fortiap, fortiswitch & fortiauthenticator · nse 4 (tech – ex fcnsp 5.0) nse 1 - 2 (sales)...

Roberto NARETTO

System Engineer - IT Security

FortiAP, FortiSwitch & FortiAuthenticator Soluzione di Sicurezza Wireless Gestita

Training & Partner Programs

Soluzione Enterprise Distribuita

(FortiWiFi + FortiAP + Cloud)

Agenda

FortiSwitch - FortiExtender

FortiPresence

FortiAuthenticator

Coming Soon

Training & Partner

Programs

Partner Program - Diventa un FortiWireless Specialist

• Benefici Sales, Marketing e Support

– Potrai beneficiare di scontistica privilegiata sui prodotti della famiglia FortiAP e FortiWifi

– Avrai visibilità sul Fortinet Partner Locator

…….e molto altro !

Accedi al nuovo FPP

Visibilità sul Partner Locator – Esperto in soluzioni Wireless

Accesso al Learning Center - Free Training & Exams

NSE 7 (Expert Tech)

Troubleshooting

Training Program - Network Security Expert (NSE6)

NSE 6 (Adv Tech)

Adv Products

Professional

[FML-FWB &

Wireless]

NSE 5 (Tech)

Mgmt Systems

[FAZ-FMG]

NSE 8 (ExpertTech)

[Distri only]

NSE 3 (Adv Sales)

Solutions

[Wireless]

NSE 4 (Tech – ex FCNSP 5.0)

NSE 1 - 2 (Sales)

http://www.fortinet.com/training/certifications/index.html

Percorso Formativo Dedicato – Semplice e all’avanguardia

Indicaci i nomi dei Tecnici Certificati Comunicaci il business plan Comunicaci gli obiettivi trimestrali

training.it@exclusive-networks.com

Promozioni per i nuovi Specialists: Try & Save

Free 90-day Trial, Pro Version

www.fortiplanner.com

Free 90-day Trial

(Chiedi a Exclusive-Networks

www.exclusive-networks.it)

NFR Discounts: 48% off FGT/FWF & FAP

(Chiedi a Exclusive-Networks www.exclusive-networks.it)

http://fortinet.com/wireless

Soluzione Enterprise

Distribuita

Reti Troppo Complesse per AP Standalone

• WAN routers • Firewalls • VPN • WAN

optimization • WiFi • Switches • Authenticator • Nuove minacce

Wireless

Filtering

Antivirus Firewall

Router

Internet

Server

Switch

WAN Accelerator

Consolidamento (UTM)

• Consolida tutti i dispositivi di sicurezza in uno

• Rete Enterprise Distribuita

• Incontra i criteri di scalabilità per l’aggiunta di switches, AP, Sistemi di connessione 3G/4G

Filtering

Antivirus

Firewall

WAN Opt

Internet

FortiGate- UTM

Router

Control

Switch

Wireless AP

3G/4G Backup

Necessità della Distributed Enterprise

• Implementazione di Molteplici Tecnologie di Network & Security

• Tecnologie di Accesso: – Ethernet, Wireless, Kiosk Systems /

POS, Accesso WiFi per i Clienti

• Varie tecnologie WAN – Cable, DSL, 3G/4G, Satellite, Dial-Up

• Connessioni VPN aggregate in Data Centers

• Verifica della Compliance – PCI, HIPAA, Normativa Privacy

• Decine/Migliaia di Sedi Retail

Soluzioni WiFi & UTM per Tutti

FortiOS 5 Ecosistema delle Funzionalità

Incluse in Qualunque Modello di FortiGate

Firewall VPN IPS App.

Control

AV Web Filter

Email Filter

L2/L3 & Routing

WAN Opt.

Server LB

Traffic Shaping

Identity & Access

High Availability

Virtual Systems

Log & Report

Monitoring Token Server

Endpoint Control

WiFi/Switch Controller

Vuln. Scanning

SECURITY

MANAGEMENT EXTENSION

NETWORKING

Connected UTM - Ottimizzare Reti Complesse

• Sicurezza Integrata • UTM, WiFi, Switching, Autenticazione,

Sicurezza sull’EndPoint

• Integrato in un Singolo FortiGate

• Accesso & Connettività • Wireless Access Points, Accesso 3G/4G,

Switches, dispositive IP

• Gestito da singoli FortiGate

Access & Connectivity

Integrated Security

Infrastruttura UTM Interconnessa

• Tutti i componenti sono gestiti centralmente per il FortiGate

Overview sulle Tecnologie UTM Connesse

FortiGate-140D-POE

FortiSwitch (PoE Option)

FortiAP (Wireless Access Points)

• Rogue AP Detection (PCI) • Guest WiFi with safe surfing and QOS • Retail Analytics • Digital Menu • Wireless Point of Sale • iPad catalogs • Wireless barcode scanners

FortiExtender

• PCI segmentation • Reporting

POS, Kiosks

Global Management FortiManager FortiAnalyzer

FortiGuard

• 3G/4G

FortiVoice FortiCam

• UTM • VPN

Global Threat

Protection

Overview sulle Funzionalità UTM

FortiGate SOHO/SMB

Wireless è controllato dal FortiWiFi FortiWiFi

Wireless is controlled by FortiGate FortiAP

FortiWiFi

FortiAP

10/20 30 30/50

Hardware Overview – FortiAP

WLC Integrato in FortiCloud

WLC Integrato in FortiCloud – Tipi di Autenticazione

WLC Integrato in FortiCloud – Captive Portal

WLC Integrato in FortiCloud – Security UTM Integrata

WLC Integrato in FortiCloud – AP Profile

WLC Integrato in FortiCloud – Utenti Guest

WLC Integrato in FortiCloud – Utenti Locali

WLC Integrato in FortiCloud – Assessment Base PCI-DSS

WLC Integrato in FortiCloud – Geolocalizzazione degli AP

FAP-220B

Range of Access point

FAP-221B 802.11n 2x2:2

FAP-320B 802.11n 3x3:3

Legacy 802.11a/g

FAP-112B 802.11n 1x1:1

FAP-320C 802.11ac 3x3:3

FAP-221C 802.11ac 2x2:2

Prestazioni 802.11ac vs 802.11n

Legacy 802.11n

Legacy 802.11ac

FortiPlanner

• Strumento di Pianificazione Gratuito fino a 50 AP Illimitato (versione Pro)

• Mappa delle Emissioni Dinamica • Site-Survey (versione Pro) • Identificazione dei Rogue AP

Download from: http://fortinet.com/wireless

FOS 5.2 – Nuove Funzionalità

• Supporto 802.11ac

• Analisi di Spettro integrata

• Mix di autenticazione WPA2 + Captive Portal nello stesso SSID

• Captive Portal redirect verso un portale esterno

• Combinazione di user e device identity nella stessa policy

• Split tunnel sugli AP «Remote»

• Aggiunto set di impostazioni radio per 11g only e 11n only

• VLAN ID configurabile in GUI

Funzionalità Wireless per Retail

• Wireless IDS

• Suppressione dei Rogue AP

• Controllo Applicazioni Layer7

• Captive Portal Guest Integrato

FortiSwitch

FortiExtender

FortiSwitch Family

Segmentazione Layer2 per PCI Compliance

• Switch Management sul FortiGate • Usa protocollo di gestione CAPWAP modificato (come FortiAP) • Mostra informazioni sulla porta (stato, velocità, ecc.) • Applica policy di sicurezza • Autenticazione via 802.1x o Captive Portal • Segmentazione della rete

Nuovi Modelli FortiSwitch

• FortiSwitch-108D-POE (8x PoE + 2 SFP Gbps)

• FortiSwitch-224D-POE (12x PoE + 4 SFP Gbps)

• FortiSwitch-124D/124D-POE (0/12x PoE + 2x SFP Gbps)

Hardware Overview – FortiSwitch

Hardware Overview - FortiSwitch

Feature 2-Digit 100 Series 200 Series 300 Series

Full Power / PoE+ P

PoE P P P

1G access ports P P P

Rack Mount P P P

FortiExtender – Hardware Lineup

FortiExtender-100B

• Montabile a Palo, Outdoor

• Protezione IP55

• USB modem non incluso

• Ruggedized per uso in ambienti “difficili”

• Alimentazione PoE (injector incluso)

FortiExtender-20B

• Montabile a Muro, indoor

• USB modem non incluso

• PoE o alimentatore AC

• Cover di sicurezza con chiave

• Slot per cavo Kensington

• Temp Range: 0-40 ºC

FortiExtender-100A-VZW (Band 13)

• Montabile a Palo, Outdoor

• Protezione IP55

• Modem 4G Integrato

• Ruggedized per uso in ambienti “difficili”

• Alimentazione PoE (injector incluso)

Com’è Fatto Dentro ?

• FortiExtender-100B • FortiExtender-100AVZW

Problemi con 3G/4G WAN nel Retail

• Modem connesso direttamente al CPE • CPE solitamente posizionato nel CED o ripostiglio • Ricezione 3G/4G non ottimale

FortiExtender Wireless Soluzione WAN

• Modem 3G/4G installato in posizione ottimale • Connesso al FortiGate via cavo Ethernet

Comparativa – Distributed Enterprise

Funzionalità Fortinet Cisco Check Point Juniper Dell SonicWALL

UTM (FW, IPS, AV, IPSec, WCF, Antispam)

Parziale P

App Control P X P X P

WLC Integrato P X X X X

PoE Integrato Dipende dal Modello

X P X X

SSL Inspection P X X P P

High Availability P P P P

Management Multi-box, Cloud

Diversi tools di Management

Multi-box, Cloud STRM Multi-box

Licensing • CiscoConnect (IPSec, SSL VPN)

• HA • # di utenti

SSL VPN • IPSec • # di utenti

limitati

• SSL VPN • IPSec • SSL Inspection • HA • OSPF/ BGP

Cisco ASA 550x Juniper SRX series Check Point UTM-1 Edge SonicWall TZ series

Consolidate

Switch

Wireless

I Benefici del Connected UTM

Simplify

Local Area

Wide Area

Protect

Network

End Point

Extend

Authentication

Perform

Throughput

Latency

Manage & Report

Threat Intelligence

Coming Soon !

• Nuovi modelli hardware con porte SFP/SFP+

• Nuovi modelli hardware con porte a 1/10/40 Gbps

• Nuovi modelli hardware con porte PoE/PoE+

• Supporto protocollo proprietario FortiLink, simil CAPWAP per gli AP

• Hardware Replacement garantito 10 anni

• Riduzione del prezzo di listino

FortiAuthenticator

Fortinet Connected Security

FortiGuard Wireless Access Point

FortiAP

Wired Access Point

FortiSwitch

End Point Gestiti con

FortiClient

FortiAnalyzer FortiManager

FortiAuthenticator

FortiAuthenticator è il core

dell’Infrastruttura FortiConnected che

fornisce strong authentication e authorization

alle reti e agli utenti connessi

Funzionalità FortiAuthenticator

Strong Authentication e Authorization

•Autenticazione RADIUS e LDAP

•Integrazione LDAP Esterna

•Hardware, mobile, SMS e tokens e-mail

•REST API

802.1X Port Access Control

•IEEE802.1X supporta EAP-TTLS, EAP-TLS, PEAP, EAT-GTC

•MAC address bypass

Certificate Authority

•X.509 Certificate signing (CA)

•Certificate distribution via SCEP

•User – Certificate binding

•Revocation

Fortinet Single Sign On

•Active Directory Polling

•Single Sign-on Portal

•Embedded widgets

•FortiClient User ID

•Carrier RADIUS Integration

• Traditionally authentication has been via username and password this has not changed in 30 years

• Passwords need to be memorable, memorable passwords are guessable. • Dictionary words (password) • Keyboard patterns (123456, qwerty) • Personal information (username, name, favorite team)

• To increase password security, dictionary words should not be used and a mixture of upper / lowercase, numeric and symbol characters should be used.

• Such passwords are difficult to remember.

• Complexity is not everything, there is a bigger threat

• Research (Microsoft 2007) has shown that the average user has over 25 accounts which require passwords and only 6.5 passwords. This means that the average password is shared on 3.8 sites.

• If one of these sites becomes compromised, all using that password to do. • If a low level account on one of your systems becomes compromised, this can be used to compromise

other more valuable systems (e.g. banking password reset to Hotmail)

I Problemi delle Password

http://blog.fortinet.com/rethinking-password-security/

Non puoi essere certo che gli utenti non riutilizzeranno le loro

password aziendali per usi privati o viceversa

Top 10 Sony passwords

1. seinfeld

2. password

3. winner

4. 123456

5. purple

6. sweeps

7. contest

8. princess

9. maggie

10. 9452

Top 10 passwords of 2011

1. password

2. 123456

3. 12345678

4. qwerty

5. abc123

6. monkey

7. 1234567

8. letmein

9. trustno1

10. dragon

Top 10 UK passwords

1. 123

2. password

3. liverpool

4. letmein

5. 123456

6. qwerty

7. charlie

8. monkey

9. arsenal

10. thomas

Top 10 Gawkwer passwords

1. 123456 (2516)

2. password (2188 )

3. 12345678 (1205 )

4. qwerty (696)

5. abc123 (498 )

6. 12345 (459 )

7. monkey (441)

8. 111111 (413)

9. consumer (385 )

10. letmein (376)

I Problemi delle Password

FortiAuthenticator Deployment Scenarios

Two-Factor Authentication Secure access to your critical networks and data

Strong password security

• Login requires something you have (token) and something you know (password)

• Prevents password replay attacks

• Self-service password reset

Username

Password

Two-Factor Authentication Flexible range of token to cater for all requirements

Multiple token formats

• Physical time (FTK200) and certificate (FTK300) based tokens

• FortiToken Mobile for Android and iOS

• SMS and Email event based tokens. SMS supported via FortiCloud or third party provider

Support for wide range of secure authentication

methods

Physical

Tokenless

Mobile

Wifi Authentication Secure access to your critical networks and data

Centralized WiFi Authentication

• Authenticate users (PEAP, EAP-TTLS)

• Certificate based device authorization (EAP-TLS) for BYOD environments

• In open guest or visitor networks, FortiAuthenticator can provide captive portal functions

Guest Management Self service access to Wifi for visitors

User Self-registration

• Collection of user details

• Option to SMS login details (proof of identity)

Receptionist registration option

Time limited accounts

Support multiple locations

Port Access Control Prevent security bypass, restrict switch port access

Switch port authentication

• Prevent network misuse by authenticating users before allowing network access

• Works with native supplicants (PEAP, EAP-TTLS, EAP-TLS, EAP-GTC)

• Supports MAC Authentication Bypass (e.g. for printers)

Certificate Authority Simplify the complicated task of certificate management

Issue certificates for multiple uses:

• VPN Authentication

• Wireless 802.1X

• Windows Desktop Authentication

Compatible with FTK300 USB PKI Certificate Store

REVOKED

Certificate Based VPNs Secure access to corporate resources

Enhance VPN security

• Certificate base VPN enhances traditional pre shared keys

• Certificate Revocation (CRL & OCSP)

Simplified management

• Bulk certificate creation

• Zero touch certificate distribution (SCEP)

Fortinet Single Sign-On Granular, transparent user identity based access control

User based identity policy

• Identify users transparently to allow Fortinet devices to apply appropriate policy

• Multiple user identification methods including AD, Login Portal, embeddable widgets, FortiClient, third party RADIUS accounting

Staff Admin Guest

Corporate Resources

RADIUS Accounting Proxy Simplify & de-risk integration into the carrier network

Duplicate RADIUS Packets

• Fortinet RADIUS Single Sign On (RSSO) used for Identity Policy in FortiGate and FortiMail

• RADIUS is critical to carrier operation (user access & billing)

• FortiAuthenticator avoids unwanted changes and load on the Carrier RADIUS system by duplicating and manipulating accounting packets

Carrier

RADIUS Server

RADIUS

Accounting

FortiAuthenticator Competitive Comparison (2FA)

FortiToken & FortiAuthenticator • Seeds are securely protected • Seeds can be delivered on Encrypted CD • OATH interoperable • No Token Expiration Date • FortiAuthenticator delivers multiple technologies

• Two-factor authentication, user management • Certificate Authority • FSSO • Wifi Authentication and Guest Management

SecureID

• Per seat licensing – Expensive

• Seeds have been compromised

• Proprietary algorithm

• Different Management systems depending on customer size. Separate Certificate Manager.

• Tokens will expire

FortiAuthenticator Appliances

FortiAuthenticator Virtual

Appliances

• Stackable licensing model based on user count

• No CPU/RAM limitations

Large Enterprise/MSSP

FortiAuthenticator 1000D

• Supporta fino a 10,000 utenti

• HDD – 2 x 2TB

• 4 x 10/100/1000

• 2 x SFP

• Montabile a Rack, 2U

• Dual AC PSU

Large Enterprise/MSSP

• HDD – 2 x 2TB

• 4 x 10/100/1000

• 2 x SFP

• Dual AC PSU

Installazioni di ogni dimensione da SME a MSSP

FortiAuthenticator VM

• Da 100 a 1M+ utenti

• CPU Illimitata

• RAM Illimitata

Mid Enterprise

FortiAuthenticator 400C

• HDD – 1 x 1TB

• 4 x 10/100/1000

• Single AC PSU

Small / Mid Enterprise

• Supporta fino a 500 utenti

• HDD – 1 x 1TB

• 4 x 10/100/1000

• Single AC PSU

FortiAuthenticator Informazioni sul PO

**Licenze per utente completamente Stackable**

FortiPresence

FortiPresence Solution Overview

Componenti essenziali:

- FortiAP o FortiWiFi: Rileva il segnale wireless di smartphones e tablets

- FortiGate: Aggrega le informazioni dei segnali che provengono da diversi AP

- FortiPresence: Processa dati e fornisce analisi sulla dashboard

Fortinet Presence Analytics… ma cos’è che è ?

• Strumento per l’analisi comportamentale dei clienti mediante segnale WiFi Rileva il segnale emesso dai dispositivi che hanno il wireless attivo

Non serve che il dispositivo sia connesso ad una rete WiFi Analizza la posizione ed i movimenti del dispositivo Provides insights into customer behavior Migliora le prestazioni del punto vendita

Kiana Analytics

Kiana Collector FortiAP cattura

il segnale

Kiana Dashboard

Smartphone Cliente emette segnali probe

Kiana API

Push della notifica

Hotspot Web Browsing Data

Email identity from hotspot

App Kiana Attiva

Online

fingerprint

FortiGate raccoglie i dati

Retail Analytics – Come Funziona

FortiPresence: Misurazione. Connessione. Influenza.

Misurazione - Totali/Nuove/Ripetute - Dwell Time Duration - Comparazione tra due Negozi/Zone - VIP Alert - Real-time Heat maps - …altro…

Connessione - Social Login - Campagne Marketing - Push di coupon

Influenza - Analisi di traffico - Rilevamento ricerca

prodotti - Con le API è possibile:

- Firma digitale - Sconti istantanei - Push di

campagne marketing ad-personam

Misurazione: Analisi dei Transiti

Quanto passaggio c’è fuori ?

Quanti clienti sono entrati ?

Quanti si fermano davanti alla mia vetrina ?

Sono sempre gli stessi ?

Sono clienti abituali ?

Come va rispetto alla settimana scorsa ?

Visitor Loyalty Conversion funnel Distribuzione della durata

Reportistica Integrata

Reportistica Comparativa

• Captive Portal per l’accesso al Wireless attraverso un account usato nei Social Networks Associa istantaneamente l’account al MAC address Si conoscono più informazioni sul profilo del cliente Gestione della normativa sulla raccolta dei dati personali a cura del Social Network

che ha registrato l’utente

Connessione: Social WiFi

Connessione: Analisi Real-time delle ricerche online

Influenza: Analisi del Percorso

Use Cases – Installazioni nel Mondo

Use Cases – Scenari d’Implementazione

Enterprise retail chains

Food & restaurant chains (QSR)

Auto showrooms

Malls / Shopping center

Hotels/ casinos/ resorts

Airports & convention sites

Tipica Installazione Retail

• n. 190 x FGT-80C (uno per negozio) • n. 1170 x FAP-221B • FortiManager&FortiAnalyzer • Servizio FortiPresence Analytics • Punti di forza

Security + Wireless Follow-up avendo già diversi FortiGate installati TCO inferiore ai competitors

• Deal size: 420K$

1500 tablets android usati dalla forza vendite

190 negozi

Case Study: BOBBEJAANLAND Theme Park

• Fiandre, Belgio • 7 Kmq, 50 attrazioni, 750.000+ visitatori/anno

• Aumentare le visite ed il profitto • Aumentare il numero di corse ed attrazioni • Connessione wireless dei punti vendita • Attivare un Hot-Spot per gli ospiti

• FortiGate come WLC • 30+ FortiAP indoor e outdoor • Servizio FortiPresence Analytics

Ricapitolando…

#1 Parificazione dei livelli di accesso wireless e wired • Tratto gli utenti wireless come quelli wired • Posso decidere di applicare stesse o diverse policy per utenti wireless e wired

#2 Vasta gamma di Wireless Lan Controllers • 20+ modelli di WLC per soddisfare qualunque esigenza • Scalabilità da 2 a 10K AP

#3 Soluzione Consolidata • Rivaluta l’investimento fatto sul FortiGate esistente • TCO e ROI inferiori rispetto ai competitor perché non servono licenze

#4 Unica piattaforma di gestione • Gestine semplice ed efficace • Dalla stessa GUI gestisci sia la rete wireless, sia la rete wired

#5 Sicurezza all’n-esima potenza • Tutte le funzionalità di sicurezza che hai imparato ad amare sul wired, sono disponibili

per il wireless • Wireless ad elevate prestazioni con elevata protezione

rnaretto@exclusive-networks.com – System Engineer Exclusive Networks Italy

Cosa Stiamo Preparando Per Voi

Grazie !

rnaretto@exclusive-networks.com – System Engineer Exclusive Networks Italy

fortiap, fortiswitch & fortiauthenticator · nse 4 (tech – ex fcnsp 5.0) nse 1 - 2 (sales)...

Documents

nse handbook

niveles socioeconÓmicos 2017 - apeim · 2019. 11. 5. ·...

fortiauthenticator radius accounting with sso for...

piramal - nse

nse derivative

nse cash nse futures mcx futures ncdex...

nse surveillance.pdf

fortiauthenticator admin 12

nse presentation

cern - nse

nacional...lima metropolitana nse a: 4,7% nse b: 19,7% nse...

total perÚ y lima metropolitana - apeim – …€¦ ·...

nse analysis

tainwala - nse

arshiya - nse

equity (bse: 540716/ nse: icicigi); debt (bse: 954492/ nse

nse module3

kajaria - nse

fortiauthenticator data sheet

30th, - nse