Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fortinet Seguridad Integral en Tiempo Real
Fortinet Seguridad Integral en Tiempo Real
Tiempo Real
INDICE
1
Introduccin ......................................................................................................................................... 4
1.1
FORTINET ..................................................................................................................................................4
1.2
1.3
1.4
1.4.1
1.4.2
1.5
La Arquitectura FortiGate..........................................................................................................................14
2.2
2.3
2.4
Routing .....................................................................................................................................................18
2.4.1
2.4.2
2.4.3
2.5
2.6
Optimizacin WAN....................................................................................................................................23
2.7
2.8
Firewall .....................................................................................................................................................27
2.8.1
2.8.2
2.8.3
2.8.4
2.8.5
Soporte VoIP..............................................................................................................................................................33
2.9
2.9.1
2.10
VPN ..........................................................................................................................................................34
Tipos de VPN soportados ..........................................................................................................................................34
Antivirus ....................................................................................................................................................37
2.10.1
2.10.2
Escaneo Heurstico....................................................................................................................................................39
2.10.3
2.10.4
2.10.5
2.11
2.11.1
2.11.2
2.11.3
2.11.4
2.12
2.13
2.13.2
2.13.3
2.13.4
2.13.5
2.13.6
Mensajes de sustitucin.............................................................................................................................................60
2.14
2.14.1
2.15
AntiSpam ..................................................................................................................................................61
Servicio Fortiguard AntiSpam ....................................................................................................................................63
Tipos de gestin........................................................................................................................................66
................................................................................................................................................................................66
3.2
3.3
Registro de Logs.......................................................................................................................................68
3.4
1 Introduccin
1.1
FORTINET
Fortinet fue fundada en el ao 2000 por Ken Xie, visionario y previo fundador y CEO de
NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilizacin de un Circuito
Integrado de Aplicacin Especfica (ASIC) para acelerar el proceso Firewall. De este modo
lanz al mercado un lineal de equipos de alto rendimiento que mediante aceleracin hardware
permita realizar un control sobre el trfico de las redes en tiempo real, que tuvo
inmediatamente una gran acogida en el mercado.
Ken Xie, con objeto de seguir avanzando en su visin propia de la seguridad en las
comunicaciones, abandon NetScreen y fund Fortinet. Su proyecto consista en dar un
enorme paso ms en la seguridad en tiempo real, integrando antivirus, filtrado de contenido,
tecnologa IDP (Intrusion Detection and Prevention) y Antispam en un solo dispositivo, junto con
el firewall y servidor VPN, y acelerando esta Proteccin Completa de Contenidos mediante un
nuevo ASIC, FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo
real.
La compaa est formada en la actualidad por ms de 1100 empleados, y tiene su sede
central en Sunny Valley, California. Sus centros de soporte tcnico, desarrollo y delegaciones
comerciales estn distribuidos por todo el mundo, estando presentes en Australia, Norte
Amrica (US, Canad), Sudamrica, Europa (Austria, Francia, Alemania, UK, Suecia, Italia,
Blgica, Holanda, Repblica Checa, Polonia, Suiza y Espaa), Asia (India, Filipinas, China,
Japn, Corea, Singapur, Taiwn e Indonesia) y Oriente Medio (UAE/Dubai). El centro de
soporte y formacin europeo est situado en el Centro Tecnolgico Sophia-Antipolis, cercano a
Niza (Francia).
El equipo de direccin de Fortinet (http://www.fortinet.com/aboutus/management.html) est
formado por un grupo altamente experimentado en el mundo de la seguridad, con un gran
nmero de premios y distinciones que as lo reconocen.
El primer equipo FortiGate fue lanzado al mercado en el ao 2002 y hoy en da Fortinet cuenta
con una base instalada de ms de 450.000 equipos en todo el mundo.
Algunas de las caractersticas ms destacables de Fortinet son las siguientes:
1.2
Tanto las amenazas a las que han estado sometidos los sistemas de informacin, as como los
diferentes enfoques desde los que se han planteado las soluciones a estas amenazas han ido
evolucionando con el paso del tiempo.
Primeras amenazas de seguridad: ataques basados en la conexin
Inicialmente, con la aparicin de los primeros ordenadores, la seguridad estaba orientada a
proteger el acceso fsico a los equipos, y por tanto a la informacin contenida en ellos. No se
contemplaba como una amenaza el acceso lgico a la misma, debido al escaso y controlado
acceso a las redes de comunicaciones que interconectaban estas mquinas. A medida que las
redes de comunicaciones y el acceso compartido a los recursos se han extendido, los intentos
de acceso a informacin privada han evolucionado hacia los distintos niveles de protocolo. Las
redes se han popularizado, tanto dentro de las organizaciones como entre las mismas,
permitiendo a los potenciales atacantes entrar en las redes desde el exterior y, utilizando
ataques basados en la conexin, alcanzar y poner en compromiso datos y programas internos,
o bien simplemente dejar sin servicio redes enteras. Los mtodos utilizados son diversos, como
IP spoofing, arp spoofing, denegacin de servicio (DOS y DDOS) y un sin fin de ataques
basados en el nivel de red.
Nuevas amenazas: ataques basados
en el contenido
El mundo de la seguridad asiste desde
hace ya algunos aos a lo que podemos
considerar como una evolucin en la
cantidad y severidad de ataques que van
ms all de los ataques de conexin: los
ataques basados en contenido. Hoy en
da las principales amenazas provienen
de este tipo de ataques que no requieren
conexiones sostenidas para lograr sus
objetivos, y que afectan a todo tipo de
compaa por igual, sin importar su
tamao o sus infraestructuras. Los
ataques de contenido se basan en el uso
de software malicioso, o agentes, que actan de forma autnoma una vez introducidos en
ordenadores remotos. Cuando un virus, gusano o cualquier ataque de este tipo ha conseguido
introducirse en un ordenador que forma parte de una red de datos, ste puede actuar por s
mismo y propagarse sin necesitar ningn tipo de conexin con el atacante original. El formato
puede ser de virus, gusano, active web content, troyano, etc. El principal desafi ante
amenazas basadas en contenido es que en la mayora de los casos utilizan conexiones que
son inherentemente confiables (correos electrnicos, conexiones web, etc.). Todo apunta a que
la tendencia creciente de este tipo de ataques continuar en la medida en que las
organizaciones precisan de comunicaciones en tiempo real, as como de aplicaciones internas
basadas en aplicaciones web, mensajera instantnea, etc, como mecanismos competitivos en
el mbito empresarial.
Ataques combinados
Las amenazas actuales ms sofisticadas utilizan combinaciones de ataques de red junto con
ataques de contenido para explotar las vulnerabilidades de sistemas operativos y aplicaciones
de amplia difusin, comprometiendo las redes en las que residen y sus recursos, con
resultados en ocasiones devastadores. Los ataques combinados utilizan las caractersticas de
virus, gusanos, troyanos y cdigo maligno contra las vulnerabilidades de servidores e Internet;
este tipo de ataques se transmiten y extienden a travs de redes con una velocidad sin
precedentes e implican grandes dificultades para una rpida recuperacin. Histricamente, los
costosos ataques de Nimda y Red Code fueron de los primeros ataques combinados en tener
xito, a partir de los cuales este tipo de ataques han sido ampliamente repetidos. Mientras que
las defensas contra amenazas de conexin han dependido tradicionalmente de sistemas
desplegados en la red, tales como firewalls o IDS, las primeras respuestas a ataques de
contenido se basaron en software de aplicacin instalado en ordenadores, tales como antivirus
personales y software de deteccin de intrusiones basados en host.
Esto implicaba despliegues muy complicados, compuestos por un gran nmero de dispositivos,
con una gestin diferente para cada uno y que planteaban serios problemas de diseo a la hora
de su implementacin.
El coste de los ataques
Los ataques basados en contenido no van dirigidos contra un sector o tipo de compaa en
concreto, sino que el tamao de las compaas o el valor de sus datos es indiferente para estos
ataques cuya dispersin se realiza de forma masiva: toda compaa es vulnerable a este tipo
de ataques, ya sea en forma de virus, gusano, spyware, ataques de Denegacin de Servicio,
Spam, etc.
Uso inapropiado de recursos
Adems de la seguridad, existe otro tipo de situaciones que deben ser contempladas en el
entorno profesional: Las organizaciones sufren perdidas importantes derivadas de la utilizacin
inadecuada de sus recursos de red.
El Spam constituye hoy en da uno de los principales problemas asociados al mal uso de los
recursos de la red. El trfico actual de correo electrnico est inundado por mensajes de Spam,
llegando a superar en porcentaje al trfico de correo legtimo, saturando las lneas de
comunicaciones y los servidores de correo.
Tambin el uso inadecuado de los recursos por parte de los propios empleados es un asunto
que requiere ser combatido. Actividades no productivas, tales como juegos del Internet,
Programas de Mensajera Instantnea, chats, intercambio de msica y navegacin y descarga
de contenido inadecuado mediante aplicaciones Peer to Peer, produce el consumo ingente de
valiosos recursos de red y de productividad de los empleados. Cada vez ms, las
organizaciones pblicas y privadas estn luchando para controlar el acceso al contenido
inapropiado sin restringir, por otro lado, el acceso a material y servicios legtimos. El trfico no
esencial o no crtico puede interferir con la capacidad de desplegar nuevos servicios que
mejoren las comunicaciones: muchas compaas realizan mejoras costosas de la red para
desplegar servicios de red muy sensibles al ancho de banda disponible, por ejemplo audio,
vdeo, y voz. En muchos casos estos servicios se podran desplegar sin mejoras costosas
controlando los recursos utilizados por aplicaciones de consumo intensivo de ancho de banda,
como son el correo electrnico, la navegacin web y la transferencia de ficheros.
1.3
Sistemas de Proteccin
Enfoque convencional
A lo largo del tiempo las soluciones de seguridad han respondido a las diferentes amenazas
desarrollando soluciones parciales que satisfacan lo que en cada momento era requerido.
Cortafuegos, VPN e IDSs fueron diseados para ocuparse de ataques basados en la
conexin. Estos sistemas trabajan generalmente examinando las cabeceras de los paquetes
esto es, direcciones y protocolos - pero no analizan el contenido de nivel de aplicacin de los
paquetes. Aunque son efectivos proporcionando proteccin a nivel de red, firewalls, VPNs e
IDSs no cubren las necesidades de proteccin actuales en los mbitos telemticos.
Los equipos FortiGate acelerados por FortiASIC son la nueva generacin de la seguridad
multinivel de red en tiempo real. Los equipos son capaces de detectar y eliminar los ataques
basados en contenido que se transmiten a travs del trfico web, correo electrnico o
transmisiones de ficheros, como virus, gusanos, intrusiones, contenido web no apropiado, etc.
en tiempo real y sin degradar el rendimiento de los sistemas de informacin.
1.4
Por qu Fortinet?
10
Los equipos FortiGate pueden considerarse como equipos todo en uno, configurados para
proporcionar todo el conjunto de funcionalidades de seguridad disponibles en el mercado de
una forma sencilla, pero tambin pueden ser considerados como un appliance de seguridad
especializado en una o varias de las funcionalidades de las que dispone, obteniendo un equipo
de alto rendimiento y prestaciones sin competencia.
La familia de equipos Fortinet se extiende con equipos que complementan las funcionalidades
de los equipos FortiGate:
11
12
1.5
Reconocimiento de la industria.
13
La Arquitectura FortiGate
FortiASIC
La exclusiva arquitectura basada en ASIC empleada por los equipos Fortinet permite el anlisis
del contenido del trfico en tiempo real, satisfaciendo todas las necesidades de proteccin a
nivel de aplicacin sin impactar en el rendimiento de la red.
El procesador FortiASIC posee mltiples caractersticas que hacen posible su alto
rendimiento:
Contiene un motor hardware que acelera el anlisis de las cabeceras de cada paquete y
del contenido ensamblado de los paquetes de una conexin , acelerando de este modo
los procesos del motor del Firewall y del motor de IDS/IPS al ser capaz de identificar a
velocidad de lnea el flujo al que pertenece cada paquete.
14
15
La solucin en este tipo de entornos, pasa por el uso de tecnologas de aceleracin hardware
que doten a los equipos de la capacidad necesaria para llevar a cabo la gestin de las
cabeceras de forma rpida y sin influir en el trabajo de la CPU principal, liberando a esta de la
carga del procesamiento de las cabeceras de los paquetes, el mantenimiento de las tablas de
estado o las decisiones de enrutamiento.
Para cumplir con este requerimiento, la familia de equipos FortiGate, incluye en su lineal
dispositivos equipados con puertos acelerados (FortiAccel) FA2 o NP2 (Network Processor).
Mediante el uso de circuitos integrados de aplicacin especfica (ASIC) que dan servicio
exclusivo a este tipo de puertos, se acelera la inspeccin de paquetes a nivel del propio puerto,
liberando a la CPU e imprimiendo velocidad de lnea a las transmisiones que los atraviesan,
sea cual sea el tamao de paquete utilizado. De esta forma, se puede mantener un troughput
continuo de forma optimizada en las comunicaciones, de manera que el nivel de servicio de los
protocolos ms sensibles, y por extensin el resto de trfico de la red, no se vea afectado
Fortinet es el nico fabricante del mercado que integra esta tecnologa diferencial en su lineal,
haciendo que las redes puedan seguir funcionando con normalidad ante protocolos que hacen
uso extensivo de paquetes pequeos, como los asociados a los protocolos de VoIP, las
aplicaciones multimedia o el trfico de sincronizacin de los motores de base de datos.
El core de esta tecnologa consiste en el uso de un ASIC, NP2 para dar servicio a varios
puertos de red de un equipo, as ser el ASIC (NP2) y no la CPU principal o FortiASIC,
propietario tambin de Fortinet, el que lleva a cabo el procesamiento de los paquetes que
entran en cada puerto acelerado, haciendo que la transmisin de estos se realice de forma
inmediata sin tener que esperar ciclos de liberacin de la CPU principal.
Los equipos del lineal FortiGate equipados con puertos acelerados FA2 son:
FortiGate1000AFA2, FortiGate5001FA2, FortiGate5005FA2 y FortiGate3810A.
Los equipos del lineal FortiGate equipados con puertos acelerados NP2 son:
FortiGate310B, FortiGate620B, FortiGate3016B y FortiGate5001A.
Adems, existen varios mdulos de expansin con formato AMC que incluyen puertos
acelerados, esos mdulos pueden contener 4 (ASM-FB4) u 8 (ASM-FB8) puertos
GigabitEthernet con interfaz de cobre o 2 (ADM-XB2) puertos 10GigabitEthernet con
interfaz SFP
16
FortiOS
El sistema operativo FortiOS fue diseado con objeto de soportar funcionalidades de
conmutacin de alto rendimiento. El ncleo de FortiOS es un kernel dedicado, optimizado
para procesamiento de paquetes y trabajo en tiempo real. Provee adems de un interfaz
homogneo para cada una de las funcionalidades ofrecidas. Este sistema operativo funciona
sobre diversos modelos de procesadores de propsito general, contando con biprocesadores
en los equipos de gama alta. Esta flexibilidad permite emplear el mismo sistema operativo en
todos los equipos FortiGate.
2.2
17
2.3
Dominios Virtuales
Los equipos FortiGate permiten la utilizacin de Dominios Virtuales, de modo que sobre una
nica plataforma fsica podemos configurar hasta 500 Equipos virtuales, completamente
independientes entre s y con todas las funcionalidades que posee cada plataforma fsica.
Todos los equipos FortiGate disponen en su configuracin bsica de la capacidad de definicin
de hasta 10 dominios virtuales, siendo posible ampliar el nmero de stos en los equipos de
gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales.
Cada uno de estos dominios virtuales representan de forma lgica una mquina independiente
del resto, asignndoles interfaces lgicos (VLANs) o fsicos con la posibilidad de trabajar en
modo router o transparente, aplicar diferentes perfiles y polticas sobre cada mquina, etc.
2.4
Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinmico, soportando RIP (v1 y v2),
OSPF y BGP, as como con enrutamiento multicast (PIM sparse/dense mode), adems de
trabajar con enrutamiento esttico y ofrecer la posibilidad de realizar policy routing.
18
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino no est
disponible y comienza a utilizar el siguiente gateway definido.
De este modo podemos emplear la plataforma FortiGate para configurar mltiples conexiones a
Internet, soportando redundancia entre ellas.
19
De este modo se podra, por ejemplo, hacer que el trfico http (usando el puerto 80) fuese
redirigido hacia un interfaz, mientras que el resto del trfico es dirigido hacia otro, logrando de
este modo balancear la carga entre dos interfaces de conexin a Internet, sin perder la
redundancia de los mismos.
20
2.5
Alta Disponibilidad
La capacidad de trabajar en cluster de alta disponibilidad (HA) dota a los equipos FortiGate de
redundancia ante fallos. Adems el cluster puede configurarse en modo activo-activo haciendo
balanceo de carga del trfico o en modo activo/pasivo en la que un nico equipo procesa el
trfico de la red y es monitorizado por los dems para sustituirle en caso de cada.
Los equipos FortiGate pueden ser configurados en cluster, proporcionando escenarios
de alta disponibilidad mediante la utilizacin de varios equipos redundantes entre s,
empleando un protocolo especfico para la sincronizacin del cluster.
El cluster puede estar formado hasta por 32 equipos
La funcionalidad de Alta Disponibilidad est soportada por todas las plataformas
FortiGate a partir del equipo FortiGate50B inclusive
Cada miembro del cluster debe ser del mismo modelo hardware as como tener
instalada la misma versin del Sistema Operativo.
La funcionalidad de Alta Disponibilidad est soportada tanto en modo router como en
modo transparente.
HA Heartbeat
Los miembros del cluster se comunican entre ellos a travs de un protocolo propietario
denominado HA heartbeat. Este protocolo se utiliza para:
Sincronizar la configuracin entre los equipos.
Sincronizar la tabla de sesiones activas tanto de firewall como de VPN.
Informar a los otros miembros del cluster del estado del equipo y sus enlaces.
Los interfaces empleados para el intercambio de informacin entre los equipos del cluster son
definidos por el administrador del equipo, sin necesidad de que sean enlaces dedicados a esta
funcin y permitiendo que dichos enlaces sean empleados para transmitir trfico de produccin.
Es recomendable que los interfaces empleados para la transmisin de esta informacin sean
configurados en modo redundante, es decir, que el administrador defina varios enlaces para
realizar esta funcin, de modo que si alguno fallara la informacin pasara a transmitirse de
forma automtica por otro enlace al que se le haya asignado esta tarea.
Dado que los equipos que forman parte del cluster se intercambian informacin sobre las
sesiones Firewall y VPN activas, la cada de un equipo o un enlace no afecta a estas sesiones,
realizndose una proteccin ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con objeto de
determinar cuando debe cambiarse el equipo que acta como activo en el cluster.
21
Virtual Clustering
Cuando en equipos configurados en alta disponibilidad existen diferentes Dominios Virtuales
definidos, existe la posibilidad de establecer un balanceo de carga entre los equipos que
forman el cluster, configurndolos en modo activo-pasivo pero estableciendo diferentes nodos
activos para cada grupo de Dominios Virtuales o VDOMs. De este modo, el trfico de un grupo
de dominios virtuales ser tramitado por uno de los nodos, mientras que el otro grupo de
VDOMs enviar su trfico hacia el otro nodo, establecindose de este modo un balanceo de
carga en funcin del dominio virtual.
22
2.6
CUSTOMER A
VDOM
CUSTOMER B
VDOM
CUSTOMER C
VDOM
CUSTOMER D
VDOM
CUSTOMER A
VDOM
CUSTOMER B
VDOM
CUSTOMER C
VDOM
CUSTOMER D
VDOM
Optimizacin WAN
Fortigate 51B
Fortigate 111C
Fortigate 310B
Fortigate 620B
Fortigate 3016B
Fortigate 3600A
Fortigate 3810A
Fortigate 5001A-SW
Los dos primeros modelos al incluir disco lo harn de forma directa. El resto requerirn de un
mdulo ASM-S08 que se instala en la baha AMC single para ofrecer soporte a la funcionalidad
completa (Cach). En caso de no disponer de disco duro el soporte de Optimizacin WAN ser
parcial no pudindose habilitar web caching ni byte caching.
La tecnologa de compresin utilizada es propiedad de Fortinet, con lo que no es compatible
con aceleradores de terceros, aunque s lo es con el cliente Forticlient WAN Optimization.
Las principales funcionalidades aportadas son la optimizacin de la comunicacin, reduccin
del ancho de banda consumido, gracias a la optimizacin del protocolo de comunicacin
utilizado, byte caching, web caching y la posible securizacin de la comunicacin
cliente/servidor a travs de la red WAN gracias al establecimiento de un tnel seguro. Con esto
se reducen latencias, se incrementa el rendimiento y se garantiza la privacidad en las
transacciones.
23
Tcnicas empleadas
Web Caching
Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos servidores
y el ancho de banda utilizado, as como la percepcin de latencia por el usuario final.
Dicha tcnica se basa en hacer caching de determinados objetos que intervienen usualmente
en estas transacciones. Se guardan contenidos como determinadas pginas HTML, imgenes,
respuestas de servlets y algunos objetos ms. Para guardar estos objetos (caching) se utilizar
el disco duro o mdulo AMC del equipo Fortigate.
Al hacer cach de este contenido hay menos peticiones que utilicen el enlace WAN, adems
los servidores que sirven estas peticiones debern servir un nmero menor de transacciones
gracias a la tcnica de caching de Fortigate y adicionalmente, la latencia percibida por los
usuarios se ver drsticamente reducida, ya que parte del contenido se sirve localmente.
Para hacer simplemente cach tradicional de trfico Web, no es necesario otro sistema
Fortigate en el otro extremo.
Optimizacin de Protocolos
Esta tcnica mejora el uso del ancho de banda y la eficiencia de la comunicacin. Requiere el
uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleracin uno
de los protocolos soportados como CIFS,FTP,HTTP o MAPI. Un ejemplo tpico y de extendido
uso es el protocolo CIFS, que durante su establecimiento y mantenimiento de sesin utiliza
gran nmero de comunicaciones por lo que la comparticin de archivos a travs de Internet
24
suele ser bastante lenta. Gracias a la funcionalidad Protocol Optimization provista, se reduce
en gran medida el tiempo de espera de este tipo de transacciones.
Byte caching
Consiste en fragmentar paquetes de datos en unidades ms pequeas a las que se les aplica
un hash nico. A posteriori, se envan esos elementos hash al extremo remoto y este busca
coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este modo
la transferencia de un fichero se ve agilizada. Esta tcnica no es especfica de un protocolo, por
ejemplo un fichero X enviado va email puede ser acelerado a posteriori en una descarga web
si el fichero es el mismo X.
Aceleracin SSL
Gracias a los circuitos ASIC CP6 de ltima generacin se acelera el cifrado/descifrado de
trafico SSL.
Tneles seguros entre WAN Peers
Empleando tneles SSL se puede garantizar la privacidad de las comunicaciones dentro del
tnel WAN.
25
2.7
Autenticacin de Usuarios
26
2.8
Firewall
27
Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces Fsicos del
equipo como a interfaces lgicos definidos como VLAN Interface, siguiendo el estandar
802.1Q para marcado de tramas de cada VLAN, o pueden establecerse como Any para
que se utilice cualquier interfaz de entrada o salida.
Direcciones o grupos de direcciones IP origen y destino
Protocolo, servicio o puertos TCP/UDP
La poltica define la accin a tomar con aquellos paquetes que cumplan los criterios definidos.
Entre las acciones a realizar estn:
Permitir la conexin
Denegar la conexin
Requerir autenticacin antes de permitir la conexin. La validacin de usuario puede
realizarse contra usuarios registrados en local, o bien haciendo uso de servidores
externos que pueden ser RADIUS, LDAP y/o Directorio Activo.
Procesar el paquete como perteneciente a una conexin tunelizada mediante IPSec
Realizar traduccin de direcciones
Aplicar reglas de gestin de ancho de banda
Analizar el trfico mediante funcionalidades adicionales de seguridad, como Antivirus,
AntiSpam, Deteccin/Prevencin de Intrusiones, filtrado Web, etc. mediante la definicin
de un perfil de proteccin
A cada poltica se le puede definir un horario, tanto nico como recursivo, que permite acotar la
aplicacin de la regla a un espacio temporal determinado en funcin de la hora, el da de la
semana, mes o ao.
Cada poltica permite realizar traduccin de direcciones mediante NAT, permitiendo realizar
una traduccin esttica de direcciones, o bien utilizar grupos de direcciones con objeto de
realizar NAT dinmico, y as mismo definir traducciones de puertos (PAT).
En cada poltica se puede habilitar el seguimiento de aquellas conexiones que atraviesan el
firewall de acuerdo a la poltica definida, con objeto de poder hacer un registro de las
conexiones establecidas a travs del equipo.
28
29
De la misma forma, es posible configurar la IP virtual para que haga multiplexacin del trfico
HTTP, de manera que varias conexiones externas se traducen en una nica conexin entre el
FortiGate y el servidor, haciendo que este consuma menos recursos al servir las peticiones
entrante
Con la misma filosofa, los equipos FortiGate pueden realizar la labor de aceleradores SSL para
conexiones HTTPS. La conexin HTTPS es terminada en el equipo FortiGate y este realiza la
peticin sin cifrar (o cifrada) al servidor correspondiente. De esta manera se elimina la
necesidad de cifrar la sesin en el propio servidor, con lo que los recursos de este son
30
optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y descifrado del tnel
SSL en manos del FortiGate.
En la ltima versin FortiOS 4.0 es posible adems mantener la persistencia de una sesin si
es necesario (tanto en HTTP como en HTTPS).
31
paquetes. Lo que se consigue de este modo es evitar que los paquetes sean
descartados, haciendo que se almacenen en el buffer hasta su transmisin, retrasando
su envo hasta que sea posible. Los equipos FortiGate usan la tcnica Token Bucket
para garantizar y limitar el ancho de banda.
La bufferizacin se realiza en funcin de la prioridad asignada a cada flujo, pudiendo
variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el
envo de todos los paquetes almacenados, se transmiten en primer lugar los de
prioridad alta.
La tecnologa DiffServ permite modificar los parmetros DSCP, siguiendo las normas
RFC 2474 y 2475. As, aquellos componentes de la red compatibles con DiffServ, son
capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las
cabeceras de los paquetes y clasificando, marcando, y gestionando el trfico en base a
esta informacin.
32
Soporte DiffServ
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar
los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los que se
aplica una poltica en particular.
Cada poltica se puede configurar para aplicar esos valores en cada uno de los sentidos del
flujo, siendo independientes ambos parmetros entre s.
33
2.9
VPN
34
La utilizacin de IPSec para realizar VPN es utilizado en diversas tipologas de red. Los
equipos FortiGate soportan las siguientes topologas de red:
Gateway-to-Gateway. Dos equipos FortiGate crean un tnel VPN entre dos redes
separadas. Todo el trfico entre las dos redes es cifrado y protegido por las polticas de firewall
y perfiles de proteccin de FortiGate.
Fully Meshed Network. Todos los equipos que forman la red corporativa estn conectados
con el resto, configurando una malla. Esta topologa presenta la ventaja de su alta tolerancia a
fallos (si un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su
dificultad de escalado y gestin.
Partially Meshed Network. Se establecen tneles entre aquellos nodos que regularmente
mantienen comunicacin.
Hub and Spoke. Configuracin en la que existe un equipo central con el que los equipos
remotos establecen los tneles VPN, sin existir comunicacin directa entre los equipos
remotos.
35
Adems de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser
configurados para actuar como servidores de acceso remoto (Dialup Server). Para el acceso
remoto mediante IPSec, Fortinet provee un cliente IPSec Software para plataformas MS
windows: FortiClient; adems de ser un cliente VPN IPSec, FortiClient incorpora un firewall
personal con capacidad de deteccin de intrusin, y opcionalmente funcionalidades de filtro
web, antivirus y antispam.
Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta funcionalidad los
equipos dotados de IP dinmica pueden ser asignados a un dominio. Cada vez que se
conecte a Internet, el ISP le asignar una IP diferente y los dems equipos de la VPN le
localizarn mediante la resolucin de su nombre DNS.
Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes PPTP
Windows o Linux. PPTP utiliza protocolos de autenticacin PPP; de este modo clientes
Windows o Linux PPTP pueden establecer un tnel PPTP contra un equipo FortiGate que ha
sido configurado para trabajar como un servidor PPTP. Como alternativa, el equipo FortiGate
puede ser configurado para reencaminar paquetes PPTP a un servidor PPTP en la red. Para la
autenticacin de los clientes, FortiGate soporta PAP, CHAP y autenticacin de texto plano. Los
clientes PPTP son autenticados como miembros de un grupo de usuarios. El protocolo PPTP
ofrece un grado menor de seguridad que IPSec, ya que el canal de control de mensajes PPTP
no es autenticado y su integridad no est protegida. Adems, los paquetes encapsulados PPP
no son criptogrficamente protegidos y pueden ser ledos o modificados.
VPN SSL
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que,
garantizando en todo momento la confidencialidad e integridad de la informacin, constituye un
sistema con una implantacin, administracin y mantenimiento simplificado. Dado que las VPN
SSL usan cifrado SSL, no es necesaria la instalacin de ningn software especfico en los
ordenadores remotos, sino que resulta accesible desde cualquier navegador, lo que supone un
gran avance frente a las tradicionales VPN basadas en IPSec, en lo que a sistemas de acceso
de usuario se refiere. De este modo, se ofrece un mtodo de acceso a los sistemas de
36
2.10 Antivirus
FortiGate ofrece el sistema antivirus perimetral de mayor rendimiento gracias a su optimizada
arquitectura y configuracin. Los componentes principales del sistema antivirus de FortiGate
son:
La arquitectura hardware basada en FortiASIC
Su optimizado sistema operativo FortiOS
La infraestructura FortiProtect, los laboratorios y centros de desarrollo distribuidos a lo
largo de todo el mundo.
Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisin, el
archivo es eliminado o guardado en cuarentena, y es sustituido por un mensaje de alerta
configurable por el administrador. Adems, el equipo FortiGate guarda un registro del ataque
detectado, y puede configurarse el envo de un correo de alerta o un trap SNMP.
Para una proteccin extra, el motor antivirus es capaz de bloquear ficheros de un tipo
especfico (.bat, .exe, etc) que potencialmente sean contenedores de virus, o bien bloquear
aquellos archivos adjuntos de correo electrnico que sean de un tamao superior al lmite de
filtrado.
El filtrado antivirus de FortiGate protege la navegacin web (protocolo http), la transferencia de
archivos (protocolo ftp) y los contenidos transmitidos por correo electrnico (protocolos IMAP,
POP3 y SMTP), siendo posible escanear estos protocolos en puertos diferentes a los
habitualmente empleados, e incluso en mltiples puertos.
Los equipos FortiGate analizan tambin las cabeceras MIME de los correos con objeto de
encontrar posibles virus transmitidos como ficheros adjuntos con este formato. Adems, es
capaz de deshacer hasta 12 niveles de anidamiento en ficheros comprimidos de forma
recurrente.
Al existir una integracin con la funcionalidad VPN en la plataforma FortiGate, es posible
analizar la existencia de virus tambin este tipo de trfico.
El servicio de proteccin antivirus provisto por FortiGate es totalmente transparente a los
usuarios. El denominado FortiGate content screening permite que clientes y aplicaciones no
37
2.10.1
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para
identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el archivo se
considera infectado. Los sistemas antivirus basados en anlisis de firmas constituyen el mtodo
ms efectivo y ms utilizado en la deteccin de virus.
El anlisis incluye tambin el escaneo de las macros existentes en los archivos Microsoft Office
en busca de cadenas conocidas de virus macro. Los macros son tambin analizados en
bsqueda de comportamientos anmalos tales como importar y exportar cdigo, escribir en el
registro o intentos de deshabilitar caractersticas de seguridad
Para realizar este anlisis de firmas existen dos elementos claves:
Una base de datos que contiene las firmas de virus conocidos
Un motor de escaneo que compara los archivos analizados con las firmas en la base de
datos para detectar una concordancia indicando la presencia de un virus.
El rendimiento es la clave para la detencin eficiente de virus que cada vez son ms y ms
complejos. La aceleracin del reensamblado de los paquetes y la comparacin con las firmas
mediante FortiASIC es un componente clave que permite a FortiGate la realizacin de este
anlisis en tiempo real sin introducir ningn retardo sobre el normal funcionamiento de la red y
las aplicaciones.
38
2.10.2
Escaneo Heurstico
Los creadores de virus llevan a cabo una serie de pasos para complicar ms la deteccin de
los mismos. Ejemplos como el cifrado de la pila de cdigo del virus o los llamados virus
polimrficos, los cuales se modifican ellos mismos sin levantar sospechas en cada replicacin,
complican cada vez ms la deteccin de los virus y hace ineficaz en algunos casos la creacin
de firmas de reconocimiento del virus.
Con el fin de detectar estos virus, se realizan los denominados anlisis heursticos que
buscan comportamientos anmalos conocidos, mediante la identificacin de secuencias de
operaciones que constituyen comportamientos propios de estos tipos de virus. Mediante el
anlisis heurstico de los contenidos, se llevan a cabo un nmero de cada una de las cuales
dan como resultado una clasificacin apropiada. Las clasificaciones de estas pruebas son
combinadas para una clasificacin total. Si esta clasificacin se sita sobre un cierto umbral, el
mdulo heurstico devuelve un resultado de virus encontrados. Las reglas y clasificaciones
(ratings) son actualizables y configurables.
2.10.3
Actualizaciones de la Base de Datos de Firmas y Motor de
Escaneo
Las actualizaciones del antivirus contienen la base del conocimiento de virus y el motor de
escaneo, los cuales son continuamente actualizados por Fortinet y distribuidos mediante la red
FortiProtect tan pronto como nuevos virus y gusanos son encontrados y difundidos.
39
Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la red FortiProtect Distribution
Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con
disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate.
Todos los equipos FortiGate estn programados con una lista de servidores FDN ms cercanos
de acuerdo a la zona horaria configurada en el equipo. As mismo, las plataformas de gestin
FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona.
Los dispositivos FortiGate soportan dos modos de actualizacin:
Pull updates. Los equipos pueden comprobar automticamente si existen en la red FDN
nuevas definiciones de virus disponibles y, si encuentran nuevas versiones,
descargarlas e instalarlas automticamente, as como los motores de antivirus
actualizados. Estas comprobaciones pueden ser programadas para su realizacin en
periodos horarios, diarios o semanales.
Push updates. Cada vez que un nuevo motor de antivirus o definiciones son publicadas,
los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate
configurados para push updates de que una nueva actualizacin est disponible. En 60
segundos desde la recepcin de una notificacin push, el equipo FortiGate se
descargar la actualizacin desde la FDN.
Actualizaciones Manuales
Aparte de los mtodos de actualizaciones expuestos anteriormente, los equipos FortiGate
poseen la opcin de realizar actualizaciones manuales. El administrador del equipo FortiGate
puede iniciar la actualizacin manual simplemente seleccionando la opcin Update now desde
la consola de gestin del equipo FortiGate.
2.10.4
Los servicios de proteccin Antivirus son habilitados mediante los perfiles de proteccin
aplicados posteriormente en las diferentes polticas del firewall.
Dentro del perfil, por ejemplo, ser posible configurar opciones de cuarentena NAC integradas,
de forma que se haga cuarentena durante un ataque de virus, al atacante o al objetivo, por un
tiempo concreto o ilimitado.
40
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de trfico. Esta
configuracin basada en polticas provee un control granular de los servicios de proteccin y de
la utilizacin de los recursos de FortiGate.
2.10.5
Los mensajes de reemplazo son incluidos por el filtro antivirus en los lugares ocupados por
ficheros o contenidos eliminados de mensajes de correo, transmisiones http o ftp.
Estos mensajes de reemplazo que reciben los usuarios en sustitucin de los ficheros o
contenidos infectados son totalmente configurables por el administrador del sistema.
41
42
Cada sensor (Red, IP, Transporte, Aplicacin) es un programa que genera un trfico nfimo. El
sensor utiliza el hardware FortiASIC para acelerar la inspeccin del trfico y chequear patrones
de trfico que concuerden con las firmas y anomalas especificadas. La arquitectura hardware
asistida de deteccin de intrusin provee a los equipos FortiGate de rendimientos
excepcionales nicos en el mercado.
La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques:
Inundacin de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP
flood
Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop,
land, y WinNuke
Fingerprinting
Ping sweeps
Port scans
Buffer overflows, incluyendo SMTP, FTP y POP3
43
Account scans
OS identification (Identificacin del Sistema Operativo)
Signature spoofing
Signature encoding
IP fragmentation
TCP/UDP disassembly
2.11.1
Mtodos de Deteccin
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las tareas
de deteccin y prevencin de intrusin son dos: deteccin de firmas y seguimiento de
comportamientos anmalos.
Deteccin de Firmas
Las firmas de ataques se encuentran en el ncleo del modulo de deteccin de intrusiones
FortiGate (ms de 3600 firmas soportadas). Las firmas son los patrones de trfico que indican
que un sistema puede estar bajo un ataque. Funcionalmente, las firmas son similares a las
definiciones de virus, con cada firma diseada para detectar un tipo de ataque particular. Tanto
las firmas predefinidas como el motor IPS, son actualizables a travs de FortiProtect
Distribution Network (FDN), de un modo similar al que se actualizan las definiciones de
antivirus.
44
Cada una de las firmas puede ser habilitada para su deteccin de modo independiente.
Adems existe la posibilidad de definir firmas de ataques personalizadas que pueden ser
aadidas para detectar ataques no incluidos en el fichero de definiciones de ataques.
45
Anomalas de Trfico
FortiGate IPS identifica a su vez anomalas estadsticas de trfico TCP, UDP e ICMP, como
son:
Flooding Si el nmero de sesiones apunta a un solo destino en un segundo est sobre
el umbral, el destino est experimentando flooding.
46
Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar
situaciones excepcionales, como la existencia de un proxy en la red, etc.
2.11.2
Cuando los ataques son detectados, el sistema toma acciones las acciones necesarias para
prevenir daos. Cualquier ataque detectado puede ser bloqueado, ya sean ataques basados en
firmas, ataques basados en anomalas, o ataques personalizados.
Debido a que el mdulo IDS est completamente integrado con el motor de firewall, los equipos
FortiGate proveen deteccin y prevencin de intrusiones en tiempo real. El mdulo IDS posee
un enlace especfico en el modulo de firewall que permite que una vez el sensor identifica un
ataque, el modulo firewall rpidamente toma accin para bloquear el trfico impidiendo que el
ataque tenga xito. Los equipos FortiGate permiten definir diferentes acciones a realizar en
funcin del ataque detectado:
Pass: FortiGate permite que el paquete que activ (triggered) la firma pase a travs del
firewall.
Drop: El equipo FortiGate descarta el paquete que activ la firma.
Reset: El equipo descarta el paquete que activ la firma, enva un reset al cliente y al
servidor, y borra la sesin de la tabla de sesiones del equipo FortiGate.
2.11.3
47
Los sensores definidos, son posteriormente aplicados a las reglas de firewall a travs de los
perfiles de proteccin, de manera que cada regla puede tener configurado un sensor especfico
para aquellos protocolos o aplicaciones que son permitidas en su flujo de trfico
Dentro de la configuracin del mismo sensor, es posible marcar opciones de cuarentena NAC
integradas, de forma que se puede incluir en cuarentena durante un ataque, al atacante y al
atacado por un tiempo concreto o ilimitado.
48
Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la red FortiProtect Distribution
Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con
disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate.
Todos los equipos FortiGate estn programados con una lista de servidores FDN ms cercanos
de acuerdo a la zona horaria configurada en el equipo. As mismo, las plataformas de gestin
FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona.
Los dispositivos FortiGate soportan dos modos de actualizacin:
Push updates. Cada vez que un nuevo motor de antivirus o un nuevo fichero de
definiciones es publicado, los servidores que forman parte de la red FDN notifican a
todos los equipos FortiGate configurados para push updates que una nueva
actualizacin est disponible. En 60 segundos desde la recepcin de una notificacin
push, el equipo FortiGate se descargar la actualizacin desde la FDN.
49
Actualizaciones Manuales
A parte de los mtodos de actualizaciones expuestos anteriormente, los equipos FortiGate
poseen la opcin de realizar actualizaciones manuales. El administrador del equipo FortiGate
puede iniciar la actualizacin manual simplemente seleccionando la opcin de Update now
desde la consola de gestin del equipo FortiGate.
Otras caractersticas
Es posible aplicar polticas DoS por sensor desplegado, de esta forma se tienen las siguientes
funcionalidades:
- Proteccin ms robusta contra ataques DoS. Al aplicar los sensores a nivel de
interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de que
haga match en el firewall.
- Posibilidad de filtrar todo tipo de trfico antes de que llegue al firewall aunque este est
configurado con una regla drop.
Existe tambin la posibilidad de incluir en ciertos appliances mdulos de bypass que permitan
que el trfico siga fluyendo aunque haya una cada completa del equipo o del proceso del IPS
(en configuraciones donde haya un solo equipo):
50
Las principales ventajas que aporta el control de aplicaciones son las siguientes:
Anteriormente, mediante el motor IPS de Fortigate, ya se contaba con ciertos controles para
algunos protocolos, sobre todo P2P, VoIP e IM, con la inclusin del motor de Control de
Aplicaciones se tiene un nmero mucho ms extenso de comprobaciones para ms
aplicaciones con independencia del puerto.
51
Mensajera Instantnea
Peer-to-peer
Voz IP
Transferencia de ficheros
Video y Audio Streaming
Internet Proxy
Juegos
Toolbars de navegador
Bases de datos
52
Web- mail
Web
Servicios de red
Aplicaciones Corporativas
Actualizaciones de sistema
Backup
53
La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando caracteres
comodines o expresiones regulares. Asimismo, la lista puede ser creada manualmente o
importada desde listas de URLs elaboradas por terceros.
Asimismo, con objeto de prevenir el bloqueo de pginas web legtimas no intencionado, las
URLs pueden ser aadidas a una lista de excepcin que sobrescribe la URL bloqueada y listas
de bloqueo de contenido. El bloqueo de URL puede ser configurado para bloquear todo o slo
algunas de las pginas de un sitio web. Utilizando esta caracterstica es posible denegar el
acceso a partes de un sitio web sin denegar el acceso completo al sitio en cuestin.
2.13.1
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas pginas web que
contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una pgina
web es bloqueada, un mensaje de alerta que sustituye a la web original generado por FortiGate
es mostrado en el navegador del usuario.
Las palabras clave pueden ser aadidas una por una, o importadas utilizando un fichero de
texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta 80
caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los sistemas
de caracteres Western, Simplified Chinese, Traditional Chinese, Japanese, Tha o Korean. Las
palabras y expresiones pueden ser configuradas utilizando comodines o expresiones regulares
perl.
2.13.2
54
2.13.3
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una
clasificacin actualizada de forma continua que engloba ms de dos mil millones de URLs
distribuidas en un abanico de 77 categoras. El servicio est basado en la peticin de la
clasificacin de las diferentes direcciones a la infraestructura de Fortinet. As, mediante la
configuracin en las polticas de acceso a Internet, los equipos FortiGate son capaces de
permitir o denegar el acceso a los diferentes sitios web en funcin de la categora a la que
pertenezcan. El dispositivo FortiGate soporta polticas a nivel de usuarios/grupos y mantiene
informacin del usuario/grupo para cada peticin realizada.
El servicio Fortiguard Web Filtering tiene categorizados ms de 45 millones de dominios en 77
categoras agrupadas dentro de 8 clases. La base de datos utilizada por el servicio FortiGuard
Web Filtering es continuamente actualizada mediante el descubrimiento y categorizacin de
nuevos dominios, as como mediante la informacin enviada por los propios equipos FortiGate
cuando intentan el acceso a una pgina no categorizada.
55
56
2.13.4
Los equipos FortiGate no slo se limitan a inspeccionar las URLs o los contenidos de las
pginas a las que se acceden, sino que adems permiten prevenir el acceso a contenidos no
permitidos haciendo uso de la capacidad de algunos motores de bsqueda de almacenar parte
de estas pginas en cach. Habitualmente, cuando utilizamos algn buscador para intentar
acceder a la informacin, el buscador no slo nos muestra un link que nos redirige a la URL en
cuestin, sino que adems nos permite visualizar esa URL guardada en una cach propia del
buscador. Los equipos FortiGate son capaces de analizar la direccin de esa informacin en
cach en el motor de bsqueda y la existencia de contenidos no permitidos en la misma,
evitando de este modo el acceso a contenidos no permitidos por este medio.
Del mismo modo, pueden habilitarse filtros sobre bsquedas de imgenes y contenidos
multimedia que actan del mismo modo, no permitiendo que el contenido en cach de las
pginas de bsqueda sea mostrado a los usuarios en caso de proceder de un dominio cuyo
contenido no est permitido.
57
2.13.5
58
59
2.13.6
Mensajes de sustitucin
60
2.14 AntiSpam
La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no
solicitados detectando los mensajes de spam e identificando esas transmisiones. Los filtros
antispam se configuran de un modo global, si bien son aplicados en base a perfiles de
proteccin, al igual que el resto de funcionalidades del equipo.
El spam roba tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en
limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la productividad. As
mismo, los mensajes de spam hacen crecer los tamaos necesarios de los buzones de correo
de los usuarios, haciendo crecer implcitamente el tamao de los servidores necesarios para
albergarlos. En resumen, se produce un consumo de recursos innecesario.
Segn los ltimos estudios, ms del 60% del trfico de correo electrnico que circula en
Internet es spam, y aumenta cada da que pasa.
La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicacin de
diferentes filtros sobre el trfico de intercambio de correo electrnico (protocolos SMTP, POP3
e IMAP). Aquellos filtros que requieren la conexin con servidores externos (FortiGuard
Antispam o los servicios de Listas Negras en tiempo real) se ejecutan de forma simultnea con
los otros filtros, optimizando el tiempo de respuesta del anlisis de los mensajes. Tan pronto
como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la
accin definida para cada filtro que podr ser:
Marcar el mensaje como Spam (Tagged): El mensaje quedar identificado como Spam,
y en el perfil de proteccin podremos decidir si se deja pasar, identificndolo como
Spam y pudiendo incluir en la cabecera del mismo o en el encabezamiento MIME un
mensaje identificativo, o bien si preferimos descartar el mensaje (solo sobre SMTP).
Descartar (Discard): En este caso el mensaje es desechado, en el caso de SMTP es
posible sustituirlo con un mensaje predefinido que advierta al usuario del envo de
Spam.
Los filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en
el control por origen del mensaje y el control por el contenido del mismo.
IP address BWL, DNSBL & ORDBL check (Listas Blancas/Negras IP, Listas DNS
Blackhole y Listas Open Relay Database), HELO DNS lookup: Se chequea el origen del
mensaje contra listas de direcciones IP, DNSB y ORDB predefinidas, identificadas como
listas blancas (marcaramos el mensaje como clear) o listas negras. Las listas son
configurables por el administrador de la plataforma FortiGate
61
Control de Contenido
62
Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo
de emails que contienen palabras especficas o patrones reconocidos. Las palabras
pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por
ejemplo, la siguiente expresin capturara la palabra viagra deletreada de varias
maneras:
/[v|\/].?[il;1'!\|].?[a@0].?[gq].?r.?[a@0]/i
2.14.1
63
En las versiones ms recientes, el motor AntiSpam es mejorado para que pueda actualizarse a
travs del servicio Fortiguard AntiSpam, de esta forma no ser necesario esperar a una
actualizacin completa de firmware del equipo Fortigate para actualizar dicho motor.
Activacin del Servicio mediante Perfiles de Proteccin
Al igual que el resto de funcionalidades, la activacin de la funcionalidad AntiSpam de los
equipos FortiGate se realiza en cada perfil de proteccin, aplicado posteriormente en las
diferentes polticas definidas en el cortafuegos.
64
As mismo las acciones posibles pasan por hacer nicamente log de la fuga de datos hasta
bloquear dichas fugas.
65
Tipos de gestin
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https, telnet o
SSH, siendo estos accesos configurables por interfaz, Adems existe la posibilidad de definir
diferentes perfiles de administracin con objeto de limitar las tareas y posibilidades de cada
usuario con acceso al equipo.
Fortinet cuenta adems con una plataforma de gestin global centralizada para mltiples
equipos denominada FortiManager. El sistema FortiManager es una plataforma integrada
para la gestin centralizada de equipos FortiGate a travs del cual pueden configurarse
mltiples dispositivos FortiGate de forma simultnea, creando grupos de equipos y plantillas de
configuracin y permitiendo monitorizar el estado de estos dispositivos.
66
3.2
67
3.3
Registro de Logs
La capacidad de registro de eventos, trfico y aplicaciones puede ser habilitada tanto a nivel
global como en cada una de las polticas definidas a nivel de firewall y en cada protection
profile, permitindonos configurar con un elevado nivel de detalle y de forma independiente
cada uno de los registros que se requieren.
Estos registros pueden ser almacenados localmente (en memoria o en disco, en aquellas
unidades que disponen de l) o bien en un servidor externo como pueden ser un syslog o la
plataforma FortiAnalyzer.
68
3.4
69
70