Fortinet võrgukaitse mehitamine

Fortinet tulemüüri juurutamine virtualiseeritud infrastuktuuri

Fortigate Tulemüüri juurutamine infrastruktuuri ning teenuste üles paigaldamine. Infrastruktuuri võrgu loomine, milles sisaldub (Windows Server 2022) Active Directory, Veebiserver Wordpress (Ubuntu 22.04 server-UbuntuPro litsents), Andmebaas MySql (Ubuntu 22.04 server-UbuntuPro litsents) ning Windows 11 klient masinad.

Võrgulabori idee on luua uut väljakutset Fortigate tulemüüri paigaldamises ning seadistamises kasutades Vmware virtualiseerimise keskkonda. Monitoorida riistvarade turbe ja poliitika seisundit kasutades Wazuh-SIEM serverit. Fortigate Tulemüürile rakendati ka SSL VPN ühendust turvaliseks haldamiseks.

Projekti alustamisel koostan võrgukaardistust, milles ettekujutades sisevõrgu struktuuri. Loon võrguvahemikud WAN:x.x.x.x/24, LAN: 192.168.10.1/24, 192.168.20.1/24, DMZ: 10.1.1.0/24. Seadistan Fortigate tulemüürile DHCP-vahemiku ning loon interneti ühendust kasutades SNAT, et otspunkti tööjaamad saaksid välja maailma. Seadistan IPS, SSL, Antivirus turbeprofiilid fortigate tulemüürile.

Windows Serveritesse paigaldati active directory, gruppi poliitikad ja DNS-server. Ubuntu serveritesse paigaldati andmebaas ja wordpressi veebiserver. Fortigate tulemüüri rakendati võrgusegmenteerimist, VLAN-ide struktuureerimine ja turvalisust (IPS/IDS, turbeprofiilid).

Kõik tööprotsessid pidi dokumenteerima. E-ITS juurutamine virtualiseeritud taristusse. Ubuntu serveritesse rakendati Pro litsentsid, mis annavad lisa turvavärskendusi. Inventuuri korraldamine, kuhu lisati kõik serverid, teenused, tarkvarad ja litsentsid.

Projekti kokkuvõte

Projekti läbimisel õppisin haldama virtuaalset keskkonda, mis koosneb Linux serveritest ja Windows serveritest. SNAT konfigureerimine,  port forwarding ja port mapping. Projekti tööprotsessis õppisin paigaldama Virtual IP, Virtual Wire, Virtual pair ja one-arm sniffer. Projektis puudutasin kokku ka "Aggregation ja Redundancy".  Võrgusegmenteerimine kasutades VLAN-id ja kaitseprofiilid, et tugevdada igat virtual võrku.

Projektis loomisel ja teostamisel saavutasin taristule paremat turvalisust, käideldavust, terviklikkust ja konfidentsiaalsust. Võimalusel õppida tundma Fortigate tulemüüri ning võrgutsoonid nagu DMZ, LAN ja WAN. Õppisin teostama võrgusegmenteerimist praktilisel viisil.

Õppides seadistama SSL/VPN Fortigate tulemüürile ning jälgida parimat praktikat ning standardeid E-ITS portaalist. Kõik lahendused ja muudatused pidi dokumenteerimine ning märkima, kus kasutasin E-ITS standardeid, võimalusel kui keeldun rakendamist E-ITS standardid pidin dokumenteerima põhjust.

Projekti alustamist pidin kaardistamine, planeerimine tegevust. Kõik võimalikud litsentsid pidin dokumenteerima ning nende limiteerivust. Projekti teostamisel võib tekkida litsentside limiteeringu probleemid, mis kaasnevad Fortigate tulemüüril.

Fortigate võrgukaitse mehitamine

Projekti eesmärk on ehitada demo intrastruktuur, mille alusel on seadistatud võrgud failide ja tarkvarade, dokumentatsioonide jagamiseks. Võrguseadmeks on Fortigate 60F, mis omab neli võrguliidest: WAN, LAN, DMZ ja NAT.root tunnel. 

Fortigate perimeetri tulemüürile on seadistatud staatiline WAN, LAN ja DMZ. Antud serverid on Windows Server 2016. Serveritele on väljastatud ka Fortigate poolt SSL sertifikaat, mis on mõeldud tõhusaks veebikaitseks (SSL_inspektsioon).

Võrgu intrastruktuuri võrgutopoloogia ning märgistatud teenused, ip-aadressid ja DNS. Märgistatud iga võrgulink ning kaitse.

Fortigate tulemüürile on tehtud järgmised konfiguratsioonid.

• Firewall Policy "Allow LAN -> to -> WAN"

• Firewall Policy "Allow port2 -> to -> port1"

• Firewall Policy "Allow port3 -> to -> port1"

• AV Policy, Web Filtring Policy, IPS Policy, File Filter Policy

HARIDUSE.INTRA intraneti võrgu mehitamise võrgutopoloogia

Võrgutopoloogias on märgistatud kõik teenused, serverid ja kaitse funktsioonid (võrgustandardil).

Domeeni kontroller (he-dc-02.hariduse.intra) root domeeniks on hariduse.intra, asub vNet10, LAN ning IP range on 172.16.4.9-172.16.4.254.

Failiserveriks on Windows server 2016, mille arvutinimeks tuleb he-file-01.hariduse.net, IP: 10.10.10.180/24

Dokumentatsiooni serveri nimeks on he-doc-02.hariduse.intra. Dokumentatsiooni tarkvaraks on Mediawiki. IP: 10.2.3.90/24

Fortigate võrgu isoleerimine

Võrguportide isoleerimise funktsioon on kaitsta serverid ja kliend masinaid. Port isoleerimine ehk võrgu liikluse piiramine aitab kaitsta servereid volitamata kasutajatest ning kõik teised seadmed, mis ei pea saama ligi antud serveritele läbi Veebihalduse või kindla võrgupordile.

Näiteks Windows 7 masin on 2025 aastal kriitiline operatsiooni süsteem, millele ei paigaldata enam turva uuendusi ning antud seadme isoleerimine antud võrgus on kohustuslik.

Selleks, et piirata port2 ja port3 suhtlust tuleb navigeeruda Fortigate veebiliideses "Firewall Policy -> Create New". 

• Name: Block net_port2 -> net_port3

• Incoming Interface: port2

• Outgoing Interface: port3

• Source: net_port2

• Destination: net_port3

• Action: DENY

• Log violation traffic

• Enable this policy

Seejärel Firewall Policy sektoris loo uus poliitika, mis blokeerib kõik ühendused port2 -> port3

Port Forwarding

Tava ruuteritel saab olla port forwarding lihtne vajutades "Applications and Gaming" ning "Port Range Forwarding".

Fortinet seadmetel tuleb seadistada järgmised parameetrid, et lubada teenust välisvõrku:

• Virtual-IP

• Port forwarding

• Firewall Policy

Navigeeru "Policy and Objects" > "Virtual IP" ning "Create New"

• Name: RDP lüüs

• Interface: Port1 (WAN link)

• Type: Static NAT

• External IP address/range: 192.168.40.220

• Map to: 172.16.4.144

• Port Forwarding: TCP, One to One, Service port ja Map to IPv4 port "3389"

RDP lüüsi Virtual IP ja Port Forwarding on loodud ning nüüd navigeerume "Firewall Policy", "Create New"

• Name: Remote Desktop Service

• Incoming Interface: port1

• Outgoing interface: port2

• Source: all

• Destination: RDP lüüs (Virtual-IP/Server)

• Service: RDP

• Action: Allow

• NAT: (väljalülitatud)

• Security Profiles: Antivirus, Web filter, DNS filter, IPS, File filter

• Log allowed traffic

Konfiguratsiooni testmine

Windows 11, tee lahti search ning kirjuta "Remote Desktop Connection" ning kirjuta IP: <Fortigate Gateway IP:3389> ehk näidis: 192.168.40.220:3389

Fortinet Proxy teenuse installimine ja seadistamine

Navigeeru "Network > Explicit Proxy" ning lülita sisse "Web Explicit Proxy"

Seejärel seadista järgmised parameetrid:

• Listen on Interface: "port2"

• HTTP port "4443"

• HTTPS port "3219"

• Proxy FQDN: veebiluus.hariduse.intra

Ava "Policy and Objects" ning "Proxy Policy" ja "Create new"

• Name: Ex_Veebiluus_fortinet

• Type: Explicit Web

• Enabled On: port2

• Outgoing Interface: port1

• Source: All

• Destination: All

• Service: webproxy

• Action: Accept

• Security Profile: Antivirus: "Hariduse-AV", Web Filter: "Hariduse-Veebilüüs", IPS: "high_security", File Filter: "Faili tüüpi inspektsioon", SSL Inspection "custom-deep-inspection"

SSL loggide vaade

Kõik seadistatud poliitikate logid on suunatud kataloogi "Log and Report > Security Events", võimalik on näha blokeeritud ja lubatud päringud.

Fortinet Application Control poliitika

Fortigate Application Control settings abil on võimalik tuvastada volitamata ühendusi ning analüüsida süsteemide aktiivsust läbi võrgu. Application Control sätteid saab rakendada navigeerudes "Security Policies > Application Control > Create New".

Seadista järgmised parameetrid:

• Deny Proxy (kõik proxy teenused, peale fortineti oma)

• Game

• P2P

• Unknown Applications

Kõik muu võib seadistada staatusele: "Monitor".

Navigeeru "Policy and Objects" ning lisa "LAN -> WAN" poliitikale "Application Control" nimega "Hariduse-Application-Control" ning Save.

Näidis Application Control "IN-ACTION"

Ühest intranet üritati saada teise võrku kasutades RDP (Remote Desktop Protocol) protokolli. Näeme ära Destination IP-aadress ja Source IP-aadress. Tulevikus võimalik kasutada application controli, et blokeerida tõhusaid rünnakuid.