+ Criar Politica de Firewall para permitir a conexéo ao TS e ao VNC. + Politica de Wan2 para Interna ¢ 0 Destination Address serd o VIP criado. + Configurando IP Pool + Descri¢ao: Aplicar Pool de IPs na saida de conexao para o protocolo HTTP — Firewall ->Virtual IP > IP Poo! — Interface Origem: Internal = Interface Destino: want — IP/Range: 192.168.0,[10-30] ~ Criar uma regra permitindo acesso HTTP (Want) e habilitar a opgao NAT e Dynamic Pool. egRTiner ly, RTS rn, re mr RC ra —————— LAB -4 + Para testar o IP Pool altere o ip da estagdo 3 vezes e acada alteracao faga uma conexao HTTP — Teste nt > PC ip Address: 192.168.x.20 > Resultado: — Teste n2 > PC ip Address: 192.168.x.21 > Resultado: = Teste n3-> PC ip Address: 192.168.x.22 > Resultado: + Use 0 comando abaixo para monitorar os ips mapeados — diag sys session filter dport 80 — diag sys session list FoAninesr 48Break o Aine opti TEC hin ee dt nn. gee UTM FSATiner + Aplica diferentes protecdes para o tréfego que é controlado pelas politicas de Firewall. + Todas as Configuragées de Seguranga do Fortigate como, Antivirus por protocolos, IPS, @ logs sao ativadas nos Profiles UTM, que por sua vez so aplicados nas Politicas de Firewall [+ quaramine += Virus Database |.) mmruson Proteczon Webfltering, AntiSpam, DLP, Application Control | <5 wes sur 9 ema iter 3. ote tea reversion Bg Arattion Control wiRtEC ae “F 49UTM - Antivirus BW Antivirus “= File Filter » Quarantine Lon Virus Datahase | Virus Datahas UTM - Antivirus yon, REC nmin ner eo, Throughput através do FortiAsic Content Processor Protocolos: HTTP, FTP, IMAP, POP3, SMTP, IM, NNTP. Suporte HTTPS, IMAPS, POP3S e SMTPS em Fortigates com Network Processor. Assinatura baseada na Wild List + outros selecionados Atualizagao através da FDN (System/Maintenance) eeRTEC FRsRriner ERC 50Antivirus - Caracteristicas + Scanning em tempo real do trafego + Substituigao do arquivo infectado com mensagem + Bloqueio de arquivos/extensées + Bloqueio de e-mails fragmentados + Bloqueio de arquivo/e-mail oversized + Assinaturas de e-mail + Log + Por default faz scan nas portas padres: ex.: http/top/80 + E possivel adicionar novas portas através do Protocol Options BiRTEC Foaminen ep TREC oi oc Sn a a + Virus Scan — Habilita Antivirus para cada Protocolo (HTTP/s, FTP, IMAP/S, POP3/s, SMTPis, IM e NNTP). Op¢do de AV/Heuristic 6 habilitada via CLI. + File Filter — Habilita checagem de File pattern. Arquivos podem ser bloqueades ou permitidos por construgao ou extensao, + Quarentine Virus Sender ~ Habilta @ quarentena para o originador do virus. oRriner oT te en vt ee wgerrec 51FoRTner Habilitada somente quando houver um FortiAnalyzer IRTEC opty TRTED on. es er monn a aE 52Eas Antivirus - Database aa aE © Few bane Vin Oaabave © Reg vrs xsbase ce aeaiik vere siopss 7 — oe Jrouted Sprout test en Si aaah eee noted Gyre Sigrtires 2 (© teerdea vine bembase © exveme Vis Datanese veroa stco0s Version 2.00000 Inc Sartre omr0 Thcuded Sonate a | irewene Gayman Siontres 4695 Ineucea Gayware signanwes 1 Channan connnommtawamamen PRPC Antivirus - Scanning Archives + Scanning de archives (zip, rar, tar, gzip, cab, tha, Izh, arj, bzip2) + Scanning de “packers” (ASPack, UPX, FSG, Petite) + Scanning de arquivos codificados (ex: uuencode) + Pode analisar em até 99 niveis (conf. via CLI) contig Antivirus service ‘set uncompnesiliit end config Antivirus service sf uncompsizelimit end Fomriner opp Corn Tae inn gi PRTECLAB -5 + Descrigdo: Criar um AV Profile chamado web_av. + Habilite file filter blocking - File pattern *.exe; - File type executaveis; + Habilte Scanning de AV HTTP e FTP + Habilte File Filter blocking para HTTP e FTP + Aplique o AV profile na regra de acesso a Intemet + Teste 0 Antivirus de HTTP, acessando http /vww.eicar.org/ + Customize replacement messages para AV esAninsn yi 2 TRE Hon Tee ian, aheeree UTM - Web Filter “= Web Content Fitter = URL Fiter | Override * Local Categories | = Local Ratings “+ FortiGuard Quota_| SAmInET AH ein Ts saan waPRTEC cota 2 54Web Filter — Profile Web Content Filtar~ Habilta web page blocking para HTTP baseado na lista de content block patterns (BWL Words). ‘Web URL Filter ~ Habilta a checagem do URL inseridas om URL Filer FortiGuard Web Filtering ~ Habiita a checagem de sites utllzando ofto categorizado de URLs Pad ra UTM — FortiGuard Web Filtering + Filtro de conteudo proprietario da Fortinet + O FortiGuard possui uma lista com milhées de websites categorizados por grupos especificos: Ex: drogas, sexo, violéncia dentre outros. + Este produto é licenciado separadamente 55UTM = FortiGuard Web Filtering = Feaminen TREC on en tn wae BoE UTM - FortiGuard Web Filtering Allow websites when a rating error occurs: Permite paginas web que retomem como error {do rating do eervigo de Wed Filtering, Fail secure, permite todo 0 acesso om caso de problema de ONS no Forigate. ‘Strict Blocking : Se strict blocking esta habilitado, um site ¢ bloqu [pelo menos uma categoria ou classiieagSo bloqueada @ somente. ‘calegorias ou clasiicagbes sio permitidas ‘Com strict Blocking desabilitado, um site ¢ permitide se els pertence & pole menos uma ‘categoria ou classifcagao permitida e somente ¢ bloqueado se todas as catogorias ou classicagbes s80 bloqueada, Rate URLs by domain and IP address: Quando habiltada, esta oppo envia ambos os ‘enderepos de URL ¢ IP do ste requlstado para chacagem, provendo seguranga adicional ‘conta tenativas de bypass ao sistema de FortiGuard, Entretanto, porque IP rating nao & ‘atualizado rapidamente como URL rating, alguns falsos ratings podem acontecer. Esta ‘opsio & desabiliada por padrio, Block HTTP redirects by rating : Habilta 0 redirecionamento de HTTP. Muitos sites usam 0 rediecionamento de form legitma, no entanto, om alguns casos, redirects so criados para Contomar sistemas de webfering, porque a pagina inical pode tor um “ating” diferente da pagina rodirecionada. 10 se ele est orm todas as rine: ee 56Web Filter - Local Categories + “User-defined categories” podem ser utilizadas para criar calegorias contendo sites que precisam ser bloqueados ou liberados manualmente via FortiGuard Webfiltering. + Apés criar a Local Category ¢ necessario adicionar sites a esta Categoria. Va em Local Ratings e insira novos sites associados a esta Categoria, eae eee = Web Filter - Local Ratings om ([Rentiaccomr 1 > rere Renee (3 > tet ont cain 5) > pas ned (6) emer (6 ~ eet caesaes 9 a@coooococ FSATiner up, TEC in oe ie 57Web Filter - Web Content Filter Bloqueio por Palavra ou Frase Agao: Block ou Exempt Palavra -> Ex: sexo, o Fortigate ira bloquear todas as requisigdes web que contiverem esta palavra (URL ou cédigo) Frase -> Ex: “sexo seguro”, o Fortigate ira bloquear as requisigées web que contiverem esta frase (URL ou cédigo). Tenn wmeneennen aR Content Filter - Block e Exempt Gomacimnocenenen aPC 58Web Filter - URL Filter + Ex.: www.playboy.com.br, bloqueard todo o acesso para este site + Ex.: www.playboy.com.br/news.html, bloqueara apenas esta url Web Filter - URL Filter + Adicionar URLs manualmente seja para excego, bloqueio ou permissao Peal i FEAminer orp TREC ein, Te Sn 59SS Eee Web Filter - Overrides + Usuarios, as vezes, precisam ter acesso temporario a um website bloqueado, neste caso, pode-se liberar a url por um tempo determinado. eas Baa eam Ucn (EAST) Ofte utes (aa) Nour: GET) mints GED) see TD Monts (Hey TE) Pay ES FoAninsr TREC ten ia, aa ta Web Filter - Flow + © Web Filter 6 processado em ordem Top-Down 1-URL Filter Exempt (Web Exempt List) 2- URL Filter Block (Web URL Block) 3- URL Filter Block (Web Pattern Block) 4- FortiGuard Web Filtering (Local Ratings) 5 - FortiGuard Web Filtering (Category Block) 6 - Content Block (Web Content Block) 7-- Script Filter (Web Script Filter) 8- Antivirus scanning aenar ereanwcnmneacemmcen aR 60Eas LAB -6 + Configurando Local URL Filter Content Filter + Va para Web Filter -> URL Filter para criar uma URL pattern para bloquear todos os sites. = URL: AS. — Type: RegEx = Action: Block + Crie um 0 Profile de nome web_biog e habilite as seguintes opgoes: + Habilite Web Filtering = Web URL Fitter: enable = Selecione a lista criada Habilite Logging —saEE Fsamner Capra 2011, TEC non, Ys cx dato sev egenree + Teste acesso a sites. + Crie uma nova lista de sites em Web Filter -> URL Filter. Aplique no Profile. + Teste novos acessos. + Adicione palavras para bloqueio em Web Filter-> Web Content Filter. + Teste novos acessos. TERnNEn cemimrnnmenemeee fe 61Es UTM - Email Filter +O AntiSpam pode ser configurado para gerenciar e-mails nao solcitados detectando mensagens de spam ¢ identificando transmissao de spam de servidores suspeitos conhecidos. —— ~ Recipient taining @ fotinot com 1, DNS look-up for MX record 2. Connect o remate mail sever [ Fortigate niéo é um 23. Deliver message Relay de E-mail, tipo FortiMail ou Ironport mua MTA (email client) (mail server) a gintec FsAniner yt, TREC on, ah Bee SEE EEE UTM - Email Filter FSATINeT ie, TREE Wows ean ee aso, 62UTM 1 2. 3 4, 8. 6. r 8 8. — Email Filter Flow + Para SMTP IP address BWL >. RBL. & ORDBL (Last IP) IP address (FortiGuard ~ Anti-spam) HELO DNS lookup MIME headers check, E-mail address BWL check Banned word check on email subject IP address BWL check (IPs in ‘roceived" headers) 3. Banned word check on email body. Roturn e-mail DNS check, FortiGuard — Anti-spam (URL) 410, RBL & ORDBL check on public IP agence ? 2. 5, UTM — Email Filter Flow 1 3 4 6 + Para POPS e IMAP MIME headers check, E-mail address BWL check Banned word check on email subject, IP BWL check Banned word check on email body Return e-mail DNS check, FortiGuard Anti-spam check, RBL & ORDBL check FaRninen st TATE Maman To ita ed, 63a UTM — Email Filtering + IP Address Check — Checa se 0 IP do sender esté na blacklist do FortiGuard Antispam service + URL Check — Verifica no FortiGuard Service se uma URL no corpo do e-mail esta associada a um spam. + E-mail checksum check — Compara 0 hash do e-mail com os hashes de spams conhecidos na base do FortiGuard + Spam Submission — Informa a Fortinet sobre falso-positivos. Fortigate adiciona um link no final de cada e-mail marcado como Spam. + IP Address BWL - Lista local de IPs. a wiRinc FeaRrinsr ayy RTE oman, ee nn, ate UTM — Email Filtering + HELO DNS Lookup - Apés receber 0 comando HELO (que contém o nome do dominio) do cliente SMTP 0 Fortigate faré © reverse lookup do nome do dominio com 0 enderego IP do sender, + E-mail Address BWL - Lista local de e-mails. + Return e-mail DNS check - O Fortigate checa se 0 e-mail de retorno possui MX ou A record no servidor de DNS. + Banned Word BWL — Lista local de palavras. FoAriner ony, REE Win a sate, ageeree 64FeSRTiner Banned Word IP Address List [E-mail Address List peta af 65Email Filter - Regex + Para bloquear qualquer palavra na frase: /block|any|word/ * Para bloquear frases comuns: /trabalhe em casali itp:/ fam troubleshooters. com/codecorn/litioer/periteg.htm htto://uww.cs.tut.f/"korpela/perl/renexp. hte hete://anww perl com/doc/manual/ntml/pod/perite.htm aERTEC eueriner REE in Ts eee UTM - App Control GE Anplication Control ] Application + FortiOS oferece protegao completa e controle sobre aplicagdes conhecidas em camada 7. + O funcionamento é independente de porta ou protocolo, mas sim baseado no padrao de trafego da aplicagao. + Utiliza o IPS para verificar as assinaturas FERnNET semuececcmeen gE 66UTM - App Control ono Aenleaton (iorent 9 reson Cina) Options 1 Enable Logging 1G Enable Pacet Lop esRriner om TEC a er UTM - Data Leakage Prevention 2B Data Leak Prevention —_| | [+ Compound Prevenir vazamento de informagées criticas das organizacoes através da rede. Podendo ter como agées log, block ¢ archive data, bem como quarentine. FSRminer ay, TATE Hen 67UTM - DLP ie UTM - VoIP Fortigate é capaz de aplicar seguranga e controle sobre os protocolos de VoIP. E capaz também de interpretar os protocolos de sinalizagao de cada chamada através do SIP ALG FERMINer 68+ Criar uma AppCTL para bloquear a seguintes aplicagées. + MSN, Skype, Ultrasurf e toda categoria p2p + Liberar apenas 0 BitTorrent dentro da categoria p2p. + Criar um DLP para visualizar 0 contetido das conversas do MSN. eit TTC, nm ae eaeriner comer tTmeChmiin waren ERTIES 69ES ————E—E—Es UTM - Intrusion Prevention System +O Fortigate Intrusion Prevention System (IPS) combina a tecnologia de assinaturas e anomalias para detecgao e prevengao. O Fortigate pode gravar as possiveis intrus6es em log, pode enviar alertas por e-mail para os administradores de sistemas e ter as aces de log, pass, drop, reset ou clear em pacotes ou sessdes suspeitas. + O.upgrade de ambos, IPS com assinatura predefinidas e a engine do IPS é feito através da FDN. Vocé pode ajustar alguns thresholds do IPS por anomalia para melhor trabalhar com o trafego normal nas redes protegidas. Pode-se também, criar assinatura customizadas para utilizar o Fortigate em diversificados ambientes. [ BW intrusion Protection BIRTES Copy 2011, TRTEC Itai, Ya 8 wae ? UTM - IPS + Detecta Assinaturas e Anomalias + Funciona como IDS e/ou IPS + Log e armazena suspeitas de ataques + Alertas podem ser enviados para administradores + Thresholds podem ser alterados + Assinaturas podem ser customizadas FsAniner a TE min ae a er 70UTM - IPS + Assinatura — IPS Sensor — Protege a rede de ataques conhecidos —Atualizagao automatica - FDN Anomalia — DoS Sensor Log e Alertas por e-mail — Protege a rede de ataques desconhecidos Forriner ey, TATE amin Ten re, aRTEC wee - frenanagaay| FuAniner ait TREC on, tr BERTEC or raeIPS - Assinaturas Pre-definidas + Group Name: 0 nome do grupo da Assinatura + Enable: 0 status do Grupo. Um check branco em um circulo verde indica que 0 ‘rupo de assinatura esta habilitado, Um X branco em um circulo cinza indica que esta desabiltado, + Legging: 0 status para lag para assinaturas individuals, Clique no triangulo azul para visualizar as assinaturas que fazem parte deste grupo. Um check branco em Lm circulo verde indica que o log esta habilitado para esta assinatura. Um X branco em um circulo cinza indica que o log esta desabilitado. + Action: A ago especifica para cada assinatura. Click no tringulo azul para visualizar todas as agées: Pass, Drop, Reset, Reset Client, Reset Server, Drop Session, Clear Session, or Pass Session + Revision: © niimero da revisdo para cada assinatura. + Modify: Os botées de Configure and Reset. BIRTEC ta eoAnnen yi RES odin Tn tt, IPS - Assinaturas Customizadas + Também é possivel usar Custom Signatures para bloquear ou permitirtrafego specifica. Por exemplo, para bloquear trafego do software TeamView pode-so adicionar uma assinatura customizada. Ex.: + F-SBID( ~name “TeamViewer.RegServer.Login"; ~protocol tcp; ~dst_port 5938; flow from_client; ~seq =,1,elative; —pattern *|17 24 10 04"; ~within 4,packet; data_size FeRnnen iyi, TATE emt, Tn den geen 72IPS - Assinaturas Customizadas + As seguintes assinaturas customizadas detectam e podem bloquear as requisicdes de HTTP POST, PUT e Delete. + Estas requisigées so métodos comuns usados na Intemet, ‘especialmente POST e nao indicam ataques. F-SBID( ~name “Block HTTPPOST’; protocol ep: ~sorvice HTTP; wflow from_client pattern “POST * ~context uni within S,context;) F-SBID( ~name ‘Block HTTPUT": protocol tep: ~service HTTP: ~ffow rom client; ~ patio “PUT " context ur; within 4,context ) F-SBID( ~name ‘Block HTTP DELETE’; ~ protocol ep; ~sorvice HTTP; ow from client: pattem "DELETE" ~context ur; within 7,contoxt ) egerinsr yn TREE in Tn mm Pd + Aplicado na Policy 73Smt Steamy Oana |S ae Osaipeegncrr aver sey © trabeat © ost ronm——Osomptegnne ave ony O aval O auat © Rena Coors Ommmar Oounear rmtaning_O snout 9 out ERT gintEC CS eee IPS - DoS Sensor IPS do Fortigate usa a detecrao por anomalia para identificar tréfegos de rede desconheckdos ou néo identificados pelas Assinaluras. Consegue identificar 4 tipos estatisticos de anomalias para os protocolos: TCP, UDP e ICMP. = Flooding: Se o numero de sessées destinados a um host em 1 segundo & facima do threshold, o host de destino esta sofrendo flooding. = Scan: Se o numero de sessbes vindas de um tnico host em 1 segundo esta lacima do threshold, o host de origem esta fazendo scan. Source Session Limit: Se o numero de sess6es concorrentes vinda de um unico hast esta acima do threshold, o mite de sessGes por origem esté ‘esgotado. = Destination Session Limit: Se o numero de sess6es concorrentes para um Unico host esta acima do threshold, o limite de sessGes por destino est esgotado. FSAnner cometh cnemcha tomer, AERC! 74IPS — DoS Sensor + Aplicado por enderegos IPs de origem e Destino + Deve ser customizado apés identificado o padrao de conexées da rede. Por default a agao é Pass, ou seja, desabilitado. SSS IPS - DoS Sensor Fanner ent 203, TE emo ton mr agence 75BSS EEE IPS — DoS Policy nn IPS - Agoes + Pass: Te Frigate unt tho pack a tigord the signature pas ough he Fewat Hogs Seated und acton lol oPoon tu sgn alec doabted + Drop: Tho Frit wnt ops tho paca at gered esol, Frit Fconnds nga acton cr hon Oop fr FP connect ated aoc « Rosot"The Foret unit op the paket et iggred he sgntire sends a ese to Sahih lent an tho sono ane ens in sesoon tom ie Fora session tho, Used lr TP conectons ot you sat heaton or non-T connection bawed cst acon wil Geers as Clear Sess. he Reset acon tggered Beto the TGP comacion aly eabichod kate a Cer Seaton, Rese lent: The Fortgce ui dope th pct! hat ggred he signa, sends a Teettsthe chert and tomeves he sess om to Forgot season abe Used for "TGP connectors on you eis ato for onTCPearmecon based aac, the Itoniloshav ne leur Sanson ite Rot Gent acon is ager before ie TE comecten tly estatched acs a Glew Session RTECS aa miner ey TREC Hd, Tne in 76IPS - Agdes + Reset Server: The Fortigate unit drops the packet that triggered the signature, sends a reset to the server, and removes the session from the Fortigate session table, Used for TCP connections only, Ifyou set this action for non-TCP connection based altacks, the action will behave as Clear Session. If the Reset Server action is triggered before the TCP connection is fully established it acts as Clear Session, + Drop Session: The Fortigate unit drops the packet that triggered the signature and drops any other packets in the same sossion, + Clear Session: The Fortigate unit drops the packet that triggered the signature, removes the session from the Fortigate session table, and does not send a reset. + Pass Session: The Fortigate unit lets the packet that triggered the signature and all other packels in the session pass through the firewall miner im TREE ain IPS - Sniffer Policy (IDS) + Habilita 0 Fortigate para operar como IDS, apenas detectando e logando os ataque: + Enecessério usar uma interface do Fortigate em modo promiscuo (one-arm sniffer), conectada a uma porta do Switch que espelnao trafego que se deseja analisar, ou Hub; + interface do Fortgate usada néo podera ser atrbuida para oulras fungbes: + Detectae loga alaques via IPS Sensor, ‘DoS Sensor e Application Control + Crago das regras em Firewall->Snifer policy FoAniner ey, ATES amd, ese a yTRTEC 7IPS — Sniffer Policy (IDS) same oosamana7.2620) ‘Onier Orem tease wanamacs FERriner ont, TRTEC ein i in a, 78LAB -8 + Crlar um IPS Sensor. + Selecionar todas as assinaturas; + Ativar logging + Aplicar na regra de saida de Internet; + Acessar o site hilp://www.astalavista.box.sk + Criar um DoS Sensor. + Configurar para 50 os limites de tep_sre_session e udp_src_session; + Ativar logging; + Criar DoS policy com destino ao VIP existente; + Simular scan com o nessus e nmap. Boariner 0) TATE i, So en Break giRTEC ae ERTEC ae 79Autenticagao + Local —Fortigate User DB [bes mamendteation + Remote en + RADIUS FQ Romane + LDAP (AD, OpenLDAP e etc.) : + TACACS+ + Directory Service + Active Directory ou Novell + User Group + Para habilitar a autenticagao nas Regras do Firewall 6 necessdrio criar Grupos de usuarios + Banned Une esaninsn yt RTS en, ee on peeRTEe ee Autenticagao — Local © raseword fen (© Maten weer on RADIUS server ([FRDz8Sebe © Match user on TACACS#+ server (leas Stee) © Match weer on LDAP server « Usuarios locais podem possuir senhas estaticas ou integradas com servidores LDAP ou Radius. eoAniner rap TE nom Tse ea eERTEC 80Remote - LDAP + Integragao com LDAP Server permite que a autenticagao para a SSLIVPN @ IPSec soja integrada com 0 AD. + AD nao permite consultas anénimas ceenner anewncmean afeeee Directory Services - Windows AD + Oferece autenticagao transparente de usuarios em ambientes que utilizam Windows AD. + Enecessério instalar o Fortinet Server Authentication Extensions (FSAE) no DC. + OFSAE é composto de dois médulos: Collector e Agent ¥ Collector — devera ser instalado em qualquer DC. Preferencialmente no GC. v Agent — devera ser instalado em todos os DCs Foanner CE en ee wag ERTEC 81FoRminen FSAE - Instalagao + Faga o download do arquivo di aloe compativel com a i hitto://suy firmware do FGT no site + Inicie a instalagéio do FSAE Collector (Permisséio de Admin) + Durante 0 processo sero mostrados os dominios “trusted” e ent&o deverao ser selecionados os monitorados pelo FSAE + Em seguida instale o FSAE Agent no demais DCs oh TREE min Tee sr. guRtEC 820 Fortigate conseguira visualizar toda a esirutura de Grupos do AD, porém, para aplicé-los nas Politicas de firewall é necessario oriar Grupos Locals mapeados para os Grupos do AD. FrRmnen apy 21,TRTEC sie, edo TRTEC User Groups + Toda configuragao no Fortigate que precisar de autenticago (Politica de Firewall, VPN , etc.) deveré conter um Grupo de Usuario. Nao é possivel aplicar um usuario diretamente em um. recurso que requer autenticagao. + Para utilizar Grupos de Usuarios, o mesmo devera ser aplicado diretamente a politica de Firewall associada ao trafego que requer autenticagao + Tipos de Grupos ¥ Firewall ¥ Directory Service 83User Groups - Firewall + Utilizado para adicionar usuarios do tipo: ¥ Local v LDAP Y Radius Mapeamento para um grupo | ‘specifica do LDAP Foaniner cmp HTC ree, nd rt agPRTEC F User Groups — Windows AD + Utilizado para adicionar Grupos de usuarios do AD quando o Fortigate estiver integrado com o FSAE. EoRminer on RTE no een genre 84Autenticagao — Dicas servigo de DNS; deverdo ser as ultimas na ordem + Politicas de autenticagaéo nao devem conter o + Preferencialmente as Politicas de autenticag¢ao TSRnnET cneincnnencoenn afte FSAE - Principais Problemas + Usuarios fora do grupo correto; + DNS reverso errado; + Maquinas logando em cache; + Firewall/AV bloqueando FSAE. AMINET, ey 20 TREE een peRTEC ee 85LAB-9 + Firewall Policy - Opgdes + Exercicio 1 — Autenticagaéo + Exercicio 2 — Adicionar Disclaimer e Redirecionar URLS eoaminen con TEC oe, Te na. geet LAB -9 + Descrigao: A politica atual que permite acesso a Intemet esta limitada ‘a0 horario comercial 8am-Spm. Para que 0 acesso a Intemet seja liberado apés este horario, sera necessario autenticagao de usuario. + Tarefas = Grie usuarios locals = Va em User Group, crie um novo grupo de Usuarios do Tipo Firewall e insira 0s usuarios criados. Crie uma nova Politica de Firewall, apés a que permite acesso a Intemet, com a Op¢éo de Autenticacao para o Grupo de Usuérios Criados e Service Web. Teste a autenticagao — Vem User->Monitor ¢ verifique os usuarios autenticados commen enemenen af 86LAB -9 Altere a ultima politica criada para utilizar User Disclaimer — Habilite a opgao User Disclaimer na Politica que contém autenticagao de Usuario + Teste a autenticacao. + Altere a mensagem padrao de User Disclaimer + Va em System — Config - Replacement Messages — Authentication ee Break oS FaRrINET conan Tea ten et nie, ERTS! 87VPN + VPN éuma conexao privada sobre uma rede aberta + AVPN inclui autenticagao e criptografia para prover a integridade e confidencialidade dos dados. Foaninsn ‘VPN - Tipos + Site-to-Site VPN FeRTner a0, REE Wein Th set, 88a VPN — Por que usar? + Maior flexibilidade e escalabilidade ~ Adicionar novos sites e usuarios rapidamente — Escalar banda a medida que for necessario * Menor Custo — Reduz custos com frame relay/mpls, chamadas telefénicas e suporte técnico Questées que devemos nos preocupar + Controle de Acesso no Trafego VPN + Protegdo para os clientes com acesso remoto + Prover QoS para o tréfego de VPN eaRriner 0 TRIES nbn Tae nn mena i yeERTEC * VPN - IPSec O IPSec foi construido baseado em padrées de criptografia para prover CIA - confidencialidade, integridade e autenticagao: + Protocolo Diffie Hellman(DH): para troca de senha secreta entre duas partes quaisquer pela rede publica. + Algoritmos de Criptografia: DES,3DES,AES + Algoritmos de Resumo Digital (Hash) para Autenticagao de Pacotes: MDS, SHA-1 + Certificados Digitais para validago de Chaves Publicas FESnn aewnenemantccemenen alee 89IPSec - Tipos + Client-to-site = Utllzando 0 Fortiient — Pode usar cliontes de outros fornecedores + Site-to-Site Policy Based — Baseado om Pollticas de Firewall (ago IPSec) = Politica nica para trfego bidirecional = Suporte a Concentrator Hub and Spoke ~ Geraimente utlizada para compatiblidade entre Gateways diferentes + Site-to-Site Interface Mode — Baseada em Roteamento — Pode-se utilizar Zone para agrupar interfaces e criar as politicas de Acesso ~ Politicas de Firewall do Tipo “Accept” = Recomendado para ambientes com Dual Links ~ rotas com distancias Giferentes — Também Suporta o ambiente Concentrator ey tt ATES di, Too in rin IPSec - Configuragao + VPN IPSEC Policy Based — Phase 1 — Phase 2 — Firewall policy com ago IPSec — Rota estatica para Wan + VPN IPSEC Interface Mode — Phase 1 — Phase 2 — Firewall Policy com agao Accept” — Rota estatica para interface de VPN |r| eoRTINET i, REE min Tre tern 30Site-to-Site - Phase‘ peeeesee (oo eeeeieaieeaiaemeeen| ai, RH Mo, sede ne. se a — (Sentc ou DHE pera Shoao-Sae Kemeny SRE WARE Tt a pas : iene SSS Interface Extoma na qual a ee © soma © Man doeutiin) VPN seré estabelecida ygperec Criptografia e Hash [abitar equipam Gateways IPSec [RTEC Ea o1Site-to-Site - Phase1 ode: Selocone Aggosiv ou Mala (2 Protection] mode, Abas as opges extabelecom lum canal seguro, Gane uiizar AGGRESSIVE MADE. as informagoes do dentiicagao dos poers sorao mostradas. Quando ullizar MAIN MODE, aé informagoss quo dentificarn os Beers fcarso oculas. + Aggressive mado 6 ipicamente usado quando um pogr da VPN tom endorogo dindmico @ 22m iD como pete da pocesco de ulentcagas.€ geramente usado para eslabelecer IPSec com out fabricar. + Main Mode 6 tpicamento usado quando ambos os peers da VPN tom IP esto, + Quando usado Aggressive Mode, os grupos do Diffie-Hellman (D3) nfo podem ser ‘eosados ntetano, odo oar com a conigrogoas AC BERLE os poor da ‘quando for ubiear Aggressive Mode. +08 poors que fara parte da VPN tém que usar 0 mesmo Mode, + Peer Option: $0 for selacionado Dialup User ou Dynamic DNS para o Remote Gateway, pote-s6 user Peer Opbons pare aera os pees remotos com bs durante a Phase i de Regaciagao.0 Poor fb adctonado pra a Phase 1 tem gue sero mesmo LocallO para ‘br rortoto para que este consigaiicar a sessao de VPN com o Fortgaio, Femmnsr yeERTEC Site-to-Site - Phase1 + 0 Fortigate suport os sequins métodos de Encpagto: pes 0 a0E8 = AES 128, 1920286 +O Forigate sports os seguinies métodos de Avtenticagso: 08 = Shas : a quortidade do tempo, em segundos, nies quo as chaves de eneritagso IKE Sear: Gate has gap tga nots Cana 8 gorala son tanapao do sano. Os ‘valores podem sor entre 120'e 172.800 segundos. + ‘Auth © Forigte pode iizrar XAuthentiaton, para autenicagso de usuirio uizando 0 HeiiBiont Gs Uaioe cover cor eras no om Usa’ do ovat o por saver ‘sleonedssom gropo de aaron, Ap, ct 9 grupo Se amuse sleonem Oo XAuth Sewere om sopida 9 Grupo ered, + NAT Transversal Hobie ese gosto se voc8espere que o tale do nel VEN passaré Per equpement que aga NAT” Se nonhun sport cus loge NAT doled, iki'tarsveea io ra efoto, Abas ws pong Jav/PN tera que era mesma Sonigrerso de NAT transversal So eta dogo for habitada vous pode contr © ona roquoney. + kee 1eney: Esta opgG0 espectica com qua requénciapacolesvacios de UDP "Sends ate Go equa so Nat para ore que o maponmeta do WAT no Soja atorado. quando 0 kyle dos IKE e se oxprem. Vasoresb 000 segunces. ERTINeT alte rn wIRTEC 92SGnnST canner ee oHome 102050 HO (Bases) [Seren aS | [eentificar as redes de ‘origem e destino da VPN. Estas redos sergo as ‘mesmas da Firewall Policy Ope Site-to-Site - Phase2 + APhaso 2do AulIKE 6 confgurada para especiicar os pardmetros usados para car @ tmarter o tinel VEN enire 0 oeal peer VPN (Fe if pa 60s: origale) eo peer remoto. Enable Replay Detection: Com esta ope o FortCliont chaca a saqdéncia de hhumeres pora Cada pacote IPSec para vr so esto [sol prevampenterecebido. Se 0 ‘onmo pacote xceda um inlarvalo Go seqUénos ospeciicn,o FonClont descararé Enable PSF: Perfect Forward Secrecy (PFS) melhora a seguranca forcando uma toca de Ditto Holman sempre que o kaye sxpra Kylie: 0 keye az com que a chave de IPSec expire apos uma quanta de tempo ‘speeticads: dapat que umn numero espeoticado Se Kbytes dos dan fo pronesand feb tinal de VEN, olde ambos Se vote seleconar ambos, chave nao expia ae {fue o tomp paseo o ndmar ds Koyo ester processad. Quando e chave expira, ume chave nova ser gerada sam inlortupeo de sanigo. Sie Bh pod sor 80a 475800 sugundon ov D1 m arabseaa ys. ‘AutoKey Keop Alive: Habito Keepalve para menter a conexso VPN aberta mesmo So onhdm dado estes snd wanstons. aad 93Site-to-Site — Phase2 + Quick Mode Selector: — Adicione as redes que iro compor a VPN: origem e destino — Caso possua mais de uma rede de destino, pode-se utilizar via CLI os parametros sre-address-type e dst-address-type cong on ipsee phased ‘ot “hentPe ‘set dstaddctype name ‘sat hoepolve enabe ‘01 phase tama 'VPN_Clont” sof proposal Ses-shata0s!28shat Set sre-addrtype name at ahepipsce erable Setdetname “Rede. VPN Remotes” Set srename “Rede_VPN_Local™ ext ond ee sg ERTEC FeRriner ony, TREC on, ie a, 94FSAniner ema + Configurar Phase 1 = Dialup User VPN - Client-to-Site lq + Criar Usuarios para autenticagao na VPN + Criar um Grupo de Usuarios do Tipo Firewall = Selecionar a Interface Externa na qual a VPN serd estabelecida = Aggressive Mode = XAuth ~ Enable as Server (selecionar 0 Grupo de Usuarios previamente criado) FERTinerClient-to-Site - Phase1 Dialup para Cliont-oSi Habiltar como server para autenticago ‘grupo que teré ode acesso| ayn coumtnoumotaennone al ee VPN - Client-to-Site + Configurar Phase 2 = AutoKey Keep Alive — DHCP-IPSec + Habiltar DHOP do Tipo IPSec na Interface Extema que a VPN foi criada (suportado apenas em Policy Based) + Criar Politica de Firewall = Intema > Externa = Action: IPSEC. = Esta politica deverd ser a Primeira no Fluxo Interna -> Externa FEIRTIMIET —— camiici.rmecumte ninordneeanoen aE RTEC 96Client-to-Site - Phase2 Habilte para o Forti buscar IP via DHCP do Fortigate (Server) ou via ser DHCP externo (Relay) externa a ad Client-to-Site - Policy Interface = sempre s pela qual o Cliente so oe Conecta ae _ Land ]> [Sstecione agso IPSEC | a tea se foo Cannan omwcwenoowee gee 97LAB - 10 * O diagrama de rede local para o lab de VPN FG-to- FG é: ice Comandos de Diagnéstice: seat # diag debug enable ‘diag debug application iko -1 Fomrinsr TREE wn Tt ina, LAB - 10 + Interface Mode VPN IPSec Site-to-site + Configurar Phaset — Remote Gateway: Static — Local Interface: Wan2 — Mode: Main ~ Escolher PSK — Habilitar Interface Mode + Configurar Phase2 — Selecionar o tunel da P1 = Configure 0 "Quick Mode Selector” com as redes Local e Remota FeRminer oie TREE Monin Tn ee ee EERTEC 98———— ees LAB - 10 + Criar Politica de Firewall do Tipo Accept — Politica de Interna para Interface_VPN. — Source Address — Rede_Local ~ Destination Address — Rede_Remota — Para trafego bidirecional criar regra invertida + Criar rota para rede remota — Destination: IP da subnet remota — Device: Interface_VPN cna rete rennet RRC Break oS Faeminer a2, REC ele, oi ea wgerTEC 99VPN-SSL + Em geral VPN IPSec 6 a melhor escolha para canexdes aite-to-site quando appliances firewall! VPN sao utilizados pelas empresas. + SSLVPN comumente conhecida como Client- less VPN, é mais utilzada em conexdes Client- tosite tga — eres —_———— * Nao.¢ nevesseria a instalagdo de client ee ea + Nao @ necessario abrir varias portas no |_—* "et firewall para que o cliente possa estabelecer a conexao segura + Facil ulizagdo pelo usuario esRAnineEn pt ATES, Tro ne ein a Lo ae | * Tunnel Mode + Utilizar host checked — firewall/AV na estagao do usuario s4o checados para entao permitir 0 acesso a VPN + Cache cleaner — para remover qualquer dado sensivel trafegado pela VPN apés finalizada a sessao de VPN + Permite 0 trafego de qualquer protocolo pelo tunel VPN + Apenas IE e Firefox para Windows Linux e Mac deve usar o cliente para VPN-SSL_ + Web-only Mode + Caminho rapido e eficiente para o usuarios remotos acessarem servidores interns + Sorvigos permitidos: HTTPS, Telnet, FTP, SMB/CIFS, VNC e RDP + Qualquer web browser Vv TINE 100SSL -Exemplos { i f tes <— Forucate1 aay _ipntee 3024 eiezuensoer ed Forriner: TATE tina gIRTEC wae Definir um range de IP para os clientes SSL Tunnel Mode Ex. 10,20,40.10- 10.20.10.50 Forga do algoritme de criptografia SRTIneT. 101SSL - Portal Serviges que so isponibilizades no Web-only mode GRIST copeptz traction, iRTEC ee = SSL - Portal Widgets Fe sane © re esate Yt rect ee recs Tae Spare [+> [informacées sobre trfego only mode FForramentas para uso em Web- Ealta Widget Usado para se escolher fo trafego que seré tenviado pela VPN 102VPN SSL - User Group Escolha do Portal SSL Mapeamento para um grupo | especitico do LDAP egerinsr ~ gueiee ‘Adicione os grupos que terio | acesso VPN FoAniner 103ereriner Para tréfego bidirecional, [> | adicionar regra invertida Fed Fomminer VPN SSL - Rota ‘Se o range do tunnel mode estiver [>| dentro da mascara de uma rede ja ‘associada a uma interface do FGT, sera ecessario uma policy route cour 2s, REC, ox en anon agere _ 104VPN SSL - Acesso + Acesso Padrao: https://ipfortigate:10443, + Para alterar a porta de conexdo padrao (TCP:10443) va em: System-> Admin -> Settings: SSLVPN Login Port Canney ononwcmen meneame ofS VPN SSL - Virtual Desktop * Utilizado como um Desktop para as aplicagdes que usardo 0 tunel SSL e é iniciado apés o login no portal VPN (necessario Java VM) + Pode-se chavear entre o Virtual e o Real Desktop Canrinar mminetecmncne agERORS" SSL - AV’s Suportados Fae ar rea Nara era Seay BS T 7 Tend ero 7 ¥ ear 7 ¥ [Sophos Ant-vinsSS~™S ¥ Ww a 7 | F-Secure ¥ ¥ Tosa RT 7 7 Sa Compares ¥ 7 am ¥ 7 = 7 7 RORTINET — cymna.tnetnennnncmnomen —aafeRRe FSRTITST: _commmmevenam tenemos ET SSL - Dicas + Se o FGT possuir Dual Link (Intemet) é necessaria a configuragao abaixo via CLI: config vpn ss! settngs set route-source-nterface enable end ono en We Oa et gh PRTEC # 106LAB - 11 + Configurar VPN SSL ~ Criar Portal; ~ Criar Range de IP que ser entregue (Tunnel Mode); ~ Habilitar VPN SSL; = Criar usuario e grupo SSL, associando portal; ~ Criar policy para acesso ao portal; ~ Criar policy para acesso Tunnel Mode (from/to ssl-root); ~ Criar roteamento para rede do Tunnel mode (via ssl.root); Tomorrow comm pte =a Log & Report + Capacidade para logar trafego + Niveis de severidade BBY toa contig + Todos os tipos de log exceto content scan podem ser salvos na meméria | onecenet interna (até um certo limite) een + Suporte a armazenamento externo TS dos logs: FortiAnalyzer, WebTrends e 1s race, servidores Syslog orate + Envio de alertas por e-mail ee 107Log & Report — Settings YG Local Logging & Archiving SMe evel Intemitons|2) enables packet Archive + Remote Losing & Archiving 1D Force | © rien & Mananmant Seven Stage) | © Sito | prereset Foaninen TREE omen ae erEC Log & Report - Alert MailLog & Report — Alert Mail From: admingioxampta Bert: Tendo, Ap 27, 2004690 Pm To: examples Sebject Message meets Ale condition ossage meets Alot condition 2ooeae 27 T7aea.t quck mode message #2 (OONE)" eaaniner yt TREC min. ets. Logs - Severidades Emergency — System instavel Alert — Agado imediata é requerida Critical - Funcionalidade afetada Error — Condigao de erro existe e a funcionalidade pode ser afetada Warning — Funcionalidade pode ser afetada Notification — Notificagao de eventos Information — Informagées gerais sobre operagées do sistema FoRnner yon, TREC amin. Were not yeERTEC 109+ Para habilitar logs administrativos Fserinen giRTEC we ‘Adiciona/Remove colunas na visualizagao dos Logs: FRRTiner 110- FortiAnalyzer Logs Reports + Log Records = Traffic, event, virus, attack, Webfilter, spam filter = Central quarantine Vulnerability assessment Traffic analysis Content archiving Packet capture Network attached storage + Features = Builtin report generator From 1TB to 6.078 of log data Identify attack patterns ‘Support compliance with HIPAA. SOX, GLBA Monitor threats across multiple systems ona TREC ot Tb in, agree Obrigado William Costa, FENSA, FCNSP, Comptia Security+ villam costagtree come aeeetec FSsATINET ptt Ei, a i | 14.