What information does the FortiGate gather?

Bloker Mobilenheder med FortiGate Firewall

29/07/2023

Rating: 4.81 (6885 votes)

Bloker Mobilenheder med FortiGate Firewall

I dagens hurtigt udviklende teknologiske landskab er styring af netværkssikkerhed afgørende for organisationer. Mobile enheder, ofte betragtet som potentielle trusler på grund af deres lette adgang og evne til at omgå traditionelle sikkerhedsforanstaltninger, kan udgøre betydelige udfordringer. FortiGate firewalls tilbyder robuste funktioner, der giver netværksadministratorer mulighed for at administrere og kontrollere adgang for forskellige enheder, herunder mobile enheder. Denne artikel vil give en omfattende guide til, hvordan man blokerer mobile enheder i en Fortigate firewall, hvilket hjælper dig med at sikre dit netværk mere effektivt.

Can FortiGate block mobile devices by device type?
Indholdsfortegnelse

Forstå Vigtigheden af Enhedsstyring

Før vi dykker ned i de tekniske detaljer ved at blokere mobile enheder, er det afgørende at forstå, hvorfor styring af disse enheder er essentiel. Mobile enheder forbinder ofte til virksomhedsnetværk, hvilket giver medarbejderne fleksibilitet til at arbejde eksternt eller få adgang til virksomhedsressourcer på farten. De kan dog også introducere sårbarheder:

  • Malware Risiko: Mobile enheder kan være inficeret med malware, hvilket udgør risici for hele netværket, hvis de forbinder til det.
  • Datatab: Medarbejdere kan utilsigtet eller bevidst lække følsomme virksomhedsdata via deres mobile enheder.
  • Manglende Overholdelse: Visse regler kræver, at organisationer sikrer, at kun overholdende enheder får adgang til deres netværk. I mange tilfælde opfylder mobile enheder muligvis ikke disse kriterier.
  • Uautoriseret Adgang: Med personlige mobile enheder er der risiko for uautoriseret adgang til følsomme ressourcer.

Ved at kontrollere, hvilke enheder der kan forbinde til dit netværk, kan du beskytte din organisation mod disse potentielle trusler.

Opsætning af Din FortiGate Firewall

Før du lærer at blokere mobile enheder, skal du sikre dig, at din FortiGate firewall er korrekt konfigureret. Her er en kort vejledning til de indledende opsætningstrin:

  1. Få adgang til FortiGate Management Interface: Dette kan typisk gøres ved at indtaste IP-adressen på FortiGate-enheden i din webbrowser.
  2. Log Ind: Brug dine administratoroplysninger til at logge ind. Det er afgørende at have de rette rettigheder til at konfigurere firewall-indstillinger.
  3. Gør dig bekendt med interfacet: Tag dig tid til at navigere i interfacet og fokusere på de sektioner, der er relevante for enhedsstyring og firewall-politikker.

Trin 1: Identificer Mobile Enheder

Før du blokerer nogen enheder, skal du identificere, hvilke mobile enheder der i øjeblikket er forbundet til dit netværk. FortiGate tilbyder værktøjer til at se tilsluttede enheder.

1. Gennemgå Enhedslisten

Naviger til Device Manager: I FortiGate-interfacet skal du gå til User & Device > Device Manager. Her kan du se alle enheder, der er forbundet til dit netværk. Mobile enheder er typisk kategoriseret som sådan, men sørg for at gennemgå enhedsnavne, operativsystemtyper og eventuelle tags.

2. Medarbejdertræning

Det er værdifuldt at uddanne dine medarbejdere i at identificere deres enheder. Hvis de forstår, hvilke enheder der er virksomhedsgodkendte, kan de hjælpe dig med at administrere forbindelser effektivt.

Trin 2: Opret Regler for Enhedsidentifikation

Når du har en omfattende forståelse af, hvilke mobile enheder der er en del af dit netværk, bør du opsætte regler for identifikation. Dette vil give FortiGate mulighed for at tilføje et lag af analyse, før det beslutter, om en enhed skal blokeres eller tillades.

Naviger til Device Identification Settings: Gå til User & Device > Device Identification.

  • Definer Enhedskategorier: FortiGate giver dig mulighed for at oprette brugerdefinerede enhedskategorier, såsom "Virksomheds Mobile Enheder" og "Personlige Mobile Enheder".
  • Indstil Politikker: Tildel politikker, der bestemmer, hvordan forskellige enhedskategorier vil blive håndteret.

Trin 3: Bloker Mobile Enheder

Efter at have identificeret og kategoriseret mobile enheder, er det tid til at implementere politikker for at blokere uønskede forbindelser.

1. Opret Enhedsbaserede Politikker

Gå til Firewall Policies: Naviger til Policy & Objects > IPv4 Policy.

Opret en ny politik:

  • Navn: Giv din politik et beskrivende navn. For eksempel "Bloker Personlige Mobile Enheder".
  • Indgående Interface: Angiv de interfaces, hvorigennem du forventer, at mobile enheder vil forbinde.
  • Kilde: Her skal du indstille kilden til enhver IP-adresse eller angive dem, der tilhører den enhedskategori, du tidligere har oprettet.
  • Destination: Dette kan indstilles til "Alle" eller angive specifikke interne ressourcer.
  • Handling: Vælg "Deny".
  • Aktivér Logning: Det anbefales at aktivere logning for denne politik for at overvåge forsøg fra mobile enheder på at forbinde.
  • Gem Politikken: Når alt er konfigureret, skal du gemme politikken og justere rækkefølgen om nødvendigt, da politikker behandles top-down.

2. Bloker Specifikke Mobile Operativsystemer

I tilfælde, hvor du ønsker at blokere specifikke operativsystemer (som iOS eller Android), skal du justere dine firewall-politikker derefter.

Gå til User & Device: Naviger derefter til Device Identification.

How do I find a mobile device in FortiGate?
Navigate to the Device Manager: In the FortiGate interface, go to User & Device > Device Manager. Identify Mobile Devices: Here, you can see all devices connected to your network. Mobile devices are typically categorized as such, but make sure to review device names, operating system types, and any tagging. 2. Staff Training
  • Identificer Operativsystemer: Identificer de mobile operativsystemer, du vil blokere.
  • Juster Firewall-politikker: Opret eller modificer eksisterende politikker for at inkludere specifikke regler for disse operativsystemer.

Trin 4: Implementer SSL-inspektion

Mange mobile enheder kan bruge krypteret trafik, hvilket komplicerer overvågningsprocessen. Implementering af SSL-inspektion vil give din FortiGate-enhed mulighed for at kontrollere indholdet af den krypterede trafik og dermed forbedre sikkerheden.

Gå til Security Profile: Naviger til Security Profiles > SSL/SSH Inspection.

  • Aktivér HTTPS-inspektion: Dette giver FortiGate-firewallen mulighed for at dekryptere og inspicere sikker trafik.
  • Indstil Politik for Inspektion: Vælg, om inspektionstilstanden skal være certifikatbaseret eller fuld SSL-inspektion, afhængigt af din organisations behov.
  • Gem Ændringer: Bekræft alle ændringer, og sørg for, at de er aktive.

Trin 5: Overvåg og Finjuster Din Opsætning

Efter at have blokeret mobile enheder er det afgørende at overvåge netværket for at sikre, at der ikke opstår utilsigtede forstyrrelser, og at politikkerne fungerer korrekt.

  • Gennemgå Logfiler og Rapporter: Brug FortiGate's logningsfunktioner til at kontrollere eventuelle blokerede forsøg og evaluere effektiviteten af dine politikker.
  • Feedback Loop: Få feedback fra dit team om eventuelle probleter, de måtte støde på. Juster politikker baseret på deres behov og løbende sikkerhedsvurderinger.
  • Opdater Politikker Regelmæssigt: Mobil teknologi udvikler sig hurtigt. Gennemgå og juster dine politikker regelmæssigt for at imødekomme nye trusler, enheder og teknologier.

Yderligere Overvejelser

  • Brugeruddannelse: Sørg for, at dine medarbejdere forstår politikkerne vedrørende mobile enheder. Afhold træningssessioner for at fremhæve vigtigheden af at få sikker adgang til virksomhedsnetværket.
  • Overholdelse og Lovkrav: Overvej altid juridiske og overholdelsesmæssige krav, når du blokerer enheder. Sørg for, at politikkerne stemmer overens med love som GDPR eller HIPAA, hvor det er relevant.
  • Alternative Løsninger: Mens du evaluerer, hvilke enheder du skal blokere, kan du overveje at tilbyde en sanktioneret løsning til administration af mobile enheder (MDM). Dette kan hjælpe med at administrere enheder effektivt uden at blokere dem helt.

Konklusion

Blokering af mobile enheder i en FortiGate firewall giver et nødvendigt beskyttelseslag for enhver organisation, der ønsker at sikre sit netværk. Ved at følge de ovennævnte trin – udføre en korrekt opgørelse af enheder, etablere identifikationsregler, oprette effektive politikker, implementere inspektion og løbende overvåge din opsætning – kan du opnå en robust strategi for administration af mobile enheder.

At investere tid i at forstå og konfigurere din FortiGate firewall vil betale sig i det lange løb gennem forbedret netværkssikkerhed, reducerede risici og øget overholdelse. Ved at forblive årvågen og tilpasse sig det skiftende landskab kan organisationer udnytte fleksibiliteten i mobil teknologi og samtidig beskytte deres vigtige ressourcer. Blokering af mobile enheder betyder ikke eliminering af deres brug; det handler om at finde den rette balance mellem sikkerhed og tilgængelighed.

Hvilken information indsamler FortiGate?

FortiGate-enheder er i stand til at indsamle en række oplysninger om de enheder, der er forbundet til dit netværk. Denne funktionalitet er afgørende for effektiv enhedsstyring og sikkerhedspolitikker. Blandt de indsamlede oplysninger finder man:

  • MAC-adresse: En unik identifikator for netværksgrænsefladen på en enhed.
  • IP-adresse: Enhedens aktuelle netværksadresse.
  • Operativsystem: Identifikation af det operativsystem, som enheden kører (f.eks. iOS, Android, Windows).
  • Værtsnavn: Det navn, enheden er tildelt på netværket.
  • Brugernavn: Hvis tilgængeligt og konfigureret, hvilket brugernavn der er associeret med enheden.
  • Tid siden sidste detektion: Hvor længe siden enheden sidst blev registreret på netværket.
  • FortiGate Interface: Angiver, hvilket FortiGate-interface enheden blev detekteret på.

Disse oplysninger kan findes under User & Device > Device List i FortiGate-interfacet. Ved at musen over "Device"-kolonnen kan du få yderligere detaljer. Fortinet anbefaler at tildele et Alias til hver enhed for at lette identifikationen.

Aktivering af Enhedsovervågning

Enhedsovervågning skal aktiveres separat på hver interface. Det er primært beregnet til enheder, der er direkte forbundet til dine LAN-porte. Hvis "Device Detection" er aktiveret på en WAN-port, kan det være sværere at bestemme operativsystemet på visse enheder. Enheder, hvis enhedstype ikke kan bestemmes passivt, kan findes ved at aktivere Active Scanning på interfacet.

Sådan konfigureres enhedsovervågning:

  1. Gå til Network > Interfaces.
  2. Rediger den interface, du vil overvåge enheder på.
  3. Under "Networked Devices", slå Device Detection til og valgfrit Active Scanning.
  4. Vælg "OK".
  5. Gentag trin 2-4 for hver interface, der skal overvåge enheder.

Tildeling af Alias og Manuel Tilføjelse af Enheder

For at gøre det nemmere at identificere enheder, kan du tildele et alias:

  1. Gå til User & Device > Device List og rediger enhedsposten.
  2. Indtast et Alias (f.eks. brugerens navn).
  3. Ændr andre oplysninger efter behov.
  4. Vælg "OK".

Du kan også manuelt tilføje enheder, hvilket sikrer, at en enhed med flere interfaces vises som én enkelt enhed:

  1. Gå til User & Device > Custom Devices & Groups.
  2. Vælg "Create New" > "Device".
  3. Indtast følgende oplysninger:
    • Alias (påkærevende)
    • MAC-adresse
    • Additional MACs (andre interfaces på denne enhed)
    • Device Type
    • Valgfrit: Tilføj enheden til Custom Groups.
    • Valgfrit: Indtast Comments.
  4. Vælg "OK".

Enhedsgrupper

Du kan specificere flere enhedstyper i en sikkerhedspolitik. Alternativt kan du tilføje flere enhedstyper til en brugerdefineret enhedsgruppe og inkludere gruppen i politikken. Dette giver dig mulighed for at oprette en anden politik for enheder, du kender, end for enheder generelt.

Sådan oprettes en brugerdefineret enhedsgruppe og tilføjes enheder til den:

  1. Gå til User & Device > Custom Devices & Groups.
  2. Vælg "Create New" > "Device Group".
  3. Indtast et navn for den nye enhedsgruppe.
  4. Klik i feltet "Members" og klik på en enhedstype for at tilføje. Gentag for at tilføje andre enheder.
  5. Vælg "OK".

Kontrol af Adgang med en MAC-adresse Adgangskontrolliste (ACL)

En MAC-adresse Adgangskontrolliste (ACL) tillader eller blokerer adgang på en netværksinterface, der inkluderer en DHCP-server. Hvis interfacet ikke bruger DHCP, eller hvis du vil begrænse netværksadgang til en større gruppe (f.eks. medarbejder-enheder), er det bedre at oprette en enhedsgruppe og specificere den gruppe i dine sikkerhedspolitikker.

En MAC-adresse ACL fungerer enten som:

  • En liste over enheder, der skal blokeres, hvilket tillader alle andre enheder.
  • En liste over enheder, der skal tillades, hvilket blokerer alle andre enheder.

Tilladte enheder tildeles en IP-adresse. Handlingen "Assign IP" tildeler enheden en IP-adresse fra DHCP-området. I en liste over tilladte enheder kan du også bruge handlingen "Reserve IP" til altid at give en specifik IP-adresse til enheden.

Can FortiGate block mobile devices by device type?

Indgangen "Unknown MAC Address" gælder for "andre" ukendte, ikke-listede enheder. Dens handling skal være modsat den for andre poster. I en tilladelsesliste skal den blokere. I en blokeringsliste skal den tillade.

Sådan oprettes en MAC-adresse ACL for kun at tillade specifikke enheder:

  1. Gå til SSID- eller netværksinterfacekonfigurationen.
  2. Udvid "Advanced" i sektionen "DHCP Server". (DHCP Server skal være aktiveret.)
  3. I "MAC Reservation + Access Control", vælg "Create New" og indtast en tilladt enheds MAC-adresse.
  4. I kolonnen "IP or Action", vælg en af følgende:
    • Assign IP — enheden tildeles en IP-adresse fra DHCP-serverens adresseområde.
    • Reserve IP — enheden tildeles den IP-adresse, du angiver.
  5. Gentag trin 3 og 4 for hver yderligere MAC-adressepost.
  6. Indstil posten "Unknown MAC Address"s "IP or Action" til "Block". (Enheder, der ikke er på listen, vil blive blokeret.)
  7. Vælg "OK".

Sådan oprettes en MAC-adresse ACL for at blokere specifikke enheder:

  1. Gå til SSID- eller netværksinterfacekonfigurationen.
  2. Udvid "Advanced" i sektionen "DHCP Server". (DHCP Server skal være aktiveret.)
  3. I "MAC Reservation + Access Control", vælg "Create New" og indtast MAC-adressen på en enhed, der skal blokeres.
  4. I kolonnen "IP or Action", vælg "Block".
  5. Gentag trin 3 og 4 for hver enhed, der skal blokeres.
  6. Indstil posten "Unknown MAC Address"s "IP or Action" til "Assign IP". (Enheder, der ikke er på listen, vil blive tildelt IP-adresser.)
  7. Vælg "OK".

Sikkerhedspolitikker for Enheder

Sikkerhedspolitikker giver dig mulighed for at implementere politikker i henhold til enhedstypen. For eksempel:

  • Spillekonsoller kan ikke forbinde til virksomhedsnetværket eller internettet.
  • Personlige tablet- og telefonenheder kan forbinde til internettet, men ikke til virksomhedsservere.
  • Virksomhedsudstedte bærbare computere kan forbinde til internettet og virksomhedsservere. Webfiltrering og antivirus anvendes.
  • Medarbejderbærbare computere kan forbinde til internettet, men webfiltrering anvendes. De kan også forbinde til virksomhedsnetværk, men kun hvis FortiClient Endpoint Security er installeret for at beskytte mod vira.

Oprettelse af Enhedspolitikker

Enhedsbaserede sikkerhedspolitikker ligner politikker baseret på brugeridentitet:

  • Politikken tillader trafik at flyde fra en netværksinterface til en anden.
  • NAT kan aktiveres.
  • UTM-beskyttelse kan anvendes.

Sådan oprettes en enhedspolitik:

  1. Gå til Policy & Objects > IPv4 Policy og vælg "Create New".
  2. Vælg "Incoming Interface", "Outgoing Interface" og "Source", som du ville gøre for enhver anden sikkerhedspolitik.
  3. I "Source", vælg en adresse og de enhedstyper, der kan bruge denne politik. Du kan vælge flere enheder eller enhedsgrupper.
  4. Slå "NAT" til, hvis det er relevant.
  5. Konfigurer "Security Profiles", som du ville gøre for enhver anden sikkerhedspolitik.
  6. Vælg "OK".

Tilføjelse af Endpoint-beskyttelse

Valgfrit kan du kræve, at brugernes enheder, der forbinder til en bestemt netværksinterface, har FortiClient Endpoint Security-software installeret. Enheder uden en opdateret installation af FortiClient-software er begrænset til en captive portal, hvorfra brugeren kan downloade en FortiClient-installationsfil. For oplysninger om oprettelse af FortiClient-profiler, se "Endpoint Protection".

Sådan tilføjes endpoint-beskyttelse til en sikkerhedspolitik:

  1. Gå til Network > Interfaces og rediger interfacet.
  2. Under "Admission Control", slå "Allow FortiClient Connections" og "FortiClient Enforcement" til.
  3. Valgfrit: Vælg kilder (adresser og enhedstyper), der skal undtages fra FortiClient-håndhævelse.
  4. Valgfrit: Vælg destinationsadresser og tjenester, der skal undtages fra FortiClient-håndhævelse.
  5. Vælg "OK".

FortiOS sender en FortiClient-profil ud til FortiClient-softwaren, der konfigurerer netværksbeskyttelse som antivirus, applikationskontrol og webkategorifiltrering. For at oprette disse profiler, gå til Security Profiles > FortiClient Profiles.

Kan FortiGate blokere mobile enheder efter enhedstype?

Ja, FortiGate kan effektivt blokere mobile enheder baseret på deres enhedstype. Ved at udnytte funktionen Device Identification kan du kategorisere forskellige typer mobile enheder (f.eks. smartphones, tablets) og derefter oprette specifikke firewall-politikker, der enten tillader eller nægter adgang for disse kategorier. Dette giver en granulær kontrol over, hvilke mobile enheder der kan få adgang til dit netværk, hvilket forbedrer din samlede sikkerhedsposture.

Hvordan finder man en mobil enhed i FortiGate?

Du kan finde mobile enheder i FortiGate ved at navigere til sektionen User & Device > Device Manager. Her vises en liste over alle enheder, der er registreret på dit netværk. Du kan identificere mobile enheder ud fra deres operativsystem, enhedsnavn eller eventuelle brugerdefinerede tags, du har tildelt. Yderligere detaljer kan findes ved at holde musen over enhedens post i "Device"-kolonnen. For en mere systematisk tilgang kan du aktivere Device Detection og Active Scanning på dine netværksinterfaces for at sikre, at alle forbundne enheder, inklusive mobile, bliver registreret.

Sammenligning af Metoder til Blokerering af Mobilenheder
MetodeBeskrivelseFordeleUlemper
MAC-adresse ACLTillader eller blokerer enheder baseret på deres unikke MAC-adresse.Meget specifik og præcis kontrol over individuelle enheder.Kræver manuel vedligeholdelse af lister; MAC-adresser kan spoofes.
Enhedsidentifikation & PolitikkerIdentificerer enheder baseret på operativsystem, producent osv. og anvender politikker.Fleksibel til at blokere hele kategorier af enheder (f.eks. alle iOS-enheder). Giver mulighed for automatisk kategorisering.Afhængig af FortiGates evne til korrekt at identificere enhedstypen.
FortiClient EnforcementKræver installation og kørsel af FortiClient Endpoint Security-software på enheden.Sikrer, at enheder overholder sikkerhedsstandarder, før de får adgang.Kræver installation af software på enhederne; personlige enheder kan være uvillige til at installere tredjepartssoftware.

Ofte Stillede Spørgsmål (FAQ)

Kan jeg blokere alle Android-enheder fra mit netværk med FortiGate?

Ja, ved at bruge funktionen til enhedsidentifikation kan du oprette en regel, der specifikt målretter Android-operativsystemet og blokerer dets adgang til netværket.

Hvad sker der, hvis en mobil enhed ikke kan identificeres af FortiGate?

Hvis en enhed ikke kan identificeres automatisk, kan du muligvis finde den under en generisk kategori eller som "ukendt". Det er her, manuel konfiguration eller brug af MAC-adresse ACL'er kan være nyttigt. Du kan også aktivere Active Scanning for at forbedre identifikationsevnen.

Er det muligt at tillade visse mobile enheder, mens andre blokeres?

Absolut. Ved at oprette forskellige enhedskategorier og tildele dem til specifikke firewall-politikker kan du opnå dette. For eksempel kan du have en politik, der tillader registrerede virksomhedstelefoner, mens en anden politik blokerer alle andre personlige mobile enheder.

Skal jeg aktivere SSL-inspektion for at blokere mobile enheder effektivt?

SSL-inspektion er ikke strengt nødvendigt for at blokere enheder baseret på deres type eller MAC-adresse. Men det er stærkt anbefalet for at forbedre den generelle sikkerhed, da det giver FortiGate mulighed for at inspicere indholdet af krypteret trafik, hvilket kan afsløre malware eller uønsket aktivitet, selv på enheder du tillader.

Hvis du vil læse andre artikler, der ligner Bloker Mobilenheder med FortiGate Firewall, kan du besøge kategorien Teknologi.

Go up