Ich habe diese Woche an einem Webinar zur SD-WAN Lösung von Fortinet teilgenommen. Das Webinar wurde von Markus Frey, einem SE des Fortinet Schweiz Teams, gehalten. In knapp 45 Minuten wurde die SD-WAN Lösung von Fortinet vorgestellt. Die Präsentation wurde mit einer Live-Demo abgeschlossen. Aber erst einmal von vorne…


SD-What ?

SD-WAN steht für «Software-Defined-Networking in a Wide-Area-Network». Grundsätzlich geht es also darum, dass physikalische Hardware von ihrem Kontroll-Mechanismus separiert werden. Als Beispiel kann man sich einen Router vorstellen, welcher mehrere WAN-Anschlüsse und eventuell noch MPLS Anbindung hat. Die SD-WAN Komponente überwacht die Verfügbarkeit und Qualität aller Pfade. Wenn man nun eine neue Verbindung aufbauen will, wählt die SD-WAN Komponente automatisch den bestmöglichen Pfad für mich aus.

SD-WAN mit Fortigate

Fortinet hat bereits seit der Version 5.6 (2017) das sogenannte «sd-wan» Interface eingeführt welches die SD-WAN Funktionalität ermöglicht. Da ich damals noch einige Probleme damit hatte, habe ich das Feature in produktiven Umgebungen nicht eingesetzt. In der aktuellen Version 6.0 hat sich nun aber einiges geändert und verbessert. Es lassen sich neu auch SLA-Ziele für die einzelnen Links definieren. Ich kann also die Qualität der Anbindung mittels den Parametern Latency, Jitter und Paketverlust messen. Sobald eine Anbindung die Ziele nicht mehr erfüllt, werden die Verbindungen entsprechend auf ein anderes Interface migriert. Sobald sich die Anbindung wieder erholt wird wieder zurückgewechselt. Mit den SD-WAN Regeln, kann ich zudem das Verhalten steuern. Wenn ich z.B. eine Applikation wie Office365 immer über die gleiche Anbindung senden möchte, kann ich dies entsprechend konfigurieren. Das SD-WAN Feature ermöglicht mir also nicht nur die Auswahl des bestmöglichen Pfades, sondern auch ein Load-Balancing über mehrere Anbindungen.

Die SD-WAN Funktionalität auf der FortiGate erfordert keine zusätzlichen Lizenzen und kann auf jeder Hardware eingesetzt werden. Ein grosser Vorteil von der Fortinet Lösung gegenüber der Konkurrenz ist, dass diese die bewährten Security-Features der FortiGate mit SD-WAN kombiniert. Ich benötige also nur ein Gerät für beide Funktionen was gerade in Aussenstellen ein Vorteil sein dürfte.

Use Case: Redundante Branch-Office Anbindung

Ein möglicher Use-Case für SD-WAN wäre zum Beispiel die Anbindung von Branch-Offices an den Firmen-Hauptsitz. Oftmals wird dies heute noch mit dedizierten MPLS-Verbindungen, welche meist sehr teuer sind, gemacht. Nun könnte man zusätzlich noch einen IPSec-Tunnel über eine WAN-Verbindung konfigurieren, oder man spart sich die MPLS-Verbindung gleich komplett und benutzt stattdessen zwei WAN-Verbindungen. Über beide Anbindungen wird ein IPSec-Tunnel zum Hauptsitz konfiguriert. Das SD-WAN Feature wählt dann entsprechend meiner Konfiguration den bestmöglichen Pfad aus.

NSS Labs Test zu SD-WAN

Die Unabhängige Test-Agentur NSS-Labs hat 2018 verschiedene SD-WAN Lösungen getestet (Link Fortinet NSS-Labs). Fortinet hat dabei als einziger Security-Hersteller das Label «Recommended» erhalten. Zudem bietet laut NSS Labs Fortinet das beste Preis-Leistungs-Verhältnis (TCO) aller getesteten Hersteller.

Fazit

Die SD-Wan Lösung von Fortinet bietet mittlerweile einen echten Mehrwert für die Kunden. Gerade bei Firmen mit weltweiten Standorten bietet sich ein grosses Einsparungspotenzial. Durch die Kopplung mit den Security-Features der FortiGate kann auf ein zusätzliches Gerät verzichtet werden.

Falls ihr das Ganze nun noch «live» sehen wollt, könnt ihr das angesprochene Webinar auf Youtube (Link) nachschauen. Oder ihr testet es einfach selbst auf eurer FortiGate!



The_Unicorn

The_Unicorn

The_Unicorn ist Senior Security Engineer bei AVANTEC. Die Lösungen von Check Point, Fortinet und Vectra haben es ihm besonders angetan. The_Unicorn hat Informatik studiert. Seine Leidenschaft neben IT-Security ist Fussball.

Privacy Preference Center