свой «Microsoft TMG Replacement» на базе флагмана линейки собственных продуктов сетевой безопасности – FortiGate.
Поскольку сам TMG (Threat Management Gateway) позиционировался как решение унифицированного управления угрозами – то и искать ему замену логично как раз из числа UTM. Посему, заглянув в Квадрат Гартнера: www.gartner.com/technology/reprints.do?id=1-1H1RO5D&ct=130710&st=sb, «магически» видим здесь Fortinet в лидерстве среди UTM-решений, и лидерство сие является уже достаточно долговременным – почти 6 последних лет.

Итак, приступим к детальному рассмотрению обеспечиваемых функций предлагаемым «альтернативным» решением, способным, по словам вендора, оказать равноценную замену нашему сабжу.

Собственно, предложением Fortinet является миграция на FortiGate следующего списка функций:



Здесь, прежде всего, хотелось бы сказать, что для крупных предприятий при наличии сложной сетевой инфраструктуры, рекомендуется разделить свои задачи и использовать отдельные узконаправленные решения. Fortinet, в частности, может предложить реализацию такого раздельного и целенаправленного, но, в то же время гибкого и легко масштабируемого подхода с помощью линеек оборудования Fortinet:
FortiWeb — Web Application Firewall, решение для защиты веб-ресурсов и приложений (в т.ч. – реализация Reverse Proxy с защищённой публикацией веб-ресурсов);
FortiMail, комплексное антиспам-решение для защиты почты;
FortiBalancer, FortiADC, Coyote Point Equalizer – всё линейки балансировщиков нагрузки и контроллеров доставки приложений.
Для обеспечения полного комплекса мер по сетевой безопасности, всё это лучше дополнить и включением в инфраструктуру самого FortiGate, однако, малым и средним предприятиям можно обойтись лишь услугами этого решения в аппаратном, либо виртуальном исполнении.
Итак, что же обеспечивает FortiGate в разрезе аналогичных с TMG функций? Будем поочерёдно их рассматривать через призму замены TMG, а заодно и в общих чертах ознакомимся с умениями FortiGate.

Межсетевой экран



Межсетевой экран – начало начал фильтрации нежелательных подключений извне, из Интернета в корпоративную сеть. В то же время, необходимо вести учёт, контроль и разграничение доступа пользователей изнутри сети к внешним ресурсам. Поэтому, помимо пакетной фильтрации, трансляции адресов и портов, поддержки глубокого инспектирования пакетов с проверкой на принадлежность существующему соединению (Stateful/Deep Packet Inspection), FortiGate – это прежде всего платформа комплексной защиты сети, под управлением единой операционной системы FortiOS с полным набором встроенных функций безопасности, таких как: антивирус, антиспам, контроль приложений, система предотвращения вторжения, веб-фильтрация, предотвращение утечки данных и прочие.
При всём широком наборе функциональности, стандартная политика для веб-доступа пользователей из внутренней сети в Интернет, созданная в веб-интерфейсе FortiGate, будет выглядеть так:



Веб-прокси



Одна из старейших и наиболее используемых функций TMG для предоставления доступа пользователей к Интернет без дополнительной аутентификации.
В FortiGate есть функция «Explicit web proxy» для передачи через прокси сессий по HTTP (HTTPS) и FTP, плюс поддержка авто-конфигурации с помощью PAC-файла.
Также, благодаря полностью интегрированной в FortiGate функции Single Sign-On (SSO), доступна возможность взаимодействовать с контроллером домена (Active Directory, Novell eDirectory) и контролировать доступ аутентифицированных пользователей, применяя к определённым группам домена необходимые права и возможности.
В дополнение к этому, в такие политики безопасности могут быть включены функции антивирусной защиты, предотвращения вторжения, веб-фильтрация и контроль приложений.



Включение веб-прокси осуществляется на требуемом(-ых) интерфейсе(-ах) («port1» на верхнем рисунке) и созданием разрешающей политики (на рисунке снизу):





Внедрение же Single Sign-On может быть осуществлено несколькими способами:

1. Используя специальную программу-агент на контроллере домена (DC Agent)
DC Agent – программный компонент в виде отдельной службы слежения за входами в систему пользователей, устанавливаемый на контроллере домена. Он взаимодействует с FortiGate не напрямую, а через коллектор-агент (Collector Agent).
Collector Agent инсталлируется на любом сервере или, опять же, на контроллере домена. Агент получает информацию о входах в систему пользователей и обменивается ею с FortiGate. Количество установленных агентов может быть больше одного для отказоустойчивости.



2. Опрос Collector Agent’а
Такой метод также предусматривает установку дополнительного софта в виде Collector Agent, но на контроллере домена службу DC Agent устанавливать не придётся. Collector Agent можно установить в любом месте сети (желательно на каком-то из Windows-серверов) и тогда он сможет опрашивать контроллер домена о событиях аутентификации пользователей («логонах»). Механизмы опроса осуществляются с помощью Windows NetAPI или Security event log.



3. Опрос напрямую с FortGate
Начиная с FortiOS версии 5, механизм опроса логонов с контроллера домена был полностью встроен в FortGate. При этом, для опроса используется только Security event log, а сам метод использования позиционируется как для небольших сетевых инфраструктур, там где нет возможности установить Collector Agent на периметре сети.
Правда, при этом, не стоит забывать, что FortGate если и избавит Вас от лишних хлопот с установкой софта — то возьмёт нагрузку по хранению в памяти структуры домена и опроса логонов пользователей на себя.

4. NTLM-аутентификация
Использование аутентификации по NTLM, требует для обмена с FortGate установленного Collector Agent на периметре сети. При запросе URL-адреса в браузере пользователя, FortGate запросит его доменные учётные данные (логин/пароль), получит их через браузер, сверит у Collector Agent принадлежность пользователя к группам домена и предоставит доступ к ресурсам согласно своей групповой политики безопасности.



5. Терминальные сервера
Пользователи, которые получают доступ к корпоративным ресурсам через терминальные сервера Microsoft или Citrix, имеют вместо собственного IP-адреса один общий адрес или пул. Для применения к таким пользователям политик безопасности посредством SSO, у Fortinet есть очередной программный компонент – Terminal Server Agent (TS Agent), устанавливаемый на самом терминальном сервере. Он выделяет заданный диапазон портов на каждого пользователя и обменивается этой информацией с Collector Agent, который, в свою очередь знает о принадлежности пользователя к доменным группам, а каким группам дать какой набор ресурсов и какую применить политику – знает FortiGate. Выглядит агент так:



В довершение описания реализации SSO хотелось бы также отметить, что производитель стремится к усовершенствованию функциональности даже в самых младших моделях UTM. В подтверждение этому, в 2012 году был анонсирован выход кардинально переработанной версии ОС FortiOS 5, из числа усовершенствований которой была и поддержка Terminal Server Agent, и более корректной работы SSO в целом, с его вышеописанным изобилием вариаций применения и вспомогательного софта.
Хоть поверьте, хоть проверьте, а взяв последние версии софта: Collector Agent, DC Agent, TS Agent в сочетании с FortiGate на версии FortiOS 5.0.4 и выше – всё будет работать как часы. А если будет интересно постичь тайности SSO и погрузиться в детали – будем про него «песать исчо», т.к. эта тема заслуживает отдельной статьи.

Переходя к части применения политик безопасности, взглянем, как это будет выглядеть на FortiGate при успешно настроенных программных компонентах SSO:



Применяемое правило для доступа конкретной группы или пользователя выглядит так:



Более разграниченные политики со множеством разных доменных групп предоставляют больше возможностей для контроля доступа пользователей к ресурсам сети.

Публикация OWA/SharePoint



Основными аспектами вопроса публикации веб-ресурсов Outlook Web Access или SharePoint являются следующие:
— Трансляция внешнего IP-адреса;
— Обмен сертификатами с пользователями извне.



Для начала нам нужно импортировать сертификат, делается это так:



В нужном меню просто выберите свой сертификат и нажмите ОК.

Далее, для настройки реверс-прокси необходимо настроить балансировку нагрузки. Создаём для этого виртуальный сервер:



Для виртуального сервера нужно определить реальный сервер:



Финальным этапом, создаём политику безопасности, где разрешаем трафик извне:



Входящий интерфейс (Incoming Interface) в таком случае будет внешний, исходный адрес (Source Address) будет «all», а адрес назначения (Destination Address) – только что созданный виртуальный сервер. В качестве сервиса, пропускаем HTTPS, т.к. обмен трафиком будет происходить только по HTTPS, а большего нам и не надо.
Как и в обычном прокси, существует возможность расширить функции безопасности, включив в политику профили:
— Антивирусной защиты;
— Системы предотвращения вторжения (IPS);
— Контроля приложений (тут мы можем ограничить или отследить, что кроме нужного приложения не используются другие);
— URL-фильтрации.

Инспектирование SSL-трафика



Ещё одна важная функция при миграции с TMG – это инспектирование SSL-трафика.
Включается так же просто как и остальные функции безопасности – преднастроенным профилем в политике.



Поскольку обмен сертификатами прозрачен для конечного пользователя внутри сети, можно использовать стандартный встроенный от вендора, а если внутренний сервер будет иметь собственный самоподписанный сертификат – можно просто включить «Allow invalid SSL Certificates», ведь они будут восприниматься как некорректные, т.к. не фигурируют в списке доверенных Certificate Authority (CA).
В разрезе публикации веб-ресурсов на FortiGate, настройка инспектирования относится лишь к публикуемому приложению и не будет касаться остального трафика, однако функция SSL-инспектирования может использоваться и для более детального контроля SSL-трафика конечных пользователей в корпоративных политиках безопасности.

Контроль приложений



Для того, чтобы задействовать функцию контроля приложений необходимо создать «сенсор» приложений. Это тот же профиль, только — в профиль :)
Смотрим:



В нашем случае, можно и нужно выбрать конкретное приложение, переключив тип сенсора на «Specify Applications» и методом поиска найти нужное приложение:



Система предотвращения вторжений



Для включения в политику безопасности – опять нужен сенсор для IPS:


Единственное – это то, что через веб-интерфейс нельзя создать фильтр по приложению, но это можно сделать из CLI-консоли, выполнив такие команды или скопировав их как скрипт:

config ips sensor 
	edit "OWA-Publishing" 
		config entries 
			edit 2 
				set application IIS MS_Exchange 
				set location server 
			next 
		end 
	next 
end


После создания в CLI фильтра, в нём можно применять любые сигнатуры исключительно для IIS и Exchange.

Ещё одна «неявная» функция – это написание своей IPS-сигнатуры для блокирования доступа при попытке ввести неправильный пароль. Для создания таковой для OWA 2012 это будет выглядеть следующим образом:

config ips custom 
edit "MS.OWA.Login.Error" 
	set comment '' 
	set signature "F-SBID( --attack_id 3608; --name \"MS.OWA.Login.Error\"; --protocol tcp; --service http; --flow from_server,reversed; --pattern \"<div class=|22|signInError|22 20|role=|22|alert|22|>\"; --context body; --no_case; --pattern !\"<|2F|div>\"; --context body; --no_case; --within_abs 20; --rate 3,180;)" 
	next 
end

Здесь параметр «--rate 3,180;» символизирует количество ложных ошибок ввода пароля (3) и время блокировки пользователя по его IP-адресу в секундах (180).

Защита от вредоносного/шпионящего ПО



Профиль антивируса выглядит так:



Как видим, помимо HTTP есть ещё другие виды трафика (SMTP, POP3, IMAP, MAPI, FTP). Нам же для публикации достаточно только HTTP(S).

Итак, собираем это всё воедино. Создаём политику для нашего реверс-прокси с публикацией, извне в корпоративную сеть, а точнее – на сервера веб-приложений, плюс включаем все настроенные профили и сенсоры, в том числе и SSL-инспектирование:



Публикация Lync



Теперь, когда мы детально рассмотрели вопрос публикации OWA/SharePoint с полным возможным набором функций безопасности, стоит отметить, что публикация Lync как веб-приложения происходит на FortiGate практически по той же схеме (трансляция адресов, обмен сертификатами, защита функциями UTM) и по тем же протоколам, за исключением появления необходимости контролировать также и трафик SIP:



Дабы учесть и такой аспект, помимо описанных возможностей, в FortiGate встроена поддержка SIP ALG (Application Level Gateway) – шлюза прикладного уровня, который обеспечивает детальное инспектирование и фильтрацию трафика SIP. Как и многие функции FortiGate, SIP ALG заслужил у производителя отдельного мануала – поэтому его детальное рассмотрение также заслуживает отдельной статьи в будущем.

Удаленный доступ пользователей и VPN-сети



Виртуальные частные сети VPN и защищённый шифрованный доступ с их помощью удалённых пользователей к корпоративным ресурсам сети или туннели между разнесенными площадками предприятий, очень широко используются уже большое количество времени, и TMG здесь не является единственным и неповторимым, обеспечивая нам данный функционал. FortiGate тоже не панацея, но искать решение для VPN на стороне зная, что и тут мы всё сможем сделать «из коробки» — это уже, простите, моветон. Да и оговорились мы ещё вначале, что решение наше полнофункциональное, поэтому обманывать не будем – а будем продолжать с миграцией всех функций TMG.
Итак, что имеем? Имеем поддержку L2TP/IPSec и IPsec VPN для т.н. «site-to-site» подключений и SSL-VPN для удалённого доступа из любой точки, что вполне подходит для «client-to-site».



Для IPsec доступно несколько вариаций, а-ля статического или же «Dialup»-подключения (имея статический адрес на одной стороне и динамический с удалённого конца туннеля), Dynamic DNS. Туннели строятся и между FortiGate’ами, и между ПК и FortiGate — с помощью дополнительного софта FortiClient. Присутствует множество аутентификаций (локальные группы пользователей, идентификаторы локального и удалённого узла, сертификаты X.509, учётные данные групп Active Directory).

SSL представлен двумя режимами – веб-портальным и туннельным. Веб-порталы предназначены для быстрого доступа к корпоративным ресурсам из веб-браузера, что особенно актуально для тонких клиентов и мобильных устройств. В таком режиме, FortiGate служит как защищённый HTTP/HTTPS шлюз, и аутентифицирует пользователей, предоставляя им затем доступ к веб-порталу, где доступны ресурсы HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH и прочие. Туннельный режим предлагает доступ любому приложению к корпоративной сети, но для этого устанавливается FortiClient или отдельная его часть — FortiClient SSL VPN application. FortiClient поддерживает многие ОС: Windows, Mac OS X, Apple iOS и Android.

Ещё один из типов дополнительной авторизации для VPN – это двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей FortiToken или софтварного FortiTokenMobile для мобильных устройств.

В общем, VPN-функционал опять же достаточно широк и во всей красе описывается на парочке сотен страниц, но, в то же время, немного потренировавшись (прямыми руками) можно легко управляться с многочисленными туннелями и веб-порталами. Напоследок, отметим также поддержку VPN-туннелей со сторонними (third-party) производителями, среди которых возможность подключения к облачному сервису Windows Azure от Microsoft, который тоже использует IPSec VPN.

Наконец, подытоживая всё вышеописанное, с уверенностью говорим, что Fortinet в лице своего флагмана – линейки UTM-устройств FortiGate может обеспечить с его покупкой очень широкий набор функциональности для построения системы комплексной сетевой безопасности предприятий любых размеров, оставляя при этом зазор для роста их численности. Нельзя обойти стороной возможность более узкопрофильно усилить защиту с помощью отдельных линеек оборудования Fortinet, таких как: FortiWeb, FortiMail, FortiBalancer, FortiToken и FortiClient, упомянутых нами в качестве перехода с Microsoft TMG, а также остальных продуктовых линеек: FortiWifi и FortiAP для построения защищённой беспроводной связи, централизованного управления FortiManager, централизованного сбора и анализа отчётности FortiAnalyzer, защиты от DDoS-атак FortiDDoS, защиты баз данных FortiDB, веб-кэширования FortiCache, кэширующего DNS-сервера FortiDNS, отдельного решения для аутентификации пользователей FortiAuthenticator, работы «в разрыв» при выходе из строя сетевых устройств FortiBridge, коммутация FortiSwitch и это ещё не конец списка…

Вопрос масштабируемости необходимо рассматривать в зависимости от требуемых функций, ранее используемых в TMG. И если уж Вам приглянулся FortiGate в одиночку или вместе с другим железом от Fortinet – то малым предприятиям (примерно до 100 пользователей) стоило бы обратить внимание на модель FortiGate-90D и ниже, а более крупным организациям – на FortiGate-100D и выше, т.к. поддержка некоторых функций (как и цена) разнится в зависимости от модели.

В завершение, от себя хотелось бы подчеркнуть, что о том, достоен ли FortiGate стать для Вас не только полнофункциональным, а ещё и незаметным и беспроблемным переходом с Microsoft TMG – решать, естественно, Вам. Как по мне — вполне реализуемо.



Дистрибуция решений Fortinet в Украине, Армении, Грузии, Казахстане, Азербайджане, Кыргызстане, Таджикистане, Туркменистане, Узбекистане, странах СНГ.
Авторизованные учебные курсы Fortinet



МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
Автор: @comeoff
МУК
рейтинг 60,67

Комментарии (2)

  • +1
    У TMG была очень полезная приблуда — TMG-клиент. Эдакий проксификатор, который прозрачно для пользователя пропускал через прокси не только http\https трафик.
    Есть что то подобное в комплекте данного софта?
    • 0
      Спасибо за интерес, проявленный к теме и статье!

      Полного аналога TMG Client, в том виде, как он был позиционирован, к сожалению, нет.
      Возможности прокси у FortiGate — это HTTP/HTTPS, FTP (причём, как через HTTP, так и отдельный FTP-proxy), SOCKS и автонастройка с помощью PAC-файла. Также ему можно присвоить FQDN, привязать аутентификацию пользователей (в т.ч. интегрировать доменные учтёки).
      Поэтому, хоть и есть дополнительное ПО FortiClient, предназначенное для защиты конечных ПК, централизованного внедрения политик безопасности и многого прочего, прозрачную настройку прокси, как TMG Client, оно не выполняет. Разность реализаций…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка