В начале марта 2022 года мир бизнеса столкнулся со значительными изменениями, когда множество западных компаний, среди которых и американская корпорация Fortinet, приостановили свою деятельность на территории России. Fortinet, известный производитель сетевого оборудования FortiGate, быстро завоевал популярность среди отечественных организаций благодаря своим высоким стандартам безопасности и эффективным решениям для защиты интернет-подключений.

Однако решение Fortinet приостановить свою работу в России вызвало серьезные последствия для пользователей — стало невозможным приобретение нового оборудования, а также получение технической поддержки и обновлений для встроенного программного обеспечения FortiGate. В условиях растущих киберугроз использование устаревших и необновленных устройств становится крайне рискованным. Это увеличивает вероятность проникновения злоумышленников в корпоративные сети, что ставит под угрозу безопасность данных и нарушение работы компаний.

Как следствие, многие предприятия, использующие FortiGate, начали активно искать альтернативные пути решения возникшей проблемы. Переход на другие решения безопасности стал главным приоритетом для обеспечения защиты своих корпоративных сетей в новых условиях. Организации ищут возможности для миграции к более доступным и поддерживаемым системам, которые смогут гарантировать их безопасность в условиях повышенной угрозы кибератак.

Как была решена проблема с потенциальными уязвимостями и отсутствием обновлений в одной из организаций, активно использующих устройства Fortinet?

Исходная конфигурация

Компания, о которой пойдет речь, использовала оборудование Fortinet в качестве интернет-шлюзов и для организации подключения удалённых пользователей. Подключений к интернету было два:

• основной канал с одним внешним IP-адресом
• резервный канал, 8 IP-адресов с маской /29.

Оба канала подключались к коммутатору, на котором был создан специальный VLAN Allowed. Этот же VLAN приходил на WAN-порт маршрутизаторов FortiGate FG-100.

Удаленные и локальные пользователи подключались к этому же маршрутизатору. Для них был создан отдельный VLAN Vlan500. Удаленные пользователи использовали при подключении SSL VPN.

К этому же маршрутизатору через VPN с использованием IPSec были подключены филиалы. Имеющиеся там устройства FortiGate выполняли маршрутизацию трафика в сеть центрального офиса.

Чтобы исключить риски взлома необновляемого FortiGate, было принято решение на границе между интернетом и корпоративной сетью установить UTM Traffic Inspector Next Generation, и настроить его таким образом, чтобы весь трафик из локальной сети Vlan500 в интернет и обратно транслировался через него. Все удаленные подключения к корпоративной сети, как филиалов, так и отдельных пользователей, будут по-прежнему выполняться через FortiGate.

План действий

1. Соединить TING и FortiGate через управляемый коммутатор, настроить интерфейсы.
2. Создать туннель между TING и FortiGate и включить OSPF, чтобы анонсировать нужные сети.
3. Изменить настройки маршрутизацию на FortiGate так, чтобы трафик внутри локальной сети маршрутизировался на FortiGate, а все внешние запросы отправлялись на TING.

Более подробно о кейсе по ссылке.

Результат

Итоговая конфигурация позволила с минимальными затратами исключить риски, связанные с отсутствием обновлений безопасности на оборудовании вендора, отказавшегося от работы в России.

Чтобы добиться этого результата, оказалось достаточно добавить всего один новый компонент — TING — в сетевую топологию компании. Все остальные задачи были решены путем настройки конфигурации на устройствах TING и FortiGate.

Для решения задачи был установлен TING между интернетом и сетью компании, затем настроен туннель между TING и FortiGate и включен протокол динамической маршрутизации, для которого был использован плагин os-zerotier в составе TING.

В результате весь внешний трафик транслируется через универсальный шлюз безопасности Traffic Inspector Next Generation, а администраторы компании получили возможность выполнить фильтрацию этого трафика, выполнять его антивирусную проверку, а также блокировать доступ пользователей к определенным интернет-ресурсам.

При этом не пришлось менять настройки удаленных пользователей, подключающихся к сети с использованием SSL VPN, а также филиалов, использующих IPSec. Зато благодаря фильтрации входящего трафика на шлюзе, снизилась опасность заражения пользовательских устройств вредоносным ПО, которое кто-то из локальных пользователей мог, например, сохранить в общих папках.

По общим вопросам, связанным с решениями Смарт-Софт: smart-soft@mont.ru.