vxr wrote:
About Active...(恕刪)
其實有點看不懂 Active Scanning 的作用說?v大要明示一下? 看說明手冊貌似是和兩個我認為不太重要的功能有關係? Active Host Identification 和而Vulnerability Scan?
另外,有問過中華電信,說是之後會再推出 60E 的平價類似方案,要我們期待。當然我們是先找雄大進一台測試先了。
schnauzer wrote:
其實有點看不懂 Active...(恕刪)
Active Scanning是Device Identitification的一部份功能..
Device Identifitication是FortiOS的BYOD的核心...
透過Device Identifitication支持了L2 MAC address驗證以及TCP/IP驗證...
這功能可以依據L2驗證和TCP/IP驗證檢查該設備是甚麼類型的系統..
例如android, iphone, windows等..
因此不單單只是單純的SPI防火牆(Interface, IP, Port, Protocol) , 還可以提供更精準的來源端掃描...
TCP/IP驗證需要額外安裝Forticlient在client上...
比方說你在policy設定上 "僅" 放行windows OS的設備通過...
在v5.4之後, 區分了Passive Scan和Active Scan...
Passive Scan就我所知是traffic經過時才會掃描...
Active Scan當然就是自主性掃描...
Passive Scan的目前的精確度實在很糟糕..
Active Scan會用到VCM的功能...
他看起來像是Active Scan目前只有特定機型才有..
就他們的開發團隊回覆是, 全部的soc3產品都不支持這個active scan..
當然如果不管任何scan的話..
在client(android, apple, windows)端安裝forticlient也是一個solution...
但我不認為這是一個受歡迎的方案...
FortiOS預設是free 10 clients license...
schnauzer wrote:
原來如此,感謝 v...(恕刪)
device identification只是FortiOS的BYOD其中的一個功能項目..
FortiOS的BYOD允許結合以下功能:
1. device identification or Forticlient registration
2. User authentication; RADIUS, LDAP, SSO
3. VPN
你要完全偵測source的設備類型...
那麼device identification就會很好用...
你區隔SSID, MAC管制, VLAN..
但是對這個"管理平台"來說..
他依然不能識別來源端的設備形式..
一般的SPI防火牆怎麼知道來源端是windows, linux, android, apple呢?...
請參考FortiOS™ Handbook - Parallel Path Processing文件了解packet操作的整個流程...
device identification會有一個hard-coded的database來記錄device的型態...
device identification是FortiOS的BYOD最重要的一個功能項目..
這個功能在v5.2問題不大, 大多都可以良好識別..
只是在v5.4過後, device identification好像被做了一些更動導致一些small box都無法良好識別...
active scan在一些small box產品不該完全移除..
我不知道為什麼他們的開發團隊做一些奇怪的決定讓該功能移除後導致device identification精確度變的很糟糕..
因為passive scan的效果並不是很好...
當然! 另外一種方式就是使用forticlient來註冊設備形態到FortiOS..
只是default只有free 10 clients license..
除了VPN以外, 這並不是一個好的方案...
真是沒想到soc3都不支援自動偵測的BYOD了
也就是說含FG-100E以下的機種都不支援VCM
難怪vxr大會感到生氣(原廠訊息怎不先揭露呢)
因為買E系列機種完全不能用OS5.2只能用5.4以上
這樣以往BYOD的好處就只能在200D以上機器用了
小弟過往也是BYOD重度使用者
用此方法可以非常方便的管理數百個人與設備
尤其在OS5.2時,只要點三下就可以輕鬆管理設備
而且又不怕輸入MAC等數字錯誤
算是非常方便又實用的功能
只是官方很少提到此(使用者也不知有此功能)
甚是連技術影片也沒有(5.4才有個半套的影片)
小弟現在用5.6.2,常常要去更改BYOD的數據
實在有些煩人
只能期待原廠能在新版盡快修正其缺陷了
vxr wrote:
你要完全偵測source的設備類型...
那麼device identification就會很好用......(恕刪)
M.M.SW wrote:
用此方法可以非常方便的管理數百個人與設備
尤其在OS5.2時,只要點三下就可以輕鬆管理設備
而且又不怕輸入MAC等數字錯誤...(恕刪)
大概能理解 v 大和 M 大的經驗了,看起來如果有公司要針對不同的裝置進行細緻但快速的防火牆管理時,有這個功能的確是能幫 MIS 省去不少的功夫
我只是不太能理解在什麼商業環境下需要「你要完全偵測source的設備類型」這麼細緻的需求?假設我們公司公買都進 HP 的筆電,員工自己 BYOD 也會有 HP 的,那最後還是得做 MAC 的白名單機制才好處理,用 SSID 來區隔開來,User authentication portal server 上再看要吐哪種認證頁面甚至就丟 web page 讓 user 手動選就好,我能想到唯一的好處是可以稍稍避免假造 MAC問題,不知道 v 大或 M 大還有什麼樣的使用情境可以分享一下?
而且現在裝置千百種,要靠「深度識別」的方法去精準辨識想必不是花力氣花很大就是會有漏網之魚,裝 client 又如 v 大說的不太實際(就這個功能?),如果沒有更好的 roadmap 在這個 BYOD 的前面時,小弟我還覺得花力氣繼續加強這功能有點吃力不討好
schnauzer wrote:
大概能理解 v 大...(恕刪)
"我只是不太能理解在什麼商業環境下需要「你要完全偵測source的設備類型」這麼細緻的需求?假設我們公司公買都進 HP 的筆電,員工自己 BYOD 也會有 HP 的,那最後還是得做 MAC 的白名單機制才好處理,用 SSID 來區隔開來,User authentication portal server 上再看要吐哪種認證頁面甚至就丟 web page 讓 user 手動選就好,我能想到唯一的好處是可以稍稍避免假造 MAC問題,不知道 v 大或 M 大還有什麼樣的使用情境可以分享一下?"
為什麼一定要把device identification個別區隔開來呢?
這明明是可以合併操作的行為..
device identification可以結合各種功能...
User authentication, captive portal, VPN..
device identification只是一個基於L2 MAC掃描以及TCP/IP token(forticlient)的其中一個方案...
"那最後還是得做 MAC 的白名單機制才好處理"
device identification允許合併MAC名單功能...
並且指定設備類型...
device identification是一個增強型的設備識別方案...
你不可以從 "人" 的角度來看, 要從 "管理平台" 來認知...
管理平台對於來源端的認知....
一個情境, 一個small office有25台PC..
small office允許wifi接入...
這些PC有加入至特定的domain
例如XXXX.local的domain...
25台PC下的interface是internal
wifi對應的是wifi1, wifi1是bridge接到internal的介面下
為了管理方便, 將wifi1和internal合併為一個zone, 名為zone-end-users
表示這個zone下都是一般的使用者...
對於wired internal來說, 結合user authentication中的FSSO, 生成了幾個SSO物件:
SSO_Domain_Users
SSO_Managers
一個policy被設定為來源端接入到另外一個branch office的網段...
來源端限制為:
1. 來源端為zone-end-users
2. 僅能允許FSSO的使用者
3. IP網段限制
4. device identification僅允許Windows OS設備, 其他設備, linux, android, iphone等, 一律拒絕.
在這種情況下導致了只有FSSO成員資格的Windows OS系統的domain user才能存取branch office...
千萬不要把device identification當成整個BYOD..
他只是其中的一部分...
對於FortOS的管理平台的 "認知" 來說
1. 基於一般的SPI防火牆功能(MAC, IP, Port, Protocol, etc...)
2. User Authentication
3. Device Authentication
4. App Control(這是UTM/NGFW的功能, 跟目前提到的沒甚麼關聯), v5.6有一種policy-based NGFW模式; 該模式可以讓policy判別來源端是L7 app型態. 很類似PA防火牆的AppID功能. 不過該功能目前有點問題, 將在v5.6.3被修復
5. VPN, optional
M.M.SW wrote:
看來vxr大是收到RD...(恕刪)
全部的SoC3產品都可能移除了VCM導致了Active-scan無法使用..
這也包括了10xE的中階產品..
not all models have support for active scan.
我昨天得知了RD正在進行對device identification的功能改善...
Regarding the passive scan, we had a design change since 5.2 so that is why you see a difference in the behaviour. We are aware of the limitation in the current version and are working on improvements.
因為passive scan真的太爛了....
可以幫忙提供以下資訊..
使用putty紀錄log文字檔...
1. What is the FortiOS version
2. What is the Device/OS Identification database (diagnose autoupdate versions)
3. Is active scan enabled (it uses a different mechanism), if so, please test with active scan disabled, or provide active scan debug:
diagnose debug enable
diagnose debug application netscan 31
4. Output of device detection debug when the mis-identification occurs (you may need to delete the device entry in user device list so it can be detected again)
diagnose debug application src-vis -1
5. Packet capture of the device traffic to the interface during the detection period. Most crucial information.
沒有packet capture機種..
使用sniffer看看:
diag sniffer packet
http://kb.fortinet.com/kb/viewContent.do?externalId=11186
6. Output of the device list (after detection is done)
dia user device list
vxr wrote:
..為什麼一定要把device identification個別區隔開來呢?
這明明是可以合併操作的行為..(恕刪)
感謝 v 大說明,原來是這樣,我的理解是 Fortigate 是以硬體盒子的思維來做這個東西,希望提供 user 一個單一黑盒子的 turnkey 解決方案。有趣的是,如果只是 L2 MAC 掃描的話,做不好還經過兩個 minor version 都修不好的話,以軟體角度來看是個很該打屁股了。除非是有些東西是和硬體的東西環環相扣不易更動,才顯得合理。
從這點來看,Unifi 的做法我認為是比較符合目前環境和大勢的,他的 Controller 做成純軟體(雖然他也賣 cloud key 這種東西),把目前不適合由硬體實作的東西丟到軟體上來跑,例如 DPI,裝置識別(雖然他目前也只是裝置識別而已,看來沒多做什麼事,但想做的話就容易多了),GUI 操作這些,以目前 PC/Server 都效能過剩的情況下,不用受限於裝置的硬體規格,而且開發上快速許多,畢竟專用的網路硬體看來 3-5 年一個跌代(世代)才符合市場成本。
不過這也沒啥對錯啦,看大家的使用情境,但我個人是比較樂見這種軟硬混搭的辦法,當然也得有像 Unifi 這類價格破壞者的出現才更完美。
* 話說從 v 大先前提到的,很多網路設備也早就 x86 了,高階的貌似更是如此,這叫硬體軟體化,軟體硬體化嗎... 後 PC 時代
內文搜尋
從 APP 打開
X