Cumpara firewall Fortinet online
Cumpara firewall-uri Fortinet direct din magazinul nostru online SAMstore.ro.
Beneficiezi de cele mai mici preturi de pe piata si transport gratuit.
Oferta limitata!
Cum se configureaza corect un Fortinet FortiGate
Fortinet FortiGate utilizeaza procesoare de securitate special concepute si servicii de threat intelligence pentru a oferi protectie si performanta ridicata, inclusiv inspectia traficului criptat. FortiGate reduce complexitatea prin vizibilitate automatizata asupra aplicatiilor, utilizatorilor, retelelor si traficului cu rating de securitate, facilitand implementarea.
Importanţa configurarii corecte a firewall-ului nu poate fi subestimata. Acest articol descrie cele mai bune practici pe care le poti aplica pentru a imbunatati postura de securitate Fortinet FortiGate. Aceste bune practici ajuta la asigurarea performantei, securitatii si stabilitatii optime a firewall-ului Fortinet FortiGate si a infrastructurii de retea.
Fortinet Fortgate – Configurare de baza
De indata ce Fortinet FortiGate este conectat la internet, acesta este expus riscurilor externe, cum ar fi accesul neautorizat, atacurile man-in-the-middle, spoofing, atacurile DoS si alte activitati rau-intentionate din partea actorilor malitiosi.
Mai jos sunt ghiduri generale sau consideratii pentru configurarea unui firewall FortiGate:
• Suprascrierea setarilor implicite – Foloseste fie wizard-ul de start-up, fie reconfigurarea manuala pentru a schimba setarile implicite si a intari securitatea.
• Configureaza modul NAT – Pentru a acorda acces intre zone (de ex. de la o zona mai putin sigura la o zona mai sigura), trebuie utilizate adrese IP NATed, astfel traficul poate fi monitorizat mai usor.
• Foloseste un hostname semnificativ – Atribuirea unui hostname semnificativ firewall-ului Fortinet FortiGate (care va fi folosit in prompt-ul CLI ca SNMP system name, ca nume dispozitiv in FortiGate Cloud si ca nume al dispozitivului in configurarea HA) permite identificarea usoara si diferentierea de alte dispozitive din retea. Acest lucru este util mai ales in retele mai mari.
• Configureaza NTP – Foloseste un server Network Time Protocol (NTP) sau Precision Time Protocol (PTP) pentru a seta timpul sistemului. Timpul sincronizat ajuta la controlul detectiv prin corelarea informatiilor corect.
• Foloseste o parola puternica pentru administrator – Parola administratorului trebuie setata la prima conectare la Fortinet FortiGate. Asigura-te ca parola este unica si are complexitate adecvata.
• Configureaza doar serviciile minime – Configureaza adresa IP, masca de subretea si doar serviciile de acces administrativ necesare (cum ar fi HTTPS si SSH) pe interfata de management.
Acces Administrator
Acorda atentie speciala traficului de management care acceseaza firewall-ul FortiGate.
Exista 3 moduri principale de a gestiona accesul administrativ:
• Utilizarea si configurarea retelei de management
• Autentificare si autorizare puternica pentru accesul la reteaua de management
• Intarirea setarilor administrative
Reteaua de management
Exista multiple beneficii in utilizarea unei retele de management pentru accesul administrativ la dispozitivele din retea:
• Fiabilitate:
Cand traficul de management este separat de traficul de productie sau de business, acesta nu concureaza pentru resurse si este mai putin expus pierderii accesului in timpul reconfigurarii retelei de productie.
• Politici mai simple:
Utilizarea unei interfete de management permite separarea politicilor pentru traficul de management si cel de productie. Politicile cu scopuri specifice sunt mai usor de inteles si depanat.
• Securitate:
Este mai dificil pentru atacatori sa acceseze dispozitivele de retea din reteaua de productie atunci cand accesul de management este pe o retea separata.
O singura interfata sau interfata VLAN din reteaua de management ar trebui dedicata intregului acces administrativ. Accesul administrativ trebuie dezactivat pe toate celelalte interfete.
Atentie: Evita folosirea interfetei WAN sau a unei interfete expuse public pentru management, deoarece va fi tinta atacurilor constante.
Autentificare utilizatori pentru accesul la reteaua de management
Principiul de acces cu privilegii minime trebuie aplicat pentru controlul accesului la Fortinet FortiGate.
Recomandari:
• Activeaza Single Sign-On (SSO): FortiGate suporta SSO, simplificand procesul de autentificare pentru utilizatori pe mai multe resurse de retea. Integrare cu protocoale populare precum SAML, LDAP si Active Directory (AD).
• Configureaza o politica puternica de parole: Pentru conturile locale, defineste o politica care asigura un nivel minim de complexitate.
• Configureaza autorizare cu privilegii minime: Accesul administratorilor trebuie limitat la domeniul lor de responsabilitate pentru a reduce vectorii potentiali de atac.
• Audit regulat al accesului utilizatorilor: Lista utilizatorilor cu acces trebuie verificata periodic pentru a fi actuala.
• Ia in considerare schema de IP-uri whitelisted: Host-urile de incredere pot fi utilizate pentru a specifica adresele IP sau subretelele care pot accesa interfata de administrare FortiGate.
• Activeaza autentificarea multi-factor (MFA): Implementarea MFA face mult mai dificil pentru un atacator sa obtina acces la Fortinet FortiGate.
• Evita utilizarea conturilor partajate: Conturile partajate sunt mai usor de compromis, mai greu de mentinut si nu permit auditarea corecta a accesului.
Setari administrative
Urmatoarele setari administrative generale sunt recomandate:
• Idle timeout: Seteaza timpul de inactivitate pentru administratori la o valoare mica, ideal mai putin de zece minute.
• Utilizarea porturilor non-standard: Foloseste porturi HTTPS si SSH non-standard pentru accesul administrativ.
• Dezactiveaza protocoalele de criptare slabe: Realizeaza acest lucru cat mai mult posibil, periodic.
• Foloseste certificate de incredere: Inlocuieste certificatul oferit pentru accesul HTTPS cu un certificat de incredere care contine FQDN sau adresa IP a Fortinet FortiGate.
Fortinet FortiGate – Logging si raportare
Logging-ul genereaza evenimente de sistem, trafic, autentificari utilizatori si multe alte tipuri de inregistrari care pot fi folosite pentru alerte, analiza si depanare.
• Agregarea log-urilor la distanta: Toate evenimentele FortiGate trebuie inregistrate, iar log-urile stocate securizat. Este recomandat sa fie trimise intr-o locatie centrala pentru a preveni pierderea datelor in cazul defectarii dispozitivului sau alte evenimente neprevazute.
• Criptarea datelor din log: Datorita sensibilitatii log-urilor, este importanta criptarea datelor in tranzit si in repaus. Comunicarea cu FortiAnalyzer si FortiCloud este criptata implicit.
• Logging pe dispozitive terte: Aceasta trebuie realizata prin canale securizate. Daca securitatea canalului nu poate fi garantata, se poate utiliza un VPN pe dispozitivul de logare inainte de transmiterea log-urilor.
• Activeaza optiunea FortiAnalyzer pentru log-uri: Optiunile includ FortiAnalyzer, syslog si disc local. Logarea prin syslog stocheaza doar mesajele, in timp ce logarea pe FortiAnalyzer stocheaza log-urile si permite analiza acestora.
Alerte de securitate: Odata ce log-urile sunt centralizate intr-un SIEM sau alt sistem, poti configura reguli de detectie sau alerte.
Configurarea alertelor Fortinet FortiGate este esentiala pentru:
• Detectie timpurie a amenintarilor
• Raspuns prompt la incidente
• Mitigarea amenintarilor avansate
• Respectarea cerintelor de conformitate
• Investigarea incidentelor si forensics
• Imbunatatirea proactiva a securitatii
Monitorizarea performantei
Este foarte important sa monitorizezi performanta dispozitivului tau. Fortinet FortiGate suporta mai multe protocoale pentru monitorizarea utilizarii resurselor, cum ar fi SNMPv3, NetFlow si sFlow. Aceste protocoale sunt utilizate pentru a masura performanta FortiGate si pentru a oferi informatii despre traficul pe care il gestioneaza.
Monitorizarea resurselor ajuta la stabilirea unor valori de referinta pentru utilizarea resurselor, utile pentru:
• Configurarea ratelor pentru semnaturile IPS.
• Recunoasterea activitatii anormale, cum ar fi un atac in curs.
• Compararea utilizarii latimii de banda pe perioade specifice, cum ar fi luna la luna sau an la an, pentru a planifica cresterea retelei.
• Compararea utilizarii latimii de banda intre diferite WAN-uri si aplicarea SD-WAN si traffic shaping dupa necesitate.
• Ajustarea profilurilor de securitate pentru optimizarea utilizarii resurselor.
Poti folosi widget-urile WAN Optimization & Cache pentru a confirma ca firewall-ul FortiGate optimizeaza traficul si pentru a vizualiza estimari ale latimii de banda salvate.
Fortinet FortiGate – Device Hardening
Intarirea sistemului reduce riscul de securitate prin eliminarea vectorilor potentiali de atac si micsorarea suprafetei de atac a sistemului.
Cativa dintre cei mai buni pasi descrisi anterior contribuie la intarirea FortiGate, cu pasi suplimentari prezentati mai jos:
• Acces fizic securizat la dispozitiv: Instaleaza Fortinet FortiGate intr-o locatie fizic securizata. Accesul fizic poate permite ocolirea masurilor de securitate sau instalarea altui firmware dupa un reboot manual.
• Actualizeaza firmware-ul FortiOS: Ultimul patch contine de obicei cele mai recente corecturi de bug-uri si vulnerabilitati, oferind cea mai stabila versiune.
• Folosirea criptarii: Utilizeaza protocoale criptate ori de cate ori este posibil, de exemplu:
o LDAPS in loc de LDAP
o RADSEC peste TLS in loc de RADIUS
o SNMPv3 in loc de SNMP
o SSH in loc de telnet
o Autentificare OSPF MD5
o SCP in loc de FTP sau TFTP
o Autentificare NTP
o Logging criptat in loc de TCP
• Activeaza doar cifruri puternice: Fortifica nivelul criptarii si foloseste cifruri puternice (implicite activate).
• Actualizeaza baza de date FortiGuard: Asigura-te ca bazele de date FortiGuard, cum ar fi AS, IPS si AV, sunt actualizate continuu.
• Increde-te, dar verifica: Testeaza Fortinet FortiGate pentru acces neautorizat sau angajeaza o companie de pen-testing pentru a verifica securitatea.
• Activeaza logging-ul de anomalii: Seteaza actiunea pe ‘monitor’ pentru o perioada pentru a observa traficul normal si a ajusta pragurile de protectie. Noteaza alarmele false si ajusteaza politica daca sunt prea frecvente.
• Activeaza politica DoS: Ajuta la prevenirea atacurilor tintite.
• Foloseste chei private personalizate: Pentru a spori securitatea parolelor, specifica o cheie privata personalizata pentru procesul de criptare.
• Backup al configuratiilor: Este recomandat pentru recuperare in caz de dezastru, migrare pe alt dispozitiv sau depanare.
Definirea politicilor detaliate
Foloseste diferite tipuri de politici pentru a securiza diferitele tipuri de trafic pe care FortiGate le gestioneaza, astfel incat sa ai un control detaliat asupra traficului din retea.
De exemplu:
• Politici DoS: Protejeaza reteaua impotriva atacurilor de tip Denial of Service.
• Politici Local-in: Controleaza traficul care vizeaza direct Fortinet FortiGate (administrare, servicii interne).
• Politici de securitate: Reguli generale pentru permiterea sau blocarea traficului intre diferite zone sau subretele.
• Virtual IPs (VIPs): Permite maparea adreselor IP externe catre resurse interne, oferind acces controlat si securizat la servere interne.
Aceste politici permit aplicarea unui nivel fin de control si protectie adaptat tipurilor diferite de trafic si scenariilor specifice din retea.
Configurarea profilurilor de securitate ale Fortinet FortiGate
Profilurile de securitate definesc ce anume se inspecteaza in traficul pe care FortiGate 100F il gestioneaza. Cand traficul se potriveste cu un profil, acesta poate fi permis, blocat sau monitorizat (permis si inregistrat).
• Evalueaza potrivirea politicii si a traficului: Aplica nivelul necesar de protectie dupa ce analizezi politica si modul in care traficul se potriveste.
• Ia in considerare politicile de securitate DoS: Acestea ajuta la detectarea si blocarea traficului nelegitim inainte ca acesta sa ajunga la profilurile de securitate mai intensive din punct de vedere al resurselor.
• Aplica inspectia in mod flow: Foloseste acest mod pentru politicile care prioritizeaza viteza traficului. Aplica modul proxy atunci cand importanta detaliilor de inspectie depaseste necesitatea performantelor.
Aceste practici optimizeaza protectia retelei fara a compromite performanta Fortinet FortiGate.
Fortinet FortiGate – Activarea inspectiei profunde SSL/TLS
Criptarea TLS este utilizata pentru a securiza traficul, insa traficul criptat poate fi folosit pentru a ocoli masurile normale de aparare ale retelei.
Activeaza inspectia profunda SSL/TLS pentru a analiza traficul chiar si atunci cand acesta este criptat. Aceasta masura permite Fortinet FortiGate sa detecteze amenintari ascunse in traficul securizat si sa mentina protectia retelei fara compromis.
Fortinet FortiGate – Asigurarea accesului remote
Numarul angajatilor care lucreaza remote creste, iar retelele se extind catre birouri mici (thin branch) si cloud. Accesul remote securizat evolueaza pentru a satisface cerintele mediilor distribuite.
Evalueaza nevoile organizatiei si analizeaza optiunile disponibile pentru a determina solutia care se potriveste cel mai bine.
Optiuni Fortinet pentru acces remote securizat:
• SSL VPN – doua moduri disponibile: tunnel si web.
• IPsec VPN – solutie traditionala de VPN securizat.
• Acces remote fara VPN – pentru scenarii specifice unde VPN nu este necesar.
Fortinet FortiGate – Managementul schimbarii de firmware
Cand efectuezi upgrade-uri de firmware, atat in FortiOS cat si in orice alt mediu de productie, ia in considerare urmatoarele puncte:
• Intelege versiunea noua – familiarizati-te cu functionalitatile, bug fix-urile si imbunatatirile aduse.
• Motiv valid pentru upgrade – asigura-te ca actualizarea aduce beneficii reale, cum ar fi securitate imbunatatita sau compatibilitate cu noi functii.
• Plan detaliat – pregateste un plan clar pentru upgrade, incluzand pasii si procedurile de rollback in caz de probleme.
• Aspecte business si tehnice – ia in considerare impactul asupra utilizatorilor si aplicatiilor critice.
• Executa upgrade-ul conform planului – respecta procedura planificata pentru a minimiza riscurile si downtime-ul.
Fortinet FortiGate si contractul sau de servicii trebuie inregistrate pentru a avea acces complet la Fortinet Customer Service & Support si la serviciile FortiGuard. Inregistrarea FortiGate se poate face prin GUI-ul FortiGate sau prin portalul de suport FortiCloud. Contractul de servicii se poate inregistra tot prin portalul FortiCloud.
Fortinet FortiGate: SSL vs IPsec VPN
Fortinet a anuntat oficial sfarsitul suportului pentru SSL VPN pe anumite dispozitive, precum firewall-ul FortiGate 60F. Timp de ani de zile, SSL VPN a fost o optiune populara pentru companii care aveau nevoie de o solutie rapida, bazata pe browser, pentru conectarea angajatilor remote. Dar acum, cu suportul retras treptat, intrebarea este: ce urmeaza? Majoritatea organizatiilor vor trebui sa migreze catre optiuni mai moderne si mai sigure, precum IPsec VPN sau solutii bazate pe Zero Trust.
Diferente cheie intre SSL VPN si IPsec VPN:
• SSL VPN:
o Conexiune bazata pe browser, usoara de configurat.
o Acces rapid la resurse interne, fara instalare complexa de client.
o Suport limitat pentru aplicatii complexe sau acces complet la retea.
o Acum retrasa, ceea ce inseamna lipsa actualizari de securitate si suport oficial.
• IPsec VPN:
o Conexiune criptata la nivel de retea, mai robusta.
o Permite acces complet la retea si suport pentru aplicatii mai complexe.
o Mai sigura si recomandata pentru medii corporate critice.
o Mai potrivita pentru tranzitia catre modele de securitate moderne.
De ce conteaza aceasta schimbare:
SSL VPN poate fi convenabil, dar reteaua ta va fi vulnerabila daca continui sa il folosesti fara suport oficial. Trecerea la IPsec VPN sau solutii Zero Trust nu doar ca asigura securitate actualizata, dar si compatibilitate cu noile practici de lucru remote si cerintele de conformitate.
Practic, organizatiile trebuie sa planifice migratia, sa testeze noua configuratie si sa instruiasca utilizatorii pentru a minimiza downtime-ul si problemele de conectivitate.
De ce SSL VPN a functionat:
SSL VPN avea un avantaj major: simplitatea. Angajatii se puteau conecta printr-un browser web si accesau resursele de care aveau nevoie fara configurari complicate. Pentru echipe mici, cu resurse IT limitate, acesta era un mare ajutor.
Totusi, existau probleme:
• Vulnerabilitati SSL/TLS, care il faceau tinta frecventa pentru atacatori.
• Performanta slaba, mai ales la volum mare de trafic.
• Functionalitati de securitate mai putin robuste comparativ cu alte optiuni.
Odata cu cresterea frecventei si sofisticarii atacurilor cibernetice, SSL VPN nu mai este suficient. Decizia Fortinet reflecta aceasta realitate.
De ce IPsec VPN este standardul astazi:
Spre deosebire de SSL VPN, IPsec VPN cripteaza tot traficul la nivel IP, facand mult mai dificila infiltrarea atacatorilor si oferind o securitate mai solida si fiabila.
Avantajele IPsec pentru organizatii:
• Criptare puternica: AES-256 si alte standarde moderne.
• Scalabilitate: Poate gestiona volume mari de trafic fara scaderi de performanta, asa cum se intampla la SSL VPN.
• Compatibilitate: Suport nativ pentru majoritatea sistemelor si dispozitivelor enterprise.
Pe scurt, IPsec este construit pentru afaceri care au nevoie de securitate scalabila si fiabila.
Ce ar trebui sa faci in continuare
Daca folosesti SSL VPN in prezent, iata un plan practic:
• Auditeaza utilizarea curenta: Cine foloseste SSL VPN si pentru ce scopuri?
• Planifica migrarea: Treci la IPsec VPN sau exploreaza solutii Zero Trust.
• Verifica hardware-ul: Unele modele mai vechi de FortiGate ar putea necesita upgrade.
• Cauta ajutor daca este nevoie: Serviciile de securitate gestionata pot face tranzitia mai usoara si mai putin disruptiva.
Aceasta schimbare poate parea un inconvenient, dar reprezinta si o oportunitate. SSL VPN a fost creat pentru o alta era a accesului remote. Afacerile de azi au nevoie de solutii mai sigure. Trecerea la IPsec sau la modele mai moderne, precum Zero Trust, iti ofera o baza solida de securitate pentru a creste fara sa te ingrijorezi constant de vulnerabilitati.
Frequently Asked Questions
Cum se face configurarea initiala a unui FortiGate?
Configurarea initiala se face prin conectarea la interfata web a FortiGate, accesand adresa implicita https://192.168.1.99. Se seteaza parola de administrator, zona de retea (WAN, LAN) si se verifica licenta FortiGuard.
Cum schimb adresa IP de administrare a unui Fortinet FortiGate?
In meniul Network → Interfaces, selecteaza portul LAN si seteaza noua adresa IP statica. Aplica modificarile si reconecteaza-te la noul IP in browser.
Cum configurez accesul la internet prin FortiGate?
Creeaza o regula de tip Firewall Policy din LAN catre WAN, activeaza NAT si verifica DNS-urile in Network → DNS. Dupa aplicare, dispozitivele din retea vor avea acces la internet.
Cum pot configura VPN pe Fortinet FortiGate?
FortiGate suporta doua tipuri de VPN:
IPsec VPN – pentru conexiuni site-to-site
SSL VPN – pentru utilizatori individuali
Configurarea se face in VPN → IPsec Tunnels sau VPN → SSL-VPN Settings, urmand wizard-ul disponibil.
Cum pot accesa FortiGate prin SSH sau CLI?
Activeaza SSH in Network → Interfaces pe portul dorit, apoi conecteaza-te folosind un client SSH (ex: PuTTY) cu IP-ul FortiGate si credentialele de admin.
Cum pot actualiza firmware-ul Fortinet FortiGate?
Din interfata System → Firmware, poti incarca manual fisierul .out descarcat de pe portalul Fortinet Support sau poti face upgrade automat online daca dispozitivul are acces la FortiGuard.
SAM Romania este partener oficial Fortinet
Companii care au ales solutiile Fortinet
Solicita oferta de pret
Doresti sa primesti informatii prin email despre noutati, oferte, invitatii la webinarii, traininguri si alte evenimente?
Aboneaza-te la newsletterul nostru.