Sie sind hier

Fortinet - Zentralisiertes Management

Wie Netzwerkkomponenten verwaltet werden sollen, liegt auf Kundenseite meist im Ermessen der IT-Abteilung bzw. der Administratoren. Sollte es sich lediglich um wenige Geräte eines Herstellers handeln, reicht für die Administration meist die Konsole bzw. die Weboberfläche aus. Auch Logging-Einträge und Statusmeldungen können so abgefragt werden, sofern diese nicht bereits an einen herstellerunabhängigen Syslog- / SNMP-Server weitergeleitet werden. Ab einer gewissen Anzahl von Geräten erleichtert eine zentrale und zugeschnittene Management-Lösung die Arbeit eines jeden Administrators. Hewlett-Packard Enterprise bietet für Ihre Produktpalette (Procurve, Comware, usw.) sowie zusätzlich für einige Fremdhersteller beispielsweise den HP IMC als Lösung an. Auch Fortinet unterstützt Sie bei der Administration, Konfiguration und Verwaltung von FortiGates, FortiWifi-Produkten und weiteren Fortinet-Komponenten. Der FortiManager ist die Appliance für Logging, Reporting und Konfiguration aus dem Hause Fortinet. Fortinet-Produkte, vor allem die FortiGate-Firewalls lassen sich einbinden. Die vollständgie Liste der Features lassen sich der Fortinet-Website sowie den Datenblättern entnehmen. In diesem Blogeintrag wollen wir uns die unterschiedlichen Ausführungen des FortiManagers sowie die Benutzeroberfläche anschauen.

 

FortiManager - Ein Produkt, mehrere Ausführungen

Sollte der FortiManager für Sie interessant sein, da Sie bereits Firewalls von Fortinet besitzen, dann müssen Sie sich im Grunde nur noch um drei Dinge Gedanken machen:

  • Wieviele Geräte will ich verwalten können?
  • Möchte ich eine VM oder eine Hardware-Appliance nutzen?
  • Welcher preisliche Rahmen wurde für das Projekt "Netzwerk-Management" festgelegt?

Schauen wir uns nun die Produktpalette "FortiManager" genauer an. Vorweg sei anzumerken, dass, egal für welches Produkt man sich letztendlich entscheidet, der Produktumfang immer identisch ist. Die Unterteilung basiert auf der Leistungsfähigkeit, der Anzahl an Schnittstellen sowie der Menge an verwaltbaren Einheiten.

  FMG-200D FMG-300D FMG-1000D FMG-3900E FMG-4000E FMG-VM
Anzahl Ports 4 * 1GBase-T 4 * 1GBase-T 6 * 1GBase-T, 2 * SFP 2 * 1GBase-T, 2 * SFP+ 4 * 1GBase-T, 2 * SFP Serverabhängig
Speicherkapazität 1 TB 4 TB 8 TB 15 TB SSD 16 TB 100 GB - 16 TB
Logvolumen / Tag 2 GB 2 GB 2 GB 10 GB 10 GB 1 GB - 50 GB
Max. Geräte/ ADOMs/ VDOMs 30 300 1.000 10.000 4.000 10 - Unbegrenzt

Die Hardware-Appliances haben alle festgelegte Maximalwerte hinsichtlich ihrer Leistungsfähigkeit. Dafür bekommt man auf der anderen Hand eine dedizierte Box, die sich an einer beliebigen Stelle in das Netzwerk einbauen lässt. Anders als bei der VM ist kein virtueller Server notwendig. Sollte man sich allerdings für den Einsatz einer FortiManager-VM entscheiden, ist die virtualisierte Form natürlich der große Vorteil. Voraussetzung ist lediglich, dass man eine unterstützte Virtualisierungslösung bereitstellt. FMG-VMs sind lauffähig unter VMware vSphere, Citrix Xen sowie Microsoft Hyper-V. Aber auch der Einsatz mit Amazon Web Services und Microsoft Azure ist möglich. Ein weiterer Vorteil der VM-Lösung liegt in der granularen Lizenzgestaltung. Unterschiedliche Abstufungen sind möglich. Eine Aufrüstung auf eine höhere Stufe ist somit möglich. Welche Lösung für einen selber nun die optimale ist, hängt somit immer von den Gegebenheiten des Netzwerks ab.

 

FortiManager - Getting Started

Für diesen Blogeintrag wurde die FortiManager-VM in der Variante "FMG-VM-Base" installiert:

  • Max. Geräte/ ADOMs/ VDOMs: 10
  • Logvolumen / Tag: 1 GB
  • Speicherkapazität: 100 GB
  • Virtualisierungslösung: VMware vSphere

Beim ersten Aufruf der Management-Oberfläche des Fortimanagers über einen Browser (SSH / Konsole ist ebenfalls möglich), ist noch kein Fortinet-Produkt eingebunden. Über den Reiter "Add Device" fügt man bequem neue Komponenten hinzu, beispielsweise eine FortiGate.

Um ein ein unterstützes Gerät hinzuzufügen stehen zwei unterschiedliche Ansätze zur Auswahl. Zum einen lässt sich ein bestimmtes Gerät gezielt über die Eingabe der IP-Adresse sowie der Zugangsdaten "discovern". Der FortiManager versucht nach der Eingabe das Gerät zu erreichen und bindet es bei Erfolg direkt ein. Der Einbindungsprozess kann noch granularer durch das Festlegen des Import-Verhaltens gestaltet werden. Des weiteren bietet sich auch die Möglichkeit an, eine Einbindung auf Basis des Modelltyps durchzuführen.

Nach dem erfolgreichen Abschluss eines Geräte-Imports (hier einer FortiGate) füllt sich die Management-Oberfläche.

Unsere FortiGate wird nun aufgelistet. Über den Reiter "Add Group" hätte man nun weiterhin die Möglichkeit, Gruppen für die Geräte anzulegen (Bsp.: Zentrale, Außenstelle1, Außenstelle2, usw). Dies ermöglicht die Unterteilung der zu überwachenden Geräte und erlaubt darüber hinaus eine gruppenbasierte Konfiguration.

Über den Reiter "Policy & Objects" gelangt man direkt in den Konfigurationsbereich.

Das Erscheinungsbild des Konfigurationsbildschirms erinnert stark an die FortiGates. Wer sich mit der Administration von FortiGate-Regeln nicht schwer tut, fühlt sich im FortiManager direkt heimisch. Hier zeigt sich auch eine weitere Stärke. Beim Import der FortiGate wurde nicht nur das Gerät an sich importiert, sondern auch die Regelsätze und Konfigurationsparameter. Diese lassen sich auf dem FortiManager speichern oder auf andere Fortigates ausrollen. Neue "Policy Packages" (hier THOR und default) lassen sich ebenfalls erstellen. Diese kann man dann auf neue oder bereits bestehende Fortigates ausrollen. Schlo bei einer kleineren Anzahl von FortiGates liegt der Vorteil auf der Hand. Eine direkte Konfiguraiton der Regelsätze und Objekte ist nicht mehr notwendig. Über den FortiManager kann jede importierte FortiGate zentralisiert konfiguriert werden.

Eine weitere Eigenschaft des FortiManagers sind die mitgelieferten Logging- und Reporting-Funktionalitäten. Diese können entweder separat (ohne Import in den FortiManager) oder inklusive Verwaltung eingerichtet werden. Unabhängig davon für welche Methode man sich entscheidet, wird der FortiManager als Logging-Ziel bei einer FortiGate eingetragen.

Von nun an werden alle Logmeldungen an den FortiManager übermittelt. Das Erscheinungsbild des FortiManager-Logs unterscheidet sich dabei kaum von den bereits bekannten FortiGates. Bei der Einbindung mehrerer Firewalls / Komponenten laufen lediglich alle Log-Meldungen an einem Punkt zusammen, woraus sich direkt ein weiterer Vorteil ergibt. Durch die Konsolidierung der Daten aller Firewalls lassen sich gezielte Berichte (Reports) zu unterschiedlichen Themengebieten erstellen. Welche Geräte waren an welchen Tagen nicht zu erreichen? Welche Bedrohungen wurden in den letzten Monaten abgewehrt? Welche IP-Adressen werden am häufigsten im Internet angesprochen? Beinahe zu jedem Security-Event lässt sich auch ein Bericht erstellen.