FORTINET: Un paseo por el nuevo FotiOS 6.4
Este va a ser un articulo desde el punto de vista de un NO experto para todos los que queráis empezar a trastear con la nueva versión de FortiOS que nos esta presentando fortinet, y ver de este modo las nuevas funcionalidades con las que os vais a encontrar.
Como siempre arranco comentando que no soy experto en nada, pero al menos me gusta tener una idea de como funcionan las cosas para al menos disponer de cierto criterio a la hora de verter mis opiniones.
Lo cierto es que lo estoy probando la nueva serie que FortiGate que esta presentando, en concreto estoy jugando con el 40F (equipados con hardware específico SOC4), complementándolo con un FortiSwitch. A ver si me puedo hacer con un FortiAP para ir trasteando con mas dispositivos y ver hasta donde podemos llegar con el concepto fabric.
Afirman que con esta nueva versión 6.4 han optimizado el código por lo que los actuales equipos, que sean compatibles con la misma, van a poder extender su potencial. Por ejemplo el número máximo de FortiAP que puede gestionar, lo cual es algo siempre de agradecer. Generalmente suele suceder lo contrario cuando subimos de versión terminando estos por no aguantar y quedarse fuera de ciclo.
Mi idea es tener un entorno LAB sobre el ir probando y conociendo nuevas funcionalidades viendo lo maduras o interesantes que pueden llegar a ser estas para poder ser aplicadas en entornos mas productivos.
Ya sabéis que Fortinet lleva años trabajando en su concepto de Fabric en el que integrar diferentes dispositivos además de nuestro viejo conocido Fortigate.
Tambien quieren avanzar en el concepto de Next Genaration Firewall (NGFW) simplificando la transformación digital a la que nos enfrentamos.
Ya os he comentado que en mi caso arranco con el Fortigate y el FortiSwitch pero la idea seria intentar seguir integrando nuevos dispositivos para adentrarnos en el concepto Fabric.
Vemos que el Fortigate tiene definido un puerto como A (link) sobre el que conectar el FortiSwitch a la última de sus bocas, y de esta forma integrarlo en su concepto Fabric. Tomo muy sencillo.
Aquí aparece una de las primeras novedades en esta versión y es que nos aparece un NAC integrado dentro de la consola del Fortigate.
Lo cierto es que una vez cargada la versión 6.4 la integración con el Switch es sencilla y disponemos ese entorno de NAC con su vlan de quarentena que me sirve para empezar a jugar. Es de agradecer este tipo de integraciones aunque sean básicas. A partir de ese momento podemos configurar los puertos de nuestro FortiSwitch para que funcionen en modo NAC.
No he podido probar la parte de FortiSwitch en versiones anteriores pero comentan que han simplificado mucho la configuración de los mismos. La verdad es que en un primer contacto para hacer cosas básicas como jugar con Vlan (gui) o Port Mirroring (cli) todo fácil:
config switch-controller managed-switch
edit S524DF4K15000024
config mirror
edit 2
set status active
set dst port1
set switching-packet enable
set src-ingress port2 port3
set src-egress port2 port3
next
end
next
Aquí por supuesto podríamos tener un FortiNAC externo que se integraría como solución, pero ya os digo que para algo pequeño o poder implementar en las sedes remotas puede ser una opción.
Una vez levantado lo básico, podemos configurar la parte del FortiCloud para enviar nuestros logs ya que se incluye una licencia gratuita para almacenar logs durante 7 días.
En mi caso la integración con la parte Cloud me dio errores, y abriendo el caso con soporte se soluciono ejecutando:
config system fortiguard
set fortiguard-anycast disable
end
Si lo vais a integrar con el FortiAnalyzer tener cuidado con la interface que envia la info porque igual tenéis que cambiar este parte por ccli para que lleguen los logs al Analyzer:
config log fortianalyzer setting
set status enable
set server «Server_IP»
set certificate-verification disable
set source-ip «Source_IP»
set upload-option realtime
end
Forti comenta que mejora la conectividad con el Analyzer. Yo estoy probando también esa parte por lo que lo iremos viendo.
En este apartado he de decir que el tema ha mejorado mucho si lo comparamos con primeras versiones en las que era infumable. Parece que se han puesto un poco las pilas. Y como para no ponérselas con lo que estaba apareciendo en el mercado.
Hablando del Analyzer vais a ver ahora que incluyen a modo de Demo lo que ellos llaman SOC. Ese concepto que se oye de FortiSOAR que permite gestionar los incidentes para orquestarlos creando workflows.
El segundo problema con el que me he encontrado y que parece se resuelve en el 6.4.1 (comentado por soporte) es que no me carga las opciones de Security Fabric. Vamos a esperar a cargar la nueva versión que por los Webminar en los que he podido participar parece que aterriza la semana que viene.
Otra de las cosas que al menos os va a llamar la atención es que dentro de la parte gráfica «desaparecen» las opciones de monitor y FortiView. Ahora lo que hacen es integrarlas a modo DashBoard a través de Widgets.
Siguiendo con las nuevas funcionalidades, me quiero hacer con AP para probar las nuevas features que implementan en la parte de la gestión Wifi.
Ahora soporta wirelesss Ipv6 en los sabidos modos tunnel y local bridge. Parece que van a ofrecer info mas completa cuando estemos trabajando en este apartado Wifi.
En el módulo Wifi otra de las nuevas funcionalidades que implementan es un analizador de espectro que nos puede venir bien para conocer el entorno al que nos vamos a enfrentar. Simplemente clonamos el perfil y lo modificamos a «Modo monitor» y se lo asignamos al AP.
Por ejemplo nos va servir para analizar canales con interferencias. Remarcar que si lo tenemos activado en este modo «monitor» no puede dar servicio a los usuarios.
En cuando a las políticas, yo no lo estoy utilizando IPV6 pero consolidan Ipv4 e Ipv6 y la posibilidad de hacer test de velocidad en las interfaces.
Mejoran la parte del HA, incorporar un comando para poder hacer el failover sin tener que estar quitando cables:
execute ha failover set <cluster_id>
execute ha failover unset <cluster-id>
Aunque luego he leido por ahí que no se recomienda ejecutarlo en producción y es mas para entornos demo. Cosas de la vida.
En cuanto a detección de Malware en verisón 6.4 parece que hacen uso de la versión de la BD de datos extendida de Malware por defecto. A ver si podemos ir probando para ver que tal se porta el modulo de detección.
En cuando a nuevos servicios, enfatizan mucho sobre las mejoras en el area SD-WAN, mejorando por ejemplo toda la parte de gráfica. Es algo que de lo que no estoy haciendo uso, pero si que es cierto que en todas las charlas es algo sobre lo que les gusta enfatizar mucho.
Además de hablar de SD-WAN, otra pata en la que se centran es el mundo OT y toda esa parte de integración con dispositivos IoT en el que aplican nuevos servicios como Fortiguard IoT detection o recibir información por LLDP para reconocer dispositivos con la idea de poderlos identificar, segmentar y manejar.
Ahora en los perfiles de seguridad de una forma sencilla podremos ver aquellas caracteristicas que podemos aplicar cuando el Firewall esta trabajando en modo Flow o Proxy.
Otra de las pequeñas cositas que parece se estaba demandando a la hora de operar con los Fortigate, era la de recibir un aviso de confirmación a la hora de generar un nuevo VDOM, y que este no se generase de forma automática por haber tecleado mal el nombre del mismo:).
Podemos habilitar esta funcionalidad:
config system global
set edit-vdom-prompt enable
end
En versión 6.4 diferencian entre conectores propios o aquellos que provienen de terceros que los etiquetan como External conectors. En este parte tengo que jugar un poco mas para ver que tal se integra con nuevos conectores como por ejemplo Slack.
Y esto va muy en sintonia con probar a ver que tal se portan las nuevas automatizaciones.
En este nuevo mundo en el que vivimos esta claro que los fabricantes se tienen que abrir a terceros asi como a personalizaciones a través de scripting.
También comentar la integración de Fortinet dentro de las Cloud públicas con su concepto de multicloud, asi como su integración en el concepto de Office365. Comentan mejoras en ese aspecto. Ademas de la integración con las conocidas por todos, la última que parece incorporarse a su porfolio es RackSpace.
Otra de las mejoras que parece traer esta nueva versión es que cuando nos integramos con el AD, ya no hace falta crear grupos locales sobre los que añadir los del AD, sino que Fortigate automáticamente los reconoce y podemos hacer uso de los mismos.
Mejora en la parte de servicios con Fortiguard + Forticare + FortiOps. A ver que tal se porta la IA que se supone estan aplicando.
He visto alguna cosilla sobre su concepto de Fabric ScoreCards.
Llegados a este punto es interesante que si os interesa el mundo Fortinet os inscribáis a los Webminar que suele organizar la gente de Forti todos los meses así como las sesiones que definen como Fortinet Experts View para estar un poco al día de novedades. Al final las sesiones siempre quedan grabadas por lo que haciendo el registro vais a recibir un link con la sesion grabada y visualizarlas cuando se pueda.
En este mundo que nos toca vivir cada vez empieza a ser complicado el sacar tiempo para todo lo que nos gustaría ver y probar:).
Estoy probando también FortiEMS con la parte de Fabric Telemetry a ver que nos va ofreciendo. Muy sencillo de configurar y que viene a complementar esa capa EndPoint con módulos antimalware, antiexploits, filtrado web o de aplicaciones y con un pequeño motor de Scan de vulnerabilidades.
Links que os pueden interesar
Nuevas funcionalidades FortiOS 6.4
Como siempre espero no haberos aburrido en exceso y agradecido de recibir comentarios con erratas o funcionalidades importantes que seguro se me han olvidado incluir y nos van a venir bien el conocer.
Sed buenos y que la fuerza os acompañe:)