设备检测允许FortiGate检测设备,并提供有关它们的重要信息,如MAC地址、IP地址、检测设备的FortiGate接口等。
无代理识别使用来自设备的流量。设备按其MAC地址进行索引,有多种方法来识别设备,如HTTP用户代理头、TCP指纹、MAC地址OUI和FortiOS-VM检测方法等。只有当FortiGate和工作站直接连接到网络段,流量直接发送到FortiGate,并且FortiGate和工作站之间没有中间路由器或第3层设备时,无代理设备识别才有效。
请注意,FortiGate使用先到先得的方法来确定设备身份。例如,如果HTTP用户代理检测到设备,FortiGate会用检测到的MAC地址更新其设备表,并在确定该MAC地址的类型后立即停止扫描。
基于代理的设备识别使用FortiClient。FortiClient向FortiGate发送信息,设备由其唯一的FortiClient用户ID(UID)跟踪。
FortiGate必须:
● 在FortiCare注册
● 连接到任何广播FortiGuard服务器
● 拥有有效的IOTH合同订阅
● 资产视图——按设备类型分组信息
● 身份视图—将用户的信息分组
默认情况下未启用该功能。你可以在GUl的可见功能部分启用它,或使用上图显示的CLI命令。
资产标识列表选项卡显示IT和OT设备,以及每个设备是资产还是标识。此选项卡还显示每个设备的当前普渡级别,该级别可能会发生变化。
选择OT视图选项卡以在普渡图中显示设备。
你可以将设备拖放到不同的普渡级,同时保留与其他设备的逻辑链接。通过这样做,设备的当前级别在OT视图选项卡和资产标识列表选项卡上都会立即更改。
然而,在物理隔离环境中,由于缺乏可用的外部网关,包括防火墙设备在内的工业设备不得连接到互联网。
你可以从系统>FortiGuard页面手动上传FortiGate设备许可证以及反病毒和IPS数据库文件。请注意,此选项在FortiGate硬件型号上可用。
FortiGate使用loT设备检测提取元数据,使用由loT设备产生的流量,并在本地维护设备列表。FortiGate无法将其收集的信息传递给网络。
loT检测服务是一项许可证服务,需要互联网连接才能继续接收FortiGuard签名包的更新。
然后可以使用各种工具对连接的端点进行分类,最常见的是内置设备分析工具。设备分析工具利用大量主动和被动方法对每个端点进行准确分类。
FortiNAC与无线控制器、自主AP、交换机、路由器等基础设施设备进行通信。由于这些基础设施设备是在线的,它们可以检测连接的设备和连接端点。他们将这些信息发回FortiNAC,或者FortiNAC从他们那里收集这些信息。
FortiNAC还通过从DHCP和RADIUS等来源收集信息来被动地收集信息。
● FortiNAC使用SNMP来发现基础设施,完成数据收集,并执行持续管理。
● 通过CLl的SSH或Telnet通常用于完成与基础设施相关的任务。例如,FortiNAC可以使用SSH连接到设备并发出命令来收集可见性信息或执行控制功能。
● FortiNAC还可以在有线或无线连接上使用RADIUS来收集可见性信息并控制访问。
● FortiNAC使用Syslog来了解最新的可见性细节,例如主机离线。Syslog还可以提供安全设备集成,使FortiNAC能够在收到安全警报时进行记录和响应(如果配置为这样做)。
● 根据基础设施设备的供应商,FortiNAC可能会利用可用的API功能来增强可见性并强制控制。
● FortiNAC可以使用DHCP,通常通过指纹识别连接的设备并获得增强可见性。
FortiNAC使用的通信方法取决于FortiNAC试图集成的基础设施设备的供应商和型号。在FortiNAC知道它正在通信的设备类型后,它确定并使用适当的方法和命令来收集信息并保持控制。
信息是通过轮询作为端点的基础设施设备,或通过接收从端点连接的设备发送到FortiNAC的MAC通知陷阱或RADIUS请求来收集的。
学习的物理地址、学习时间以及从哪里学习,以什么、地点和何时的信息的形式提供了端点可见性的开始。
● 手动轮询:当管理用户右键单击库存视图中的开关并选择L2(主机)信息的轮询,或单击网络>L2轮询时,将启动手动轮询。
● 计划任务:第2层轮询安排在网络>L2轮询视图中,你在网络设备下拉列表中选择该视图。你可以更改默认的计划间隔。
● 链接陷阱:从边缘设备接收的链接陷阱触发FortiNAC执行第2层轮询,以更新其对该边缘设备上连接的设备的感知。触发投票的陷阱是:Linkup、Linkdown、WarmStart和ColdStart。当设备连接到边缘设备并与边缘设备断开连接时,此触发器使FortiNAC实时保持最新状态。
你还可以从MAC通知陷阱收集第2层数据。当边缘设备向FortiNAC发出MAC通知陷阱时,通知包含刚刚从边缘设备的MAC地址表中学习或删除的MAC地址,以及与MAC地址关联的端口。然后,FortiNAC可以用新信息更新其数据库。
MAC通知陷阱是学习和更新第2层信息的首选方法,当它们是选项时,你应该始终使用它们。与必须联系和查询边缘设备相比,接收和处理MAC通知陷阱的资源密集程度要低得多。
你不应该配置在配置了MAC通知陷阱的设备上发送到FortiNAC的链接陷阱。你不应该在上行链路的接口上配置MAC通知陷阱。
MAC通知陷阱优于链路上线和链路下线陷阱有几个原因,以及为什么你应该尽可能始终使用它们:
● 首先,FortiNAC不再需要在每次收到链路上线或链路下线陷阱时建立与基础设施设备的连接,因为所需的信息包含在MAC通知陷阱中。这使得数据库更新更快,需要的资源更少。
● 其次,即使他们连接的设备无法生成链路上线或链路下线陷阱,也会立即看到通过集线器或IP电话连接的主机和设备。
这种增加的可见性还可用于在主机名或主机操作系统更改时生成通知。
● 使用第2层轮询或MAC通知陷阱收集的MAC或物理地址
● 使用第3层轮询收集的网络或IP地址
● 它在网络上的当前或最后一个位置,通过第2层轮询知道
● 基于第2层轮询的连接状态(已连接或断开)以及连接和断开时间
● 供应商名称,基于MAC地址的供应商OUI。(FortiNAC在数据库中有一个最新的供应商OUl列表。)
● 从DHCP指纹收集的主机名和操作系统
端点可见性和细节并不定义设备信任。信任是通过每个端点的分类来定义的。
你可以根据需要为每种需要分类的不同类型的设备创建规则。例如,工业设备规则可能会使用供应商OUI和网络流量,这意味着FortiNAC首先验证设备OUI,然后验证网络流量信息,如协议、目标端口和目标IP。当FortiNAC评估收集的信息并将其与数据库中的预设列表进行比较时,以确定它是否与所选设备类型相匹配。你还可以输入用户定义的值,以允许详细的设备特定自定义。
你可以使用多种方法来创建更强大的规则。
分类的端点也被称为注册主机,因为它们现在被视为在系统中注册并受信任。
以下是规则示例列表以及用于验证每个规则的方法。它们被优先用于高效处理和特定识别:
● 规则1,称为轴相机,使用单一验证方法:供应商OUI
● 规则2,称为爱普生机器人,使用三种方法:供应商OUI、IP范围和网络流量
● 规则3,称为Yaskawa机器人,还是使用供应商OUI、IP范围和网络流量
● 规则4,称为HVAC,使用单一的方法:TCP
● 规则5,称为阀门控制系统,使用单一的方法:TCP
● 规则6,称为访问锁,使用单一的方法:DHCP指纹
接下来,你将仔细查看设备分析规则的组件。
设备分析利用了包括分类设置和用于评估的方法的规则。
FortiNAC使用规则方法来评估设备,以测试通过或失败的结果。如果所有选定的方法都导致通过结果,那么FortiNAC将应用设备类型、分组和属性值的规则定义分类设置。
分类设置定义了FortiNAC将如何对连接的设备进行分类,以及它将如何在GUI中显示。你可以利用设备类型、角色和组成员资格来执行政策。你可以使用访问可用性设置在特定日期和时间授予网络访问权限,并使用规则确认选项来重新验证之前分析过的设备。
● DHCP指纹:由DHCP发现或DHCP请求信息决定
● FortiGate:利用从FortiGate收集的FortiGate会话信息
● FortiGuard:基于从基础设施和FortiGuard loT数据库收集的MAC地址信息
● IP范围:根据从基础设施收集的IP地址确定
● 位置:基于从基础设施中学到的连接点
● 网络流量:从基础设施收集
● 被动:基于被分析设备产生的流量
● 供应商OUI:由从基础设施收集的MAC地址决定
所有其他方法将直接扫描或直接与正在分析的设备交互。
● 通过的规则评估结果对规则分类设置定义的设备进行分类。
● 失败的规则评估结果以下一个排名规则继续设备评估过程。
● 无法评估的规则评估结果会停止设备评估过程。当规则中的方法需要不可用或无法验证为当前的数据时,就会发生这种情况。
作为最佳实践,分类规则分为三个优先组,在大多数情况下,这些组应遵循以下准则:
● 仅在已收集的组中放置带有供应商OUl和位置方法的规则。
● 在需要读取组中放置一个或多个基于IP的方法的规则。
● 将任何使用DHCP方法的规则放入必须接收组中。
以下是遵循这些示例规则的指南的结果:
● 规则1,OUl评估结果是最简单的失败路径,导致验证的开销最低。
● 规则2,对IP范围和网络流量的评估,只有在OUl匹配的情况下才会进行。这可以防止对没有正确供应商OUI的设备进行不必要的处理。
● 规则3,使用与规则二相同的方法进行配置。
● 规则4和5,评估开放的TCP端口,要求对评估的每个设备进行主动扫描。
● 规则6,有效的命令,因为DHCP指纹接收不受FortiNAC控制,如果没有收到指纹,可能会停止规则评估(无法评估)。
设备分析规则视图显示提供的默认规则集。使用此窗口修改默认规则或创建自己的一套规则。默认规则因软件版本和安装的固件而异。升级到软件的新版本不会添加或修改默认规则。
在多方法规则中,在任何其他方法之前评估OUI、位置和IP范围。这是为了让你可以编写分析规则来针对特定设备,同时排除其他设备。
处理流氓时会忽略禁用的规则。默认情况下,设备分析规则被禁用,并且设置为不注册设备。当你准备开始分析时,请启用你想要使用的一个或多个规则。
请注意,规则是按照适用规则的顺序排列的,你可以修改规则。
运行规则来评估数据库中已经存在的流氓。
中间部分是你配置注册设置的地方。第一个选项是自动或作为手动过程执行设置。如果设置为自动,FortiNAC将在规则匹配后立即执行以下所有注册步骤。如果设置为手动,规则仍然匹配,设备将被剖析,但是,在赞助商登录GUl并手动注册设备之前,不会处理注册设置。接下来要配置的设置是设备类型。有许多预先存在的设备类型。然而,管理用户也可以创建自己的类型,无论任何给定环境中的设备类型如何,这都能提供完全的灵活性。一个角色可以分配给设备,然后可以在策略中利用这个值。例如,根据连接点,可以配置为将具有相机角色的设备配置到特定网络的网络访问策略。Register as字段是你可以定义设备放置位置的地方。这些选项在主机视图中是拓扑视图,或两者兼而有之。最常见的选项是主机视图。
对于位于主机视图中的设备,它们可以自动添加到主机组中。但是,对于位于拓扑视图中的设备,你需要选择一个拓扑容器。访问可用性选项允许管理用户定义分析设备在网络上允许的特定日期和时间。
你必须设置防火墙会话轮询才能使用此方法。在网络>库存视图中右键单击FortiGate,然后选择设置防火墙会话轮询。
FortiGuard方法使用Fortinet loT查询服务来确定设备的操作系统。当你使用匹配类型选项时,如果选择的设备类型与被分析设备的操作系统相对应,你将获得匹配。匹配自定义属性选项可用于匹配以下一个或多个属性:
● 类别
● 子类别
● 供应商
● 型号
● 操作系统
● 子操作系统
请注意,启用FortiGuard设备分析方法需要FortiCare支持合同;否则,该方法将显示为灰色。
如果设备的IP地址属于其中一个范围,IP范围方法会导致匹配。你必须至少指定一个IP范围。此方法要求FortiNAC设备知道被分析设备的当前IP地址,并将触发第3层(IP到MAC)轮询来收集此信息。
网络流量方法评估由协议、目标端口和目标IP地址剖析的设备生成或接收的网络流量。必须启用防火墙会话轮询才能利用此方法。防火墙会话轮询是通过右键单击拓扑树中的设备并选择设置防火墙会话轮询来配置的。
被动方法使用p0f,这是一种被动的TCP/IP指纹工具。它需要在FortiNAC设备和被分析的设备之间进行通信。这通过分析接收数据包中的特定字段来确定端点的操作系统。方法选项卡上没有什么可设置的。此方法使用常规选项卡上选定的设备类型来确定匹配。
RADIUS请求方法使用管理定义的属性来评估从本地RADIUS访问请求收集的指纹。这可以允许设备连接后对其进行剖析。
如果设备成功响应指定OID的SNMP GET请求,SNMP方法将匹配。需要SNMP安全凭据。如果有多个安全凭据,每组凭据将尝试找到潜在的匹配项。有一个与响应字符串值匹配的可选字段。如果输入多个字符串值,它将尝试匹配其中任何一个。
如果设备在所有指定的端口上提供服务,则TCP方法匹配。你必须指定至少一个端口,但所有指定的端口都必须匹配。输入多个端口,用逗号分隔,如162,175,188。使用连字符输入一系列端口,例如204-215。FortiNAC设备使用NMAP执行端口扫描。
UDP方法的工作原理类似于TCP方法。如果设备在所有指定的端口上提供服务,则UDP方法匹配。您必须指定至少一个端口,但所有指定的端口都必须匹配。多个端口以逗号分隔输入,如162,175,188。使用连字符输入一系列端口,例如204-215。
供应商代码:从FortiNAC数据库列表中选择的特定供应商OUl。要选择OUl,请开始键入前几个字符。匹配的OUl列表显示在下拉列表中。
供应商名称:从FortiNAC数据库列表中选择的单个供应商名称。要选择名称,请开始键入前几个字符。匹配供应商的列表显示在下拉列表中。你可以在供应商名称的开头和结尾使用星号作为通配符,以匹配名称的所有变体。
供应商别名:供应商别名是一个管理定义的字符串,你可以在多个供应商之间分配给一个或多个供应商OUl。你可以在Vendor OUl设置页面中定义别名值,该页面位于Identification文件夹中,你可以在系统设置中找到它。
设备类型:从提供的下拉列表中选择设备类型。包括报警系统或读卡器等项目。如果选择此选项,与连接设备的供应商OUI关联的设备类型必须与FortiNAC供应商数据库中OUl的设备类型相匹配。你可以在供应商数据库中看到设备类型,并在位于系统设置的识别文件夹中的供应商OUl设置页面中覆盖它。
请注意,最佳做法是将供应商OUl方法与其他方法结合使用,以避免由于MAC地址欺骗而导致的意外匹配。
同一设备在列表中可能有几个指纹条目。这是因为每个独特的指纹都会制作一个新的条目。例如,指纹可能会显示两个DHCP发现消息或DHCP发现和请求消息之间的一组不同的DHCPv4选项或参数。具有多个指纹识别不同操作系统的同一主机很可能是双引导主机。
删除:删除选定的指纹。
显示属性:显示指纹属性信息。
显示适配器:显示与设备关联的适配器信息。
注册为设备:将主机注册为设备。
确认规则:如果设备符合设备分析规则,将根据该规则重新评估。
启用主机:如果主机已被禁用,则启用主机。
创建设备分析规则:显示添加设备分析规则窗口,其中包含任何称为启用和填充指纹的结果的方法。
运行FortiGuard loT扫描:尝试使用FortiGuard识别设备。
测试设备分析规则:根据现有的分析规则评估设备。
对设备进行分类的一个重要部分是准确描述连接到环境的许多不同端点。设备类型通常用于运行库存报告或创建安全策略。在分类过程中,你可以使用一组默认的现有设备类型。你可以在识别文件夹中的系统设置菜单中查看列表,使用设备类型编辑器修改或创建新的设备类型。这有助于你自定义设备类型以适应任何环境。
要创建新设备,请单击添加。给设备类型一个名字。然后上传适当大小的图标,或从近2000个图标对的存档列表中选择一个大小图标对。创建新设备类型后,它会出现在列表中,并且工作方式与默认设备类型完全相同。
你可以在供应商别名字段中设置别名。你还可以对默认角色分配和注册类型进行配置更改。如果设备使用门户页面注册,默认角色分配是分配的值。注册类型是默认的设备类型关联,与设备分析规则的供应商OUI方法一起使用。当FortiNAC设备设置的类型不反映特定环境中看到的内容时,你可以覆盖注册类型。
供应商OUl信息通过调度器工具中存在的自动定义同步器计划任务保持最新。
● 主机视图中的设备选项会将设备建模为主机,它将在主机视图中显示和管理。
● 拓扑视图中的设备将在拓扑树中显示主机。请注意,安全策略不会应用于使用拓扑中的设备选项建模的设备。
● 主机视图和拓扑选项中的设备将在两个位置显示设备。
● 设备类型下拉列表用于手动分配设备类型,并将包括所有默认和管理上创建的设备类型。
只要标题行中有所有适当的字段,你就可以混合在同一文件中导入的记录类型。
文件的第一行是标题行,必须包含导入文件中包含的数据库字段名称的逗号分隔列表。字段的顺序并不重要。例如,要导入主机及其相应的适配器,标题行可以有以下列:adap.mac、adap.ip、host.devType、host.host和siblings。
有几个必列,具体取决于正在导入的内容。对于设备,需要adap.mac列。
请注意,字段区分大小写,如果你导入数据库中已经存在的东西,现有记录将更新为导入的新数据。
上图显示的字段是一些最常用的字段。帮助中有一个更完整的列表。
请注意,只有在系统>功能可见性下启用传统视图架构选项后,导入选项才可见。
为集成使用适当的行为选项:
● 每当主机到达强制门户进行入职时,启用按需注册会触发FortiNAC查询MDM。如果在MDM中找到主机,则使用从MDM获得的数据进行注册。
● 每当主机连接到网络时,在连接上重新验证健康状态会提示FortiNAC查询MDM的主机合规性。默认情况下,这是禁用的,并且可以为MDM产生大量开销。
● 从MDM服务器中删除已删除的主机,如果主机已从MDM服务器中删除,则会提示FortiNAC从其数据库中删除主机。
● 启用应用程序更新提示FortiNAC检索和存储FortiNAC数据库中主机的应用程序清单。
● 启用自动注册轮询设置FortiNAC的MDM服务器轮询的时间间隔。
主机和适配器信息是从与基础设施、DHCP指纹和代理技术的通信中收集的。主机将具有相关的适配器和各种主机属性,如主机名、操作系统和到期日期。此主机信息构成了可见性内容组成部分的一部分。
适配器与主机相关联,还包含一组属性,例如物理地址和IP地址信息。这为哪个组件添加了额外的信息。与基础设施的通信增加了特定适配器的连接位置,并保留历史信息以跟踪其过去连接的位置。这填补了地点和时间信息。
数据库中表示的端点设备可以具有不同级别的属性。例如,OT或loT设备可能只有与之关联的适配器。它可能有与控制系统通信的应用程序。它可能有有线、无线适配器或两者兼有之。这些设备通常显示在主机视图中,可见性细节分为两类:主机(这些是设备)和相关适配器。
