Integrálásra került eszközök:

• FortiGate
• FortiSwitch
• FortiAP
• FortiAnalyzer
• FortiMail
• FortiVoice

Az ügyfél adatai:

• Név: Gödöllő Város Önkormányzata
• Terület: Önkormányzat
• Felhasználószám: 300 alkalmazott, vendég.
• Helyszín: Gödöllő

Mi szükséges egy önkormányzati hálózat stabil működéséhez?

Az ARLITECH mérnökei összeállítottak egy feladatlistát, amelynek megoldása kulcsfontosságú egy egyetemi informatikai rendszer stabil működéséhez.

A feladat nagyon összetett volt, de az Önkormányzat vezetésének támogatása biztosította a sikeres végrehajtást. A projekt végrehajtása során végig maximális segítséget és megértést kaptunk az Önkormányzat vezetése és a kollégák részéről. Az új rendszer bevezetésének eredményeképpen nagyságrendileg nőtt a hálózati sávszélesség, csökkent a szerverek, illetve az internet elérésének válaszideje.

A legfontosabb megoldandó feladatok a következőek voltak:

A lehető legmagasabb védelem az internet irányából történő támadások ellen (DoS, Web Filter, AntiVirus, IPS, DNS Filter, File Filtering, Application Control, első szintű Email Filter, VoIP védelem, WAF, SSL/SSH inspection…)

Új FortiGate redundáns tűzfalrendszer került bevezetése, teljes UTP (Unified Threat Protection) funkcionalitással, amely vezérli az aktív hálózati elemeket és a WIFI hálózatot, akár 10Gbps sebességgel is.

Központilag menedzselhető aktív hálózati eszközök. A váratlan hálózati leállások megszüntetése. Hálózati performanciával, sebességgel kapcsolatos problémák megoldása.

A korábbi, elavult aktív eszközök rendszeresen okoztak hálózati leállásokat, minimális teljesítményük miatt folyamatos volt a forgalom akadozása. Az összes switch nagyteljesítményű, központilag, tűzfalból menedzselt FortiSwitch-ekkel lett kiváltva. Ezáltal hatványozottan nőtt a hálózati sebesség, megszűntek a leállások, akadozások. A továbbiakban semmit sem kellett lokálisan konfigurálni, rengeteg időt spórolva ezzel. Mivel a FortiGate tűzfal a Security Fabric-en keresztül megmutatja a csatlakoztatott eszközök fizikai topológiáját, működését, az üzemeltetésre és hibakeresésre fordított idő a töredékére csökkent. Valós időben látszik, ha bármelyik switch-el, AccessPoint-tal elveszti a kapcsolatot, túlmelegszik, elromlik egy fizikai port,...

Az internetes forgalom dinamikus sávszélesség menedzsmentje.

A különböző prioritású, internet felé irányuló forgalmak, dinamikus szabályozására volt szükség. Ezt a FortiGate által biztosított Traffic Shaper-ekkel és Traffic Shaping Policy-kkal oldottuk meg. A napi munka mellett szükség volt a felhőben használt szolgáltatások, online közvetítések, priorizált, ezáltal dinamikusan változó szabályozására.

A meglévő FortiVoice-VM VoIP telefonközpont veszteségmentes működése.

Mivel a VoIP telefonközpont a virtuális környezetben került telepítésre, a VoIP hálózatnak külön VLAN lett kialakítva, magas prioritású, garantált sávszélességgel, így teljesen megszűntek a korábbi hálózat okozta performancia problémák.

Központilag menedzselhető Wi-Fi hálózat, mely több ezer eszköz kiszolgálására képes.

Mivel sok munkatárs, sok vendég, vendégelőadó érkezik, rendezvény szerveznek, meg kellett oldani egy olyan Wi-Fi hálózat kiépítését, amely valós időben képes kiszolgálni több száz eszközt. (Telefon, okosóra, tablet, notebook,...) Az Önkormányzatnál telepített switch-ek mind PoE-s switch-ek, ezek biztosítják az AccessPoint-ok áramellátását, illetve, ahogy korábban írtuk a Security Fabric-en keresztül lekérdezhető az állapotuk, státuszuk.

Wi-Fi hálózaton keresztüli forgalom védelme.

A Wi-Fi hálózatokat Web Filter, AntiVirus, DNS Filter, File Filtering, Application Control, SSL/SSH inspection Security Profile-okkal is védeni kell, a munkatársak, vendégek nem tölthetnek le semmilyen káros tartalmat, nem használhatnak torrent szoftvereket, esetlegesen fertőzött eszközökkel nem indíthatnak támadásokat. Ezek mellett védeni kell az Önkormányzat területén kívül is látható SSID-khoz való csatlakozást, akár IPS, akár WIDS profile-okkal. Mindez a FortiGate tűzfallal lehetséges, mivel az a FortiAP-k kontrollere.

A rendszer valós idejű központi logolása, monitorozhatósága, így elkerülve a visszakereshetetlen, azonosíthatatlan hibákat.

Az Önkormányzat virtuális környezetében egy FortiAnalyzer-VM került konfigurálásra.

A FortiAnalyzer főbb funkciói:

• Központosított naplógyűjtés. Egységes láthatóság a hálózati és biztonsági eszközökön keresztül
• Valós idejű rendszer- és hálózatfigyelés
• Előre elkészített jelentések és irányítópultok
• Beépített SIEM és SOAR
• Fejlett fenyegetésészlelés

Az üzemeltetéshez szükséges emberi erőforrások csökkentése, az emberi tévedések minimalizálása.

Mivel a teljes hálózat integrált a tűzfalba, így az üzemeltetés központilag megoldott, nagyban csökkentve az emberi erőforrásigényt. Az integráltság miatt az emberi tévedések lehetősége is korlátozódott.

Közvetlenül a hálózati aktív eszközökben történő konfigurációk, frissítések elkerülése.

A központi menedzselhetőség miatt nincs szükség közvetlenül, lokálisan a switch-ekben való konfigurálásra.

Kritikus szolgáltatások, rendszerek védelme.

A kritikus rendszerek, web szerverek szeparált VLAN-okba kerültek, szigorú tűzfalszabályokkal, maximális védelmet nyújtó Security Profile-okkal.

IT biztonsági szempontból a lehető legnagyobb hálózati szegmentálás (VLAN-ok) kialakítása.

A fizikai és a Wi-Fi hálózat is, a lehető legnagyobb mértékben szegmentált. Minden olyan csoport, épület, funkció, amit el lehet választani egymástól, külön VLAN-ba lett elhelyezve.

A VLAN-ok közötti szűrések (AntiVirus, IPS, File Filtering,…).

A VLAN-ok közötti szűréseket (AntiVirus, IPS, File Filtering,…) a FortiGate tűzfal valósítja meg. A szűrések a VLAN-ok között így a lehető legegyszerűbbek, mivel a tűzfal route-olja az SSID-k és a VLAN-ok forgalmát. Mindez azért valósítható meg, mert a Fortigate a switch és Wi-Fi kontroller.

Az internetre publikált szolgáltatások védelme WAF segítségével (Web Application Firewall).

Beüzemelésre került WAF is az Önkormányzatnál, az internetre publikált web szerverek és web alapú szolgáltatások védelmében.

Online közvetítések biztosítása a belső hálózatról az internetre.

Nagyon fontos feladat volt az internetre publikált online közvetítések sávszélességének zavartalan biztosítása. Ezt szintén Traffic Shaping-el oldottuk meg.

A világ minden pontjáról érkező támadások elhárítása.

Mivel az Önkormányzat sok ország Önkormányzatával van kapcsolatban és nemzetközi szinten is jegyzett hivatal, így rengeteg támadás érkezik a világ minden pontjáról. Az ismertség miatt Geolocation alapján minimálisan lehet korlátozni a forgalmakat, így speciális, csak a webszerverek védelmére létrehozott Security Profile-okat alkalmazhattunk.

Külső intézmények, óvodák, bölcsődék FortiGate tűzfalainak integrálása a központi menedzsmentbe.

Security Fabric segítségével az összes külső intézmény, óvoda, bölcsőde tűzfala integrálásra került a központi tűzfalba, FortiAnalyzer-be, ezáltal központilag menedzselt tűzfalszabályrendszer került kialakításra, illetve központi logolás valósult meg.

Az Önkormányzat informatikai rendszerében egy redundáns FortiMail email szűrő rendszer lett integrálva, mely előre meghatározott szabályok szerint továbbítja a beérkező email-eket a beállított, belső levelező szerverek felé.

A rendszer által megvalósított konkrét funkciók:

• Levéltovábbítás (IP alapú, küldő-fogadó domain alapú, ACL alapú)
• SPAM szűrés
• Vírus szűrés
• Tartalom szűrés
• Karantén menedzsment
• Fekete-/fehérlisták

A logolás és riportolás a FortiAnalyzer-ben lett konfigurálva.

A FortiMail-ek is, mint a FortiSwitch-ek, FortiAP-k és a FortiAnalyzer, Security Fabric-be lettek integrálva.