面對資安的威脅百百種面對核心系統的資安防護不能少,但是用戶端呢?我們知道會對重要的核心系統進行定期巡測,為了確保漏洞不被有心人士使用所以必須做滲透測試與弱點掃描,並在第一時間進行弱點修補來降低資安事件等風險,但是用戶端呢?大部分用戶端環境是處於很謹慎的內網環境下,幾乎是沒辦法讓外網直接滲透的,但是如果是內部發起的連線或是橫向滲透呢?這個也是有可能的喔!今天有可能下載一個惡意程式去針對系統有漏洞的程式進行注入攻擊這個也是有可能的,所以VANS就誕生了,VANS是提前在端點安裝一套Agent透過跟主控聯繫獲取惡意情資在進行對系統的軟體進行比對,特徵符合時就回報主控並將有弱點的程式進行CVE標示在判斷嚴重性,並快速幫資安人員進行建議處置,簡單來說和防毒一樣只是針對現有已發現的CVE進行搜尋標示。
本次要來講FortiGate 的隱藏 VANS功能,該功能屬於FortiGate端點控制功能需搭配FortiClient即可完成相關動作,只不過後來在FortiGate 6.2 版本後就不支援基於FortiGate EMS,並需要去專門安裝一套FortiClient Endpoint Management Server 在 Windows 主機上才能完成相關動作,本次我會使用舊版韌體6.0版本來實做 基於FortiGate EMS的環境。
LAB環境如下
- FortiGate 90E v7.4.0 -用於上網
- FortiOS VM v6.0.17 -用於FortiGate EMS
- FortiAnalyazer VM v6.0.11 -用於SOC
- FortiClient v6.0.10 -用於Agent
首先將佈署好的 FortiOS VM v6.0.17 進入進階功能開關把 終端用戶設備管理 進階端點控制 這2個打開其他的可以關掉沒關西。
開啟後進入網路/介面 把LAN的FortiTelemety功能打開,並把設備偵測打開
接著去資安管理設定 找到 FortiClient Compliance 根據需求調整
調整完成後去下載FortiClient 為了很好配合LAB我這邊下載6.0.10版本,下載完成後在裡面輸入FortiGate EMS IP ,按連接後會出現是否要信任此設備按是之後,接著Compliance原則會強制套用並開始排程。
接著我們進FortiClient 弱點掃描的部分會看到正在掃描
掃描完成 就可以看到這台電腦的漏洞數量
接著我們可以去FortiGate EMS 那台上面看 就會看到有漏洞的主機了
點進去就可以看到漏洞列表了
這時候漏洞資訊就會被EMS給收集,如過透過 FortiAnalyazer 可以變成 SOC 即時介面來觀看發生漏洞資訊
雖然新版FortiGate韌體已不再支援基於FortiGate EMS,不過基於新版的EMS只要擁有FortiCloud 的帳號都可以申請5年3U的測試授權這時候再來安裝在Windows 電腦裡,也就能使用EMS的漏洞掃描或是一些更進階端點控制的功能,來佈署零信任環境ZTNA,我是阿俊 謝謝觀看。
