fortiap, fortiswitch & fortiauthenticator · nse 4 (tech – ex fcnsp 5.0) nse 1 - 2 (sales)...
TRANSCRIPT
Roberto NARETTO
System Engineer - IT Security
FortiAP, FortiSwitch & FortiAuthenticator Soluzione di Sicurezza Wireless Gestita
Training & Partner Programs
Soluzione Enterprise Distribuita
(FortiWiFi + FortiAP + Cloud)
Agenda
FortiSwitch - FortiExtender
FortiPresence
FortiAuthenticator
Q&A
Coming Soon
Training & Partner
Programs
Partner Program - Diventa un FortiWireless Specialist
• Benefici Sales, Marketing e Support
– Potrai beneficiare di scontistica privilegiata sui prodotti della famiglia FortiAP e FortiWifi
– Avrai visibilità sul Fortinet Partner Locator
…….e molto altro !
Accedi al nuovo FPP
Visibilità sul Partner Locator – Esperto in soluzioni Wireless
Accesso al Learning Center - Free Training & Exams
7
NSE 7 (Expert Tech)
Adv
Troubleshooting
Training Program - Network Security Expert (NSE6)
NSE 6 (Adv Tech)
Adv Products
Professional
[FML-FWB &
Wireless]
NSE 5 (Tech)
Mgmt Systems
[FAZ-FMG]
NSE 8 (ExpertTech)
[Distri only]
NSE 3 (Adv Sales)
Adv
Solutions
[Wireless]
NSE 4 (Tech – ex FCNSP 5.0)
NSE 1 - 2 (Sales)
http://www.fortinet.com/training/certifications/index.html
Percorso Formativo Dedicato – Semplice e all’avanguardia
Indicaci i nomi dei Tecnici Certificati Comunicaci il business plan Comunicaci gli obiettivi trimestrali
Promozioni per i nuovi Specialists: Try & Save
Free 90-day Trial, Pro Version
www.fortiplanner.com
Free 90-day Trial
(Chiedi a Exclusive-Networks
www.exclusive-networks.it)
NFR Discounts: 48% off FGT/FWF & FAP
(Chiedi a Exclusive-Networks www.exclusive-networks.it)
http://fortinet.com/wireless
Soluzione Enterprise
Distribuita
Reti Troppo Complesse per AP Standalone
• WAN routers • Firewalls • VPN • WAN
optimization • WiFi • Switches • Authenticator • Nuove minacce
Wireless
Web
Filtering
Antivirus Firewall
VPN
Router
Internet
WiFi
AV
Server
Switch
WAN Accelerator
Consolidamento (UTM)
• Consolida tutti i dispositivi di sicurezza in uno
• Rete Enterprise Distribuita
• Incontra i criteri di scalabilità per l’aggiunta di switches, AP, Sistemi di connessione 3G/4G
Web
Filtering
Antivirus
Firewall
WAN Opt
Internet
FortiGate- UTM
Router
App
Control
Switch
Wireless AP
3G/4G Backup
Necessità della Distributed Enterprise
• Implementazione di Molteplici Tecnologie di Network & Security
• Tecnologie di Accesso: – Ethernet, Wireless, Kiosk Systems /
POS, Accesso WiFi per i Clienti
• Varie tecnologie WAN – Cable, DSL, 3G/4G, Satellite, Dial-Up
• Connessioni VPN aggregate in Data Centers
• Verifica della Compliance – PCI, HIPAA, Normativa Privacy
• Decine/Migliaia di Sedi Retail
Soluzioni WiFi & UTM per Tutti
FortiOS 5 Ecosistema delle Funzionalità
Incluse in Qualunque Modello di FortiGate
Firewall VPN IPS App.
Control
AV Web Filter
Email Filter
DLP
L2/L3 & Routing
WAN Opt.
Server LB
IPv6
Traffic Shaping
Identity & Access
High Availability
Virtual Systems
Log & Report
Monitoring Token Server
Endpoint Control
WiFi/Switch Controller
Vuln. Scanning
SECURITY
MANAGEMENT EXTENSION
NETWORKING
Connected UTM - Ottimizzare Reti Complesse
• Sicurezza Integrata • UTM, WiFi, Switching, Autenticazione,
Sicurezza sull’EndPoint
• Integrato in un Singolo FortiGate
• Accesso & Connettività • Wireless Access Points, Accesso 3G/4G,
Switches, dispositive IP
• Gestito da singoli FortiGate
Access & Connectivity
Integrated Security
Infrastruttura UTM Interconnessa
• Tutti i componenti sono gestiti centralmente per il FortiGate
Overview sulle Tecnologie UTM Connesse
FortiGate-140D-POE
FortiSwitch (PoE Option)
FortiAP (Wireless Access Points)
• Rogue AP Detection (PCI) • Guest WiFi with safe surfing and QOS • Retail Analytics • Digital Menu • Wireless Point of Sale • iPad catalogs • Wireless barcode scanners
WAN
FortiExtender
• PCI segmentation • Reporting
POS, Kiosks
Global Management FortiManager FortiAnalyzer
FortiGuard
Labs
• 3G/4G
FortiVoice FortiCam
• UTM • VPN
Global Threat
Protection
Overview sulle Funzionalità UTM
FortiGate SOHO/SMB
Wireless è controllato dal FortiWiFi FortiWiFi
Wireless is controlled by FortiGate FortiAP
FortiWiFi
FortiAP
10/20 30 30/50
Hardware Overview – FortiAP
Hardware Overview – FortiAP
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Tipi di Autenticazione
WLC Integrato in FortiCloud – Captive Portal
WLC Integrato in FortiCloud – Security UTM Integrata
WLC Integrato in FortiCloud – AP Profile
WLC Integrato in FortiCloud – AP Profile
WLC Integrato in FortiCloud – Utenti Guest
WLC Integrato in FortiCloud – Utenti Guest
WLC Integrato in FortiCloud – Utenti Locali
WLC Integrato in FortiCloud – Assessment Base PCI-DSS
WLC Integrato in FortiCloud – Geolocalizzazione degli AP
0
100
200
300
400
500
600
700
800
900
1000
1100
1200
1300
FAP-220B
+280%
Max
Ass
oci
atio
n R
ate
(M
bp
s)
Range of Access point
+100%
+50%
+20%
FAP-221B 802.11n 2x2:2
FAP-320B 802.11n 3x3:3
Legacy 802.11a/g
FAP-112B 802.11n 1x1:1
FAP-320C 802.11ac 3x3:3
FAP-221C 802.11ac 2x2:2
Prestazioni 802.11ac vs 802.11n
Legacy 802.11n
Legacy 802.11ac
FortiPlanner
• Strumento di Pianificazione Gratuito fino a 50 AP Illimitato (versione Pro)
• Mappa delle Emissioni Dinamica • Site-Survey (versione Pro) • Identificazione dei Rogue AP
Download from: http://fortinet.com/wireless
FOS 5.2 – Nuove Funzionalità
• Supporto 802.11ac
• Analisi di Spettro integrata
• Mix di autenticazione WPA2 + Captive Portal nello stesso SSID
• Captive Portal redirect verso un portale esterno
• Combinazione di user e device identity nella stessa policy
• Split tunnel sugli AP «Remote»
• Aggiunto set di impostazioni radio per 11g only e 11n only
• VLAN ID configurabile in GUI
Funzionalità Wireless per Retail
• Wireless IDS
• Suppressione dei Rogue AP
• Controllo Applicazioni Layer7
• Captive Portal Guest Integrato
FortiSwitch
FortiExtender
FortiSwitch Family
Segmentazione Layer2 per PCI Compliance
• Switch Management sul FortiGate • Usa protocollo di gestione CAPWAP modificato (come FortiAP) • Mostra informazioni sulla porta (stato, velocità, ecc.) • Applica policy di sicurezza • Autenticazione via 802.1x o Captive Portal • Segmentazione della rete
Nuovi Modelli FortiSwitch
• FortiSwitch-108D-POE (8x PoE + 2 SFP Gbps)
• FortiSwitch-224D-POE (12x PoE + 4 SFP Gbps)
• FortiSwitch-124D/124D-POE (0/12x PoE + 2x SFP Gbps)
Hardware Overview – FortiSwitch
Hardware Overview - FortiSwitch
Feature 2-Digit 100 Series 200 Series 300 Series
Full Power / PoE+ P
PoE P P P
1G access ports P P P
Rack Mount P P P
FortiExtender – Hardware Lineup
FortiExtender-100B
• Montabile a Palo, Outdoor
• Protezione IP55
• USB modem non incluso
• Ruggedized per uso in ambienti “difficili”
• Alimentazione PoE (injector incluso)
FortiExtender-20B
• Montabile a Muro, indoor
• USB modem non incluso
• PoE o alimentatore AC
• Cover di sicurezza con chiave
• Slot per cavo Kensington
• Temp Range: 0-40 ºC
FortiExtender-100A-VZW (Band 13)
• Montabile a Palo, Outdoor
• Protezione IP55
• Modem 4G Integrato
• Ruggedized per uso in ambienti “difficili”
• Alimentazione PoE (injector incluso)
Com’è Fatto Dentro ?
• FortiExtender-100B • FortiExtender-100AVZW
Problemi con 3G/4G WAN nel Retail
• Modem connesso direttamente al CPE • CPE solitamente posizionato nel CED o ripostiglio • Ricezione 3G/4G non ottimale
FortiExtender Wireless Soluzione WAN
• Modem 3G/4G installato in posizione ottimale • Connesso al FortiGate via cavo Ethernet
Comparativa – Distributed Enterprise
Funzionalità Fortinet Cisco Check Point Juniper Dell SonicWALL
UTM (FW, IPS, AV, IPSec, WCF, Antispam)
P
Parziale P
P P
App Control P X P X P
WLC Integrato P X X X X
PoE Integrato Dipende dal Modello
X P X X
SSL Inspection P X X P P
High Availability P P P P
Management Multi-box, Cloud
Diversi tools di Management
Multi-box, Cloud STRM Multi-box
Licensing • CiscoConnect (IPSec, SSL VPN)
• HA • # di utenti
SSL VPN • IPSec • # di utenti
limitati
• SSL VPN • IPSec • SSL Inspection • HA • OSPF/ BGP
Cisco ASA 550x Juniper SRX series Check Point UTM-1 Edge SonicWall TZ series
64
Consolidate
Switch
Wireless
I Benefici del Connected UTM
Simplify
Local Area
Wide Area
Protect
Network
End Point
Extend
Authentication
Voice
Video
Perform
Throughput
Latency
Manage & Report
Threat Intelligence
65
Coming Soon !
• Nuovi modelli hardware con porte SFP/SFP+
• Nuovi modelli hardware con porte a 1/10/40 Gbps
• Nuovi modelli hardware con porte PoE/PoE+
• Supporto protocollo proprietario FortiLink, simil CAPWAP per gli AP
• Hardware Replacement garantito 10 anni
• Riduzione del prezzo di listino
FortiAuthenticator
Fortinet Connected Security
FortiGuard Wireless Access Point
FortiAP
Wired Access Point
FortiSwitch
End Point Gestiti con
FortiClient
FortiAnalyzer FortiManager
FortiAuthenticator
FortiAuthenticator è il core
dell’Infrastruttura FortiConnected che
fornisce strong authentication e authorization
alle reti e agli utenti connessi
Funzionalità FortiAuthenticator
Strong Authentication e Authorization
•Autenticazione RADIUS e LDAP
•Integrazione LDAP Esterna
•Hardware, mobile, SMS e tokens e-mail
•REST API
802.1X Port Access Control
•IEEE802.1X supporta EAP-TTLS, EAP-TLS, PEAP, EAT-GTC
•MAC address bypass
Certificate Authority
•X.509 Certificate signing (CA)
•Certificate distribution via SCEP
•User – Certificate binding
•Revocation
Fortinet Single Sign On
•Active Directory Polling
•Single Sign-on Portal
•Embedded widgets
•FortiClient User ID
•Carrier RADIUS Integration
• Traditionally authentication has been via username and password this has not changed in 30 years
• Passwords need to be memorable, memorable passwords are guessable. • Dictionary words (password) • Keyboard patterns (123456, qwerty) • Personal information (username, name, favorite team)
• To increase password security, dictionary words should not be used and a mixture of upper / lowercase, numeric and symbol characters should be used.
• Such passwords are difficult to remember.
• Complexity is not everything, there is a bigger threat
• Research (Microsoft 2007) has shown that the average user has over 25 accounts which require passwords and only 6.5 passwords. This means that the average password is shared on 3.8 sites.
• If one of these sites becomes compromised, all using that password to do. • If a low level account on one of your systems becomes compromised, this can be used to compromise
other more valuable systems (e.g. banking password reset to Hotmail)
I Problemi delle Password
http://blog.fortinet.com/rethinking-password-security/
Non puoi essere certo che gli utenti non riutilizzeranno le loro
password aziendali per usi privati o viceversa
Top 10 Sony passwords
1. seinfeld
2. password
3. winner
4. 123456
5. purple
6. sweeps
7. contest
8. princess
9. maggie
10. 9452
Top 10 passwords of 2011
1. password
2. 123456
3. 12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
Top 10 UK passwords
1. 123
2. password
3. liverpool
4. letmein
5. 123456
6. qwerty
7. charlie
8. monkey
9. arsenal
10. thomas
Top 10 Gawkwer passwords
1. 123456 (2516)
2. password (2188 )
3. 12345678 (1205 )
4. qwerty (696)
5. abc123 (498 )
6. 12345 (459 )
7. monkey (441)
8. 111111 (413)
9. consumer (385 )
10. letmein (376)
I Problemi delle Password
FortiAuthenticator Deployment Scenarios
Two-Factor Authentication Secure access to your critical networks and data
Strong password security
• Login requires something you have (token) and something you know (password)
• Prevents password replay attacks
• Self-service password reset
Username
Password
Token
FortiAuthenticator Deployment Scenarios
Two-Factor Authentication Flexible range of token to cater for all requirements
Multiple token formats
• Physical time (FTK200) and certificate (FTK300) based tokens
• FortiToken Mobile for Android and iOS
• SMS and Email event based tokens. SMS supported via FortiCloud or third party provider
Support for wide range of secure authentication
methods
Physical
Tokenless
API
Mobile
FortiAuthenticator Deployment Scenarios
Wifi Authentication Secure access to your critical networks and data
Centralized WiFi Authentication
• Authenticate users (PEAP, EAP-TTLS)
• Certificate based device authorization (EAP-TLS) for BYOD environments
• In open guest or visitor networks, FortiAuthenticator can provide captive portal functions
FortiAuthenticator Deployment Scenarios
Guest Management Self service access to Wifi for visitors
User Self-registration
• Collection of user details
• Option to SMS login details (proof of identity)
Receptionist registration option
Time limited accounts
Support multiple locations
FortiAuthenticator Deployment Scenarios
Port Access Control Prevent security bypass, restrict switch port access
Switch port authentication
• Prevent network misuse by authenticating users before allowing network access
• Works with native supplicants (PEAP, EAP-TTLS, EAP-TLS, EAP-GTC)
• Supports MAC Authentication Bypass (e.g. for printers)
FortiAuthenticator Deployment Scenarios
Certificate Authority Simplify the complicated task of certificate management
Issue certificates for multiple uses:
• VPN Authentication
• Wireless 802.1X
• Windows Desktop Authentication
Compatible with FTK300 USB PKI Certificate Store
X
REVOKED
FortiAuthenticator Deployment Scenarios
Certificate Based VPNs Secure access to corporate resources
Enhance VPN security
• Certificate base VPN enhances traditional pre shared keys
• Certificate Revocation (CRL & OCSP)
Simplified management
• Bulk certificate creation
• Zero touch certificate distribution (SCEP)
FortiAuthenticator Deployment Scenarios
Fortinet Single Sign-On Granular, transparent user identity based access control
User based identity policy
• Identify users transparently to allow Fortinet devices to apply appropriate policy
• Multiple user identification methods including AD, Login Portal, embeddable widgets, FortiClient, third party RADIUS accounting
Staff Admin Guest
Corporate Resources
FortiAuthenticator Deployment Scenarios
RADIUS Accounting Proxy Simplify & de-risk integration into the carrier network
Duplicate RADIUS Packets
• Fortinet RADIUS Single Sign On (RSSO) used for Identity Policy in FortiGate and FortiMail
• RADIUS is critical to carrier operation (user access & billing)
• FortiAuthenticator avoids unwanted changes and load on the Carrier RADIUS system by duplicating and manipulating accounting packets
Carrier
RADIUS Server
RADIUS
Accounting
FortiAuthenticator Competitive Comparison (2FA)
FortiToken & FortiAuthenticator • Seeds are securely protected • Seeds can be delivered on Encrypted CD • OATH interoperable • No Token Expiration Date • FortiAuthenticator delivers multiple technologies
• Two-factor authentication, user management • Certificate Authority • FSSO • Wifi Authentication and Guest Management
SecureID
• Per seat licensing – Expensive
• Seeds have been compromised
• Proprietary algorithm
• Different Management systems depending on customer size. Separate Certificate Manager.
• Tokens will expire
FortiAuthenticator Appliances
FortiAuthenticator Virtual
Appliances
• Stackable licensing model based on user count
• No CPU/RAM limitations
Large Enterprise/MSSP
FortiAuthenticator 1000D
• Supporta fino a 10,000 utenti
• HDD – 2 x 2TB
• 4 x 10/100/1000
• 2 x SFP
• Montabile a Rack, 2U
• Dual AC PSU
Large Enterprise/MSSP
FortiAuthenticator 3000D
• Supporta fino a 40,000 utenti
• HDD – 2 x 2TB
• 4 x 10/100/1000
• 2 x SFP
• Montabile a Rack, 2U
• Dual AC PSU
Installazioni di ogni dimensione da SME a MSSP
FortiAuthenticator VM
• Da 100 a 1M+ utenti
• CPU Illimitata
• RAM Illimitata
Mid Enterprise
FortiAuthenticator 400C
• Supporta fino a 2,000 utenti
• HDD – 1 x 1TB
• 4 x 10/100/1000
• Montabile a Rack, 1U
• Single AC PSU
Small / Mid Enterprise
FortiAuthenticator 200D
• Supporta fino a 500 utenti
• HDD – 1 x 1TB
• 4 x 10/100/1000
• Montabile a Rack, 1U
• Single AC PSU
FortiAuthenticator Informazioni sul PO
**Licenze per utente completamente Stackable**
FortiPresence
FortiPresence Solution Overview
Componenti essenziali:
- FortiAP o FortiWiFi: Rileva il segnale wireless di smartphones e tablets
- FortiGate: Aggrega le informazioni dei segnali che provengono da diversi AP
- FortiPresence: Processa dati e fornisce analisi sulla dashboard
Fortinet Presence Analytics… ma cos’è che è ?
• Strumento per l’analisi comportamentale dei clienti mediante segnale WiFi Rileva il segnale emesso dai dispositivi che hanno il wireless attivo
Non serve che il dispositivo sia connesso ad una rete WiFi Analizza la posizione ed i movimenti del dispositivo Provides insights into customer behavior Migliora le prestazioni del punto vendita
Kiana Analytics
Kiana Collector FortiAP cattura
il segnale
Kiana Dashboard
Smartphone Cliente emette segnali probe
Kiana API
Push della notifica
Hotspot Web Browsing Data
Email identity from hotspot
App Kiana Attiva
Online
fingerprint
FortiGate raccoglie i dati
Retail Analytics – Come Funziona
FortiPresence: Misurazione. Connessione. Influenza.
Misurazione - Totali/Nuove/Ripetute - Dwell Time Duration - Comparazione tra due Negozi/Zone - VIP Alert - Real-time Heat maps - …altro…
Connessione - Social Login - Campagne Marketing - Push di coupon
Influenza - Analisi di traffico - Rilevamento ricerca
prodotti - Con le API è possibile:
- Firma digitale - Sconti istantanei - Push di
campagne marketing ad-personam
Misurazione: Analisi dei Transiti
Quanto passaggio c’è fuori ?
Quanti clienti sono entrati ?
Quanti si fermano davanti alla mia vetrina ?
Sono sempre gli stessi ?
Sono clienti abituali ?
Come va rispetto alla settimana scorsa ?
Visitor Loyalty Conversion funnel Distribuzione della durata
Reportistica Integrata
Reportistica Comparativa
• Captive Portal per l’accesso al Wireless attraverso un account usato nei Social Networks Associa istantaneamente l’account al MAC address Si conoscono più informazioni sul profilo del cliente Gestione della normativa sulla raccolta dei dati personali a cura del Social Network
che ha registrato l’utente
Connessione: Social WiFi
Connessione: Analisi Real-time delle ricerche online
Influenza: Analisi del Percorso
Use Cases – Installazioni nel Mondo
Use Cases – Scenari d’Implementazione
Enterprise retail chains
Food & restaurant chains (QSR)
Auto showrooms
Malls / Shopping center
Hotels/ casinos/ resorts
Airports & convention sites
Tipica Installazione Retail
• n. 190 x FGT-80C (uno per negozio) • n. 1170 x FAP-221B • FortiManager&FortiAnalyzer • Servizio FortiPresence Analytics • Punti di forza
Security + Wireless Follow-up avendo già diversi FortiGate installati TCO inferiore ai competitors
• Deal size: 420K$
1500 tablets android usati dalla forza vendite
190 negozi
Case Study: BOBBEJAANLAND Theme Park
• Fiandre, Belgio • 7 Kmq, 50 attrazioni, 750.000+ visitatori/anno
• Aumentare le visite ed il profitto • Aumentare il numero di corse ed attrazioni • Connessione wireless dei punti vendita • Attivare un Hot-Spot per gli ospiti
• FortiGate come WLC • 30+ FortiAP indoor e outdoor • Servizio FortiPresence Analytics
Ricapitolando…
#1 Parificazione dei livelli di accesso wireless e wired • Tratto gli utenti wireless come quelli wired • Posso decidere di applicare stesse o diverse policy per utenti wireless e wired
#2 Vasta gamma di Wireless Lan Controllers • 20+ modelli di WLC per soddisfare qualunque esigenza • Scalabilità da 2 a 10K AP
#3 Soluzione Consolidata • Rivaluta l’investimento fatto sul FortiGate esistente • TCO e ROI inferiori rispetto ai competitor perché non servono licenze
#4 Unica piattaforma di gestione • Gestine semplice ed efficace • Dalla stessa GUI gestisci sia la rete wireless, sia la rete wired
#5 Sicurezza all’n-esima potenza • Tutte le funzionalità di sicurezza che hai imparato ad amare sul wired, sono disponibili
per il wireless • Wireless ad elevate prestazioni con elevata protezione
Q & A
[email protected] – System Engineer Exclusive Networks Italy
Cosa Stiamo Preparando Per Voi
Grazie !
[email protected] – System Engineer Exclusive Networks Italy