Site icon Martin Haller, Blog o ochraně a správě firemního IT

Ubiquiti UniFi a Fortinet Security Fabric

Ubiquiti Unifi

Ubiquiti Unifi

Rok 2018 se blíží ke svému závěru a mně je stále jasnější, že některé věci letos prostě nedokončím. Například certifikaci OSCP (Offensive Security Certified Professional), na kterou jsem se těšil a plánoval si, jak budu o víkendech „hackovat“ virtuální prostředí.

Protože nestíhám, snažím se nové věci nezačínat (ubíjí mě, když současně rozdělám více projektů). Nicméně občas přijde výjimka, aby potvrdila pravidlo. 😊 Tentokrát se sešly 2 technologie, které pro nás představují malou revoluci ve správě sítě (stejně jako nový software pro správu hesel a spojení v první polovině roku).

Fortinet Security Fabric

U našich zákazníků už pár let nasazujeme FortiGate routery a máme pro ně i centrální FortiAnalyzer (kde máme vlastní šablony reportů a logy pro diagnostiku 1 rok zpětně). Avšak v naší firmě jsme používali Mikrotik routery. Jelikož potřebujeme, aby naše síť byla zabezpečena lépe než sítě zákazníků (když padne naše síť, padnou i sítě zákazníků – viz můj článek „Zabezpečení sítě: Tierování a PAW“), rozhodli jsme se pořídit si k nám také FortiGate a to včetně FortiSwitch, FortiAP a cloudového FortiSandboxu.

Ubiquiti UniFi

Jejich AP používáme už několik let. V současné době jich máme u zákazníků 181 (k plné spojenosti) a provozujeme si i vlastní UniFi Controller. V produktové řadě UniFi se vyrábí ještě switche a „security“ routery (USG – UniFi Security Gateway). Jeden z našich zákazníků si pořídil UniFi Switch kvůli napájení UniFi AP (aby nemusel mít tolik injektorů). Když jsem viděl, jak je funkcionalita a konfigurace integrovaná do UniFi Controlleru, očarovalo mne to. Ten samý týden jsme si koupili vlastní UniFi Switch s UniFi Security Gateway, abychom produkty otestovali.

Abych vás příliš nenapínal (ačkoliv následující věty by asi měly patřit spíše do závěru), tak mne obě technologie vyloženě nadchly. Už mám za sebou i první prezentaci kolegům. I oni vidí jejich přínos (viz níže). Stejně tak mi připadá, že obě technologie v posledních verzích akorát „dospěly“ (FortiOS 6+ a UniFi Controller 5.7+) a jsou dobře použitelné v produkčním prostředí. U nás ve firmě jsme se rozhodli, že jiné switche, než UniFi Switch a FortiSwitch, prodávat nebudeme. Stejně tak jako Wifi AP jen UniFi AP a FortiAP (což už děláme několik let). U routerů pojedeme FortiGate, UniFi USG a případně Mikrotik (pro nějaké věci je zatím nenahraditelný a cenově za hubičku).

Nedostatky současného stavu s více výrobci a produktovými řadami zařízení

Možná na vás bude můj následný popis působit dost negativně, protože shrnuji věci, které mi na současném stavu nevyhovují. Samozřejmě to tak špatné není. Sítě našich zákazníků fungují a problémy jsou minimální. Jde mi však o to, že se pořád snažíme o „dokonalá“ řešení.

Síť je jedna z mála věcí, kterou jsme doteď neměli výrazněji standardizovanou (viz článek o naší víře ve standardizaci „Standardizace – děláme IT jako Baťa cvičky“). Pro každý typ prvků jsme měli více výrobců. Například:

Tím, jak je to u zákazníků takto fragmentované, pálí nás hlavně následující potíže:

Aktualizace switchů

Kvůli různým značkám a modelům u zákazníků nemáme na switche centrální správu. Aktualizujeme je ručně. Protože jich máme hodně, zabere nám to značný čas. Hlavně se značkou TP-Link jsme dříve zažili hodně zábavy (binární konfigurační soubory, mezi upgrady se dělal factory reset, bugy ve stylu „náhodné zapomínání VLAN“ během restartu).

Aktualizaci Mikrotiků děláme skrze Dude server (takže rychlovka), FortiGate ručně a UniFi Wifi AP skrze controller (takže taky rychlovka).

Centrální logování

Centrální logování už si pár roků přeji. Abychom byli schopni ze síťových zařízení sbírat logy do centrálního úložiště a tam je uměli efektivně vyhodnocovat a archivovat. Problém totiž je, že logy na některých zařízeních (hlavně ze switchů) se restartem smažou (nemají vlastní disk a loguje se jen do RAM).

A i když logy na zařízení jsou, tak se bez centrálního místa stejně hůře vyhodnocují – často nesedí časy (i když je tam SNTP, tak některé starší prvky nepracují správně s letními časy) a je nutné se připojovat na každé zařízení zvlášť.

Správa

Tohle je peklo. Jednak je pracné vše spolu zprovoznit (je-li v síti více modelů switchů), ale následně i upravovat konfiguraci.

Stane se, že u dvou výrobců se sice nějaká funkce jmenuje stejně, ale stejně se rozhodně nechová (např. storm controll). Nebo se funkce jmenují jinak, ale jsou totožné. Pak se k tomu přidá nastavení STP, kdy nějaké switche umí jen RSTP a jiné zase MSTP. Další výzvou je pak nasadit 802.1X, nebo ARP inspection.

Když je třeba dostat do sítě další VLAN, je nutné se připojit na router a přidat na něm interface (nejčastější zapojení „router-on-a-stick“). Následně se připojit na každý switch, VLAN založit, nakonfigurovat členství portů ve VLAN a upravit další parametry (např DHCP snooping a STP). Nakonec vše zadokumentovat. Chvíli to zabere. A pokud člověk není opatrný, lehce udělá chybu.

K tomu má ještě každý prvek jiné rozhraní. Takže i když člověk ví, co chce nastavit, musí chvíli pátrat a případně googlit, jestli to zaškrtávátko je opravdu k tomu, co očekává.

Diagnostika

Každé zařízení má jiné příkazy pro debugování a trochu jiné chování funkcionality. Kvůli tomu je debugování opravdu zábava. Neumí to u nás úplně všichni a navíc to často ani není fakturovatelné na zákazníka.

Dokumentace

Další z mých oblíbených témat. Jestli u nás kromě zapisování práce (to je však naprosto nutné) nemají kolegové něco rádi, je to udržování dokumentace. V podstatě nic není starší než včerejší dokumentace. Prostředí našich zákazníků jsou dost živá. Občas se nějaké zařízení přidá, něco přepojí, pár portů překonfiguruje. Výsledkem je, že dokumentace neodpovídá aktuální konfiguraci. Proto se stále snažím o nějakou formu „dynamické“ dokumentace (aby se sama generovala z aktuálního stavu).

Stejně tak, když někdo změní konfiguraci, má ji uložit do našeho úložiště. Dělá se to pro „archivaci“ a situace, kdy prvek selže a je nutné jej nahradit. Kolegové to naštěstí většinou dodržují, ale stejně to vyžaduje nějakou práci.

Jak to nové technologie řeší

Ubiquiti UniFi a Fortinet Security Fabric mne okouzlily, protože výše zmíněné problémy řeší. Pro přehlednost jsem vytvořil tabulku s porovnáním funkcí (viz obrázek níže) a pro vás jsem přidal slovní komentář:

Vše je sjednocené a všechna zařízení logují do jednoho centrálního místa, které logům rozumí a umí je vyhodnocovat. Zároveň odpadají problémy s časovou nepřesností 😊.

Přehled síťových technologií – Ubiquiti Unifi a Fortinet Security Fabric

Závěr

Těch drobných funkcí, kterými se „Ubiquiti UniFi“ i „FortiNet Security Fabric“ pyšní, je spousta. Dalo by se o tom napsat ještě jednou tolik. Uvidím časem, co se nám osvědčí/pomůže nejvíce a pak třeba napíši článek „rok poté“. Pokud se vám technologie líbí, nebo jste se našli v nějakých obtížích, které jsme při současném stavu také řešili, určitě doporučuji dané technologie odzkoušet.

Pro nás je to tak, že cena Ubuquiti UniFi je téměř totožná s HW, který jsme doteď prodávali. Možná u malých 8portových switchů to vyjde dráž (US-8-60W za 2.450 Kč) než noname switch bez managementu za pár stovek. Na druhou stranu lidská práce je čím dál dražší (levnější asi jen tak nebude) a ten switch je schopen za svůj život několik hodin práce ušetřit, takže celkově je stejně výhodnější. 😊

FortiNet Security Fabric už je dražší záležitost a není cenově pro každého. Funkcionálně je však dál a je vhodný i pro velké firmy. Ubuquiti UniFi je spíše pro domácnosti a malé firmy (např. do 50 PC).

Jsem zvědavý, jak se nám technologie osvědčí a zdali budou věci tak, jak si je představuji. Do konce roku bychom měli „předělat“ jednoho zákazníka na FortiNet Security Fabric a jiného na UniFi Ubiquiti. Tak uvidíme.

Jak to vidíte vy? Máte již někde Ubiquiti UniFi nebo FortiNet Security Fabric ? Podělte se o své zkušenosti do komentářů pod článkem. Nebo mě odchyťte, když se někde potkáme, probereme to osobně. 😊

Update 9. 11. 2018:

Update 3. 9. 2019:

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version