CASE STUDY:
Wdrożenie FortiGate

ETAP I ANALIZA

Analiza struktury sieci klienta

Proces wdrożenia rozpoczyna się od dokładnej analizy struktury sieci klienta. Konieczne jest wyszczególnienie kluczowych elementów odpowiedzialnych za funkcjonowanie firmy. W tym przypadku klient posiadał uproszczony schemat, w którym stacje robocze, serwery i urządzenia sieciowe znajdowały się w jednej podsieci.

ETAP I ANALIZA

Analiza struktury sieci klienta

Urządzenie brzegowe nie posiadało żadnych funkcji bezpieczeństwa zapewniających ochronę pakietów na warstwie 7. Urządzenie to było klasycznym routerem. Dalsza część sieci połączona była niezarządzanymi przełącznikami warstwy 2. Dostęp do Internetu uzyskiwany był przez 2 łącza internetowe, które działały w schemacie głównego i zapasowego.
Pracownicy zdalni łączyli się za pośrednictwem rozwiązania OpenVPN, uwierzytelniając się jedynie loginem i hasłem.
Dodatkowo klient posiadał wystawione na świat usługi serwera WWW oraz dostęp administratorów poprzez protokół RDP.

ETAP I: analiza

Projekt wdrożenia rozwiązań Fortinet

Po analizie sieci klienta został przygotowany projekt w oparciu o urządzenia FortiGate 100F pracujące w klastrze wysokiej dostępności. Urządzenia zastąpiły obecny router. Od strony sieci wewnętrznej zostały zaproponowane przełączniki corowe FortiSwitch 124E działające również w klastrze. Przełączniki są zarządzane poprzez jednostkę FortiGate. Dodatkowo w projekcie pojawiły się trzy punkty dostępu bezprzewodowego FortiAP 221E, po każdym na piętro budynku firmowego.
fortigate

Etap II: Wdrożenie

Stworzenie polityk bezpieczeństwa

Pierwszym krokiem wdrożeniowym była rejestracja urządzeń FortiGate oraz utworzenie na nowo polityk bezpieczeństwa. Nowe polityki zakładały bezpieczny podział sieci na:

· Sieć pracowników
· Sieć DMZ
· Sieć administracyjną
· Sieć gościnną
Dzięki takiemu podziałowi duża sieć została posegmentowana na mniejsze i chronione obszary.

Etap II: Wdrożenie

Implementacja mechanizmu SSL VPN

Kolejny etap to rezygnacja z połączeń opartych na połączeniach RDP i rozwiązaniu OpenVPN. Zostały zastąpione szyfrowanym tunelem SSL VPN. Połączenie wykorzystywało aplikację FortiClient oraz dodatkowo uwierzytelnianie dwustopniowe poprzez urządzanie FortiToken (zarówno w wersji fizycznej, jak i mobilnej). Zapewniło to nadzorowany i pewny dostęp do kluczowych zasobów firmy.
Dzięki takiemu podziałowi duża sieć została posegmentowana na mniejsze i chronione obszary.
forti vpn

Etap II: Wdrożenie

Stworzenie warstw ochrony

Następnie odpowiednio z polityką firmy zostały utworzone filtry warstwy 7:

Etap II: Wdrożenie

Wprowadzenie przełączników FortiSwitch

Następnym krokiem było wyłączenie obecnych przełączników i zastąpienie ich urządzeniami FortiSwitch. Przełączniki zostały zintegrowane z urządzeniem FortiGate, co zapewniło ich pełną kontrolę i administrację z poziomu jednego miejsca. Na przełącznikach utworzone zostały odpowiednie VLAN-y, zgodnie z nowym podziałem sieci.
fortiswitch

Etap II: Wdrożenie

Wprowadzenie FortiAP

Ostatnim krokiem było podłączenie FortiAP, dzięki zarządzaniu poprzez protokół CAPWAP one także zostały zintegrowane z FortiGatem. Utworzyło to spójny i zamknięty system w pełni kontrolowany z poziomu urządzenia FortiGate. Dodatkowo utworzone zostało konto w chmurze producenta FortiCloud zapewniające gromadzenie logów i generowanie raportów.
FortiAP

Etap III: szkolenie

Praktyczne umiejętności zarządzania FortiGate

Po wdrożeniu przeprowadziliśmy 2-dniowe szkolenie działu IT, które zapewniło pracownikom kompletną wiedzę do zarządzania i monitorowania nowo utworzonej struktury.