FortiGuard
- Vdom – виртуальные домены – разделение одного физического firewall на несколько логических
- Несколько месяцев наблюдали за кибер-шпионами, обалдеть.
Among these attacks, we identified a campaign operated by Moses Staff, a geopolitical motivated threat actor group believed to be sponsored by the Iranian government. After tracking this campaign for the last several months, we found that the group has been using a custom multicomponent toolset for the purpose of conducting espionage against its victims.
Fortigate
- Батранков L4/L7 firewall и окирпичивание:
- ну почему. я же нашел их больную точку: policy mode. до сих пор жду хоть одного реального здравомыслящего заказчика, который это включил ) поэтому напряглись они, когда я стал про это писать ) а в profile mode они портовые правила только могут.. то есть они L4 firewall и это прямо плохо для маркетингового позиционирования.
- ну плюс кейс с саботажем многих видов бизнеса, когда они удаленно превратили свои устройства в кирпичи. вчера даже Солар про это сказал, до сих пор под впечатлением.
- хорошо, что политика лицензирования у них позволила окирпичить только апплаенсы, которые поинтами питались. А железки и обычные виртуалки нет.
- (Подробнее в тестинге) 10-ти юнитовым шасси от Keysight IXIA APS ONE тестировали мега монстра от Fortinet – 16 юнитовый Fortigate 7121F. На борту Ixia APS был BreakingPoint. Результаты:
- 1.9 Тб/с Firewall mode
- 1 Тб/с, 2 МЛН CPS в режиме DPI + WEBF
- 500 Gbps от производительности в режиме DPI + antivirus + IPS
-
1 Billion Concurrent Connections, CPS 9 Million
- 20 Gbps log traffic rate
- Тестирования TLS MITM/SSL Inspection в таком же setup (IXIA APS ONE + FORTIGATE 7121F):
-
- 300 gbps,
- 400k cps (600k в тесте с однобайтовым payload и всеми другими настройками аналогичными выше)
Test params: ssl inspection tls 1.3 with dpi + ips + antivirus + logging enabled TLS 1.3 (min and max!, no downgrade possible) HTTP 64 kbyte payload 1 tps per 1 cps No session resumption Mitm ECDHE-ECDSA-AES128-GCM-SHA256 with Prime256v1 (ecc 256 bit key), что соответствует netsecopen draft, в datasheet у Fortigate при этом публикуется thpt для mix разных шифров
-
- CheckPoint судя по datasheet в 10 раз менее производителен в топовых моделях в сравнении с Fortinet – 150 Gbps VS 1.9 Tbps. Хотя и у CheckPoint появилась модель QLS800 с заявленной 800 Gbps производительностью в режиме L3-L4 firewall (в IPS/NGFW режиме 500 gbps = эквивалент с Fortinet).
-
В Fortinet TAC работает CCIE & Network automation чел 😀
mostafa_katary (@KataryMostafa). CCIE R&S and Network automation enthusiast Best Regards, Mostafa Katary Fortinet EMEA TAC Engineer
- Сервисы безопасности Fortigate (DPI, IPS, Firewall), так же как и у Checkpoint/Cisco, мапятся в ACL, а не включаются глобально на устройстве
- Explicit deny у Fortigate в конце списка ACL
- Есть возможность балансировки трафика, напр. трафик на один внешний IP разбалансировать на несколько серых внутренних IP с возможностью health check и выбором метода балансировки трафика.
- Есть встроенные кастомизируемын мониторинги как в GUI, так и в CLI (напр. CPU, memory, session rate, sessions, bandwidth)
- Если в ситуации, когда вы забыли пароль или вам надо получить доступ к устройству FortiGate без имеющегося пароля, вы можете подключиться по консольному кабелю и ввести строку bcpb + серийный номер устройства. Например: bcpbFGT50C3G20xxxxxx.
- Management: поддержка опроса по snmp, настройка доступа по определенным протоколам к определенным management адресам
asic/fpga
Fortigate любит ASIC/FPGA, но они не являются панацеей от всех performance проблем.
FortiASIC NPU6 имеет производительность в 40 Gbps и 10 млн. сессий. С двумя NPU6 Fortigate 1500D достигает производительность firewall в 80 gbps. Распределение по NPU на основе портов – порты биндятся к выделенным под них NPU. Поэтому для получения максимальных значений производительности нужно нагружать оба NPU, передавая нагрузочный трафик по нескольким контурам. К примеру, при тестировании firewall only performance весь трафик обрабатывается NPU и не попадает на обработку системного процессора (он в idle). При тестировании же с включенным для нагрузочного трафика IPS NPU не может выполнить offload всего трафика и системный процессор (его ядра), как следствие отсутствия offload, загружается.
