On-Premise Netzwerksicherheit mit Fortinet

Stellen Sie sich vor, Sie sind ein Dienstleister für Unternehmen mit hohen Sicherheitsstandards oder haben selber im Unternehmen hohe Sicherheitsstandards für Datenschutz und wollen auch Ihr möglichstes geben, um diese zu erfüllen. Dazu gehört auch, dass die Sicherheitslösung komplett on-premise arbeiten muss und keine Daten das firmeninterne Netzwerk dafür verlassen dürfen. Dadurch fallen alle Lösungen weg, welche die Cloud nutzen würden.

Fortinet ist sich solcher Ansprüche bewusst und bietet ein Sicherheitskonzept an, welches diesen Ansprüchen gerecht wird.

In einem hypothetischen Szenario sollen sowohl das Netzwerk, die E-Mails und die Endgeräte geschützt werden.

Dies ist ohne weiteres mit einer FortiGate als Firewall, einer FortiMail als E-Mail Gateway und einer FortiSandbox als on-premise Sandboxlösung möglich. Für den Endpoint kämen dann der FortiClient mit dem Enterprise Management Server zum Einsatz.

Die Firewall kommt wie zu Erwarten am Rand des Netzwerkes zum Einsatz und bietet das erste Bollwerk von außen. Es können, je nach Größe des Netzwerkes, auch weitere kleinere FortiGate Firewall für die Segmentierung des Netzwerkes eingesetzt werden. Fortinet bietet hier ein breites Spektrum an Modellen an, so dass für jeden Einsatzzweck eine passende Firewall vorhanden ist.

Die FortiGate kann hier viele Aufgaben übernehmen, es kann beispielsweise ein Antivirenscan jeglichen Traffics vorgenommen werden, auf Wunsch sogar mit Deep Packet Inspection für SSL verschlüsselte Kommunikation. Dabei werden auch die Zertifikate auf Gültigkeit überprüft.

Zudem kann die FortiGate IPSec oder SSL-VPN Verbindungen bereitstellen um Außenstandorte oder Home-Office Arbeitsplätze sicher anzubinden, SSL Verbindungen können sogar ohne Clientsoftware bereitgestellt werden, mit Hilfe eines auf HTML5 aufbauenden Webportals. Alternativ kann jeder OpenSSL kompatible VPN Client benutzt werden. Auch der FortiClient bietet VPN Funktionalität und den für Administratoren großen Vorteil, dass eine Konfiguration aus der Ferne vorgenommen werden kann, auch nachträglich.

Mit Hilfe der Application Control können Sie auch den Zugriff auf unerwünschte Dienste und Seiten einschränken oder blockieren. Zum Beispiel die Nutzung des TOR-Netzwerkes. Der große Vorteil, Sie müssen die Adressen der Ein-/Ausgangsknoten nicht selber pflegen. Dies tut Fortinet für Sie und die FortiGate lädt die aktuellsten Informationen herunter. So können Sie mit wenigen Klicks Dienste einschränken, blockieren, oder falls nötig, explizit erlauben.

Bei E-Mails kann die FortiGate gleich an mehreren Stellen schützend eingreifen, zum einen kann ein Anti-Spam Filter E-Mails ausfiltern, bevor diese im Netzwerk ankommen. Zum anderen kann der sogenannte Content Disarm & Reconstruction Dienst Dokumente wie PDFs und Office-Dateien von URLs und Makros bereinigen, bevor diese zugestellt werden. Eine unbearbeitete Kopie kann dann entweder verworfen werden, oder an eine FortiSandbox zur weiteren Überprüfung weitergeleitet werden.
Diese Aufgaben sollte man allerdings bei größerem E-Mail-Aufkommen an eine dedizierte Appliance wie der FortiMail überantworten. Diese würde nicht nur die FortiGate entlasten, sondern auch weitere Features mit sich bringen wie den Dynamic Adult Image Analysis Service. Mit diesem Dienst kann die FortiMail Bilder analysieren und erkennen, ob es sich um Bilder handelt, welche man eher in einem Rotlichtbezirk sehen würde. Die Überprüfung auf Spam, Viren und unerwünschte Inhalte würde stattfinden, noch bevor die E-Mail an den E-Mail Server zugestellt ist.

Die FortiSandbox ist wie der Name vermuten lässt, eine Sandbox Lösung für die Verhaltensanalyse von verdächtigen Dateien. So kann Sie das Verhalten von ausführbaren Dateien analysieren und sogar eigenständig Menüs bedienen. Dabei kann sowohl Windows 7, 8.1, 10 aber auch Linux und Android lokal als VM einsetzen. Eine Analyse in Mac OS X ist nur als Cloud Service verfügbar.

Die FortiSandbox kann hier automatisch sowohl von der FortiGate, der FortiMail und auch dem FortiClient mit verdächtigen Inhalten beliefert werden. Im Falle des FortiClients würde der Zugriff auf die Datei gesperrt solange die Analyse läuft. Damit Dateien nicht unnötig oft analysiert werden müssen, merkt sich die FortiSandbox einen Hashwert der Datei und das Ergebnis. Sollte also die Datei wiederholt vorgelegt werden, würde die FortiSandbox die Datei wiedererkennen und direkt das Ergebnis der letzten Analyse übermitteln.

Es ist neben der automatischen Analyse auch jederzeit eine manuelle on-demand Analyse möglich, entweder durch das Hochladen einer Datei, oder der Eingabe einer URL.

Aber auch das Endgerät muss geschützt sein. Hier bietet Fortinet den FortiClient an. Generell bietet sich der Einsatz des FortiClients mit einer Verwaltung über den Enterprise Management Server an, kurz EMS. Dieser ist kostenlos in der Lizenz mit enthalten. Der FortiClient bietet hier eine vollwertige Antiviren, Webfilter, VPN Lösung an. Zudem ist auch eine Schwachstellenanalyse für das installierte Betriebssystem sowie die installierten Programme möglich. So kann sichergestellt werden, dass die aktuellste Version eingesetzt wird. Fortinet unterscheidet hierbei nicht zwischen dem Bürocomputer und einem Server, das heißt eine Lizenz würde beide Bereiche abdecken. Der FortiClient unterstützt zudem Windows, MAC OS X und Linux Betriebssysteme.

Der Netzwerkadministrator ist sogar in der Lage über Compliance-Richtlinien Schwellenwerte festzulegen, ab wann ein Client sich nicht mehr im Netzwerk aufhalten darf. Zum Beispiel wenn der Rechner infiziert wurde, beispielsweise über einen USB Stick. Dann wird der Client automatisch isoliert und ein Alarm generiert. Aber auch wenn Updates für den FortiClient oder das Betriebssystem noch nicht eingespielt werden kann der Zugang blockiert werden. Updates sind dann weiterhin möglich, aber der restliche Zugang würde gesperrt werden, bis die Compliance-Richtlinien erfüllt sind.

Wie man merkt, die Komponenten arbeiten in Symbiose zusammen, der Fortinet Security Fabric. Die einzelnen Komponenten kommunizieren miteinander und tauschen sich aus. So kann sichergestellt werden, dass alle Aspekte eines Netzwerkes abgesichert sind. Dabei würden keine Daten das Unternehmen verlassen, da alle Prüfungen on-premise geschehen würden.

Sollten Sie an einer Sicherheitslösung von Fortinet interessiert sein und vielleicht sogar eine Teststellung wünschen, so können Sie uns gerne über Telefon, E-Mail oder das Kontaktformular erreichen.

Die mit einem * markierten Felder sind Pflichtfelder.