Ubiquiti UniFi a Fortinet Security Fabric

Rok 2018 se blíží ke svému závěru a mně je stále jasnější, že některé věci letos prostě nedokončím. Například certifikaci OSCP (Offensive Security Certified Professional), na kterou jsem se těšil a plánoval si, jak budu o víkendech „hackovat“ virtuální prostředí.

Protože nestíhám, snažím se nové věci nezačínat (ubíjí mě, když současně rozdělám více projektů). Nicméně občas přijde výjimka, aby potvrdila pravidlo. 😊 Tentokrát se sešly 2 technologie, které pro nás představují malou revoluci ve správě sítě (stejně jako nový software pro správu hesel a spojení v první polovině roku).

Fortinet Security Fabric

U našich zákazníků už pár let nasazujeme FortiGate routery a máme pro ně i centrální FortiAnalyzer (kde máme vlastní šablony reportů a logy pro diagnostiku 1 rok zpětně). Avšak v naší firmě jsme používali Mikrotik routery. Jelikož potřebujeme, aby naše síť byla zabezpečena lépe než sítě zákazníků (když padne naše síť, padnou i sítě zákazníků – viz můj článek „Zabezpečení sítě: Tierování a PAW“), rozhodli jsme se pořídit si k nám také FortiGate a to včetně FortiSwitch, FortiAP a cloudového FortiSandboxu.

Ubiquiti UniFi

Jejich AP používáme už několik let. V současné době jich máme u zákazníků 181 (k plné spojenosti) a provozujeme si i vlastní UniFi Controller. V produktové řadě UniFi se vyrábí ještě switche a „security“ routery (USG – UniFi Security Gateway). Jeden z našich zákazníků si pořídil UniFi Switch kvůli napájení UniFi AP (aby nemusel mít tolik injektorů). Když jsem viděl, jak je funkcionalita a konfigurace integrovaná do UniFi Controlleru, očarovalo mne to. Ten samý týden jsme si koupili vlastní UniFi Switch s UniFi Security Gateway, abychom produkty otestovali.

Abych vás příliš nenapínal (ačkoliv následující věty by asi měly patřit spíše do závěru), tak mne obě technologie vyloženě nadchly. Už mám za sebou i první prezentaci kolegům. I oni vidí jejich přínos (viz níže). Stejně tak mi připadá, že obě technologie v posledních verzích akorát „dospěly“ (FortiOS 6+ a UniFi Controller 5.7+) a jsou dobře použitelné v produkčním prostředí. U nás ve firmě jsme se rozhodli, že jiné switche, než UniFi Switch a FortiSwitch, prodávat nebudeme. Stejně tak jako Wifi AP jen UniFi AP a FortiAP (což už děláme několik let). U routerů pojedeme FortiGate, UniFi USG a případně Mikrotik (pro nějaké věci je zatím nenahraditelný a cenově za hubičku).

Nedostatky současného stavu s více výrobci a produktovými řadami zařízení

Možná na vás bude můj následný popis působit dost negativně, protože shrnuji věci, které mi na současném stavu nevyhovují. Samozřejmě to tak špatné není. Sítě našich zákazníků fungují a problémy jsou minimální. Jde mi však o to, že se pořád snažíme o „dokonalá“ řešení.

Síť je jedna z mála věcí, kterou jsme doteď neměli výrazněji standardizovanou (viz článek o naší víře ve standardizaci „Standardizace – děláme IT jako Baťa cvičky“). Pro každý typ prvků jsme měli více výrobců. Například:

• Routery jsme nasazovali Mikrotik a FortiGate. Občas máme od ISP i nějaké DSL modemy různých značek.
• Switche jsme poslední dobou dodávali HPE (více řad), ale často u zákazníků byly i nějaké switche značek D-Link a TP-Link. Krom toho, že i ty řady v rámci HPE se diametrálně liší (mají jiný OS) a občas nějaká řada skončí.
• Wifi AP už naštěstí pár roků děláme jen Ubiquiti UniFi k naší plné spokojenosti.

Tím, jak je to u zákazníků takto fragmentované, pálí nás hlavně následující potíže:

Aktualizace switchů

Kvůli různým značkám a modelům u zákazníků nemáme na switche centrální správu. Aktualizujeme je ručně. Protože jich máme hodně, zabere nám to značný čas. Hlavně se značkou TP-Link jsme dříve zažili hodně zábavy (binární konfigurační soubory, mezi upgrady se dělal factory reset, bugy ve stylu „náhodné zapomínání VLAN“ během restartu).

Aktualizaci Mikrotiků děláme skrze Dude server (takže rychlovka), FortiGate ručně a UniFi Wifi AP skrze controller (takže taky rychlovka).

Centrální logování

Centrální logování už si pár roků přeji. Abychom byli schopni ze síťových zařízení sbírat logy do centrálního úložiště a tam je uměli efektivně vyhodnocovat a archivovat. Problém totiž je, že logy na některých zařízeních (hlavně ze switchů) se restartem smažou (nemají vlastní disk a loguje se jen do RAM).

A i když logy na zařízení jsou, tak se bez centrálního místa stejně hůře vyhodnocují – často nesedí časy (i když je tam SNTP, tak některé starší prvky nepracují správně s letními časy) a je nutné se připojovat na každé zařízení zvlášť.

Správa

Tohle je peklo. Jednak je pracné vše spolu zprovoznit (je-li v síti více modelů switchů), ale následně i upravovat konfiguraci.

Stane se, že u dvou výrobců se sice nějaká funkce jmenuje stejně, ale stejně se rozhodně nechová (např. storm controll). Nebo se funkce jmenují jinak, ale jsou totožné. Pak se k tomu přidá nastavení STP, kdy nějaké switche umí jen RSTP a jiné zase MSTP. Další výzvou je pak nasadit 802.1X, nebo ARP inspection.

Když je třeba dostat do sítě další VLAN, je nutné se připojit na router a přidat na něm interface (nejčastější zapojení „router-on-a-stick“). Následně se připojit na každý switch, VLAN založit, nakonfigurovat členství portů ve VLAN a upravit další parametry (např DHCP snooping a STP). Nakonec vše zadokumentovat. Chvíli to zabere. A pokud člověk není opatrný, lehce udělá chybu.

K tomu má ještě každý prvek jiné rozhraní. Takže i když člověk ví, co chce nastavit, musí chvíli pátrat a případně googlit, jestli to zaškrtávátko je opravdu k tomu, co očekává.

Diagnostika

Každé zařízení má jiné příkazy pro debugování a trochu jiné chování funkcionality. Kvůli tomu je debugování opravdu zábava. Neumí to u nás úplně všichni a navíc to často ani není fakturovatelné na zákazníka.

Dokumentace

Další z mých oblíbených témat. Jestli u nás kromě zapisování práce (to je však naprosto nutné) nemají kolegové něco rádi, je to udržování dokumentace. V podstatě nic není starší než včerejší dokumentace. Prostředí našich zákazníků jsou dost živá. Občas se nějaké zařízení přidá, něco přepojí, pár portů překonfiguruje. Výsledkem je, že dokumentace neodpovídá aktuální konfiguraci. Proto se stále snažím o nějakou formu „dynamické“ dokumentace (aby se sama generovala z aktuálního stavu).

Stejně tak, když někdo změní konfiguraci, má ji uložit do našeho úložiště. Dělá se to pro „archivaci“ a situace, kdy prvek selže a je nutné jej nahradit. Kolegové to naštěstí většinou dodržují, ale stejně to vyžaduje nějakou práci.

Jak to nové technologie řeší

Ubiquiti UniFi a Fortinet Security Fabric mne okouzlily, protože výše zmíněné problémy řeší. Pro přehlednost jsem vytvořil tabulku s porovnáním funkcí (viz obrázek níže) a pro vás jsem přidal slovní komentář:

• Managovatelnost

  • Centrální správa: Veškeré Ubiquiti UniFi prvky všech zákazníků dokážeme spravovat skrze jeden centrální UniFi Controller (a každý zákazník do něj může mít přístup). U Fortinet Security Fabric je správa všech prvků zákazníka skrze jeho FortiGate (případně centrálně skrze FortiCloud nebo FortiManager – jsou to však nějaké $ navíc).
  • Zálohy konfigurace: Obě řešení je umí dělat automaticky. Takže ušetříme nějaký čas a nestane se, že by někdo zapomněl 😊.
  • Dokumentace: Obě řešení kreslí dynamické mapy sítě. Na jedno kliknutí vidíte, jak jsou spolu jednotlivé prvky propojené (mapu sítě) a kde jsou připojené jaké koncové body (už nikdy víc hledání do jakého portu je zapojený nějaký PC).
  • Aktualizace: U UniFi můžeme provádět aktualizaci všech prvků skrze centrální UniFi Controller a to včetně pravidelné aktualizace (např. naplánujete, aby se vše zaktualizovalo v neděli ráno, kdy se u zákazníka nepracuje). U FortiNetu to zatím vypadá, že je vše třeba dělat skrze FortiGate u každého zákazníka (do budoucna to podle mne implementují i do FortiCloudu a FortiManageru). Pro nějakou grafickou ukázku doporučuji u Unifi článek „Ubiquiti all the things: how I finally fixed my dodgy wifi“ a u FortiNetu třeba prezentaci od Veracomp SK.
  • Konfigurace: Dvě rozhraní se učí lehčeji než desítky. Obě rozhraní obsáhnou konfiguraci všech prvků (routerů, switchů a Wifi AP). Takže není třeba se připojovat na každý prvek zvlášť a když třeba chcete přidat VLAN do celé sítě, je to otázka pár kliknutí.
  • Debugování: Stejně jako u konfigurace se stačí naučit méně příkazů. Navíc tím, že jsou zařízení od jednoho výrobce, je mezi nimi i lepší kompatibilita. Když se výrobce rozhodne nějakou řadu zařízení modernizovat, tak se změní HW, ale management rozhraní a funkcionalita zůstanou zachované.

• Logování

Vše je sjednocené a všechna zařízení logují do jednoho centrálního místa, které logům rozumí a umí je vyhodnocovat. Zároveň odpadají problémy s časovou nepřesností 😊.

• • UniFi: Loguje do UniFi Controlleru. Dá se nastavit jak moc „granulární“ a historická data se mají ukládat. Umí dělat moc pěkné výkonové grafy (např.: vytíženost a zarušení Wifi pásem, CPU, množství dat v čase skrze jednotlivé porty), přehledy (jaká zařízení a kdy byla připojená, množství dat podle aplikací a webových stránek).
  • FortiNet: Loguje do našeho FortiAnalyzeru (případně FortiCloudu), kam se centrálně logují veškerá data a archivují po 1 rok (nebo déle dle nastavení). FortiAnalyzer bohužel nevytváří grafy jako UniFi Controller (např. abychom viděli průtok dat do internetu v nějakém čase), na druhou stranu nám umožňuje detailněji se hrabat v logách síťového provozu (až na jednotlivá spojení) a dělat z nich reporty.

• Funkcionalita:

  • Switche: Obě technologie umí všechny funkce, které používáme. Ubiquiti switche sice zatím neumí DAI (dynamic arp inspection), ale to neumí ani cenově srovnatelné HPE 1920, které používáme nyní.
  • Routery: FortiGate toho umí sice více než UniFi USG, ale také je několikanásobně dražší a je nutné platit roční předplatné. Jinak nám funkcionalita obou routerů vyhovuje.
  • Wifi: V tuto chvíli nemám asi nic, co bych výrobcům vytknul. FortiWifi toho umí trochu více (opět za několikanásobnou cenu), dokáže detekovat více útoků na Wifi a samo se bránit v případě výskytu „rouge AP“ (posíláním „deauth“ klientům).

Závěr

Těch drobných funkcí, kterými se „Ubiquiti UniFi“ i „FortiNet Security Fabric“ pyšní, je spousta. Dalo by se o tom napsat ještě jednou tolik. Uvidím časem, co se nám osvědčí/pomůže nejvíce a pak třeba napíši článek „rok poté“. Pokud se vám technologie líbí, nebo jste se našli v nějakých obtížích, které jsme při současném stavu také řešili, určitě doporučuji dané technologie odzkoušet.

Pro nás je to tak, že cena Ubuquiti UniFi je téměř totožná s HW, který jsme doteď prodávali. Možná u malých 8portových switchů to vyjde dráž (US-8-60W za 2.450 Kč) než noname switch bez managementu za pár stovek. Na druhou stranu lidská práce je čím dál dražší (levnější asi jen tak nebude) a ten switch je schopen za svůj život několik hodin práce ušetřit, takže celkově je stejně výhodnější. 😊

FortiNet Security Fabric už je dražší záležitost a není cenově pro každého. Funkcionálně je však dál a je vhodný i pro velké firmy. Ubuquiti UniFi je spíše pro domácnosti a malé firmy (např. do 50 PC).

Jsem zvědavý, jak se nám technologie osvědčí a zdali budou věci tak, jak si je představuji. Do konce roku bychom měli „předělat“ jednoho zákazníka na FortiNet Security Fabric a jiného na UniFi Ubiquiti. Tak uvidíme.

Jak to vidíte vy? Máte již někde Ubiquiti UniFi nebo FortiNet Security Fabric ? Podělte se o své zkušenosti do komentářů pod článkem. Nebo mě odchyťte, když se někde potkáme, probereme to osobně. 😊

Update 9. 11. 2018:

• Martin M. mne na FB upozornil, že USG podporuje i OpenVPN. V GUI je zatím možnost OpenVPN při site-to-site tunelu. Nicméně to vypadá, že se dá OpenVPN zprovoznit i v režimu VPN server (přes CLI https://medium.com/server-guides/how-to-setup-an-openvpn-server-on-a-unifi-usg-e33ea2f6725d ).
• Daniel P. mi zase ukázal, že i na Unifi se dá dělat packet capture přes SSH a TcpDump. Díky tomu, že se dá na SSH prvků připojit i skrze Unifi Controller (device – tools – debug terminal) , tak je to i poměrně pohodlné (asi až na případné stažení PCAP souboru).

Update 3. 9. 2019:

• Kolega Martin T. vydal na blogu case study o pokrytí stadionu v Hradci Králové s UniFi Wifi.