Fortinet FortiGate Rugged 70F Firewall
Raue Mauer
Veröffentlicht in Ausgabe 08/2025 - TESTS
Die zunehmende Konvergenz von IT- und OT-Infrastrukturen stellt Unternehmen aus den Bereichen Fertigung, Energie, Transport und Versorgung, aber auch alle Sektoren im Bereich der Gebäudeleittechnik vor erhebliche sicherheitstechnische Herausforderungen. Während viele IT-Systeme bereits über ausgereifte Schutzmechanismen verfügen, sind die meisten industriellen Steuerungsnetzwerke (Operational Technology, OT) nach wie vor unzureichend gegen moderne Cyberbedrohungen abgesichert. So fehlt es häufig an soliden Authentifizierungs- und Verschlüsselungslösungen. Dies beginnt in vielen Fällen bereits auf Protokollebene. Auch die Updatezyklen sind wesentlich größer als in der IT.
Teure Industrieanlagen müssen aufgrund der erforderlichen Kapitalrendite meist recht lang betrieben werden, obgleich beispielsweise Betriebssysteme bereits keine Sicherheitsupdates mehr erhalten. Trotzdem haben diese Netze meist hohe Verfügbarkeitsanforderungen und in vielen Fällen müssen sie zudem geringe Latenzen aufweisen, um Steuerungen in nahezu Echtzeit zu erlauben. Gleichzeitig bringen regulatorische Anforderungen wie NIS2, IEC 62443 oder ISO 27001 hohe Sicherheitsanforderungen mit sich. Somit sind eine Segmentierung der Netze und erweiterte Überprüfungen notwendig.
Robuste Hardware für anspruchsvolle Umgebungen
Die von uns getestete Fortinet FGR-70F ist eine robuste Next-Generation-Firewall für industrielle OT-Umgebungen. Sie soll sensible Steuerungsnetze vor entsprechenden Bedrohungen schützen – auch unter extremen Umgebungsbedingungen. Die Firewall basiert auf dem SOC4-System-on-Chip und integriert neben der SOC4-CPU auch die NP6XLite- und CP9XLite-Prozessoren. Über den integrierten Switch Fabric (ISF) des SOC4 sind sämtliche Front-Panel-Datenports direkt mit NP6XLite verbunden. Dadurch wird der gesamte Datenverkehr zunächst über die integrierte Switch Fabric (ISF) zu NP6XLite geleitet und dort hardwareseitig ausgelagert. Nur jener Datenverkehr, der von der CPU verarbeitet werden muss, folgt anschließend einem eigenen Pfad über ISF und NP6X- Lite zur SOC4-CPU. Der CP9XLite-Prozessor übernimmt spezielle Funktionen, wie IPS-Prüfungen, IPSec-Verschlüsselung und Deep-Packet-Inspection.
Die zunehmende Konvergenz von IT- und OT-Infrastrukturen stellt Unternehmen aus den Bereichen Fertigung, Energie, Transport und Versorgung, aber auch alle Sektoren im Bereich der Gebäudeleittechnik vor erhebliche sicherheitstechnische Herausforderungen. Während viele IT-Systeme bereits über ausgereifte Schutzmechanismen verfügen, sind die meisten industriellen Steuerungsnetzwerke (Operational Technology, OT) nach wie vor unzureichend gegen moderne Cyberbedrohungen abgesichert. So fehlt es häufig an soliden Authentifizierungs- und Verschlüsselungslösungen. Dies beginnt in vielen Fällen bereits auf Protokollebene. Auch die Updatezyklen sind wesentlich größer als in der IT.
Teure Industrieanlagen müssen aufgrund der erforderlichen Kapitalrendite meist recht lang betrieben werden, obgleich beispielsweise Betriebssysteme bereits keine Sicherheitsupdates mehr erhalten. Trotzdem haben diese Netze meist hohe Verfügbarkeitsanforderungen und in vielen Fällen müssen sie zudem geringe Latenzen aufweisen, um Steuerungen in nahezu Echtzeit zu erlauben. Gleichzeitig bringen regulatorische Anforderungen wie NIS2, IEC 62443 oder ISO 27001 hohe Sicherheitsanforderungen mit sich. Somit sind eine Segmentierung der Netze und erweiterte Überprüfungen notwendig.
Robuste Hardware für anspruchsvolle Umgebungen
Die von uns getestete Fortinet FGR-70F ist eine robuste Next-Generation-Firewall für industrielle OT-Umgebungen. Sie soll sensible Steuerungsnetze vor entsprechenden Bedrohungen schützen – auch unter extremen Umgebungsbedingungen. Die Firewall basiert auf dem SOC4-System-on-Chip und integriert neben der SOC4-CPU auch die NP6XLite- und CP9XLite-Prozessoren. Über den integrierten Switch Fabric (ISF) des SOC4 sind sämtliche Front-Panel-Datenports direkt mit NP6XLite verbunden. Dadurch wird der gesamte Datenverkehr zunächst über die integrierte Switch Fabric (ISF) zu NP6XLite geleitet und dort hardwareseitig ausgelagert. Nur jener Datenverkehr, der von der CPU verarbeitet werden muss, folgt anschließend einem eigenen Pfad über ISF und NP6X- Lite zur SOC4-CPU. Der CP9XLite-Prozessor übernimmt spezielle Funktionen, wie IPS-Prüfungen, IPSec-Verschlüsselung und Deep-Packet-Inspection.
An der Gerätefront stehen insgesamt sechs Kupferports und zwei SFP-Slots zur Verfügung: Vier 1-GBit/s-LAN als RJ45, wobei LAN 3 und 4 als kupferbasiertes Bypass-Paar ("LAN3" / "LAN4") ausgelegt sind, zwei 1-GBit/s-WAN als RJ45 sowie zwei SFP-Einschübe für 1-GBit/s-SFP-Module. Ein SFP+-Slot würde dem Gerät unserer Meinung nach gut zu Gesicht stehen. Zusätzlich stehen noch ein MicroSD-Kartenschacht sowie digitale Ein- und Ausgänge zur Verfügung. Bei der MicroSD-Karte ist jedoch zu beachten, dass diese nicht Hot-Plugable daherkommt. Sie lässt sich für Firmware-Updates oder Deployments von Konfigurationen zum Einsatz bringen. Abgerundet wird die Konnektivität durch eine BLE-Schnittstelle. Die verwendeten SFP-Einschübe und die MicroSD-Karten müssen den erweiterten Temperaturbereich der Firewall unterstützen.
Die erste Besonderheit fanden wir bei der Stromversorgung. Anstatt des klassischen 230-Volt-Wechselstroms benötigt die Firewall zwischen 12- und 125-Volt-Gleichstrom und bis zu 2,0 Ampere. Das liegt daran, dass im industriellen Bereich häufig bereits Gleichstromnetze in Verteilerschränken und Kästen vorhanden sind. Es ließen sich zwei Netzteile anbinden, um eine Redundanz herzustellen. Wir testeten die Redundanz mit zwei Netzteilen mit unterschiedlichen Spannungen. Beim Ausfall eines Netzteils lief die Firewall problemfrei weiter. Die zweite Besonderheit findet sich in der Montagemöglichkeit. Anstatt klassisch als 19-Zoll lässt sich die Firewall auf einer Hutschiene (DIN) montieren. Die gesamte Firewall arbeitet lüfterlos, was Verunreinigungen verhindert.
Die Firewall unterstützte einen erweiterten Temperaturbereich von -40 °C bis 75 °C und erzeugt nach Herstellerangaben eine geringe Wärmelast. Wir stellten auch keine nennenswerte Hitzeentwicklung fest. Die Komponente lieferte Schutzart IP40. Sie ist also vor eindringenden Fremdkörpern ab 1 mm Durchmesser geschützt. Ein Feuchtigkeitsschutz ist dabei nicht gegeben, weshalb das Gerät nicht für den Einsatz in feuchten Umgebungen oder im Freien geeignet ist.
| Produkt | Next-Generation-Firewall für industrielle OT-Umgebungen. |
|---|---|
| Hersteller | Fortinet
|
| Preis | Rund 5300 Euro inklusive ein Jahr "FortiGuard Enterprise Protection".
Grundsätzlich können IT-Verantwortliche zwischen drei Lizenz-Bundles wählen:
- Advanced Threat Protection mit IPS sowie Antimalware mit traditioneller Antivirus- Engine, Botnet-Domain-Filter, Mobile- Malware-Erkennung, Virus-Outbreak- Protection, KI-gestützter heuristischer AV-Engine und Anbindung an die FortiGate Cloud Sandbox.
- Unified Threat Protection ergänzt diese Basis durch URL- und DNS-Filterung sowie ein Antispam-Modul.
- Enterprise Protection bietet zusätzlich KI-basierte Inline-Malware-Prevention, Data Loss Prevention und Attack-Surface-Security. Dieses Paket bietet sich insbesondere für industrielle Umgebungen an, da es OT-Geräteerkennung, OT-Schwachstellenkorrelation mit Virtual Patching sowie OT-Application Control und IPS mitbringt. |
| Systemanforderungen | Die Firewall erlaubt einen Datendurchsatz von maximal 8 GBit/s, das IPSec-VPN 6,5 GBit/s, die SSL-Inspection 500 MBit/s und das IPS 975 MBit/s. Die maximale Anzahl gleichzeitiger Sessions liegt bei einer Million. |
| Technische Daten |
Problemlose Erstkonfiguration
Die im Quickstart-Guide genannte FortiExplorer-App stand ab dem 1. Mai 2025 nicht mehr zur Verfügung. Es gab jedoch drei unterschiedliche Varianten für die Administration: Web-GUI, serielle Konsole und die FortiGate-Cloud. Wir testeten Web-GUI und serielle Konsole, was problemfrei gelang. Allgemein gibt es Konfigurationsmöglichkeiten über Konsole, SSH, Web-GUI (HTTP und HTTPS), SNMP (v2c und v3) und auch via REST-API.
Positiv empfanden wir, dass wir zu den jeweiligen Konfigurationsanpassungen auch direkt den zugehörigen API-Request und die CLI-Kommandos auf dem Web-GUI angezeigt bekamen. Für Admins, die eine größere Anzahl an FortiGate-Firewalls betreiben, steht auch ein zentrales Managementtool namens FortiManager bereit. Das vereinheitlichte Betriebssystem bot eine geringe Lernkurve für klassische FortiGate-Admins, um auch in die OT-Security einsteigen zu können.
In der Konfiguration wurden auch Einträge mit Referenzen vor dem Löschen blockiert. Über einen einfachen Klick konnten wir herausfinden, welche Referenzen bestehen. Dies empfanden wir als sehr durchdacht und hilfreich.
Für unseren Test nutzten wir zunächst die OS-Version v7.4.6 build2726 und später v7.6.3 build3510. Es gab eine Option für Onlineupdates, die bei manuell durchgeführten Aktualisierungen erlaubte, direkt im Updateprozess ein Konfigurationsbackup herunterzuladen. Dieses war als Textdatei lesbar. Zudem bestand die Möglichkeit, wiederkehrende Prüfungen von Patches durchzuführen. Updates verliefen im Test vollkommen problemfrei und brauchten nur wenige Minuten.
Authentifizierung mit kleinen Unzulänglichkeiten
Im Rahmen des Produkttests evaluierten wir die rollenbasierte Zugriffskontrolle (RBAC) der Fortinet FGR-70F. Dabei zeigte sich das Gerät als robust und vielseitig in der Verwaltung von Benutzerzugriffen – sowohl lokal als auch über externe Identitätsdienste. Es ließen sich auch eigene Rollen einrichten. Die lokale Benutzerverwaltung ließ sich einfach einrichten. Besonders positiv fiel die Unterstützung für Multifaktor-Authentifizierung auf: Mit der FortiToken-Mobile-App konnten wir im Test sogar ein Push-basiertes Verfahren nutzen, das zuverlässig funktionierte. Eine einfache TOTP-Integration mit gängigen Drittanbieter-Apps wie Google Authenticator war hingegen nicht möglich, was durchaus eine Einschränkung darstellt.
Die Integration eines RADIUS-Servers verlief im Test problemlos. Allerdings mussten wir jeden Benutzer vorab manuell in der Firewall anlegen. Diesen zusätzlichen Schritt empfanden wir als unnötig umständlich, insbesondere für Umgebungen mit vielen Benutzerkonten. Ein externer LDAP-Server ließ sich erfolgreich anbinden und erlaubte auch die Transportverschlüsselung über TLS. Auch die Gruppenzugehörigkeit konnten wir zuverlässig prüfen, was eine differenzierte, rollenbasierte Zugriffskontrolle ermöglichte. Die Verbindung blieb während des gesamten Tests stabil und performant.
Auch das Einbinden eines SAML-Identity-Providers wie Microsoft Entra ID gelang ohne Komplikationen. Besonders hervorzuheben war das Security-Rating der FortiOS-Oberfläche: Diese wies automatisch auf sicherheitsrelevante Schwächen hin – etwa das Fehlen von Trusted Hosts oder einer fehlenden MFA. Für tiefergehende Analysen zu Authentifizierungsproblemen bei der Erstimplementierung stand uns die Kommandozeile zur Verfügung. Diese erwies sich als hilfreiches Werkzeug, da sie klar strukturierte und aussagekräftige Ausgaben lieferte, die über die grafische Oberfläche hinausgingen.
Solide Hochverfügbarkeit
Die Fortinet FGR-70F unterstützt für Hochverfügbarkeit das FortiGate Clustering Protocol (FGCP), mit dem sich mehrere Geräte gleichen Typs auf Layer 2 zu einem Cluster in Aktiv-Passiv- und Aktiv-Aktiv-Betrieb zusammenfassen lassen Im Aktiv-Passiv-Modus übernimmt eine Einheit den "Hot Standby" und das andere Gerät die primäre Funktion, sodass bei einem Ausfall nahtlos auf die Sekundär-Firewall umgeschaltet wird, was Ausfallzeiten vermeidet. Im Aktiv-Aktiv-Modus verteilen die Mitglieder des Clusters den Datenverkehr zum Lastenausgleich.
Vielfältig konfigurierbare Schnittstellen
Die Hardwareschnittstellen ließen sich flexibel unterschiedlichen Nutzungsszenarien zuweisen. Zunächst waren bis auf die beiden WAN-Ports alle weiteren der Rolle "LAN" zugewiesen. Um sie anderweitig zu verwenden, wie beispielsweise für ein Virtual Wire Pair, also einer auf Layer 2 transparenten Firewall oder einer LACP-Link-Bündelung, mussten wir die Schnittstellen zunächst logisch vom Hardware-LAN-Switch trennen. Auch Loopback-Interfaces ließen sich anlegen. Zudem konnten wir problemlos LACP-Link-Bündel einrichten. Auf diesen ließen sich auch Subinterfaces mit VLAN-Tagging anlegen.
Zudem konnten wir auch Schnittstellen zu Zonen zuweisen, wie beispielsweise für spezielle DMZs, um auf dieser Basis Regelwerke anzuwenden. Über das Zonenkonzept ließ sich eine Konsolidierung von Firewall-Regelwerken erreichen. Selbst die LACP-Schnittstellen ließen sich zu Zonen hinzufügen. Sobald dies jedoch erfolgt war, waren wir nicht mehr in der Lage, Regelwerke auf einzelne Schnittstellen anwenden, sondern nur noch auf die Zone.
Auch der administrative Zugriff beispielsweise über SSH oder HTTPS auf die Firewall ist je Schnittstelle geregelt. Dabei stellten wir fest, dass zu Beginn auf den WAN- Interfaces noch administrative Zugriffe erlaubt waren. Dies sollten Administratoren vor Inbetriebnahme zwingend deaktivieren. Die einzelnen Schnittstellen ließen sich mit einem ausgehenden Traffic-Shaping versehen, um beispielsweise WAN-Links nicht zu überlasten. Das funktionierte in unseren Tests problemfrei. Eingehendes Shaping war ebenfalls flexibel über die Kommandozeile einrichtbar. Für die dynamische IP-Adressvergabe konnten wir entweder auf einen lokalen DHCP-Server, als auch auf DHCP-Relay zurückgreifen – beides konfigurierten wir ebenfalls auf der jeweiligen Schnittstelle.
Die Firewall bot uns zudem die Option, sie im transparenten Modus zu konfigurieren und zu betreiben. Dergestalt verhielt sich das Gerät als transparente Layer-2-Bridge, konnte aber Firewallregeln anwenden. In diesem Modus testeten wir auch den Bypass-Modus: Bei einem Stromausfall schaltete die Firewall die Ports LAN3 und LAN4 passiv durch, sodass nach wie vor Konnektivität gegeben war. Ob dies den Sicherheitsanforderungen gerecht wird, beziehungsweise ob die Betriebskontinuität vor Sicherheit geht, muss jeder IT-Verantwortliche im Einzelfall prüfen.
Alles was das Herz begehrt beim Routing
Bevor wir über Richtlinien festlegen konnten, welche Pakete die Firewall passieren dürfen, mussten wir zunächst ein passendes Routing auf Layer3 einrichten. Die Routing-Funktionalität war übersichtlich strukturiert und erlaubte sowohl statisches als auch dynamisches Routing. Besonders hilfreich war die grafische Route-Lookup-Funktion, mit der sich gezielt prüfen ließ, über welche Pfade bestimmte Ziele erreicht wurden.
Die dynamischen Routing-Protokolle standen in der grafischen Oberfläche allerdings erst zur Verfügung, nachdem wir unter "System / Feature Visibility / Advanced Routing" die erweiterten Routing-Funktionen aktiviert hatten. Danach konnten wir eine Reihe etablierter Protokolle konfigurieren, darunter RIP (in den Varianten für IPv4 und RIPng für IPv6), OSPF (Version 2 und 3), IS-IS sowie BGP. Zusätzlich war richtlinienbasiertes Routing möglich, bei dem wir abhängig von Quell- und Zieladresse sowie Port eine gezielte Kombination aus Schnittstelle und Gateway bestimmen konnten.
Ergänzt wird das Routing-Modul durch umfassende SD-WAN-Funktionen. Diese ermöglichten uns nicht nur eine flexible Steuerung des Datenverkehrs, sondern auch eine aktive Überwachung der Verbindung. Wir hatten die Option, eigene Überwachungsmechanismen zu definieren – etwa Ping-, HTTP- oder DNS-Checks zu bestimmten Zielsystemen – und erhielten in Echtzeit Auswertungen zu Paketverlusten, Latenzen und Jitter. Anhand dieser sogenannten Performance-SLAs waren wir in der Lage, den Datenverkehr entweder fest einem bestimmten Interface zuzuweisen, dynamisch nach SLA-Einhaltung oder gemäß der besten Verbindungsgüte zu routen. Zudem war es möglich, die Regeln nicht nur auf Netzwerkebene, sondern auch nutzer- oder gruppenspezifisch anzuwenden. Auch Loadbalancing ließ sich neben dem Fail-over problemlos konfigurieren. Sowohl bei Routingregeln als auch bei Firewallrichtlinien wurden dabei stets die SD-WAN-Zone und nicht die physische Schnittstelle als Ziel hinterlegt.
Selbst bei nur einem verfügbaren Internet-Breakout empfanden wir die SD-WAN-Konfiguration als sinnvoll, da sie die Möglichkeit bot, Performancemessungen und -analysen auch in einfacheren Umgebungen durchzuführen. Zusätzlich war es möglich, über Virtual Routing and Forwarding (VRF) mehrere virtuelle Routing-Instanzen auf dem Gerät zu betreiben, was wir insbesondere für komplexere Netzwerktopologien oder mandantenfähige Umgebungen als Vorteil empfanden. Es gab sogar eine Option für VXLAN, was in neueren Releases sogar in Kombination mit MP-BGP EVPN zum Einsatz kommen kann.
Für NAT boten sich uns flexible Konfigurationsmöglichkeiten für Source- und Destination-NAT. Diese funktionierten problemlos, die Konfiguration empfanden wir jedoch gewöhnungsbedürftig. Source-NAT mussten wir innerhalb von Firewallregeln anlegen. Dabei gab es die Option, entweder die Schnittstellen-IP-Adresse oder eine Pooladresse zu verwenden. Das Destination-NAT, was beispielsweise für das Anbieten von Diens- ten in einer DMZ benötigt wird, richteten wir hingegen über sogenannte Virtual-IPs ein.
Flexibles Segmentieren und Filtern
Die Sicherheitsfunktionen der Fortinet FGR-70F überzeugten insbesondere dank des Schwerpunkts auf OT-Einsatzzwecke. Die eigentlichen Regelwerke definierten wir unter "Policy Objects / Firewall Policy" und konnten dort neben klassischen IP- und Portfiltern mit Quell- und Zielobjekten sowie Dienstobjekten auch Benutzer und Benutzergruppen einbeziehen. Zusätzlich ließen sich verschiedene Sicherheitsprofile direkt an die Firewallregeln anhängen, um den Datenverkehr gezielt zu analysieren und zu schützen. Hierbei hatten wir die Wahl, vordefinierte Policies zu nutzen oder diese beim Anlegen der Firewallregel parallel mit zu erstellen.
Eine hohe Anzahl an Filtermöglichkeiten liefert jedoch auch gleichzeitig ein hohes Potenzial an Problemen. Ein Policy-Match-Tool bot die Möglichkeit, anhand der Quellschnittstelle und IP-Adresse, dem Protokoll, dem Port, dem Nutzer und dem Ziel eine Prüfung zur Weiterleitungsentscheidung "Permit / Deny" durchzuführen. Falls jedoch LDAP-Nutzer zum Einsatz kamen, aber der LDAP-Server nicht zur Verfügung stand, erhielten wir die nicht besonders aussage- kräftige Fehlermeldung "Policy match failed due to internal error".
Zu den aktivierbaren Sicherheitsprofilen zählte unter anderem das Antivirus-Modul für Protokolle wie HTTP, SMTP, POP3, IMAP, FTP und CIFS. Damit definierten wir, ob die Firewall verdächtige Inhalte blockiert oder lediglich protokolliert. Besonders hilfreich empfanden wir die Möglichkeit, ausführbare Dateien in E-Mails automatisch als Bedrohung zu klassifizieren. Darüber hinaus stand ein 0-Day-Malware-Scanning und die Einbindung externer Malware-Blocklisten zur Verfügung.
Mit dem Webfilter konnten wir den Zugriff auf Webseiten anhand vordefinierter Kategorien wie beispielsweise Waffen, Drogen, Pornografie, Malware oder Werbung reglementieren. Dabei gab es erfreulicherweise auch eine einfache Option, um eine Re-Kategorisierung von Webseiten über Fortinet anzustoßen, falls eine URL vermeintlich falsch klassifiziert wurde. Zusätzlich ist auch das Erzwingen von SafeSearch im Browser möglich. Für den Fall, dass die FortiGuard-Cloud nicht erreichbar war, sah das Regelwerk vor festzulegen, ob der Datenverkehr trotzdem erlaubt (Fail-Open) oder blockiert (Fail-Closed) ist. Ähnlich funktionierte auch der DNS-Filter, der ebenfalls auf vordefinierten Kategorien basiert, jedoch auch statische eigene Einträge sowie externe Blocklisten unterstützt. Zusätzlich erlaubte das System eine gezielte DNS-Manipulation, um Endgeräte beim Zugriff auf bestimmte Ziele entsprechend auf eine Alternative umzuleiten.
Das Modul zur Application Control ermöglichte es uns, Anwendungen anhand vordefinierter Kategorien zu identifizieren und gezielt zu überwachen, zu blockieren oder zu isolieren. Besonders beeindruckt waren wir von der tiefgreifenden Integration in industrielle Protokolle. Zum Zeitpunkt des Tests erkannte die Firewall über 3300 OT-spezifische Signaturen, darunter für Modbus, Profinet und BACnet – ein deutliches Plus für den Einsatz in industriellen Umgebungen. So ließen sich am Beispiel von Modbus gezielt Operationen, wie bestimmte Lese- und Schreiboperationen, reglementieren.
Das Intrusion Prevention System (IPS) arbeitet signaturbasiert und ermöglicht zudem das Erkennen und Blockieren bekannter Malware-URLs oder Verbindungen zu Command-and-Control-Servern. Updates kamen im Default jede Stunde, ließen sich aber auch anderweitig parametrisieren. Das "File Filter"-Modul der Firewall erlaubte es, Dateitypen beim Ein- und Ausgang gezielt zu überwachen oder zu blockieren – auch für ältere Dateiformate wie DOC oder XLS, was in sensiblen Umgebungen von Bedeutung sein kann.
Umfassendes OT-Patching
Ein besonders innovatives Feature ist das Virtual Patching speziell für OT-Geräte. Dabei sammelte die Firewall auf Basis der hinterlegten Komponenten mitsamt MAC-Adressen über OT-Erkennungssignaturen gerätespezifische Informationen, führte dazu eine Schwachstellenanalyse über den FortiGuard-Dienst durch und wendete automatisch passende Schutzregeln an.
Dies empfanden wir als deutlichen Mehrwert für industrielle Netzwerke, da dort häufig Komponenten mit langen Lebenszyklen und in Folge veraltete Betriebssysteme oder Softwarereleases mit bekannten Verwundbarkeiten zum Einsatz kommen. Falls durch die Regelwerke die Funktion beeinträchtigt sein sollte, ließen sich auch entsprechende Ausnahmen definieren.
Komfortabler Umgang mit Zertifikaten
Auch das Thema TLS-Inspection ist durchdacht umgesetzt und ermöglichte uns nach kurzer Implementierungszeit eine vollständige Entschlüsselung des TLS-Datenverkehrs. Dabei setzte die Firewall ihr eigenes CA-Zertifikat ein, das wir zuvor auf den Clients installieren mussten. Eine systemseitige Warnung erinnerte daran, dass Nutzer möglicherweise Zertifikatswarnungen im Browser erhalten, falls das CA-Zertifikat nicht korrekt in deren Zertifikatsstore vorliegt. Die Konfiguration erlaubte die Definition, wie mit fehlerhaften oder nicht vertrauenswürdigen Zertifikaten umzugehen ist. Zusätzliche Prüfungen wie SNI- und Cipher-Checks waren ebenfalls möglich.
Einzelne Ports ließen sich gezielt in die Analyse einbeziehen, um auch alternative Ports mit TLS-Inspection zu versehen. Ebenso waren Ausnahmen für bestimmte Ziele einstellbar. Ein weiterer praktischer Aspekt: Im SSL-Profil ließ sich der entschlüsselte Traffic an einen Mirror-Port weiterleiten, etwa zur Analyse mit externen Systemen.
Die Regelwerke enthielten zudem Zeitfenster, was beispielsweise erlaubt, außerhalb der Arbeitszeiten bestimmte ausgehende Anfragen zu blocken. Um nach dem umfangreichen Filtern auch auf Paketebene nachweisen zu können, ob Pakete geblockt oder weitergeleitet wurden, griffen wir auf das integrierte Mittschnittmodul im Menü "Network / Diagnostics" zurück. Dies gelang im Test problemlos und wir konnten die Aufzeichnungen später in Wireshark auswerten.
Vielfältige Prüfungen brauchen jedoch etwas Zeit. Gleichzeitig verlangen OT-Applikationen häufig stabile und geringe Latenzzeiten, um ein deterministisches Verhalten sicherzustellen. Daher maßen wir mit einer Zweipunkt-Streckenmessung mit einem Allegro-Network-Multimeter die Latenz beim Weiterleiten durch die Firewall. Im Durchschnitt lagen wir One-Way zwischen 0,6 und 0,7 Millisekunden, wobei es kleinere Ausschläge gab.
Auch klassische IT-Sicherheit an Bord
Neben den OT-Sicherheitsfeatures, die unser Test schwerpunktmäßig untersucht hat, bringt die Fortinet-Firewall auch klassischen Schutz für die IT mit:- E-Mail-Filter mit Optionen zur lokalen und zur Cloudfilterung. Konkret eine mehrstufige FortiGuard-Spam-Filterung, die bereits beim Verbindungsaufbau eine Prüfung von IP-Adressen gegen globale Reputationslisten durchführte.- Lokale Filteroptionen mit DNS-Prüfung des HELOs.- Manuelle Blocklisten anhand von IP-Adressen, Absender, Empfänger oder Betreff.- Lokaler Spam-Filter, der mittels HELO-DNS-Lookup die SMTP-HELO/EHLO-Angaben des sendenden Servers validiert und über Return-Path-DNS-Checks die Bounce-Adresse auf Gültigkeit prüft.- VoIP-Modul mit Schwellenwerten für Registrierungsversuche oder SIP-INVITE-Nachrichten. Dies verhindert Denial-of-Service-Attacken zu SIP-Servern, reicht jedoch unserer Ansicht nach nicht aus. Weitere Header-Filter, wie beispielsweise auf spezifische User-Agenten wären wünschenswert.- DoS-Schutz in Form eines Layer-3/ Layer-4-Überlastungsschutz.
Schnelles, gut filterbares Logging
Eine FortiGate-Rugged-Firewall protokolliert alle sicherheitsrelevanten und systembezogenen Vorgänge, um Netzwerkaktivitäten nachzuvollziehen und Angriffsversuche zu erkennen. Dabei ließen sich Traffic-, Security- und System-Logs lokal im Flashspeicher ablegen oder an externe Ziele wie FortiAnalyzer, Syslogserver oder die FortiCloud weiterleiten. Im GUI konnten wir zunächst grobe Filter auf die gewünschten Logs festlegen. Über die CLI verfeinerten wir diese Filter weiter und legten Log-Level und Retentionszeiten fest. Hier hätten wir uns im GUI mehr Parametrisierungsmöglichkeiten gewünscht.
Die Logs selbst waren im GUI intuitiv nutzbar und luden im Vergleich zu Mitbewerbern sehr schnell. Dabei unterschied die Darstellung im Menü bereits zwischen weitergeleiteten Datenverkehren und solchen, die direkt auf Adressen der FortiGate zugriffen. Das Sniffer-Traffic-Log dient nur dem speziellen Betriebsmodus im einarmigen Sniffer-Modus ("One-Arm Sniffer"), in dem eine Schnittstelle des IDS nur für Logs dient. Im Tagesbetrieb eines Firewall-Admins sind häufig die Forward-Traffic-Logs relevant. Dort boten sich vielfältige Optionen zur Filterung, wie beispielsweise nach klassischen Quellen, Zielen, Applikationen, Regel-IDs aber auch Ländern, Verbindungsdauern oder übertragenem Datenverkehr.
Moderne VPN-Funktionen
Die Fortinet FGR-70F bot im Test umfassende IPsec-VPN-Funktionalität für Remote-Access- und Site-to-Site-Szenarien. Ein SSL-VPN war in der neuesten verwendeten Firmware-Version nicht mehr verfügbar. Im IPsec-Bereich standen sowohl klassische Site-to-Site-Verbindungen als auch Hub-and-Spoke-Topologien mit ADVPN (Dynamic VPN) bereit, ebenso wie Remote-Access-VPNs über IKEv2 auf IPv4 und IPv6 – wahlweise herstellerneutral oder speziell über den FortiClient Secure Internet Access (SIA).
Im Remote-Access-Modus konnten wir zwischen Pre-Shared-Key und Zertifikats-authentifizierung unterscheiden und zusätzlich noch eine Benutzerauthentifizierung einrichten. Selbst in den Remote- Access-Templates ließen sich unterschiedliche Clienttypen wie FortiClient, Apple, Android/Windows oder Cisco auswählen, was das Einrichten deutlich erleichterte. Für alle gängigen Szenarien standen hilfreiche Wizards bereit, mit denen wir bei iOS- und macOS-Systemen nach minimaler Nacharbeit und Validierung der Einstellungen schnell funktionierende VPN-Verbindungen herstellen konnten. Somit stand einer sicheren Fernwartung der OT-Umgebung nichts im Weg.
Fazit
FortiGate Rugged 70F macht einen rundum gelungenen Eindruck. Die Firewall eignet sich sehr gut an der Schnittstelle zwischen IT und OT, aber auch Edge-Firewall vor großen vernetzten Industrieanlagen. Selbst Systeme mit langen Lebenszyklen und begrenzten Updates lassen sich durch Segmentierung und Virtual Patching mit dieser Firewall vergleichsweise sicher betreiben. Auch das Logging überzeugte uns im Test.
Das Gerät bietet tiefgreifende Richtlinien im Industrieumfeld bis hin zur Filterung einzelner Abfragen oder Steuerungen über OT-Protokolle, wie Modbus oder Profinet. Als sehr wertvoll erachten wir auch das Virtual Patching für Signaturen von Sicherheitslücken in OT-Komponenten. Obschon der Funktionsvielfalt bleibt die Einrichtung leicht und die entstehenden Latenzzeiten in der Paketweiterleitung bleiben trotz tiefgreifender Prüfung gut. Und letztendlich passt bei diesem Funktionsumfang auch der Preis.
(jp)
Deep Packet Inspection | 9 |
Robustheit | 8 |
Richtlinienverwaltung | 9 |
Routing-Funktionalität | 9 |
Echtzeitfähigkeit und Performance | 9 |
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/ | |