Fortinet Security Fabric

В нашей прошлой статье мы рассказали об устройстве FortiSwitch и его основных функциональных возможностях. Вторая часть решения от компании Fortinet для обеспечения защищенного доступа — точки доступа FortiAP. Сегодня мы хотим рассказать о них. В планах — рассказать о типах данных точек, о режимах управления и режимах работы, а также о способах обеспечения безопасности и мониторинге состояния беспроводной сети.

Поскольку информации довольно много — мы не будем углубляться, постараемся раскрыть основные возможности в общих чертах. Кому интересно, добро пожаловать под кат.

Для удобства повествования начнем с типов управления данными точками доступа. Их всего 3 — с помощью контроллера беспроводной локальной сети, в составе интегрированного решения, а также облачное управление:

Управление с помощью выделенного контроллера осуществляется с помощью продукта FortiWLC — FortiWireless Controller. Он представляет собой выделенное устройство, используемое только для управления точками доступа FortiAP из серии Universal.

Интегрированное управление осуществляется с помощью контроллера беспроводной сети, интегрированного в состав FortiOS — операционной системы, на которой работают межсетевые экраны FortiGate. Таким образом, управление точками доступа поддерживают все устройства FortiGate, в том числе и виртуальные.

И третий тип — облачное управление. В таком случае для настройки и управления точками доступа FortiAP используются облачные сервисы, предоставляемые компанией Fortinet.

В рамках данного цикла статей мы будем рассматривать только интегрированное управление.

Важно учитывать, что не все модели FortiAP поддерживают все три типа управления.

Существует три различных серии точек доступа:

FortiAP-U (Universal) — данная серия поддерживает все три типа управления, включая управление с помощью выделенного контроллера FortiWLC. С помощью моделей данной серии обеспечивается гибкость управления — при необходимости у данных точек доступа можно изменить тип управления на любой из доступных.

FortiAP-C (Connectivity) — данная серия поддерживает только облачное и интегрированное управление. Основной сценарий использования точек доступа из этой серии — быстрое развертывание в удаленных филиалах, где требуется базовая беспроводная сеть.

FortiAP-S (Smart) — семейство точек доступа FortiAP с одним или двумя радиомодулями 802.ac. Данные точки доступа разработаны для использования в сетях малого и среднего бизнеса (SMB), а также в удаленных филиалах. Они включают в себя функционал безопасности, интегрированный в аппаратную часть данных точек доступа. Из-за того, что их аппаратная часть довольно мощная, они могут осуществлять инспекцию трафика самостоятельно, не прибегая к возможностям FortiGate. Данная серия поддерживает только облачное и интегрированное управление.

Рассмотрим, как выглядит концепция защищенного доступа с использованием связки FortiGate, FortiSwitch и FortiAP:

В данном примере точки доступа FortiAP подключены к FortiSwitch PoE. Он же, в свою очередь, подключен к межсетевому экрану FortiGate с помощью проприетарного протокола FortiLink. Этот протокол позволяет осуществлять конфигурацию и управление устройствами FortiSwitch с самого FortiGate.

Поток трафика в данном случае следующий: трафик управления точками доступа направлен прямо на FortiGate. Трафик клиентов точек доступа (пользовательский трафик) в зависимости от точки доступа либо инспектируется на самой точке доступа, а после передается на FortiSwitch и затем на FortiGate, либо же сначала передается на FortiSwitch и FortiGate, и после этого инспектируется с помощью механизмов безопасности FortiGate.

В данном примере используются 3 типа трафика.

Трафик управления — HTTP/S, SSH и так далее. Используется для прямого управления точками доступа.

Трафик контроля — CAPWAP. Используется для настройки, управления и обновления точками доступа с межсетевого экрана FortiGate.

Пользовательский трафик — трафик, которые отправляют пользователи беспроводной сети в различные сетевые сегменты.

Рассмотрим использование протокола CAPWAP в рамках Fortinet Security Fabric.

Сам CAPWAP представляет собой протокол, позволяющий управлять точками доступа. В концепции защищенного доступа Fortinet CAPWAP позволяет управлять конфигурацией точек доступа FortiAP.

CAPWAP использует UDP порт 5246 для управление точками доступа и UDP 5247 для передачи пользовательских данных.

Также CAPWAP позволяет устройствам создавать защищенный канал до контроллера (в нашем случае до FortiGate) на основе DTLS или IPsec. При использовании IPsec FortiGate может разгрузить CAPWAP на аппаратную составляющую устройства, что заметно повышает производительность.

Процесс установления CAPWAP туннеля выглядит следующим образом:

1. FortiAP отправляет запрос. FortiGate отвечает на этот запрос;
2. FortiGate и FortiAP устанавливают защищенную DTLS сессию;
3. FortiGate авторизовывает точку доступа вручную или автоматически;
4. CAPWAP туннель устанавливается и FortiGate отправляет все необходимые настройки на FortiAP.

Перейдем к работе SSID на FortiAP. Возможны три режима работы — туннельный режим, режим моста и "wireless mesh". По умолчанию, при создании SSID на FortiGate, используется туннельный режим. В этом режиме весь трафик внутри CAPWAP туннеля отправляется на FortiGate для инспекции и дальнейшей маршрутизации.

У туннельного режима имеются два основных преимущества:

1. Весь трафик клиентов беспроводной сети должен пройти проверки межсетевым экранированием и механизмами безопасности FortiGate перед тем, как получить доступ к ресурсам внутренней или внешних сетей. Благодаря этому любой зловредный или нежелательный трафик, генерируемый клиентами беспроводной сети, будет либо очищен, либо запрещен. Это позволит защитить сеть от угроз, идущих изнутри.
2. Трафик обрабатывается на уровне сессий. Это позволяет FortiGate отслеживать деятельность пользователей и устройств беспроводной сети, а также ограничивать доступ на уровне пользователей.

Этот режим полезен, когда точки доступа разворачиваются на удаленных площадках и подключаются к контроллеру через WAN. Для того, чтобы весь трафик инспектировался механизмами безопасности, необходимо использовать FortiAP-S (серия Smart).

Wireless Mesh SSID используется как скрытый SSID для обеспечения бесшовного роуминга между несколькими точками доступа.

Для аутентификации пользователей, подключающихся к SSID, могут использоваться следующие технологии:

• WPA2 Personal (WPA PSK) — аутентификация на основе Pre-shared ключа или кодовой фразы. В таком случае клиенту необходимо ввести ключ, который хранится в базе точки доступа. Если введенный ключ совпадает с тем, который присутствует в базе — клиент подключается к SSID.
• WPA2 MPSK — расширение предыдущей технологии. В данном методе используются несколько pre-shared ключей — по одному на каждого клиента. Это позволяет усилить безопасность, а также обеспечить гибкость — если клиент компрометирует ключ, необходимо поменять ключ только для одного пользователя, а не для всех.
• WPA2 Enterprise — самая защищенная форма технологии WPA2, но для ее реализации обычно требуется дополнительная инфраструктура, например AAA сервер. Каждый клиент беспроводной сети имеет собственные учетные данные, которые проверяются на сервере аутентификации.

В большинстве случаев в качестве сервера аутентификации выступает RADIUS. Если использовать WPA2 Enterprise в концепции удаленного доступа Fortinet, можно обойтись без сторонних серверов аутентификации — FortiGate позволяет заводить учетные записи пользователей локально, и на основе этих записей предоставлять доступ к SSID. Недостаток данного подхода в том, что могут возникнуть проблемы с IoT устройствами, поскольку не все устройства поддерживают стандарт WPA2 Enterprise.

WPA3 — новый стандарт, в котором усилена безопасность, а также исправлены уязвимости, которым были подвержены прошлые стандарты WPA. Однако, на данный момент, не все устройства могут поддерживать этот стандарт. Речь идет как о клиентских устройствах, так и о точках доступа. Поэтому при внедрении WPA3 необходимо убедиться, что данный стандарт поддерживает как приобретаемая точка доступа (можно посмотреть в даташитах), так и клиентские устройства (в некоторых случаях для поддержки WPA3 достаточно обновить операционную систему, драйвера или аппаратную часть, а в некоторых добиться поддержки WPA3 невозможно).

Captive Portal — страница, которая предоставляется клиентам после подключения к беспроводной сети. Часто используется для гостевого доступа, либо же в сетях, где необходимо ознакомить пользователей с различными условиями использования сети. С помощью captive portal можно аутентифицировать пользователей, запрашивая у них логин и пароль. Пока пользователь не пройдет аутентификацию, любой HTTP запрос будет направлять его на страницу с аутентификацией. После того, как пользователь успешно аутентифицируется, ему будет разрешен доступ к сетевым ресурсам в соответствии с настроенными на FortiGate политиками безопасности.

Теперь обсудим возможности FortiAP для обеспечения безопасности беспроводной сети.

Первая интересная возможность — взаимодействие продуктов в рамках концепции безопасного доступа. При работе беспроводных клиентов их трафик контролирует межсетевой экран FortiGate. Этот трафик инспектируется различными механизмами безопасности. После, на основе этих инспекций, генерируются логи, которые в свою очередь передаются на анализ в FortiAnalyzer. FortiAnalyzer анализирует данные логи с помощью сервиса IoC (Indicator of Compromise). Таким образом оценивается деятельность каждого устройства. После оценки деятельности FortiAnalyzer выносит для каждого устройства вердикт — является ли данное устройства скомпрометированным. После этого информация передается обратно на FortiGate. И скомпрометированные устройства можно внести в карантин как вручную, так и автоматически. Это позволяет вовремя отреагировать и "вылечить" зараженное устройство, а также остановить распространение угроз внутри сети.

Второй механизм, обеспечивающий безопасность беспроводных сетей — Wireless Intrusion Prevention System (WIPS). Он направлен на закрытие существующих уязвимостей беспроводных сетей, которые могут эксплуатировать злоумышленники для получения несанкционированного доступа к сети или для нарушения ее работоспособности.

Малый список тех уязвимостей, от которых может защитить WIDS, представлен ниже:

• Слабое шифрование WEP IV, используемое для взлома WEP-ключей;
• Пустой ответ SSID, который приводит к тому, что многие устройства перестают отвечать на запросы;
• De-authentication broadcasts — атака типа DoS, в результате которой все клиенты отключаются от беспроводной сети;
• Недопустимый MAC OUI. Первые три байта MAC-адреса являются уникальным идентификатором, установленным IEEE.

Также WIDS может использоваться для обнаружения так называемых вредоносных точек доступа (о них мы поговорим чуть позже) и фишинговых SSID.

Важная часть обеспечения безопасности беспроводной сети — борьба с вредоносными точками доступа.

Для начала разберемся, что это такое, как их классифицируют, а потом рассмотрим, какие методы предлагают точки доступа FortiAP для защиты беспроводной сети от влияния вредоносных точек доступа.

Размещаются они там с различными целями:

• Мошеннические точки доступа — размещаются в сети злонамеренно для получения несанкционированного доступа к сети с помощью SSID, известного злоумышленнику, либо для получения данных клиентов: в таком случае используется фишинговый SSID;
• Неконтролируемые точки доступа — точки доступа, которые помещается в сеть без злого умысла, но они также может стать точкой входа в сеть для злоумышленников при обеспечении недостаточного уровня безопасности. Кроме этого, они могут вызывать помехи, нарушающие стабильную работу беспроводной сети. Как пример — точка доступа, взятая в тест для ознакомления;
• Интерферирующие точки доступа — соседние точки доступа (из других беспроводных сетей), которые при неверной настройке и расположении могут вызывать сбои и помехи в работе вашей беспроводной сети.

FortiAP поддерживает несколько методов обнаружения вредоносных точек доступа:

• Фоновое сканирование — в таком режиме FortiAP в определенный период времени переключает радиомодуль с режима точки доступа в режим мониторинга и проверяет все каналы на радиочастоте. Во время высокой нагрузки трафиком данный метод может вызывать потери пакетов;
• Постоянное сканирование — в данном режиме точка доступа FortiAP постоянно работает в режиме мониторинга, то есть она не имеет возможности обслуживать клиентов. Это позволяет уменьшить нагрузку на остальные точки доступа и позволяет им обслуживать клиентов без переключения в режим мониторинга. Если используется такой режим, вендор советует использовать одну точку доступа в режиме постоянного сканирования на четыре обычных точки доступа;
• Еще один полезный метод для обнаружения мошеннических точек доступа — обнаружение по проводам. Когда используется обнаружение по проводам, FortiOS сравнивает MAC-адреса в беспроводном и проводном трафике — как от клиентов, так и от точек доступа. Если FortiOS и FortiAP видят MAC-адрес беспроводного клиента в трафике проводной сети, то мошенническая точка доступа, к которой подключен клиент, подключена по проводу.

Подавление вредоносной точки доступа не работает с фоновым сканированием.

Подавление вредоносных точек доступа работает следующим образом: контроллер беспроводной сети (в нашем случае FortiGate) использует выделенный радиомодуль на управляемой точке доступа и отправляет сообщения об отмене аутентификации клиентам вредоносной точки доступа. Это затрудняет поддержание связи клиентов с вредоносной точкой доступа. Контроллер также имитирует клиентов вредоносной точки доступа, отправляя сообщения об отмене аутентификации на вредоносную точку доступа.

Помимо обнаружения вредоносных точек доступа, можно искать SSID, которые могли быть настроены для выполнения фишинговых операций. Злоумышленники могут пытаться привлечь клиентов, передавая SSID, который совпадает или очень похож на официальный SSID.

Можно настроить FortiAP так, чтобы они обнаруживали такие дубликаты SSID и классифицировали их как поддельные. Затем при необходимости можно подавлять эти поддельные SSID. Подавление поддельных SSID работает по тому же алгоритму, как и подавление вредоносных точек.

В концепции защищенного доступа Fortinet предусмотрен мониторинг состояния беспроводной сети. По умолчанию следить можно за следующими характеристиками:

• Статус точки доступа и количество подключенных каналов;
  
• Утилизация беспроводных интерфейсов;
  
• Интерференция используемых интерфейсов.
  
  

Выглядит это следующим образом:

По каждому подключенному клиенту можно получить следующую информацию:

• SSID, к которому подключен клиент;
  
• Точка доступа, к которой подключен клиент;
  
• Имя пользователя клиента (если доступно);
  
• IP адрес клиента;
  
• Устройство клиента;
  
• Операционная система и производитель устройства клиента;
  
• Используемый канал;
  
• Пропускная способность;
  
• Отношение мощности полезного сигнала к мощности шума;
  
• Дата и время подключения;
  
• Количество принимающих и передающих антенн (технология MIMO).
  
  

На примере это выглядит так:

Также присутствует возможность получать информацию о событиях, связанных с беспроводной сетью, из логов. Помимо этого, для наглядности можно загружать карты офисов и отслеживать состояние точек доступа на данных картах. При необходимости для поиска информации можно воспользоваться CLI интерфейсом точки доступа.

На этом обзор продуктов, составляющих концепцию защищенного доступа, закончен. В следующий раз мы рассмотрим пример построения защищенной сети на базе Fortinet, используя следующие продукты — FortiGate, FortiAnalyzer, FortiClient EMS, FortiSwitch, FortiAP.

Автор статьи: Алексей Никулин, инженер TS Solution.