Escolar Documentos
Profissional Documentos
Cultura Documentos
FORTIGATE
Resumen de funcionalidades
Pgina 1 de 106
NDICE
1. INTRODUCCIN................................................................................
1.1. Acerca de FortiGate..............................................................4
2. CARACTERSTICAS TCNICAS DE LOS EQUIPOS...........................
2.1. La Arquitectura FortiGate....................................................5
2.2. IPv6.......................................................................................8
2.3. Modalidad NAT o Transparente...........................................9
2.4. Inspeccin en modo Proxy o Flow......................................10
2.5. Proxy Explcito....................................................................10
2.6. Dominios Virtuales (VDOM)...............................................11
2.7. Fortiview.............................................................................12
2.8. Routing...............................................................................14
2.8.1. Enrutamiento Esttico Redundante.............................14
2.8.2. Policy Routing...............................................................15
2.8.3. Enrutamiento Dinmico...............................................16
2.9. Alta Disponibilidad.............................................................17
2.10. Optimizacin WAN..............................................................19
2.11. Autenticacin de Usuarios..................................................21
2.12. Firewall...............................................................................23
2.12.1. Definicin de Polticas..................................................25
2.12.2. Inspeccin SSL y SSH..................................................26
2.12.3. Balanceo de carga multiplexacin HTTP y aceleracin
SSL
28
2.12.4. Calidad de Servicio (QoS)............................................30
2.12.5. Soporte VoIP.................................................................32
2.13. Redes Privadas Virtuales (VPN).........................................33
2.13.1. Internet Protocol Security (IPSec)...............................33
2.13.2. Point-to-Point Tunneling Protocol (PPTP)....................36
2.13.3. L2TP over IPSEC (Microsoft VPN)...............................37
2.13.4. GRE over IPSEC (Cisco VPN).......................................37
2.13.5. Wizard..........................................................................38
2.13.6. VPN SSL.......................................................................38
2.14. AntiMalware.......................................................................40
2.14.1. Escaneo de Firmas (Signature Scaning)......................43
2.14.2. Escaneo Heurstico......................................................43
2.14.3. Escaneo basado en CPRL.............................................44
2.14.4. Advanced Threat Protection (ATP)...............................44
2.14.5. Actualizacin de la Base de Firmas y Motor de Escaneo
46
2.14.6. Activacin del Servicio mediante Perfiles de Proteccin
47
2.14.7. Mensajes de Reemplazo en Ficheros Infectados.........48
2.15. Deteccin y Prevencin de Intrusin (IDS/IPS)..................48
2.15.1. Mtodos de Deteccin..................................................51
2.15.2. Prevencin de Intrusiones en Tiempo Real..................52
2.15.3. Activacin del Servicio mediante Sensores.................53
Pgina 2 de 106
Pgina 3 de 106
1.INTRODUCCIN
1.1.
Acerca de FortiGate
Pgina 4 de 106
2.CARACTERSTICAS
EQUIPOS
2.1.
TCNICAS
DE
LOS
La Arquitectura FortiGate
Pgina 5 de 106
Pgina 6 de 106
Pgina 7 de 106
en el firewall es
mucho mayor, ya que este depende
exclusivamente de la
cantidad y no del tamao de los
paquetes y debido a
que en un mismo volumen de datos
se han de procesar
un
nmero
mucho
mayor
de
cabeceras y entradas
de las tablas de
estado as como de
decisiones de
enrutamiento. Esta
circunstancia,
provoca
que
los
equipos que slo
utilizan CPU's de
propsito
general
para
realizar las
tareas
necesarias
puedan verse
seriamente afectados
ante
estos
tipos de trfico, llegando a decrementar su rendimiento de tal
forma que se introducen retardos en la red e incluso es necesario
descartar paquetes debido a la saturacin de la CPU del equipo.
Esta saturacin provoca retardos inadmisibles en determinados
protocolos y adems afecta al resto del trfico de la red haciendo
que la calidad del servicio se vea afectada muy negativamente.
Queda entonces patente que el troughput de un equipo est
directamente relacionado con el tipo de trfico que se est
generando en la red y no slo con su volumen, y que adems, los
nmeros comnmente expuestos en las hojas de producto son
imposibles de alcanzar en entornos de trfico caracterstico de
aplicaciones multimedia y convergencia IP como pueden ser el
streaming de video o los protocolos RTP para VoIP.
La solucin en este tipo de entornos, pasa por el uso de tecnologas
de aceleracin hardware que doten a los equipos de la capacidad
necesaria para llevar a cabo la gestin de las cabeceras de forma
rpida y sin influir en el trabajo de la CPU principal, liberando a
esta de la carga del procesamiento de las cabeceras de los
paquetes, el mantenimiento de las tablas de estado o las decisiones
de enrutamiento.
Para cumplir con este requerimiento, la familia de equipos fsicos
FortiGate, incluye en su lineal dispositivos equipados con puertos
acelerados (Network Processor) NP6. Mediante el uso de circuitos
integrados de aplicacin especfica (ASIC) que dan servicio
exclusivo a este tipo de puertos, se acelera la inspeccin de
paquetes a nivel del propio puerto, liberando a la CPU e
imprimiendo velocidad de lnea a las transmisiones que los
atraviesan, sea cual sea el tamao de paquete utilizado. De esta
forma, se puede mantener un troughput continuo de forma
optimizada en las comunicaciones, de manera que el nivel de
servicio de los protocolos ms sensibles, y por extensin el resto de
trfico de la red, no se vea afectado, ya sea en entorno multi-
Pgina 8 de 106
Pgina 9 de 106
2.2.
IPv6
2.3.
2.4.
2.5.
Proxy Explcito
2.6.
2.7.
Fortiview
Aplicaciones
Para obtener informacin de Aplicaciones, es necesario que
al menos una poltica de seguridad tenga aplicado el control
de aplicaciones.
Este widget muestra informacin sobre las aplicaciones que
se estn utilizando en la red, incluyendo el nombre, categora
y nivel de riesgo de la misma. Se pueden aadir columnas
adicionales con informacin sobre sesiones y bytes enviados o
recibidos. Al mismo tiempo permite filtrar por aplicacin,
interface de origen o destino e identificador de poltica.
Aplicaciones Cloud
Este widget requiere al menos una poltica con la inspeccin
SSL adems del control de aplicaciones
Contiene informacin acerca de las aplicaciones en la nube
que se han usado en la red: nombre, categora, nivel de
riesgo, identificador de login y el nmero de videos
visualizados (si aplica). Si se deja el cursor sobre la columna
que muestra el nmero de videos, se podr ver el ttulo de los
mismos. Se pueden tambin aadir columnas adicionales con
las sesiones, bytes enviados o recibidos.
Existen dos posibles formas de ver las aplicaciones Cloud:
Aplicaciones y Usuarios. Aplicaciones muestra una lista de los
programas utilizados, mientras que Usuarios, muestra
informacin de usuarios individuales que utilizan aplicaciones
Cloud, incluyendo el nombre del usuario si el FortiGate ha
podido obtener esta informacin en el momento del login.
Tambin permite filtrar por aplicacin, interface de origen o
destino e identificador de poltica.
Destinos
Se muestra informacin sobre la IP de destino del trfico del
Fortigate, as como la aplicacin que se ha utilizado. Se
pueden aadir columnas adicionales con informacin sobre
sesiones y bytes enviados o recibidos. Al mismo tiempo
permite filtrar por aplicacin, interface de origeno destino e
identificador de poltica.
Sitios Web
Este widget requiere al menos una poltica con Web Filtering
habilitado. Muestra una lista de los sitios web ms visitados y
de los ms bloqueados. Se puede ver la informacin por
dominio o por categora, utilizando las opciones disponibles
en la esquina superior derecha. Cada categora puede ser
pulsada para ver una descripcin de la misma, as como sitios
web de ejemplo. Se han aadido iconos a los grupos de
categoras y se muestra adems informacin sobre el
Amenazas
Para que este widget pueda mostrar informacin, se debe
habilitar la opcin de tracking de amenazas.
Se muestra un listado de los usuarios top involucrados en
incidentes, as como informacin del top de amenazas en la
red. Se puede mostrar informacin adicional acerca de la
amenaza, la categora, el nivel de amenaza, el peso y el
nmero de incidentes detectados. Tambin puede ser filtrado
por interface de origen o destino, tipo de amenaza, amenaza
e identificador de la poltica.
2.8.
Routing
Policy Routing
Enrutamiento Dinmico
2.9.
Alta Disponibilidad
Cada miembro del clster debe ser del mismo modelo y revisin de
hardware as como tener instalada la misma versin del Sistema
Operativo FortiOS (firmware)
Otras caractersticas del HA en FortiGate:
HA Heartbeat
Los miembros del clster se comunican entre ellos a travs de un
protocolo propietario denominado HA Heartbeat. Este protocolo se
utiliza para:
CUSTOMER A
VDOM
CUSTOMER B
VDOM
CUSTOMER C
VDOM
CUSTOMER D
VDOM
CUSTOMER A
VDOM
CUSTOMER B
VDOM
CUSTOMER C
VDOM
CUSTOMER D
VDOM
2.10.
Optimizacin WAN
2.11.
Autenticacin de Usuarios
(DC) del Directorio Activo. A partir de ese momento, cada vez que
el usuario realice alguna operacin que implique validacin por
parte del Firewall contra el Directorio Activo, como puede ser el
acceso a Internet, la validacin se realiza de forma transparente
gracias a la informacin que se han intercambiado el servidor AD y
el equipo FortiGate.
Otras funcionalidades
usuarios son:
relacionadas
con
la
identificacin
de
2.12.
Firewall
2.12.1.
Definicin de Polticas
Interface de origen
Protocolo: IP, TCP, UDP, SCP, ICMP
IP de origen o destino
2.12.3.
Balanceo de carga multiplexacin HTTP y
aceleracin SSL
Los dispositivos FortiGate permiten la configuracin de IPs
virtuales (VIPs) de manera que estas ofrecen balanceo de carga de
servidores, teniendo la capacidad de que las peticiones realizadas a
la IP virtual puedan ser atendidas por un grupo de servidores
habilitados para ese efecto. La distribucin del balanceo de carga
puede ser configurada a nivel de puertos TCP o UDP, con la
posibilidad de tener varios servicios desplegados en la misma IP y
atendidos por grupos de servidores distintos. Cada uno de los
servidores que componen grupo de balanceo, puede ser
monitorizado a nivel ICMP, TCP o HTTP de manera que ante el
fallo de un servidor, el servicio contina activo en el resto de
equipos, dotando a la plataforma de alta disponibilidad.
2.12.4.
Soporte VoIP
2.13.
2.13.3.
2.13.6.
VPN SSL
Tunnel mode
Para aquellos usuarios que necesiten conectarse con el navegador y
utilizar una serie de aplicaciones adicionales (cliente pesado).
2.14.
AntiMalware
2.14.3.
Escaneo basado en CPRL
Compact Pattern Recognition Language (CPRL) es un lenguaje de
programacin propietario y patentado enfocado a la proteccin
contra amenazas de tipo Zero Day, es decir, no basado en firmas
sino en comportamiento. Con unas pocas descripciones de
comportamientos maliciosos, el motor antimalware es capaz de
detectar mltiples tipos y variantes de amenazas y se optimiza de
este modo la utilizacin de recursos del equipo y la latencia
introducida.
El uso de CPRL es ms eficaz en uso de recursos que la heurstica y
produce menos falsos positivos. Adems, combinado con el mtodo
de deteccin de virus en modo flow, la eficiencia se multiplica en la
deteccin de amenazas de tipo Zero Day en archivos de gran
tamao o con tcnicas de evasin.
2.14.4.
2.14.5.
Actualizacin de la Base de Firmas y Motor
de Escaneo
Las actualizaciones del antimalware contienen la base del
conocimiento de virus y el motor de escaneo, los cuales son
continuamente actualizados por Fortinet y distribuidos mediante la
red FortiGuard tan pronto como nuevos virus y gusanos son
encontrados y difundidos.
Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la
red FortiGuard Distribution Network (FDN). Los servidores FDN se
encuentran distribuidos a lo largo de todo el mundo con
disponibilidad 24x7 para entregar nuevas firmas y motores para los
dispositivos FortiGate. Todos los equipos FortiGate estn
programados con una lista de servidores FDN ms cercanos de
2.14.6.
Activacin del Servicio mediante Perfiles de
Proteccin
Los servicios de proteccin Antimalware son habilitados mediante
los perfiles de proteccin aplicados posteriormente en las
diferentes polticas del firewall.
Dentro del perfil, por ejemplo, ser posible configurar opciones de
cuarentena NAC integradas, de forma que se haga cuarentena
durante un ataque de virus, al atacante o al objetivo, por un tiempo
concreto o ilimitado.
de
Reemplazo
en
Ficheros
2.15.
preparar un
especficas.
posterior
ataque
los
basado
siguientes
en
vulnerabilidades
ataques
comunes
de
Fingerprinting
Ping sweeps
Port scans (tanto TCP como UDP)
Buffer overflows, incluyendo SMTP, FTP y POP3
Account scans
OS identification (Identificacin del Sistema Operativo)
Exploits:
Intentos de aprovechar vulnerabilidades o bugs conocidos de
aplicaciones o sistemas operativos con el objeto de ganar acceso no
autorizado a equipos o redes completas.
El IPS de la plataforma FortiGate detecta mltiples exploits, como
por ejemplo:
Signature spoofing
Signature encoding
IP fragmentation
TCP/UDP disassembly
Obfuscation
BotNets:
Hacen referencia a un grupo de equipos informticos o bots los
cuales se ejecutan de una manera remota y autnoma. Dichos bots
pueden ejecutarse y controlarse de manera remota para controlar
todos los ordenadores/servidores de manera remota. En numerosas
ocasiones estos bots son usados para realizar ataques de DDoS o
usados para enviar spam
2.15.1.
Mtodos de Deteccin
Anomalas de Trfico
Otras caractersticas
Es posible aplicar polticas DoS por sensor desplegado, de esta
forma se tienen las siguientes funcionalidades:
2.16.
Control de Aplicaciones
Por
categoria:
IM, P2P, VoIP, Video/Audio, Proxy,
Remote.Access, Game, General.Interest, Network.Service,
Update, Botnet, Email, Storage.Backup, Social.Media,
File.Sharing, Web.Others, Industrial, Special, Collaboration,
Business, Cloud.IT, Mobile.
Por tecnologia: Browser-Based, Network-Protocol, ClientServer y Peer-to-Peer.
Por populariedad: de 1 a 5 estrellas
Por riesgo: Malware or Botnet, Bandwidth Consuming o
None
2.17.
2.17.4.
2.17.7.
Activacin del Servicio mediante Perfiles de
Proteccin
Al igual que el resto de funcionalidades, la activacin de la
funcionalidad de Filtrado de Contenidos Web se realiza en cada
perfil de proteccin. En este caso los servicios configurados por el
usuario se activan de forma independiente del servicio FortiGuard
Web Filtering.
La funcionalidad Web Filtering en la definicin de perfil de
proteccin permite habilitar comprobaciones contra listas blancas
o negras de URLs definidas por el usuario, habilitar filtrado de
contenido y consultas contra la lista de palabras clave definidas por
el usuario, as como bloquear scripts.
Existen tres posibilidades para el anlisis web con un perfil de
webfilter:
2.17.8.
2.18.
AntiSpam
2.18.1.
2.18.2.
Ms caractersticas FortiGuard
Actualizaciones de base de datos GeoIP en tiempo real
Servicio de mensajera SMS
Servidores DNS desde FortiGuard
Servidores NTP desde FortiGuard
Servicio de DNS dinmico FortiGuard
Actualizaciones de Modem USB
Actualizaciones para visibilidad de Dispositivos y Sistemas
operativos
Licencias del servicio FortiCloud
2.20.
2.21.
2.22.
DNS Filter
2.22.2.
Filtro de URLs esttico
El perfil de inspeccin DNS permite bloquear, eximir o monitorizar
consultas DNS utilizando el motor IPS para inspeccionar los
paquetes de DNS y buscar los dominios que hemos configurado en
el perfil. El FortiGate debe utilizar el servicio de DNS de
FortiGuard para hacer las consultas de DNS. Las respuestas a estas
consultas estn formadas por la IP correspondiente al dominio y
una clasificacin que incluye la categora del dominio.
Aparte de las acciones indicadas anteriormente, estas consultas
tambin se puede redirigir, para que se resuelva una IP
personalizada para los dominios configurados.
2.23.
2.24.
Controlador Wifi
IDS Wireless
Balanceo de carga de clientes
Soporte Mesh y Bridging
Bridge entre un SSID y un puerto fsico
Deteccin de APs falsos
Ajuste automtico de portencia
Supresin automtica de rogu Aps
Cifrado del trfico CAPWAP
2.25.
2.26. Seguimiento
clientes)
de
amenazas
(Reputacin
de
2.27.
Zona 1: Servidores
Virtual
Appliances
2.28.
2.28.2.
Wan Links
Existen 5 algoritmos de balanceo:
- Ancho de banda. Se asignan pesos a las interfaces y el
trfico se asigna en base a esos pesos a una interfaz o a
otra. Ejemplo:
2.28.3.
Reglas de prioridad
Para cierto tipo de trfico puede ser posible establecer reglas de
uso ms concretas. Estas reglas se pueden establecer en base a
varios parmetros: direccin de origen, grupo de origen, direccin
de destino, protocolo, aplicacin.
2.29.
2.30.
2.31.
FortiExtender
Tipo de gestin
relacionadas
con
la
3.2.
3.3.
3.4.
Registro de Logs
3.5.
Registro centralizado y gestin de informes
con FortiAnalyzer
FortiAnalyzer es una plataforma dedicada al registro centralizado
de logs y la gestin y tratamiento de los mismos. FortiAnalyzer
posee la capacidad de generar ms de 350 grficas e informes
diferentes que nos aportan informacin detallada sobre los eventos
registrados a nivel de Firewall, ataques, virus, VPN, utilizacin
web, anlisis forense, etc. Entre los posibles informes cabe
destacar: