In prova Fortinet Fortigate 100D, appliance all-in-one per la sicurezza

NetworkSicurezza
Fortigate 100D fronte

SLIDESHOW – Fortigate 100D è un’appliance di sicurezza indirizzata alla nostra media impresa che in un unico chassis e con un solo sistema operativo proprietario permette la gestione granulare, semplice e guidata di tutti i task di protezione. I benefici di Forti OS 5.2

Nel portafoglio di prodotti Fortinet, per la sicurezza aziendale,  Fortigate 100D è un’appliance UTM (Unified Threat Management), che da sola comprende tutte le caratteristiche per la protezione della nostra piccola media impresa. Nel portafoglio prodotti Fortinet, il modello 100D viene ancora collocato tra i prodotti entry level pur implementando già caratteristiche avanzate. Per inquadrarlo specifichiamo che ci muoviamo all’interno dell’approccio Fortinet alla ‘Sicurezza Unificata’. Ne abbiamo parlato in un recente contributo, ora qui vogliamo concentrarci sull’offerta di prodotto.

Fortigate 100D fa parte della serie 100 insieme alle soluzioni FortiGate-140D-POE-T1FortiGate-140DFortiGate-140D-POE e al modello 100C. Come specifico della proposta UTM di Fortinet chi sceglie una soluzione di questo tipo può definire per il proprio modello specifiche di servizi di livello enterprise anche su appliance per piccole e medie aziende, e sempre con la certezza di poter gestire tutti gli aspetti relativi alla sicurezza da un’unica dashboard generata da un sistema operativo proprietario FortiOS che fa della semplicità, nella completezza di impostazioni uno dei propri punti di forza. 

L’offerta si fregia inoltre di un’ampia disponibilità per quanto riguarda la connettività e delle possibilità di collegare facilmente access point senza fili, sistemi 3G e 4G, centralini per il Voip e camere di videosorveglianza, grazie al supporto Power Over Ethernet, mantenendo in ogni caso il controllo da un’unica postazione. Questa caratteristica non è però specifica del modello che proviamo ma di quelli superiori di classe 140D con la specifica PoE, bisogna tenerne conto.

Fortigate 100D fronte_bis
Fortinet 100D

Il nostro modello Fortigate 100D infatti è un modello che possiamo definire di ‘confine’, perché comunque a un prezzo ragionevole indirizza e soddisfa già esigenze importanti e soprattutto mantiene caratteristiche sempre richieste come l’installazione e la messa in opera decisamente rapide e una granularità di configurazione, anche per quanto riguarda la gestione degli accessi, già di livello superiore.

Questo modello si presta sia per un impiego in realtà medio/piccole sia come appliance remota nei network più estesi delle grandi aziende. Prevede funzionalità di firewall, anti-malware e anti-spam, web filtering device per device, sicurezza nelle connessioni P2P, protezione IPsec e SSL VPN, intrusion prevention e controllo sulle applicazioni.

Nella nostra prova tra i passaggi ‘propedeutici’ abbiamo toccato con mano anche la semplicità di aggiornamento del firmware e di update, praticamente senza bisogno di interventi. Come caratteristiche di base segnaliamo subito i benefici della piattaforma per l’accelerazione in hardware FortiASIC CP8, lo storage integrato da 32 Gbyte, per tutte quelle che sono le policy e le ottimizzazioni impostate per la propria WAN. Fortinet parla espressamente di Wan Optimization ad indicare la riduzione dei carichi sulla rete, proprio possibile grazie alla riduzione delle informazioni necessarie tra applicazioni  e server.

L’appliance, ha l’ingombro strettamente richiesto dalla disponibilità delle 14 RJ45 Switch Port di serie, più le RJ45 che qualificheremo; Fortigate 100D non vanta caratteristiche di livello per quanto riguarda la silenziosità, a causa del sistema di raffreddamento molto esposto, ma anche efficace. Il modello 100D pesa poco più di 4 kg per 43x30x4 cm circa e mostra consumi fino a 63 W con una dissipazione calore di circa 215 BTU/h. Sul frontalino anteriore in sequenza si trovano la comodissima porta USB per il primo collegamento, 2 porte USB supplementari 2.0, una VGA per la consolle, 2 porte RJ WAN, 1 RJ45 DMZ, e 1 RJ45 per il Management, infine 2 RJ45 HA. Quindi un totale di 20 (GbE RJ45) e 2 porte RJ45 condivise.

Fortigate 100D interfacce
Fortigate 100D interfacce

I dati di targa condivisi tra tutte le appliance della serie 100 parlano di valori di throughput firewall fino a 300 Kpps, un throughput SSL-VPN di 300 Mbps, la possibilità di gestire fino a 3 milioni di sessioni (TCP) e 10mila policy firewall.

In fase di installazione piace molto il sistema disponibile per piattaforma Windows e Mac e per le piattaforme mobile iOs e Android. Si chiama FortiExplorer, il download è gratuito e non richiede nemmeno la registrazione: permette con un semplice wizard di impostare e dettare a Fortigate 100D le prime impostazioni attraverso la medesima consolle che poi si utilizzerà in fase operativa. Comodissima ovviamente la connettività USB per un primo ‘contatto’ con l’appliance. Si può procedere ovviamente tramite RJ45 e la MGMT port, quindi con interfaccia web immediata all’indirizzo 192.168.1.99, oppure tramite la Console port in emulazione di terminale con il proprio laptop.

Fortigate 100D posteriore
Fortigate 100D posteriore

La scelta poi di configurazione può tenere conto che Fortigate 100D supporta Dual Ethernet, nel caso in cui si abbiano due o più link geografici, considerato che il Fortigate può tranquillamente fare bilanciamento di carico da più router. Una volta scelto come il Fortigate sarà configurato a livello IP, quindi la ‘One Connection’ (tipicamente si prende la Wan1 per Internet e si può lasciare che l’indirizzo IP sia assegnato dal router), si qualifica la parte di rete locale da proteggere a valle, si procede quindi definendo lo scheduling dell’accesso a Internet, si abilita NAT, e i vari servizi (tra cui anche Antivirus e Antispam, controllo delle applicazioni etc.). Per iniziare è davvero tutto qui.

Noi abbiamo utilizzato nella tabella di routine per tutte le porte un’unica LAN. Nella topologia scelta si imposta poi la policy dalla LAN verso la WAN1, andando a fare proprio il bind delle interfacce, che nel nostro caso sono esclusivamente fisiche, dove si definiscono con il wizard, gli accessi agli indirizzi IP sorgente e di assegnazione, i servizi accettati.

La caratteristica importante in questa fase è che attivati i filtri in funzione dei flussi di traffico da intercettare si può poi decidere per policy quale funzionalità di security abilitare. Questo permette di ottimizzare la configurazione in termine di flussi (per esempio limitando la funzionalità di antivirus da tutta la rete, alla parte che dialoga con il web, decidendo che nella DMZ non serva, come può essere) e di macchina. Quindi con ampie possibilità di ‘mirare’ quanto si vuole proteggere e come lo si vuole fare.

Dalla dashboard unica si controlla tutto lo stato di salute della macchina, il funzionamento in cluster oppure no, si visualizza subito la configurazione NAT oppure in Transparent, la versione del firmware. Il Fortigate si differenzia tra l’altro perché può essere puntato come Default Gateway oppure come Explicit Proxy per una maggiore flessibilità nella gestione del traffico, flessibilità che distingue anche la gestione dei log che possono essere salvati in FortiCloud come su disco.

I device che hanno a bordo installato un FortiClient immediatamente alla presenza di Fortigate dialogano per l’impostazione delle policy o per reimpostare le VPN, secondo i settaggi preimpostati. Il sistema con Forticlient permette di riconoscere l’accesso alle risorse aziendali in base sia all’utente, sia al device specifico e questo è possibile quindi con un semplice client installato su smartphone o tablet.

Il cuore della proposta, il valore, sta nel sistema operativo FortiOS 5.2 con i suoi 4 comparti operativi: security, networking, management ed extension che raggruppano le relative funzionalità a seconda della declinazione hardware utilizzata.

L’ultima versione di FortiOS ha fatto guadagnare alla macchina la possibilità di gestire in modo più granulare i device in relazione al loro utilizzo per una piena trasparenza in rete, per questo sono interessanti le funzionalità come quella offerta da FortiView per capire quali sono gli utenti che fanno più traffico in Rete, quali applicazioni usano, e i livelli di minacce intercettate, FortiOs ha migliorato l’implementazione della protezione Antivirus in Flow Based e Proxy. Proprio dalla console, si può per esempio inviare un file sospetto a Forti Guard SandBox per la verifica, senza uscire dalla dashboard, o intervenire sulla verifica in email filtering. Migliorati pure gli strumenti IPsec e SSL VPN , in questo ultimo caso con un Wizard per la generazione di una nuova VPN a template e la possibilità di comporre in autonomia il proprio modello.

Su tutto a noi è piaciuta la capacità di unificare in un unico repository tutte le possibilità di gestione; sono unificate in un’unica location, in FortiOS, persino le policy che riguardano le persone, i device e le VPN, come a permettere da un unico punto quello che è il controllo fondamentale di tutti gli accessi. In questo senso si ha davvero la giusta impressione di un’appliance di sicurezza già di classe enterprise ma molto pratica da gestire anche per chi dispone di risorse limitate tipiche delle aziende medio piccole, oppure di startup che fanno parte però di un network di collaboration molto ampio. Tutto con un tempo di implementazione di base minimo e la possibilità poi di intervenire su ogni parametro in modo molto semplice, per esempio in relazione a nuovi device che entrano a far parte della rete, come più semplicemente un’estensione della rete stessa.

Fortinet si fregia di mettere a listino un’offerta di appliance con una buona varietà di configurazioni sia in hardware sia in software e servizi dove la scelta della macchina non dipende però dalla disponibilità o meno di determinate features, ma dall’esigenza di utilizzarle, eventualmente implementandole anche tempo dopo l’acquisto, ecco ci sembra che effettivamente sia questo un vero punto di forza ben coniugato con l’architettura di FortiOS nella sua ultima versione in grado di seguire passo a passo le necessità degli utenti, ma nel modo più guidato e semplice possibile.

FortiGate 100D a listino costa circa 3.300 euro con tutti i servizi attivi e la manutenzione per un anno.

Per saperne di più, consultate anche:

[nggallery template=nme images=40 id=218]

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore