FORTINET DocumentoDescriptivo FortiGate 2016
Short Description
Descripción: Fortines...
Description
DOCUMENTO DESCRIPTIVO FORTIGATE Resumen de funcionalidades
FORTINET - FAST, SECURE, GLOBAL
Página 1 de 106
ÍNDICE 1. INTRODUCCIÓN................................................................................ 1.1. Acerca de FortiGate..............................................................4 2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS........................... 2.1. La Arquitectura FortiGate....................................................5 2.2. IPv6.......................................................................................8 2.3. Modalidad NAT o Transparente...........................................9 2.4. Inspección en modo Proxy o Flow......................................10 2.5. Proxy Explícito....................................................................10 2.6. Dominios Virtuales (VDOM)...............................................11 2.7. Fortiview.............................................................................12 2.8. Routing...............................................................................14 2.8.1. Enrutamiento Estático Redundante.............................14 2.8.2. Policy Routing...............................................................15 2.8.3. Enrutamiento Dinámico...............................................16 2.9. Alta Disponibilidad.............................................................17 2.10. Optimización WAN..............................................................19 2.11. Autenticación de Usuarios..................................................21 2.12. Firewall...............................................................................23 2.12.1. Definición de Políticas..................................................25 2.12.2. Inspección SSL y SSH..................................................26 2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL 28 2.12.4. Calidad de Servicio (QoS)............................................30 2.12.5. Soporte VoIP.................................................................32 2.13. Redes Privadas Virtuales (VPN).........................................33 2.13.1. Internet Protocol Security (IPSec)...............................33 2.13.2. Point-to-Point Tunneling Protocol (PPTP)....................36 2.13.3. L2TP over IPSEC (Microsoft VPN)...............................37 2.13.4. GRE over IPSEC (Cisco VPN).......................................37 2.13.5. Wizard..........................................................................38 2.13.6. VPN SSL.......................................................................38 2.14. AntiMalware.......................................................................40 2.14.1. Escaneo de Firmas (Signature Scaning)......................43 2.14.2. Escaneo Heurístico......................................................43 2.14.3. Escaneo basado en CPRL.............................................44 2.14.4. Advanced Threat Protection (ATP)...............................44 2.14.5. Actualización de la Base de Firmas y Motor de Escaneo 46 2.14.6. Activación del Servicio mediante Perfiles de Protección 47 2.14.7. Mensajes de Reemplazo en Ficheros Infectados.........48 2.15. Detección y Prevención de Intrusión (IDS/IPS)..................48 2.15.1. Métodos de Detección..................................................51 2.15.2. Prevención de Intrusiones en Tiempo Real..................52 2.15.3. Activación del Servicio mediante Sensores.................53
FORTINET - FAST, SECURE, GLOBAL
Página 2 de 106
2.16. Control de Aplicaciones......................................................55 2.17. Filtrado de Tráfico Web (URL Web Filtering).....................58 2.17.1. URL Filtering mediante uso de listas locales...............58 2.17.2. Filtrado de Contenido mediante listas locales.............59 2.17.3. Filtrado de Java / Scripts / Cookies..............................59 2.17.4. Servicio Fortiguard Web Filtering................................60 2.17.5. Filtrado basado en cuotas............................................62 2.17.6. Filtrado de Contenido en Cachés.................................62 2.17.7. Activación del Servicio mediante Perfiles de Protección 63 2.17.8. Mensajes de sustitución en web filter..........................65 2.18. AntiSpam............................................................................65 2.18.1. Servicio Fortiguard AntiSpam......................................68 2.18.2. Más características FortiGuard....................................69 2.19. Data Leak Prevention (Prevención de Fuga de Datos).......69 2.20. WAF (Web application firewall)..........................................71 2.21. CASI (Cloud Access Security Inspection)...........................72 2.22. DNS Filter...........................................................................73 2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C.........................................................................73 2.22.2. Filtro de URLs estático................................................73 2.23. External security devices...................................................74 2.1. Controlador Switches - FortiLink.......................................74 2.2. Controlador Wifi.................................................................74 2.3. Identificación de Dispositivos - BYOD................................76 2.4. Seguimiento de amenazas (Reputación de clientes)..........77 2.5. FortiGate Virtual Appliance................................................78 2.6. Wan link load balance.........................................................80 2.6.1. Algoritmos de balanceo................................................81 2.6.2. Wan Links.....................................................................81 2.6.3. Reglas de prioridad......................................................82 2.7. Control del EndPoint..........................................................82 2.8. Virtual wire pair.................................................................83 2.9. FortiExtender......................................................................85 3. GESTIÓN DE LOS EQUIPOS FORTIGATE....................................... 3.1. Tipo de gestión...................................................................85 3.2. Gestión Centralizada con FortiManager............................86 3.3. FortiManager Virtual Appliance.........................................87 3.4. Registro de Logs.................................................................88 3.5. Registro centralizado y gestión de informes con FortiAnalyzer................................................................................89
FORTINET - FAST, SECURE, GLOBAL
Página 3 de 106
1.INTRODUCCIÓN 1.1.
Acerca de FortiGate
Las plataformas de seguridad FortiGate constituyen una nueva generación de equipos de seguridad de muy alto rendimiento que garantizan la protección completa de los Sistemas de empresas de cualquier tamaño tiempo real. FortiGate, líder del mercado, proporciona una solución integrada de seguridad compuesta por las funcionalidades más eficaces que proporcionan una protección completa de las comunicaciones, como son: Firewall, VPN (IPSEC y SSL), Antimalware, Anti-Botnet, Anti-DOS, Sistemas de Detección/Prevención de Intrusiones, Filtrado Web, Antispam, Control de Aplicaciones, Inspección de Contenido en SSL, firewall de aplicaciones WEB e inspección del acceso a aplicaciones cloud (CASI). Además, todas las funcionalidades de seguridad se integran de forma conjunta con funcionalidades añadidas como Traffic Shaping, Alta Disponibilidad, balanceo de carga, Aceleración y balanceo Wan, Soporte a VoIP, Controlador Wireless, Enrutamiento dinámico RIP, OSPF y BGP, etc. El gran abanico de equipos FortiGate existente permite diseñar soluciones adaptadas a las diferentes necesidades de cada entorno, disponiendo en todos ellos de las mismas funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS, que es similar en todos los equipos FortiGate, independientemente de la gama a la que pertenezcan. Los equipos FortiGate pueden considerarse como equipos “todo en uno”, configurados para proporcionar todo el conjunto de funcionalidades de seguridad más importantes en el mercado de una forma sencilla, pero también pueden ser considerados como un appliance de seguridad especializado en una o varias de las funcionalidades de las que dispone, obteniendo un equipo de alto rendimiento y prestaciones sin competencia. La familia de dispositivos Fortinet se extiende con equipos que complementan las funcionalidades de los propios FortiGate:
La plataforma FortiManager, que permite la gestión, administración y configuración desde un único punto centralizado de miles de equipos FortiGate que estén distribuidos en nuestro entorno de comunicaciones.
Los equipos FortiAnalyzer, que proveen de una potente herramienta de gestión y análisis de logs, generación
FORTINET - FAST, SECURE, GLOBAL
Página 4 de 106
periódica y automatizada de informes configurables por el administrador, así como herramientas complementarias de análisis forense, análisis de vulnerabilidades o scanning de red.
Los puntos de acceso Wireless, FortiAP, que junto con la funcionalidad de controlador Wifi de los equipos Fortigate, permiten aplicar políticas de seguridad al tráfico Wifi de la misma manera que al tráfico LAN, garantizando una gestión simple y centralizada de la seguridad de una compañía independientemente de que los usuarios accedan por LAN, Wifi o VPN.
Las plataformas de protección ante amenazas Avanzadas FortiSandbox, que permiten elevar el nivel de protección, al ser capaces de analizar el comportamiento del malware desconocido, evitando que infecte las redes y sistemas protegidas por este dispositivo
El software FortiClient, como completo agente de seguridad para el puesto de usuario, dotado de las funcionalidades de Firewall, Antimalware, AntiSpam, Web Filter, Control de Aplicaciones e integración con FortiSandbox, siendo también cliente VPN IPSec para el establecimiento de túneles con los equipos FortiGate. Permite que se apliquen políticas en el firewall en función del cumplimiento de las políticas de seguridad en el puesto de usuario, así como seguir manteniendo las políticas de seguridad corporativas una vez el equipo ha salido del entorno corporativo
FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo están disponible en formato appliance físico, también existen versiones de tipo appliance virtual homólogo, que puede ser desplegado en las principales plataformas de virtualización del mercado.
2.CARACTERÍSTICAS EQUIPOS 2.1.
TÉCNICAS
DE
LOS
La Arquitectura FortiGate
La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones.
FORTINET - FAST, SECURE, GLOBAL
Página 5 de 106
La tecnología incluye los Procesadores FortiASIC™ y el Sistema Operativo FortiOS™ los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos. Los procesadores FortiASIC™, diseñados por Fortinet, poseen un motor propietario de análisis de contenido que acelera los intensivos procesos de análisis requeridos por la seguridad a nivel de aplicación (Antimalware, filtrado de contenidos y procesos relacionados), estos procesos tendrían un rendimiento mucho más bajo y una mayor latencia si fueran llevados a cabo por procesadores de propósito general. El Sistema Operativo FortiOS™ es un sistema robusto y eficiente, diseñado y dedicado a los procesos propios de una plataforma de seguridad. FortiASIC™ La exclusiva arquitectura basada en ASIC empleada por los equipos Fortinet permite el análisis del contenido del tráfico en tiempo real, satisfaciendo todas las necesidades de protección a nivel de aplicación sin impactar en el rendimiento de la red. El procesador FortiASIC™ posee múltiples características que hacen posible su alto rendimiento:
Contiene un motor hardware que acelera el análisis de las cabeceras de cada paquete y del contenido ensamblado de los paquetes de una conexión, acelerando de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser
FORTINET - FAST, SECURE, GLOBAL
Página 6 de 106
capaz de identificar a velocidad de línea el flujo al que pertenece cada paquete.
Posee un potente motor de comparación de firmas que permite contrastar el contenido del tráfico de una sesión contra miles de patrones de firmas de virus, ataques de intrusión, reconocimiento de aplicaciones u otros patrones sin comprometer el rendimiento de la red. Este motor de análisis re-ensambla los paquetes pertenecientes a un mismo mensaje en memoria, carga las firmas necesarias y realiza una búsqueda por comparación de patrones, todos estos procesos se realizan a nivel de hardware con la ganancia en velocidad que eso supone.
FortiASIC™ incluye también un motor de aceleración de cifrado que permite realizar cifrado y descifrado de alto rendimiento para el establecimiento de las Redes Privadas Virtuales o VPN.
Diferentes flujos, diferentes velocidades: Gracias a los procesadores FortiASIC el flujo de tráfico que atraviesa un dispositivo FortiGate, se trata a diferentes velocidades en función de que los paquetes se inspeccionen o no por los diferentes motores de filtrado. Así un paquete que solo se inspecciona a nivel de Firewall, se procesará a la velocidad máxima que puede proporcionar el hardware para este flujo y solo el tráfico que se inspeccione a través del motor de IPS, Antimalware, etc. (por ejemplo), permitirá el caudal máximo según las especificaciones hardware de cada equipo para dicho motor de inspección. Aceleración hardware para puertos de red: NP6 (Network Processor v6) El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la sustitución de IP's cuando se habilita NAT, el seguimiento del tráfico a través de las tablas de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino, permitiendo sólo las conexiones legítimas a nivel de política de seguridad así como todo el tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones como es el caso de FTP o los protocolos de voz, por ejemplo. Este trabajo debe ser realizado independientemente del payload del protocolo en cuestión y para cada uno de los paquetes que compongan una sesión a nivel de aplicación. Cuando los protocolos en uso se basan en una gran cantidad de paquetes con un payload bajo, el trabajo que ha de llevarse a cabo
FORTINET - FAST, SECURE, GLOBAL
Página 7 de 106
en el firewall es mucho mayor, ya que este depende exclusivamente de la cantidad y no del tamaño de los paquetes y debido a que en un mismo volumen de datos se han de procesar un número mucho mayor de cabeceras y entradas de las tablas de estado así como de decisiones de enrutamiento. Esta circunstancia, provoca que los equipos que sólo utilizan CPU's de propósito general para realizar las tareas necesarias puedan verse seriamente afectados ante estos tipos de tráfico, llegando a decrementar su rendimiento de tal forma que se introducen retardos en la red e incluso es necesario descartar paquetes debido a la saturación de la CPU del equipo. Esta saturación provoca retardos inadmisibles en determinados protocolos y además afecta al resto del tráfico de la red haciendo que la calidad del servicio se vea afectada muy negativamente. Queda entonces patente que el troughput de un equipo está directamente relacionado con el tipo de tráfico que se está generando en la red y no sólo con su volumen, y que además, los números comúnmente expuestos en las hojas de producto son imposibles de alcanzar en entornos de tráfico característico de aplicaciones multimedia y convergencia IP como pueden ser el streaming de video o los protocolos RTP para VoIP. La solución en este tipo de entornos, pasa por el uso de tecnologías de aceleración hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestión de las cabeceras de forma rápida y sin influir en el trabajo de la CPU principal, liberando a esta de la carga del procesamiento de las cabeceras de los paquetes, el mantenimiento de las tablas de estado o las decisiones de enrutamiento. Para cumplir con este requerimiento, la familia de equipos físicos FortiGate, incluye en su lineal dispositivos equipados con puertos acelerados (Network Processor) NP6. Mediante el uso de circuitos integrados de aplicación específica (ASIC) que dan servicio exclusivo a este tipo de puertos, se acelera la inspección de paquetes a nivel del propio puerto, liberando a la CPU e imprimiendo velocidad de línea a las transmisiones que los atraviesan, sea cual sea el tamaño de paquete utilizado. De esta forma, se puede mantener un troughput continuo de forma optimizada en las comunicaciones, de manera que el nivel de servicio de los protocolos más sensibles, y por extensión el resto de tráfico de la red, no se vea afectado, ya sea en entorno multi-
FORTINET - FAST, SECURE, GLOBAL
Página 8 de 106
gigabit, 10G, 40G o 100G, pues existen dispositivos FortiGate con diferentes combinaciones puertos de 1G (fibra y/o cobre) , 10G (fibra y/o cobre), 40G, 100G, PoE, etc. Algunos modelos de FortiGate (revisar hoja de datos) disponen de un Switch hardware en su interior con soporte STP (Spaning Tree Protocol). Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su portfolio de productos, haciendo que las redes puedan seguir funcionando con normalidad ante protocolos que hacen uso extensivo de paquetes pequeños, como los asociados a los protocolos de VoIP, las aplicaciones multimedia o el tráfico de sincronización de los motores de base de datos. El core de esta tecnología consiste en el uso de FortiASIC NP6 para dar servicio a varios puertos de red de un equipo, así será el FortiASIC y no la CPU principal, el que lleva a cabo el procesamiento de los paquetes que entran en cada puerto físico del appliance, haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar ciclos de liberación de la CPU principal.
Aceleración hardware FortiASIC CP8/9 (Content Processor v8/9) Del mismo modo que NP6 acelera el rendimiento y disminuyen la latencia al inspeccionar el tráfico de red, los procesadores FortiASIC CP 8/9 son capaces de acelerar las tareas intensivas de computación, como la inspección de contenido en capa 7.
Aceleración hardware FortiSoC2 La gama “entry level” de equipos FortiGate dispone de un procesador específico desarrollado por Fortinet que proporciona un rendimiento óptimo a un coste adaptado al presupuesto de los clientes a los que van dirigidos estos equipos, generalmente pequeñas y medianas empresas o también oficinas remotas con pocos usuarios y líneas de comunicaciones de bajo caudal. FortiOS™ El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de conmutación de alto rendimiento. El núcleo de
FORTINET - FAST, SECURE, GLOBAL
Página 9 de 106
FortiOS™ es un kernel dedicado, optimizado para procesamiento de paquetes y trabajo en tiempo real. Provee además de un interfaz homogéneo para cada una de las funcionalidades ofrecidas. Este sistema operativo funciona sobre diversos modelos de procesadores de propósito general. Esta flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate.
2.2.
IPv6
Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva versión de firmware. En la siguiente tabla, se pueden ver las funcionalidades soportadas más destacables, relativas a IPv6:
Políticas IPS por interface IPv6 Rutas estáticas IPv6 Objetos y grupos IPv6 Políticas IPv6 VPN IPSEC con direccionamiento IPV6 Túneles IPv6 sobre IPv4 DNS IPv6 IPv6 en modo transparente Acceso administrativo IPv6 Routing dinámico IPv6: RIP, BGP, OSPF Soporte UTM para tráfico IPv6: AV, Web filtering SSL VPN IPv6 Monitor de sesiones IPv6 Autenticación Firewall IPv6 DHCP6 Aceleración FW IPv6 Soporte SNMP IPv6 DLP para IPv6. VoIP, ICAP, y UTM IPv6 NAT 64, NAT 66, DNS 64 Política IPS forwarding IPv6 HA sesión pick-up IPv6 Sensor DOS IPv6 Traffic shaping por IP para IPv6 Policy routing IPv6 Proxy explícito IPv6 MIBS IPv6 IPSec fase 2 Rangos de IPs
FORTINET - FAST, SECURE, GLOBAL Página 10 de 106
Configuracion de valores TCP MSS Soporte RSSO Base de datos de geolocalización Blackhole routing. TFTP session helper Mejoras en session helper de FTP, PPTP y RTSP. Routing asimétrico para ICMP.
2.3.
Modalidad NAT o Transparente
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de funcionamiento: modo router/NAT o modo Transparente. Trabajando en modo NAT el equipo actúa como un router, enrutando los paquetes entre los diferentes interfaces físicos y/o lógicos del equipo, con la capacidad de realizar NAT. Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar los paquetes a través del mismo en función de las políticas definidas. El equipo FortiGate no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestión del propio equipo y actualización de firmas, a la que atiende por cualquiera de los interfaces). De este modo, el equipo puede ser introducido en cualquier punto de la red sin necesidad de realizar ninguna modificación sobre ningún otro dispositivo. El equipo FortiGate soporta las mismas funcionalidades en ambos modos de funcionamiento (firewall, antimalware, IPS, control de aplicaciones, web filtering, antispam). También es posible combinar las dos funcionalidades y configurar en un mismo dispositivo FortiGate.
2.4.
Inspección en modo Proxy o Flow
El modo de inspección controla la forma que tiene FortiGate de aplicar y controlar los perfiles de seguridad. Una vez configurado el modo de inspección, aplica de forma global a todos los perfiles de seguridad, por lo que no es posible configurar una política con un perfil de seguridad en modo proxy y otra regla con otro perfil en modo flow.
2.5.
Proxy Explícito
FORTINET - FAST, SECURE, GLOBAL Página 11 de 106
FortiGate puede configurarse como un servidor Proxy (HTTP y FTP), de forma que los navegadores de los equipos cliente lo utilicen de forma explícita para permitir la salida a internet. El acceso a internet lo puede realizar el propio equipo FortiGate de forma directa o bien utilizando otro proxy externo, configurando un proxy encadenado (chaining/forwarding). Es también posible establecer mensajes de aviso (tipo disclaimer) a nivel de usuario, dominio o política, al utilizar el proxy explícito de FortiGate. Distintos tipos de objetos se pueden utilizar en las polícitas de proxy explícito, como son:
Objetos tipo VIP Patrón URL Host Regex Categoría URL Método HTTP Agente Usuario Cabecera HTTP Origen avanzado (combinación de Agente usuario, Método HTTP y cabecera HTTP) Destino avanzado (combinación de Categoría URL y Host Regex)
Así mismo se implementan funcionalidades anti-botnet en el Proxy Explícito.
2.6.
Dominios Virtuales (VDOM)
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única plataforma física sea posible configurar hasta 500 Equipos virtuales (dependendiendo del modelo de dispositivo), completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de dominios virtuales. Se recomienda consultar la hoja de características de cada modelo donde se indica el número de VDOM incluidos sin licencia adicional y las capacidades de ampliar este número para los modelos de gama media o alta, en los que es posible ampliar el número a 250 VDOM o incluso 500 Dominios Virtuales en los equipos más altos de gama.
FORTINET - FAST, SECURE, GLOBAL Página 12 de 106
Cada uno de estos dominios virtuales representa de forma lógica una instancia independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc.
FORTINET - FAST, SECURE, GLOBAL Página 13 de 106
2.7.
Fortiview
FortiView es una consola incluida en el propio interface gráfico de FortiGate, que no requiere licencia y que mejora la visibilidad de las aplicaciones, amenazas, sitios web, etc. que se están utilizando en la red. La visualización se puede realizar en tiempo real o basada en datos históricos. Cada ventana de FortiView muestra inicialmente las 100 sesiones top, aunque cuando se filtran los resultados, se pueden mostrar más sesiones. El filtrado se puede realizar por diferentes atributos, estos atributos se pueden seleccionar desde un menú localizado al principio de cada widget, que muestra solo las opciones que contienen información, por ejemplo, si las únicas aplicaciones utilizadas son Dropbox, SSL y Skype, estas serán las únicas opciones que aparecerán en el menú desplegable para filtrar por aplicaciones. A continuación se indica la información disponible en los diferentes widget de FortiView: Orígenes Este widget muestra información sobre los orígenes del tráfico que llega al Fortigate, incluyendo información del usuario y del dispositivo. Se pueden añadir columnas adicionales con información sobre sesiones, bytes enviados o recibidos. Además se puede filtrar por IP de origen, dispositivo de origen, interface de origen o destino e identificador de política.
Aplicaciones Para obtener información de Aplicaciones, es necesario que al menos una política de seguridad tenga aplicado el control de aplicaciones. Este widget muestra información sobre las aplicaciones que se están utilizando en la red, incluyendo el nombre, categoría y nivel de riesgo de la misma. Se pueden añadir columnas adicionales con información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origen o destino e identificador de política.
FORTINET - FAST, SECURE, GLOBAL Página 14 de 106
Aplicaciones Cloud Este widget requiere al menos una política con la inspección SSL además del control de aplicaciones Contiene información acerca de las aplicaciones en la nube que se han usado en la red: nombre, categoría, nivel de riesgo, identificador de login y el número de videos visualizados (si aplica). Si se deja el cursor sobre la columna que muestra el número de videos, se podrá ver el título de los mismos. Se pueden también añadir columnas adicionales con las sesiones, bytes enviados o recibidos. Existen dos posibles formas de ver las aplicaciones Cloud: Aplicaciones y Usuarios. Aplicaciones muestra una lista de los programas utilizados, mientras que Usuarios, muestra información de usuarios individuales que utilizan aplicaciones Cloud, incluyendo el nombre del usuario si el FortiGate ha podido obtener esta información en el momento del login. También permite filtrar por aplicación, interface de origen o destino e identificador de política.
Destinos Se muestra información sobre la IP de destino del tráfico del Fortigate, así como la aplicación que se ha utilizado. Se pueden añadir columnas adicionales con información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origeno destino e identificador de política.
Sitios Web Este widget requiere al menos una política con Web Filtering habilitado. Muestra una lista de los sitios web más visitados y de los más bloqueados. Se puede ver la información por dominio o por categoría, utilizando las opciones disponibles en la esquina superior derecha. Cada categoría puede ser pulsada para ver una descripción de la misma, así como sitios web de ejemplo. Se han añadido iconos a los grupos de categorías y se muestra además información sobre el
FORTINET - FAST, SECURE, GLOBAL Página 15 de 106
dominio, el tiempo de uso, el nivel de amenaza, orígenes y bytes enviados o recibidos. También permite filtrar por aplicación, interface de origen o destino e identificador de política.
Amenazas Para que este widget pueda mostrar información, se debe habilitar la opción de tracking de amenazas. Se muestra un listado de los usuarios top involucrados en incidentes, así como información del top de amenazas en la red. Se puede mostrar información adicional acerca de la amenaza, la categoría, el nivel de amenaza, el peso y el número de incidentes detectados. También puede ser filtrado por interface de origen o destino, tipo de amenaza, amenaza e identificador de la política.
Todas las sesiones Muestra información relativa a todo el tráfico del Fortigate. Se pueden elegir las columnas a visualizar en la opción “Column Settings” y colocarlas en el orden deseado a través del menú contextual que aparece al pulsar el botón derecho del ratón. Se puede filtrar por IP de origen o destino, aplicación, dispositivo de origen, interface de origen o destino e identificador de política. En caso de haber aplicado un filtro en algún widget anterior antes de visualizar el widget de todas las sesiones, dicho filtro permanecerá activo hasta que se limpie de forma manual.
FORTINET - FAST, SECURE, GLOBAL Página 16 de 106
La información histórica que muestra FortiView se obtiene a partir de los logs almacenados en el propio FortiGate, por este motivo los dispositivos más pequeños que constan únicamente de un disco flash, en lugar de SSD, no podrán obtener información histórica.
2.8.
Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1 y v2), OSPF (IPv4 ó IPv6) y BGP v4 (mediante BGP4+ soportado IPv6), así como con enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento estático (IPv4 ó IPv6) y ofrecer la posibilidad de realizar policy routing y balanceo de líneas WAN, permitiendo incluso la utilización de distinta línea en función del tráfico de las distintas aplicaciones. 2.8.1.
Enrutamiento Estático Redundante
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De este modo, cuando la puerta de enlace definida como primaria no esté disponible, el equipo FortiGate encaminará los paquetes por el segundo gateway definido. Para poder detectar la caída de cualquiera de los elementos que componen el camino de salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping Server que permite monitorizar el estado de dicho camino mediante el envío de paquetes ICMP contra cualquier nodo de ese camino. Un ejemplo de configuración seria este: config system link-monitor edit "link1" set srcintf "wan1" set server "8.8.8.8" set gateway-ip 192.168.36.254 next end Además se puede ver el estado de cada link monitor en Monitor -> WAN Link Monitor
FORTINET - FAST, SECURE, GLOBAL Página 17 de 106
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino no está disponible y comienza a utilizar el siguiente gateway definido. De este modo se puede emplear la plataforma FortiGate para configurar múltiples conexiones a Internet, soportando redundancia entre ellas mediante ECMP (Equal Cost Multi-path). Se puede implementar ECMP en 3 modos distintos:
source-ip-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en función de las direcciones IP origen. weight-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en función de los pesos establecidos en cada ruta estática de igual coste. usage-based: Se balancea el tráfico entre las distintas rutas de salida en función del porcentaje de uso de un interfaz. Una vez superado el porcentaje predefinido para un interfaz, comenzarán a utilizarse la ruta de salida ligada a otro interfaz. 2.8.2.
Policy Routing
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se realice únicamente en función de la red de destino, sino teniendo en cuenta también los siguientes parámetros:
Interfaz Origen y red de origen Protocolo, servicio o rango de puertos tanto de origen como de destino y ToS.
FORTINET - FAST, SECURE, GLOBAL Página 18 de 106
Configuración Policy routing
De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80) fuese redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro, logrando de este modo balancear la carga entre dos interfaces de conexión a Internet, sin perder la redundancia de los mismos. 2.8.3.
Enrutamiento Dinámico
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1 y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse Mode y Dense Mode, de modo que se permite la integración de las plataformas en entornos de red más complejos.
FORTINET - FAST, SECURE, GLOBAL Página 19 de 106
2.9.
Alta Disponibilidad
La capacidad de trabajar en clúster de alta disponibilidad (HA) dota a los equipos FortiGate de redundancia ante fallos. Además el clúster puede configurarse en modo activo-activo haciendo balanceo de carga del tráfico, en modo activo/pasivo en la que un único equipo procesa el tráfico de la red y es monitorizado por los demás para sustituirle en caso de caída, o en modo Virtual Cluster (solo para 2 nodos), que permite establecer diferentes clusters activo/pasivo a nivel de VDOM. Todos los modelos de FortiGate pueden ser configurados en clúster, proporcionando escenarios de alta disponibilidad mediante la utilización de varios equipos redundantes entre sí, empleando un protocolo específico para la sincronización del clúster (Fortigate Cluster Protocol / FGCP) FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así como tener instalada la misma versión del Sistema Operativo FortiOS (firmware) Otras características del HA en FortiGate:
Modo NAT y modo transparente Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate 100D Soporte de sincronización de la configuración en modo standalone (sincronizacion sin clúster) Soporte HA para autenticación VPN SSL
HA Heartbeat Los miembros del clúster se comunican entre ellos a través de un protocolo propietario denominado HA Heartbeat. Este protocolo se utiliza para:
Sincronizar la configuración entre los equipos Sincronizar la tabla de sesiones activas tanto de firewall como de VPN Informar a los otros miembros del clúster del estado del equipo y sus enlaces
FORTINET - FAST, SECURE, GLOBAL Página 20 de 106
Los interfaces empleados para el intercambio de información entre los equipos del clúster son definidos por el administrador del equipo, si bien no existe la necesidad de que sean enlaces dedicados a esta función y permiten que dichos enlaces sean empleados para transmitir tráfico de producción, es recomendable establecer interfaces dedicados siempre que sea posible. Igualmente es recomendable que los interfaces empleados para la transmisión de esta información sean configurados en modo redundante, es decir, que el administrador defina varios enlaces para realizar esta función, de modo que si alguno fallara la información pasaría a transmitirse de forma automática por otro enlace al que se le haya asignado esta tarea. Dado que los equipos que forman parte del clúster se intercambian información sobre las sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a estas sesiones, realizándose una protección ante fallos completamente transparente. El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en el cluster, en el supuesto caso de una caída de alguno de los interfaces monitorizados. Modos Activo-Activo y Activo-Pasivo Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados tanto en modo transparente como en modo NAT (router).
FORTINET - FAST, SECURE, GLOBAL Página 21 de 106
Configuración de Alta Disponibilidad
Un clúster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el tráfico y uno o más equipos subordinados que están conectados a la red y al equipo primario, pero no procesan tráfico alguno. No obstante los nodos secundarios pueden tener una copia de la tabla de sesiones si se habilita la opción “Enable Session Pick-up” El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades que componen el clúster. Cada FortiGate procesa activamente las conexiones existentes y monitoriza el estado de los otros nodos del clúster. El nodo primario procesa el tráfico y redistribuye el tráfico entre los diferentes equipos que forman parte del clúster. Virtual Clustering Cuando 2 equipos configurados en alta disponibilidad existen diferentes Dominios Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los equipos que forman el clúster, configurándolos en modo activo-pasivo pero estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o VDOMs. De este modo, el tráfico de un grupo de dominios virtuales será procesado por uno de los nodos, mientras que el otro grupo de VDOMs enviará su tráfico hacia el otro nodo,
FORTINET - FAST, SECURE, GLOBAL Página 22 de 106
estableciéndose de este modo un balanceo de carga en función del dominio virtual.
CUSTOMER A VDOM
CUSTOMER B VDOM
CUSTOMER C VDOM
CUSTOMER D VDOM
CUSTOMER A VDOM
CUSTOMER B VDOM
CUSTOMER C VDOM
CUSTOMER D VDOM
Compartir solo la tabla de sesiones Este modo de configuración especial permite compartir la tabla de sesiones entre dos equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es posible configurar este modo de manera que los equipos FortiGate compartan un único fichero de configuración, aportando al administrador la posibilidad de realizar los cambios de forma centralizada, como si de un clúster se tratara, pero sin existir mecanismos de monitorización entre los nodos, como si ocurre en un clúster tradicional FGCP. VRRP (Virtual Router Redundancy Protocol) Es posible configurar el protocolo VRRP entre equipos FortiGate e incluso entre equipos de otro fabricante y un dispositivo FortiGate. Este protocolo solo trabaja a nivel de routing, por lo que no es posible compartir la tabla de sesiones cuando se hace uso del mismo.
2.10.
Optimización WAN
La optimización o aceleración WAN posibilita la mejora y el incremento de rendimiento y seguridad en comunicaciones a través de redes de área extensa, como puede ser el caso de Internet o MPLS. Esta función está disponible por VDOM (firewall virtual) configurándose de manera independiente para cada uno de ellos, lo que dota de mucha flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios gestionados. Los FortiGate que soportan esta funcionalidad son aquellos que constan de almacenamiento interno. La tecnología de compresión utilizada es propietaria de Fortinet, no compatible con aceleradores de terceros, pero sí lo es con el cliente Forticlient. Las principales funcionalidades aportadas son la optimización de la comunicación, reducción del ancho de banda consumido, gracias a
FORTINET - FAST, SECURE, GLOBAL Página 23 de 106
la optimización del protocolo de comunicación utilizado, byte caching, web caching y la posible securización de la comunicación cliente/servidor a través de la red WAN gracias al establecimiento de un túnel seguro. Con esto se reducen latencias, se incrementa el rendimiento y se garantiza la privacidad en las transacciones. Dicha tecnología requerirá el soporte en ambos extremos remotos de la tecnología de optimización. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o Forticlient WAN Optimization.
Además de ofrecer un alto grado de privacidad, gracias a la tunelización segura, esta tecnología está incluida en un sistema de Firewall de reconocida reputación, con lo que se dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos, pudiendo aplicar reglas de Firewall necesarias para cumplir la política corporativa. Técnica Web Caching Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos servidores y el ancho de banda utilizado, así como la percepción de latencia por el usuario final. Dicha técnica se basa en hacer caching de determinados objetos que intervienen usualmente en estas transacciones. Se guardan contenidos como determinadas páginas HTML, imágenes, respuestas de servlets y algunos objetos más. Para guardar estos objetos (caching) se utilizará el disco duro o módulos opcionales con disco (ASM o FSM) del equipo Fortigate. Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN, además los servidores que sirven estas peticiones deberán servir un número menor de transacciones gracias a la técnica de caching de Fortigate y adicionalmente, la latencia percibida por los usuarios se verá drásticamente reducida, ya que parte del contenido se sirve localmente. Para hacer simplemente caché tradicional de tráfico Web, no es necesario otro sistema Fortigate en el otro extremo. Optimización de Protocolos
FORTINET - FAST, SECURE, GLOBAL Página 24 de 106
Esta técnica mejora el uso del ancho de banda y la eficiencia de la comunicación. Requiere el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleración uno de los protocolos soportados como CIFS, FTP, HTTP o MAPI. Un ejemplo típico y de extendido uso es el protocolo CIFS, que durante su establecimiento y mantenimiento de sesión utiliza gran número de comunicaciones por lo que la compartición de archivos a través de Internet suele ser bastante lenta. Gracias a la funcionalidad Protocol Optimization provista, se reduce en gran medida el tiempo de espera de este tipo de transacciones. Byte caching Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les aplica un hash único. A posteriori, se envían esos elementos hash al extremo remoto y este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este modo la transferencia de un fichero se ve agilizada. Esta técnica no es específica de un protocolo, por ejemplo un fichero X enviado vía email puede ser acelerado a posteriori en una descarga web si el fichero es el mismo X. Aceleración SSL Gracias a los circuitos ASIC CP8/9 se acelera el cifrado/descifrado de trafico SSL. Túneles seguros entre WAN Peers Empleando túneles SSL se puede garantizar la privacidad de las comunicaciones dentro del túnel WAN.
Estadísticas de Aceleración WAN
FORTINET - FAST, SECURE, GLOBAL Página 25 de 106
2.11.
Autenticación de Usuarios
Las plataformas FortiGate soportan la autenticación de usuarios en diferentes funcionalidades, como son: Autenticación a través de políticas de Firewall. Cuando un determinado tráfico es identificado por una política definida en el Firewall que tiene un objeto de tipo usuario o grupo en el campo “origen”, el equipo decide si dicho tráfico es permitido o no en función del usuario del que se trate, de esta forma la granularidad de las reglas puede llevarse a cabo en función del origen del tráfico o en función del grupo de usuarios que generen el tráfico. Esta autenticación puede realizarse contra una base de datos local creada en el propio equipo, o bien contra servidores externos RADIUS, TACACS +, LDAP, Novel eDirectory o Active Directory, pudiendo realizarse con estos 2 últimos una autenticación transparente de los usuarios que pertenezcan al Directorio Activo de Microsoft o de Novel eDirectory. Autenticación de usuarios VPN: Cuando un usuario intenta acceder la red interna a través del servicio de acceso remoto VPN provisto por los equipos FortiGate, ya sea IPSec o SSL la tecnología empleada, el equipo solicita la autenticación del usuario de forma previa a establecer la conexión. Esta autenticación se puede realizar mediante una base de datos local, o bien mediante la utilización de servidores externos (RADIUS, LDAP, AD, etc.). FortiGate permite la utilización de un segundo factor de autenticación, ya sea a través del envío de una password de un solo uso por correo electrónico o mediante SMS, así como mediante la utilización de FortiToken, un generador de contraseñas de un solo disponible en formato físico o software para Smart Phone. Fortinet dispone de un protocolo propietario denominado FSSO (Fortinet Single Sign On) que interactúa con el Servidor de Directorio Activo o Novel eDirectory. El protocolo FSSO se basa en la utilización de un agente ligero software que se instala en un servidor miembro del Directorio Activo y que desde ese momento establece un diálogo con el equipo FortiGate. También es posible mediante polling desde el equipo FortiGate, realizar consultas a los servidores del directorio, de modo que no se requiera la instalación del agente ligero. El modo de funcionamiento de FSSO consiste en que cada vez que un usuario se valida en el servidor AD, el agente informa al equipo FortiGate de qué usuario se ha validado, a qué grupo pertenece y qué dirección IP le ha sido asignada. En caso de haberlo configurado con polling desde el propio FortiGate, este extrae dicha información del log de eventos del Controlador/es de Dominio
FORTINET - FAST, SECURE, GLOBAL Página 26 de 106
(DC) del Directorio Activo. A partir de ese momento, cada vez que el usuario realice alguna operación que implique validación por parte del Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la validación se realiza de forma transparente gracias a la información que se han intercambiado el servidor AD y el equipo FortiGate.
Otras funcionalidades usuarios son:
relacionadas
con
la
identificación
de
Acceso basado en SSO usando 802.1x, portal cautivo y FortiClient VPN Agente SSO para Citrix y Microsoft Terminal Services RSSO: SSO basado en Radius (Perfiles dinámicos) Soporte para servidores secundarios/backup de autenticación remota Pooling FSSO directamente desde el FortiGate Soporte de perfiles dinámicos para Proxy SSH Provisión de acceso a usuarios invitados Importación segura de semillas OTP Activación y gestión de soft Token (FortiToken Mobile para Android e IOS) API Json para soporte de Token Monitorización de servidor Microsoft Exchange para FSSO
2.12.
Firewall
Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnología Stateful Inspection Packet. Esto le permite hacer un análisis exhaustivo de la cabecera de cada paquete, identificando la sesión a la que pertenece, chequeando el correcto orden de los paquetes y realizando control sobre el tráfico de la red. Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. Cada vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden correcto.
FORTINET - FAST, SECURE, GLOBAL Página 27 de 106
Este análisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicación Específica FortiASIC, lo que permite a las plataformas FortiGate alcanzar un rendimiento mayor y un número de nuevas sesiones por segundo superior al de cualquier solución basada en la utilización de una CPU de propósito general. Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y destino.
Este modo de definición de las políticas permite optimizar el rendimiento y el procesamiento de cada uno de los flujos, ya que para cada uno de los paquetes es identificado su origen y su destino y enviado entonces al módulo de routing. Esta organización permite que el paquete sea tan solo comparado contra las reglas definidas entre esos interfaces, comenzando por la superior de todas y descendiendo hasta encontrar aquella con que coincida en función de los diferentes parámetros configurables para cada política (par origen/destino, usuario, servicio, calendario, etc.). Si no se encontrara ninguna regla que coincidiera con el paquete analizado, éste sería descartado. Al tener que comparar contra un grupo menor que el total de las reglas definidas, el tiempo requerido disminuye, lo que agregado a la utilización de la tecnología FortiASIC confiere a los equipos FortiGate un rendimiento inigualable como firewall, llegando hasta 1 Terabps en un chasis de la serie 5000.
FORTINET - FAST, SECURE, GLOBAL Página 28 de 106
Si se desea, es posible definir los interfaces de entrada y salida de tráfico como Any para así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean sus interfaces de entrada o salida.
Así mismo es posible establecer reglas definiendo más de un interface de entrada y/o salida:
2.12.1.
Definición de Políticas
Las políticas del firewall se definen en base a los siguientes criterios:
Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces físicos del equipo como a interfaces lógicos definidos como VLAN Interface, siguiendo el estándar 802.1Q para marcado de tramas de cada VLAN. En caso de que se
FORTINET - FAST, SECURE, GLOBAL Página 29 de 106
requieran interfaces agregados (LACP/802.3ad*), es posible que más de un interfaz físico pueda comportarse como uno único, o pueden establecerse como Any para que se utilice cualquier interfaz de entrada o salida, así como seleccionar más de un interface como origen o destino del tráfico. Igualmente si es necesario implementar Proxy Explícito en el equipo, este también puede ser seleccionado como interfaz para aplicar los perfiles de protección necesarios. Los interfaces virtuales para definir VPN IPSEC o SSL, también se podrán seleccionar como entrada o salida del tráfico. Por último la interfaz virtual wan-load-balance que se crea cuando habilitamos la funcionalidad de balanceo de líneas, es otra interfaz que se puede utilizar como destino del tráfico. * Nota: Consultar la matriz de características de FortiOS 5.4 para identificar los modelos de FortiGate que soportan esta funcionalidad.
Programación: A cada política se le puede definir un horario tanto único como recursivo, que permite acotar la aplicación de la regla a un espacio temporal determinado en función de la hora, el día de la semana, mes o año. También es posible establecer una programación con fecha de caducidad, de modo que la política se procesará solo hasta la fecha/hora especificada.
Direcciones o grupos de direcciones IP origen y destino y usuarios o grupos de usuarios. En concreto en el campo de origen se puede especificar, aparte de IPs o grupos de IPs, también usuarios y/o grupos de usuarios para proporcionar autenticación a la regla.
Tipo de dispositivo de origen. Para poder utilizar esta opción en la regla es necesario tener habilitada la detección de dispositivos en la interfaz de origen.
Protocolo, servicio o puertos TCP/UDP
La política define la acción a tomar con aquellos paquetes que cumplan los criterios definidos. Entre las acciones a realizar están: o Permitir la conexión o Denegar la conexión
Realizar traducción de direcciones (NAT). Permitiendo realizar una traducción estática de direcciones, o bien utilizar grupos de direcciones con objeto de realizar NAT dinámico, y así mismo definir traducciones de puertos (PAT).
FORTINET - FAST, SECURE, GLOBAL Página 30 de 106
Aplicar reglas de gestión de ancho de banda (Traffic Shaping). Este ancho de banda puede ser especificado para toda la política, para cada IP, para todas las políticas del firewall que utilicen un mismo perfil de Traffic Shapping. Es posible también utilizar Traffic Shaping en un sensor de aplicaciones, de forma que se establezcan límites de caudal al utilizar una determinada aplicación.
Analizar el tráfico mediante perfiles adicionales de seguridad, como Antimalware, AntiSpam, Detección/Prevención de Intrusiones, filtrado Web, DLP, funcionalidades WAF o Control de Aplicaciones, mediante la definición de un perfil de protección
En cada política se puede habilitar el seguimiento de aquellas conexiones que atraviesan el firewall de acuerdo a la política definida, con objeto de poder hacer un registro de las conexiones establecidas a través del equipo.
La columna “Contador” que figura en las políticas de seguridad permite conocer el número de veces que una política ha procesado tráfico, así como la cantidad de tráfico acumulado que ha permitido o denegado una política (incluida la política implícita final para denegación de todo el tráfico no permitido en políticas anteriores). Es posible establecer una política que descifre el tráfico SSL y lo envíe a un dispositivo externo. También se puede añadir un nombre a cada política de seguridad, al igual que un comentario, de forma que permita identificar mejor para que se utiliza cada política. Por defecto será necesario establecer el nombre a la política, pero esto se puede modificar desde el CLI con los siguientes comando: config system settings set gui-allow-unamed-policy [enable | disable] end
Una nueva funcionalidad permite localizar políticas y rutas establecidas en el dispositivo, de forma que se pueda consultar qué ruta o política coincidirá con un determinado tráfico que se especifique en la propia consulta, incluyendo:
Interface de origen Protocolo: IP, TCP, UDP, SCP, ICMP IP de origen o destino
FORTINET - FAST, SECURE, GLOBAL Página 31 de 106
Puerto origen o destino Número de protocolo Etc. 2.12.2.
Inspección SSL y SSH
Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder efectuar inspección dentro de protocolos seguros basados en SSL, como HTTPS, SMTPS, POP3S, FTPS e IMAPS. De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma inspección de contenidos, así como inspección Antimalware, DLP o Control de aplicaciones. Además existe la posibilidad de definir las excepciones del descifrado dentro del propio perfil, para evitar descifrar información
Configuración de inspección SSL y SSH
FORTINET - FAST, SECURE, GLOBAL Página 32 de 106
Al mismo tiempo es posible inspeccionar el tráfico en un túnel SSH.
Además existe otro método de inspección SSL que no implica la rotura del túnel. Esto evita los inconvenientes derivados de esta técnica como por ejemplo los avisos de certificados inválidos en los navegadores, problemas con HSTS, etc… Este método es SSL Certificate inspection. Únicamente inspecciona el certificado para comprobar que es válido y que ha sido emitido por una entidad certificadora para el sitio web correspondiente. Se configura marcando la opción “SSL Certificate inspection” dentro del perfil de inspección SSL:
FORTINET - FAST, SECURE, GLOBAL Página 33 de 106
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurada a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o HTTP de manera que ante el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad.
De la misma forma, es posible configurar la IP virtual para que haga multiplexación del tráfico HTTP, de manera que varias conexiones externas se traducen en una única conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al servir las peticiones entrantes.
FORTINET - FAST, SECURE, GLOBAL Página 34 de 106
Con la misma filosofía, los equipos FortiGate pueden realizar la labor de aceleradores SSL para conexiones HTTPS. La conexión HTTPS es terminada en el equipo FortiGate y este realiza la petición sin cifrar (o cifrada) al servidor correspondiente. De esta manera se elimina la necesidad de cifrar la sesión en el propio servidor, con lo que los recursos de este son optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y descifrado del túnel SSL en manos del FortiGate.
Es también posible además mantener la persistencia de una sesión si es necesario (tanto en HTTP como en HTTPS).
FORTINET - FAST, SECURE, GLOBAL Página 35 de 106
2.12.4.
Calidad de Servicio (QoS)
Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio prioritario sobre el tráfico más sensible al retardo. Los equipos FortiGate permiten aplicar técnicas de priorización de tráfico y Calidad de Servicio (QoS), reservar ancho de banda para aquellas aplicaciones que sean más sensibles al retardo, o bien limitar el ancho de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red. La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico generado por la transmisión de voz y las aplicaciones multimedia. Estos tipos de tráfico son enormemente sensibles al retardo y a la variación del mismo (jitter). Una adecuada gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin recurrir a una ampliación innecesaria del ancho de banda de la red, reservando el ancho de banda necesario y priorizando este tipo de tráfico ante otros menos sensibles al retardo como pueda ser el correo o el tráfico ftp. Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados, incluyendo H.323, SIP, TCP, UDP, ICMP o ESP. La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo: La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los paquetes. Lo que se consigue de este modo es evitar que los paquetes sean descartados, haciendo que se almacenen en el buffer hasta su transmisión, retrasando su envío hasta que sea posible. Los equipos FortiGate usan la técnica Token Bucket para garantizar y limitar el ancho de banda. La bufferización se realiza en función de la prioridad asignada a cada flujo, pudiendo variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el envío de todos los paquetes almacenados, se transmiten en primer lugar los de prioridad alta. La tecnología DiffServ permite modificar los parámetros DSCP, siguiendo las normas RFC 2474 y 2475. Así, aquellos componentes de la red compatibles con DiffServ, son capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los paquetes y clasificando, marcando, y gestionando el tráfico en base a esta información. Calidad de Servicio Basada en Políticas
FORTINET - FAST, SECURE, GLOBAL Página 36 de 106
Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de tráfico.
Configuración de parámetros QOS
Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas Los parámetros de configuración del ancho de banda nos permiten definir un ancho de banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho de banda definido no puede superar el ancho de banda total disponible, pero puede ser empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles al retardo. Gestión del Ancho de Banda (Traffic Shaping) por dirección IP Así mismo, también es posible establecer traffic shaping por IP, de forma que sea aplicado por cada dirección IP, en lugar de por política.
FORTINET - FAST, SECURE, GLOBAL Página 37 de 106
Soporte DiffServ en GUI La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los que se aplica una política en particular. Hasta la versión 5.4.0 la única forma de configurar DSCP era por CLI. Ahora es posible configurarlo también en GUI. Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN. Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI): (internal) # set inbandwidth bandwidth-limit in KB/s (0-2097000; 0 for unlimited) 2.12.5.
Soporte VoIP
Los equipos FortiGate incorporan soporte para los protocolos más demandados de VoIP (H323, SIP, SCCP) aplicando sobre estos los mayores controles de seguridad y reporting a través de los perfiles de protección. Entre las funcionalidades soportadas cabe destacar.
Application layer gateway para SIP basado en SCTP y TCP Compresión/descompresión de cabeceras SIP
FORTINET - FAST, SECURE, GLOBAL Página 38 de 106
Mantenimiento de la información IP original incluso cuando está presente NAT Conversión entre SIP basado en TCP y SIP basado en SCTP y viceversa Limitación del número de mensajes SIP Log de comienzo y fin de llamadas
2.13.
Redes Privadas Virtuales (VPN)
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, además de PPTP, L2TP over IPSEC (Microsoft VPN) y GRE over IPSEC (Cisco VPN). De esta forma, oficinas pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. La funcionalidad VPN está integrada en la propia plataforma FortiGate sin necesidad de licencia, así como también se puede utilizar mediante la instalación de la suite de aplicaciones Forticlient Endpoint Security, que permite el establecimiento de VPNs desde un equipo cliente. También es posible integrarlo a través de software VPN de terceros (solo para IPSEC). El tráfico VPN puede ser analizado por el módulo de Firewall así como por múltiples funcionalidades UTM que ofrece FortiGate: antimalware, IPS, web filtering, antispam, etc. Además, los equipos FortiGate soportan VPNs con IPv6, con o sin certificados, ya sean site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o IPv6 sobre IPv4. 2.13.1.
Internet Protocol Security (IPSec)
IPSec establece un marco de trabajo para el intercambio seguro de paquetes a nivel de la capa 3 OSI, o capa IP. Las unidades FortiGate implementan el protocolo Encapsulated Security Payload
FORTINET - FAST, SECURE, GLOBAL Página 39 de 106
(ESP) en modo túnel. Los paquetes cifrados aparecen como paquetes ordinarios que pueden ser enrutados a través de cualquier red IP. Para el establecimiento de redes privadas virtuales basadas en IPSec, FortiGate cumple el estándar IPSec y soporta:
Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256 Algoritmos de hashing o digest: MD5, SHA1, SHA256, SHA384, SHA512 NAT Transversal DH Group 1, 2, 5 y 14 DPD (Dead Peer Detección, detección de caída del nodo remoto) Replay Detection (Detección de ataques de respuesta) PFS (Perfect Forward Secrecy, obliga a generar nuevas claves independientes de las anteriores, lo cual aumenta la seguridad) Autenticación basada en pre-shared key con usuarios definidos en una base de datos local o en un servidor externo (LDAP, RADIUS, Directorio Activo), certificados X.509, autenticación extendida XAuth Interoperabilidad con otros fabricantes IPSec Compliant (Cisco, Checkpoint, etc.) Alta disponibilidad de enlaces VPN desde un único equipo
La utilización de IPSec para realizar VPN es habitual en diversas tipologías de red. Los equipos FortiGate soportan las siguientes topologías de red: Gateway-to-Gateway. Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. Todo el tráfico entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de protección de FortiGate.
FORTINET - FAST, SECURE, GLOBAL Página 40 de 106
Fully Meshed Network Todos los equipos que forman la red corporativa están conectados con el resto, configurando una malla. Esta topología presenta la ventaja de su alta tolerancia a fallos (si un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad de escalado y gestión.
Partially Meshed Network Se establecen túneles entre aquellos nodos que regularmente mantienen comunicación. Hub and Spoke Configuración en la que existe un equipo central con el que los equipos remotos establecen los túneles VPN, sin existir comunicación directa entre los equipos remotos.
Un caso particular de Hub and spoke es aquel en el que los equipos remotos puedan requerir comunicación entre sí en algún momento particular. Para solucionar esta situación, existe la funcionalidad ADVPN (Auto Discovery VPN), la cual permite establecer túneles de
FORTINET - FAST, SECURE, GLOBAL Página 41 de 106
forma dinámica entre los equipos remotos sin necesidad de configurar manualmente todos los enlaces.
Además de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser configurados para actuar como servidores de acceso remoto (Dialup Server). Para el acceso remoto mediante IPSec, Fortinet proporciona un cliente IPSec Software para plataformas MS Windows, Mac OSX y Android: FortiClient. Aparte de ser un cliente VPN IPSec (Windows, Mac OSX & Android) y VPN SSL (Windows, Mac OSX, IOS & Android), FortiClient incorpora capacidad de detección de intrusión (Windows & Mac), filtrado web (Windows, Mac & IOS), antimalware (Windows & Mac), control de aplicaciones (Windows & Mac), doble factor de autenticación (Windows, Mac & Android), escaneo de vulnerabilidades (Windows & Mac) y optimización wan (Windows). Además, FortiClient se puede registrar en FortiGate como parte de la funcionalidad de Endpoint Control. Esta funcionalidad permite gestionar y controlar la seguridad de aquellos usuarios que tengan instalado el FortiClient en sus dispositivos y se hayan registrado contra un FortiGate para así poder establecer una gestión centralizada de estos equipos, centralizar los logs contra un FortiAnalyzer, centralizar la gestión, provisionarlos con la configuración deseada por el administrador, forzarles a usar una cierta política de seguridad (ya sea online u offline, o sea, en una red accesible por el controlador FortiGate o fuera de ella), gestionar su acceso a la red a través del Directorio Activo (FSSO), personalizarles la interfaz gráfica GUI…etc.
FORTINET - FAST, SECURE, GLOBAL Página 42 de 106
Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta funcionalidad los equipos dotados de IP dinámica pueden ser asignados a un nombre DNS. Cada vez que se conecte a Internet, el ISP le asignará una IP diferente y los demás equipos de la VPN le localizarán mediante la resolución de su nombre DNS. 2.13.2.
Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes PPTP Windows o Linux. PPTP utiliza protocolos de autenticación PPP; de este modo clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP a un servidor PPTP en la red. Para la autenticación de los clientes, FortiGate soporta PAP, CHAP y autenticación de texto plano. Los clientes PPTP son autenticados como miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su integridad no está protegida. Además, los paquetes encapsulados PPP no son criptográficamente protegidos y pueden ser leídos o modificados. (Configurable desde línea de comandos o CLI de Fortigate).
FORTINET - FAST, SECURE, GLOBAL Página 43 de 106
2.13.3.
L2TP over IPSEC (Microsoft VPN)
El protocolo L2TP sobre IPSEC permite el establecimiento de túneles VPN entre equipos Microsoft Windows y Mac OS (a partir de la versión 10.3) mediante la utilización de un software propietario de conexión de red embebido en estos sistemas operativos. El protocolo L2TP no proporciona cifrado o confidencialidad por sí mismo, para lo cual se apoya en el protocolo IPSEC, a través del cual securiza la comunicación. Esta securización comienza con la autenticación de los extremos mediante el establecimiento de una SA negociada entre los dos extremos, sobre el protocolo IKE, ya sea con pre-shared keys o usando certificados. A continuación establece el canal seguro mediante ESP en modo de transporte. Finalmente se utiliza este canal seguro para establecer el túnel L2TP entre los dos extremos, encapsulando esta comunicación sobre el canal IPSec cifrado. (Configurable desde línea de comandos o CLI de Fortigate). 2.13.4.
GRE over IPSEC (Cisco VPN)
Este método permite habilitar las conexiones VPN desde dispositivos Cisco que soportan GRE (Generic Routing Encapsulation), ya sea sobre IPSec en modo túnel o en modo transporte. De nuevo el protocolo IPSec se utiliza para cifrar los datos que se intercambian dentro de un túnel GRE, proporcionando además de cifrado la autenticación de ambos extremos de la comunicación.
Esto se logra estableciendo un túnel GRE sobre una VPN IPSec y permitiendo el tráfico bidireccional entre ambos túneles. De esta manera se puede enviar el tráfico hacia la red remota de manera
FORTINET - FAST, SECURE, GLOBAL Página 44 de 106
segura sobre el túnel GRE over IPSec. (Configurable desde línea de comandos o CLI de Fortigate). 2.13.5. Wizard Gracias al Wizard es posible configurar las VPNs IPSec de forma más rápida y sencilla. El propio wizard crea las interfaces virtuales, rutas, políticas, fase 1 y fase 2 necesarias para que funcione la VPN. Dado que pueden existir multiples variantes en una VPN IPSec, las más importantes se han recogido en el menú del Wizard. Las opciones contempladas son: Site to site o acceso remoto, si es site to site, el dispositivo remoto puede ser FortiGate o Cisco. Si es acceso remoto, se puede utilizar un cliente pesado FortiClient o clientes nativos de Android o iOS:
2.13.6.
VPN SSL
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que, garantizando en todo momento la confidencialidad e integridad de la información, constituye un sistema con una implantación, administración y mantenimiento simplificado. Dado que las VPN SSL usan cifrado SSL, no es necesaria la instalación de ningún software específico en los ordenadores remotos, sino que resulta accesible desde cualquier navegador, lo que supone un gran avance frente a las tradicionales VPN basadas en IPSec, en lo que a sistemas de acceso de usuario se refiere. De este modo, se ofrece un método de acceso a los sistemas de información de cualquier organización que no requiere de la implantación de ninguna aplicación específica en los ordenadores remotos con lo que se permite un acceso controlado a los recursos, con total garantía de seguridad.
FORTINET - FAST, SECURE, GLOBAL Página 45 de 106
Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor de túneles SSL, con una configuración sencilla que permite la autenticación de usuarios mediante sistemas de autenticación robusta y la personalización del servicio de acceso remoto. Adicionalmente se cuentan con características habituales en este tipo de solución, como posibilidad de establecer conexiones mediante clientes pesados (descargando un ActiveX) o personalizar al completo el portal de acceso SSL que se les presenta a los usuarios, los cuales pueden ser locales o remotos. Además, permite la descarga directa del FortiClient para equipos Windows, MacOSX, iOS y Android, de manera que pueda ser utilizado tanto para lanzar las conexiones de manera securizada. Las VPN SSL en FortiGate se pueden realizar en dos modos: Webonly mode y Tunnel mode. Las características específicas son las siguientes: Web-only mode Para clientes “ligeros” que sólo cuentan con el navegador para conectarse, y Protocolos soportados en modo Web-only: HTTP/HTTPS, FTP, RDP, SMB/CIFS, VNC, SSH, TELNET, CITRIX, RDP NATIVE, PING y Port Forward.
FORTINET - FAST, SECURE, GLOBAL Página 46 de 106
Tunnel mode Para aquellos usuarios que necesiten conectarse con el navegador y utilizar una serie de aplicaciones adicionales (“cliente pesado”).
2.14.
AntiMalware
FORTINET - FAST, SECURE, GLOBAL Página 47 de 106
FortiGate incorpora un sistema antimalware de alto rendimiento gracias a su optimizada arquitectura y configuración. Los componentes principales del sistema antimalware de FortiGate son:
La arquitectura hardware basada en FortiASIC Su optimizado sistema operativo FortiOS La infraestructura, los laboratorios y centros de desarrollo distribuidos a lo largo de todo el mundo mediante la red FortiGuard.
Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisión, el archivo es eliminado o guardado en cuarentena, y es sustituido por un mensaje de alerta configurable por el administrador. Además, el equipo FortiGate guarda un registro del ataque detectado, y puede configurarse el envío de un correo de alerta o un trap SNMP. Para una protección extra, el motor antimalware es capaz de bloquear ficheros de un tipo específico (.bat, .exe, etc) que potencialmente sean contenedores de virus, bloquear aquellos archivos adjuntos de correo electrónico que sean de un tamaño superior al límite de filtrado o bien bloquear ficheros con un determinado patrón en el nombre. Además es capaz de proteger contra Grayware y aplicar protección heurística. El filtrado antimalware de FortiGate protege la navegación web (protocolo HTTP), la transferencia de archivos (protocolo FTP), los contenidos transmitidos por correo electrónico (protocolos IMAP, POP3, SMTP y MAPI), la mensajería instantánea o IM (ICQ, Yahoo y MSN Messenger) e incluso los contenidos de noticias por NNTP, siendo posible escanear estos protocolos en puertos diferentes a los habitualmente empleados, e incluso en múltiples puertos. Adicionalmente, mediante el escaneo de protocolos seguros, se puede chequear si las conexiones cifradas están libres de virus en protocolos de correo seguro como SMTPS, IMAPS, POP3S, y de navegación y transferencia, como HTTPS y FTPS. Esto también es posible en modo “Flow”. Los equipos FortiGate analizan también las cabeceras MIME de los correos con objeto de encontrar posibles virus transmitidos como ficheros adjuntos con este formato. Tanto en ficheros adjuntos de correo en FTP, FTPS, IM Y NNTP, el motor de antimalware es capaz de deshacer hasta 100 niveles de anidamiento en ficheros comprimidos de forma recurrente. El servicio de protección antimalware provisto por FortiGate es totalmente transparente a los usuarios. El denominado “FortiGate Content Screening” permite que clientes y aplicaciones no
FORTINET - FAST, SECURE, GLOBAL Página 48 de 106
requieran ninguna modificación especial en su configuración, sin necesidad de definir proxies en los clientes, etc. Este modo es conocido tradicionalmente como modo “Proxy”. En modo “Proxy” es posible escoger la base de datos de firmas de virus a chequear dependiendo del modelo de Fortigate. Las disponibles son:
Normal: contiene las firmas de los virus más habituales que actúan en la actualidad. Extended: suma a la base de datos normal aquellos virus recientes, del último año, que tienen actualmente poca o ninguna actividad. Extreme: añade a la base de datos extended una amplia colección de virus antiguos y con escasa o nula actividad durante los últimos años, los cuales pueden comprometer hardware o sistemas operativos antiguos o no usados en la actualidad.
* Nota: La base de datos de virus se selecciona por CLI. Como mecanismo adicional, es posible seleccionar el motor “flowbased”, el cual ofrece un rendimiento mucho mayor al utilizar una tecnología de inspección que va analizando el tráfico a medida que va pasando (también conocido como “streaming”) sin necesidad de usar un buffer en el que guardar los sucesivos paquetes que analiza, tal como hace el modo “Proxy”. Para ello, el modo “Flow” utiliza el motor IPS para realizar este análisis. Las ventajas del uso de este motor son las siguientes:
Uso reducido de memoria Mayor volumen de sesiones concurrentes Mayor número de inicios de sesión por unidad de tiempo Menor latencia No se ve afectado por la longitud del fichero A diferencia de algunos motores de la competencia, en modo flow existe también la posibilidad de efectuar análisis en ficheros comprimidos
A estas ventajas, el modo “Flow” también añade la posibilidad de realizar inspección de sesiones SSL, siendo completamente compatible con IPv6. El motor antimalware realiza los siguientes servicios: Protección de virus Servicio de bloqueo de ficheros Servicio de cuarentena sobre correo electrónico Proteccion contra Botnets y Phishing
FORTINET - FAST, SECURE, GLOBAL Página 49 de 106
FortiGuard Analitics (Sandbox en la nube, Análisis de amenazas Zero Day y Submission).
Para la detección de virus las plataformas FortiGate utilizan diferentes mecanismos. El motor de escaneo de virus de FortiGate está diseñado para soportar una combinación de estrategias para detectar virus en archivos, como son escaneo de firmas o patrones y el análisis heurístico y de simulación heurística (dynamic heuristic scanning). El escaneo de firmas es el método que mayor número de virus detecta, y que, gracias a la aceleración mediante FortiASIC, realiza una utilización menos intensiva del equipo y obtiene mejor rendimiento. El método de análisis heurístico requiere progresivamente más capacidad de procesador con la simulación de ejecución. El hardware dedicado de alto rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice en tiempo real para los usuarios. Para reducir la demanda de procesos, el escaneo de virus siempre comienza con la estrategia de antimalware que menos recursos demanda antes de iniciar procesos de detección más pesados. Tan pronto como un virus es detectado, el análisis se detiene. Trabajando juntas, las estrategias de escaneo de virus proveen la mejor protección disponible. 2.14.1.
Escaneo de Firmas (Signature Scaning)
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el archivo se considera infectado. Los sistemas antimalware basados en análisis de firmas constituyen el método más efectivo y más utilizado en la detección de virus. El análisis incluye también el escaneo de las macros existentes en los archivos Microsoft Office en busca de cadenas conocidas de
FORTINET - FAST, SECURE, GLOBAL Página 50 de 106
virus macro. Los macros son también analizados en búsqueda de comportamientos anómalos tales como importar y exportar código, escribir en el registro o intentos de deshabilitar características de seguridad Para realizar este análisis de firmas existen dos elementos claves:
Una base de datos que contiene las firmas de virus conocidos Un motor de escaneo que compara los archivos analizados con las firmas en la base de datos para detectar una concordancia indicando la presencia de un virus.
El rendimiento es la clave para la detención eficiente de virus que cada vez son más y más complejos. La aceleración del reensamblado de los paquetes y la comparación con las firmas mediante FortiASIC es un componente clave que permite a FortiGate la realización de este análisis en tiempo real sin introducir retardo sobre el normal funcionamiento de la red y las aplicaciones. A todo lo anterior hay que añadir la posibilidad de hacer offloading de la configuración del Antimalware enviando las peticiones de proceso a un servidor ICAP previamente configurado, el cual se encargaría de dirimir de manera externa la existencia de virus, enviando la respuesta al FortiGate para que este ejecute la acción que tenga configurada en cada caso. 2.14.2. Escaneo Heurístico Los creadores de virus llevan a cabo una serie de pasos para complicar más la detección de los mismos. Ejemplos como el cifrado de la pila de código del virus o los llamados virus polimórficos, los cuales se modifican ellos mismos sin levantar sospechas en cada replicación, complican cada vez más la detección de los virus y hace ineficaz en algunos casos la creación de firmas de reconocimiento del virus. Con el fin de detectar estos virus, se realizan los denominados análisis “heurísticos” que buscan “comportamientos anómalos conocidos”, mediante la identificación de secuencias de operaciones que constituyen comportamientos propios de estos tipos de virus. Mediante el análisis heurístico de los contenidos se llevan a cabo un número de cada una, de las cuales dan como resultado una clasificación apropiada. Las clasificaciones de estas pruebas son combinadas para una clasificación total. Si esta clasificación se sitúa sobre un cierto umbral, el módulo heurístico devuelve un resultado de virus encontrados.
FORTINET - FAST, SECURE, GLOBAL Página 51 de 106
2.14.3. Escaneo basado en CPRL Compact Pattern Recognition Language (CPRL) es un lenguaje de programación propietario y patentado enfocado a la protección contra amenazas de tipo Zero Day, es decir, no basado en firmas sino en comportamiento. Con unas pocas descripciones de comportamientos maliciosos, el motor antimalware es capaz de detectar múltiples tipos y variantes de amenazas y se optimiza de este modo la utilización de recursos del equipo y la latencia introducida. El uso de CPRL es más eficaz en uso de recursos que la heurística y produce menos falsos positivos. Además, combinado con el método de detección de virus en modo flow, la eficiencia se multiplica en la detección de amenazas de tipo Zero Day en archivos de gran tamaño o con técnicas de evasión. 2.14.4.
Advanced Threat Protection (ATP)
La nueva protección contra amenazas avanzadas persistentes (APT) o Advanced Threat Protection (ATP), incluye la protección contra Botnets, Phising y amenazas de Zero Day usando la tecnología de Sandboxing. Esta tecnología se puede utilizar de dos maneras diferentes: - Sandbox en la nube con FortiCloud - SandBox on-premise con FortiSandbox que puede ser tanto maquina física como virtual. El primer paso es asociar el FortiGate con la solución de sandboxing elegida. Si la solución es cloud, se configura el nombre de usuario y contraseña de la cuenta de FortiCloud:
En caso de utilizar FortiCloud, la configuración se realiza desde System -> External Security Devices:
FORTINET - FAST, SECURE, GLOBAL Página 52 de 106
Con FortiSandbox, además de poder detectar amenazas de tipo Zero Day (desconocidas para los antimalware), se pueden desplegar en tiempo real firmas para dichas amenazas. Estas firmas se despliegan de dos formas, dependiendo de la naturaleza de la amenaza. Para las amenazas localizadas en internet, como por ejemplo exploits del navegador, se despliega un componente llamado “URL Package”, que incluye la URL que contiene la amenaza. Si la amenaza es un archivo con un comportamiento malicioso, se despliega un “Malware Package” que contiene una firma para dicho archivo. Estas firmas se envían a todos los dispositivos autorizados en el FortiSandbox o vinculados a la cuenta de FortiCloud y se aplican si se ha marcado la opción correspondiente en el perfil de Antimalware.
Las estadísticas de uso de FortiSandbox se pueden ver desde FortiView:
FORTINET - FAST, SECURE, GLOBAL Página 53 de 106
2.14.5. Actualización de la Base de Firmas y Motor de Escaneo Las actualizaciones del antimalware contienen la base del conocimiento de virus y el motor de escaneo, los cuales son continuamente actualizados por Fortinet y distribuidos mediante la red FortiGuard tan pronto como nuevos virus y gusanos son encontrados y difundidos.
Actualización de las definiciones de virus y motor de escaneo
Actualizaciones automáticas Los equipos FortiGate son dinámicamente actualizados gracias la red FortiGuard Distribution Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate. Todos los equipos FortiGate están programados con una lista de servidores FDN más cercanos de
FORTINET - FAST, SECURE, GLOBAL Página 54 de 106
acuerdo a la zona horaria configurada en el equipo. Asimismo, las plataformas de gestión FortiManager pueden actuar como un nodo de la red FDN para los equipos que gestiona. Los dispositivos FortiGate soportan dos modos de actualización: Pull updates. Los equipos pueden comprobar automáticamente si existen en la red FDN nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e instalarlas automáticamente, así como los motores de antimalware actualizados. Estas comprobaciones pueden ser programadas para su realización en periodos horarios, diarios o semanales. Push updates. Cada vez que un nuevo motor de antimalware o definiciones son publicadas, los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate configurados para push updates que una nueva actualización está disponible. En 60 segundos desde la recepción de una notificación push, el equipo FortiGate se descargará la actualización desde la FDN. Actualizaciones Manuales Aparte de los métodos de actualizaciones expuestos anteriormente, los equipos FortiGate poseen la opción de realizar actualizaciones manuales. El administrador del equipo FortiGate puede iniciar la actualización manual simplemente seleccionando la opción “Update now” desde la consola de gestión del equipo FortiGate.
2.14.6. Activación del Servicio mediante Perfiles de Protección Los servicios de protección Antimalware son habilitados mediante los perfiles de protección aplicados posteriormente en las diferentes políticas del firewall. Dentro del perfil, por ejemplo, será posible configurar opciones de cuarentena NAC integradas, de forma que se haga cuarentena durante un ataque de virus, al atacante o al objetivo, por un tiempo concreto o ilimitado.
FORTINET - FAST, SECURE, GLOBAL Página 55 de 106
Configuración Servicio Antimalware en el Perfil de Protección
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de tráfico. Esta configuración basada en políticas provee un control granular de los servicios de protección y de la utilización de los recursos de FortiGate. 2.14.7. Mensajes Infectados
de
Reemplazo
en
Ficheros
Los mensajes de reemplazo son incluidos por el filtro antimalware en los lugares ocupados por ficheros o contenidos eliminados de mensajes de correo, transmisiones http o ftp. Estos mensajes de reemplazo que reciben los usuarios en sustitución de los ficheros o contenidos infectados son totalmente configurables por el administrador del sistema.
FORTINET - FAST, SECURE, GLOBAL Página 56 de 106
Configuración de los Mensajes de Reemplazo
2.15.
Detección y Prevención de Intrusión (IDS/IPS)
El Sistema de Detección y Protección de Intrusión de FortiGate constituye un sensor de red en tiempo real que utiliza definiciones de firmas de ataques y detección de comportamientos anómalos para detectar y prevenir tráfico sospechoso y ataques de red. El motor IDS provee seguridad hasta la capa de aplicación, sin mermar por ello el rendimiento de la red. La capacidad de IDS de los equipos FortiGate se basa en el módulo de routing, el módulo de firewall y la capa de aplicación. De esta forma el sistema de detección de intrusiones no se limita únicamente a la detección de ataques de nivel de red ni tampoco al análisis individual de cada paquete. FortiGate reensambla el contenido de los paquetes en línea y los procesa para identificar ataques hasta el nivel de aplicación.
FORTINET - FAST, SECURE, GLOBAL Página 57 de 106
Cada sensor (Red, IP, Transporte, Aplicación) es un programa que genera un tráfico ínfimo. El sensor utiliza el hardware FortiASIC para acelerar la inspección del tráfico y chequear patrones de tráfico que concuerden con las firmas y anomalías especificadas. La arquitectura hardware asistida de detección de intrusión provee a los equipos FortiGate de rendimientos excepcionales únicos en el mercado. La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques:
Ataques de Denegación de Servicio (DoS) Ataques de Reconocimiento Exploits Ataques de Evasión de Sondas IDS Botnets
Ataques de denegación de servicio (DoS Attacks): Intentan denegar el acceso a servicios u ordenadores mediante la sobrecarga del enlace de red, de la CPU u ocupación de discos duros. El atacante no intenta conseguir información, sino interferir los accesos a los recursos de red. El IPS FortiGate detecta los siguientes ataques de DoS comunes: Inundación de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP flood Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop, land, y WinNuke Ataques de Reconocimiento: Son aquellos ataques a través de los cuales el atacante intenta conseguir información sobre un determinado sistema con objeto de
FORTINET - FAST, SECURE, GLOBAL Página 58 de 106
preparar un específicas.
posterior
FortiGate IPS detecta reconocimiento:
ataque
los
basado
siguientes
en
vulnerabilidades
ataques
comunes
de
Fingerprinting Ping sweeps Port scans (tanto TCP como UDP) Buffer overflows, incluyendo SMTP, FTP y POP3 Account scans OS identification (Identificación del Sistema Operativo)
Exploits: Intentos de aprovechar vulnerabilidades o bugs conocidos de aplicaciones o sistemas operativos con el objeto de ganar acceso no autorizado a equipos o redes completas. El IPS de la plataforma FortiGate detecta múltiples exploits, como por ejemplo:
Brute Force attack CGI Scripts, incluyendo Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, y FormMail Web Server attacks Web Browser attacks; URL, HTTP, HTML, JavaScript, Frames, Java, y ActiveX SMTP (SendMail) attack IMAP/POP attack Buffer overflow DNS attacks, incluyendo BIND y Cache IP spoofing Trojan Horse attacks, incluyendo BackOrifice 2K, IniKiller, Netbus, NetSpy, Priority, Ripper, Striker, y SubSeven Etc.
Ataques de Evasión de NIDS: Consisten en técnicas para evadir sistemas de detección de intrusiones. El IPS de la plataforma FortiGate detecta las siguientes técnicas de evasión de NIDS:
FORTINET - FAST, SECURE, GLOBAL Página 59 de 106
Signature spoofing Signature encoding IP fragmentation TCP/UDP disassembly Obfuscation
BotNets: Hacen referencia a un grupo de equipos informáticos o bots los cuales se ejecutan de una manera remota y autónoma. Dichos bots pueden ejecutarse y controlarse de manera remota para controlar todos los ordenadores/servidores de manera remota. En numerosas ocasiones estos bots son usados para realizar ataques de DDoS o usados para enviar spam 2.15.1.
Métodos de Detección
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las tareas de detección y prevención de intrusión son dos: detección de firmas y seguimiento de comportamientos anómalos. Detección de Firmas Las firmas de ataques se encuentran en el núcleo del módulo de detección de intrusiones FortiGate (más de 7500 firmas soportadas). Las firmas son los patrones de tráfico que indican que un sistema puede estar bajo un ataque. Funcionalmente, las firmas son similares a las definiciones de virus, con cada firma diseñada para detectar un tipo de ataque particular. Tanto las firmas predefinidas como el motor IPS, son actualizables a través de FortiGuard Distribution Network (FDN), de un modo similar al que se actualizan las definiciones de antimalware.
FORTINET - FAST, SECURE, GLOBAL Página 60 de 106
Algunas Firmas de Ataques detectados mediante IDS
Cada una de las firmas puede ser habilitada para su detección de modo independiente. Además existe la posibilidad de definir firmas de ataques personalizadas que pueden ser añadidas para detectar ataques no incluidos en el fichero de definiciones de ataques. Detección de Anomalías de Tráfico Los equipos FortiGate analizan las secuencias de paquetes y el establecimiento de sesiones de acuerdo a los patrones de tráfico definidos en los diferentes protocolos estándar. Para aplicarlo nos crearemos una política de DoS
FORTINET - FAST, SECURE, GLOBAL Página 61 de 106
Anomalías de Tráfico
FortiGate IPS identifica a su vez anomalías estadísticas de tráfico TCP, UDP e ICMP, como son: Flooding – Si el número de sesiones apunta a un solo destino en un segundo está sobre el umbral, el destino está experimentando flooding o inundación. Scan – Si el número de sesiones desde un origen único en un segundo está sobre el umbral, el origen está siendo escaneado. Source – Si el número de sesiones concurrentes desde un único destino está sobre los umbrales, el límite de sesiones por origen está siendo alcanzado. Destination session limit – Si el número de sesiones concurrentes a un único destino está sobre el umbral, el límite de sesiones por destino está siendo alcanzado. Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar situaciones excepcionales, como la existencia de un proxy en la red, etc. 2.15.2.
Prevención de Intrusiones en Tiempo Real
Cuando los ataques son detectados, el sistema toma las acciones necesarias para prevenir daños. Cualquier ataque detectado puede ser bloqueado, ya sean ataques basados en firmas, ataques basados en anomalías, o ataques personalizados.
FORTINET - FAST, SECURE, GLOBAL Página 62 de 106
Debido a que el módulo IDS está completamente integrado con el motor de firewall, los equipos FortiGate proveen detección y prevención de intrusiones en tiempo real. El módulo IDS posee un enlace específico en el módulo de firewall que permite que una vez el sensor identifica un ataque, el modulo firewall rápidamente toma acción para bloquear el tráfico impidiendo que el ataque tenga éxito. Los equipos FortiGate permiten definir diferentes acciones a realizar en función del ataque detectado: Pass: FortiGate permite que el paquete que activó (triggered) la firma pase a través del firewall. Drop: El equipo FortiGate descarta el paquete que activó la firma. 2.15.3.
Activación del Servicio mediante Sensores
La activación de la funcionalidad de Detección y Prevención de Intrusiones se realiza mediante la configuración de sensores, tanto de firmas como de anomalías, que son aplicados posteriormente en las diferentes políticas del firewall. Cada una de las firmas de ataques tiene asociada una severidad, un objetivo (target) y un tipo de sistema operativo para el que es específica. Además, cada firma va asociada a un protocolo o aplicación determinados. Para cada una de las firmas y anomalías existentes es posible establecer un nivel de severidad (crítico, alto, medio, bajo o información), que posteriormente pueden ser aplicados de forma independiente en el sensor. De este modo, las firmas y anomalías habilitadas en cada sensor pueden variar dependiendo de los flujos de tráfico. Esta configuración provee un control granular de los servicios de protección y de la utilización de los recursos de FortiGate.
FORTINET - FAST, SECURE, GLOBAL Página 63 de 106
Dentro de la configuración del mismo sensor, es posible marcar opciones de cuarentena NAC integradas, de forma que se puede incluir en cuarentena durante un ataque, al atacante y al atacado e incluso bloquear el interfaz por donde llega el ataque por un tiempo concreto o ilimitado.
Los sensores definidos, son posteriormente aplicados a las reglas de firewall, de manera que cada regla puede tener configurado un sensor específico para aquellos protocolos o aplicaciones que son permitidas en su flujo de tráfico. Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo En las actualizaciones del servicio IPS/IDS se actualiza la base de datos de ataques y anomalías reconocidas y el motor de escaneo, los cuales son continuamente renovados por Fortinet y distribuidos mediante la red FDS tan pronto como nuevas formas de ataque son encontradas y difundidas.
FORTINET - FAST, SECURE, GLOBAL Página 64 de 106
Actualización de las definiciones de ataques y motor de escaneo
Es posible habilitar Extended IPS Signature Package y mejorar la eficacia del IPS enviando muestras de ataques a FortiGuard.
Otras características Es posible aplicar políticas DoS por sensor desplegado, de esta forma se tienen las siguientes funcionalidades:
Protección más robusta contra ataques DoS. Al aplicar los sensores a nivel de interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de que haga “match” en el firewall.
Posibilidad de filtrar todo tipo de tráfico antes de que llegue al firewall aunque este esté configurado con una regla “drop”.
Posibilidad de desplegar sensores en modo one-arm o como IDS tradicional habilitando un puerto de escucha o análisis conectado a un puerto de mirror o SPAN en un switch. Posibilidad de guardar a bajo nivel aquellos paquetes que hagan “match” en una firma, posibilitando su posterior descarga en formato pcap para abrirlos con Ethereal/Wireshark desde FortiAnalyzer. Para cada una de las firmas IPS se muestra su CVE-ID.
FORTINET - FAST, SECURE, GLOBAL Página 65 de 106
2.16.
Control de Aplicaciones
Con la función de control de aplicaciones, FortiGate permite detectar y tomar medidas contra el tráfico de red en función de la aplicación. El control de aplicaciones utiliza los decodificadores IPS que pueden analizar el tráfico de red para detectar el tráfico de aplicaciones, incluso si el tráfico utiliza los puertos o protocolos no estándar. FortiGate puede reconocer el tráfico de red generado por un gran número de aplicaciones. Fortinet está en constante aumento la lista de aplicaciones que controla, siendo accesible en la página web de fortiguard (http://www.fortiguard.com). En la actualidad se reconocen más de 7800 aplicaciones, siendo estas categorizadas en diferentes tipos ampliando así su facilidad de uso:
Por categoria: IM, P2P, VoIP, Video/Audio, Proxy, Remote.Access, Game, General.Interest, Network.Service, Update, Botnet, Email, Storage.Backup, Social.Media, File.Sharing, Web.Others, Industrial, Special, Collaboration, Business, Cloud.IT, Mobile. Por tecnologia: Browser-Based, Network-Protocol, ClientServer y Peer-to-Peer. Por populariedad: de 1 a 5 estrellas Por riesgo: Malware or Botnet, Bandwidth Consuming o None
Las principales ventajas que aporta el control de aplicaciones son las siguientes:
Ir más allá del control tradicional de nivel 4 de los firewalls convencionales, pudiendo así controlar aplicaciones evasivas o que cambien de puerto con frecuencia
FORTINET - FAST, SECURE, GLOBAL Página 66 de 106
Uno de los vectores de infección de malware más habitual es el intercambio de ficheros a través de uno de los protocolos más utilizados como es http, por ello surge la necesidad de poder controlar las distintas aplicaciones que hacen uso de este mecanismo común
Obtener una mayor visibilidad de la red, de forma que sea posible conocer en profundidad y con detalle el uso que se hace de este recurso por parte de cada usuario de una organización
La implementación de este tipo de control se puede llevar a cabo en 4 simples pasos: 1 – Definir la lista de Control de Aplicaciones 2 – Añadir a criterio las distintas aplicaciones individuales o por grupos 3 – Aplicar el conjunto definido a un perfil de protección 4- Aplicar dicho perfil a una regla de cortafuegos para que el control se lleve a cabo únicamente en los flujos de tráfico necesarios
De forma añadida, es posible asignar una cuota de ancho de banda o QoS, por aplicación:
FORTINET - FAST, SECURE, GLOBAL Página 67 de 106
A través de FortiAnalyzer será posible llevar a cabo el reporting necesario para mostrar las estadísticas relevantes del control de aplicaciones, como las principales aplicaciones reconocidas o permitidas.
Otras funcionalidades que aporta el control de aplicaciones son: Inspección profunda para aplicaciones Cloud. De este modo es posible capturar el nombre de usuario o los ficheros que se intercambian, los nombres de los videos, etc. Ajustes de traffic shaping. Pueden aplicarse a las categorías de las aplicaciones
FORTINET - FAST, SECURE, GLOBAL Página 68 de 106
Ratio de riesgo. 5 niveles de riesgo (crítico, alto, medio, elevado y bajo). Cada aplicación consta del nivel de riesgo que le corresponde. Aparición de Mensajes de reemplazo cuando la aplicación es bloqueda. Soporte para protocolo SPDY
2.17.
Filtrado de Tráfico Web (URL Web Filtering)
La distribución y visualización de contenido no autorizado supone un riesgo importante para cualquier organización. Para las empresas, la monitorización del uso que sus empleados hacen de los accesos a Internet y la prevención de visualización de contenidos web inapropiados, o no autorizados, se ha convertido en algo necesario, justificado por los costes financieros y las implicaciones legales que conlleva la pasividad en este aspecto. El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena del contenido del protocolo http permitiéndonos filtrar direcciones URL potencialmente no asociadas al desarrollo de la normal actividad laboral, contenidos embebidos en las propias páginas web o scripts basados en java, activeX o cookies, contenidos potencialmente peligrosos. La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio usuario, o bien mediante la utilización del servicio FortiGuard Web Filtering. Estas son algunas funcionalidades genéricas soportadas: • Restringir acceso a Google para dominios específicos • Nuevos protocolos para autenticación y warning • Modificación de cabeceras http request • Añadir un referer a los filtros URL • Usar comprobaciones de rating en FortiGuard para imágenes, JavaScript, CSS y CRL • Variables nuevas para los mensajes de reemplazo 2.17.1.
URL Filtering mediante uso de listas locales
El filtrado de URL puede implementarse utilizando bases de datos locales con listas black/white lists definidas por el usuario que contienen URLs cuyo acceso está permitido o denegado. El acceso a URLs específicas puede ser bloqueado añadiéndolas a la lista de
FORTINET - FAST, SECURE, GLOBAL Página 69 de 106
bloqueo de URLs. El dispositivo FortiGate bloquea cualquier página web que coincida con la URLs especificada y muestra un mensaje de sustitución de la misma al usuario.
La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando caracteres comodines o expresiones regulares. Esta lista puede ser creada manualmente o importada desde listas de URLs elaboradas por terceros. Asimismo, con objeto de prevenir el bloqueo de páginas web legítimas no intencionado, las URLs pueden ser añadidas a una lista de excepción que sobrescribe la URL bloqueada y listas de bloqueo de contenido. El bloqueo de URL puede ser configurado para bloquear todo o sólo algunas de las páginas de un sitio web. Utilizando esta característica es posible denegar el acceso a partes de un sitio web sin denegar el acceso completo al sitio en cuestión. 2.17.2.
Filtrado de Contenido mediante listas locales
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas páginas web que contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una página web es bloqueada, un mensaje de alerta que sustituye a la web original generado por FortiGate es mostrado en el navegador del usuario. Las palabras clave pueden ser añadidas una por una, o importadas utilizando un fichero de texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta 80 caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los sistemas de caracteres Western, Simplified Chinese, Traditional
FORTINET - FAST, SECURE, GLOBAL Página 70 de 106
Chinese, Japanese, Thaï, Korean, French, Spanish o Cyrillic. Las palabras y expresiones pueden ser configuradas utilizando comodines o expresiones regulares perl. 2.17.3.
Filtrado de Java / Scripts / Cookies
El filtrado de contenido web también incluye características de filtrado de scripts y códigos maliciosos que puede ser configurado para bloquear contenido web inseguro tal y como Java Applets, Cookies y ActiveX.
2.17.4.
Servicio Fortiguard Web Filtering
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una clasificación actualizada de forma continua que engloba más de dos mil millones de URL´s distribuidas en un abanico de 77 categorías. El servicio está basado en la petición de la clasificación de las diferentes direcciones a la infraestructura de Fortinet. Así, mediante la configuración en las políticas de acceso a Internet, los equipos FortiGate son capaces de permitir o denegar el acceso a los diferentes sitios web en función de la categoría a la que pertenezcan. El dispositivo FortiGate soporta políticas a nivel de usuarios/grupos y mantiene información del usuario/grupo para cada petición realizada. El servicio Fortiguard Web Filtering tiene categorizados más de 56 millones de dominios o websites en 77 categorías agrupadas dentro de 8 clases. La base de datos utilizada por el servicio FortiGuard Web Filtering es continuamente actualizada mediante el descubrimiento y categorización de nuevos dominios, así como mediante la información enviada por los propios equipos FortiGate cuando intentan el acceso a una página no categorizada. Funcionamiento del Servicio Fortiguard Web Filtering Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las páginas web y utilizan el servicio FortiGuard Web Filtering para determinar la categoría a la que pertenece dicho sitio web y si se debe permitir o no la visualización de la página. Cuando utilizamos un navegador para solicitar una URL, el
FORTINET - FAST, SECURE, GLOBAL Página 71 de 106
dispositivo FortiGate envía esa solicitud a la red FortiGuard Network y comienza el siguiente proceso: El equipo FortiGate intercepta una solicitud web desde su red local, si el rating de la URL está ya cacheada en el dispositivo FortiGate, es inmediatamente comparada con la política para ese usuario. Si el sitio está permitido, la página es solicitada (3ª) y la respuesta es recuperada (4ª). Si la URL clasificada no está en la caché del equipo FortiGate, la página es solicitada al servidor web (3ª) y simultáneamente una solicitud de categorización se envía al servidor FortiGuard Rating Server (3b). Cuando la respuesta de categorización es recibida por el dispositivo FortiGate (4ª), el resultado es comparado con la política solicitante (2). La respuesta desde el sitio web (4b) es encolada por el dispositivo FortiGate si fuera necesario hasta que la categorización sea recibida. Mientras tanto, la web solicitada devuelve la página. Dado que la solicitud de categorización es similar a una petición DNS, la respuesta siempre va a ser obtenida de forma previa a la recepción completa de la página. Si la política es permitir la página, la respuesta del sitio web (4b) es pasada al solicitante (5). En otro caso, un mensaje definible de “Bloqueado” es enviado al solicitante e incluso el evento es recogido en el log de filtrado de contenidos. La siguiente ilustración muestra el mecanismo utilizado:
Beneficios del Servicio FortiGuard Web Filtering
FORTINET - FAST, SECURE, GLOBAL Página 72 de 106
Los usuarios del servicio FortiGuard Web Filtering se benefician de una solución de filtrado de contenido web actualizada permanentemente, así como de otras características como son: Alta Eficiencia y Fiabilidad, con el modelo de entrega “In-theCloud” según el cual la base de datos de FortiGuard es mantenida por Fortinet en localizaciones estratégicas geográficas implementadas alrededor del mundo. De este modo se provee un rendimiento equivalente a soluciones que requieren una base de datos localmente albergada, con la fiabilidad de la red FortiGuard a la disposición del usuario. Gestión Simplificada, ya que el servicio FortiGuard Web Filtering es un servicio gestionado, actualizado y mantenido 24 horas al día, 365 días al año por los centros de soporte y desarrollo de Fortinet, liberando al usuario de las tediosas tareas de administración y actualización de bases de datos y servidores. Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering, las organizaciones eliminan la necesidad adicional de hardware para soluciones de filtrado de contenidos web. Adicionalmente, el modelo de licenciamiento del servicio, que provee una suscripción anual para un precio fijo por modelo de FortiGate libera de la necesidad de licencias por número de usuarios, permitiendo a los proveedores de servicios de seguridad gestionada y grandes empresas implementar el servicio con unas condiciones altamente asequibles y coste predecible. 2.17.5.
Filtrado basado en cuotas
Adicionalmente, es posible asignar cuotas de tiempo o tráfico a las distintas categorías contenidas en el servicio Fortiguard:
FORTINET - FAST, SECURE, GLOBAL Página 73 de 106
Estas cuotas de tiempo podrán ser definidas por cada categoría y establecidas en segundos, minutos u horas, son calculadas específicamente para cada usuario y reseteadas diariamente. Esto permitirá que se asigne, por ejemplo, media hora por día a la navegación por parte de un usuario a una categoría, grupo o clasificación de Fortiguard específica. Algo similar sucede con las cuotas de tráfico, que pueden ser asignadas desde byes hasta Gigabytes por usuario o grupo. 2.17.6.
Filtrado de Contenido en Cachés
Los equipos FortiGate no sólo se limitan a inspeccionar las URL’s o los contenidos de las páginas a las que se acceden, sino que además permiten prevenir el acceso a contenidos no permitidos haciendo uso de la capacidad de algunos motores de búsqueda de almacenar parte de estas páginas en caché. Habitualmente, cuando utilizamos algún buscador para intentar acceder a la información, el buscador no sólo nos muestra un link que nos redirige a la URL en cuestión, sino que además nos permite visualizar esa URL guardada en una caché propia del buscador. Los equipos FortiGate son capaces de analizar la dirección de esa información en caché en el motor de búsqueda y la existencia de contenidos no
FORTINET - FAST, SECURE, GLOBAL Página 74 de 106
permitidos en la misma, evitando de este modo el acceso a contenidos no permitidos por este medio. Del mismo modo, pueden habilitarse filtros sobre búsquedas de imágenes y contenidos multimedia que actúan del mismo modo, no permitiendo que el contenido en caché de las páginas de búsqueda sea mostrado a los usuarios en caso de proceder de un dominio cuyo contenido no está permitido.
2.17.7. Activación del Servicio mediante Perfiles de Protección Al igual que el resto de funcionalidades, la activación de la funcionalidad de Filtrado de Contenidos Web se realiza en cada perfil de protección. En este caso los servicios configurados por el usuario se activan de forma independiente del servicio FortiGuard Web Filtering. La funcionalidad “Web Filtering” en la definición de perfil de protección permite habilitar comprobaciones contra listas blancas o negras de URLs definidas por el usuario, habilitar filtrado de contenido y consultas contra la lista de palabras clave definidas por el usuario, así como bloquear scripts. Existen tres posibilidades para el análisis web con un perfil de webfilter:
Modo proxy: Fortigate para la conexión, consulta la categoría en fortiguard y dependiendo de dicha respuesta y análisis se permitirá o no la conexión. La conexión durante el análisis de buferiza Modo Flow-based: En dicho modo fortigate utiliza el IPS engine, o comportamiento de análisis de flujo en tiempo real, para determinar si es o no tráfico legitimo acorde con nuestra política de seguridad. DNS: En dicho modo una vez que el usuario solicite una determinada URL, la petición de DNS pasará por FortiGuard, y aplicará en la propia respuesta de DNS el rating de dicha web. Para el uso de este modo necesitamos que nuestro FortiGate apunte como sus servidores DNS a los servicios de FortiGuard.
FORTINET - FAST, SECURE, GLOBAL Página 75 de 106
La funcionalidad “FortiGuard Web Filtering” en la definición de cada perfil de protección permite habilitar el servicio FortiGuard y definir las categorías que son bloqueadas, monitorizadas y/o permitidas:
La aplicación de los diferentes perfiles de protección puede aplicarse con autenticación de usuarios, haciendo posible discriminar el acceso a las diferentes categorías según el grupo al que pertenezca cada usuario.
FORTINET - FAST, SECURE, GLOBAL Página 76 de 106
2.17.8.
Mensajes de sustitución en web filter
Cuando una página web es bloqueada, es reemplazada mediante un mensaje personalizable.
2.18.
AntiSpam
La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no solicitados detectando los mensajes de spam e identificando esas transmisiones. Los filtros antispam se configuran de un modo global, si bien son aplicados en base a perfiles de protección, al igual que el resto de funcionalidades del equipo. El spam resta tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la productividad. Así mismo, los mensajes de spam hacen crecer los tamaños necesarios de los buzones de correo de los usuarios, haciendo crecer implícitamente el tamaño de los servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos innecesario. La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación de diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos SMTP, POP3 e IMAP). Aquellos filtros que requieren la conexión con servidores externos (FortiGuard Antispam o los servicios de Listas Negras en
FORTINET - FAST, SECURE, GLOBAL Página 77 de 106
tiempo real) se ejecutan de forma simultánea con los otros filtros, optimizando el tiempo de respuesta del análisis de los mensajes. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la acción definida para cada filtro que podrá ser:
Marcar el mensaje como Spam (Tagged): el mensaje quedará identificado como Spam a través de una etiqueta que puede estar localizada en el título del correo o en el encabezamiento MIME.
Descartar (Discard): Sólo para SMTP. En este caso el mensaje es desechado, pudiendo sustituirlo con un mensaje predefinido que advierta al usuario del envío de Spam.
La configuración de las distintas medidas AntiSpam que se pueden definir están divididas entre aquellas que se establecen mediante el servicio de filtrado de Spam de FortiGuard y aquellas que se definen de manera local. Los servicios de AntiSpam de FortiGuard usan para ello una base de datos de reputación de IP del remitente, una base de datos de firmas de Spam conocido y otras sofisticadas herramientas de filtrado de spam. Dentro de este servicio se pueden configurar la comprobación de IP del remitente, de las URLs que vayan en el correo, incluyendo aquellas de phishing y del checksum del correo. Además se puede activar la opción de Spam Submission para notificar casos de correos legítimos identificado erróneamente como spam, lo que es conocido como falsos positivos. Localmente es posible comprobar el dominio indicado por el remitente en el HELO de la conexión SMTP, establecer listas blancas/negras de IPs y/o correos y comprobar la existencia del dominio que aparece en el reply-to. Dentro de esta separación, los distintos filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el control por el contenido del mismo.
FORTINET - FAST, SECURE, GLOBAL Página 78 de 106
Control por Origen Black White List: lista blanca/negra de IPs o direcciones de correo. Las direcciones de correo se pueden definir mediante wildcards o expresiones regulares. FortiGuard IP Address check: comprueba contra los servidores de FortiGuard si la IP del remitente se encuentra en una lista negra. IP address black/white list check: el FortiGate comprueba si la IP del remitente pertenece a alguna lista blanca o negra configurada por el usuario. HELO DNS lookup: el equipo hace una comprobación DNS para revisar que el dominio indicado por el remitente al inicio de la conexión SMTP, el cual se identifica con el comando HELO, realmente existe. Si no es así, cualquier correo entregado dentro de esa sesión se considera spam. Email address black/white list check: el FortiGate comprueba si la dirección de correo del remitente pertenece a alguna lista blanca o negra configurada por el usuario. También se pueden configurar DNSBL & ORDBL check (listas DNS Blackhole y Listas Open Relay Database), en las que se chequea el origen del mensaje contra listas de DNSB y ORDB predefinidas, identificadas como listas blancas (marcaríamos el mensaje como
FORTINET - FAST, SECURE, GLOBAL Página 79 de 106
clear) o listas negras. Las listas son configurables por el administrador de la plataforma FortiGate. Control de Contenido FortiGuard URL check: comprueba contra los servidores de FortiGuard si las URLs que se encuentran en el cuerpo del correo están asociadas con spam. Si esas URLs pertenecen a alguna lista negra determina que el correo es spam. Detect phishing URLs in email: envía los links URL a los servidores de FortiGuard para identificar si se tratan de URLs de phishing. De ser así elimina el link. FortiGuard email checksum check: el FortiGate obtiene el hash del correo y lo envía a los servidores de FortiGuard, los cuales lo comparan con los hashes de correos de spam guardados en su base de datos. Si se encuentra una coincidencia el correo se marca como spam. FortiGuard spam submission: es un modo para informar al servicio antispam de FortiGuard que un correo que no es spam ha sido catalogado como spam (falso positivo). Para esto el FortiGate añade un link al final de todos los correos que categoriza como spam. Comprobación de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet Mail Extensions) son añadidas al email para describir el tipo de contenido, como puede ser el tipo de texto en el cuerpo del email o el programa que generó el email. Los spammers frecuentemente insertan comentarios en los valores de las cabeceras o las dejan en blanco, por lo que pueden utilizarse como filtros spam y de virus. Asimismo, los equipos FortiGate pueden utilizar las cabeceras MIME para marcar aquellos mensajes detectados como spam. Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo de emails que contienen palabras específicas o patrones reconocidos. Las palabras pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por ejemplo, la siguiente expresión capturaría la palabra “viagra” deletreada de varias maneras: /[v|\/].?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i. Solo es configurable vía CLI. Además de todo esto, también se permite la inspección en modo flow, soportando la inspección de sesiones SSL. Junto con esto también es capaz de procesar mensajes fragmentados y la inclusión de una firma a todos los correos SMTP.
FORTINET - FAST, SECURE, GLOBAL Página 80 de 106
2.18.1.
Servicio Fortiguard AntiSpam
Fortiguard AntiSpam es un servicio gestionado, administrado y actualizado por Fortinet y soportado por la red FortiGuard Network que dispone de listas propias de direcciones IP, direcciones e-mail, URL's, etc. que están continuamente actualizadas gracias a la detección de nuevos mensajes de spam a lo largo de todo el mundo. Mediante la utilización de honeypots en los que se detectan nuevos mensajes de spam, y la realimentación por parte de los equipos FortiGate y los clientes FortiClient existentes en todo el mundo, el servicio FortiGuard Antispam es capaz de actualizar las listas negras de forma casi inmediata ante la aparición de nuevos mensajes de spam a lo largo de todo el mundo. El motor AntiSpam, continuamente mejorado, se actualiza periódicamente a través del servicio Fortiguard AntiSpam, sin ser necesario esperar a una actualización completa de firmware del equipo Fortigate para actualizar dicho motor. Activación del Servicio mediante Perfiles de Protección Al igual que el resto de funcionalidades, la activación de la funcionalidad AntiSpam de los equipos FortiGate se realiza en cada perfil de protección, aplicado posteriormente en las diferentes políticas definidas en el firewall.
FORTINET - FAST, SECURE, GLOBAL Página 81 de 106
2.18.2. Más características FortiGuard Actualizaciones de base de datos GeoIP en tiempo real Servicio de mensajería SMS Servidores DNS desde FortiGuard Servidores NTP desde FortiGuard Servicio de DNS dinámico FortiGuard Actualizaciones de Modem USB Actualizaciones para visibilidad de Dispositivos y Sistemas operativos Licencias del servicio FortiCloud
2.19. Data Leak Prevention (Prevención de Fuga de Datos) Cambiando el enfoque tradicional de las plataformas de seguridad perimetrales cuyo objetivo habitual ha sido evitar que el malware y los intrusos accedan a la red interna o protegida, la característica de Prevención de Fuga de Información o DLP (Data Leak Prevention) ofrece la posibilidad de evitar que la información categorizada como sensible o confidencial salga fuera de la organización a través de la plataforma.
FORTINET - FAST, SECURE, GLOBAL Página 82 de 106
Es posible llevar a cabo esta protección para diferentes servicios de transferencia de datos. Para transferencia de mensajes puede inspeccionar los servicios SMTP, POP3, IMAP, HTTP, NNTP e IMAP. A su vez, para transferencia de ficheros añade a los servicios anteriores los de FTP, AIM, ICQ, MSN, Yahoo! y MAPI. Esto se realiza estableciendo reglas o grupos de reglas predefinidas, donde un buen ejemplo sería una de ellas que inspecciona en busca de números de tarjetas de crédito, o por otro lado, reglas totalmente personalizables.
Ejemplo de regla DLP que busca patrones de tarjetas de crédito
Así mismo las acciones posibles pasan por hacer únicamente log de la fuga de datos (con el único fin de monitorizar) hasta bloquear dichas fugas, bloqueando el tráfico que genere ese usuario, hacer cuarentena del mismo o archivar y guardar la información relativa a la violación que se está realizando.
Otra técnica utilizada por el módulo de DLP es fingerprinting. El equipo FortiGate genera un checksum para ciertos archivos y los almacena en su disco duro (esta funcionalidad solo está disponible en appliances con almacenamiento interno). Despúes se genera un checksum para cada archivo que se ve en el tráfico de red. Si alguno de los checksum de estos archivos coincide con uno almacenado en el disco duro, se lleva a cabo la acción configurada.
FORTINET - FAST, SECURE, GLOBAL Página 83 de 106
Por último existe la funcionalidad denominada DLP watermarking o marca de agua. Esta funcionalidad consiste en añadir una marca de agua o patrón a los ficheros que queremos proteger, en la cual se añade un identificador de la marca de agua y un nivel de criticidad (Critical, Private o Warning). Este patrón es ligero, ocupando unos 100 bytes únicamente. Es importante destacar que la marca de agua es completamente transparente para los usuarios del fichero, los cuales no podrán verla. Una vez introducida esa marca de agua y siempre que hayamos creado un sensor de DLP para detectar los ficheros con ese identificador de marca de agua y la sensibilidad asignada, el equipo detectará cuando esos ficheros pasen a través del FortiGate y podrá ejecutar la acción que configuremos para ello, ya sea bloquear, logar o meter en cuarentena al usuario, a su IP o a la interfaz. Para realizar estas marcas de agua hay que utilizar una herramienta propietaria de Fortinet, llamada Fortinet watermarking utility. Esta herramienta se encuentra disponible dentro de la aplicación FortiExplorer y únicamente para Windows. Existe una versión antigua para Linux en interfaz de comandos, pero ha sido descontinuada. Los tipos de archivos soportados son: txt, pdf, doc, xls, ppt, docx, pptx, xlsx.
Configuración de sensor DLP para detectar una marca de agua
2.20.
WAF (Web application firewall)
Se puede crear un perfil de seguridad enfocado a la protección contra amenazas de aplicaciones web. FortiGate incluye una lista de firmas y ataques reconocidos que se pueden aplicar a políticas
FORTINET - FAST, SECURE, GLOBAL Página 84 de 106
de seguridad, o permite la opción de redirigir el tráfico web a un dispositivo WAF específico, como es FortiWEB, para analizarlo.
Las firmas y restricciones de tráfico soportadas son las siguientes:
2.21.
CASI (Cloud Access Security Inspection)
La funcionalidad “Cloud Access Security Inspection” permite un mayor control en el tráfico y las acciones de las aplicaciones cloud como por ejemplo Youtube, Dropbox, Amazon, etc…
FORTINET - FAST, SECURE, GLOBAL Página 85 de 106
Para que funcione, debe estar habilitado “Deep inspección of Cloud Applications” en el perfil de seguridad de control de aplicaciones. El perfil CASI está definido por un nombre de aplicación, categoría y acción. Para cada línea es posible aplicar las acciones permitir, bloquear y monitorizar.
2.22.
DNS Filter
Gracias a DNS Filter se cuenta con las siguientes funcionalidades: 2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C La lista de servidores de comand and control de botnets se almacena en una base de datos interna que se almacena automáticamente desde FortiGuard. Para tener acceso a estas actualizaciones es necesario contar con una licencia al dia de FortiGuard web filter. Para bloquear estas peticiones, el trafico DNS se inspecciona con el motor de IPS y se comparan las peticiones con la base de datos del equipo. Cuando hay un match, se bloquean todos los subdominios del dominio encontrado. Esta funcionalidad se habilita en Security Profiles -> DNS Filter y habilitar Block DNS requests lo known botnet C&C.
FORTINET - FAST, SECURE, GLOBAL Página 86 de 106
2.22.2. Filtro de URLs estático El perfil de inspección DNS permite bloquear, eximir o monitorizar consultas DNS utilizando el motor IPS para inspeccionar los paquetes de DNS y buscar los dominios que hemos configurado en el perfil. El FortiGate debe utilizar el servicio de DNS de FortiGuard para hacer las consultas de DNS. Las respuestas a estas consultas están formadas por la IP correspondiente al dominio y una clasificación que incluye la categoría del dominio. Aparte de las acciones indicadas anteriormente, estas consultas también se puede redirigir, para que se resuelva una IP personalizada para los dominios configurados.
2.23.
External security devices
Se pueden configurar dispositivos de seguridad externos para descargar al FortiGate de la carga de procesar cierto tipo de tráfico. Estos dispositivos pueden ser FortiMail, FortiWeb o Forticache.
Para habilitar esta funcionalidad hay que ir a System -> External Security Devices y activar el checkbox del dispositivo a conectar. Seguidamente se indica la IP y a continuación se pulsa en el botón Aplicar. En el caso de trafico HTTP, se puede elegir si enviar el tráfico a un FortiWeb o a un FortiCache, dependiendo del tipo de servicio que se quiera proporcionar. En el caso de necesitar enviar el tráfico a un FortiWeb, también es necesario configurar una política de seguridad con un perfil de seguridad de Web application firewall asociado. Si el dispositivo asociado es un FortiCache, en la política de seguridad hay que configurar un perfil de seguridad de web cache y si el dispositivo es un FortiMail, en la política de seguridad hay que activar un perfil de seguridad de tipo antispam.
FORTINET - FAST, SECURE, GLOBAL Página 87 de 106
1 Controlador Switches - FortiLink Algunos modelos de FortiGate incorporan un controlador centralizado de switches FortiSwitch (ver hoja de características de cada modelo). Es necesario que el FortiSwitch a gestionar disponga de un sistema operativo FortiSwitchOS 3.3.0 o superior. Gracias a FortiLink, la gestión de VLAN o puertos PoE de los FortiSwitches se realizará desde el GUI de FortiGate. Desde FortiLink se podrá además visualizar un diagrama de la topología de la red de switches conectados al FortiGate.
2.24.
Controlador Wifi
Todos los dispositivos FortiGate, son capaces de actuar como controladores Wireless para los puntos de acceso fabricados por Fortinet (FortiAPs). Esto supone un ahorro de costes considerable para los clientes al no tener que adquirir un controlador Wireless.
Lista de productos FortiAP La solución de Fortinet se integra de forma directa con el Firewall, siendo cada SSID wifi una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de seguridad en la red Wifi que en la red cableada, pudiendo configurar en la wifi reglas de Firewall, Traffic-Shapping, Control de Aplicaciones, Webfiltering, etc. de forma sencilla y transparente. Dispone además de opciones de portal cautivo para invitados, pudiendo delegar la gestión de dichos invitados. Para ello dispone
FORTINET - FAST, SECURE, GLOBAL Página 88 de 106
de un portal de administración restringido que permite dar acreditaciones a la red wifi de manera sencilla, pudiendo suministrar la información de usuario y contraseña de varios métodos, incluyendo SMS, email o impreso. Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi, pudiendo crear reglas de seguridad basadas en tipo de dispositivo. A nivel de conectividad, la solución de Fortinet cuenta con las funcionalidades de conectividad más requeridas para los entornos Enterprise, funcionalidades tales como meshing, local bridging, asignación dinámica de canales, asignación dinámica de potencia, balanceo de clientes entre puntos de acceso, fast roaming, etc… Otras funcionalidades:
IDS Wireless Balanceo de carga de clientes Soporte Mesh y Bridging Bridge entre un SSID y un puerto físico Detección de AP´s falsos Ajuste automático de portencia Supresión automática de “rogué” Ap´s Cifrado del tráfico CAPWAP
Gestion de FortiAP. Dado que FortiGate también es un controlador de APs, existen ciertas funcionalidades de control de APs específicas: Selección manual de los perfiles para los AP Escaneo de AP Resumen de configuración de cada radio Acceso a la consola CLI Posibilidad de hacer un Split tunnel para el tráfico Wireless
2.25.
Identificación de Dispositivos - BYOD
La solución de Fortinet permite identificar el tipo dispositivo que se ha conectado a la red (tanto cableada como wireless). De esta forma se tiene visibilidad de inmediata de usuarios, sistema operativo y dirección IP. La captura inferior es una muestra:
FORTINET - FAST, SECURE, GLOBAL Página 89 de 106
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear políticas de seguridad. Así pues, se podría crear un grupo con los dispositivos corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos y restringirlos desde sistemas operativos no corporativos. De este modo es posible controlar los dispositivos personales que los usuarios pueden utilizar en una red corporativa, cosa que cada vez ocurre de forma más habitual y que se conoce como Bring Your Own Device (BYOD). Por ejemplo, se podría establecer una política basada en dispositivos para evitar que una consola de juegos se pueda conectar a la red de una empresa o incluso a internet, también establecer que las tabletas y teléfonos puedan conectar a internet, pero no a los servidores de la empresa, así como los portátiles corporativos podrían conectar a internet y a la red corporativa, pero aplicándoles filtrado antimalware o incluso establecer una política para que solo puedan conectar si tienen instalado el antimalware FortiClient en dicho ordenador.
La captura inferior muestra una política de firewall que hace uso de este concepto de dispositivo:
FORTINET - FAST, SECURE, GLOBAL Página 90 de 106
Es posible además configurar dispositivos de forma manual e incluso añadir a estos dispositivos un “avatar” que se podrá visualizar posteriormente en el GUI para mejor identificación visual del objeto.
2.26. Seguimiento clientes)
de
amenazas
(Reputación
de
Los tipos de escaneo UTM disponibles en FortiGate permiten detectar ataques específicos, pero algunas veces el comportamiento de los usuarios puede incrementar el riesgo de un ataque o infección. El seguimiento de amenazas puede proporcionar información a través del comportamiento de los clientes y la información sobre las actividades determina un nivel de riesgo. Las actividades que pueden monitorizarse son:
Intentos fallidos de conexión: El comportamiento típico de una BOT es conectar a algunos anfitriones que a veces no existen en el Internet. Debido a esto es necesario que el BOT realice un cambio constante de su “home” para evitar la aplicación de medidas legislativas, o simplemente para esconderse de los fabricantes de soluciones antimalware. Los intentos de conexión son detectados mediante:
FORTINET - FAST, SECURE, GLOBAL Página 91 de 106
Búsqueda de nombres DNS que no existe. Intentos de conexión a una dirección IP que no tiene ruta. Errores HTTP 404 Los paquetes que se bloquean por las políticas de seguridad. Protección de Intrusión: Ataque detectado. La reputación aumenta con la severidad del ataque. Requiere suscripción FortiGuard IPS. Protección contra Malware: el malware detectado. Requiere una suscripción a FortiGuard Antimalware. Actividad Web: Al visitar sitios web incluidos en categorías que suponen un riesgo, incluyendo las categorías: potencialmente peligroso, Contenido para adultos, consumo de ancho de banda y riesgo de seguridad. Requiere una suscripción a FortiGuard Web Filtering. Protección de la aplicación: El cliente utiliza software en categorías de riesgo, incluyendo Botnet, P2P, Proxy y Juego. Requiere una suscripción a FortiGuard IPS. Ubicación geográfica donde los clientes están comunicando. Requiere acceso a la base de datos geográfica FortiGuard y un contrato de soporte válido con Fortinet.
De entre las actividades sobre las que puede realizar un seguimiento, se puede configurar la severidad con la que cada actividad afectará a la reputación de los clientes, en una escala de bajo, medio, alto o crítico. También se puedo optar por ignorar una actividad, y no tendrá ningún efecto en la reputación. Esta funcionalidad actualmente tiene como objetivo alertar de una actividad que supone un riesgo para la seguridad y no incluye herramientas para detenerla. Se trata de una utilidad para mostrar el comportamiento de riesgo y poder tomar medidas adicionales para detenerlo. Estas acciones podrían ser crear una política de seguridad para bloquear la actividad o incrementar la protección UTM, así como tomar otras medidas ajenas al FortiGate para paliar el comportamiento. Tras la activación de la reputación de clientes, FortiGate monitoriza el comportamiento de los usuarios, que puede mostrarse en el monitor de amenazas de FortiView:
FORTINET - FAST, SECURE, GLOBAL Página 92 de 106
La reputación de los clientes se almacena en el log de tráfico, en unos campos específicos para esto (crscore y craction). Al habilitar esta funcionalidad, por lo tanto, no se puede eliminar la acción de log de una política de seguridad.
2.27.
FortiGate Virtual Appliance
Los dispositivos de seguridad Fortigate Virtual Appliance de Fortinet son appliances basados en formato máquina virtual, creados especialmente para operar en los entornos de “hypervisors”. Estos appliances virtuales ayudan a proteger las infraestructuras de red con seguridad multiamenaza integrada. Al igual que un dispositivo FortiGate tradicional, el appliance virtual FortiGate protege la infraestructura de una gran variedad de amenazas permitiendo a los clientes consolidar sus tecnologías de seguridad independientes, reduciendo los costes y la complejidad de su infraestructura de seguridad. Dado que las características de seguridad son las mismas que los basados tradicionalmente en hardware, los appliances virtuales FortiGate pueden operar conjuntamente con los dispositivos FortiGate tradicionales para asegurar que tanto el perímetro como las capas virtuales dentro del entorno virtual están protegidos, y son visibles y fáciles de gestionar.
FORTINET - FAST, SECURE, GLOBAL Página 93 de 106
Data Center Virtualizado Zona 2: PCs
Zona 1: Servidores
Virtual Appliances
Los dispositivos de seguridad virtual de Fortinet han sido creados para operar en cualquier entorno y al igual que sus homólogos físicos aportan consolidación, rendimiento, visibilidad y control a los cada vez más extendidos entornos virtualizados. Las licencias de los mismos están basadas en el número de CPUs, esto es, 2, 4 u 8 cores:
FORTINET - FAST, SECURE, GLOBAL Página 94 de 106
Los requisitos mínimos de cara al Hypervisor son los siguientes:
2.28.
Wan link load balance
De la misma forma que se puede balancear el tráfico entrante al firewall, también se puede balancear el tráfico saliente, esto permite: - Reducir los puntos de fallo de la red. - Aumentar la capacidad de la red para gestionar una mayor cantidad de datos. - Automatizar el proceso de balanceo de carga. 2.28.1. Algoritmos de balanceo El elemento fundamental para configurar el balanceo son las interfaces físicas que lo componen. A medida que se añaden interfaces al proceso, entran también en los cálculos que realizan los algoritmos para gestionar el tráfico. Otros aspectos a tener en cuenta: -
-
Elección correcta el algoritmo de balanceo según las necesidades de la red. Las interfaces pueden ser deshabilitadas si necesitan algun tipo de mantenimiento. Cuando se habilitan, vuelven a tenerse en cuenta por los algoritmos de balanceo de forma automática. No es necesario que las interfaces sean las que están etiquetadas como WAN. El uso y comportamiento de las interfaces se grafican en el GUI para facilitar la gestión y configuración de la funcionalidad.
FORTINET - FAST, SECURE, GLOBAL Página 95 de 106
2.28.2. Wan Links Existen 5 algoritmos de balanceo: - Ancho de banda. Se asignan pesos a las interfaces y el tráfico se asigna en base a esos pesos a una interfaz o a otra. Ejemplo:
-
-
-
Spillover. Se utiliza una interfaz hasta que se alcanza su capacidad máxima. Entonces se empieza a utilizar otra interfaz. Esta decisión se puede hacer en base al tráfico entrante o saliente. Sesiones. Igual que el anterior, pero el parámetro que se tiene en cuenta es el número de sesiones en lugar del número de paquetes. IP de origen-destino. Se intenta hacer un reparto equilibrado del tráfico entre todas las interfaces pero teniendo en cuenta las IPs de origen y de destino. El tráfico de la IP A a la IP B se envía siempre a la misma interfaz de salida. IP de origen. Igual que el anterior, pero solo se tiene en cuenta la IP de origen.
FORTINET - FAST, SECURE, GLOBAL Página 96 de 106
2.28.3. Reglas de prioridad Para cierto tipo de tráfico puede ser posible establecer reglas de uso más concretas. Estas reglas se pueden establecer en base a varios parámetros: dirección de origen, grupo de origen, dirección de destino, protocolo, aplicación.
2.29.
Control del EndPoint
FortiClient es el software de Fortinet disponible para entornos Windows, MacOSX, iOS y Android que permite extender las funcionalidades del firewall hasta el dispositivo del usuario. Algunas de las funcionalidades básicas que incluye son las siguientes: Autenticación desde FortiClient Gestión y registro de FortiClient Portal cautivo para instalación y comprobación del endpoint Provisión de configuración de seguridad de FortiClient cuando el usuario no está conectado a la red protegida Log del endpoint Estado del endpoint. Registrado o no registrado y on-net u off-net. Gracias a la integración del endpoint con FortiSandbox, además se puede determinar si el equipo del usuario ha podido ser infectado por una amenaza nueva. En este caso podemos poner en cuarentena el equipo desde la consola de FortiGate. Esto se puede hacer desde FortiView:
FORTINET - FAST, SECURE, GLOBAL Página 97 de 106
O desde el menú de FortiClient Monitor:
La cuarentena de un equipo aplicada por FortiClient únicamente se puede levantar desde la consola de FortiGate seleccionando “Release Quarantine”:
2.30.
Virtual wire pair
Esta funcionalidad está disponible en modo NAT y modo transparente y sustituye a la funcionalidad de Port Pair disponible en anteriores versiones de FortiOS en modo transparente. Cuando se configuran dos interfaces en modo virtual wire pair, no se configura ninguna IP y funcionan de un modo similar a un VDOM en modo transparente. Todos los paquetes que entran en el equipo por una de las interfaces solo pueden salir por la otra, si están
FORTINET - FAST, SECURE, GLOBAL Página 98 de 106
permitidos por una política de virtual wire pair. Se pueden configurar multiples interfaces de este tipo. Aunque no permite configurar VLANes, se pueden habilitar wildcards de VLAN. Para añadir una interfaz virtual wire pair, hay que ir a Network -> Interfaces y seleccionar Create New -> Virtual Wire Pair. Seleccionar las dos interfaces involucradas y pinchar en OK.
La nueva interfaz aparece en la lista de interfaces del equipo. Lo siguiente necesario es configurar una política de acceso. Para esto hay que ir a Policy & Objects -> IPv4 Virtual Wire Pair Policy. Seleccionar el virtual wire pair para el cual se pretende añadir la política y pinchar en Create New. Se configura la dirección de la política y los objetos típicos de una política de firewall.
FORTINET - FAST, SECURE, GLOBAL Página 99 de 106
2.31.
FortiExtender
El dispositivo FortiExtender proporciona conectividad vía 3G/4G/LTE a un FortiGate. Se establece un canal de datos CAPWAP entre FortiGate y FortiExtender para proporcionar la conectividad a la red 4G/LTE. Si bien FortiGate proporciona conectividad con la red 3G/4G a través de dispositivos USB conectados directamente al FortiGate, con FortiExtender se extienden estas capacidades además de poder ubicar el dispositivo FortiExtender en una localización más óptima para la recepción de la señal 4G/LTE, por ejemplo, fuera de una sala de proceso de datos, donde la señal de recepción puede ser más baja.
3.GESTIÓN DE LOS EQUIPOS FORTIGATE 3.1.
Tipo de gestión
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https, telnet o SSH, siendo estos accesos configurables por interfaz, Además existe la posibilidad de definir diferentes perfiles de administración con objeto de limitar las tareas y posibilidades de cada usuario con acceso al equipo. A la hora de definir un usuario de administración, se puede limitar el acceso a uno o varios VDOM en caso necesario. Gracias a la aplicación FortiExplorer, disponible para Windows, Mac OSX, IOS y Android, se puede configurar un dispositivo FortiGate a través de su interface USB. Estas son algunas funcionalidades administración del equipo:
relacionadas
con
la
Soporte de configuración a través del interface USB para Android y dispositivos IOS con la aplicación FortiExplorer. Nueva opción para formatear el boot device antes de actualizar el firmware Nuevo comando CLI para restablecer los valores de fábrica, manteniendo la configuración de interfaces y VDOM Posibilidad de deshabilitar el login por consola Nuevos traps SNMP para FortiAP y FortiSwitch Extensiones SNMP para BGP GUI simplificado para FortiGate y FortiWifi 20C y 40C Servidor y Cliente DNS Servidor y cliente DHCP.
FORTINET - FAST, SECURE, GLOBALPágina 100 de 106
Configuración de opciones DHCP para obtener la IP de un servidor TFTP y el nombre de un fichero de configuración para restaurar configuraciones Wizard de configuración Mejoras en la configuración de gestión centralizada Soporte de nombres largos mejorado en CLI Modificación de políticas desde la ventana de lista de políticas. Personalización del color e idioma de la interfaz gráfica de usuario. Modo pantalla completa de la interfaz gráfica de usuario.
Fortinet cuenta además con una plataforma de gestión global centralizada para múltiples equipos denominada FortiManager™. El sistema FortiManager™ es una plataforma integrada para la gestión centralizada de equipos FortiGate a través del cual pueden configurarse múltiples dispositivos FortiGate de forma simultánea, creando grupos de equipos y plantillas de configuración y permitiendo monitorizar el estado de estos dispositivos.
FORTINET - FAST, SECURE, GLOBALPágina 101 de 106
3.2.
Gestión Centralizada con FortiManager
FortiManager es la plataforma de gestión centralizada de Fortinet. FortiManager permite la centralización de las acciones que se han de llevar a cabo en los equipos FortiGate permitiendo un rápido despliegue de los proyectos de seguridad, el mantenimiento y actualización de los distintos dispositivos FortiGate y su monitorización en tiempo real. Además, con FortiManager se puede gestionar la suite de PC FortiClient y el gestor de logging y reporting FortiAnalyzer, presentando una única interfaz de gestión para todos los elementos de seguridad. Así mismo, la plataforma FortiManager se puede utilizar como servidor de actualización de firmas de los equipos FortiGate, como si fueran un nodo más de la red FDN, pero formando parte de la red del propio usuario, pudiendo de esta manera centralizar la gestión de las descargas de seguridad de los equipos. El lineal actual de FortiManager se compone de distintos equipos físicos, aportando soluciones de gestión centralizada a todos los entornos de seguridad posibles. Cada modelo es capaz de gestionar un número definido de dispositivos Fortigate o de VDOM configurados en estos. Estos equipos soportan diversas funcionalidades, por ejemplo, la gestión por parte de un administrador de múltiples ADOMs o dominios administrativos. Además, posibilita que ciertas características de los dispositivos sean gestionadas a través de un perfil de dispositivo, en vez de desde la base de datos de gestión de dispositivos. Asimismo, también permiten crear perfiles de tiempo real o RTM (Real Time Monitor). De igual modo, también es posible activar y monitorizar FortiTokens asociados a dispositivos FortiGate. Otra ventaja importante radica en que cuando hay equipos en alta disponibilidad y el maestro cae, el esclavo se presenta como nuevo maestro sin necesidad de reiniciarse. Además es también perfectamente compatible con IPv6.
3.3.
FortiManager Virtual Appliance
Los dispositivos FortiManager Virtual Appliance son los appliances de gestión de Fortinet con soporte en formato máquina virtual y creados para operar en las principales plataformas de virtualización. Estos appliances virtuales se componen de las mismas características que sus homólogos hardware, pero en formato virtual. Tanto los equipos físicos como los virtuales pueden realizar labores de servidor local Fortiguard al completo y un
FORTINET - FAST, SECURE, GLOBALPágina 102 de 106
appliance virtual puede gestionar indistintamente FortiGates físicos o virtuales, lo mismo que el appliance físico FortiManager.
3.4.
Registro de Logs
La capacidad de registro de eventos, tráfico y aplicaciones puede ser habilitada tanto a nivel global como en cada una de las políticas definidas a nivel de firewall permitiendo configurar un elevado nivel de detalle y de forma independiente cada uno de los registros que se requieren.
FORTINET - FAST, SECURE, GLOBALPágina 103 de 106
Así, por cada política, de forma granular, se puede escoger una de las siguientes opciones:
No Log: no hace login de los eventos. Log Security Events: guarda un registro de los eventos UTM producidos. Log all Sessions: guarda un registro de log para cada sesión que se genera. Generate logs when Session Starts: Genera un log cada vez que una sesión comienza (al igual que cuando finaliza). Capture packets: Realiza una captura de todo el tráfico que machea en la regla y lo almacena en el disco duro.
Estos registros pueden ser almacenados localmente en memoria o en disco, (en aquellas unidades que dispongan de él) o bien en un servidor externo como pueden ser un syslog o la plataforma FortiAnalyzer. Para más seguridad, se pueden enviar los logs cifrados.
FortiGate también dispone de la capacidad de generar informes de forma local, utilizando para ello los logs almacenados en sus discos. Uno de estos informes permite evaluar el cumplimiento PCI DSS a nivel global o a nivel de VDOM:
FORTINET - FAST, SECURE, GLOBALPágina 104 de 106
3.5. Registro centralizado y gestión de informes con FortiAnalyzer FortiAnalyzer es una plataforma dedicada al registro centralizado de logs y la gestión y tratamiento de los mismos. FortiAnalyzer posee la capacidad de generar más de 350 gráficas e informes diferentes que nos aportan información detallada sobre los eventos registrados a nivel de Firewall, ataques, virus, VPN, utilización web, análisis forense, etc. Entre los posibles informes cabe destacar:
Informes de ataques: ataques registrados por cada equipo FortiGate, señalando el momento en el que son registrados, e identificados a las fuentes más comunes de ataque Informes de virus: top virus detectados, virus detectados por protocolo Informe de Eventos: eventos propios de la máquina, de administración de la misma, etc. Informe de utilización del correo electrónico: usuarios más activos en envío y recepción, ficheros adjuntos bloqueados identificados como sospechosos. Informe de utilización del tráfico web: usuarios web top, sitios bloqueados, usuarios de mayor frecuencia de intento de acceso a sitios bloqueados, etc. Informe de utilización de ancho de banda: informes de uso del ancho de banda por usuario, día, hora y protocolo Informes por protocolo: Protocolos más utilizados, usuarios ftp /telnet top.
FortiAnalyzer incluye un registro histórico y en tiempo real del tráfico de cada uno de los equipos FortiGate gestionados, así como una herramienta de búsqueda en los logs. FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos, tanto en formato físcio como appliance virtual para las principales plataformas de virtualización. Aparte de la capacidad de generación de informes y de la gestión de los logs de las distintas plataformas FortiGate, FortiAnalyzer
FORTINET - FAST, SECURE, GLOBALPágina 105 de 106
puede actuar como gestor de alertas bajo determinadas condiciones configurables por el administrador de seguridad. De esta forma se centralizan las alertas de seguridad en un único dispositivo evitando la dispersión y las dificultades de gestión asociadas a esta. Como elementos de análisis de la red FortiAnalyzer cuenta con un monitor de tráfico en tiempo real y un escáner de vulnerabilidades que permiten conocer en todo momento el estado de la seguridad en el entorno aportando la capacidad de actuar sobre los puntos débiles o las vulnerabilidades detectadas. Para facilitar al máximo las tareas de búsqueda de logs, existen módulos de análisis forense y de correlación de eventos que permiten encontrar la información necesaria sin la pérdida de tiempo típicamente asociada a la búsqueda en ficheros de log independientes y descentralizados. Algunas de las funcionalidades más destacables son:
Log arrays, que soportan el acceso a logs e informes basados en grupos de dispositivos, los cuales pueden formar parte de un HA. Permite logar tráfico proveniente de endpoints de FortiClient. Es posible generar informes para un grupo de dispositivos. Genera informes basados en la reputación del cliente o client reputation. Backups/restore de logs e informes. Generación de alertas basadas en ciertos filtros sobre los logs recibidos. Nuevos gráficos y datasets para wireless. Mejora de la gestión SNMP y de los MIBs. Herramienta mejorada para tests y realización de queries y muestra de resultados.
FORTINET - FAST, SECURE, GLOBALPágina 106 de 106
View more...
Comments
