Hướng dẫn cấu hình chi tiết FortiSandbox trong mô hình Fortinet Security Fabric

FortiSandbox là một giải pháp an ninh của Fortinet trong mô hình Fortinet Security Fabric, cung cấp khả năng phân tích và cách ly các mối đe dọa nâng cao mà các hệ thống phòng chống khác không phát hiện được. Trong bài hướng dẫn dưới đây, Việt Tuấn sẽ đi qua các bước cấu hình chi tiết FortiSandbox để tích hợp và hoạt động hiệu quả trong mô hình Fortinet Security Fabric nhé!

Giới thiệu về FortiSandbox và Security Fabric

FortiSandbox là gì?

FortiSandbox là thiết bị bảo mật dùng để phát hiện các mối đe dọa chưa được biết đến (zero-day threats) thông qua việc phân tích hành vi của tập tin đáng ngờ trong một môi trường sandbox biệt lập. Với khả năng phân tích sâu, FortiSandbox phát hiện các mẫu độc hại và ngăn chặn chúng trước khi chúng lây nhiễm vào hệ thống.

Mô hình Fortinet Security Fabric

Fortinet Security Fabric là một hệ sinh thái bảo mật tích hợp, nơi các thiết bị bảo mật của Fortinet như FortiGate, FortiSandbox, FortiAnalyzer, và FortiSIEM kết nối với nhau, chia sẻ dữ liệu và tự động phối hợp trong việc phát hiện và ngăn chặn các mối đe dọa.

FortiSandbox giúp Security Fabric tăng cường khả năng phân tích và ngăn chặn các mối đe dọa nâng cao bằng cách chia sẻ dữ liệu các mối đe dọa với FortiGate, cho phép các thiết bị Firewall FortiGate cập nhật và ngăn chặn những cuộc tấn công tương tự trong tương lai.

Cấu hình FortiSandbox để tích hợp vào Security Fabric

Chúng ta sẽ tiến hành mở rộng hệ thống bảo mật bằng cách tích hợp một thiết bị FortiSandbox vào mô hình Fortinet Security Fabric hiện có. Các tệp tin được nghi ngờ chứa mã độc sẽ được cách ly và phân tích kỹ lưỡng trước khi chúng có thể gây ra bất kỳ thiệt hại nào cho hệ thống mạng của bạn.

Để thực hiện việc này, chúng ta sẽ cấu hình lại các thiết bị Fortigate đang hoạt động trong mạng sao cho chúng có thể tự động gửi những tệp tin khả nghi đến FortiSandbox để kiểm tra. Khi nhận được một tệp tin, FortiSandbox sẽ tiến hành quét sâu và phân tích hành vi của tệp tin đó trong một môi trường cách ly hoàn toàn với mạng chính của bạn. Thiết bị FortiSandbox kết nối với thiết bị root Fortigate (Edge) trong mô hình Security Fabric có 2 kiểu kết nối:

• Port 1 (administration port) trên FortiSandbox  kết nối với port 16 của Edge.
• Port 3 (VM outgoing port) trên FortiSandbox kết nối với port 13 của Edge.

Bạn cũng có thể sử dụng 1 đường Internet riêng biệt ở port 3 của FortiSandbox thay vì kết nối qua Edge để sử dụng internet tránh cho việc các địa chỉ IP public được ISP cung cấp cho đường Internet chính của bạn bị liệt kê vào blacklist nếu các phần mềm độc hại thử nghiệm trên FortiSandbox. Khi sử dụng cấu hình này, bạn có thể bỏ qua bước liệt kê cho port 3 FortiSandbox.

Kết nối FortiSandbox

Trên thiết bị FortiSandbox, cấu hình Port 1 (port này được sử dụng để kết nối FortiSandbox với phần còn lại của mô hình Security Fabric);

• Vào Network > Interfaces.
• Mục IP Address/Netmask: Cài đặt địa chỉ IP internal. FortiSandbox kết nối cùng 1 subnet với FortiAnalyzer mà bạn đã cài đặt trước đó

Cấu hình Port 3 (port này được sử dụng cho kết nối ra ngoài bởi máy ảo (VMs) đang chạy trên FortiSandbox. Bạn nên kết nối port này tới giao diện chuyên dụng trên thiết bị Fortigate để bảo vệ phần còn lại của mạng khỏi các mối đe dọa mà FortiSandbox hiện đang kiểm tra

• Mục IP Address/Netmask: Nhập địa chỉ IP internal 
• Tạo thêm static route:
  • Vào Network > System Routing.
  • Mục Gateway: đặt địa chỉ IP của port 1 của Fortigate (Trong ví dụ này: 192.168.65.2)

Trên thiết bị Edge, cấu hình Port 13 (port kết nối tới port 3 trên FortiSandbox):

• Vào Network > Interfaces.
• Mục IP/Network Mask: đặt địa chỉ IP cùng subnet với port 3 trên FortiSandbox

Cho phép VM truy cập internet

Trên thiết bị Edge, bạn hãy tạo 1 policy cho phép kết nối từ FortiSandbox ra Internet:

• Vào Policy & Objects > IPv4 Policy. 
• Incoming Interface: Chọn Port 13.
• Outgoing Interface: Port 9 (port kết nối internet).
• Source, Destination, Service: All. Action: Chọn Accept. Bật NAT

Trên thiết bị FortiSandbox vào Scan Policy > General và chọn Allow Virtual Machines to access external network through outgoing port3. (Cho phép máy ảo truy cập internet thông qua port 3). Mục Gateway: Chọn IP của Port 13 trên Edge.

Vào trang Dashboard và chọn tiện ích System Information. Kiểm tra nếu tính năng VM Internet access có dấu tick màu xanh bên cạnh tức là đã hoạt động.

Thêm FortiSandbox vào mô hình Security Fabric

Trên thiết bị Edge bạn hãy truy cập vào Security Fabric > Settings và chọn bật Sandbox Inspection. Cùng với đó hãy đảm bảo FortiSandbox Appliance đã được chọn. Mục Server điền IP của port 1 trên FortiSandbox.

Chọn Test connectivity, một thông báo lỗi sẽ xuất hiện như hình dưới bởi vì Edge chưa được uỷ quyền trên FortiSandbox.

Edge với vai trò là root Fortigate trong mạng sẽ đẩy các cài đặt FortiSandbox đến các thiết bị FortiGate khác trong mô hình Security Fabric. Truy cập vào Firewall Accounting và chọn Security Fabric > Settings.

Trên thiết bị FortiSandbox vào phần Scan Input > Device. Bạn sẽ thấy các thiết bị FortiGate trong mô hình Security Fabric đã được liệt kê, những cột Auth hiển thị các thiết bị chưa được uỷ quyền.

Chọn và cấu hình Edge. Trong mục Permissions & Policies rồi chọn Authorized. Sau đó lập lại bước trên với các thiết bị FortiGate còn lại.

Trên thiết bị Edge vào Security Fabric > Settings, trong mục Sandbox Inspection chọn Test connectivity để kiểm tra lại kết nối. Lúc này, khi đã kết nối tới FortiSandbox sẽ hiện Service is online.

Cài đặt tính năng kiểm tra và giám sát

Bạn có thể thêm tính năng kiểm tra Sandbox với ba kiểu kiểm tra bảo mật: Antivirus, Web Filter và FortiClient. 

• Vào Security Profiles >AntiVirus và chỉnh sửa hồ sơ mặc định.
• Trong tùy chọn Inspection Options trong mục Send Files to FortiSandbox Appliance for Inspection chọn All Supported Files.
• Chọn bật Use FortiSandbox Database để nếu FortiSandbox phát hiện ra một mối đe dọa, thiết bị sẽ thêm chữ ký cho tệp đó vào cơ sở dữ liệu chữ ký antivirus trên FortiGate

• Vào Security Profiles >Web Filter và chỉnh sửa hồ sơ mặc định.
• Trong mục Static URL Filter bật Block malicious URLs discovered by FortiSandbox. Khi bật tính năng này thì nếu FortiSandbox phát hiện một URL mang theo mối đe dọa, URL đó sẽ bị FortiGate chặn lại

• Vào Security Profiles >FortiClient Compliance Profiles và chỉnh sửa hồ sơ mặc định. 
• Chọn bật Security Posture Check
• Sau đó chọn Realtime Protection và Scan with FortiSandbox.

Kết quả

Bạn có thể xem thông tin về các tệp được quét trên thiết bị FortiGate hoặc trên FortiSandbox. Trên một trong các thiết bị FortiGate, bạn truy cập vào Dashboard và chọn tiện ích Advanced Threat Protection Statistics. Tiện ích hiển thị các file mà cả FortiGate và FortiSandbox đã quét.

Trên FortiSandbox, vào System > Status và xem tiện ích Scanning Statistics tóm tắt các tệp đã được quét.

Bạn cũng có thể xem tiến trình quét trong tiện ích File Scanning Activity

Trên Edge vào Security Fabric > Security Rating và chạy xếp hạng. Sau khi kết thúc, chọn All Results để xem tất cả kết quả. 

Một số lưu ý khi cấu hình thiết bị

• Cập nhật thường xuyên: Đảm bảo FortiSandbox được cập nhật các bản vá bảo mật mới nhất từ Fortinet để tối ưu hóa khả năng phân tích và ngăn chặn mối đe dọa.
• Theo dõi và phân tích dữ liệu thường xuyên: Thường xuyên kiểm tra các báo cáo và cảnh báo để kịp thời phát hiện và ngăn chặn các mối đe dọa mới.
• Tối ưu hiệu suất: Không nên gửi tất cả tập tin đến FortiSandbox, chỉ chọn các tập tin có nguy cơ cao để giảm thiểu thời gian phân tích và tăng hiệu suất hệ thống.
• Chế độ cách ly: Kích hoạt chế độ cách ly cho các mối đe dọa nghiêm trọng, giúp giảm nguy cơ lây lan trong hệ thống.

Tổng kết

FortiSandbox đóng vai trò quan trọng trong mô hình Fortinet Security Fabric, giúp tăng cường khả năng phát hiện các mối đe dọa nâng cao, đồng thời giảm thiểu rủi ro cho hệ thống. Việc cấu hình chính xác FortiSandbox và tích hợp với FortiGate không chỉ bảo vệ hệ thống hiệu quả hơn mà còn cải thiện khả năng phản ứng tự động trước các mối đe dọa. Việt Tuấn hy vọng qua bài hướng dẫn trên sẽ giúp bạn thiết lập FortiSandbox một cách toàn diện và tối ưu trong môi trường Security Fabric của Fortinet.