Fortinet Security Fabric geeft inzicht op netwerkniveau

Een tijd geleden vroeg een klant mij een WAN bandbreedte issue uit te zoeken: welke systemen zorgen voor het grote bandbreedte verbruik tussen een remote en een hoofdlocatie? Doordat op specifieke momenten de volle bandbreedte werd gebruikt, kwam de beschikbaarheid in het geding. Applicaties die via de hoofdlocatie werden aangeboden werden stroperig. Deze klant had een FortiGate firewall met FortiOS 5.2.x op de twee locaties. Met versie 5.2 is het uitdagend om te achterhalen welk systemen de meeste bandbreedte verbruiken. Het heeft wat tijd en energie gekost, maar is gelukt. Met de upgrade trajecten naar versie 5.4 kwam ik er achter dat in nieuwere versie van FortiOS, versie 5.4, direct in realtime in de FortiView GUI te zien is wie de meeste bandbreedte aan het opsnoepen is.

Dit is een voorbeeld is een simpel voorbeeld van de zichtbaarheid die met FortiView verkregen wordt. Vanuit meer inzicht en kennis van het netwerk kan de ook de beveiliging van het netwerk vormgegeven en uitgebreid worden.

Hoe werkt FortiView

FortiView laat informatie zien over welk verkeer er door een FortiGate gaat. Antwoorden op vragen zoals welke systemen actief zijn in het netwerk, hoeveel sessies ze hebben, hoeveel bandbreedte ze verbruiken en welke Threat Score ze op dit moment hebben kunnen in FortiView gevonden worden. Elke FortiGate kan deze informatie verzamelen van systemen in het netwerk.

Om de informatie beschikbaar te krijgen dienen enkele features aangezet te worden. Op de (logische) netwerk Interface dient Device Detection en Active Scanning geactiveerd te worden. Hiermee worden gedetecteerde hosts toegevoegd aan de Topology views in FortiView. Om naast realtime informatie historische informatie in te kunnen zien, dient Historical FortiView aangezet te worden. Hiermee kunnen de Topology overzichten in FortiView van bijvoorbeeld 5 minuten of een uur geleden getoond worden.

FortiView is in staat om bovengenoemde informatie te tonen en dit is waar het begint met de Security Fabric van Fortinet. Het doel is om meer inzicht te krijgen in het netwerk en sneller antwoord te kunnen geven op vragen over wat er binnen het gehele netwerk gebeurt. De Fortinet Security Fabric zorgt er voor dat de informatie van individuele FortiGate’s samengevoegd worden en op een upstream FortiGate zijn in te zien.

Cooperative Security Fabric

Met FortiOS versie 5.4 is de Fortinet Security Fabric geïntroduceerd onder de naam “Cooperative Security Fabric”, in het kort CSF. Wie houdt er niet van drie letterige afkortingen 😊 De CSF geeft via één view een overzicht van alle systemen in de fabric. CSF knoopt via FortiTelemetry verschillende Fortinet componenten aan elkaar om zichtbaarheid en controle te bieden. FortiTelemetry verbindt de componenten in de CSF en faciliteert dynamische status updates tussen deze componenten.

CSF kan binnen de system instellingen geactiveerd worden. Daarmee wordt bijvoorbeeld een interne FortiGate gekoppeld aan de upstream FortiGate. Wanneer de koppelingen gemaakt zijn, kan op de upstream FortiGate in de FortiView  Topology overzichten gezien worden welke downstream FortiGate’s er zijn en via welke interfaces ze gekoppeld zijn. Daarnaast worden de clients getoond die de FortiGate kan waarnemen. Daarover straks meer.

Onderstaand plaatje geeft een voorbeeld van een Topology overzicht in FortiView. Hier zijn meerdere Fort’Gate’s en de gebruikte interfaces te zien. De losse en gegroepeerde balletjes geven de waargenomen clients achter een interface weer. Hoe groter zo’n rondje is, hoe meer die client gedownload heeft of hoe meer bandbreedte hij verbruikt.

Zonder CSF is slechts een gedeelte van de informatie te zien binnen FortiView. Je ziet dan enkel de informatie behorende bij de FortiGate waar je op ingelogd bent. Waar het met CSF om gaat is dat er veel inzicht verkregen kan worden door gebruik te maken van de kennis van alle Fortinet componenten. Doordat via de upstream FortiGate een totaal plaatje wordt gegeven van alle gekoppelde Fortigate’s, zijn incidenten van de verschillende FortiGate’s in één view (FortiView) te zien.

Naast het verkrijgen van inzicht is het mogelijk om de UTM features en de daarbij behorende resource load te verdelen over de verschillende Fortinet producten. Je kan er voor kiezen om Antivirus op de upstream FortiGate toe te passen en URL filtering zo dicht mogelijk bij de client. En zo zijn er nog veel meer opties. Afhankelijk van de security inzichten kan gekozen worden voor een specifieke setup.

Door het koppelen van systemen worden ook afhankelijkheden geïntroduceerd. Om CSF optimaal te laten functioneren, dienen de gekoppelde componenten van de juiste FortiOS versies voorzien te zijn en is de volgorde van het upgrade proces van de gehele CSF belangrijk. Fortinet heeft dat gedocumenteerd in een Security Fabric – Upgrade Guide, waar de onderlinge afhankelijkheden en de upgrade stappen in beschreven worden.

Hoe meer Fortinet, hoe meer inzicht

Om een zo’n compleet mogelijke weergave te geven van het netwerk is wel een laag 2 verbinding nodig met de hosts in het netwerk. De Fortinet producten moeten de host via hun MAC-adressen kunnen waarnemen. Om meer zichbtbaarheid en controle toe te voegen kunnen naast de FortiGate’s, de FortiSwitch’s en FortiAP’s gebruikt worden. Deze Fortinet componenten geven de gevonden informatie via de Security Fabric door naar de upstream FortiGate die de informatie in het Topology overzicht toont. De CSF kan verder uitgebreid worden met de FortiSandbox, de Fortimail, de FortiWeb en de FortiCache. Dit zijn eigenlijk de extenders van de CSF en zorgen voor meer overzicht van het netwerk en wat daar binnen gebeurt.

De FortiAnalyzer en de FortiManager hebben in FortiOS 5.4 geen specifieke CSF configuratie en features. De FortiAnalyzer zorgt er voor dat logging vooral voor langere tijd bewaard en ingezien kan worden. De FortiGate’s hebben een beperkte retentie van 7 dagen.

De FortiSandbox is voor het security gedeelte de actieve component. Wanneer intern via de FortiSandbox malware is gedetecteerd, kunnen de FortiGate’s via de Applied Malware Detection definitions automatisch geüpdatet worden en andere hosts beschermen.

Security Fabric vanaf FortiOS 5.4 en verder

In FortiOS versie 5.6 wordt de CSF verder opgepakt en uitgebreid. Omdat FortiOS versie 5.6 op dit moment nog een Feature Release is, en FortiOS 5.4 de stable release, zal een volgende blog verder inzoomen op de Security Fabric van FortiOS 5.6. Dit zal gebeuren wanneer FortiOS 5.6 de stable release versie heeft bereikt.

Zoals versie 5.6.2 laat zien wordt het in elk geval grafisch weer mooier gemaakt en wordt meer kennis vergaard en gedeeld tussen de componenten in het netwerk. Wil je je verder verdiepen in de Fortinet Security Fabric en wat ermee gedaan kan worden? Dan zijn de vrij beschikbare documenten van Fortinet te vinden in de Fortinet Document Library. Als je niet kan wachten op de volgende blog is daar ook alvast meer informatie over CSF in 5.6 te vinden. Vanaf 5.6 wordt CSF als Security Fabric aangeduid. Voor meer informatie kun je uiteraard ook direct contact met ons opnemen via security@axians.com. Wij helpen je graag verder.