FortiSIEM Product Demo

2024-12-03 16:49
bga68comp: (Default)

Компанія Fortinet надає можливість потицяти у демо-режимі свою SIEM-систему. Для цього треба тільки зареєструватися. Демо-режим означає, що система працює у режимі читання і тільки. Цього для першого знайомства достатньо.




Посилання:
https://www.fortinet.com/demo-center/fortisiem-demo

p.s. Але якщо треба щось більше ніж просто подивитись на інтерфейс системи, то можливо заказати лабораторні роботи і пройти декілька стандартних сценаріїв у FortiSIEM.


Для цього вже треба звернутися до Fortinet і знайти людину, яка відповідає за вашу країну


👩‍💻



Tags:
  • Add Memory
  • Share This Entry

2024 Gartner® Magic Quadrant™ for SD-WAN

2024-11-14 17:51
bga68comp: (Default)



The SD-WAN Leader
in Execution
Fortinet named 5x a Leader and 4x highest in Ability to Execute in the Gartner® Magic Quadrant™ for SD-WAN
Figure 1: Magic Quadrant for SD-WAN

Джерело:
 2024 Gartner® Magic Quadrant™ for SD-WAN


Tags:
  • Add Memory
  • Share This Entry

FortiNet - Unlocking the Secure WAN Edge

2024-11-14 17:07
bga68comp: (Default)



Unlocking the Secure WAN Edge: 10 Essential SD-WAN Transformation Capabilities




Джерело:
 Fortinet checklist-network-leader-sd-wan.pdf


Tags:
  • Add Memory
  • Share This Entry

Вимоги до роботи з DMZ-зоною

2024-10-08 18:56
bga68comp: (Default)

Вимоги, що підсилюють захист DMZ у разі використання хмарних рішень, зокрема при роботі з персональними даними та інфраструктурою як послугою (IaaS).

ВимогаОписПосилання на стандарт або нормативний акт
1. Сегментація мережіМережеві сегменти повинні бути чітко відокремлені, з обмеженим доступом між внутрішньою мережею, DMZ-зоною та Інтернетом.ISO 27001:2022, A.13.1.3; PCI DSS v4.0, п. 1.2.1; НБУ Постанова №75
2. Контроль доступу до ресурсівВпровадження суворих правил контролю доступу до серверів у DMZ на основі ролей, мінімізації прав доступу.ISO 27002:2022, 9.4.3; PCI DSS v4.0, п. 7.2; Закон України "Про захист персональних даних"
3. Аутентифікація та авторизаціяВикористання двофакторної аутентифікації для адміністраторів та всіх, хто має доступ до критичних ресурсів у DMZ.ISO 27002:2022, 9.4.2; PCI DSS v4.0, п. 8.3; НБУ Постанова №43
4. Логування і моніторингВсі події у DMZ повинні бути автоматично записані в журнали, зберігатися і періодично перевірятися.ISO 27001:2022, A.12.4.1; PCI DSS v4.0, п. 10.1; НБУ Постанова №217
5. Оцінка ризиківПроводити регулярну оцінку ризиків для визначення загроз у DMZ, включаючи вразливості нових технологій.ISO 27005:2022, п. 5.4; ISO 31000:2018, п. 6.3; COBIT 2019, EDM03
6. Захист від шкідливого ПЗУстановити системи захисту від шкідливого ПЗ на всіх серверах і мережевих пристроях у DMZ.ISO 27001:2022, A.12.2.1; PCI DSS v4.0, п. 5.1; НБУ Постанова №95
7. Регулярні оновлення і патчіОновлення програмного забезпечення та систем безпеки в DMZ повинні проводитися регулярно для захисту від нових загроз.ISO 27002:2022, 12.5.1; PCI DSS v4.0, п. 6.2; Кращі практики Cisco, Microsoft
8. Процедури аварійного відновленняВпровадження та тестування планів аварійного відновлення для серверів і пристроїв у DMZ.ISO 27001:2022, A.17.1.2; PCI DSS v4.0, п. 11.1; НБУ Постанова №243
9. Оцінка ефективності заходів безпекиРегулярно проводити аудит безпеки та тестування заходів захисту DMZ для забезпечення їх ефективності.ISO 27001:2022, A.18.2.3; PCI DSS v4.0, п. 12.11; ТОGAF 10, ADM
10. Виявлення і реагування на інцидентиНеобхідно впровадити системи для автоматичного виявлення і швидкого реагування на інциденти безпеки в DMZ.ISO 27002:2022, 16.1.1; PCI DSS v4.0, п. 12.5; НБУ Постанова №65
11. Безпека в хмарних середовищахПри розгортанні DMZ у хмарі необхідно враховувати відповідальність між хмарним провайдером та клієнтом за захист інфраструктури. Важливо чітко розмежувати зони відповідальності.ISO/IEC 27017:2015, п. 5.1
12. Контроль доступу до хмарних ресурсівВсі адміністратори і користувачі з доступом до хмарних ресурсів, пов'язаних з DMZ, повинні мати відповідні ролі і права, з акцентом на мінімізацію прав доступу.ISO/IEC 27017:2015, п. 9.4
13. Захист персональних даних у хмаріЯкщо DMZ обробляє персональні дані, необхідно застосовувати додаткові заходи для захисту таких даних, зокрема шифрування та контроль доступу.ISO/IEC 27018:2019, п. 4.1; Закон України "Про захист персональних даних"
14. Шифрування даних у хмаріВсі дані, які передаються через DMZ в хмарних середовищах, повинні бути зашифровані на рівні мережевих передач та зберігання.ISO/IEC 27018:2019, п. 5.2.1
15. Виявлення та реагування на інциденти у хмаріНеобхідно забезпечити наявність інструментів для виявлення інцидентів безпеки в хмарному середовищі, зокрема в зоні DMZ, та швидке реагування на них.ISO/IEC 27017:2015, п. 16.1
16. Моніторинг та аудит хмарних середовищРегулярний моніторинг подій у DMZ та хмарі має проводитися для оцінки ефективності заходів безпеки, зокрема в межах процесу аудиту.ISO/IEC 27017:2015, п. 12.4
17. Інформування про інциденти з персональними данимиУ разі виявлення інцидентів, пов'язаних з персональними даними у DMZ, необхідно мати механізми для швидкого інформування про це відповідальних осіб.ISO/IEC 27018:2019, п. 9.1

Примітки:

  • ISO/IEC 27017:2015 надає додаткові рекомендації щодо безпеки в хмарних середовищах, зокрема для забезпечення безпеки DMZ в хмарі.
  • ISO/IEC 27018:2019 фокусується на захисті персональних даних, що є критичним при обробці таких даних у хмарних інфраструктурах.

Примітки:

  • Посилання на конкретні пункти стандартів та нормативних актів надають рекомендації для впровадження вимог.
  • Кращі практики Cisco, Fortinet, Microsoft враховують методи захисту мережевого периметру, управління доступом та хмарних інфраструктур.


Кращі практики Cisco:

  1. Cisco Safe Architecture:
    • Розподіл мережевих зон: Рекомендується чітко відокремлювати критичні ресурси (внутрішня мережа) від зовнішніх (Інтернет) за допомогою DMZ. Роль DMZ — забезпечити захищений шлюз для публічно доступних ресурсів.
      • Джерело: Cisco SAFE Design Guide.
  2. Cisco Next-Generation Firewalls (NGFW):
    • Додаткові механізми захисту: Використання систем глибокого аналізу трафіку, виявлення вторгнень (IDS/IPS) та фільтрації шкідливого ПЗ у трафіку через DMZ.
      • Джерело: Cisco Firepower NGFW Best Practices.
  3. Сегментація за допомогою ACL (Access Control Lists):
    • Контроль доступу між зонами: Використання ACL для точного контролю доступу між різними мережевими зонами, такими як внутрішня мережа, DMZ та Інтернет.
      • Джерело: Cisco ASA Firewall Configuration Guide.

Кращі практики Fortinet:

  1. Fortinet Security Fabric:
    • Інтегрований моніторинг та видимість: Використання платформи для централізованого управління та моніторингу мережевих пристроїв у різних зонах, включаючи DMZ, для швидкого виявлення та реагування на загрози.
      • Джерело: Fortinet Security Fabric Best Practices.
  2. FortiGate Firewall:
    • Застосування політик безпеки: Використання гнучких політик безпеки для контролю трафіку в DMZ з акцентом на мінімізацію доступу до внутрішньої мережі та використання зон захисту для різних рівнів сегментації.
      • Джерело: FortiGate NGFW Best Practices.
  3. Захист від DDoS-атак:
    • Фільтрація та захист DMZ від DDoS-атак: Використання технологій Fortinet для виявлення та блокування атак на рівні DMZ, щоб запобігти перевантаженню серверів і доступних з Інтернету ресурсів.
      • Джерело: Fortinet DDoS Protection Best Practices.

Кращі практики Microsoft:

  1. Azure Security Center:
    • Моніторинг та реагування в хмарних середовищах: У разі розгортання ресурсів у хмарі Microsoft рекомендує інтеграцію DMZ з Azure Security Center для проактивного виявлення загроз та управління вразливостями.
      • Джерело: Microsoft Azure Security Center Best Practices.
  2. Active Directory (AD) та Azure AD:
    • Управління доступом через AD: Використання ролей та груп доступу для чіткого контролю, хто має права на доступ до ресурсів у DMZ. Рекомендується використовувати двофакторну аутентифікацію (MFA) для додаткового захисту.
      • Джерело: Microsoft AD Security Best Practices.
  3. Windows Defender Advanced Threat Protection (ATP):
    • Виявлення загроз і захист від шкідливого ПЗ: Впровадження Windows Defender ATP на серверах у DMZ для виявлення та блокування потенційних загроз на основі поведінкових аналізів і захисту в реальному часі.
      • Джерело: Microsoft Windows Defender ATP Best Practices.



Tags:
  • Add Memory
  • Share This Entry

Доступ к Exchange 2010 извне организации

2015-11-27 16:19
bga68comp: (Default)
Доступ к Exchange 2010 извне организации

Задача

Обеспечить пользователю доступ "снаружи". Как это можно сделать?

Решение

Обеспечить доступ "снаружи" можно двумя способами:

  1. Не правильный с точки зрения информационной безопасности - пробросить порт 443 с внешнего IP на внутренний IP CAS сервера или CAS Array.
  2. Правильный с точки зрения информационной безопасности - воспользоваться программным обеспечением с функционалом Reverse Proxy.
Для этого рассматриваем:
Вариант 2.1. Рекомендованное ПО: Forefront TMG (его поддержка заканчивается в конце 2015 года).
На текущиий момент есть решения у Kerio и Fortinet. Возможно, у Cisco.
т.е. необходимо дополнительное ПО/сервис/и т.д., которое фильтрует трафик подключений и пропускает на Exchange уже авторизированных пользователей.

Вариант 2.2. Опубликовать Exchange 2010 через Web Application Proxy сервера Windows Server 2012.
Подробно: Публикация Exchange 2010 – OWA и ActiveSync
 
 
Tags:
  • Add Memory
  • Share This Entry

Configuring IPsec VPN with a FortiGate and a Cisco ASA

2015-11-10 16:20
bga68comp: (Default)
Настройка IPsec VPN с FortiGate и с Cisco ASA

430656http://docs.fortinet.com/.../configuring-IPsec-VPN-with-a-FortiGate-and-a-Cisco-ASA.pdf

The following recipe describes how to configure a site-to-site IPsec VPN tunnel. In this example, one site is behind a FortiGate and another site is behind a Cisco ASA. Using FortiOS 5.0 and Cisco ASDM 6.4, the example demonstrates how to configure the tunnel between each site, avoiding overlapping subnets, so that a secure tunnel can be established with the desired security profiles applied. The procedure assumes that both devices are configured with appropriate internal and external interfaces.

Нижеследующая процедура описывает, как настроить IPsec VPN туннель типа "сайт-сайт". В этом примере один сайт находится за FortiGate, а другой - за Cisco ASA. Используя FortiOS 5.0 и Cisco ASDM 6.4, пример демонстрирует, как настроить туннель между каждым узлом, избегая перекрывающихся подсетей, чтобы можно было установить безопасный туннель с применением требуемых профилей безопасности. Процедура предполагает, что оба устройства настроены с соответствующими внутренними и внешними интерфейсами.

1. Configuring the Cisco device using the IPsec VPN Wizard
2. Configuring the FortiGate tunnel phases
3. Configuring the FortiGate policies
4. Configuring the static route in the FortiGate
5. Results

1. Настройка устройства Cisco с помощью мастера IPsec VPN
2. Настройка фаз туннеля FortiGate
3. Настройка политик FortiGate
4. Настройка статического маршрута в FortiGate
5. Результаты





 
 
Tags:
  • Add Memory
  • Share This Entry

IPsec Site-to-Site VPN FortiGate <-> Cisco ASA

2015-11-10 16:07
bga68comp: (Default)
IPsec Site-to-Site VPN FortiGate <-> Cisco ASA

Оригинал:
http://blog.webernetz.net/2015/02/05/ipsec-site-to-site-vpn-fortigate-cisco-asa/


Following is a step-by-step tutorial for a site-to-site VPN between a Fortinet FortiGate and a Cisco ASA firewall. I am showing the screenshots of the GUIs in order to configure the VPN, as well as some CLI show commands.

Since the Cisco ASA only supports policy-based VPNs, the proxy-IDs (phase 2 selectors) must be used on the FortiGate, too. Furthermore, the ASA only supports Diffie-Hellman group 5 (and not 14), as well as SHA-1 (and not SHA-256) for IKEv1.

I am running a FortiWiFi 90D (v5.2.2) and a Cisco ASA 5505 (9.2(3)) in my lab.



 
 
Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-04 06:36
Powered by Dreamwidth Studios