Onze ervaringen met Fortinac

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 01 augustus 2016 Waddinxveen, 12 juli 2021 Security Security

Lees meer over Fortinac

Sinds 2018 is Network Access Control (NAC) als beveilingsmethode op de radar bij SolidBE. Na evalueren van andere oplossingen blijkt FortiNAC snel een gewenst resultaat te kunnen leveren en mooi te integreren met andere FortiNet producten. In Nederland zijn nu een 5-tal grote implementaties door SolidBE uitgevoerd waar om en nabij 10k aan ethernet poorten wordt aangestuurd door FortiNAC.

Het FortiNAC support kanaal binnen Nederland heeft korte lijnen naar de developers in de US waardoor bv. niet ondersteunde devices en bugs snel verholpen worden en in opvolgende releases netjes opgelost zijn. Zij zijn goed en graag betrokken bij onze implementaties.

Inmiddels begint FortiNAC versie 9.1 een vertrouwde FortiNet interface te krijgen met hier en daar onderdelen die nog naar de oude interface wijzen. Integraties met andere FortiNet producten zijn eenvoudig te bewerkstelligen, zo kan FortiNAC o.a. worden opgenomen in de security fabric en bv. koppelen naar FortiEMS server, acteren op IDS/IPS alerts en vele andere bronnen zoals syslog berichten. Network Admission Control is een oplossing die de gehele networking en security infrastructuur raakt. Het is echter niet de heilige graal in de vorm van een turn-key “wij zijn nu 100% veilig” oplossing. Het verhoogt de drempel en geeft initieel zichtbaarheid aan het netwerk en wat daarop aangesloten is.

Terwijl FortiNAC snel functioneel is, is de fine-tuning van het geheel een levend en bij tijd en wijle moeizaam proces. Het identificeren van endpoints, de “Device Profiling” heeft soms veel voeten in de aarde om juist te krijgen en is niet de beste in de industrie, de roadmap laat echter zien dat FortiNet middels FortiGuard services hard aan de weg timmert om een “Posture Database” voor endpoints te ontsluiten. Het verzamelen en koppelen van de benodigde metadata die FortiNAC kracht geeft, voorzien wij van handen en voeten met onze implementatie blauwdruk. Met behulp van checklists brengen we het IT ecosysteem zo goed mogelijk in kaart en verzamelen we alle gegevens die nodig zijn om een statische NAC omgeving te activeren.

Voor de implementatie van FortiNAC is het eerst zaak om de topologie van het netwerk in kaart te brengen: switches, firewalls, routers, wifi controllers, wifi ap’s etc. Hiervoor is het nodig om van elk device login gegevens te hebben en SNMP community gegevens of credentials. In 99% van de implementaties zien we MS Active Directory als authenticatie/IAM oplossing geimplementeerd. Deze koppelen we als eerste om een authenticatie richting FortiNac te bewerkstelligen.

Een zeer snelle wijze om een statische NAC op te leveren voor een verzameling van vooraf bepaalde “trusted” machines is om hier de FortiNAC persistent Agent op te installeren. Op basis van een authenticatie policy in FortiNac worden users in een groep geplaatst (dit kan ook een bestaande AD groep zijn). Op basis van deze groep worden endpoint aan een vlan toegewezen.

Uiteraard zijn de mogelijkheden vele malen uitgebreider. Nadat we een statische NAC omgeving werkend hebben gemaakt is de technische implementatie afgerond. Daarna wordt het zaak om aan te sluiten bij business processen, compliancy en security beleidsvoering en die te verweven in de NAC omgeving.

U kunt altijd contact met ons opnemen, wanneer u hulp nodig heeft om FortiNAC in te richten in uw netwerk. SolidBE helpt u graag bij de ontwerpen van een veilige netwerkomgeving!

Auteur Raymond Akker is Senior Cloud Engineer bij SolidBE

Wilt u hulp van een gecertificeerd Fortinet expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98