FortiNAC fungeert als een flexibel, modulair beveiligingsplatform. Het maakt gebruik van een out-of-band architectuur die de bestaande IT-infrastructuur benut om zichtbaarheid te bieden en beveiligingsbeleid automatisch toe te passen over het hele netwerk. Een cruciaal aspect hiervan is het gebruik van de zogenaamde “Isolation VLAN’s”. In dit artikel probeer ik duidelijk te maken wat “Isolation VLAN’s” precies zijn binnen FortiNAC.
VLAN-Configuratie en Beheer in FortiNAC
De configuratie van VLAN’s in FortiNAC gebeurt op verschillende niveaus om correcte fucntionaliteit te bieden. Belangrijke VLAN’s voor FortiNAC zijn de zogenaamde “Isolation VLAN’s”. Dit is een verzameling van VLAN’s waar apparaten in komen die niet voldoen aan het gestelde beleid.
Bij het functioneel beheer van FortiNAC kan opgemerkt worden dat sommige naamgeving van de Isolation VLAN’s verschilt per device of scherm binnen FortiNAC.
In de onderstaande opsomming lopen we eerst door de belangrijkste aspecten van de VLAN configuratie binnen FortiNAC:
Logical Networks (Logische Netwerken):
Het Logical Network wordt gebruikt in de Model Configuration waar VLAN waardes (Network Access Values) aan de Logical Networks gekoppeld worden. Het Logical Network wordt bepaald in de laatste stap van een standaard FortiNAC Flow:
- Network Access Policy
- User & Host Profile
- Network Access Configuration
- Logical Network
Een Network Access Policy bestaat uit een User & Host Profile, waarin wie, wat en waar bepaald wordt. Daarnaast wordt in de Network Access Policy een Network Access Configuration aangewezen waarvan het Logical Network onderdeel is.
Model Configuration:
Dit vind plaats op apparaten gemodelleerd in de Inventory van FortiNAC. Hier kunnen de Logical Networks worden toegevoegd en gekoppeld aan VLAN waarden.
Daarnaast kunnen VLAN waarden worden ingesteld voor de standaard Isolation VLAN’s met verschillende statussen te weten Registration, Authentication, Remediation en Dead end. Hier zien we bij verschillende devices afwisselend “Quarantaine” gebruikt worden als synoniem voor “Remediation”.
Ook het Default VLAN moet worden ingesteld, veelal configureren we als default VLAN het Registration VLAN.
Waarom Isolatie-VLAN’s?
Wanneer een apparaat verbinding maakt met het netwerk, kan FortiNAC controleren of het apparaat geregistreerd, geauthentiseerd en compliant(=Remediation) is of een combinatie hiervan. Niet compliant apparaten worden in het betreffende isolatie-VLAN geplaatst totdat ze voldoen aan de eisen voor toegang.
De Isolation VLAN’s worden geconfigureerd in de Config Wizard van FortiNAC. Het is mogelijk om elk Isolation VLAN afzonderlijk te configureren in een eigen netwerk. In de praktijk configureren wij 9 van de 10 keer alleen het Isolation VLAN.
In de Config Wizard zijn meer configuratie opties te zien voor de “Isolation VLAN’s” dan in bv. de Model Configuration namelijk Isolation, Registration, Remediation, Dead End, Virtual Private Network en Authentication. VPN laten we in dit artikel buiten beschouwing.
FortiNAC presenteert bij configuratie van enkel het Isolation VLAN de verschillende Captive Portals voor respectievelijk Registration, Authentication, Remediation etc. door middel van forwarding naar de diverse, door Tomcat aangedreven, portals. De Captive Portals kunnen worden geconfigureerd in Portal Configuration onder het Portal menu.
Er is in de praktijk soms spraakverwarring tussen Isolation, Quarantaine, Remediation als aparte entiteit of als verzameling van netwerken. Bij configuratie van enkel het Isolation VLAN spreken wij voornamelijk over hét Isolation VLAN of hét Quarantaine VLAN en daarmee wordt bedoeld de verzameling van Isolation VLAN’s en hun portals.
Verschillende Isolation VLAN’s
Onderstaande opsomming beschrijft de verschillende VLAN’s die onder de verzamelnaam “Isolation VLAN’s” vallen en kunnen worden ingesteld in de Config Wizard van FortiNAC.
Isolation-VLAN:
Altijd en minimaal benodigd voor FortiNAC’s captive portal functionaliteit. Zorgt voor forwarding naar de juiste captive portal afhankelijk van de FortiNAC configuratie en status van een apparaat.
Registration-VLAN:
Dit is een VLAN waar onbekende apparaten worden geplaatst totdat ze het registratieproces hebben voltooid.
Ports waarop ongeregistreerde apparaten verbinden, kunnen in de ‘Forced Registration Group’ worden geplaatst. Wanneer een apparaat verbinding maakt via zo’n poort, wordt het altijd naar het Registratie-VLAN gestuurd voor onboarding ongeacht hun eerdere status.
Device registratie vind veelal automatisch plaats met behulp van Device Profling Rules, MDM synchronisaties of Persistent Agent instellingen.
Remediation-VLAN (ook wel Quarantaine VLAN):
Hosts die een End Point Compliance Scan van de Persistent Agent niet doorstaan of hosts die naar de Remediation portal worden gedwongen om een one-time scan te ondergaan met de Disolvable Agent worden in dit VLAN geïsoleerd van het productienetwerk.
Met gebruik van de Persistent Agent is het mogelijk om apparaten in productie weer compliant te maken afhanklijk van de Persistent Agent- en port configuratie binnen FortiNAC.
Authentication-VLAN (Authentication VLAN):
Reeds geregistreerde hosts worden in dit VLAN geïsoleerd van het productienetwerk wanneer een authenticatie policy actief is. ‘Ports lid van de ‘Forced Authentication’ group worden verlopen van de instelbare re-authenticatie timer geforceerd naar de authenticatie portal om opnieuw aan te melden.
De Persistent Agent kan SSO doen met windows credentials. Met een LDAPS synchronisatie koppeling binnen FortiNAC kunnen AD groepen worden opgenomen in Authenticatie Policies.
Dead End-VLAN (Dead End VLAN):
Dit VLAN wordt gebruikt om uitgeschakelde hosts te isoleren met beperkte of geen netwerkconnectiviteit van het productienetwerk. Een voorbeeld hiervan is wanneer op FortiGates een Automation Stitch richting FortiNAC is geconfigureerd.
De trigger vind plaats als de FortiGate bijvoorbeeld een IDS/IPS event waarneemt en C&C verkeer ziet, via de stitch wordt FortiNAC geinstrueerd een dergelijk apparaat in Dead-End te plaatsen.
