FortiGate-2016.docx

FORTINET - FAST, SECURE, GLOBAL
Página 1 de 97
ÍNDICE
1. INTRODUCCIÓN
1.1.
Acerca de FortiGate
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS
2.1.
La Arquitectura FortiGate
2.2.
IPv6
2.3.
Modalidad NAT o Transparente
2.4.
Inspección en modo Proxy o Flow
2.5.
Proxy Explícito
2.6.
Dominios Virtuales (VDOM)
2.7.
Fortiview
2.8.
Routing
2.8.1.
Enrutamiento Estático Redundante
2.8.2.
Policy Routing
2.8.3.
Enrutamiento Dinámico
2.9.
Alta Disponibilidad
2.10.
Optimización WAN
2.11.
Autenticación de Usuarios
2.12.
Firewall
2.12.1.
Definición de Políticas
2.12.2.
Inspección SSL y SSH
2.12.3.
Balanceo de carga multiplexación HTTP y aceleración SSL
2.12.4.
Calidad de Servicio (QoS)
2.12.5.
Soporte VoIP
2.13.
Redes Privadas Virtuales (VPN)
2.13.1.
Internet Protocol Security (IPSec)
2.13.2.
Point-to-Point Tunneling Protocol (PPTP)
2.13.3.
L2TP over IPSEC (Microsoft VPN)
2.13.4.
GRE over IPSEC (Cisco VPN)
2.13.5.
Wizard
2.13.6.
VPN SSL
2.14.
AntiMalware
2.14.1.
Escaneo de Firmas (Signature Scaning)
2.14.2.
Escaneo Heurístico
2.14.3.
Escaneo basado en CPRL
2.14.4.
Advanced Threat Protection (ATP)
2.14.5.
Actualización de la Base de Firmas y Motor de Escaneo
2.14.6.
Activación del Servicio mediante Perfiles de Protección
2.14.7.
Mensajes de Reemplazo en Ficheros Infectados
2.15.
Detección y Prevención de Intrusión (IDS/IPS)
2.15.1.
Métodos de Detección
2.15.2.
Prevención de Intrusiones en Tiempo Real
2.15.3.
Activación del Servicio mediante Sensores
2.16.
Control de Aplicaciones
2.17.
Filtrado de Tráfico Web (URL Web Filtering)
FORTINET - FAST, SECURE, GLOBAL
4
4
5
5
8
9
10
10
11
12
14
14
15
16
17
19
21
23
25
26
28
30
32
33
33
36
37
37
38
38
40
43
43
44
44
46
47
48
48
51
52
53
55
58
Página 2 de 97
2.17.1.
URL Filtering mediante uso de listas locales
2.17.2.
Filtrado de Contenido mediante listas locales
2.17.3.
Filtrado de Java / Scripts / Cookies
2.17.4.
Servicio Fortiguard Web Filtering
2.17.5.
Filtrado basado en cuotas
2.17.6.
Filtrado de Contenido en Cachés
2.17.7.
Activación del Servicio mediante Perfiles de Protección
2.17.8.
Mensajes de sustitución en web filter
2.18.
AntiSpam
2.18.1.
Servicio Fortiguard AntiSpam
2.18.2.
Más características FortiGuard
2.19.
Data Leak Prevention (Prevención de Fuga de Datos)
2.20.
WAF (Web application firewall)
2.21.
CASI (Cloud Access Security Inspection)
2.22.
DNS Filter
2.22.1.
Bloquear consultas DNS a direcciones conocidas de servidores C&C
2.22.2.
Filtro de URLs estático
2.23.
External security devices
2.1.
Controlador Switches - FortiLink
2.2.
Controlador Wifi
2.3.
Identificación de Dispositivos - BYOD
2.4.
Seguimiento de amenazas (Reputación de clientes)
2.5.
FortiGate Virtual Appliance
2.6.
Wan link load balance
2.6.1.
Algoritmos de balanceo
2.6.2.
Wan Links
2.6.3.
Reglas de prioridad
2.7.
Control del EndPoint
2.8.
Virtual wire pair
2.9.
FortiExtender
3. GESTIÓN DE LOS EQUIPOS FORTIGATE
3.1.
Tipo de gestión
3.2.
Gestión Centralizada con FortiManager
3.3.
FortiManager Virtual Appliance
3.4.
Registro de Logs
3.5.
Registro centralizado y gestión de informes con FortiAnalyzer
FORTINET - FAST, SECURE, GLOBAL
58
59
59
60
62
62
63
65
65
68
69
69
71
72
73
73
73
74
74
74
76
77
78
80
81
81
82
82
83
85
85
85
86
87
88
89
Página 3 de 97
1. INTRODUCCIÓN
1.1. Acerca de FortiGate
Las plataformas de seguridad FortiGate constituyen una nueva generación de equipos de
seguridad de muy alto rendimiento que garantizan la protección completa de los Sistemas
de empresas de cualquier tamaño tiempo real.
FortiGate, líder del mercado, proporciona una solución integrada de seguridad
compuesta por las funcionalidades más eficaces que proporcionan una protección
completa de las comunicaciones, como son: Firewall, VPN (IPSEC y SSL), Antimalware,
Anti-Botnet, Anti-DOS, Sistemas de Detección/Prevención de Intrusiones, Filtrado
Web, Antispam, Control de Aplicaciones, Inspección de Contenido en SSL, firewall de
aplicaciones WEB e inspección del acceso a aplicaciones cloud (CASI). Además, todas las
funcionalidades de seguridad se integran de forma conjunta con funcionalidades añadidas
como Traffic Shaping, Alta Disponibilidad, balanceo de carga, Aceleración y balanceo
Wan, Soporte a VoIP, Controlador Wireless, Enrutamiento dinámico RIP, OSPF y BGP,
etc.
El gran abanico de equipos FortiGate existente permite diseñar soluciones adaptadas a
las diferentes necesidades de cada entorno, disponiendo en todos ellos de las mismas
funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS, que es similar
en todos los equipos FortiGate, independientemente de la gama a la que pertenezcan.
Los equipos FortiGate pueden considerarse como equipos “todo en uno”, configurados para
proporcionar todo el conjunto de funcionalidades de seguridad más importantes en el
mercado de una forma sencilla, pero también pueden ser considerados como un
appliance de seguridad especializado en una o varias de las funcionalidades de las que
dispone, obteniendo un equipo de alto rendimiento y prestaciones sin competencia.
La familia de dispositivos Fortinet se extiende con equipos que complementan las
funcionalidades de los propios FortiGate:
● La plataforma FortiManager, que permite la gestión, administración y
configuración desde un único punto centralizado de miles de equipos FortiGate
que estén distribuidos en nuestro entorno de comunicaciones.
● Los equipos FortiAnalyzer, que proveen de una potente herramienta de gestión y
análisis de logs, generación periódica y automatizada de informes configurables
por el administrador, así como herramientas complementarias de análisis forense,
análisis de vulnerabilidades o scanning de red.
● Los puntos de acceso Wireless, FortiAP, que junto con la funcionalidad de
controlador Wifi de los equipos Fortigate, permiten aplicar políticas de seguridad
al tráfico Wifi de la misma manera que al tráfico LAN, garantizando una gestión
simple y centralizada de la seguridad de una compañía independientemente de
que los usuarios accedan por LAN, Wifi o VPN.
FORTINET - FAST, SECURE, GLOBAL
Página 4 de 97
● Las plataformas de protección ante amenazas Avanzadas FortiSandbox, que
permiten elevar el nivel de protección, al ser capaces de analizar el
comportamiento del malware desconocido, evitando que infecte las redes y
sistemas protegidas por este dispositivo
● El software FortiClient, como completo agente de seguridad para el puesto de
usuario, dotado de las funcionalidades de Firewall, Antimalware, AntiSpam, Web
Filter, Control de Aplicaciones e integración con FortiSandbox, siendo también
cliente VPN IPSec para el establecimiento de túneles con los equipos FortiGate.
Permite que se apliquen políticas en el firewall en función del cumplimiento de
las políticas de seguridad en el puesto de usuario, así como seguir manteniendo
las políticas de seguridad corporativas una vez el equipo ha salido del entorno
corporativo
FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo están disponible en
formato appliance físico, también existen versiones de tipo appliance virtual homólogo,
que puede ser desplegado en las principales plataformas de virtualización del mercado.
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS
2.1. La Arquitectura FortiGate
La tecnología Fortinet es una poderosa combinación de software y hardware basada en el
uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en
inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del
contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de
las comunicaciones.
La tecnología incluye los Procesadores FortiASIC™ y el Sistema Operativo FortiOS™
los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento
ofrecido por los equipos.
FORTINET - FAST, SECURE, GLOBAL
Página 5 de 97
Los procesadores FortiASIC™, diseñados por Fortinet, poseen un motor propietario de
análisis de contenido que acelera los intensivos procesos de análisis requeridos por la
seguridad a nivel de aplicación (Antimalware, filtrado de contenidos y procesos
relacionados), estos procesos tendrían un rendimiento mucho más bajo y una mayor
latencia si fueran llevados a cabo por procesadores de propósito general.
El Sistema Operativo FortiOS™ es un sistema robusto y eficiente, diseñado y dedicado a
los procesos propios de una plataforma de seguridad.
FortiASIC™
La exclusiva arquitectura basada en ASIC
empleada por los equipos Fortinet permite el
análisis del contenido del tráfico en tiempo
real, satisfaciendo todas las necesidades de
protección a nivel de aplicación sin impactar
en el rendimiento de la red.
El procesador FortiASIC™ posee múltiples características que hacen posible su alto
rendimiento:
● Contiene un motor hardware que acelera el análisis de las cabeceras de cada
paquete y del contenido ensamblado de los paquetes de una conexión, acelerando
de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser
capaz de identificar a velocidad de línea el flujo al que pertenece cada paquete.
● Posee un potente motor de comparación de firmas que permite contrastar el
contenido del tráfico de una sesión contra miles de patrones de firmas de virus,
ataques de intrusión, reconocimiento de aplicaciones u otros patrones sin
comprometer el rendimiento de la red. Este motor de análisis re-ensambla los
paquetes pertenecientes a un mismo mensaje en memoria, carga las firmas
necesarias y realiza una búsqueda por comparación de patrones, todos estos
procesos se realizan a nivel de hardware con la ganancia en velocidad que eso
supone.
● FortiASIC™ incluye también un motor de aceleración de cifrado que permite
realizar cifrado y descifrado de alto rendimiento para el establecimiento de las
Redes Privadas Virtuales o VPN.
Diferentes flujos, diferentes velocidades: Gracias a los procesadores FortiASIC el
flujo de tráfico que atraviesa un dispositivo FortiGate, se trata a diferentes velocidades en
función de que los paquetes se inspeccionen o no por los diferentes motores de filtrado.
Así un paquete que solo se inspecciona a nivel de Firewall, se procesará a la velocidad
máxima que puede proporcionar el hardware para este flujo y solo el tráfico que se
inspeccione a través del motor de IPS, Antimalware, etc. (por ejemplo), permitirá el
caudal máximo según las especificaciones hardware de cada equipo para dicho motor de
inspección.
FORTINET - FAST, SECURE, GLOBAL
Página 6 de 97
Aceleración hardware para puertos de red: NP6 (Network Processor v6)
El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red
está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la
sustitución de IP's cuando se habilita NAT, el seguimiento del tráfico a través de las
tablas de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino,
permitiendo sólo las conexiones legítimas a nivel de política de seguridad así como todo
el tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones
como es el caso de FTP o los protocolos de voz, por ejemplo. Este trabajo debe ser
realizado independientemente del payload del protocolo en cuestión y para cada uno de
los paquetes que compongan una sesión a nivel de aplicación.
Cuando los protocolos
en uso se basan en una
gran
cantidad
de
paquetes
con
un
payload bajo, el trabajo
que ha de llevarse a
cabo en el firewall es
mucho mayor, ya que
este
depende
exclusivamente de la
cantidad y no del
tamaño de los paquetes
y debido a que en un
mismo volumen de
datos se han de procesar un número mucho mayor de cabeceras y entradas de las tablas
de estado así como de decisiones de enrutamiento. Esta circunstancia, provoca que los
equipos que sólo utilizan CPU's de propósito general para realizar las tareas necesarias
puedan verse seriamente afectados ante estos tipos de tráfico, llegando a decrementar su
rendimiento de tal forma que se introducen retardos en la red e incluso es necesario
descartar paquetes debido a la saturación de la CPU del equipo. Esta saturación provoca
retardos inadmisibles en determinados protocolos y además afecta al resto del tráfico de
la red haciendo que la calidad del servicio se vea afectada muy negativamente.
Queda entonces patente que el troughput de un equipo está directamente relacionado
con el tipo de tráfico que se está generando en la red y no sólo con su volumen, y que
además, los números comúnmente expuestos en las hojas de producto son imposibles de
alcanzar en entornos de tráfico característico de aplicaciones multimedia y convergencia
IP como pueden ser el streaming de video o los protocolos RTP para VoIP.
La solución en este tipo de entornos, pasa por el uso de tecnologías de aceleración
hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestión
de las cabeceras de forma rápida y sin influir en el trabajo de la CPU principal, liberando
a esta de la carga del procesamiento de las cabeceras de los paquetes, el mantenimiento
de las tablas de estado o las decisiones de enrutamiento.
FORTINET - FAST, SECURE, GLOBAL
Página 7 de 97
Para cumplir con este requerimiento, la familia de equipos físicos FortiGate, incluye en su
lineal dispositivos equipados con puertos acelerados (Network Processor) NP6. Mediante
el uso de circuitos integrados de aplicación específica (ASIC) que dan servicio exclusivo a
este tipo de puertos, se acelera la inspección de paquetes a nivel del propio puerto,
liberando a la CPU e imprimiendo velocidad de línea a las transmisiones que los
atraviesan, sea cual sea el tamaño de paquete utilizado. De esta forma, se puede mantener
un troughput continuo de forma optimizada en las comunicaciones, de manera que el
nivel de servicio de los protocolos más sensibles, y por extensión el resto de tráfico de la
red, no se vea afectado, ya sea en entorno multi-gigabit, 10G, 40G o 100G, pues existen
dispositivos FortiGate con diferentes combinaciones puertos de 1G (fibra y/o cobre) ,
10G (fibra y/o cobre), 40G, 100G, PoE, etc.
Algunos modelos de FortiGate (revisar hoja de datos) disponen de un Switch hardware
en su interior con soporte STP (Spaning Tree Protocol).
Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su
portfolio de productos, haciendo que las redes puedan seguir funcionando con
normalidad ante protocolos que hacen uso extensivo de paquetes pequeños, como los
asociados a los protocolos de VoIP, las aplicaciones multimedia o el tráfico de
sincronización de los motores de base de datos.
El core de esta tecnología consiste en el uso de FortiASIC NP6 para dar servicio a varios
puertos de red de un equipo, así será el FortiASIC y no la CPU principal, el que lleva a
cabo el procesamiento de los paquetes que entran en cada puerto físico del appliance,
haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar
ciclos de liberación de la CPU principal.
Aceleración hardware FortiASIC CP8/9 (Content Processor v8/9)
Del mismo modo que NP6 acelera el rendimiento y disminuyen la latencia al
inspeccionar el tráfico de red, los procesadores FortiASIC CP 8/9 son capaces de
acelerar las tareas intensivas de computación, como la inspección de contenido en capa 7.
Aceleración hardware FortiSoC2
La gama “entry level” de equipos FortiGate dispone de un procesador específico
desarrollado por Fortinet que proporciona un rendimiento óptimo a un coste adaptado al
presupuesto de los clientes a los que van dirigidos estos equipos, generalmente pequeñas
y medianas empresas o también oficinas remotas con pocos usuarios y líneas de
comunicaciones de bajo caudal.
FortiOS™
FORTINET - FAST, SECURE, GLOBAL
Página 8 de 97
El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de
conmutación de alto rendimiento. El núcleo de FortiOS™ es un kernel dedicado,
optimizado para procesamiento de paquetes y trabajo en tiempo real. Provee además de
un interfaz homogéneo para cada una de las funcionalidades ofrecidas. Este sistema
operativo funciona sobre diversos modelos de procesadores de propósito general. Esta
flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate.
2.2. IPv6
Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva versión de firmware. En
la siguiente tabla, se pueden ver las funcionalidades soportadas más destacables, relativas
a IPv6:
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
Políticas IPS por interface IPv6
Rutas estáticas IPv6
Objetos y grupos IPv6
Políticas IPv6
VPN IPSEC con direccionamiento IPV6
Túneles IPv6 sobre IPv4
DNS IPv6
IPv6 en modo transparente
Acceso administrativo IPv6
Routing dinámico IPv6: RIP, BGP, OSPF
Soporte UTM para tráfico IPv6: AV, Web filtering
SSL VPN IPv6
Monitor de sesiones IPv6
Autenticación Firewall IPv6
DHCP6
Aceleración FW IPv6
Soporte SNMP IPv6
DLP para IPv6.
VoIP, ICAP, y UTM IPv6
NAT 64, NAT 66, DNS 64
Política IPS forwarding IPv6
HA sesión pick-up IPv6
Sensor DOS IPv6
Traffic shaping por IP para IPv6
Policy routing IPv6
Proxy explícito IPv6
MIBS IPv6
IPSec fase 2
Rangos de IPs
Configuracion de valores TCP MSS
Soporte RSSO
FORTINET - FAST, SECURE, GLOBAL
Página 9 de 97
●
●
●
●
●
Base de datos de geolocalización
Blackhole routing.
TFTP session helper
Mejoras en session helper de FTP, PPTP y RTSP.
Routing asimétrico para ICMP.
2.3. Modalidad NAT o Transparente
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de
funcionamiento: modo router/NAT o modo Transparente.
Trabajando en modo NAT el equipo actúa como un router, enrutando los paquetes entre
los diferentes interfaces físicos y/o lógicos del equipo, con la capacidad de realizar NAT.
Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar
los paquetes a través del mismo en función de las políticas definidas. El equipo FortiGate
no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestión del
propio equipo y actualización de firmas, a la que atiende por cualquiera de los interfaces).
De este modo, el equipo puede ser introducido en cualquier punto de la red sin necesidad
de realizar ninguna modificación sobre ningún otro dispositivo. El equipo FortiGate
soporta las mismas funcionalidades en ambos modos de funcionamiento (firewall,
antimalware, IPS, control de aplicaciones, web filtering, antispam).
También es posible combinar las dos funcionalidades y configurar en un mismo
dispositivo FortiGate.
2.4. Inspección en modo Proxy o Flow
El modo de inspección controla la forma que tiene FortiGate de aplicar y controlar los
perfiles de seguridad. Una vez configurado el modo de inspección, aplica de forma global
a todos los perfiles de seguridad, por lo que no es posible configurar una política con un
perfil de seguridad en modo proxy y otra regla con otro perfil en modo flow.
2.5. Proxy Explícito
FortiGate puede configurarse como un servidor Proxy (HTTP y FTP), de forma que los
navegadores de los equipos cliente lo utilicen de forma explícita para permitir la salida a
internet. El acceso a internet lo puede realizar el propio equipo FortiGate de forma
directa o bien utilizando otro proxy externo, configurando un proxy encadenado
(chaining/forwarding).
Es también posible establecer mensajes de aviso (tipo disclaimer) a nivel de usuario,
dominio o política, al utilizar el proxy explícito de FortiGate.
Distintos tipos de objetos se pueden utilizar en las polícitas de proxy explícito, como son:
FORTINET - FAST, SECURE, GLOBAL
Página 10 de 97
●
●
●
●
●
●
●
●
Objetos tipo VIP
Patrón URL
Host Regex
Categoría URL
Método HTTP
Agente Usuario
Cabecera HTTP
Origen avanzado (combinación de Agente usuario, Método HTTP y cabecera
HTTP)
● Destino avanzado (combinación de Categoría URL y Host Regex)
Así mismo se implementan funcionalidades anti-botnet en el Proxy Explícito.
2.6. Dominios Virtuales (VDOM)
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre
una única plataforma física sea posible configurar hasta 500 Equipos virtuales
(dependendiendo del modelo de dispositivo), completamente independientes entre sí y
con todas las funcionalidades que posee cada plataforma física. Todos los equipos
FortiGate disponen en su configuración básica de la capacidad de definición de dominios
virtuales. Se recomienda consultar la hoja de características de cada modelo donde se
indica el número de VDOM incluidos sin licencia adicional y las capacidades de ampliar
este número para los modelos de gama media o alta, en los que es posible ampliar el
número a 250 VDOM o incluso 500 Dominios Virtuales en los equipos más altos de
gama.
Cada uno de estos dominios virtuales representa de forma lógica una instancia
independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la
posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y
políticas sobre cada máquina, etc.
FORTINET - FAST, SECURE, GLOBAL
Página 11 de 97
2.7. Fortiview
FortiView es una consola incluida en el propio interface gráfico de FortiGate, que no
requiere licencia y que mejora la visibilidad de las aplicaciones, amenazas, sitios web, etc.
que se están utilizando en la red. La visualización se puede realizar en tiempo real o
basada en datos históricos.
Cada ventana de FortiView muestra inicialmente las 100 sesiones top, aunque cuando se
filtran los resultados, se pueden mostrar más sesiones. El filtrado se puede realizar por
diferentes atributos, estos atributos se pueden seleccionar desde un menú localizado al
principio de cada widget, que muestra solo las opciones que contienen información, por
ejemplo, si las únicas aplicaciones utilizadas son Dropbox, SSL y Skype, estas serán las
únicas opciones que aparecerán en el menú desplegable para filtrar por aplicaciones.
A continuación se indica la información disponible en los diferentes widget de
FortiView:
● Orígenes
Este widget muestra información sobre los orígenes del tráfico que llega al Fortigate,
incluyendo información del usuario y del dispositivo. Se pueden añadir columnas
adicionales con información sobre sesiones, bytes enviados o recibidos.
Además se puede filtrar por IP de origen, dispositivo de origen, interface de origen o
destino e identificador de política.
● Aplicaciones
Para obtener información de Aplicaciones, es necesario que al menos una política de
seguridad tenga aplicado el control de aplicaciones.
Este widget muestra información sobre las aplicaciones que se están utilizando en la red,
incluyendo el nombre, categoría y nivel de riesgo de la misma. Se pueden añadir
columnas adicionales con información sobre sesiones y bytes enviados o
recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origen o
destino e identificador de política.
● Aplicaciones Cloud
Este widget requiere al menos una política con la inspección SSL además del control de
aplicaciones
Contiene información acerca de las aplicaciones en la nube que se han usado en la red:
nombre, categoría, nivel de riesgo, identificador de login y el número de videos
visualizados (si aplica). Si se deja el cursor sobre la columna que muestra el
número de videos, se podrá ver el título de los mismos. Se pueden también añadir
columnas adicionales con las sesiones, bytes enviados o recibidos.
FORTINET - FAST, SECURE, GLOBAL
Página 12 de 97
Existen dos posibles formas de ver las aplicaciones Cloud: Aplicaciones y Usuarios.
Aplicaciones muestra una lista de los programas utilizados, mientras que
Usuarios, muestra información de usuarios individuales que utilizan aplicaciones
Cloud, incluyendo el nombre del usuario si el FortiGate ha podido obtener esta
información en el momento del login. También permite filtrar por aplicación,
interface de origen o destino e identificador de política.
● Destinos
Se muestra información sobre la IP de destino del tráfico del Fortigate, así como la
aplicación que se ha utilizado. Se pueden añadir columnas adicionales con
información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo
permite filtrar por aplicación, interface de origeno destino e identificador de
política.
● Sitios Web
Este widget requiere al menos una política con Web Filtering habilitado. Muestra una lista
de los sitios web más visitados y de los más bloqueados. Se puede ver la
información por dominio o por categoría, utilizando las opciones disponibles en
la esquina superior derecha. Cada categoría puede ser pulsada para ver una
descripción de la misma, así como sitios web de ejemplo. Se han añadido iconos a
los grupos de categorías y se muestra además información sobre el dominio, el
tiempo de uso, el nivel de amenaza, orígenes y bytes enviados o recibidos.
También permite filtrar por aplicación, interface de origen o destino e identificador de
política.
FORTINET - FAST, SECURE, GLOBAL
Página 13 de 97
● Amenazas
Para que este widget pueda mostrar información, se debe habilitar la opción de tracking
de amenazas.
Se muestra un listado de los usuarios top involucrados en incidentes, así como
información del top de amenazas en la red. Se puede mostrar información
adicional acerca de la amenaza, la categoría, el nivel de amenaza, el peso y el
número de incidentes detectados. También puede ser filtrado por interface de
origen o destino, tipo de amenaza, amenaza e identificador de la política.
● Todas las sesiones
Muestra información relativa a todo el tráfico del Fortigate. Se pueden elegir las
columnas a visualizar en la opción “Column Settings” y colocarlas en el orden
deseado a través del menú contextual que aparece al pulsar el botón derecho del
ratón.
Se puede filtrar por IP de origen o destino, aplicación, dispositivo de origen, interface de
origen o destino e identificador de política. En caso de haber aplicado un filtro en
algún widget anterior antes de visualizar el widget de todas las sesiones, dicho
filtro permanecerá activo hasta que se limpie de forma manual.
La información histórica que muestra FortiView se obtiene a partir de los logs
almacenados en el propio FortiGate, por este motivo los dispositivos más pequeños que
constan únicamente de un disco flash, en lugar de SSD, no podrán obtener información
histórica.
FORTINET - FAST, SECURE, GLOBAL
Página 14 de 97
2.8. Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1
y v2), OSPF (IPv4 ó IPv6) y BGP v4 (mediante BGP4+ soportado IPv6), así como con
enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento
estático (IPv4 ó IPv6) y ofrecer la posibilidad de realizar policy routing y balanceo de líneas
WAN, permitiendo incluso la utilización de distinta línea en función del tráfico de las
distintas aplicaciones.
2.8.1. Enrutamiento Estático Redundante
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De
este modo, cuando la puerta de enlace definida como primaria no esté disponible, el
equipo FortiGate encaminará los paquetes por el segundo gateway definido.
Para poder detectar la caída de cualquiera de los elementos que componen el camino de
salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping
Server que permite monitorizar el estado de dicho camino mediante el envío de paquetes
ICMP contra cualquier nodo de ese camino.
Un ejemplo de configuración seria este:
config system link-monitor
edit "link1"
set srcintf "wan1"
set server "8.8.8.8"
set gateway-ip 192.168.36.254
next
end
Además se puede ver el estado de cada link monitor en Monitor -> WAN Link Monitor
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino
no está disponible y comienza a utilizar el siguiente gateway definido.
FORTINET - FAST, SECURE, GLOBAL
Página 15 de 97
De este modo se puede emplear la plataforma FortiGate para configurar múltiples
conexiones a Internet, soportando redundancia entre ellas mediante ECMP (Equal Cost
Multi-path).
Se puede implementar ECMP en 3 modos distintos:
● source-ip-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en
función de las direcciones IP origen.
● weight-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en
función de los pesos establecidos en cada ruta estática de igual coste.
● usage-based: Se balancea el tráfico entre las distintas rutas de salida en función
del porcentaje de uso de un interfaz. Una vez superado el porcentaje predefinido
para un interfaz, comenzarán a utilizarse la ruta de salida ligada a otro interfaz.
2.8.2. Policy Routing
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de
posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se
realice únicamente en función de la red de destino, sino teniendo en cuenta también los
siguientes parámetros:
● Interfaz Origen y red de origen
● Protocolo, servicio o rango de puertos tanto de origen como de destino y ToS.
Configuración Policy routing
De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80)
fuese redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro,
logrando de este modo balancear la carga entre dos interfaces de conexión a Internet, sin
perder la redundancia de los mismos.
FORTINET - FAST, SECURE, GLOBAL
Página 16 de 97
2.8.3. Enrutamiento Dinámico
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1
y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse
Mode y Dense Mode, de modo que se permite la integración de las plataformas en
entornos de red más complejos.
2.9. Alta Disponibilidad
La capacidad de trabajar en clúster de alta disponibilidad (HA) dota a los equipos
FortiGate de redundancia ante fallos. Además el clúster puede configurarse en modo
activo-activo haciendo balanceo de carga del tráfico, en modo activo/pasivo en la que un
único equipo procesa el tráfico de la red y es monitorizado por los demás para sustituirle
en caso de caída, o en modo Virtual Cluster (solo para 2 nodos), que permite establecer
diferentes clusters activo/pasivo a nivel de VDOM.
Todos los modelos de FortiGate pueden ser configurados en clúster, proporcionando
escenarios de alta disponibilidad mediante la utilización de varios equipos redundantes
entre sí, empleando un protocolo específico para la sincronización del clúster (Fortigate
Cluster Protocol / FGCP)
FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es
recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así como
tener instalada la misma versión del Sistema Operativo FortiOS (firmware)
Otras características del HA en FortiGate:
FORTINET - FAST, SECURE, GLOBAL
Página 17 de 97
● Modo NAT y modo transparente
● Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate
100D
● Soporte de sincronización de la configuración en modo standalone
(sincronizacion sin clúster)
● Soporte HA para autenticación VPN SSL
HA Heartbeat
Los miembros del clúster se comunican entre ellos a través de un protocolo propietario
denominado HA Heartbeat. Este protocolo se utiliza para:
● Sincronizar la configuración entre los equipos
● Sincronizar la tabla de sesiones activas tanto de firewall como de VPN
● Informar a los otros miembros del clúster del estado del equipo y sus enlaces
Los interfaces empleados para el intercambio de información entre los equipos del
clúster son definidos por el administrador del equipo, si bien no existe la necesidad de
que sean enlaces dedicados a esta función y permiten que dichos enlaces sean empleados
para transmitir tráfico de producción, es recomendable establecer interfaces dedicados
siempre que sea posible.
Igualmente es recomendable que los interfaces empleados para la transmisión de esta
información sean configurados en modo redundante, es decir, que el administrador
defina varios enlaces para realizar esta función, de modo que si alguno fallara la
información pasaría a transmitirse de forma automática por otro enlace al que se le haya
asignado esta tarea.
Dado que los equipos que forman parte del clúster se intercambian información sobre
las sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a estas
sesiones, realizándose una protección ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con
objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en el
cluster, en el supuesto caso de una caída de alguno de los interfaces monitorizados.
Modos Activo-Activo y Activo-Pasivo
Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o
en modo activo-pasivo. Ambos modos de funcionamiento son soportados tanto en
modo transparente como en modo NAT (router).
FORTINET - FAST, SECURE, GLOBAL
Página 18 de 97
Configuración de Alta Disponibilidad
Un clúster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el
tráfico y uno o más equipos subordinados que están conectados a la red y al equipo
primario, pero no procesan tráfico alguno. No obstante los nodos secundarios pueden
tener una copia de la tabla de sesiones si se habilita la opción “Enable Session Pick-up”
El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades
que componen el clúster. Cada FortiGate procesa activamente las conexiones existentes y
monitoriza el estado de los otros nodos del clúster. El nodo primario procesa el tráfico y
redistribuye el tráfico entre los diferentes equipos que forman parte del clúster.
Virtual Clustering
Cuando 2 equipos configurados en alta disponibilidad existen diferentes Dominios
Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los
equipos que forman el clúster, configurándolos en modo activo-pasivo pero
estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o
VDOMs. De este modo, el tráfico de un grupo de dominios virtuales será procesado por
uno de los nodos, mientras que el otro grupo de VDOMs enviará su tráfico hacia el otro
nodo, estableciéndose de este modo un balanceo de carga en función del dominio virtual.
FORTINET - FAST, SECURE, GLOBAL
Página 19 de 97
Compartir solo la tabla de sesiones
Este modo de configuración especial permite compartir la tabla de sesiones entre dos
equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es
posible configurar este modo de manera que los equipos FortiGate compartan un único
fichero de configuración, aportando al administrador la posibilidad de realizar los
cambios de forma centralizada, como si de un clúster se tratara, pero sin existir
mecanismos de monitorización entre los nodos, como si ocurre en un clúster tradicional
FGCP.
VRRP (Virtual Router Redundancy Protocol)
Es posible configurar el protocolo VRRP entre equipos FortiGate e incluso entre
equipos de otro fabricante y un dispositivo FortiGate. Este protocolo solo trabaja a nivel
de routing, por lo que no es posible compartir la tabla de sesiones cuando se hace uso del
mismo.
2.10. Optimización WAN
La optimización o aceleración WAN posibilita la mejora y el incremento de rendimiento
y seguridad en comunicaciones a través de redes de área extensa, como puede ser el caso
de Internet o MPLS. Esta función está disponible por VDOM (firewall virtual)
configurándose de manera independiente para cada uno de ellos, lo que dota de mucha
flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios
gestionados.
Los FortiGate que soportan esta funcionalidad son aquellos que constan de
almacenamiento interno.
La tecnología de compresión utilizada es propietaria de Fortinet, no compatible con
aceleradores de terceros, pero sí lo es con el cliente Forticlient.
Las principales funcionalidades aportadas son la optimización de la comunicación,
reducción del ancho de banda consumido, gracias a la optimización del protocolo de
comunicación utilizado, byte caching, web caching y la posible securización de la
comunicación cliente/servidor a través de la red WAN gracias al establecimiento de un
túnel seguro. Con esto se reducen latencias, se incrementa el rendimiento y se garantiza la
privacidad en las transacciones.
FORTINET - FAST, SECURE, GLOBAL
Página 20 de 97
Dicha tecnología requerirá el soporte en ambos extremos remotos de la tecnología de
optimización. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o
Forticlient WAN Optimization.
Además de ofrecer un alto grado de privacidad, gracias a la tunelización segura, esta
tecnología está incluida en un sistema de Firewall de reconocida reputación, con lo que se
dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos,
pudiendo aplicar reglas de Firewall necesarias para cumplir la política corporativa.
Técnica Web Caching
Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos
servidores y el ancho de banda utilizado, así como la percepción de latencia por el
usuario final.
Dicha técnica se basa en hacer caching de determinados objetos que intervienen
usualmente en estas transacciones. Se guardan contenidos como determinadas páginas
HTML, imágenes, respuestas de servlets y algunos objetos más. Para guardar estos
objetos (caching) se utilizará el disco duro o módulos opcionales con disco (ASM o
FSM) del equipo Fortigate.
Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN,
además los servidores que sirven estas peticiones deberán servir un número menor de
transacciones gracias a la técnica de caching de Fortigate y adicionalmente, la latencia
percibida por los usuarios se verá drásticamente reducida, ya que parte del contenido se
sirve localmente.
Para hacer simplemente caché tradicional de tráfico Web, no es necesario otro sistema
Fortigate en el otro extremo.
Optimización de Protocolos
Esta técnica mejora el uso del ancho de banda y la eficiencia de la comunicación.
Requiere el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de
aceleración uno de los protocolos soportados como CIFS, FTP, HTTP o MAPI. Un
ejemplo típico y de extendido uso es el protocolo CIFS, que durante su establecimiento y
mantenimiento de sesión utiliza gran número de comunicaciones por lo que la
compartición de archivos a través de Internet suele ser bastante lenta. Gracias a la
funcionalidad Protocol Optimization provista, se reduce en gran medida el tiempo de espera
de este tipo de transacciones.
FORTINET - FAST, SECURE, GLOBAL
Página 21 de 97
Byte caching
Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les
aplica un hash único. A posteriori, se envían esos elementos hash al extremo remoto y
este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash.
De este modo la transferencia de un fichero se ve agilizada. Esta técnica no es específica
de un protocolo, por ejemplo un fichero X enviado vía email puede ser acelerado a
posteriori en una descarga web si el fichero es el mismo X.
Aceleración SSL
Gracias a los circuitos ASIC CP8/9 se acelera el cifrado/descifrado de trafico SSL.
Túneles seguros entre WAN Peers
Empleando túneles SSL se puede garantizar la privacidad de las comunicaciones dentro
del túnel WAN.
Estadísticas de Aceleración WAN
2.11. Autenticación de Usuarios
Las plataformas FortiGate soportan la autenticación
funcionalidades, como son:
de usuarios en diferentes
Autenticación a través de políticas de Firewall. Cuando un determinado tráfico es
identificado por una política definida en el Firewall que tiene un objeto de tipo usuario o
grupo en el campo “origen”, el equipo decide si dicho tráfico es permitido o no en
función del usuario del que se trate, de esta forma la granularidad de las reglas puede
llevarse a cabo en función del origen del tráfico o en función del grupo de usuarios que
generen el tráfico. Esta autenticación puede realizarse contra una base de datos local
creada en el propio equipo, o bien contra servidores externos RADIUS, TACACS +,
LDAP, Novel eDirectory o Active Directory, pudiendo realizarse con estos 2 últimos una
FORTINET - FAST, SECURE, GLOBAL
Página 22 de 97
autenticación transparente de los usuarios que pertenezcan al Directorio Activo de
Microsoft o de Novel eDirectory.
Autenticación de usuarios VPN: Cuando un usuario intenta acceder la red interna a
través del servicio de acceso remoto VPN provisto por los equipos FortiGate, ya sea
IPSec o SSL la tecnología empleada, el equipo solicita la autenticación del usuario de
forma previa a establecer la conexión. Esta autenticación se puede realizar mediante una
base de datos local, o bien mediante la utilización de servidores externos (RADIUS,
LDAP, AD, etc.).
FortiGate permite la utilización de un segundo factor de autenticación, ya sea a través del
envío de una password de un solo uso por correo electrónico o mediante SMS, así como
mediante la utilización de FortiToken, un generador de contraseñas de un solo disponible
en formato físico o software para Smart Phone.
Fortinet dispone de un protocolo propietario denominado FSSO (Fortinet Single Sign
On) que interactúa con el Servidor de Directorio Activo o Novel eDirectory. El
protocolo FSSO se basa en la utilización de un agente ligero software que se instala en un
servidor miembro del Directorio Activo y que desde ese momento establece un diálogo
con el equipo FortiGate. También es posible mediante polling desde el equipo FortiGate,
realizar consultas a los servidores del directorio, de modo que no se requiera la
instalación del agente ligero.
El modo de funcionamiento de FSSO consiste en que cada vez que un usuario se valida
en el servidor AD, el agente informa al equipo FortiGate de qué usuario se ha validado, a
qué grupo pertenece y qué dirección IP le ha sido asignada. En caso de haberlo
configurado con polling desde el propio FortiGate, este extrae dicha información del log
de eventos del Controlador/es de Dominio (DC) del Directorio Activo. A partir de ese
momento, cada vez que el usuario realice alguna operación que implique validación por
parte del Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la
validación se realiza de forma transparente gracias a la información que se han
intercambiado el servidor AD y el equipo FortiGate.
Otras funcionalidades relacionadas con la identificación de usuarios son:
●
●
●
●
Acceso basado en SSO usando 802.1x, portal cautivo y FortiClient VPN
Agente SSO para Citrix y Microsoft Terminal Services
RSSO: SSO basado en Radius (Perfiles dinámicos)
Soporte para servidores secundarios/backup de autenticación remota
FORTINET - FAST, SECURE, GLOBAL
Página 23 de 97
●
●
●
●
●
●
●
Pooling FSSO directamente desde el FortiGate
Soporte de perfiles dinámicos para Proxy SSH
Provisión de acceso a usuarios invitados
Importación segura de semillas OTP
Activación y gestión de soft Token (FortiToken Mobile para Android e IOS)
API Json para soporte de Token
Monitorización de servidor Microsoft Exchange para FSSO
2.12. Firewall
Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnología Stateful
Inspection Packet. Esto le permite hacer un análisis exhaustivo de la cabecera de cada
paquete, identificando la sesión a la que pertenece, chequeando el correcto orden de los
paquetes y realizando control sobre el tráfico de la red.
Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. Cada
vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las
direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se
trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden
correcto.
Este análisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicación
Específica FortiASIC, lo que permite a las plataformas FortiGate alcanzar un
rendimiento mayor y un número de nuevas sesiones por segundo superior al de cualquier
solución basada en la utilización de una CPU de propósito general.
Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y
destino.
FORTINET - FAST, SECURE, GLOBAL
Página 24 de 97
Este modo de definición de las políticas permite optimizar el rendimiento y el
procesamiento de cada uno de los flujos, ya que para cada uno de los paquetes es
identificado su origen y su destino y enviado entonces al módulo de routing. Esta
organización permite que el paquete sea tan solo comparado contra las reglas definidas
entre esos interfaces, comenzando por la superior de todas y descendiendo hasta
encontrar aquella con que coincida en función de los diferentes parámetros configurables
para cada política (par origen/destino, usuario, servicio, calendario, etc.). Si no se
encontrara ninguna regla que coincidiera con el paquete analizado, éste sería descartado.
Al tener que comparar contra un grupo menor que el total de las reglas definidas, el
tiempo requerido disminuye, lo que agregado a la utilización de la tecnología FortiASIC
confiere a los equipos FortiGate un rendimiento inigualable como firewall, llegando hasta
1 Terabps en un chasis de la serie 5000.
Si se desea, es posible definir los interfaces de entrada y salida de tráfico como Any para
así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean
sus interfaces de entrada o salida.
Así mismo es posible establecer reglas definiendo más de un interface de entrada y/o
salida:
FORTINET - FAST, SECURE, GLOBAL
Página 25 de 97
2.12.1. Definición de Políticas
Las políticas del firewall se definen en base a los siguientes criterios:
● Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces físicos
del equipo como a interfaces lógicos definidos como VLAN Interface, siguiendo
el estándar 802.1Q para marcado de tramas de cada VLAN. En caso de que se
requieran interfaces agregados (LACP/802.3ad*), es posible que más de un
interfaz físico pueda comportarse como uno único, o pueden establecerse como
Any para que se utilice cualquier interfaz de entrada o salida, así como seleccionar
más de un interface como origen o destino del tráfico. Igualmente si es necesario
implementar Proxy Explícito en el equipo, este también puede ser seleccionado
como interfaz para aplicar los perfiles de protección necesarios. Los interfaces
virtuales para definir VPN IPSEC o SSL, también se podrán seleccionar como
entrada o salida del tráfico. Por último la interfaz virtual wan-load-balance que se
crea cuando habilitamos la funcionalidad de balanceo de líneas, es otra interfaz
que se puede utilizar como destino del tráfico.
* Nota: Consultar la matriz de características de FortiOS 5.4 para identificar los modelos
de FortiGate que soportan esta funcionalidad.
● Programación: A cada política se le puede definir un horario tanto único como
recursivo, que permite acotar la aplicación de la regla a un espacio temporal
FORTINET - FAST, SECURE, GLOBAL
Página 26 de 97
determinado en función de la hora, el día de la semana, mes o año. También es
posible establecer una programación con fecha de caducidad, de modo que la
política se procesará solo hasta la fecha/hora especificada.
● Direcciones o grupos de direcciones IP origen y destino y usuarios o grupos de
usuarios. En concreto en el campo de origen se puede especificar, aparte de IPs o
grupos de IPs, también usuarios y/o grupos de usuarios para proporcionar
autenticación a la regla.
● Tipo de dispositivo de origen. Para poder utilizar esta opción en la regla es
necesario tener habilitada la detección de dispositivos en la interfaz de origen.
● Protocolo, servicio o puertos TCP/UDP
● La política define la acción a tomar con aquellos paquetes que cumplan los
criterios definidos. Entre las acciones a realizar están:
o Permitir la conexión
o Denegar la conexión
● Realizar traducción de direcciones (NAT). Permitiendo realizar una traducción
estática de direcciones, o bien utilizar grupos de direcciones con objeto de
realizar NAT dinámico, y así mismo definir traducciones de puertos (PAT).
● Aplicar reglas de gestión de ancho de banda (Traffic Shaping). Este ancho de
banda puede ser especificado para toda la política, para cada IP, para todas las
políticas del firewall que utilicen un mismo perfil de Traffic Shapping. Es posible
también utilizar Traffic Shaping en un sensor de aplicaciones, de forma que se
establezcan límites de caudal al utilizar una determinada aplicación.
● Analizar el tráfico mediante perfiles adicionales de seguridad, como Antimalware,
AntiSpam, Detección/Prevención de Intrusiones, filtrado Web, DLP,
funcionalidades WAF o Control de Aplicaciones, mediante la definición de un
perfil de protección
● En cada política se puede habilitar el seguimiento de aquellas conexiones que
atraviesan el firewall de acuerdo a la política definida, con objeto de poder hacer
un registro de las conexiones establecidas a través del equipo.
La columna “Contador” que figura en las políticas de seguridad permite conocer el
número de veces que una política ha procesado tráfico, así como la cantidad de tráfico
acumulado que ha permitido o denegado una política (incluida la política implícita final
para denegación de todo el tráfico no permitido en políticas anteriores).
Es posible establecer una política que descifre el tráfico SSL y lo envíe a un dispositivo
externo.
También se puede añadir un nombre a cada política de seguridad, al igual que un
comentario, de forma que permita identificar mejor para que se utiliza cada política. Por
FORTINET - FAST, SECURE, GLOBAL
Página 27 de 97
defecto será necesario establecer el nombre a la política, pero esto se puede modificar
desde el CLI con los siguientes comando:
config system settings
set gui-allow-unamed-policy [enable | disable]
end
Una nueva funcionalidad permite localizar políticas y rutas establecidas en el dispositivo,
de forma que se pueda consultar qué ruta o política coincidirá con un determinado
tráfico que se especifique en la propia consulta, incluyendo:
●
●
●
●
●
●
Interface de origen
Protocolo: IP, TCP, UDP, SCP, ICMP
IP de origen o destino
Puerto origen o destino
Número de protocolo
Etc.
2.12.2. Inspección SSL y SSH
Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder
efectuar inspección dentro de protocolos seguros basados en SSL, como HTTPS,
SMTPS, POP3S, FTPS e IMAPS.
De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma
inspección de contenidos, así como inspección Antimalware, DLP o Control de
aplicaciones. Además existe la posibilidad de definir las excepciones del descifrado dentro
del propio perfil, para evitar descifrar información
FORTINET - FAST, SECURE, GLOBAL
Página 28 de 97
Configuración de inspección SSL y SSH
FORTINET - FAST, SECURE, GLOBAL
Página 29 de 97
Al mismo tiempo es posible inspeccionar el tráfico en un túnel SSH.
Además existe otro método de inspección SSL que no implica la rotura del túnel. Esto
evita los inconvenientes derivados de esta técnica como por ejemplo los avisos de
certificados inválidos en los navegadores, problemas con HSTS, etc…
Este método es SSL Certificate inspection. Únicamente inspecciona el certificado para
comprobar que es válido y que ha sido emitido por una entidad certificadora para el sitio
web correspondiente. Se configura marcando la opción “SSL Certificate inspection”
dentro del perfil de inspección SSL:
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL
FORTINET - FAST, SECURE, GLOBAL
Página 30 de 97
Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera
que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las
peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores
habilitados para ese efecto. La distribución del balanceo de carga puede ser configurada a
nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en
la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores
que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o HTTP
de manera que ante el fallo de un servidor, el servicio continúa activo en el resto de
equipos, dotando a la plataforma de alta disponibilidad.
De la misma forma, es posible configurar la IP virtual para que haga multiplexación del
tráfico HTTP, de manera que varias conexiones externas se traducen en una única
conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al
servir las peticiones entrantes.
FORTINET - FAST, SECURE, GLOBAL
Página 31 de 97
Con la misma filosofía, los equipos FortiGate pueden realizar la labor de aceleradores
SSL para conexiones HTTPS. La conexión HTTPS es terminada en el equipo FortiGate
y este realiza la petición sin cifrar (o cifrada) al servidor correspondiente. De esta manera
se elimina la necesidad de cifrar la sesión en el propio servidor, con lo que los recursos de
este son optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y
descifrado del túnel SSL en manos del FortiGate.
Es también posible además mantener la persistencia de una sesión si es necesario (tanto
en HTTP como en HTTPS).
FORTINET - FAST, SECURE, GLOBAL
Página 32 de 97
2.12.4. Calidad de Servicio (QoS)
Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio
prioritario sobre el tráfico más sensible al retardo. Los equipos FortiGate permiten
aplicar técnicas de priorización de tráfico y Calidad de Servicio (QoS), reservar ancho de
banda para aquellas aplicaciones que sean más sensibles al retardo, o bien limitar el ancho
de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red.
La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico
generado por la transmisión de voz y las aplicaciones multimedia. Estos tipos de tráfico
son enormemente sensibles al retardo y a la variación del mismo (jitter). Una adecuada
gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin
recurrir a una ampliación innecesaria del ancho de banda de la red, reservando el ancho
de banda necesario y priorizando este tipo de tráfico ante otros menos sensibles al
retardo como pueda ser el correo o el tráfico ftp.
Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados,
incluyendo H.323, SIP, TCP, UDP, ICMP o ESP.
La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo:
La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten
regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los
paquetes. Lo que se consigue de este modo es evitar que los paquetes sean descartados,
haciendo que se almacenen en el buffer hasta su transmisión, retrasando su envío hasta
que sea posible. Los equipos FortiGate usan la técnica Token Bucket para garantizar y
limitar el ancho de banda.
La bufferización se realiza en función de la prioridad asignada a cada flujo, pudiendo
variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el
envío de todos los paquetes almacenados, se transmiten en primer lugar los de prioridad
alta.
La tecnología DiffServ permite modificar los parámetros DSCP, siguiendo las normas
RFC 2474 y 2475. Así, aquellos componentes de la red compatibles con DiffServ, son
capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las
cabeceras de los paquetes y clasificando, marcando, y gestionando el tráfico en base a esta
información.
Calidad de Servicio Basada en Políticas
Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una
de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez
que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los
parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de
tráfico.
FORTINET - FAST, SECURE, GLOBAL
Página 33 de 97
Configuración de parámetros QOS
Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas
Los parámetros de configuración del ancho de banda nos permiten definir un ancho de
banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho
de banda definido no puede superar el ancho de banda total disponible, pero puede ser
empleado para mejorar la calidad del uso de este ancho de banda por aquellas
aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles
al retardo.
Gestión del Ancho de Banda (Traffic Shaping) por dirección IP
Así mismo, también es posible establecer traffic shaping por IP, de forma que sea
aplicado por cada dirección IP, en lugar de por política.
Soporte DiffServ en GUI
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de
modificar los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los
que se aplica una política en particular. Hasta la versión 5.4.0 la única forma de
configurar DSCP era por CLI. Ahora es posible configurarlo también en GUI.
FORTINET - FAST, SECURE, GLOBAL
Página 34 de 97
Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces
Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de
banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una
interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz
determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta
técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN.
Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI):
(internal) # set inbandwidth
bandwidth-limit <integer> in KB/s (0-2097000; 0 for unlimited)
2.12.5. Soporte VoIP
Los equipos FortiGate incorporan soporte para los protocolos más demandados de VoIP
(H323, SIP, SCCP) aplicando sobre estos los mayores controles de seguridad y reporting
a través de los perfiles de protección. Entre las funcionalidades soportadas cabe destacar.
●
●
●
●
●
●
Application layer gateway para SIP basado en SCTP y TCP
Compresión/descompresión de cabeceras SIP
Mantenimiento de la información IP original incluso cuando está presente NAT
Conversión entre SIP basado en TCP y SIP basado en SCTP y viceversa
Limitación del número de mensajes SIP
Log de comienzo y fin de llamadas
2.13. Redes Privadas Virtuales (VPN)
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas
en protocolos IPSec y SSL, además de PPTP, L2TP over IPSEC (Microsoft VPN) y
GRE over IPSEC (Cisco VPN). De esta forma, oficinas pequeñas, medias, corporaciones
e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la
confidencialidad e integridad de los datos trasmitidos por Internet.
FORTINET - FAST, SECURE, GLOBAL
Página 35 de 97
La funcionalidad VPN está integrada en la propia plataforma FortiGate sin necesidad de
licencia, así como también se puede utilizar mediante la instalación de la suite de
aplicaciones Forticlient Endpoint Security, que permite el establecimiento de VPNs
desde un equipo cliente. También es posible integrarlo a través de software VPN de
terceros (solo para IPSEC). El tráfico VPN puede ser analizado por el módulo de
Firewall así como por múltiples funcionalidades UTM que ofrece FortiGate: antimalware,
IPS, web filtering, antispam, etc.
Además, los equipos FortiGate soportan VPNs con IPv6, con o sin certificados, ya sean
site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o IPv6 sobre IPv4.
2.13.1. Internet Protocol Security (IPSec)
IPSec establece un marco de trabajo para el intercambio seguro de paquetes a nivel de la
capa 3 OSI, o capa IP. Las unidades FortiGate implementan el protocolo Encapsulated
Security Payload (ESP) en modo túnel. Los paquetes cifrados aparecen como paquetes
ordinarios que pueden ser enrutados a través de cualquier red IP.
Para el establecimiento de redes privadas virtuales basadas en IPSec, FortiGate cumple el
estándar IPSec y soporta:
●
●
●
●
●
●
●
Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256
Algoritmos de hashing o digest: MD5, SHA1, SHA256, SHA384, SHA512
NAT Transversal
DH Group 1, 2, 5 y 14
DPD (Dead Peer Detección, detección de caída del nodo remoto)
Replay Detection (Detección de ataques de respuesta)
PFS (Perfect Forward Secrecy, obliga a generar nuevas claves independientes de
las anteriores, lo cual aumenta la seguridad)
● Autenticación basada en pre-shared key con usuarios definidos en una base de
datos local o en un servidor externo (LDAP, RADIUS, Directorio Activo),
certificados X.509, autenticación extendida XAuth
● Interoperabilidad con otros fabricantes IPSec Compliant (Cisco, Checkpoint, etc.)
● Alta disponibilidad de enlaces VPN desde un único equipo
La utilización de IPSec para realizar VPN es habitual en diversas tipologías de red. Los
equipos FortiGate soportan las siguientes topologías de red:
Gateway-to-Gateway.
Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. Todo el tráfico
entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de
protección de FortiGate.
FORTINET - FAST, SECURE, GLOBAL
Página 36 de 97
Fully Meshed Network
Todos los equipos que forman la red corporativa están conectados con el resto,
configurando una malla. Esta topología presenta la ventaja de su alta tolerancia a fallos (si
un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad
de escalado y gestión.
Partially Meshed Network
Se establecen túneles entre aquellos nodos que regularmente mantienen comunicación.
Hub and Spoke
Configuración en la que existe un equipo central con el que los equipos remotos
establecen los túneles VPN, sin existir comunicación directa entre los equipos remotos.
FORTINET - FAST, SECURE, GLOBAL
Página 37 de 97
Un caso particular de Hub and spoke es aquel en el que los equipos remotos puedan
requerir comunicación entre sí en algún momento particular. Para solucionar esta
situación, existe la funcionalidad ADVPN (Auto Discovery VPN), la cual permite
establecer túneles de forma dinámica entre los equipos remotos sin necesidad de
configurar manualmente todos los enlaces.
Además de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser
configurados para actuar como servidores de acceso remoto (Dialup Server). Para el
acceso remoto mediante IPSec, Fortinet proporciona un cliente IPSec Software para
plataformas MS Windows, Mac OSX y Android: FortiClient.
Aparte de ser un cliente VPN IPSec (Windows, Mac OSX & Android) y VPN SSL
(Windows, Mac OSX, IOS & Android), FortiClient incorpora capacidad de detección de
intrusión (Windows & Mac), filtrado web (Windows, Mac & IOS), antimalware
(Windows & Mac), control de aplicaciones (Windows & Mac), doble factor de
autenticación (Windows, Mac & Android), escaneo de vulnerabilidades (Windows &
Mac) y optimización wan (Windows).
Además, FortiClient se puede registrar en FortiGate como parte de la funcionalidad de
Endpoint Control. Esta funcionalidad permite gestionar y controlar la seguridad de
aquellos usuarios que tengan instalado el FortiClient en sus dispositivos y se hayan
FORTINET - FAST, SECURE, GLOBAL
Página 38 de 97
registrado contra un FortiGate para así poder establecer una gestión centralizada de estos
equipos, centralizar los logs contra un FortiAnalyzer, centralizar la gestión, provisionarlos
con la configuración deseada por el administrador, forzarles a usar una cierta política de
seguridad (ya sea online u offline, o sea, en una red accesible por el controlador
FortiGate o fuera de ella), gestionar su acceso a la red a través del Directorio Activo
(FSSO), personalizarles la interfaz gráfica GUI…etc.
Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta
funcionalidad los equipos dotados de IP dinámica pueden ser asignados a un nombre
DNS. Cada vez que se conecte a Internet, el ISP le asignará una IP diferente y los demás
equipos de la VPN le localizarán mediante la resolución de su nombre DNS.
2.13.2. Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes
PPTP Windows o Linux. PPTP utiliza protocolos de autenticación PPP; de este modo
clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo
FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como
alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP
a un servidor PPTP en la red. Para la autenticación de los clientes, FortiGate soporta
PAP, CHAP y autenticación de texto plano. Los clientes PPTP son autenticados como
miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de
seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su
integridad no está protegida. Además, los paquetes encapsulados PPP no son
criptográficamente protegidos y pueden ser leídos o modificados.
(Configurable desde línea de comandos o CLI de Fortigate).
FORTINET - FAST, SECURE, GLOBAL
Página 39 de 97
2.13.3. L2TP over IPSEC (Microsoft VPN)
El protocolo L2TP sobre IPSEC permite el establecimiento de túneles VPN entre
equipos Microsoft Windows y Mac OS (a partir de la versión 10.3) mediante la utilización
de un software propietario de conexión de red embebido en estos sistemas operativos.
El protocolo L2TP no proporciona cifrado o confidencialidad por sí mismo, para lo cual
se apoya en el protocolo IPSEC, a través del cual securiza la comunicación. Esta
securización comienza con la autenticación de los extremos mediante el establecimiento
de una SA negociada entre los dos extremos, sobre el protocolo IKE, ya sea con
pre-shared keys o usando certificados. A continuación establece el canal seguro mediante
ESP en modo de transporte. Finalmente se utiliza este canal seguro para establecer el
túnel L2TP entre los dos extremos, encapsulando esta comunicación sobre el canal IPSec
cifrado.
(Configurable desde línea de comandos o CLI de Fortigate).
2.13.4. GRE over IPSEC (Cisco VPN)
Este método permite habilitar las conexiones VPN desde dispositivos Cisco que
soportan GRE (Generic Routing Encapsulation), ya sea sobre IPSec en modo túnel o en
modo transporte. De nuevo el protocolo IPSec se utiliza para cifrar los datos que se
intercambian dentro de un túnel GRE, proporcionando además de cifrado la
autenticación de ambos extremos de la comunicación.
FORTINET - FAST, SECURE, GLOBAL
Página 40 de 97
Esto se logra estableciendo un túnel GRE sobre una VPN IPSec y permitiendo el tráfico
bidireccional entre ambos túneles. De esta manera se puede enviar el tráfico hacia la red
remota de manera segura sobre el túnel GRE over IPSec. (Configurable desde línea de
comandos o CLI de Fortigate).
2.13.5. Wizard
Gracias al Wizard es posible configurar las VPNs IPSec de forma más rápida y sencilla.
El propio wizard crea las interfaces virtuales, rutas, políticas, fase 1 y fase 2 necesarias
para que funcione la VPN.
Dado que pueden existir multiples variantes en una VPN IPSec, las más importantes se
han recogido en el menú del Wizard. Las opciones contempladas son: Site to site o
acceso remoto, si es site to site, el dispositivo remoto puede ser FortiGate o Cisco. Si es
acceso remoto, se puede utilizar un cliente pesado FortiClient o clientes nativos de
Android o iOS:
2.13.6. VPN SSL
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que,
garantizando en todo momento la confidencialidad e integridad de la información,
constituye un sistema con una implantación, administración y mantenimiento
simplificado. Dado que las VPN SSL usan cifrado SSL, no es necesaria la instalación de
FORTINET - FAST, SECURE, GLOBAL
Página 41 de 97
ningún software específico en los ordenadores remotos, sino que resulta accesible desde
cualquier navegador, lo que supone un gran avance frente a las tradicionales VPN
basadas en IPSec, en lo que a sistemas de acceso de usuario se refiere. De este modo, se
ofrece un método de acceso a los sistemas de información de cualquier organización que
no requiere de la implantación de ninguna aplicación específica en los ordenadores
remotos con lo que se permite un acceso controlado a los recursos, con total garantía de
seguridad.
Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor
de túneles SSL, con una configuración sencilla que permite la autenticación de usuarios
mediante sistemas de autenticación robusta y la personalización del servicio de acceso
remoto.
Adicionalmente se cuentan con características habituales en este tipo de solución, como
posibilidad de establecer conexiones mediante clientes pesados (descargando un ActiveX)
o personalizar al completo el portal de acceso SSL que se les presenta a los usuarios, los
cuales pueden ser locales o remotos. Además, permite la descarga directa del FortiClient
para equipos Windows, MacOSX, iOS y Android, de manera que pueda ser utilizado
tanto para lanzar las conexiones de manera securizada.
Las VPN SSL en FortiGate se pueden realizar en dos modos: Web-only mode y Tunnel
mode.
Las características específicas son las siguientes:
Web-only mode
Para clientes “ligeros” que sólo cuentan con el navegador para conectarse, y
Protocolos soportados en modo Web-only: HTTP/HTTPS, FTP, RDP, SMB/CIFS, VNC,
SSH, TELNET, CITRIX, RDP NATIVE, PING y Port Forward.
FORTINET - FAST, SECURE, GLOBAL
Página 42 de 97
Tunnel mode
Para aquellos usuarios que necesiten conectarse con el navegador y utilizar una serie de
aplicaciones adicionales (“cliente pesado”).
2.14. AntiMalware
FORTINET - FAST, SECURE, GLOBAL
Página 43 de 97
FortiGate incorpora un sistema antimalware de alto rendimiento gracias a su optimizada
arquitectura y configuración. Los componentes principales del sistema antimalware de
FortiGate son:
● La arquitectura hardware basada en FortiASIC
● Su optimizado sistema operativo FortiOS
● La infraestructura, los laboratorios y centros de desarrollo distribuidos a lo largo
de todo el mundo mediante la red FortiGuard.
Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisión,
el archivo es eliminado o guardado en cuarentena, y es sustituido por un mensaje de
alerta configurable por el administrador. Además, el equipo FortiGate guarda un registro
del ataque detectado, y puede configurarse el envío de un correo de alerta o un trap
SNMP.
Para una protección extra, el motor antimalware es capaz de bloquear ficheros de un tipo
específico (.bat, .exe, etc) que potencialmente sean contenedores de virus, bloquear
aquellos archivos adjuntos de correo electrónico que sean de un tamaño superior al límite
de filtrado o bien bloquear ficheros con un determinado patrón en el nombre. Además es
capaz de proteger contra Grayware y aplicar protección heurística.
El filtrado antimalware de FortiGate protege la navegación web (protocolo HTTP), la
transferencia de archivos (protocolo FTP), los contenidos transmitidos por correo
electrónico (protocolos IMAP, POP3, SMTP y MAPI), la mensajería instantánea o IM
(ICQ, Yahoo y MSN Messenger) e incluso los contenidos de noticias por NNTP, siendo
posible escanear estos protocolos en puertos diferentes a los habitualmente empleados, e
incluso en múltiples puertos. Adicionalmente, mediante el escaneo de protocolos seguros,
se puede chequear si las conexiones cifradas están libres de virus en protocolos de correo
seguro como SMTPS, IMAPS, POP3S, y de navegación y transferencia, como HTTPS y
FTPS. Esto también es posible en modo “Flow”.
Los equipos FortiGate analizan también las cabeceras MIME de los correos con objeto
de encontrar posibles virus transmitidos como ficheros adjuntos con este formato.
Tanto en ficheros adjuntos de correo en FTP, FTPS, IM Y NNTP, el motor de
antimalware es capaz de deshacer hasta 100 niveles de anidamiento en ficheros
comprimidos de forma recurrente.
El servicio de protección antimalware provisto por FortiGate es totalmente transparente
a los usuarios. El denominado “FortiGate Content Screening” permite que clientes y
aplicaciones no requieran ninguna modificación especial en su configuración, sin
necesidad de definir proxies en los clientes, etc. Este modo es conocido tradicionalmente
como modo “Proxy”.
En modo “Proxy” es posible escoger la base de datos de firmas de virus a chequear
dependiendo del modelo de Fortigate. Las disponibles son:
FORTINET - FAST, SECURE, GLOBAL
Página 44 de 97
● Normal: contiene las firmas de los virus más habituales que actúan en la
actualidad.
● Extended: suma a la base de datos normal aquellos virus recientes, del último año,
que tienen actualmente poca o ninguna actividad.
● Extreme: añade a la base de datos extended una amplia colección de virus antiguos
y con escasa o nula actividad durante los últimos años, los cuales pueden
comprometer hardware o sistemas operativos antiguos o no usados en la
actualidad.
* Nota: La base de datos de virus se selecciona por CLI.
Como mecanismo adicional, es posible seleccionar el motor “flow-based”, el cual ofrece
un rendimiento mucho mayor al utilizar una tecnología de inspección que va analizando
el tráfico a medida que va pasando (también conocido como “streaming”) sin necesidad
de usar un buffer en el que guardar los sucesivos paquetes que analiza, tal como hace el
modo “Proxy”. Para ello, el modo “Flow” utiliza el motor IPS para realizar este análisis.
Las ventajas del uso de este motor son las siguientes:
●
●
●
●
●
●
Uso reducido de memoria
Mayor volumen de sesiones concurrentes
Mayor número de inicios de sesión por unidad de tiempo
Menor latencia
No se ve afectado por la longitud del fichero
A diferencia de algunos motores de la competencia, en modo flow existe
también la posibilidad de efectuar análisis en ficheros comprimidos
A estas ventajas, el modo “Flow” también añade la posibilidad de realizar inspección de
sesiones SSL, siendo completamente compatible con IPv6.
El motor
●
●
●
●
●
antimalware realiza los siguientes servicios:
Protección de virus
Servicio de bloqueo de ficheros
Servicio de cuarentena sobre correo electrónico
Proteccion contra Botnets y Phishing
FortiGuard Analitics (Sandbox en la nube, Análisis de amenazas Zero Day y
Submission).
FORTINET - FAST, SECURE, GLOBAL
Página 45 de 97
Para la detección de virus las plataformas FortiGate utilizan diferentes mecanismos. El
motor de escaneo de virus de FortiGate está diseñado para soportar una combinación de
estrategias para detectar virus en archivos, como son escaneo de firmas o patrones y el
análisis heurístico y de simulación heurística (dynamic heuristic scanning).
El escaneo de firmas es el método que mayor número de virus detecta, y que, gracias a la
aceleración mediante FortiASIC, realiza una utilización menos intensiva del equipo y
obtiene mejor rendimiento. El método de análisis heurístico requiere progresivamente
más capacidad de procesador con la simulación de ejecución. El hardware dedicado de
alto rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice
en tiempo real para los usuarios.
Para reducir la demanda de procesos, el escaneo de virus siempre comienza con la
estrategia de antimalware que menos recursos demanda antes de iniciar procesos de
detección más pesados. Tan pronto como un virus es detectado, el análisis se detiene.
Trabajando juntas, las estrategias de escaneo de virus proveen la mejor protección
disponible.
2.14.1. Escaneo de Firmas (Signature Scaning)
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para
identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el
archivo se considera infectado. Los sistemas antimalware basados en análisis de firmas
constituyen el método más efectivo y más utilizado en la detección de virus.
El análisis incluye también el escaneo de las macros existentes en los archivos Microsoft
Office en busca de cadenas conocidas de virus macro. Los macros son también
analizados en búsqueda de comportamientos anómalos tales como importar y exportar
código, escribir en el registro o intentos de deshabilitar características de seguridad
Para realizar este análisis de firmas existen dos elementos claves:
● Una base de datos que contiene las firmas de virus conocidos
● Un motor de escaneo que compara los archivos analizados con las firmas en
la base de datos para detectar una concordancia indicando la presencia de un
virus.
El rendimiento es la clave para la detención eficiente de virus que cada vez son más y
más complejos. La aceleración del reensamblado de los paquetes y la comparación con
las firmas mediante FortiASIC es un componente clave que permite a FortiGate la
realización de este análisis en tiempo real sin introducir retardo sobre el normal
funcionamiento de la red y las aplicaciones.
A todo lo anterior hay que añadir la posibilidad de hacer offloading de la configuración
del Antimalware enviando las peticiones de proceso a un servidor ICAP previamente
configurado, el cual se encargaría de dirimir de manera externa la existencia de virus,
FORTINET - FAST, SECURE, GLOBAL
Página 46 de 97
enviando la respuesta al FortiGate para que este ejecute la acción que tenga configurada
en cada caso.
2.14.2. Escaneo Heurístico
Los creadores de virus llevan a cabo una serie de pasos para complicar más la detección
de los mismos. Ejemplos como el cifrado de la pila de código del virus o los llamados
virus polimórficos, los cuales se modifican ellos mismos sin levantar sospechas en cada
replicación, complican cada vez más la detección de los virus y hace ineficaz en algunos
casos la creación de firmas de reconocimiento del virus.
Con el fin de detectar estos virus, se realizan los denominados análisis “heurísticos” que
buscan “comportamientos anómalos conocidos”, mediante la identificación de
secuencias de operaciones que constituyen comportamientos propios de estos tipos de
virus. Mediante el análisis heurístico de los contenidos se llevan a cabo un número de
cada una, de las cuales dan como resultado una clasificación apropiada. Las
clasificaciones de estas pruebas son combinadas para una clasificación total. Si esta
clasificación se sitúa sobre un cierto umbral, el módulo heurístico devuelve un resultado
de virus encontrados.
2.14.3. Escaneo basado en CPRL
Compact Pattern Recognition Language (CPRL) es un lenguaje de programación
propietario y patentado enfocado a la protección contra amenazas de tipo Zero Day, es
decir, no basado en firmas sino en comportamiento. Con unas pocas descripciones de
comportamientos maliciosos, el motor antimalware es capaz de detectar múltiples tipos y
variantes de amenazas y se optimiza de este modo la utilización de recursos del equipo y
la latencia introducida.
El uso de CPRL es más eficaz en uso de recursos que la heurística y produce menos
falsos positivos. Además, combinado con el método de detección de virus en modo flow,
la eficiencia se multiplica en la detección de amenazas de tipo Zero Day en archivos de
gran tamaño o con técnicas de evasión.
2.14.4. Advanced Threat Protection (ATP)
La nueva protección contra amenazas avanzadas persistentes (APT) o Advanced Threat
Protection (ATP), incluye la protección contra Botnets, Phising y amenazas de Zero Day
usando la tecnología de Sandboxing.
Esta tecnología se puede utilizar de dos maneras diferentes:
- Sandbox en la nube con FortiCloud
- SandBox on-premise con FortiSandbox que puede ser tanto maquina física como
virtual.
El primer paso es asociar el FortiGate con la solución de sandboxing elegida. Si la
solución es cloud, se configura el nombre de usuario y contraseña de la cuenta de
FortiCloud:
FORTINET - FAST, SECURE, GLOBAL
Página 47 de 97
En caso de utilizar FortiCloud, la configuración se realiza desde System -> External
Security Devices:
Con FortiSandbox, además de poder detectar amenazas de tipo Zero Day (desconocidas
para los antimalware), se pueden desplegar en tiempo real firmas para dichas amenazas.
Estas firmas se despliegan de dos formas, dependiendo de la naturaleza de la amenaza.
Para las amenazas localizadas en internet, como por ejemplo exploits del navegador, se
despliega un componente llamado “URL Package”, que incluye la URL que contiene la
amenaza.
Si la amenaza es un archivo con un comportamiento malicioso, se despliega un “Malware
Package” que contiene una firma para dicho archivo.
Estas firmas se envían a todos los dispositivos autorizados en el FortiSandbox o
vinculados a la cuenta de FortiCloud y se aplican si se ha marcado la opción
correspondiente en el perfil de Antimalware.
FORTINET - FAST, SECURE, GLOBAL
Página 48 de 97
Las estadísticas de uso de FortiSandbox se pueden ver desde FortiView:
2.14.5. Actualización de la Base de Firmas y Motor de Escaneo
Las actualizaciones del antimalware contienen la base del conocimiento de virus y el
motor de escaneo, los cuales son continuamente actualizados por Fortinet y distribuidos
mediante la red FortiGuard tan pronto como nuevos virus y gusanos son encontrados y
difundidos.
Actualización de las definiciones de virus y motor de escaneo
Actualizaciones automáticas
Los equipos FortiGate son dinámicamente actualizados gracias la red FortiGuard
Distribution Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo
de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para
los dispositivos FortiGate. Todos los equipos FortiGate están programados con una lista
FORTINET - FAST, SECURE, GLOBAL
Página 49 de 97
de servidores FDN más cercanos de acuerdo a la zona horaria configurada en el equipo.
Asimismo, las plataformas de gestión FortiManager pueden actuar como un nodo de la
red FDN para los equipos que gestiona. Los dispositivos FortiGate soportan dos modos
de actualización:
Pull updates. Los equipos pueden comprobar automáticamente si existen en la red FDN
nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e
instalarlas automáticamente, así como los motores de antimalware actualizados. Estas
comprobaciones pueden ser programadas para su realización en periodos horarios,
diarios o semanales.
Push updates. Cada vez que un nuevo motor de antimalware o definiciones son
publicadas, los servidores que forman parte de la red FDN notifican a todos los equipos
FortiGate configurados para push updates que una nueva actualización está disponible.
En 60 segundos desde la recepción de una notificación push, el equipo FortiGate se
descargará la actualización desde la FDN.
Actualizaciones Manuales
Aparte de los métodos de actualizaciones expuestos anteriormente, los equipos
FortiGate poseen la opción de realizar actualizaciones manuales. El administrador del
equipo FortiGate puede iniciar la actualización manual simplemente seleccionando la
opción “Update now” desde la consola de gestión del equipo FortiGate.
2.14.6. Activación del Servicio mediante Perfiles de Protección
Los servicios de protección Antimalware son habilitados mediante los perfiles de
protección aplicados posteriormente en las diferentes políticas del firewall.
Dentro del perfil, por ejemplo, será posible configurar opciones de cuarentena NAC
integradas, de forma que se haga cuarentena durante un ataque de virus, al atacante o al
objetivo, por un tiempo concreto o ilimitado.
FORTINET - FAST, SECURE, GLOBAL
Página 50 de 97
Configuración Servicio Antimalware en el Perfil de Protección
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de
tráfico. Esta configuración basada en políticas provee un control granular de los servicios
de protección y de la utilización de los recursos de FortiGate.
2.14.7. Mensajes de Reemplazo en Ficheros Infectados
Los mensajes de reemplazo son incluidos por el filtro antimalware en los lugares
ocupados por ficheros o contenidos eliminados de mensajes de correo, transmisiones
http o ftp.
Estos mensajes de reemplazo que reciben los usuarios en sustitución de los ficheros o
contenidos infectados son totalmente configurables por el administrador del sistema.
FORTINET - FAST, SECURE, GLOBAL
Página 51 de 97
Configuración de los Mensajes de Reemplazo
2.15. Detección y Prevención de Intrusión (IDS/IPS)
El Sistema de Detección y Protección de Intrusión de FortiGate constituye un sensor de
red en tiempo real que utiliza definiciones de firmas de ataques y detección de
comportamientos anómalos para detectar y prevenir tráfico sospechoso y ataques de red.
El motor IDS provee seguridad hasta la capa de aplicación, sin mermar por ello el
rendimiento de la red. La capacidad de IDS de los equipos FortiGate se basa en el
módulo de routing, el módulo de firewall y la capa de aplicación. De esta forma el
sistema de detección de intrusiones no se limita únicamente a la detección de ataques de
nivel de red ni tampoco al análisis individual de cada paquete. FortiGate reensambla el
contenido de los paquetes en línea y los procesa para identificar ataques hasta el nivel de
aplicación.
FORTINET - FAST, SECURE, GLOBAL
Página 52 de 97
Cada sensor (Red, IP, Transporte, Aplicación) es un programa que genera un tráfico
ínfimo. El sensor utiliza el hardware FortiASIC para acelerar la inspección del tráfico y
chequear patrones de tráfico que concuerden con las firmas y anomalías especificadas. La
arquitectura hardware asistida de detección de intrusión provee a los equipos FortiGate
de rendimientos excepcionales únicos en el mercado.
La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques:
●
●
●
●
●
Ataques de Denegación de Servicio (DoS)
Ataques de Reconocimiento
Exploits
Ataques de Evasión de Sondas IDS
Botnets
Ataques de denegación de servicio (DoS Attacks):
Intentan denegar el acceso a servicios u ordenadores mediante la sobrecarga del enlace
de red, de la CPU u ocupación de discos duros. El atacante no intenta conseguir
información, sino interferir los accesos a los recursos de red. El IPS FortiGate detecta los
siguientes ataques de DoS comunes:
Inundación de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP
flood
Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop,
land, y WinNuke
Ataques de Reconocimiento:
Son aquellos ataques a través de los cuales el atacante intenta conseguir información
sobre un determinado sistema con objeto de preparar un posterior ataque basado en
vulnerabilidades específicas.
FortiGate IPS detecta los siguientes ataques comunes de reconocimiento:
FORTINET - FAST, SECURE, GLOBAL
Página 53 de 97
●
●
●
●
●
●
Fingerprinting
Ping sweeps
Port scans (tanto TCP como UDP)
Buffer overflows, incluyendo SMTP, FTP y POP3
Account scans
OS identification (Identificación del Sistema Operativo)
Exploits:
Intentos de aprovechar vulnerabilidades o bugs conocidos de aplicaciones o sistemas
operativos con el objeto de ganar acceso no autorizado a equipos o redes completas.
El IPS de la plataforma FortiGate detecta múltiples exploits, como por ejemplo:
● Brute Force attack
● CGI Scripts, incluyendo Phf, EWS, info2www, TextCounter, GuestBook,
Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish,
AnyForm, y FormMail
● Web Server attacks
● Web Browser attacks; URL, HTTP, HTML, JavaScript, Frames, Java, y ActiveX
● SMTP (SendMail) attack
● IMAP/POP attack
● Buffer overflow
● DNS attacks, incluyendo BIND y Cache
● IP spoofing
● Trojan Horse attacks, incluyendo BackOrifice 2K, IniKiller, Netbus, NetSpy,
Priority, Ripper, Striker, y SubSeven
● Etc.
Ataques de Evasión de NIDS:
Consisten en técnicas para evadir sistemas de detección de intrusiones. El IPS de la
plataforma FortiGate detecta las siguientes técnicas de evasión de NIDS:
●
●
●
●
●
Signature spoofing
Signature encoding
IP fragmentation
TCP/UDP disassembly
Obfuscation
BotNets:
FORTINET - FAST, SECURE, GLOBAL
Página 54 de 97
Hacen referencia a un grupo de equipos informáticos o bots los cuales se ejecutan de una
manera remota y autónoma. Dichos bots pueden ejecutarse y controlarse de manera
remota para controlar todos los ordenadores/servidores de manera remota. En
numerosas ocasiones estos bots son usados para realizar ataques de DDoS o usados para
enviar spam
2.15.1. Métodos de Detección
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las
tareas de detección y prevención de intrusión son dos: detección de firmas y seguimiento
de comportamientos anómalos.
Detección de Firmas
Las firmas de ataques se encuentran en el núcleo del módulo de detección de intrusiones
FortiGate (más de 7500 firmas soportadas). Las firmas son los patrones de tráfico que
indican que un sistema puede estar bajo un ataque. Funcionalmente, las firmas son
similares a las definiciones de virus, con cada firma diseñada para detectar un tipo de
ataque particular. Tanto las firmas predefinidas como el motor IPS, son actualizables a
través de FortiGuard Distribution Network (FDN), de un modo similar al que se
actualizan las definiciones de antimalware.
Algunas Firmas de Ataques detectados mediante IDS
Cada una de las firmas puede ser habilitada para su detección de modo independiente.
FORTINET - FAST, SECURE, GLOBAL
Página 55 de 97
Además existe la posibilidad de definir firmas de ataques personalizadas que pueden ser
añadidas para detectar ataques no incluidos en el fichero de definiciones de ataques.
Detección de Anomalías de Tráfico
Los equipos FortiGate analizan las secuencias de paquetes y el establecimiento de
sesiones de acuerdo a los patrones de tráfico definidos en los diferentes protocolos
estándar. Para aplicarlo nos crearemos una política de DoS
Anomalías de Tráfico
FortiGate IPS identifica a su vez anomalías estadísticas de tráfico TCP, UDP e ICMP,
como son:
● Flooding – Si el número de sesiones apunta a un solo destino en un segundo está
sobre el umbral, el destino está experimentando flooding o inundación.
● Scan – Si el número de sesiones desde un origen único en un segundo está sobre
el umbral, el origen está siendo escaneado.
● Source – Si el número de sesiones concurrentes desde un único destino está
sobre los umbrales, el límite de sesiones por origen está siendo alcanzado.
● Destination session limit – Si el número de sesiones concurrentes a un único
destino está sobre el umbral, el límite de sesiones por destino está siendo
alcanzado.
Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar
situaciones excepcionales, como la existencia de un proxy en la red, etc.
2.15.2. Prevención de Intrusiones en Tiempo Real
FORTINET - FAST, SECURE, GLOBAL
Página 56 de 97
Cuando los ataques son detectados, el sistema toma las acciones necesarias para prevenir
daños. Cualquier ataque detectado puede ser bloqueado, ya sean ataques basados en
firmas, ataques basados en anomalías, o ataques personalizados.
Debido a que el módulo IDS está completamente integrado con el motor de firewall, los
equipos FortiGate proveen detección y prevención de intrusiones en tiempo real. El
módulo IDS posee un enlace específico en el módulo de firewall que permite que una
vez el sensor identifica un ataque, el modulo firewall rápidamente toma acción para
bloquear el tráfico impidiendo que el ataque tenga éxito. Los equipos FortiGate
permiten definir diferentes acciones a realizar en función del ataque detectado:
Pass: FortiGate permite que el paquete que activó (triggered) la firma pase a través del
firewall.
Drop: El equipo FortiGate descarta el paquete que activó la firma.
2.15.3. Activación del Servicio mediante Sensores
La activación de la funcionalidad de Detección y Prevención de Intrusiones se realiza
mediante la configuración de sensores, tanto de firmas como de anomalías, que son
aplicados posteriormente en las diferentes políticas del firewall.
Cada una de las firmas de ataques tiene asociada una severidad, un objetivo (target) y un
tipo de sistema operativo para el que es específica. Además, cada firma va asociada a un
protocolo o aplicación determinados. Para cada una de las firmas y anomalías existentes
es posible establecer un nivel de severidad (crítico, alto, medio, bajo o información), que
posteriormente pueden ser aplicados de forma independiente en el sensor. De este
modo, las firmas y anomalías habilitadas en cada sensor pueden variar dependiendo de
los flujos de tráfico. Esta configuración provee un control granular de los servicios de
protección y de la utilización de los recursos de FortiGate.
FORTINET - FAST, SECURE, GLOBAL
Página 57 de 97
Dentro de la configuración del mismo sensor, es posible marcar opciones de cuarentena
NAC integradas, de forma que se puede incluir en cuarentena durante un ataque, al
atacante y al atacado e incluso bloquear el interfaz por donde llega el ataque por un
tiempo concreto o ilimitado.
Los sensores definidos, son posteriormente aplicados a las reglas de firewall, de manera
que cada regla puede tener configurado un sensor específico para aquellos protocolos o
aplicaciones que son permitidas en su flujo de tráfico.
Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo
En las actualizaciones del servicio IPS/IDS se actualiza la base de datos de ataques y
anomalías reconocidas y el motor de escaneo, los cuales son continuamente renovados
por Fortinet y distribuidos mediante la red FDS tan pronto como nuevas formas de
ataque son encontradas y difundidas.
FORTINET - FAST, SECURE, GLOBAL
Página 58 de 97
Actualización de las definiciones de ataques y motor de escaneo
Es posible habilitar Extended IPS Signature Package y mejorar la eficacia del IPS
enviando muestras de ataques a FortiGuard.
Otras características
Es posible aplicar políticas DoS por sensor desplegado, de esta forma se tienen las
siguientes funcionalidades:
● Protección más robusta contra ataques DoS. Al aplicar los sensores a nivel de
interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de
que haga “match” en el firewall.
● Posibilidad de filtrar todo tipo de tráfico antes de que llegue al firewall aunque
este esté configurado con una regla “drop”.
Posibilidad de desplegar sensores en modo one-arm o como IDS tradicional habilitando
un puerto de escucha o análisis conectado a un puerto de mirror o SPAN en un switch.
Posibilidad de guardar a bajo nivel aquellos paquetes que hagan “match” en una firma,
posibilitando su posterior descarga en formato pcap para abrirlos con
Ethereal/Wireshark desde FortiAnalyzer.
Para cada una de las firmas IPS se muestra su CVE-ID.
2.16. Control de Aplicaciones
FORTINET - FAST, SECURE, GLOBAL
Página 59 de 97
Con la función de control de aplicaciones, FortiGate permite detectar y tomar medidas
contra el tráfico de red en función de la aplicación.
El control de aplicaciones utiliza los decodificadores IPS que pueden analizar el tráfico
de red para detectar el tráfico de aplicaciones, incluso si el tráfico utiliza los puertos o
protocolos no estándar.
FortiGate puede reconocer el tráfico de red generado por un gran número de
aplicaciones. Fortinet está en constante aumento la lista de aplicaciones que controla,
siendo accesible en la página web de fortiguard (http://www.fortiguard.com).
En la actualidad se reconocen más de 7800 aplicaciones, siendo estas categorizadas en
diferentes tipos ampliando así su facilidad de uso:
● Por categoria: IM, P2P, VoIP, Video/Audio, Proxy, Remote.Access, Game,
General.Interest, Network.Service, Update, Botnet, Email, Storage.Backup,
Social.Media, File.Sharing, Web.Others, Industrial, Special, Collaboration,
Business, Cloud.IT, Mobile.
● Por tecnologia: Browser-Based, Network-Protocol, Client-Server y Peer-to-Peer.
● Por populariedad: de 1 a 5 estrellas
● Por riesgo: Malware or Botnet, Bandwidth Consuming o None
Las principales ventajas que aporta el control de aplicaciones son las siguientes:
● Ir más allá del control tradicional de nivel 4 de los firewalls convencionales,
pudiendo así controlar aplicaciones evasivas o que cambien de puerto con
frecuencia
● Uno de los vectores de infección de malware más habitual es el intercambio de
ficheros a través de uno de los protocolos más utilizados como es http, por ello
surge la necesidad de poder controlar las distintas aplicaciones que hacen uso de
este mecanismo común
● Obtener una mayor visibilidad de la red, de forma que sea posible conocer en
profundidad y con detalle el uso que se hace de este recurso por parte de cada
usuario de una organización
La implementación de este tipo de control se puede llevar a cabo en 4 simples pasos:
FORTINET - FAST, SECURE, GLOBAL
Página 60 de 97
1 – Definir la lista de Control de Aplicaciones
2 – Añadir a criterio las distintas aplicaciones individuales o por grupos
3 – Aplicar el conjunto definido a un perfil de protección
4- Aplicar dicho perfil a una regla de cortafuegos para que el control se lleve a cabo
únicamente en los flujos de tráfico necesarios
De forma añadida, es posible asignar una cuota de ancho de banda o QoS, por
aplicación:
A través de FortiAnalyzer será posible llevar a cabo el reporting necesario para mostrar
las estadísticas relevantes del control de aplicaciones, como las principales aplicaciones
reconocidas o permitidas.
FORTINET - FAST, SECURE, GLOBAL
Página 61 de 97
Otras funcionalidades que aporta el control de aplicaciones son:
● Inspección profunda para aplicaciones Cloud. De este modo es posible capturar
el nombre de usuario o los ficheros que se intercambian, los nombres de los
videos, etc.
● Ajustes de traffic shaping. Pueden aplicarse a las categorías de las aplicaciones
● Ratio de riesgo. 5 niveles de riesgo (crítico, alto, medio, elevado y bajo). Cada
aplicación consta del nivel de riesgo que le corresponde.
● Aparición de Mensajes de reemplazo cuando la aplicación es bloqueda.
● Soporte para protocolo SPDY
2.17. Filtrado de Tráfico Web (URL Web Filtering)
La distribución y visualización de contenido no autorizado supone un riesgo importante
para cualquier organización. Para las empresas, la monitorización del uso que sus
empleados hacen de los accesos a Internet y la prevención de visualización de contenidos
web inapropiados, o no autorizados, se ha convertido en algo necesario, justificado por
los costes financieros y las implicaciones legales que conlleva la pasividad en este aspecto.
El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena
del contenido del protocolo http permitiéndonos filtrar direcciones URL potencialmente
no asociadas al desarrollo de la normal actividad laboral, contenidos embebidos en las
propias páginas web o scripts basados en java, activeX o cookies, contenidos
potencialmente peligrosos.
La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio
usuario, o bien mediante la utilización del servicio FortiGuard Web Filtering.
Estas son algunas funcionalidades genéricas soportadas:
FORTINET - FAST, SECURE, GLOBAL
Página 62 de 97
•
•
•
•
•
CRL
•
Restringir acceso a Google para dominios específicos
Nuevos protocolos para autenticación y warning
Modificación de cabeceras http request
Añadir un referer a los filtros URL
Usar comprobaciones de rating en FortiGuard para imágenes, JavaScript, CSS y
Variables nuevas para los mensajes de reemplazo
2.17.1. URL Filtering mediante uso de listas locales
El filtrado de URL puede implementarse utilizando bases de datos locales con listas
black/white lists definidas por el usuario que contienen URLs cuyo acceso está permitido
o denegado. El acceso a URLs específicas puede ser bloqueado añadiéndolas a la lista de
bloqueo de URLs. El dispositivo FortiGate bloquea cualquier página web que coincida
con la URLs especificada y muestra un mensaje de sustitución de la misma al usuario.
La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando
caracteres comodines o expresiones regulares. Esta lista puede ser creada manualmente o
importada desde listas de URLs elaboradas por terceros.
Asimismo, con objeto de prevenir el bloqueo de páginas web legítimas no intencionado,
las URLs pueden ser añadidas a una lista de excepción que sobrescribe la URL bloqueada
y listas de bloqueo de contenido. El bloqueo de URL puede ser configurado para
bloquear todo o sólo algunas de las páginas de un sitio web. Utilizando esta característica
es posible denegar el acceso a partes de un sitio web sin denegar el acceso completo al
sitio en cuestión.
FORTINET - FAST, SECURE, GLOBAL
Página 63 de 97
2.17.2. Filtrado de Contenido mediante listas locales
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas páginas web
que contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una
página web es bloqueada, un mensaje de alerta que sustituye a la web original generado
por FortiGate es mostrado en el navegador del usuario.
Las palabras clave pueden ser añadidas una por una, o importadas utilizando un fichero
de texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta
80 caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los
sistemas de caracteres Western, Simplified Chinese, Traditional Chinese, Japanese, Thaï,
Korean, French, Spanish o Cyrillic. Las palabras y expresiones pueden ser configuradas
utilizando comodines o expresiones regulares perl.
2.17.3. Filtrado de Java / Scripts / Cookies
El filtrado de contenido web también incluye características de filtrado de scripts y
códigos maliciosos que puede ser configurado para bloquear contenido web inseguro tal
y como Java Applets, Cookies y ActiveX.
2.17.4. Servicio Fortiguard Web Filtering
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una
clasificación actualizada de forma continua que engloba más de dos mil millones de
URL´s distribuidas en un abanico de 77 categorías. El servicio está basado en la petición
de la clasificación de las diferentes direcciones a la infraestructura de Fortinet. Así,
mediante la configuración en las políticas de acceso a Internet, los equipos FortiGate son
capaces de permitir o denegar el acceso a los diferentes sitios web en función de la
categoría a la que pertenezcan. El dispositivo FortiGate soporta políticas a nivel de
usuarios/grupos y mantiene información del usuario/grupo para cada petición realizada.
El servicio Fortiguard Web Filtering tiene categorizados más de 56 millones de dominios
o websites en 77 categorías agrupadas dentro de 8 clases. La base de datos utilizada por el
servicio FortiGuard Web Filtering es continuamente actualizada mediante el
descubrimiento y categorización de nuevos dominios, así como mediante la información
enviada por los propios equipos FortiGate cuando intentan el acceso a una página no
categorizada.
FORTINET - FAST, SECURE, GLOBAL
Página 64 de 97
Funcionamiento del Servicio Fortiguard Web Filtering
Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las páginas
web y utilizan el servicio FortiGuard Web Filtering para determinar la categoría a la que
pertenece dicho sitio web y si se debe permitir o no la visualización de la página. Cuando
utilizamos un navegador para solicitar una URL, el dispositivo FortiGate envía esa
solicitud a la red FortiGuard Network y comienza el siguiente proceso:
El equipo FortiGate intercepta una solicitud web desde su red local, si el rating de la
URL está ya cacheada en el dispositivo FortiGate, es inmediatamente comparada con la
política para ese usuario. Si el sitio está permitido, la página es solicitada (3ª) y la respuesta
es recuperada (4ª).
Si la URL clasificada no está en la caché del equipo FortiGate, la página es solicitada al
servidor web (3ª) y simultáneamente una solicitud de categorización se envía al servidor
FortiGuard Rating Server (3b).
Cuando la respuesta de categorización es recibida por el dispositivo FortiGate (4ª), el
resultado es comparado con la política solicitante (2). La respuesta desde el sitio web (4b)
es encolada por el dispositivo FortiGate si fuera necesario hasta que la categorización sea
recibida. Mientras tanto, la web solicitada devuelve la página. Dado que la solicitud de
categorización es similar a una petición DNS, la respuesta siempre va a ser obtenida de
forma previa a la recepción completa de la página.
Si la política es permitir la página, la respuesta del sitio web (4b) es pasada al solicitante
(5). En otro caso, un mensaje definible de “Bloqueado” es enviado al solicitante e incluso
el evento es recogido en el log de filtrado de contenidos.
La siguiente ilustración muestra el mecanismo utilizado:
FORTINET - FAST, SECURE, GLOBAL
Página 65 de 97
Beneficios del Servicio FortiGuard Web Filtering
Los usuarios del servicio FortiGuard Web Filtering se benefician de una solución de
filtrado de contenido web actualizada permanentemente, así como de otras características
como son:
Alta Eficiencia y Fiabilidad, con el modelo de entrega “In-the-Cloud” según el cual la
base de datos de FortiGuard es mantenida por Fortinet en localizaciones estratégicas
geográficas implementadas alrededor del mundo. De este modo se provee un
rendimiento equivalente a soluciones que requieren una base de datos localmente
albergada, con la fiabilidad de la red FortiGuard a la disposición del usuario.
Gestión Simplificada, ya que el servicio FortiGuard Web Filtering es un servicio
gestionado, actualizado y mantenido 24 horas al día, 365 días al año por los centros de
soporte y desarrollo de Fortinet, liberando al usuario de las tediosas tareas de
administración y actualización de bases de datos y servidores.
Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering, las
organizaciones eliminan la necesidad adicional de hardware para soluciones de filtrado de
contenidos web. Adicionalmente, el modelo de licenciamiento del servicio, que provee
una suscripción anual para un precio fijo por modelo de FortiGate libera de la necesidad
de licencias por número de usuarios, permitiendo a los proveedores de servicios de
seguridad gestionada y grandes empresas implementar el servicio con unas condiciones
altamente asequibles y coste predecible.
2.17.5. Filtrado basado en cuotas
Adicionalmente, es posible asignar cuotas de tiempo o tráfico a las distintas categorías
contenidas en el servicio Fortiguard:
FORTINET - FAST, SECURE, GLOBAL
Página 66 de 97
Estas cuotas de tiempo podrán ser definidas por cada categoría y establecidas en
segundos, minutos u horas, son calculadas específicamente para cada usuario y reseteadas
diariamente.
Esto permitirá que se asigne, por ejemplo, media hora por día a la navegación por parte
de un usuario a una categoría, grupo o clasificación de Fortiguard específica.
Algo similar sucede con las cuotas de tráfico, que pueden ser asignadas desde byes hasta
Gigabytes por usuario o grupo.
2.17.6. Filtrado de Contenido en Cachés
Los equipos FortiGate no sólo se limitan a inspeccionar las URL’s o los contenidos de las
páginas a las que se acceden, sino que además permiten prevenir el acceso a contenidos
no permitidos haciendo uso de la capacidad de algunos motores de búsqueda de
almacenar parte de estas páginas en caché. Habitualmente, cuando utilizamos algún
buscador para intentar acceder a la información, el buscador no sólo nos muestra un link
que nos redirige a la URL en cuestión, sino que además nos permite visualizar esa URL
guardada en una caché propia del buscador. Los equipos FortiGate son capaces de
analizar la dirección de esa información en caché en el motor de búsqueda y la existencia
de contenidos no permitidos en la misma, evitando de este modo el acceso a contenidos
no permitidos por este medio.
FORTINET - FAST, SECURE, GLOBAL
Página 67 de 97
Del mismo modo, pueden habilitarse filtros sobre búsquedas de imágenes y contenidos
multimedia que actúan del mismo modo, no permitiendo que el contenido en caché de
las páginas de búsqueda sea mostrado a los usuarios en caso de proceder de un dominio
cuyo contenido no está permitido.
2.17.7. Activación del Servicio mediante Perfiles de Protección
Al igual que el resto de funcionalidades, la activación de la funcionalidad de Filtrado de
Contenidos Web se realiza en cada perfil de protección. En este caso los servicios
configurados por el usuario se activan de forma independiente del servicio FortiGuard
Web Filtering.
La funcionalidad “Web Filtering” en la definición de perfil de protección permite
habilitar comprobaciones contra listas blancas o negras de URLs definidas por el usuario,
habilitar filtrado de contenido y consultas contra la lista de palabras clave definidas por el
usuario, así como bloquear scripts.
Existen tres posibilidades para el análisis web con un perfil de webfilter:
● Modo proxy: Fortigate para la conexión, consulta la categoría en fortiguard y
dependiendo de dicha respuesta y análisis se permitirá o no la conexión. La
conexión durante el análisis de buferiza
● Modo Flow-based: En dicho modo fortigate utiliza el IPS engine, o
comportamiento de análisis de flujo en tiempo real, para determinar si es o no
tráfico legitimo acorde con nuestra política de seguridad.
● DNS: En dicho modo una vez que el usuario solicite una determinada URL, la
petición de DNS pasará por FortiGuard, y aplicará en la propia respuesta de
DNS el rating de dicha web. Para el uso de este modo necesitamos que nuestro
FortiGate apunte como sus servidores DNS a los servicios de FortiGuard.
FORTINET - FAST, SECURE, GLOBAL
Página 68 de 97
La funcionalidad “FortiGuard Web Filtering” en la definición de cada perfil de
protección permite habilitar el servicio FortiGuard y definir las categorías que son
bloqueadas, monitorizadas y/o permitidas:
La aplicación de los diferentes perfiles de protección puede aplicarse con autenticación
de usuarios, haciendo posible discriminar el acceso a las diferentes categorías según el
grupo al que pertenezca cada usuario.
FORTINET - FAST, SECURE, GLOBAL
Página 69 de 97
2.17.8. Mensajes de sustitución en web filter
Cuando una página web es bloqueada, es reemplazada mediante un mensaje
personalizable.
2.18. AntiSpam
La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no
solicitados detectando los mensajes de spam e identificando esas transmisiones. Los
filtros antispam se configuran de un modo global, si bien son aplicados en base a perfiles
de protección, al igual que el resto de funcionalidades del equipo.
El spam resta tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en
limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la
productividad. Así mismo, los mensajes de spam hacen crecer los tamaños necesarios de
los buzones de correo de los usuarios, haciendo crecer implícitamente el tamaño de los
servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos
innecesario.
La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación
de diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos
SMTP, POP3 e IMAP). Aquellos filtros que requieren la conexión con servidores
externos (FortiGuard Antispam o los servicios de Listas Negras en tiempo real) se
ejecutan de forma simultánea con los otros filtros, optimizando el tiempo de respuesta
del análisis de los mensajes. Tan pronto como alguno de los filtros aplicados identifica el
FORTINET - FAST, SECURE, GLOBAL
Página 70 de 97
mensaje como spam se procede a realizar la acción definida para cada filtro que podrá
ser:
● Marcar el mensaje como Spam (Tagged): el mensaje quedará identificado como
Spam a través de una etiqueta que puede estar localizada en el título del correo o
en el encabezamiento MIME.
● Descartar (Discard): Sólo para SMTP. En este caso el mensaje es desechado,
pudiendo sustituirlo con un mensaje predefinido que advierta al usuario del envío
de Spam.
La configuración de las distintas medidas AntiSpam que se pueden definir están divididas
entre aquellas que se establecen mediante el servicio de filtrado de Spam de FortiGuard y
aquellas que se definen de manera local.
Los servicios de AntiSpam de FortiGuard usan para ello una base de datos de reputación
de IP del remitente, una base de datos de firmas de Spam conocido y otras sofisticadas
herramientas de filtrado de spam. Dentro de este servicio se pueden configurar la
comprobación de IP del remitente, de las URLs que vayan en el correo, incluyendo
aquellas de phishing y del checksum del correo. Además se puede activar la opción de
Spam Submission para notificar casos de correos legítimos identificado erróneamente
como spam, lo que es conocido como falsos positivos.
Localmente es posible comprobar el dominio indicado por el remitente en el HELO de
la conexión SMTP, establecer listas blancas/negras de IPs y/o correos y comprobar la
existencia del dominio que aparece en el reply-to.
Dentro de esta separación, los distintos filtros antispam aplicados por la plataforma
FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el
control por el contenido del mismo.
FORTINET - FAST, SECURE, GLOBAL
Página 71 de 97
Control por Origen
Black White List: lista blanca/negra de IPs o direcciones de correo. Las direcciones de
correo se pueden definir mediante wildcards o expresiones regulares.
FortiGuard IP Address check: comprueba contra los servidores de FortiGuard si la IP
del remitente se encuentra en una lista negra.
IP address black/white list check: el FortiGate comprueba si la IP del remitente
pertenece a alguna lista blanca o negra configurada por el usuario.
HELO DNS lookup: el equipo hace una comprobación DNS para revisar que el dominio
indicado por el remitente al inicio de la conexión SMTP, el cual se identifica con el
comando HELO, realmente existe. Si no es así, cualquier correo entregado dentro de esa
sesión se considera spam.
Email address black/white list check: el FortiGate comprueba si la dirección de correo
del remitente pertenece a alguna lista blanca o negra configurada por el usuario.
También se pueden configurar DNSBL & ORDBL check (listas DNS Blackhole y Listas
Open Relay Database), en las que se chequea el origen del mensaje contra listas de
DNSB y ORDB predefinidas, identificadas como listas blancas (marcaríamos el mensaje
como clear) o listas negras. Las listas son configurables por el administrador de la
plataforma FortiGate.
Control de Contenido
FortiGuard URL check: comprueba contra los servidores de FortiGuard si las URLs que
se encuentran en el cuerpo del correo están asociadas con spam. Si esas URLs
pertenecen a alguna lista negra determina que el correo es spam.
Detect phishing URLs in email: envía los links URL a los servidores de FortiGuard para
identificar si se tratan de URLs de phishing. De ser así elimina el link.
FortiGuard email checksum check: el FortiGate obtiene el hash del correo y lo envía a los
servidores de FortiGuard, los cuales lo comparan con los hashes de correos de spam
guardados en su base de datos. Si se encuentra una coincidencia el correo se marca como
spam.
FortiGuard spam submission: es un modo para informar al servicio antispam de
FortiGuard que un correo que no es spam ha sido catalogado como spam (falso
positivo). Para esto el FortiGate añade un link al final de todos los correos que categoriza
como spam.
FORTINET - FAST, SECURE, GLOBAL
Página 72 de 97
Comprobación de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet
Mail Extensions) son añadidas al email para describir el tipo de contenido, como puede
ser el tipo de texto en el cuerpo del email o el programa que generó el email. Los
spammers frecuentemente insertan comentarios en los valores de las cabeceras o las
dejan en blanco, por lo que pueden utilizarse como filtros spam y de virus. Asimismo, los
equipos FortiGate pueden utilizar las cabeceras MIME para marcar aquellos mensajes
detectados como spam.
Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo
de emails que contienen palabras específicas o patrones reconocidos. Las palabras
pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por
ejemplo, la siguiente expresión capturaría la palabra “viagra” deletreada de varias
maneras:
/[v|\/].?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i. Solo es configurable vía CLI.
Además de todo esto, también se permite la inspección en modo flow, soportando la
inspección de sesiones SSL. Junto con esto también es capaz de procesar mensajes
fragmentados y la inclusión de una firma a todos los correos SMTP.
2.18.1. Servicio Fortiguard AntiSpam
Fortiguard AntiSpam es un servicio gestionado, administrado y actualizado por Fortinet y
soportado por la red FortiGuard Network que dispone de listas propias de direcciones
IP, direcciones e-mail, URL's, etc. que están continuamente actualizadas gracias a la
detección de nuevos mensajes de spam a lo largo de todo el mundo.
Mediante la utilización de honeypots en los que se detectan nuevos mensajes de spam, y
la realimentación por parte de los equipos FortiGate y los clientes FortiClient existentes
en todo el mundo, el servicio FortiGuard Antispam es capaz de actualizar las listas negras
de forma casi inmediata ante la aparición de nuevos mensajes de spam a lo largo de todo
el mundo.
El motor AntiSpam, continuamente mejorado, se actualiza periódicamente a través del
servicio Fortiguard AntiSpam, sin ser necesario esperar a una actualización completa de
firmware del equipo Fortigate para actualizar dicho motor.
Activación del Servicio mediante Perfiles de Protección
Al igual que el resto de funcionalidades, la activación de la funcionalidad AntiSpam de los
equipos FortiGate se realiza en cada perfil de protección, aplicado posteriormente en las
diferentes políticas definidas en el firewall.
FORTINET - FAST, SECURE, GLOBAL
Página 73 de 97
●
●
●
●
●
●
●
●
2.18.2. Más características FortiGuard
Actualizaciones de base de datos GeoIP en tiempo real
Servicio de mensajería SMS
Servidores DNS desde FortiGuard
Servidores NTP desde FortiGuard
Servicio de DNS dinámico FortiGuard
Actualizaciones de Modem USB
Actualizaciones para visibilidad de Dispositivos y Sistemas operativos
Licencias del servicio FortiCloud
2.19. Data Leak Prevention (Prevención de Fuga de Datos)
Cambiando el enfoque tradicional de las plataformas de seguridad perimetrales cuyo
objetivo habitual ha sido evitar que el malware y los intrusos accedan a la red interna o
protegida, la característica de Prevención de Fuga de Información o DLP (Data Leak
Prevention) ofrece la posibilidad de evitar que la información categorizada como sensible
o confidencial salga fuera de la organización a través de la plataforma.
Es posible llevar a cabo esta protección para diferentes servicios de transferencia de
datos. Para transferencia de mensajes puede inspeccionar los servicios SMTP, POP3,
IMAP, HTTP, NNTP e IMAP. A su vez, para transferencia de ficheros añade a los
FORTINET - FAST, SECURE, GLOBAL
Página 74 de 97
servicios anteriores los de FTP, AIM, ICQ, MSN, Yahoo! y MAPI. Esto se realiza
estableciendo reglas o grupos de reglas predefinidas, donde un buen ejemplo sería una de
ellas que inspecciona en busca de números de tarjetas de crédito, o por otro lado, reglas
totalmente personalizables.
Ejemplo de regla DLP que busca patrones de tarjetas de crédito
Así mismo las acciones posibles pasan por hacer únicamente log de la fuga de datos (con
el único fin de monitorizar) hasta bloquear dichas fugas, bloqueando el tráfico que genere
ese usuario, hacer cuarentena del mismo o archivar y guardar la información relativa a la
violación que se está realizando.
Otra técnica utilizada por el módulo de DLP es fingerprinting. El equipo FortiGate
genera un checksum para ciertos archivos y los almacena en su disco duro (esta
funcionalidad solo está disponible en appliances con almacenamiento interno). Despúes
se genera un checksum para cada archivo que se ve en el tráfico de red. Si alguno de los
checksum de estos archivos coincide con uno almacenado en el disco duro, se lleva a
cabo la acción configurada.
Por último existe la funcionalidad denominada DLP watermarking o marca de agua. Esta
funcionalidad consiste en añadir una marca de agua o patrón a los ficheros que queremos
proteger, en la cual se añade un identificador de la marca de agua y un nivel de criticidad
(Critical, Private o Warning). Este patrón es ligero, ocupando unos 100 bytes únicamente.
Es importante destacar que la marca de agua es completamente transparente para los
usuarios del fichero, los cuales no podrán verla. Una vez introducida esa marca de agua y
FORTINET - FAST, SECURE, GLOBAL
Página 75 de 97
siempre que hayamos creado un sensor de DLP para detectar los ficheros con ese
identificador de marca de agua y la sensibilidad asignada, el equipo detectará cuando esos
ficheros pasen a través del FortiGate y podrá ejecutar la acción que configuremos para
ello, ya sea bloquear, logar o meter en cuarentena al usuario, a su IP o a la interfaz.
Para realizar estas marcas de agua hay que utilizar una herramienta propietaria de
Fortinet, llamada Fortinet watermarking utility. Esta herramienta se encuentra disponible
dentro de la aplicación FortiExplorer y únicamente para Windows. Existe una versión
antigua para Linux en interfaz de comandos, pero ha sido descontinuada. Los tipos de
archivos soportados son: txt, pdf, doc, xls, ppt, docx, pptx, xlsx.
Configuración de sensor DLP para detectar una marca de agua
2.20. WAF (Web application firewall)
Se puede crear un perfil de seguridad enfocado a la protección contra amenazas de
aplicaciones web. FortiGate incluye una lista de firmas y ataques reconocidos que se
pueden aplicar a políticas de seguridad, o permite la opción de redirigir el tráfico web a
un dispositivo WAF específico, como es FortiWEB, para analizarlo.
Las firmas y restricciones de tráfico soportadas son las siguientes:
FORTINET - FAST, SECURE, GLOBAL
Página 76 de 97
2.21. CASI (Cloud Access Security Inspection)
La funcionalidad “Cloud Access Security Inspection” permite un mayor control en el
tráfico y las acciones de las aplicaciones cloud como por ejemplo Youtube, Dropbox,
Amazon, etc…
FORTINET - FAST, SECURE, GLOBAL
Página 77 de 97
Para que funcione, debe estar habilitado “Deep inspección of Cloud Applications” en el
perfil de seguridad de control de aplicaciones.
El perfil CASI está definido por un nombre de aplicación, categoría y acción. Para cada
línea es posible aplicar las acciones permitir, bloquear y monitorizar.
2.22. DNS Filter
Gracias a DNS Filter se cuenta con las siguientes funcionalidades:
2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C
La lista de servidores de comand and control de botnets se almacena en una base de
datos interna que se almacena automáticamente desde FortiGuard. Para tener acceso a
estas actualizaciones es necesario contar con una licencia al dia de FortiGuard web filter.
Para bloquear estas peticiones, el trafico DNS se inspecciona con el motor de IPS y se
comparan las peticiones con la base de datos del equipo. Cuando hay un match, se
bloquean todos los subdominios del dominio encontrado. Esta funcionalidad se habilita
en Security Profiles -> DNS Filter y habilitar Block DNS requests lo known botnet
C&C.
2.22.2. Filtro de URLs estático
El perfil de inspección DNS permite bloquear, eximir o monitorizar consultas DNS
utilizando el motor IPS para inspeccionar los paquetes de DNS y buscar los dominios
que hemos configurado en el perfil. El FortiGate debe utilizar el servicio de DNS de
FortiGuard para hacer las consultas de DNS. Las respuestas a estas consultas están
FORTINET - FAST, SECURE, GLOBAL
Página 78 de 97
formadas por la IP correspondiente al dominio y una clasificación que incluye la
categoría del dominio.
Aparte de las acciones indicadas anteriormente, estas consultas también se puede
redirigir, para que se resuelva una IP personalizada para los dominios configurados.
2.23. External security devices
Se pueden configurar dispositivos de seguridad externos para descargar al FortiGate de la
carga de procesar cierto tipo de tráfico. Estos dispositivos pueden ser FortiMail,
FortiWeb o Forticache.
Para habilitar esta funcionalidad hay que ir a System -> External Security Devices y
activar el checkbox del dispositivo a conectar. Seguidamente se indica la IP y a
continuación se pulsa en el botón Aplicar.
En el caso de trafico HTTP, se puede elegir si enviar el tráfico a un FortiWeb o a un
FortiCache, dependiendo del tipo de servicio que se quiera proporcionar. En el caso de
necesitar enviar el tráfico a un FortiWeb, también es necesario configurar una política de
seguridad con un perfil de seguridad de Web application firewall asociado.
Si el dispositivo asociado es un FortiCache, en la política de seguridad hay que configurar
un perfil de seguridad de web cache y si el dispositivo es un FortiMail, en la política de
seguridad hay que activar un perfil de seguridad de tipo antispam.
1.1. Controlador Switches - FortiLink
Algunos modelos de FortiGate incorporan un controlador centralizado de switches
FortiSwitch (ver hoja de características de cada modelo). Es necesario que el FortiSwitch
a gestionar disponga de un sistema operativo FortiSwitchOS 3.3.0 o superior.
Gracias a FortiLink, la gestión de VLAN o puertos PoE de los FortiSwitches se realizará
desde el GUI de FortiGate. Desde FortiLink se podrá además visualizar un diagrama de
la topología de la red de switches conectados al FortiGate.
1.2. Controlador Wifi
FORTINET - FAST, SECURE, GLOBAL
Página 79 de 97
Todos los dispositivos FortiGate, son capaces de actuar como controladores Wireless
para los puntos de acceso fabricados por Fortinet (FortiAPs). Esto supone un ahorro de
costes considerable para los clientes al no tener que adquirir un controlador Wireless.
Lista de productos FortiAP
La solución de Fortinet se integra de forma directa con el Firewall, siendo cada SSID
wifi una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de
seguridad en la red Wifi que en la red cableada, pudiendo configurar en la wifi reglas de
Firewall, Traffic-Shapping, Control de Aplicaciones, Webfiltering, etc. de forma sencilla y
transparente.
Dispone además de opciones de portal cautivo para invitados, pudiendo delegar la
gestión de dichos invitados. Para ello dispone de un portal de administración restringido
que permite dar acreditaciones a la red wifi de manera sencilla, pudiendo suministrar la
información de usuario y contraseña de varios métodos, incluyendo SMS, email o
impreso.
Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi,
pudiendo crear reglas de seguridad basadas en tipo de dispositivo.
A nivel de conectividad, la solución de Fortinet cuenta con las funcionalidades de
conectividad más requeridas para los entornos Enterprise, funcionalidades tales como
meshing, local bridging, asignación dinámica de canales, asignación dinámica de potencia,
balanceo de clientes entre puntos de acceso, fast roaming, etc…
Otras funcionalidades:
● IDS Wireless
● Balanceo de carga de clientes
FORTINET - FAST, SECURE, GLOBAL
Página 80 de 97
●
●
●
●
●
●
Soporte Mesh y Bridging
Bridge entre un SSID y un puerto físico
Detección de AP´s falsos
Ajuste automático de portencia
Supresión automática de “rogué” Ap´s
Cifrado del tráfico CAPWAP
Gestion de FortiAP. Dado que FortiGate también es un controlador de APs, existen
ciertas funcionalidades de control de APs específicas:
● Selección manual de los perfiles para los AP
● Escaneo de AP
● Resumen de configuración de cada radio
● Acceso a la consola CLI
● Posibilidad de hacer un Split tunnel para el tráfico Wireless
1.3. Identificación de Dispositivos - BYOD
La solución de Fortinet permite identificar el tipo dispositivo que se ha conectado a la
red (tanto cableada como wireless). De esta forma se tiene visibilidad de inmediata de
usuarios, sistema operativo y dirección IP. La captura inferior es una muestra:
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de seguridad. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos
y restringirlos desde sistemas operativos no corporativos. De este modo es posible
controlar los dispositivos personales que los usuarios pueden utilizar en una red
corporativa, cosa que cada vez ocurre de forma más habitual y que se conoce como
Bring Your Own Device (BYOD). Por ejemplo, se podría establecer una política basada
en dispositivos para evitar que una consola de juegos se pueda conectar a la red de una
empresa o incluso a internet, también establecer que las tabletas y teléfonos puedan
FORTINET - FAST, SECURE, GLOBAL
Página 81 de 97
conectar a internet, pero no a los servidores de la empresa, así como los portátiles
corporativos podrían conectar a internet y a la red corporativa, pero aplicándoles filtrado
antimalware o incluso establecer una política para que solo puedan conectar si tienen
instalado el antimalware FortiClient en dicho ordenador.
La captura inferior muestra una política de firewall que hace uso de este concepto de
dispositivo:
Es posible además configurar dispositivos de forma manual e incluso añadir a estos
dispositivos un “avatar” que se podrá visualizar posteriormente en el GUI para mejor
identificación visual del objeto.
1.4. Seguimiento de amenazas (Reputación de clientes)
Los tipos de escaneo UTM disponibles en FortiGate permiten detectar ataques
específicos, pero algunas veces el comportamiento de los usuarios puede incrementar el
riesgo de un ataque o infección.
El seguimiento de amenazas puede proporcionar información a través del
comportamiento de los clientes y la información sobre las actividades determina un nivel
de riesgo.
Las actividades que pueden monitorizarse son:
FORTINET - FAST, SECURE, GLOBAL
Página 82 de 97
● Intentos fallidos de conexión: El comportamiento típico de una BOT es conectar
a algunos anfitriones que a veces no existen en el Internet. Debido a esto es
necesario que el BOT realice un cambio constante de su “home” para evitar la
aplicación de medidas legislativas, o simplemente para esconderse de los
fabricantes de soluciones antimalware. Los intentos de conexión son detectados
mediante:
● Búsqueda de nombres DNS que no existe.
● Intentos de conexión a una dirección IP que no tiene ruta.
● Errores HTTP 404
● Los paquetes que se bloquean por las políticas de seguridad.
● Protección de Intrusión: Ataque detectado. La reputación aumenta con la
severidad del ataque. Requiere suscripción FortiGuard IPS.
● Protección contra Malware: el malware detectado. Requiere una suscripción a
FortiGuard Antimalware.
● Actividad Web: Al visitar sitios web incluidos en categorías que suponen un
riesgo, incluyendo las categorías: potencialmente peligroso, Contenido para
adultos, consumo de ancho de banda y riesgo de seguridad. Requiere una
suscripción a FortiGuard Web Filtering.
● Protección de la aplicación: El cliente utiliza software en categorías de riesgo,
incluyendo Botnet, P2P, Proxy y Juego. Requiere una suscripción a FortiGuard
IPS.
● Ubicación geográfica donde los clientes están comunicando. Requiere acceso a la
base de datos geográfica FortiGuard y un contrato de soporte válido con
Fortinet.
De entre las actividades sobre las que puede realizar un seguimiento, se puede configurar
la severidad con la que cada actividad afectará a la reputación de los clientes, en una
escala de bajo, medio, alto o crítico. También se puedo optar por ignorar una actividad, y
no tendrá ningún efecto en la reputación.
Esta funcionalidad actualmente tiene como objetivo alertar de una actividad que supone
un riesgo para la seguridad y no incluye herramientas para detenerla. Se trata de una
utilidad para mostrar el comportamiento de riesgo y poder tomar medidas adicionales
para detenerlo. Estas acciones podrían ser crear una política de seguridad para bloquear la
actividad o incrementar la protección UTM, así como tomar otras medidas ajenas al
FortiGate para paliar el comportamiento.
Tras la activación de la reputación de clientes, FortiGate monitoriza el comportamiento
de los usuarios, que puede mostrarse en el monitor de amenazas de FortiView:
FORTINET - FAST, SECURE, GLOBAL
Página 83 de 97
La reputación de los clientes se almacena en el log de tráfico, en unos campos específicos
para esto (crscore y craction). Al habilitar esta funcionalidad, por lo tanto, no se puede
eliminar la acción de log de una política de seguridad.
1.5. FortiGate Virtual Appliance
Los dispositivos de seguridad Fortigate Virtual Appliance de Fortinet son appliances
basados en formato máquina virtual, creados especialmente para operar en los entornos
de “hypervisors”. Estos appliances virtuales ayudan a proteger las infraestructuras de red
con seguridad multiamenaza integrada. Al igual que un dispositivo FortiGate tradicional,
el appliance virtual FortiGate protege la infraestructura de una gran variedad de
amenazas permitiendo a los clientes consolidar sus tecnologías de seguridad
independientes, reduciendo los costes y la complejidad de su infraestructura de seguridad.
Dado que las características de seguridad son las mismas que los basados
tradicionalmente en hardware, los appliances virtuales FortiGate pueden operar
conjuntamente con los dispositivos FortiGate tradicionales para asegurar que tanto el
perímetro como las capas virtuales dentro del entorno virtual están protegidos, y son
visibles y fáciles de gestionar.
FORTINET - FAST, SECURE, GLOBAL
Página 84 de 97
Zona 1: Servidores
Zona 2:
PCs
Data Center Virtualizado
Los dispositivos de seguridad virtual de Fortinet han sido creados para operar en
cualquier entorno y al igual que sus homólogos físicos aportan consolidación,
rendimiento, visibilidad y control a los cada vez más extendidos entornos virtualizados.
Las licencias de los mismos están basadas en el número de CPUs, esto es, 2, 4 u 8 cores:
FORTINET - FAST, SECURE, GLOBAL
Página 85 de 97
Los requisitos mínimos de cara al Hypervisor son los siguientes:
1.6. Wan link load balance
De la misma forma que se puede balancear el tráfico entrante al firewall, también se
puede balancear el tráfico saliente, esto permite:
- Reducir los puntos de fallo de la red.
- Aumentar la capacidad de la red para gestionar una mayor cantidad de
datos.
- Automatizar el proceso de balanceo de carga.
FORTINET - FAST, SECURE, GLOBAL
Página 86 de 97
1.6.1. Algoritmos de balanceo
El elemento fundamental para configurar el balanceo son las interfaces físicas que lo
componen. A medida que se añaden interfaces al proceso, entran también en los cálculos
que realizan los algoritmos para gestionar el tráfico. Otros aspectos a tener en cuenta:
-
Elección correcta el algoritmo de balanceo según las necesidades de la
red.
Las interfaces pueden ser deshabilitadas si necesitan algun tipo de
mantenimiento. Cuando se habilitan, vuelven a tenerse en cuenta por los
algoritmos de balanceo de forma automática.
No es necesario que las interfaces sean las que están etiquetadas como
WAN.
El uso y comportamiento de las interfaces se grafican en el GUI para
facilitar la gestión y configuración de la funcionalidad.
1.6.2. Wan Links
Existen 5 algoritmos de balanceo:
- Ancho de banda. Se asignan pesos a las interfaces y el tráfico se asigna en
base a esos pesos a una interfaz o a otra. Ejemplo:
-
-
Spillover. Se utiliza una interfaz hasta que se alcanza su capacidad
máxima. Entonces se empieza a utilizar otra interfaz. Esta decisión se
puede hacer en base al tráfico entrante o saliente.
Sesiones. Igual que el anterior, pero el parámetro que se tiene en cuenta es
el número de sesiones en lugar del número de paquetes.
IP de origen-destino. Se intenta hacer un reparto equilibrado del tráfico
entre todas las interfaces pero teniendo en cuenta las IPs de origen y de
destino. El tráfico de la IP A a la IP B se envía siempre a la misma
interfaz de salida.
IP de origen. Igual que el anterior, pero solo se tiene en cuenta la IP de
origen.
FORTINET - FAST, SECURE, GLOBAL
Página 87 de 97
1.6.3. Reglas de prioridad
Para cierto tipo de tráfico puede ser posible establecer reglas de uso más concretas. Estas
reglas se pueden establecer en base a varios parámetros: dirección de origen, grupo de
origen, dirección de destino, protocolo, aplicación.
1.7. Control del EndPoint
FortiClient es el software de Fortinet disponible para entornos Windows, MacOSX, iOS
y Android que permite extender las funcionalidades del firewall hasta el dispositivo del
usuario. Algunas de las funcionalidades básicas que incluye son las siguientes:
● Autenticación desde FortiClient
● Gestión y registro de FortiClient
● Portal cautivo para instalación y comprobación del endpoint
● Provisión de configuración de seguridad de FortiClient cuando el usuario no está
conectado a la red protegida
● Log del endpoint
● Estado del endpoint. Registrado o no registrado y on-net u off-net.
Gracias a la integración del endpoint con FortiSandbox, además se puede determinar si el
equipo del usuario ha podido ser infectado por una amenaza nueva. En este caso
podemos poner en cuarentena el equipo desde la consola de FortiGate. Esto se puede
hacer desde FortiView:
FORTINET - FAST, SECURE, GLOBAL
Página 88 de 97
O desde el menú de FortiClient Monitor:
La cuarentena de un equipo aplicada por FortiClient únicamente se puede levantar desde
la consola de FortiGate seleccionando “Release Quarantine”:
1.8. Virtual wire pair
Esta funcionalidad está disponible en modo NAT y modo transparente y sustituye a la
funcionalidad de Port Pair disponible en anteriores versiones de FortiOS en modo
transparente.
Cuando se configuran dos interfaces en modo virtual wire pair, no se configura ninguna
IP y funcionan de un modo similar a un VDOM en modo transparente. Todos los
paquetes que entran en el equipo por una de las interfaces solo pueden salir por la otra, si
FORTINET - FAST, SECURE, GLOBAL
Página 89 de 97
están permitidos por una política de virtual wire pair. Se pueden configurar multiples
interfaces de este tipo. Aunque no permite configurar VLANes, se pueden habilitar
wildcards de VLAN.
Para añadir una interfaz virtual wire pair, hay que ir a Network -> Interfaces y
seleccionar Create New -> Virtual Wire Pair. Seleccionar las dos interfaces
involucradas y pinchar en OK.
La nueva interfaz aparece en la lista de interfaces del equipo.
Lo siguiente necesario es configurar una política de acceso. Para esto hay que ir a Policy
& Objects -> IPv4 Virtual Wire Pair Policy. Seleccionar el virtual wire pair para el cual
se pretende añadir la política y pinchar en Create New. Se configura la dirección de la
política y los objetos típicos de una política de firewall.
FORTINET - FAST, SECURE, GLOBAL
Página 90 de 97
1.9. FortiExtender
El dispositivo FortiExtender proporciona conectividad vía 3G/4G/LTE a un FortiGate.
Se establece un canal de datos CAPWAP entre FortiGate y FortiExtender para
proporcionar la conectividad a la red 4G/LTE.
Si bien FortiGate proporciona conectividad con la red 3G/4G a través de dispositivos
USB conectados directamente al FortiGate, con FortiExtender se extienden estas
capacidades además de poder ubicar el dispositivo FortiExtender en una localización más
óptima para la recepción de la señal 4G/LTE, por ejemplo, fuera de una sala de proceso
de datos, donde la señal de recepción puede ser más baja.
2. GESTIÓN DE LOS EQUIPOS FORTIGATE
2.1. Tipo de gestión
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https,
telnet o SSH, siendo estos accesos configurables por interfaz, Además existe la
posibilidad de definir diferentes perfiles de administración con objeto de limitar las tareas
y posibilidades de cada usuario con acceso al equipo. A la hora de definir un usuario de
administración, se puede limitar el acceso a uno o varios VDOM en caso necesario.
Gracias a la aplicación FortiExplorer, disponible para Windows, Mac OSX, IOS y
Android, se puede configurar un dispositivo FortiGate a través de su interface USB.
Estas son algunas funcionalidades relacionadas con la administración del equipo:
● Soporte de configuración a través del interface USB para Android y dispositivos
IOS con la aplicación FortiExplorer.
● Nueva opción para formatear el boot device antes de actualizar el firmware
● Nuevo comando CLI para restablecer los valores de fábrica, manteniendo la
configuración de interfaces y VDOM
● Posibilidad de deshabilitar el login por consola
● Nuevos traps SNMP para FortiAP y FortiSwitch
● Extensiones SNMP para BGP
● GUI simplificado para FortiGate y FortiWifi 20C y 40C
● Servidor y Cliente DNS
● Servidor y cliente DHCP.
● Configuración de opciones DHCP para obtener la IP de un servidor TFTP y el
nombre de un fichero de configuración para restaurar configuraciones
● Wizard de configuración
● Mejoras en la configuración de gestión centralizada
● Soporte de nombres largos mejorado en CLI
● Modificación de políticas desde la ventana de lista de políticas.
● Personalización del color e idioma de la interfaz gráfica de usuario.
● Modo pantalla completa de la interfaz gráfica de usuario.
FORTINET - FAST, SECURE, GLOBAL
Página 91 de 97
Fortinet cuenta además con una plataforma de gestión global centralizada para múltiples
equipos denominada FortiManager™. El sistema FortiManager™ es una plataforma
integrada para la gestión centralizada de equipos FortiGate a través del cual pueden
configurarse múltiples dispositivos FortiGate de forma simultánea, creando grupos de
equipos y plantillas de configuración y permitiendo monitorizar el estado de estos
dispositivos.
2.2. Gestión Centralizada con FortiManager
FortiManager es la plataforma de gestión centralizada de Fortinet. FortiManager permite
la centralización de las acciones que se han de llevar a cabo en los equipos FortiGate
permitiendo un rápido despliegue de los proyectos de seguridad, el mantenimiento y
actualización de los distintos dispositivos FortiGate y su monitorización en tiempo real.
Además, con FortiManager se puede gestionar la suite de PC FortiClient y el gestor de
logging y reporting FortiAnalyzer, presentando una única interfaz de gestión para todos
los elementos de seguridad. Así mismo, la plataforma FortiManager se puede utilizar
como servidor de actualización de firmas de los equipos FortiGate, como si fueran un
nodo más de la red FDN, pero formando parte de la red del propio usuario, pudiendo de
esta manera centralizar la gestión de las descargas de seguridad de los equipos.
FORTINET - FAST, SECURE, GLOBAL
Página 92 de 97
El lineal actual de FortiManager se compone de distintos equipos físicos, aportando
soluciones de gestión centralizada a todos los entornos de seguridad posibles. Cada
modelo es capaz de gestionar un número definido de dispositivos Fortigate o de VDOM
configurados en estos.
Estos equipos soportan diversas funcionalidades, por ejemplo, la gestión por parte de un
administrador de múltiples ADOMs o dominios administrativos. Además, posibilita que
ciertas características de los dispositivos sean gestionadas a través de un perfil de
dispositivo, en vez de desde la base de datos de gestión de dispositivos. Asimismo,
también permiten crear perfiles de tiempo real o RTM (Real Time Monitor). De igual
modo, también es posible activar y monitorizar FortiTokens asociados a dispositivos
FortiGate.
Otra ventaja importante radica en que cuando hay equipos en alta disponibilidad y el
maestro cae, el esclavo se presenta como nuevo maestro sin necesidad de reiniciarse.
Además es también perfectamente compatible con IPv6.
2.3. FortiManager Virtual Appliance
Los dispositivos FortiManager Virtual Appliance son los appliances de gestión de
Fortinet con soporte en formato máquina virtual y creados para operar en las principales
plataformas de virtualización. Estos appliances virtuales se componen de las mismas
características que sus homólogos hardware, pero en formato virtual. Tanto los equipos
físicos como los virtuales pueden realizar labores de servidor local Fortiguard al
completo y un appliance virtual puede gestionar indistintamente FortiGates físicos o
virtuales, lo mismo que el appliance físico FortiManager.
FORTINET - FAST, SECURE, GLOBAL
Página 93 de 97
2.4. Registro de Logs
La capacidad de registro de eventos, tráfico y aplicaciones puede ser habilitada tanto a
nivel global como en cada una de las políticas definidas a nivel de firewall permitiendo
configurar un elevado nivel de detalle y de forma independiente cada uno de los registros
que se requieren.
Así, por cada política, de forma granular, se puede escoger una de las siguientes opciones:
● No Log: no hace login de los eventos.
● Log Security Events: guarda un registro de los eventos UTM producidos.
● Log all Sessions: guarda un registro de log para cada sesión que se genera.
FORTINET - FAST, SECURE, GLOBAL
Página 94 de 97
● Generate logs when Session Starts: Genera un log cada vez que una sesión
comienza (al igual que cuando finaliza).
● Capture packets: Realiza una captura de todo el tráfico que machea en la regla y
lo almacena en el disco duro.
Estos registros pueden ser almacenados localmente en memoria o en disco, (en aquellas
unidades que dispongan de él) o bien en un servidor externo como pueden ser un syslog
o la plataforma FortiAnalyzer. Para más seguridad, se pueden enviar los logs cifrados.
FortiGate también dispone de la capacidad de generar informes de forma local,
utilizando para ello los logs almacenados en sus discos. Uno de estos informes permite
evaluar el cumplimiento PCI DSS a nivel global o a nivel de VDOM:
2.5. Registro centralizado y gestión de informes con FortiAnalyzer
FORTINET - FAST, SECURE, GLOBAL
Página 95 de 97
FortiAnalyzer es una plataforma dedicada al registro centralizado de logs y la gestión y
tratamiento de los mismos. FortiAnalyzer posee la capacidad de generar más de 350
gráficas e informes diferentes que nos aportan información detallada sobre los eventos
registrados a nivel de Firewall, ataques, virus, VPN, utilización web, análisis forense, etc.
Entre los posibles informes cabe destacar:
● Informes de ataques: ataques registrados por cada equipo FortiGate, señalando el
momento en el que son registrados, e identificados a las fuentes más comunes de
ataque
● Informes de virus: top virus detectados, virus detectados por protocolo
● Informe de Eventos: eventos propios de la máquina, de administración de la
misma, etc.
● Informe de utilización del correo electrónico: usuarios más activos en envío y
recepción, ficheros adjuntos bloqueados identificados como sospechosos.
● Informe de utilización del tráfico web: usuarios web top, sitios bloqueados,
usuarios de mayor frecuencia de intento de acceso a sitios bloqueados, etc.
● Informe de utilización de ancho de banda: informes de uso del ancho de banda
por usuario, día, hora y protocolo
● Informes por protocolo: Protocolos más utilizados, usuarios ftp /telnet top.
FortiAnalyzer incluye un registro histórico y en tiempo real del tráfico de cada uno de los
equipos FortiGate gestionados, así como una herramienta de búsqueda en los logs.
FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos, tanto
en formato físcio como appliance virtual para las principales plataformas de
virtualización.
Aparte de la capacidad de generación de informes y de la gestión de los logs de las
distintas plataformas FortiGate, FortiAnalyzer puede actuar como gestor de alertas bajo
determinadas condiciones configurables por el administrador de seguridad. De esta
forma se centralizan las alertas de seguridad en un único dispositivo evitando la
dispersión y las dificultades de gestión asociadas a esta. Como elementos de análisis de la
red FortiAnalyzer cuenta con un monitor de tráfico en tiempo real y un escáner de
vulnerabilidades que permiten conocer en todo momento el estado de la seguridad en el
entorno aportando la capacidad de actuar sobre los puntos débiles o las vulnerabilidades
detectadas. Para facilitar al máximo las tareas de búsqueda de logs, existen módulos de
análisis forense y de correlación de eventos que permiten encontrar la información
necesaria sin la pérdida de tiempo típicamente asociada a la búsqueda en ficheros de log
independientes y descentralizados.
Algunas de las funcionalidades más destacables son:
● Log arrays, que soportan el acceso a logs e informes basados en grupos de
dispositivos, los cuales pueden formar parte de un HA.
● Permite logar tráfico proveniente de endpoints de FortiClient.
● Es posible generar informes para un grupo de dispositivos.
● Genera informes basados en la reputación del cliente o client reputation.
FORTINET - FAST, SECURE, GLOBAL
Página 96 de 97
●
●
●
●
●
Backups/restore de logs e informes.
Generación de alertas basadas en ciertos filtros sobre los logs recibidos.
Nuevos gráficos y datasets para wireless.
Mejora de la gestión SNMP y de los MIBs.
Herramienta mejorada para tests y realización de queries y muestra de resultados.
FORTINET - FAST, SECURE, GLOBAL
Página 97 de 97