امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

سلام خدمت کاربران عزیز وب سایت توسینسو اومدیم با یک عنوان و سناریو بسیار جالب تحت عنوان راه اندازی Security Fabric در یک شبکه سازمانی در این دوره قصد داریم نحوه پیکربندی و راه اندازی ویژگی جالب Security Fabric را پیش بگیریم و بررسی کنیم که چگونه میتوانیم از این ویژگی جذاب ارائه شده توسط شرکت FortiNet در فایروال سخت افزاری FortiGate استفاده کنیم‌... باما همراه باشید

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

آموزش راه اندازی Security Fabric در فورتیگیت بخش 1 : مقدمه

ویژگی Security Fabric چیست؟

درواقع ویژگی Security Fabric این امکان و توانایی را به ما میدهد که بتونیم مدیریت و کنترل کاملی بر روی دیوایس های در شبکه محیط های ابری و Cloud-Native هارا داشته باشیم.بتوانیم مدیریت و کنترل کاملی بر روی دیوایس های در شبکه، محیط های ابری و Cloud-Native ها داشته باشیم. در این سناریو ما یک شبکه داریم که تشکیل شده از سه بخش مختلف هستش و دیوایس های ما 4 دیوایس FortiGate میباشد و یک دیوایس FortiAnalyzer

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

همانطور که در تصویر مشاهده میکنید هرکدام از Fortigate متصل به شبکه داخلی حکم یک ISFW را برای ما دارند و به منظور ایجاد ارتباط با دنیای اینترنت میبایست داده های کاربران خود را به سمت دیوایس Fortigate بالا دستی یعنی Edge Fortigate ما که در Security Fabric با عنوان  Root Fortigate شناخته میشود. حال که کمی با ویژگی Security Fabric و سناریویی که قرار است پیاده سازی کنیم آشنا شدیم بیاید شروع کنیم پیکربندی Security Fabric را که در بخش های بعدی نحوه پیکربندی را قدم به قدم پیش میبریم.

آموزش راه اندازی Security Fabric در فورتیگیت بخش 2 : Edge Fortigate

خب خب اومدیم با یک بخش دیگه از این سناریو حال بیاید بررسی کنیم که ما درابتدا میبایست چه پیکربندی های بر روی Edge Fortigate خودمان انجام دهیم؟! دیوایس Edge Fortigate ما که که حکم Root Fortigate را دارد قرار است اطلاعات را به سبب Security Fabric از سمت ISFW ها دریافت کند.

پیکربندی Edge Fortigate

بخش مهم ما اینه که رابط های دیوایسمان را تقسیم بندی کنیم و بفهمیم کدوم به کدوم شبکه متصل است و فرآیند پیکربندی آنهارا به صورت صحیح انجام دهیم؛ برای رابط های Edge Fortigate رابط Port 9 متصل است به دنیای Internet که توانایی اتصال کاربران و دسترسی آنهارا به شبکه بیرون فراهم سازی میکند.
رابط 10 نیز متصل است به بخش Accounting یا حسابداری (آدرس IP: 192.168.10.2)
رابط 11 نیز به بخش Marketing ویا بازاریابی متصل است (آدرس IP: 192.168.10.2)
رابط 12 نیز به FortiAnalyzer ما متصل میباشد: (آدرس IP: 192.168.10.2)
برای پیکربندی و ایجاد دسترسی بخش های مختلف شبکه مان وارد رابط 10 که متصل به بخش Accounting میباشد میشویم و آدرس 192.168.10.2/255.255.255.0 را برایش تنظیم میکنیم.
در بخش Administrative Access میبایست گزینه FortiTelemetry را فعال سازی کنید زیرا این گزینه برای اینکه دیوایس های Fortigate توانایی ارتباط با یک دیگر را داشته باشند لازم میباشد.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
پیکربندی دیگر رابط‌هارا مانند بالا به ترتیب انجام دهید.
حال به منظور ایجاد ارتباط از سمت بخش های شبکه به سمت Internet میبایست Policy های خاصی را ایجاد کنیم به همین سبب وارد مسیر Policy & Objects > IPv4 Policy میشویم و بر روی گزینه Create New کلیک میکنیم. در این بخش Incoming Interface را بر روی رابط 10 قرار میدهیم و OutGoing Interface راهم بر روی رابط Internet
گزینه NAT را فعال سازی میکنیم
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
پیکربندی دیگر رابط هارا به منظور دسترسی به اینترنت را به شکل بالا انجام دهید. در Edge Fortigate خود وارد مسیر System -> Feature شوید در بخش Additional Features گزینه Multiple Interface Policies را فعال کنید.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال باز وارد مسیر Policy & Objects > IPv4 Policy- میشویم و یک Policy جدید را ایجاد میکنیم که بتوانیم اجازه دسترسی رابط های Accounting و Marketing را به FortiAnalyzez دهیم
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال برای ایجاد ارتباط بین دیوایس های Fortigate خود در Security Fabric میبایست به مسیر Security Fabric -> Settings برویم و Fortigate Telemetry را فعال سازی کنید. حال یک نام گروه و یک گزار واژه گروه را تنظیم کنید(نکته: گزینه ایجاد گذرواژه برای گروه در FortiOS 6.0.3 به بعد در دسترس نمی باشد) گزینه FortiAnalyzer Logging به صورت پیش فرض فعال میباشد. آدرس IP داخلی رابط مورد نظر را که به FortiAnalyzer متصل است وارد میکنیم( برای مثال درنظر آدرس 192.168.65.10 را که بر روی Port 1 میباشد ). بخش Upload Option نیز بر روی قسمت Real Time قرار دهید.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
خب تبریک میگم حال پیکربندی Edge Fortigate ما به اتمام رسید برویم سراغ بخش های دیگر این سناریو

آموزش راه اندازی Security Fabric در فورتیگیت بخش 3: ISFW FortiGate

اینم از بخش سوم این سناریو که قراره به پیکربندی بخش های دیگرمان یعنی Accounting و Marketing بپردازیم. در این بخش میخواهیم بررسی کنیم که چگونه میبایست این دو بخش را پیکربندی کنیم و آنهارا عضوه Security Fabric کنیم
برای شروع پیکربندی اولین کاری که میبایست انجام دهیم این است که وارد رابط WAN 1 بخش Accounting میشویم که متصل است به Edge Fortigate ما و قرار است اتصال کاربران را به سمت بیرون فراهم سازی کند. یک آدرس IP برای این رابط در نظر میگیریم برای مثال آدرس 192.168.10.10/255.255.255.0 و پس از آن در بخش Administrative Access دو گزینه SSH و HTTPS را فعال سازی میکنیم که توانایی پیکربندی دیوایس از طریق محیط وب و محیط Cli دردسترس باشد.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال که رابط WAN را پیکربندی کردیم وارد رابط LAN دیوایس میشویم و حالت Addressing Mode را بر روی Manual قرار میدهیم که به صورت دستی یک ادرس IP را وارد کنیم برای مثال آدرس 10.10.10.1/255.255.255.0
در بخش Administrative Access گزینه FortiTelemetry را فعال سازی میکنیم. حال اگر احتیاج داشتید که FortiGate شما به عنوان یک DHCP Server عمل کند و به کامپیوتر های متصل به شبکه داخلی آدرس IP اختصاص دهد میتوانید گزینه DHCP Server را فعال سازی کنید و یک IP Range را مانند تصویر به همراه NetMask وارد کنید. در اخر در بخش Network Devices گزینه Device Detection را به منظور تشخیص دیوایس های رابط به عنوان LAN و یا DMZ فعال کنید تا طبقه بندی مورد نظر را در نظربگیرد.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال پس از پایان اینکار وارد بخش Network -> Static Route میشویم و یک Default Route به منظور ایجاد دسترسی به سمت دنیای اینترنت از طریق رابط WAN 1 ایجاد میکنیم.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
پس از نوشتن Default Route میبایست اجازه دسترسی را برای کاربران بخش Accounting برقرار کنید به همین سبب میبایست وارد مسیر Policy & Object -> IPv4 Policy شویم و بر روی Create New کلیک کنید تا بتوانید یک Policy جدید ایجاد کنید‌. در Policy ایجاد شده نام آن را Internet درنظر میگیریم و رابطی که قرار است به دنیای اینترنت دسترسی داشته باشد را در بخش Incoming Interface وارد میکنیم که رابط LAN ما میباشد و پس از ان OutGoing Interface خودمان را WAN 1 معرفی میکنیم که قرار است کاربران از طریق آن به دنیای اینترنت دسترسی پیدا کنند پس از آن گرینه NAT را هم فعال سازی میکنیم.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال برای اینکه بتوانیم بخش Accounting خودمان را به Security Fabric اضافه کنیم میبایست وارد مسیر Security Fabric -> Settings شوید و Fortigate Telemetry را فعال سازی کنید. پس از فرآیند میبایست حالا مقدار های Group Name و Group Password را مطابق با آنچه در Edge Fortigate وارد کردید پر کنید(نکته: همانطور که در بخش قبل هم اشاره کردیم در FortiOS 6.0.3 قابلیت Group Password وجود ندارد).

گزینه Connect to upstream Fortigate را فعال سازی میکنیم و آدرس IP دیوایس Edge Fortigate خودمان را که در قسمت قبل بر روی Port 10 قرار دادیم وارد میکنیم و پس از آن رابط LAN خودمان را در بخش FortiTelemetry Enabled Interfaces قرار میدهیم. تنظیمات FortiAnalyzer Logging نیاز به فعال سازی ندارد زیرا به صورت پیش فرض فعال میباشد و فرآیند های کاری آن برعهده Edge Fortigate است.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

حال پیکربندی بخش Accounting به پایان رسید پیکربندی کردن بخش Marketing و Sales نیز به همین شکل و روش است اما با کمی تفاوت در ادرس های IP که براساس سناریو آنهارا انجام میدهید و درآخر Marketing راهم به Security Fabric متصل میسازید. پس از انجام فرآیند های دیوایس هایمان حال به سراغ Edge Fortigate میرویم وارد بخش Security Fabric -> Setting میشویم و حال میبینیم که دیوایس های دو بخش ما یعنی Marketing و Accounting به درستی در Security Fabric قرار گرفته.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )


آموزش راه اندازی Security Fabric در فورتیگیت بخش 4: FortiAnalyzer

نوبتی هم باشه دیگه نوبت FortiAnalyzer هستش که فرآیند های اونو پیش ببریم اما عجله نکنید قبل از اینکه سناریو رو پیش ببرید حتما بررسی کنید که Firmware دیوایس FortiAnalyzer شما با ورژن FortiOS دیوایس FortiGate شما سازگار است. حالا شاید بپرسید خب چطوری بفهمیم سازگاری دارند یا خیر؟! سختی نداره فقط کافیه وارد سایت خوده FortiNet توی بخش FortiAnalyzer Release شوید.
حال برای اینکه بتوانیم FortiAnalyzer را به دیوایس Edge Fortigate معرفی و متصل سازیم میبایست به سراغ رابطی که از سمت FortiAnalyzer به سمت Edge Fortigate خورده است برویم و آنرا پیکربندی کنیم، به همین سبب وارد بخش System Settings -> Network میشویم و گزینه All Interfaces را انتخاب میکنیم. در ابتدا یک آدرس IP به همراه NetMask که در Edge Fortigate ما به عنوان Security Fabric درنظر گرفتیم را وارد میکنیم( 192.168.65.10/255.255.255.0 ). حال میبایست یک‌ Default Getaway اضافه کنیم که آدرس IP رابط 16 دیوایس Edge Fortigate ما است علاوه بر این دو DNS سرور Secondary و Primary قرار میدهیم.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حالا به قسمت Device Manger میرویم و درون آن لیستی از دیوایس های Fortigate که هنوز ثبت و Register نشده اند را میبینیم.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
دیوایس های Fortigate را انتخاب کنید و بر روی Add+ کلیک کنید.
حالا دیوایس های Fortigate به صورت کاملا ثبت شده و Register شده برای ما به نمایش در می آیند.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حالا اصولا یک Warning توسط FortiAnalyzer بر روی Edge Fortigate ما ظاهر میشود که به این دلیل میباشد، FortiAnalyzer دسترسی کافی در سطح Administrative در Edge Fortigate ما درون Security Fabric را ندارد. (نکته: ممکن است Warning برای شما نمایش داده نشود اما با Refresh سازی صفحه این Warning نمایش داده میشود. )
بر روی دیوایس Fortigate مان دابل کلیک میکنیم و فرآیند احراز هویت آن را که میبایست UserName و Password سطح Admin خود را وارد کنیم را انجام میدهیم.
آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
پس از این فرآیند ها به Edge Fortigate میرویم و وارد مسیر Security Fabric -> Settings میشویم و در بخش FortiAnalyzer میتوانیم مقدار و اطلاعات مربوط به ذخیره سازی را ببینیم.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

آموزش راه اندازی Security Fabric در فورتیگیت بخش  5 :  Security Profile

جا داره قبل از شروع این بخش از مبحثمان و سناریومان یک تبریک ‌عرض کنم خدمت دوستان که توانستند Security Fabric را در سناریو به صورت کامل و جامع پیاده سازی کنند‌.  حال بیاید کمی با ویژگی های جالب Security Fabric کار کنیم برای مثال یکی از این ویژگی ها توانایی استقرار سازی Security Profile ها در بین دیوایس های Fortigate میباشد که به سبب این موضوع در وقت و سرعت به ما کمک بسیار خوبی میشود. برای مثال فرض کنید درحالی که قرار است برای Edge Fortigate یک AntiVirus Profile اعمال کنید میتوانید بر روی ISFW ها نیز Web Filtering و Application Control را فعال سازی کنید. 
این فرآیند در Security Fabric موجب توزیع شدن پردازش بین Fortigate ها میشود و یکی دیگه از فرآیند های مفیدش کاهش بار بر روی دیوایس ها میباشد. همچنین شما امکانات خاص دیگری را در پیش روی خود دارید برای مثال سفارشی سازی Web Filtering و Application Control براساس نیاز شخصی بخش های مختلف شبکه ما که متفاوت میباشند.
نکته این فرآیند میتواند یک تحدید امنیتی برای Edge Fortigate باشد و باید حتما دسترسی های نزدیک به دیوایس را محدود سازی کنید.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
به عنوان اولین کار و شروع ایجاد کردن Security Profile ها وارد دیوایس Edge Fortigate میشویم قرار است که Policy مورد نظر برای دسترسی بخش Accounting به Internet را ویرایش کنیم. در مسیر Policy & Objects -> IPv4 Policy وارد میشویم و Policy مورد نظر را انتخاب میکنیم و واردش میشویم.
در بخش Security Profile میرویم و AntiVirus را فعال سازی میکنیم و Default Profile را انتخاب میکنیم که Profile پیش فرض میباشد.بخش SSL Inspection پیش فرض فعال میباشد، آن را بر روی Deap Inspection قرار دهید.(برای آشنایی با SSL Inspection به این مقاله مراجعه کنید).نکته: استفاده از Deap Inspection Profile ممکن است موجب فرآیند های خاصی مانند Certificate Error شود.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
حال برای بخش Marketing هم همین فرآیند را بر روی Policy دسترسی به Internet آن را انجام دهیم.
حالا وارد دیوایس Fortigate بخش Accounting میشویم در مسیر Policy & Objects -> IPv4 Policy میرویم و Policy که داده های شبکه داخلی را به Edge Fortigate هدایت میکند را ویرایش میکنیم.
در بخش Security Profile وارد میشویم و Web Filter و Application Control را فعال سازی میکنیم و Profile های پیش فرض را انتخاب میکنیم برای هر دو( Default Profile ).
بخش SSL Inspection نیز به صورت پیش فرض فعال است و میبایست Deap Inspection را برایش درنظر بگیرید.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
همین فرآیند هارا هم برای بخش Marketing و Sales اعمال کنید.
این بخش از سناریومان هم به پایان رسید و باید خدمت شما عزیزان عرض کنم که شاید یک ابهامی برای شما به وجود آمده باشد که چرا ما بر روی همه دیوایس هایمان باید وصل شیم و فرآیند های مورد نظر را برای شبکه های خودمان اعمال کنیم؟! مگه ما نگفتیم Security Fabric توانایی استقرار سازی Security Profile هارا بین دیوایس ها دارد؟ بله درسته دقیقا همین را گفتیم اما منظورما به این شکل است که برای مثال ما مانند سناریو فعلی فعالیت AntiVirus را برعهده Edge Fortigate قرار دهیم و فعالیت های خاص دیگر را بر روی ISFW قرار دهیم که براساس نیاز هر بخش متفاوت است مثله همین بحث Web Filter و Application Control اما دیگه ما نیاز نیست روی ISFW ها AntiVirus فعال کنیم زیرا سمت Edge Fortigate این فرآیند انجام میشود و به همین سبب میزان بار کمتری روی دیوایس ها قرار میگیرد و پردازش آنها تقسیم میشود و کمتر.

آموزش راه اندازی Security Fabric در فورتیگیت بخش 6(پایانی) : Results

این هم از آخرین بخش از سناریویی ما که موفق به راه اندازی کامل Security Fabric در شبکه خود شدیم و حالا باید ببینیم چگونه میتونیم Security Fabric را بکارگیری کنیم. در ابتدا وارد مسیر Dashboard -> Main در دیوایس Edge Fortigate میشویم و در آنجا میتوانیم لیستی از نام های دیوایس های Fortigate مان را ببینیم که درون Security Fabric قرار گرفته اند.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

نماد های که در بالا میبینید نشان دهنده سه رنگ مختلف هستند که اگر این رنگ آبی باشد به معنی کشف و موفقیت آمیز بودن ورود و نصب دیوایس ها به Security Fabric میباشد و در صورتی خاکستری بودن به معنی ناتوانی در کشف و عضویت دیوایس در Security Fabric است و رنگ قرمز نیست ویژگی های هستند که توصیه میشود از آنها استفاده کنید؛ به دلایلی اگر ویجت های بالا‌ برای شما نمایش داده نمیشدند از بخش تنظیمات پایین صفحه میتوانید آنهارا اضافه کنید.

شروع کار با Security Fabric 

وارد مسیر Security Fabric -> Physical Topology شوید. در این بخش شما میتوانید یه خروجی کاملا Visualization شده را در لایه دسترسی دیوایس های عضو Security Fabric را ببینید.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

برای مشاهده اطلاعات به صورت Logical و دقیق تر میتوانید وارد مسیر Security Fabric -> Logical Topology شوید؛ در این بخش شما اطلاعات مختلفی از رابط های منطقی و فیزیکی خود را میتوانید رصد کنید.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )
بررسی در FortiAnalyzer

حالا وارد FortiAnalyzer میشویم و به بخش Device Manger میرویم و در اینجا گروه Security Fabric را که ایجاد کردیم را نمایش میدهد. نشانه * در کنار Edge Fortigate به این معناست که این دیوایس Root Fortigate شما در Security Fabric میباشد که با عنوان Edge Fortigate در Security Fabric هم آنرا میشناسیم.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

بر روی گروه Security Fabric که ایجاد شده راست کلیک کنید و گزینه Fabric Topology را وارد کنید که یک نمای کلی از توپولوژی Security Fabric را به ما نمایش بدهد.

آموزش راه اندازی Security Fabric در فورتیگیت ( Fortigate )

این سناریو به صورت کامل راه اندازی و به پایان رسید موفق و پیروز باشید.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات