Skuteczność pracy firewalla zależy od dokładnego wdrożenia reguł polityki bezpieczeństwa. Jednak w logach firewalla bardzo często nie są odnotowywane informacje o tym, kiedy użytkownik odłączył urządzenie od sieci lub czy połączenie wykonano z publicznej bądź prywatnej sieci. Dodatkowe zagrożenie bezpieczeństwa stwarzają portale gościnnego dostępu do sieci (captive portal), które korzystają z lokalnego uwierzytelniania, ale pozostają niewidoczne w katalogu firewalla. Umożliwia to dostęp do sieci bez odpowiedniej weryfikacji.

Występujące niedokładności mogą spowodować, że wobec użytkownika zostaną zastosowane niewłaściwe reguły polityki bezpieczeństwa lub czas ich wykorzystania będzie zły. Zagrożeniom tym można zapobiec dzięki integracji rozwiązań Extreme Networks z firewallami FortiGate firmy Fortinet. Zapewni to dokładniejsze wdrażanie polityki bezpieczeństwa.

W powstałym w ten sposób rozwiązaniu działa aplikacja zarządzająca Extreme Networks NetSight Advanced, która dostarcza do FortiGate dokładne informacje dotyczące mapowania wejść i wyjść użytkownika z sieci. W efekcie zapewniona jest nieprzerwana kontrola realizacji polityki ochrony w sieciach przewodowych i bezprzewodowych oraz w punktach dostępu zdalnego.

 

Kompleksowa ochrona sieci

Wykorzystanie rozwiązania NetSight jako centralnego punktu usług dostępu, uwierzytelniania i autoryzacji (Authentication Authorization Access – AAA) upraszcza wdrożenie reguł polityki bezpieczeństwa i automatyzuje wykonywanie zadań administracyjnych. Umożliwia to administratorom szybsze i skuteczniejsze rozwiązywanie problemów z siecią.

Korzyści z połączenia przełączników Extreme Networks z firewallami Fortinet

• Dokładniejsze wdrażanie polityki bezpieczeństwa dzięki mapowaniu User-to-IP w czasie rzeczywistym.

• Zapobieganie wewnętrznym zagrożeniom dzięki kontroli bezpieczeństwa na poziomie warstwy dostępowej.

• Dostarczanie danych o systemach użytkowników do firewalli Fortinet w czasie rzeczywistym, umożliwiających śledzenie lokalizacji użytkowników oraz monitorowanie używanych przez nich aplikacji.

 

Gdy użytkownik łączy się z siecią lub się rozłącza, znacznik stanu połączenia jest wysyłany z NetSight do tablic mapowania FortiGate i następuje nadpisanie rekordów, co gwarantuje stosowanie odpowiednich reguł polityki bezpieczeństwa. Jeśli upoważniony użytkownik jest prawidłowo uwierzytelniony przez NetSight, FortiGate wysyła znacznik RADIUS do UTM-a FortiGate. Dzięki temu firewall mapuje nazwy użytkownika i grupy oraz stosuje reguły polityki bezpieczeństwa odpowiednie dla tego procesu.

NetSight zwiększa skuteczność mapowania użytkownika do IP przez współużytkowanie z firewallem FortiGate informacji o adresie IP, nazwie użytkownika, lokalizacji i informacji o regułach polityki bezpieczeństwa. Aby uruchomić uwierzytelniany lokalnie dostęp gościnny, NetSight wysyła do firewalla FortiGate mapowanie użytkownika-gościa. Proces mapowania w czasie rzeczywistym przez NetSight jest zarządzany dzięki współpracy z rozwiązaniem RADIUS Accounting.

 

Widoczność aplikacji na brzegu sieci

Aby zapewnić ochronę na brzegu sieci bezprzewodowej i przewodowej, NetSight wymienia z przełącznikami brzegowymi informacje na temat aplikacji wykorzystywanych przez użytkownika. Zapewnia to rozszerzony wgląd w aktualny status sieci i kontrolę nad nim, a tym samym umożliwia blokowanie niepożądanych lub złoś-
liwych aplikacji, które mogłyby mieć negatywny wpływ na działanie sieci. Ułatwia to śledzenie użytkowników narażonych na przestoje lub potrzebujących aktualizacji usług. Umożliwia też identyfikację użytkowników modyfikujących lub nadużywających wybranych aplikacji.

Jeśli firewall FortiGate wykryje zagrożenia lub złośliwe pakiety pochodzące od użytkownika wewnątrz sieci, powiadamia NetSight i podaje jego adres IP. NetSight lokalizuje port warstwy dostępowej przypisany do tego adresu IP, a następnie blokuje ruch, uruchamia procedurę kwarantanny i wpisuje użytkownika na czarną listę. Jeżeli ten połączy się z innymi portami, także one automatycznie zostaną poddane kwarantannie. Jeżeli zaś łączy się przez sieć bezprzewodową, zostanie poddany kwarantannie w swoim punkcie dostępowym i wpisany na czarną listę.

Dodatkowe informacje:

Maciej Stawiarski,

Product Manager, Veracomp,

maciej.stawiarski@veracomp.pl

Artykuł powstał we współpracy z firmami Extreme Networks i Veracomp.