Está en la página 1de 106

DOCUMENTO DESCRIPTIVO

FORTIGATE
Resumen de funcionalidades

FORTINET - FAST, SECURE, GLOBAL

Pgina 1 de 106

NDICE
1. INTRODUCCIN................................................................................
1.1. Acerca de FortiGate..............................................................4
2. CARACTERSTICAS TCNICAS DE LOS EQUIPOS...........................
2.1. La Arquitectura FortiGate....................................................5
2.2. IPv6.......................................................................................8
2.3. Modalidad NAT o Transparente...........................................9
2.4. Inspeccin en modo Proxy o Flow......................................10
2.5. Proxy Explcito....................................................................10
2.6. Dominios Virtuales (VDOM)...............................................11
2.7. Fortiview.............................................................................12
2.8. Routing...............................................................................14
2.8.1. Enrutamiento Esttico Redundante.............................14
2.8.2. Policy Routing...............................................................15
2.8.3. Enrutamiento Dinmico...............................................16
2.9. Alta Disponibilidad.............................................................17
2.10. Optimizacin WAN..............................................................19
2.11. Autenticacin de Usuarios..................................................21
2.12. Firewall...............................................................................23
2.12.1. Definicin de Polticas..................................................25
2.12.2. Inspeccin SSL y SSH..................................................26
2.12.3. Balanceo de carga multiplexacin HTTP y aceleracin
SSL
28
2.12.4. Calidad de Servicio (QoS)............................................30
2.12.5. Soporte VoIP.................................................................32
2.13. Redes Privadas Virtuales (VPN).........................................33
2.13.1. Internet Protocol Security (IPSec)...............................33
2.13.2. Point-to-Point Tunneling Protocol (PPTP)....................36
2.13.3. L2TP over IPSEC (Microsoft VPN)...............................37
2.13.4. GRE over IPSEC (Cisco VPN).......................................37
2.13.5. Wizard..........................................................................38
2.13.6. VPN SSL.......................................................................38
2.14. AntiMalware.......................................................................40
2.14.1. Escaneo de Firmas (Signature Scaning)......................43
2.14.2. Escaneo Heurstico......................................................43
2.14.3. Escaneo basado en CPRL.............................................44
2.14.4. Advanced Threat Protection (ATP)...............................44
2.14.5. Actualizacin de la Base de Firmas y Motor de Escaneo
46
2.14.6. Activacin del Servicio mediante Perfiles de Proteccin
47
2.14.7. Mensajes de Reemplazo en Ficheros Infectados.........48
2.15. Deteccin y Prevencin de Intrusin (IDS/IPS)..................48
2.15.1. Mtodos de Deteccin..................................................51
2.15.2. Prevencin de Intrusiones en Tiempo Real..................52
2.15.3. Activacin del Servicio mediante Sensores.................53

FORTINET - FAST, SECURE, GLOBAL

Pgina 2 de 106

2.16. Control de Aplicaciones......................................................55


2.17. Filtrado de Trfico Web (URL Web Filtering).....................58
2.17.1. URL Filtering mediante uso de listas locales...............58
2.17.2. Filtrado de Contenido mediante listas locales.............59
2.17.3. Filtrado de Java / Scripts / Cookies..............................59
2.17.4. Servicio Fortiguard Web Filtering................................60
2.17.5. Filtrado basado en cuotas............................................62
2.17.6. Filtrado de Contenido en Cachs.................................62
2.17.7. Activacin del Servicio mediante Perfiles de Proteccin
63
2.17.8. Mensajes de sustitucin en web filter..........................65
2.18. AntiSpam............................................................................65
2.18.1. Servicio Fortiguard AntiSpam......................................68
2.18.2. Ms caractersticas FortiGuard....................................69
2.19. Data Leak Prevention (Prevencin de Fuga de Datos).......69
2.20. WAF (Web application firewall)..........................................71
2.21. CASI (Cloud Access Security Inspection)...........................72
2.22. DNS Filter...........................................................................73
2.22.1. Bloquear consultas DNS a direcciones conocidas de
servidores C&C.........................................................................73
2.22.2. Filtro de URLs esttico................................................73
2.23. External security devices...................................................74
2.1. Controlador Switches - FortiLink.......................................74
2.2. Controlador Wifi.................................................................74
2.3. Identificacin de Dispositivos - BYOD................................76
2.4. Seguimiento de amenazas (Reputacin de clientes)..........77
2.5. FortiGate Virtual Appliance................................................78
2.6. Wan link load balance.........................................................80
2.6.1. Algoritmos de balanceo................................................81
2.6.2. Wan Links.....................................................................81
2.6.3. Reglas de prioridad......................................................82
2.7. Control del EndPoint..........................................................82
2.8. Virtual wire pair.................................................................83
2.9. FortiExtender......................................................................85
3. GESTIN DE LOS EQUIPOS FORTIGATE.......................................
3.1. Tipo de gestin...................................................................85
3.2. Gestin Centralizada con FortiManager............................86
3.3. FortiManager Virtual Appliance.........................................87
3.4. Registro de Logs.................................................................88
3.5. Registro centralizado y gestin de informes con
FortiAnalyzer................................................................................89

FORTINET - FAST, SECURE, GLOBAL

Pgina 3 de 106

1.INTRODUCCIN
1.1.

Acerca de FortiGate

Las plataformas de seguridad FortiGate constituyen una nueva


generacin de equipos de seguridad de muy alto rendimiento que
garantizan la proteccin completa de los Sistemas de empresas de
cualquier tamao tiempo real.
FortiGate, lder del mercado, proporciona una solucin integrada
de seguridad compuesta por las funcionalidades ms eficaces que
proporcionan una proteccin completa de las comunicaciones,
como son: Firewall, VPN (IPSEC y SSL), Antimalware, Anti-Botnet,
Anti-DOS, Sistemas de Deteccin/Prevencin de Intrusiones,
Filtrado Web, Antispam, Control de Aplicaciones, Inspeccin de
Contenido en SSL, firewall de aplicaciones WEB e inspeccin del
acceso a aplicaciones cloud (CASI). Adems, todas las
funcionalidades de seguridad se integran de forma conjunta con
funcionalidades
aadidas
como
Traffic
Shaping,
Alta
Disponibilidad, balanceo de carga, Aceleracin y balanceo Wan,
Soporte a VoIP, Controlador Wireless, Enrutamiento dinmico RIP,
OSPF y BGP, etc.
El gran abanico de equipos FortiGate existente permite disear
soluciones adaptadas a las diferentes necesidades de cada entorno,
disponiendo en todos ellos de las mismas funcionalidades gracias a
la homogeneidad del Sistema Operativo FortiOS, que es similar en
todos los equipos FortiGate, independientemente de la gama a la
que pertenezcan.
Los equipos FortiGate pueden considerarse como equipos todo en
uno, configurados para proporcionar todo el conjunto de
funcionalidades de seguridad ms importantes en el mercado de
una forma sencilla, pero tambin pueden ser considerados como un
appliance de seguridad especializado en una o varias de las
funcionalidades de las que dispone, obteniendo un equipo de alto
rendimiento y prestaciones sin competencia.
La familia de dispositivos Fortinet se extiende con equipos que
complementan las funcionalidades de los propios FortiGate:

La plataforma FortiManager, que permite la gestin,


administracin y configuracin desde un nico punto
centralizado de miles de equipos FortiGate que estn
distribuidos en nuestro entorno de comunicaciones.

Los equipos FortiAnalyzer, que proveen de una potente


herramienta de gestin y anlisis de logs, generacin

FORTINET - FAST, SECURE, GLOBAL

Pgina 4 de 106

peridica y automatizada de informes configurables por el


administrador, as como herramientas complementarias de
anlisis forense, anlisis de vulnerabilidades o scanning de
red.

Los puntos de acceso Wireless, FortiAP, que junto con la


funcionalidad de controlador Wifi de los equipos Fortigate,
permiten aplicar polticas de seguridad al trfico Wifi de la
misma manera que al trfico LAN, garantizando una gestin
simple y centralizada de la seguridad de una compaa
independientemente de que los usuarios accedan por LAN,
Wifi o VPN.

Las plataformas de proteccin ante amenazas Avanzadas


FortiSandbox, que permiten elevar el nivel de proteccin, al
ser capaces de analizar el comportamiento del malware
desconocido, evitando que infecte las redes y sistemas
protegidas por este dispositivo

El software FortiClient, como completo agente de seguridad


para el puesto de usuario, dotado de las funcionalidades de
Firewall, Antimalware, AntiSpam, Web Filter, Control de
Aplicaciones e integracin con FortiSandbox, siendo tambin
cliente VPN IPSec para el establecimiento de tneles con los
equipos FortiGate. Permite que se apliquen polticas en el
firewall en funcin del cumplimiento de las polticas de
seguridad en el puesto de usuario, as como seguir
manteniendo las polticas de seguridad corporativas una vez
el equipo ha salido del entorno corporativo

FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo


estn disponible en formato appliance fsico, tambin existen
versiones de tipo appliance virtual homlogo, que puede ser
desplegado en las principales plataformas de virtualizacin del
mercado.

2.CARACTERSTICAS
EQUIPOS
2.1.

TCNICAS

DE

LOS

La Arquitectura FortiGate

La tecnologa Fortinet es una poderosa combinacin de software y


hardware basada en el uso de Circuitos Integrados de Aplicacin
Especfica, conocidos por sus siglas en ingls como ASIC, a travs
de la cual es capaz de ofrecer el procesamiento y anlisis del
contenido del trfico de la red sin que ello suponga ningn impacto
en el rendimiento de las comunicaciones.

FORTINET - FAST, SECURE, GLOBAL

Pgina 5 de 106

La tecnologa incluye los Procesadores FortiASIC y el Sistema


Operativo FortiOS los cuales forman el ncleo de los equipos
FortiGate y son la base del alto rendimiento ofrecido por los
equipos.
Los procesadores FortiASIC, diseados por Fortinet, poseen un
motor propietario de anlisis de contenido que acelera los
intensivos procesos de anlisis requeridos por la seguridad a nivel
de aplicacin (Antimalware, filtrado de contenidos y procesos
relacionados), estos procesos tendran un rendimiento mucho ms
bajo y una mayor latencia si fueran llevados a cabo por
procesadores de propsito general.
El Sistema Operativo FortiOS es un sistema robusto y eficiente,
diseado y dedicado a los procesos propios de una plataforma de
seguridad.
FortiASIC
La exclusiva arquitectura basada
en ASIC empleada por los equipos
Fortinet permite el anlisis del
contenido del trfico en tiempo
real,
satisfaciendo
todas
las
necesidades de proteccin a nivel de aplicacin sin impactar en el
rendimiento de la red.
El procesador FortiASIC posee mltiples caractersticas que
hacen posible su alto rendimiento:

Contiene un motor hardware que acelera el anlisis de las


cabeceras de cada paquete y del contenido ensamblado de los
paquetes de una conexin, acelerando de este modo los
procesos del motor del Firewall y del motor de IDS/IPS al ser

FORTINET - FAST, SECURE, GLOBAL

Pgina 6 de 106

capaz de identificar a velocidad de lnea el flujo al que


pertenece cada paquete.

Posee un potente motor de comparacin de firmas que


permite contrastar el contenido del trfico de una sesin
contra miles de patrones de firmas de virus, ataques de
intrusin, reconocimiento de aplicaciones u otros patrones
sin comprometer el rendimiento de la red. Este motor de
anlisis re-ensambla los paquetes pertenecientes a un mismo
mensaje en memoria, carga las firmas necesarias y realiza
una bsqueda por comparacin de patrones, todos estos
procesos se realizan a nivel de hardware con la ganancia en
velocidad que eso supone.

FortiASIC incluye tambin un motor de aceleracin de


cifrado que permite realizar cifrado y descifrado de alto
rendimiento para el establecimiento de las Redes Privadas
Virtuales o VPN.

Diferentes flujos, diferentes velocidades:


Gracias a los
procesadores FortiASIC el flujo de trfico que atraviesa un
dispositivo FortiGate, se trata a diferentes velocidades en funcin
de que los paquetes se inspeccionen o no por los diferentes
motores de filtrado. As un paquete que solo se inspecciona a nivel
de Firewall, se procesar a la velocidad mxima que puede
proporcionar el hardware para este flujo y solo el trfico que se
inspeccione a travs del motor de IPS, Antimalware, etc. (por
ejemplo), permitir el caudal mximo segn las especificaciones
hardware de cada equipo para dicho motor de inspeccin.
Aceleracin hardware para puertos de red: NP6 (Network
Processor v6)
El trabajo que realiza un firewall "statefull inspection" para
procesar el trfico de la red est basado en la inspeccin completa
de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la sustitucin de IP's
cuando se habilita NAT, el seguimiento del trfico a travs de las
tablas de estado y las decisiones de enrutamiento para que el
trfico llegue a su destino, permitiendo slo las conexiones
legtimas a nivel de poltica de seguridad as como todo el trfico
que de estas se pueda derivar en protocolos que utilizan varias
conexiones como es el caso de FTP o los protocolos de voz, por
ejemplo. Este trabajo debe ser realizado independientemente del
payload del protocolo en cuestin y para cada uno de los paquetes
que compongan una sesin a nivel de aplicacin.
Cuando los protocolos en uso se basan en una gran cantidad de
paquetes con un payload bajo, el trabajo que ha de llevarse a cabo

FORTINET - FAST, SECURE, GLOBAL

Pgina 7 de 106

en el firewall es
mucho mayor, ya que este depende
exclusivamente de la
cantidad y no del tamao de los
paquetes y debido a
que en un mismo volumen de datos
se han de procesar
un
nmero
mucho
mayor
de
cabeceras y entradas
de las tablas de
estado as como de
decisiones de
enrutamiento. Esta
circunstancia,
provoca
que
los
equipos que slo
utilizan CPU's de
propsito
general
para
realizar las
tareas
necesarias
puedan verse
seriamente afectados
ante
estos
tipos de trfico, llegando a decrementar su rendimiento de tal
forma que se introducen retardos en la red e incluso es necesario
descartar paquetes debido a la saturacin de la CPU del equipo.
Esta saturacin provoca retardos inadmisibles en determinados
protocolos y adems afecta al resto del trfico de la red haciendo
que la calidad del servicio se vea afectada muy negativamente.
Queda entonces patente que el troughput de un equipo est
directamente relacionado con el tipo de trfico que se est
generando en la red y no slo con su volumen, y que adems, los
nmeros comnmente expuestos en las hojas de producto son
imposibles de alcanzar en entornos de trfico caracterstico de
aplicaciones multimedia y convergencia IP como pueden ser el
streaming de video o los protocolos RTP para VoIP.
La solucin en este tipo de entornos, pasa por el uso de tecnologas
de aceleracin hardware que doten a los equipos de la capacidad
necesaria para llevar a cabo la gestin de las cabeceras de forma
rpida y sin influir en el trabajo de la CPU principal, liberando a
esta de la carga del procesamiento de las cabeceras de los
paquetes, el mantenimiento de las tablas de estado o las decisiones
de enrutamiento.
Para cumplir con este requerimiento, la familia de equipos fsicos
FortiGate, incluye en su lineal dispositivos equipados con puertos
acelerados (Network Processor) NP6. Mediante el uso de circuitos
integrados de aplicacin especfica (ASIC) que dan servicio
exclusivo a este tipo de puertos, se acelera la inspeccin de
paquetes a nivel del propio puerto, liberando a la CPU e
imprimiendo velocidad de lnea a las transmisiones que los
atraviesan, sea cual sea el tamao de paquete utilizado. De esta
forma, se puede mantener un troughput continuo de forma
optimizada en las comunicaciones, de manera que el nivel de
servicio de los protocolos ms sensibles, y por extensin el resto de
trfico de la red, no se vea afectado, ya sea en entorno multi-

FORTINET - FAST, SECURE, GLOBAL

Pgina 8 de 106

gigabit, 10G, 40G o 100G, pues existen dispositivos FortiGate con


diferentes combinaciones puertos de 1G (fibra y/o cobre) , 10G
(fibra y/o cobre), 40G, 100G, PoE, etc.
Algunos modelos de FortiGate (revisar hoja de datos) disponen de
un Switch hardware en su interior con soporte STP (Spaning Tree
Protocol).
Fortinet es el nico fabricante del mercado que integra esta
tecnologa diferencial en su portfolio de productos, haciendo que
las redes puedan seguir funcionando con normalidad ante
protocolos que hacen uso extensivo de paquetes pequeos, como
los asociados a los protocolos de VoIP, las aplicaciones multimedia o
el trfico de sincronizacin de los motores de base de datos.
El core de esta tecnologa consiste en el uso de FortiASIC NP6 para
dar servicio a varios puertos de red de un equipo, as ser el
FortiASIC y no la CPU principal, el que lleva a cabo el
procesamiento de los paquetes que entran en cada puerto fsico del
appliance, haciendo que la transmisin de estos se realice de forma
inmediata sin tener que esperar ciclos de liberacin de la CPU
principal.

Aceleracin hardware FortiASIC CP8/9 (Content Processor


v8/9)
Del mismo modo que NP6 acelera el rendimiento y disminuyen la
latencia al inspeccionar el trfico de red, los procesadores
FortiASIC CP 8/9 son capaces de acelerar las tareas intensivas de
computacin, como la inspeccin de contenido en capa 7.

Aceleracin hardware FortiSoC2


La gama entry level de equipos FortiGate dispone de un
procesador especfico desarrollado por Fortinet que proporciona un
rendimiento ptimo a un coste adaptado al presupuesto de los
clientes a los que van dirigidos estos equipos, generalmente
pequeas y medianas empresas o tambin oficinas remotas con
pocos usuarios y lneas de comunicaciones de bajo caudal.
FortiOS
El sistema operativo FortiOS fue diseado con objeto de soportar
funcionalidades de conmutacin de alto rendimiento. El ncleo de

FORTINET - FAST, SECURE, GLOBAL

Pgina 9 de 106

FortiOS es un kernel dedicado, optimizado para procesamiento


de paquetes y trabajo en tiempo real. Provee adems de un interfaz
homogneo para cada una de las funcionalidades ofrecidas. Este
sistema operativo funciona sobre diversos modelos de procesadores
de propsito general. Esta flexibilidad permite emplear el mismo
sistema operativo en todos los equipos FortiGate.

2.2.

IPv6

Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva


versin de firmware. En la siguiente tabla, se pueden ver las
funcionalidades soportadas ms destacables, relativas a IPv6:

Polticas IPS por interface IPv6


Rutas estticas IPv6
Objetos y grupos IPv6
Polticas IPv6
VPN IPSEC con direccionamiento IPV6
Tneles IPv6 sobre IPv4
DNS IPv6
IPv6 en modo transparente
Acceso administrativo IPv6
Routing dinmico IPv6: RIP, BGP, OSPF
Soporte UTM para trfico IPv6: AV, Web filtering
SSL VPN IPv6
Monitor de sesiones IPv6
Autenticacin Firewall IPv6
DHCP6
Aceleracin FW IPv6
Soporte SNMP IPv6
DLP para IPv6.
VoIP, ICAP, y UTM IPv6
NAT 64, NAT 66, DNS 64
Poltica IPS forwarding IPv6
HA sesin pick-up IPv6
Sensor DOS IPv6
Traffic shaping por IP para IPv6
Policy routing IPv6
Proxy explcito IPv6
MIBS IPv6
IPSec fase 2
Rangos de IPs

FORTINET - FAST, SECURE, GLOBAL Pgina 10 de 106

Configuracion de valores TCP MSS


Soporte RSSO
Base de datos de geolocalizacin
Blackhole routing.
TFTP session helper
Mejoras en session helper de FTP, PPTP y RTSP.
Routing asimtrico para ICMP.

2.3.

Modalidad NAT o Transparente

Los equipos FortiGate poseen la capacidad de trabajar en dos


modalidades diferentes de funcionamiento: modo router/NAT o
modo Transparente.
Trabajando en modo NAT el equipo acta como un router,
enrutando los paquetes entre los diferentes interfaces fsicos y/o
lgicos del equipo, con la capacidad de realizar NAT.
Trabajando en modo Transparente el equipo se comporta como un
bridge, dejando pasar los paquetes a travs del mismo en funcin
de las polticas definidas. El equipo FortiGate no tiene direcciones
IP en sus interfaces (solamente posee una IP para la gestin del
propio equipo y actualizacin de firmas, a la que atiende por
cualquiera de los interfaces). De este modo, el equipo puede ser
introducido en cualquier punto de la red sin necesidad de realizar
ninguna modificacin sobre ningn otro dispositivo. El equipo
FortiGate soporta las mismas funcionalidades en ambos modos de
funcionamiento (firewall, antimalware, IPS, control de aplicaciones,
web filtering, antispam).
Tambin es posible combinar las dos funcionalidades y configurar
en un mismo dispositivo FortiGate.

2.4.

Inspeccin en modo Proxy o Flow

El modo de inspeccin controla la forma que tiene FortiGate de


aplicar y controlar los perfiles de seguridad. Una vez configurado el
modo de inspeccin, aplica de forma global a todos los perfiles de
seguridad, por lo que no es posible configurar una poltica con un
perfil de seguridad en modo proxy y otra regla con otro perfil en
modo flow.

2.5.

Proxy Explcito

FORTINET - FAST, SECURE, GLOBAL Pgina 11 de 106

FortiGate puede configurarse como un servidor Proxy (HTTP y


FTP), de forma que los navegadores de los equipos cliente lo
utilicen de forma explcita para permitir la salida a internet. El
acceso a internet lo puede realizar el propio equipo FortiGate de
forma directa o bien utilizando otro proxy externo, configurando un
proxy encadenado (chaining/forwarding).
Es tambin posible establecer mensajes de aviso (tipo disclaimer) a
nivel de usuario, dominio o poltica, al utilizar el proxy explcito de
FortiGate.
Distintos tipos de objetos se pueden utilizar en las polcitas de
proxy explcito, como son:

Objetos tipo VIP


Patrn URL
Host Regex
Categora URL
Mtodo HTTP
Agente Usuario
Cabecera HTTP
Origen avanzado (combinacin de Agente usuario, Mtodo
HTTP y cabecera HTTP)
Destino avanzado (combinacin de Categora URL y Host
Regex)

As mismo se implementan funcionalidades anti-botnet en el Proxy


Explcito.

2.6.

Dominios Virtuales (VDOM)

Los equipos FortiGate permiten la utilizacin de Dominios


Virtuales, de modo que sobre una nica plataforma fsica sea
posible configurar hasta 500 Equipos virtuales (dependendiendo
del modelo de dispositivo), completamente independientes entre s
y con todas las funcionalidades que posee cada plataforma fsica.
Todos los equipos FortiGate disponen en su configuracin bsica de
la capacidad de definicin de dominios virtuales. Se recomienda
consultar la hoja de caractersticas de cada modelo donde se indica
el nmero de VDOM incluidos sin licencia adicional y las
capacidades de ampliar este nmero para los modelos de gama
media o alta, en los que es posible ampliar el nmero a 250 VDOM
o incluso 500 Dominios Virtuales en los equipos ms altos de gama.

FORTINET - FAST, SECURE, GLOBAL Pgina 12 de 106

Cada uno de estos dominios virtuales representa de forma lgica


una instancia independiente del resto, asignndoles interfaces
lgicos (VLANs) o fsicos con la posibilidad de trabajar en modo
router o transparente, aplicar diferentes perfiles y polticas sobre
cada mquina, etc.

FORTINET - FAST, SECURE, GLOBAL Pgina 13 de 106

2.7.

Fortiview

FortiView es una consola incluida en el propio interface grfico de


FortiGate, que no requiere licencia y que mejora la visibilidad de
las aplicaciones, amenazas, sitios web, etc. que se estn utilizando
en la red. La visualizacin se puede realizar en tiempo real o
basada en datos histricos.
Cada ventana de FortiView muestra inicialmente las 100 sesiones
top, aunque cuando se filtran los resultados, se pueden mostrar
ms sesiones. El filtrado se puede realizar por diferentes atributos,
estos atributos se pueden seleccionar desde un men localizado al
principio de cada widget, que muestra solo las opciones que
contienen informacin, por ejemplo, si las nicas aplicaciones
utilizadas son Dropbox, SSL y Skype, estas sern las nicas
opciones que aparecern en el men desplegable para filtrar por
aplicaciones.
A continuacin se indica la informacin disponible en los diferentes
widget de FortiView:
Orgenes
Este widget muestra informacin sobre los orgenes del
trfico que llega al Fortigate, incluyendo informacin del
usuario y del dispositivo. Se pueden aadir columnas
adicionales con informacin sobre sesiones, bytes enviados o
recibidos.
Adems se puede filtrar por IP de origen, dispositivo de
origen, interface de origen o destino e identificador de
poltica.

Aplicaciones
Para obtener informacin de Aplicaciones, es necesario que
al menos una poltica de seguridad tenga aplicado el control
de aplicaciones.
Este widget muestra informacin sobre las aplicaciones que
se estn utilizando en la red, incluyendo el nombre, categora
y nivel de riesgo de la misma. Se pueden aadir columnas
adicionales con informacin sobre sesiones y bytes enviados o
recibidos. Al mismo tiempo permite filtrar por aplicacin,
interface de origen o destino e identificador de poltica.

FORTINET - FAST, SECURE, GLOBAL Pgina 14 de 106

Aplicaciones Cloud
Este widget requiere al menos una poltica con la inspeccin
SSL adems del control de aplicaciones
Contiene informacin acerca de las aplicaciones en la nube
que se han usado en la red: nombre, categora, nivel de
riesgo, identificador de login y el nmero de videos
visualizados (si aplica). Si se deja el cursor sobre la columna
que muestra el nmero de videos, se podr ver el ttulo de los
mismos. Se pueden tambin aadir columnas adicionales con
las sesiones, bytes enviados o recibidos.
Existen dos posibles formas de ver las aplicaciones Cloud:
Aplicaciones y Usuarios. Aplicaciones muestra una lista de los
programas utilizados, mientras que Usuarios, muestra
informacin de usuarios individuales que utilizan aplicaciones
Cloud, incluyendo el nombre del usuario si el FortiGate ha
podido obtener esta informacin en el momento del login.
Tambin permite filtrar por aplicacin, interface de origen o
destino e identificador de poltica.

Destinos
Se muestra informacin sobre la IP de destino del trfico del
Fortigate, as como la aplicacin que se ha utilizado. Se
pueden aadir columnas adicionales con informacin sobre
sesiones y bytes enviados o recibidos. Al mismo tiempo
permite filtrar por aplicacin, interface de origeno destino e
identificador de poltica.

Sitios Web
Este widget requiere al menos una poltica con Web Filtering
habilitado. Muestra una lista de los sitios web ms visitados y
de los ms bloqueados. Se puede ver la informacin por
dominio o por categora, utilizando las opciones disponibles
en la esquina superior derecha. Cada categora puede ser
pulsada para ver una descripcin de la misma, as como sitios
web de ejemplo. Se han aadido iconos a los grupos de
categoras y se muestra adems informacin sobre el

FORTINET - FAST, SECURE, GLOBAL Pgina 15 de 106

dominio, el tiempo de uso, el nivel de amenaza, orgenes y


bytes enviados o recibidos.
Tambin permite filtrar por aplicacin, interface de origen o
destino e identificador de poltica.

Amenazas
Para que este widget pueda mostrar informacin, se debe
habilitar la opcin de tracking de amenazas.
Se muestra un listado de los usuarios top involucrados en
incidentes, as como informacin del top de amenazas en la
red. Se puede mostrar informacin adicional acerca de la
amenaza, la categora, el nivel de amenaza, el peso y el
nmero de incidentes detectados. Tambin puede ser filtrado
por interface de origen o destino, tipo de amenaza, amenaza
e identificador de la poltica.

Todas las sesiones


Muestra informacin relativa a todo el trfico del Fortigate.
Se pueden elegir las columnas a visualizar en la opcin
Column Settings y colocarlas en el orden deseado a travs
del men contextual que aparece al pulsar el botn derecho
del ratn.
Se puede filtrar por IP de origen o destino, aplicacin,
dispositivo de origen, interface de origen o destino e
identificador de poltica. En caso de haber aplicado un filtro
en algn widget anterior antes de visualizar el widget de
todas las sesiones, dicho filtro permanecer activo hasta que
se limpie de forma manual.

FORTINET - FAST, SECURE, GLOBAL Pgina 16 de 106

La informacin histrica que muestra FortiView se obtiene a partir


de los logs almacenados en el propio FortiGate, por este motivo los
dispositivos ms pequeos que constan nicamente de un disco
flash, en lugar de SSD, no podrn obtener informacin histrica.

2.8.

Routing

Los equipos FortiGate pueden trabajar con enrutamiento dinmico,


soportando RIP (v1 y v2), OSPF (IPv4 IPv6) y BGP v4 (mediante
BGP4+ soportado IPv6), as como con enrutamiento multicast (PIM
sparse/dense mode), adems de trabajar con enrutamiento esttico
(IPv4 IPv6) y ofrecer la posibilidad de realizar policy routing y
balanceo de lneas WAN, permitiendo incluso la utilizacin de
distinta lnea en funcin del trfico de las distintas aplicaciones.
2.8.1.

Enrutamiento Esttico Redundante

Para cada ruta esttica definida en el equipo es posible aadir


diferentes gateways. De este modo, cuando la puerta de enlace
definida como primaria no est disponible, el equipo FortiGate
encaminar los paquetes por el segundo gateway definido.
Para poder detectar la cada de cualquiera de los elementos que
componen el camino de salida definido con el gateway principal,
cada interfaz posee la funcionalidad llamada Ping Server que
permite monitorizar el estado de dicho camino mediante el envo de
paquetes ICMP contra cualquier nodo de ese camino.
Un ejemplo de configuracin seria este:
config system link-monitor
edit "link1"
set srcintf "wan1"
set server "8.8.8.8"
set gateway-ip 192.168.36.254
next
end
Adems se puede ver el estado de cada link monitor en Monitor ->
WAN Link Monitor

FORTINET - FAST, SECURE, GLOBAL Pgina 17 de 106

Si el equipo FortiGate no recibe respuesta al ping definido,


considera que dicho camino no est disponible y comienza a utilizar
el siguiente gateway definido.
De este modo se puede emplear la plataforma FortiGate para
configurar
mltiples
conexiones
a
Internet,
soportando
redundancia entre ellas mediante ECMP (Equal Cost Multi-path).
Se puede implementar ECMP en 3 modos distintos:

source-ip-based: Se balancea el trfico entre las distintas


rutas de salida ECMP en funcin de las direcciones IP origen.
weight-based: Se balancea el trfico entre las distintas rutas
de salida ECMP en funcin de los pesos establecidos en cada
ruta esttica de igual coste.
usage-based: Se balancea el trfico entre las distintas rutas
de salida en funcin del porcentaje de uso de un interfaz. Una
vez superado el porcentaje predefinido para un interfaz,
comenzarn a utilizarse la ruta de salida ligada a otro
interfaz.
2.8.2.

Policy Routing

Utilizando la funcionalidad de Policy Routing la plataforma


FortiGate ampla el abanico de posibilidades de enrutamiento,
permitiendo que el encaminamiento de los paquetes no se realice
nicamente en funcin de la red de destino, sino teniendo en
cuenta tambin los siguientes parmetros:

Interfaz Origen y red de origen


Protocolo, servicio o rango de puertos tanto de origen como
de destino y ToS.

FORTINET - FAST, SECURE, GLOBAL Pgina 18 de 106

Configuracin Policy routing

De este modo se podra, por ejemplo, hacer que el trfico http


(usando el puerto 80) fuese redirigido hacia un interfaz, mientras
que el resto del trfico es dirigido hacia otro, logrando de este
modo balancear la carga entre dos interfaces de conexin a
Internet, sin perder la redundancia de los mismos.
2.8.3.

Enrutamiento Dinmico

Los equipos FortiGate soportan enrutamiento dinmico mediante


los protocolos RIP (v1 y v2), OSPF y BGP, as como enrutamiento
Multicast, PIM en sus dos versiones Sparse Mode y Dense Mode,
de modo que se permite la integracin de las plataformas en
entornos de red ms complejos.

FORTINET - FAST, SECURE, GLOBAL Pgina 19 de 106

2.9.

Alta Disponibilidad

La capacidad de trabajar en clster de alta disponibilidad (HA) dota


a los equipos FortiGate de redundancia ante fallos. Adems el
clster puede configurarse en modo activo-activo haciendo
balanceo de carga del trfico, en modo activo/pasivo en la que un
nico equipo procesa el trfico de la red y es monitorizado por los
dems para sustituirle en caso de cada, o en modo Virtual Cluster
(solo para 2 nodos), que permite establecer diferentes clusters
activo/pasivo a nivel de VDOM.
Todos los modelos de FortiGate pueden ser configurados en clster,
proporcionando escenarios de alta disponibilidad mediante la
utilizacin de varios equipos redundantes entre s, empleando un
protocolo especfico para la sincronizacin del clster (Fortigate
Cluster Protocol / FGCP)
FGCP est diseado para poder formar clster de hasta 32 equipos,
si bien es recomendable no utilizar ms de 4.

Cada miembro del clster debe ser del mismo modelo y revisin de
hardware as como tener instalada la misma versin del Sistema
Operativo FortiOS (firmware)
Otras caractersticas del HA en FortiGate:

Modo NAT y modo transparente


Protocolo FRUP (Fortinet Redundant UTM Protocol)
disponible en FortiGate 100D
Soporte de sincronizacin de la configuracin en modo
standalone (sincronizacion sin clster)
Soporte HA para autenticacin VPN SSL

HA Heartbeat
Los miembros del clster se comunican entre ellos a travs de un
protocolo propietario denominado HA Heartbeat. Este protocolo se
utiliza para:

Sincronizar la configuracin entre los equipos


Sincronizar la tabla de sesiones activas tanto de firewall
como de VPN
Informar a los otros miembros del clster del estado del
equipo y sus enlaces

FORTINET - FAST, SECURE, GLOBAL Pgina 20 de 106

Los interfaces empleados para el intercambio de informacin entre


los equipos del clster son definidos por el administrador del
equipo, si bien no existe la necesidad de que sean enlaces
dedicados a esta funcin y permiten que dichos enlaces sean
empleados para transmitir trfico de produccin, es recomendable
establecer interfaces dedicados siempre que sea posible.
Igualmente es recomendable que los interfaces empleados para la
transmisin de esta informacin sean configurados en modo
redundante, es decir, que el administrador defina varios enlaces
para realizar esta funcin, de modo que si alguno fallara la
informacin pasara a transmitirse de forma automtica por otro
enlace al que se le haya asignado esta tarea.
Dado que los equipos que forman parte del clster se intercambian
informacin sobre las sesiones Firewall y VPN activas, la cada de
un equipo o un enlace no afecta a estas sesiones, realizndose una
proteccin ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado
quiere monitorizar con objeto de determinar cundo debe
cambiarse el equipo que acta como activo en el cluster, en el
supuesto caso de una cada de alguno de los interfaces
monitorizados.
Modos Activo-Activo y Activo-Pasivo
Los equipos configurados en alta disponibilidad pueden trabajar en
modo activo-activo o en modo activo-pasivo. Ambos modos de
funcionamiento son soportados tanto en modo transparente como
en modo NAT (router).

FORTINET - FAST, SECURE, GLOBAL Pgina 21 de 106

Configuracin de Alta Disponibilidad

Un clster activo-pasivo consiste en un equipo FortiGate primario


que procesa todo el trfico y uno o ms equipos subordinados que
estn conectados a la red y al equipo primario, pero no procesan
trfico alguno. No obstante los nodos secundarios pueden tener
una copia de la tabla de sesiones si se habilita la opcin Enable
Session Pick-up
El modo activo-activo permite balancear la carga de trfico entre
las diferentes unidades que componen el clster. Cada FortiGate
procesa activamente las conexiones existentes y monitoriza el
estado de los otros nodos del clster. El nodo primario procesa el
trfico y redistribuye el trfico entre los diferentes equipos que
forman parte del clster.
Virtual Clustering
Cuando 2 equipos configurados en alta disponibilidad existen
diferentes Dominios Virtuales definidos, existe la posibilidad de
establecer un balanceo de carga entre los equipos que forman el
clster, configurndolos en modo activo-pasivo pero estableciendo
diferentes nodos activos para cada grupo de Dominios Virtuales o
VDOMs. De este modo, el trfico de un grupo de dominios
virtuales ser procesado por uno de los nodos, mientras que el otro
grupo de VDOMs enviar su trfico hacia el otro nodo,

FORTINET - FAST, SECURE, GLOBAL Pgina 22 de 106

establecindose de este modo un balanceo de carga en funcin del


dominio virtual.

CUSTOMER A
VDOM

CUSTOMER B
VDOM

CUSTOMER C
VDOM

CUSTOMER D
VDOM

CUSTOMER A
VDOM

CUSTOMER B
VDOM

CUSTOMER C
VDOM

CUSTOMER D
VDOM

Compartir solo la tabla de sesiones


Este modo de configuracin especial permite compartir la tabla de
sesiones entre dos equipos FortiGate sin necesidad de que estos
formen un clster entre s. Tambin es posible configurar este
modo de manera que los equipos FortiGate compartan un nico
fichero de configuracin, aportando al administrador la posibilidad
de realizar los cambios de forma centralizada, como si de un
clster se tratara, pero sin existir mecanismos de monitorizacin
entre los nodos, como si ocurre en un clster tradicional FGCP.
VRRP (Virtual Router Redundancy Protocol)
Es posible configurar el protocolo VRRP entre equipos FortiGate e
incluso entre equipos de otro fabricante y un dispositivo FortiGate.
Este protocolo solo trabaja a nivel de routing, por lo que no es
posible compartir la tabla de sesiones cuando se hace uso del
mismo.

2.10.

Optimizacin WAN

La optimizacin o aceleracin WAN posibilita la mejora y el


incremento de rendimiento y seguridad en comunicaciones a travs
de redes de rea extensa, como puede ser el caso de Internet o
MPLS. Esta funcin est disponible por VDOM (firewall virtual)
configurndose de manera independiente para cada uno de ellos, lo
que dota de mucha flexibilidad sobre todo en entornos con varias
localizaciones dispersas o servicios gestionados.
Los FortiGate que soportan esta funcionalidad son aquellos que
constan de almacenamiento interno.
La tecnologa de compresin utilizada es propietaria de Fortinet, no
compatible con aceleradores de terceros, pero s lo es con el cliente
Forticlient.
Las principales funcionalidades aportadas son la optimizacin de la
comunicacin, reduccin del ancho de banda consumido, gracias a

FORTINET - FAST, SECURE, GLOBAL Pgina 23 de 106

la optimizacin del protocolo de comunicacin utilizado, byte


caching, web caching y la posible securizacin de la comunicacin
cliente/servidor a travs de la red WAN gracias al establecimiento
de un tnel seguro. Con esto se reducen latencias, se incrementa el
rendimiento y se garantiza la privacidad en las transacciones.
Dicha tecnologa requerir el soporte en ambos extremos remotos
de la tecnologa de optimizacin. Es decir un sistema Fortigate (en
modo NAT/Route o Transparent) o Forticlient WAN Optimization.

Adems de ofrecer un alto grado de privacidad, gracias a la


tunelizacin segura, esta tecnologa est incluida en un sistema de
Firewall de reconocida reputacin, con lo que se dota de extrema
seguridad a las comunicaciones con sedes remotas o clientes
remotos, pudiendo aplicar reglas de Firewall necesarias para
cumplir la poltica corporativa.
Tcnica Web Caching
Se aceleran las transacciones con aplicaciones WEB, reduciendo la
carga de dichos servidores y el ancho de banda utilizado, as como
la percepcin de latencia por el usuario final.
Dicha tcnica se basa en hacer caching de determinados objetos
que intervienen usualmente en estas transacciones. Se guardan
contenidos como determinadas pginas HTML, imgenes,
respuestas de servlets y algunos objetos ms. Para guardar estos
objetos (caching) se utilizar el disco duro o mdulos opcionales
con disco (ASM o FSM) del equipo Fortigate.
Al hacer cach de este contenido hay menos peticiones que utilicen
el enlace WAN, adems los servidores que sirven estas peticiones
debern servir un nmero menor de transacciones gracias a la
tcnica de caching de Fortigate y adicionalmente, la latencia
percibida por los usuarios se ver drsticamente reducida, ya que
parte del contenido se sirve localmente.
Para hacer simplemente cach tradicional de trfico Web, no es
necesario otro sistema Fortigate en el otro extremo.
Optimizacin de Protocolos

FORTINET - FAST, SECURE, GLOBAL Pgina 24 de 106

Esta tcnica mejora el uso del ancho de banda y la eficiencia de la


comunicacin. Requiere el uso de dos dispositivos aceleradores e
interviene al encontrar en una regla de aceleracin uno de los
protocolos soportados como CIFS, FTP, HTTP o MAPI. Un ejemplo
tpico y de extendido uso es el protocolo CIFS, que durante su
establecimiento y mantenimiento de sesin utiliza gran nmero de
comunicaciones por lo que la comparticin de archivos a travs de
Internet suele ser bastante lenta. Gracias a la funcionalidad
Protocol Optimization provista, se reduce en gran medida el tiempo
de espera de este tipo de transacciones.
Byte caching
Consiste en fragmentar paquetes de datos en unidades ms
pequeas a las que se les aplica un hash nico. A posteriori, se
envan esos elementos hash al extremo remoto y este busca
coincidencias de los mismos y solicita los fragmentos de los que no
tiene hash. De este modo la transferencia de un fichero se ve
agilizada. Esta tcnica no es especfica de un protocolo, por
ejemplo un fichero X enviado va email puede ser acelerado a
posteriori en una descarga web si el fichero es el mismo X.
Aceleracin SSL
Gracias a los circuitos ASIC CP8/9 se acelera el cifrado/descifrado
de trafico SSL.
Tneles seguros entre WAN Peers
Empleando tneles SSL se puede garantizar la privacidad de las
comunicaciones dentro del tnel WAN.

Estadsticas de Aceleracin WAN

FORTINET - FAST, SECURE, GLOBAL Pgina 25 de 106

2.11.

Autenticacin de Usuarios

Las plataformas FortiGate soportan la autenticacin de usuarios en


diferentes funcionalidades, como son:
Autenticacin
a travs de polticas de Firewall. Cuando un
determinado trfico es identificado por una poltica definida en el
Firewall que tiene un objeto de tipo usuario o grupo en el campo
origen, el equipo decide si dicho trfico es permitido o no en
funcin del usuario del que se trate, de esta forma la granularidad
de las reglas puede llevarse a cabo en funcin del origen del trfico
o en funcin del grupo de usuarios que generen el trfico. Esta
autenticacin puede realizarse contra una base de datos local
creada en el propio equipo, o bien contra servidores externos
RADIUS, TACACS +, LDAP, Novel eDirectory o Active Directory,
pudiendo realizarse con estos 2 ltimos una autenticacin
transparente de los usuarios que pertenezcan al Directorio Activo
de Microsoft o de Novel eDirectory.
Autenticacin de usuarios VPN: Cuando un usuario intenta acceder
la red interna a travs del servicio de acceso remoto VPN provisto
por los equipos FortiGate, ya sea IPSec o SSL la tecnologa
empleada, el equipo solicita la autenticacin del usuario de forma
previa a establecer la conexin. Esta autenticacin se puede
realizar mediante una base de datos local, o bien mediante la
utilizacin de servidores externos (RADIUS, LDAP, AD, etc.).
FortiGate permite la utilizacin de un segundo factor de
autenticacin, ya sea a travs del envo de una password de un solo
uso por correo electrnico o mediante SMS, as como mediante la
utilizacin de FortiToken, un generador de contraseas de un solo
disponible en formato fsico o software para Smart Phone.
Fortinet dispone de un protocolo propietario denominado FSSO
(Fortinet Single Sign On) que interacta con el Servidor de
Directorio Activo o Novel eDirectory. El protocolo FSSO se basa en
la utilizacin de un agente ligero software que se instala en un
servidor miembro del Directorio Activo y que desde ese momento
establece un dilogo con el equipo FortiGate. Tambin es posible
mediante polling desde el equipo FortiGate, realizar consultas a los
servidores del directorio, de modo que no se requiera la instalacin
del agente ligero.
El modo de funcionamiento de FSSO consiste en que cada vez que
un usuario se valida en el servidor AD, el agente informa al equipo
FortiGate de qu usuario se ha validado, a qu grupo pertenece y
qu direccin IP le ha sido asignada. En caso de haberlo
configurado con polling desde el propio FortiGate, este extrae
dicha informacin del log de eventos del Controlador/es de Dominio

FORTINET - FAST, SECURE, GLOBAL Pgina 26 de 106

(DC) del Directorio Activo. A partir de ese momento, cada vez que
el usuario realice alguna operacin que implique validacin por
parte del Firewall contra el Directorio Activo, como puede ser el
acceso a Internet, la validacin se realiza de forma transparente
gracias a la informacin que se han intercambiado el servidor AD y
el equipo FortiGate.

Otras funcionalidades
usuarios son:

relacionadas

con

la

identificacin

de

Acceso basado en SSO usando 802.1x, portal cautivo y


FortiClient VPN
Agente SSO para Citrix y Microsoft Terminal Services
RSSO: SSO basado en Radius (Perfiles dinmicos)
Soporte para servidores secundarios/backup de autenticacin
remota
Pooling FSSO directamente desde el FortiGate
Soporte de perfiles dinmicos para Proxy SSH
Provisin de acceso a usuarios invitados
Importacin segura de semillas OTP
Activacin y gestin de soft Token (FortiToken Mobile para
Android e IOS)
API Json para soporte de Token
Monitorizacin de servidor Microsoft Exchange para FSSO

2.12.

Firewall

Los equipos FortiGate poseen la funcionalidad de firewall basada


en tecnologa Stateful Inspection Packet. Esto le permite hacer un
anlisis exhaustivo de la cabecera de cada paquete, identificando la
sesin a la que pertenece, chequeando el correcto orden de los
paquetes y realizando control sobre el trfico de la red.
Las polticas del firewall controlan todo el trfico que atraviesa el
equipo FortiGate. Cada vez que el Firewall recibe un nuevo
paquete, analiza la cabecera de este para conocer las direcciones
origen y destino, el servicio al que corresponde ese paquete, y
determina si se trata de una nueva sesin o bien pertenece a una
sesin ya establecida y llega en el orden correcto.

FORTINET - FAST, SECURE, GLOBAL Pgina 27 de 106

Este anlisis de la cabecera es acelerado mediante el Circuito


Integrado de Aplicacin Especfica FortiASIC, lo que permite a las
plataformas FortiGate alcanzar un rendimiento mayor y un nmero
de nuevas sesiones por segundo superior al de cualquier solucin
basada en la utilizacin de una CPU de propsito general.
Las polticas de seguridad son definidas en el firewall en base a los
interfaces origen y destino.

Este modo de definicin de las polticas permite optimizar el


rendimiento y el procesamiento de cada uno de los flujos, ya que
para cada uno de los paquetes es identificado su origen y su
destino y enviado entonces al mdulo de routing. Esta organizacin
permite que el paquete sea tan solo comparado contra las reglas
definidas entre esos interfaces, comenzando por la superior de
todas y descendiendo hasta encontrar aquella con que coincida en
funcin de los diferentes parmetros configurables para cada
poltica (par origen/destino, usuario, servicio, calendario, etc.). Si
no se encontrara ninguna regla que coincidiera con el paquete
analizado, ste sera descartado. Al tener que comparar contra un
grupo menor que el total de las reglas definidas, el tiempo
requerido disminuye, lo que agregado a la utilizacin de la
tecnologa FortiASIC confiere a los equipos FortiGate un
rendimiento inigualable como firewall, llegando hasta 1 Terabps en
un chasis de la serie 5000.

FORTINET - FAST, SECURE, GLOBAL Pgina 28 de 106

Si se desea, es posible definir los interfaces de entrada y salida de


trfico como Any para as poder inspeccionar un flujo de trfico
concreto independientemente de cuales sean sus interfaces de
entrada o salida.

As mismo es posible establecer reglas definiendo ms de un


interface de entrada y/o salida:

2.12.1.

Definicin de Polticas

Las polticas del firewall se definen en base a los siguientes


criterios:

Interfaces de entrada y salida del flujo. Puede referirse tanto


a Interfaces fsicos del equipo como a interfaces lgicos
definidos como VLAN Interface, siguiendo el estndar 802.1Q
para marcado de tramas de cada VLAN. En caso de que se

FORTINET - FAST, SECURE, GLOBAL Pgina 29 de 106

requieran interfaces agregados (LACP/802.3ad*), es posible


que ms de un interfaz fsico pueda comportarse como uno
nico, o pueden establecerse como Any para que se utilice
cualquier interfaz de entrada o salida, as como seleccionar
ms de un interface como origen o destino del trfico.
Igualmente si es necesario implementar Proxy Explcito en el
equipo, este tambin puede ser seleccionado como interfaz
para aplicar los perfiles de proteccin necesarios. Los
interfaces virtuales para definir VPN IPSEC o SSL, tambin
se podrn seleccionar como entrada o salida del trfico. Por
ltimo la interfaz virtual wan-load-balance que se crea
cuando habilitamos la funcionalidad de balanceo de lneas, es
otra interfaz que se puede utilizar como destino del trfico.
* Nota: Consultar la matriz de caractersticas de FortiOS 5.4
para identificar los modelos de FortiGate que soportan esta
funcionalidad.

Programacin: A cada poltica se le puede definir un horario


tanto nico como recursivo, que permite acotar la aplicacin
de la regla a un espacio temporal determinado en funcin de
la hora, el da de la semana, mes o ao. Tambin es posible
establecer una programacin con fecha de caducidad, de
modo que la poltica se procesar solo hasta la fecha/hora
especificada.

Direcciones o grupos de direcciones IP origen y destino y


usuarios o grupos de usuarios. En concreto en el campo de
origen se puede especificar, aparte de IPs o grupos de IPs,
tambin usuarios y/o grupos de usuarios para proporcionar
autenticacin a la regla.

Tipo de dispositivo de origen. Para poder utilizar esta opcin


en la regla es necesario tener habilitada la deteccin de
dispositivos en la interfaz de origen.

Protocolo, servicio o puertos TCP/UDP

La poltica define la accin a tomar con aquellos paquetes


que cumplan los criterios definidos. Entre las acciones a
realizar estn:
o Permitir la conexin
o Denegar la conexin

Realizar traduccin de direcciones (NAT). Permitiendo


realizar una traduccin esttica de direcciones, o bien utilizar
grupos de direcciones con objeto de realizar NAT dinmico, y
as mismo definir traducciones de puertos (PAT).

FORTINET - FAST, SECURE, GLOBAL Pgina 30 de 106

Aplicar reglas de gestin de ancho de banda (Traffic


Shaping). Este ancho de banda puede ser especificado para
toda la poltica, para cada IP, para todas las polticas del
firewall que utilicen un mismo perfil de Traffic Shapping. Es
posible tambin utilizar Traffic Shaping en un sensor de
aplicaciones, de forma que se establezcan lmites de caudal al
utilizar una determinada aplicacin.

Analizar el trfico mediante perfiles adicionales de seguridad,


como Antimalware, AntiSpam, Deteccin/Prevencin de
Intrusiones, filtrado Web, DLP, funcionalidades WAF o Control
de Aplicaciones, mediante la definicin de un perfil de
proteccin

En cada poltica se puede habilitar el seguimiento de aquellas


conexiones que atraviesan el firewall de acuerdo a la poltica
definida, con objeto de poder hacer un registro de las
conexiones establecidas a travs del equipo.

La columna Contador que figura en las polticas de seguridad


permite conocer el nmero de veces que una poltica ha procesado
trfico, as como la cantidad de trfico acumulado que ha permitido
o denegado una poltica (incluida la poltica implcita final para
denegacin de todo el trfico no permitido en polticas anteriores).
Es posible establecer una poltica que descifre el trfico SSL y lo
enve a un dispositivo externo.
Tambin se puede aadir un nombre a cada poltica de seguridad,
al igual que un comentario, de forma que permita identificar mejor
para que se utiliza cada poltica. Por defecto ser necesario
establecer el nombre a la poltica, pero esto se puede modificar
desde el CLI con los siguientes comando:
config system settings
set gui-allow-unamed-policy [enable | disable]
end

Una nueva funcionalidad permite localizar polticas y rutas


establecidas en el dispositivo, de forma que se pueda consultar qu
ruta o poltica coincidir con un determinado trfico que se
especifique en la propia consulta, incluyendo:

Interface de origen
Protocolo: IP, TCP, UDP, SCP, ICMP
IP de origen o destino

FORTINET - FAST, SECURE, GLOBAL Pgina 31 de 106

Puerto origen o destino


Nmero de protocolo
Etc.
2.12.2.

Inspeccin SSL y SSH

Dentro del perfil de proteccin se podr aplicar la configuracin


necesaria para poder efectuar inspeccin dentro de protocolos
seguros basados en SSL, como HTTPS, SMTPS, POP3S, FTPS e
IMAPS.
De esta forma ser posible aplicar dentro de los tneles SSL que
atraviesen la plataforma inspeccin de contenidos, as como
inspeccin Antimalware, DLP o Control de aplicaciones. Adems
existe la posibilidad de definir las excepciones del descifrado
dentro del propio perfil, para evitar descifrar informacin

Configuracin de inspeccin SSL y SSH

FORTINET - FAST, SECURE, GLOBAL Pgina 32 de 106

Al mismo tiempo es posible inspeccionar el trfico en un tnel SSH.

Adems existe otro mtodo de inspeccin SSL que no implica la


rotura del tnel. Esto evita los inconvenientes derivados de esta
tcnica como por ejemplo los avisos de certificados invlidos en los
navegadores, problemas con HSTS, etc
Este mtodo es SSL Certificate inspection. nicamente inspecciona
el certificado para comprobar que es vlido y que ha sido emitido
por una entidad certificadora para el sitio web correspondiente. Se
configura marcando la opcin SSL Certificate inspection dentro
del perfil de inspeccin SSL:

FORTINET - FAST, SECURE, GLOBAL Pgina 33 de 106

2.12.3.
Balanceo de carga multiplexacin HTTP y
aceleracin SSL
Los dispositivos FortiGate permiten la configuracin de IPs
virtuales (VIPs) de manera que estas ofrecen balanceo de carga de
servidores, teniendo la capacidad de que las peticiones realizadas a
la IP virtual puedan ser atendidas por un grupo de servidores
habilitados para ese efecto. La distribucin del balanceo de carga
puede ser configurada a nivel de puertos TCP o UDP, con la
posibilidad de tener varios servicios desplegados en la misma IP y
atendidos por grupos de servidores distintos. Cada uno de los
servidores que componen grupo de balanceo, puede ser
monitorizado a nivel ICMP, TCP o HTTP de manera que ante el
fallo de un servidor, el servicio contina activo en el resto de
equipos, dotando a la plataforma de alta disponibilidad.

De la misma forma, es posible configurar la IP virtual para que


haga multiplexacin del trfico HTTP, de manera que varias
conexiones externas se traducen en una nica conexin entre el
FortiGate y el servidor, haciendo que este consuma menos recursos
al servir las peticiones entrantes.

FORTINET - FAST, SECURE, GLOBAL Pgina 34 de 106

Con la misma filosofa, los equipos FortiGate pueden realizar la


labor de aceleradores SSL para conexiones HTTPS. La conexin
HTTPS es terminada en el equipo FortiGate y este realiza la
peticin sin cifrar (o cifrada) al servidor correspondiente. De esta
manera se elimina la necesidad de cifrar la sesin en el propio
servidor, con lo que los recursos de este son optimizados para
llevar a cabo las tareas del servicio, dejando la cifrado y descifrado
del tnel SSL en manos del FortiGate.

Es tambin posible adems mantener la persistencia de una sesin


si es necesario (tanto en HTTP como en HTTPS).

FORTINET - FAST, SECURE, GLOBAL Pgina 35 de 106

2.12.4.

Calidad de Servicio (QoS)

Mediante la aplicacin de tcnicas de Calidad de Servicio la red


provee un servicio prioritario sobre el trfico ms sensible al
retardo. Los equipos FortiGate permiten aplicar tcnicas de
priorizacin de trfico y Calidad de Servicio (QoS), reservar ancho
de banda para aquellas aplicaciones que sean ms sensibles al
retardo, o bien limitar el ancho de banda de aquellas aplicaciones
que hagan un uso intensivo de los recursos de la red.
La Calidad de Servicio es una funcionalidad fundamental para
poder gestionar el trfico generado por la transmisin de voz y las
aplicaciones multimedia. Estos tipos de trfico son enormemente
sensibles al retardo y a la variacin del mismo (jitter). Una
adecuada gestin de la calidad de servicio nos permitir la
utilizacin de estas aplicaciones sin recurrir a una ampliacin
innecesaria del ancho de banda de la red, reservando el ancho de
banda necesario y priorizando este tipo de trfico ante otros menos
sensibles al retardo como pueda ser el correo o el trfico ftp.
Los equipos FortiGate proveen calidad de servicio para todos los
servicios soportados, incluyendo H.323, SIP, TCP, UDP, ICMP o ESP.
La Calidad de Servicio es implementada en las plataformas
FortiGate del siguiente modo:
La gestin de ancho de banda se realiza mediante la utilizacin de
buffers que permiten regular los diferentes flujos de trfico en base
a la velocidad de transmisin de los paquetes. Lo que se consigue
de este modo es evitar que los paquetes sean descartados,
haciendo que se almacenen en el buffer hasta su transmisin,
retrasando su envo hasta que sea posible. Los equipos FortiGate
usan la tcnica Token Bucket para garantizar y limitar el ancho de
banda.
La bufferizacin se realiza en funcin de la prioridad asignada a
cada flujo, pudiendo variar entre prioridad alta, media o baja. Si el
ancho de banda no es suficiente para el envo de todos los paquetes
almacenados, se transmiten en primer lugar los de prioridad alta.
La tecnologa DiffServ permite modificar los parmetros DSCP,
siguiendo las normas RFC 2474 y 2475. As, aquellos componentes
de la red compatibles con DiffServ, son capaces de interpretar la
prioridad de los paquetes transmitidos inspeccionando las
cabeceras de los paquetes y clasificando, marcando, y gestionando
el trfico en base a esta informacin.
Calidad de Servicio Basada en Polticas

FORTINET - FAST, SECURE, GLOBAL Pgina 36 de 106

Los equipos FortiGate aplican la calidad de servicio de manera


diferenciada en cada una de las polticas definidas en el firewall a
travs de perfiles previamente definidos. Una vez que el flujo de
trfico ha sido identificado por alguna de las polticas existentes,
los parmetros QoS definidos en dicha poltica se aplican sobre ese
flujo particular de trfico.

Configuracin de parmetros QOS

Gestin del Ancho de Banda (Traffic Shaping) a nivel de


polticas
Los parmetros de configuracin del ancho de banda nos permiten
definir un ancho de banda mnimo o un lmite mximo para el
trfico identificado con esa poltica. El ancho de banda definido no
puede superar el ancho de banda total disponible, pero puede ser
empleado para mejorar la calidad del uso de este ancho de banda
por aquellas aplicaciones que hagan un uso intensivo del mismo, o
bien aquellas aplicaciones sensibles al retardo.
Gestin del Ancho de Banda (Traffic Shaping) por direccin
IP
As mismo, tambin es posible establecer traffic shaping por IP, de
forma que sea aplicado por cada direccin IP, en lugar de por
poltica.

FORTINET - FAST, SECURE, GLOBAL Pgina 37 de 106

Soporte DiffServ en GUI


La funcionalidad DiffServ puede ser configurada en el equipo
FortiGate con objeto de modificar los valores DSCP (Differentiated
Services Code Point) para todos los paquetes a los que se aplica
una poltica en particular. Hasta la versin 5.4.0 la nica forma de
configurar DSCP era por CLI. Ahora es posible configurarlo
tambin en GUI.
Gestin del Ancho de Banda (Traffic Shaping) a nivel de
Interfaces
Igual que a nivel de polticas, los dispositivos FortiGate permiten la
gestin de ancho de banda a nivel de interfaz, permitiendo definir
un ancho de banda mximo asociado a una interfaz especfica, de
esta forma se consigue limitar el trfico entrante a una interfaz
determinada pudiendo hacer control del ancho de banda disponible
por interfaz. Esta tcnica aplica tanto a interfaces fsicas como a
interfaces lgicas, tipo VLAN o VPN.
Esta caracterstica ha de ser configurada nicamente va CLI (no
disponible en GUI):
(internal) # set inbandwidth
bandwidth-limit <integer> in KB/s (0-2097000; 0 for unlimited)
2.12.5.

Soporte VoIP

Los equipos FortiGate incorporan soporte para los protocolos ms


demandados de VoIP (H323, SIP, SCCP) aplicando sobre estos los
mayores controles de seguridad y reporting a travs de los perfiles
de proteccin. Entre las funcionalidades soportadas cabe destacar.

Application layer gateway para SIP basado en SCTP y TCP


Compresin/descompresin de cabeceras SIP

FORTINET - FAST, SECURE, GLOBAL Pgina 38 de 106

Mantenimiento de la informacin IP original incluso cuando


est presente NAT
Conversin entre SIP basado en TCP y SIP basado en SCTP y
viceversa
Limitacin del nmero de mensajes SIP
Log de comienzo y fin de llamadas

2.13.

Redes Privadas Virtuales (VPN)

Los equipos FortiGate soportan el establecimiento de Redes


Privadas Virtuales basadas en protocolos IPSec y SSL, adems de
PPTP, L2TP over IPSEC (Microsoft VPN) y GRE over IPSEC (Cisco
VPN). De esta forma, oficinas pequeas, medias, corporaciones e
ISPs pueden establecer comunicaciones privadas sobre redes
pblicas garantizando la confidencialidad e integridad de los datos
trasmitidos por Internet.
La funcionalidad VPN est integrada en la propia plataforma
FortiGate sin necesidad de licencia, as como tambin se puede
utilizar mediante la instalacin de la suite de aplicaciones
Forticlient Endpoint Security, que permite el establecimiento de
VPNs desde un equipo cliente. Tambin es posible integrarlo a
travs de software VPN de terceros (solo para IPSEC). El trfico
VPN puede ser analizado por el mdulo de Firewall as como por
mltiples funcionalidades UTM que ofrece FortiGate: antimalware,
IPS, web filtering, antispam, etc.
Adems, los equipos FortiGate soportan VPNs con IPv6, con o sin
certificados, ya sean site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o
IPv6 sobre IPv4.
2.13.1.

Internet Protocol Security (IPSec)

IPSec establece un marco de trabajo para el intercambio seguro de


paquetes a nivel de la capa 3 OSI, o capa IP. Las unidades
FortiGate implementan el protocolo Encapsulated Security Payload

FORTINET - FAST, SECURE, GLOBAL Pgina 39 de 106

(ESP) en modo tnel. Los paquetes cifrados aparecen como


paquetes ordinarios que pueden ser enrutados a travs de
cualquier red IP.
Para el establecimiento de redes privadas virtuales basadas en
IPSec, FortiGate cumple el estndar IPSec y soporta:

Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256


Algoritmos de hashing o digest: MD5, SHA1, SHA256,
SHA384, SHA512
NAT Transversal
DH Group 1, 2, 5 y 14
DPD (Dead Peer Deteccin, deteccin de cada del nodo
remoto)
Replay Detection (Deteccin de ataques de respuesta)
PFS (Perfect Forward Secrecy, obliga a generar nuevas claves
independientes de las anteriores, lo cual aumenta la
seguridad)
Autenticacin
basada en pre-shared key con usuarios
definidos en una base de datos local o en un servidor externo
(LDAP, RADIUS, Directorio Activo), certificados X.509,
autenticacin extendida XAuth
Interoperabilidad con otros fabricantes IPSec Compliant
(Cisco, Checkpoint, etc.)
Alta disponibilidad de enlaces VPN desde un nico equipo

La utilizacin de IPSec para realizar VPN es habitual en diversas


tipologas de red. Los equipos FortiGate soportan las siguientes
topologas de red:
Gateway-to-Gateway.
Dos equipos FortiGate crean un tnel VPN entre dos redes
separadas. Todo el trfico entre las dos redes es cifrado y protegido
por las polticas de firewall y perfiles de proteccin de FortiGate.

FORTINET - FAST, SECURE, GLOBAL Pgina 40 de 106

Fully Meshed Network


Todos los equipos que forman la red corporativa estn conectados
con el resto, configurando una malla. Esta topologa presenta la
ventaja de su alta tolerancia a fallos (si un nodo cae el resto no se
ven afectados), si bien tiene como inconveniente su dificultad de
escalado y gestin.

Partially Meshed Network


Se establecen tneles entre aquellos nodos que regularmente
mantienen comunicacin.
Hub and Spoke
Configuracin en la que existe un equipo central con el que los
equipos remotos establecen los tneles VPN, sin existir
comunicacin directa entre los equipos remotos.

Un caso particular de Hub and spoke es aquel en el que los equipos


remotos puedan requerir comunicacin entre s en algn momento
particular. Para solucionar esta situacin, existe la funcionalidad
ADVPN (Auto Discovery VPN), la cual permite establecer tneles de

FORTINET - FAST, SECURE, GLOBAL Pgina 41 de 106

forma dinmica entre los equipos remotos sin necesidad de


configurar manualmente todos los enlaces.

Adems de los escenarios mostrados anteriormente, los equipos


FortiGate pueden ser configurados para actuar como servidores de
acceso remoto (Dialup Server). Para el acceso remoto mediante
IPSec, Fortinet proporciona un cliente IPSec Software para
plataformas MS Windows, Mac OSX y Android: FortiClient.
Aparte de ser un cliente VPN IPSec (Windows, Mac OSX &
Android) y VPN SSL (Windows, Mac OSX, IOS & Android),
FortiClient incorpora capacidad de deteccin de intrusin
(Windows & Mac), filtrado web (Windows, Mac & IOS),
antimalware (Windows & Mac), control de aplicaciones (Windows
& Mac), doble factor de autenticacin (Windows, Mac & Android),
escaneo de vulnerabilidades (Windows & Mac) y optimizacin wan
(Windows).
Adems, FortiClient se puede registrar en FortiGate como parte de
la funcionalidad de Endpoint Control. Esta funcionalidad permite
gestionar y controlar la seguridad de aquellos usuarios que tengan
instalado el FortiClient en sus dispositivos y se hayan registrado
contra un FortiGate para as poder establecer una gestin
centralizada de estos equipos, centralizar los logs contra un
FortiAnalyzer, centralizar la gestin, provisionarlos con la
configuracin deseada por el administrador, forzarles a usar una
cierta poltica de seguridad (ya sea online u offline, o sea, en una
red accesible por el controlador FortiGate o fuera de ella),
gestionar su acceso a la red a travs del Directorio Activo (FSSO),
personalizarles la interfaz grfica GUIetc.

FORTINET - FAST, SECURE, GLOBAL Pgina 42 de 106

Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso


de esta funcionalidad los equipos dotados de IP dinmica pueden
ser asignados a un nombre DNS. Cada vez que se conecte a
Internet, el ISP le asignar una IP diferente y los dems equipos de
la VPN le localizarn mediante la resolucin de su nombre DNS.
2.13.2.

Point-to-Point Tunneling Protocol (PPTP)

Este protocolo habilita la interoperabilidad entre las unidades


FortiGate y los clientes PPTP Windows o Linux. PPTP utiliza
protocolos de autenticacin PPP; de este modo clientes Windows o
Linux PPTP pueden establecer un tnel PPTP contra un equipo
FortiGate que ha sido configurado para trabajar como un servidor
PPTP. Como alternativa, el equipo FortiGate puede ser configurado
para reencaminar paquetes PPTP a un servidor PPTP en la red.
Para la autenticacin de los clientes, FortiGate soporta PAP, CHAP
y autenticacin de texto plano. Los clientes PPTP son autenticados
como miembros de un grupo de usuarios. El protocolo PPTP ofrece
un grado menor de seguridad que IPSec, ya que el canal de control
de mensajes PPTP no es autenticado y su integridad no est
protegida. Adems, los paquetes encapsulados PPP no son
criptogrficamente protegidos y pueden ser ledos o modificados.
(Configurable desde lnea de comandos o CLI de Fortigate).

FORTINET - FAST, SECURE, GLOBAL Pgina 43 de 106

2.13.3.

L2TP over IPSEC (Microsoft VPN)

El protocolo L2TP sobre IPSEC permite el establecimiento de


tneles VPN entre equipos Microsoft Windows y Mac OS (a partir
de la versin 10.3) mediante la utilizacin de un software
propietario de conexin de red embebido en estos sistemas
operativos.
El protocolo L2TP no proporciona cifrado o confidencialidad por s
mismo, para lo cual se apoya en el protocolo IPSEC, a travs del
cual securiza la comunicacin. Esta securizacin comienza con la
autenticacin de los extremos mediante el establecimiento de una
SA negociada entre los dos extremos, sobre el protocolo IKE, ya sea
con pre-shared keys o usando certificados. A continuacin
establece el canal seguro mediante ESP en modo de transporte.
Finalmente se utiliza este canal seguro para establecer el tnel
L2TP entre los dos extremos, encapsulando esta comunicacin
sobre el canal IPSec cifrado.
(Configurable desde lnea de comandos o CLI de Fortigate).
2.13.4.

GRE over IPSEC (Cisco VPN)

Este mtodo permite habilitar las conexiones VPN desde


dispositivos Cisco que soportan GRE (Generic Routing
Encapsulation), ya sea sobre IPSec en modo tnel o en modo
transporte. De nuevo el protocolo IPSec se utiliza para cifrar los
datos que se intercambian dentro de un tnel GRE, proporcionando
adems de cifrado la autenticacin de ambos extremos de la
comunicacin.

Esto se logra estableciendo un tnel GRE sobre una VPN IPSec y


permitiendo el trfico bidireccional entre ambos tneles. De esta
manera se puede enviar el trfico hacia la red remota de manera

FORTINET - FAST, SECURE, GLOBAL Pgina 44 de 106

segura sobre el tnel GRE over IPSec. (Configurable desde lnea de


comandos o CLI de Fortigate).
2.13.5.
Wizard
Gracias al Wizard es posible configurar las VPNs IPSec de forma
ms rpida y sencilla. El propio wizard crea las interfaces virtuales,
rutas, polticas, fase 1 y fase 2 necesarias para que funcione la
VPN.
Dado que pueden existir multiples variantes en una VPN IPSec, las
ms importantes se han recogido en el men del Wizard. Las
opciones contempladas son: Site to site o acceso remoto, si es site
to site, el dispositivo remoto puede ser FortiGate o Cisco. Si es
acceso remoto, se puede utilizar un cliente pesado FortiClient o
clientes nativos de Android o iOS:

2.13.6.

VPN SSL

Las Soluciones VPN SSL aportan un sistema de acceso remoto


seguro a nuestra red que, garantizando en todo momento la
confidencialidad e integridad de la informacin, constituye un
sistema con una implantacin, administracin y mantenimiento
simplificado. Dado que las VPN SSL usan cifrado SSL, no es
necesaria la instalacin de ningn software especfico en los
ordenadores remotos, sino que resulta accesible desde cualquier
navegador, lo que supone un gran avance frente a las tradicionales
VPN basadas en IPSec, en lo que a sistemas de acceso de usuario
se refiere. De este modo, se ofrece un mtodo de acceso a los
sistemas de informacin de cualquier organizacin que no requiere
de la implantacin de ninguna aplicacin especfica en los
ordenadores remotos con lo que se permite un acceso controlado a
los recursos, con total garanta de seguridad.

FORTINET - FAST, SECURE, GLOBAL Pgina 45 de 106

Todas las plataformas FortiGate incorporan la posibilidad de ser


utilizadas como servidor de tneles SSL, con una configuracin
sencilla que permite la autenticacin
de usuarios mediante
sistemas de autenticacin robusta y la personalizacin del servicio
de acceso remoto.
Adicionalmente se cuentan con caractersticas habituales en este
tipo de solucin, como posibilidad de establecer conexiones
mediante clientes pesados (descargando un ActiveX) o personalizar
al completo el portal de acceso SSL que se les presenta a los
usuarios, los cuales pueden ser locales o remotos. Adems, permite
la descarga directa del FortiClient para equipos Windows, MacOSX,
iOS y Android, de manera que pueda ser utilizado tanto para lanzar
las conexiones de manera securizada.
Las VPN SSL en FortiGate se pueden realizar en dos modos: Webonly mode y Tunnel mode.
Las caractersticas especficas son las siguientes:
Web-only mode
Para clientes ligeros que slo cuentan con el navegador para
conectarse, y
Protocolos soportados en modo Web-only: HTTP/HTTPS, FTP, RDP,
SMB/CIFS, VNC, SSH, TELNET, CITRIX, RDP NATIVE, PING y Port
Forward.

FORTINET - FAST, SECURE, GLOBAL Pgina 46 de 106

Tunnel mode
Para aquellos usuarios que necesiten conectarse con el navegador y
utilizar una serie de aplicaciones adicionales (cliente pesado).

2.14.

AntiMalware

FORTINET - FAST, SECURE, GLOBAL Pgina 47 de 106

FortiGate incorpora un sistema antimalware de alto rendimiento


gracias a su optimizada arquitectura y configuracin. Los
componentes principales del sistema antimalware de FortiGate son:

La arquitectura hardware basada en FortiASIC


Su optimizado sistema operativo FortiOS
La infraestructura, los laboratorios y centros de desarrollo
distribuidos a lo largo de todo el mundo mediante la red
FortiGuard.

Si el sistema FortiGate detecta la existencia de un archivo


infectado en una transmisin, el archivo es eliminado o guardado
en cuarentena, y es sustituido por un mensaje de alerta
configurable por el administrador. Adems, el equipo FortiGate
guarda un registro del ataque detectado, y puede configurarse el
envo de un correo de alerta o un trap SNMP.
Para una proteccin extra, el motor antimalware es capaz de
bloquear ficheros de un tipo especfico (.bat, .exe, etc) que
potencialmente sean contenedores de virus, bloquear aquellos
archivos adjuntos de correo electrnico que sean de un tamao
superior al lmite de filtrado o bien bloquear ficheros con un
determinado patrn en el nombre. Adems es capaz de proteger
contra Grayware y aplicar proteccin heurstica.
El filtrado antimalware de FortiGate protege la navegacin web
(protocolo HTTP), la transferencia de archivos (protocolo FTP), los
contenidos transmitidos por correo electrnico (protocolos IMAP,
POP3, SMTP y MAPI), la mensajera instantnea o IM (ICQ, Yahoo y
MSN Messenger) e incluso los contenidos de noticias por NNTP,
siendo posible escanear estos protocolos en puertos diferentes a los
habitualmente empleados, e incluso en mltiples puertos.
Adicionalmente, mediante el escaneo de protocolos seguros, se
puede chequear si las conexiones cifradas estn libres de virus en
protocolos de correo seguro como SMTPS, IMAPS, POP3S, y de
navegacin y transferencia, como HTTPS y FTPS. Esto tambin es
posible en modo Flow.
Los equipos FortiGate analizan tambin las cabeceras MIME de los
correos con objeto de encontrar posibles virus transmitidos como
ficheros adjuntos con este formato.
Tanto en ficheros adjuntos de correo en FTP, FTPS, IM Y NNTP, el
motor de antimalware es capaz de deshacer hasta 100 niveles de
anidamiento en ficheros comprimidos de forma recurrente.
El servicio de proteccin antimalware provisto por FortiGate es
totalmente transparente a los usuarios. El denominado FortiGate
Content Screening permite que clientes y aplicaciones no

FORTINET - FAST, SECURE, GLOBAL Pgina 48 de 106

requieran ninguna modificacin especial en su configuracin, sin


necesidad de definir proxies en los clientes, etc. Este modo es
conocido tradicionalmente como modo Proxy.
En modo Proxy es posible escoger la base de datos de firmas de
virus a chequear dependiendo del modelo de Fortigate. Las
disponibles son:

Normal: contiene las firmas de los virus ms habituales que


actan en la actualidad.
Extended: suma a la base de datos normal aquellos virus
recientes, del ltimo ao, que tienen actualmente poca o
ninguna actividad.
Extreme: aade a la base de datos extended una amplia
coleccin de virus antiguos y con escasa o nula actividad
durante los ltimos aos, los cuales pueden comprometer
hardware o sistemas operativos antiguos o no usados en la
actualidad.

* Nota: La base de datos de virus se selecciona por CLI.


Como mecanismo adicional, es posible seleccionar el motor flowbased, el cual ofrece un rendimiento mucho mayor al utilizar una
tecnologa de inspeccin que va analizando el trfico a medida que
va pasando (tambin conocido como streaming) sin necesidad de
usar un buffer en el que guardar los sucesivos paquetes que
analiza, tal como hace el modo Proxy. Para ello, el modo Flow
utiliza el motor IPS para realizar este anlisis. Las ventajas del uso
de este motor son las siguientes:

Uso reducido de memoria


Mayor volumen de sesiones concurrentes
Mayor nmero de inicios de sesin por unidad de tiempo
Menor latencia
No se ve afectado por la longitud del fichero
A diferencia de algunos motores de la competencia, en
modo flow existe tambin la posibilidad de efectuar
anlisis en ficheros comprimidos

A estas ventajas, el modo Flow tambin aade la posibilidad de


realizar inspeccin de sesiones SSL, siendo completamente
compatible con IPv6.
El motor antimalware realiza los siguientes servicios:
Proteccin de virus
Servicio de bloqueo de ficheros
Servicio de cuarentena sobre correo electrnico
Proteccion contra Botnets y Phishing

FORTINET - FAST, SECURE, GLOBAL Pgina 49 de 106

FortiGuard Analitics (Sandbox en la nube, Anlisis de


amenazas Zero Day y Submission).

Para la deteccin de virus las plataformas FortiGate utilizan


diferentes mecanismos. El motor de escaneo de virus de FortiGate
est diseado para soportar una combinacin de estrategias para
detectar virus en archivos, como son escaneo de firmas o patrones
y el anlisis heurstico y de simulacin heurstica (dynamic
heuristic scanning).
El escaneo de firmas es el mtodo que mayor nmero de virus
detecta, y que, gracias a la aceleracin mediante FortiASIC, realiza
una utilizacin menos intensiva del equipo y obtiene mejor
rendimiento.
El mtodo de anlisis heurstico requiere
progresivamente ms capacidad de procesador con la simulacin
de ejecucin. El hardware dedicado de alto rendimiento basado en
FortiASIC asegura que la entrega de los contenidos se realice en
tiempo real para los usuarios.
Para reducir la demanda de procesos, el escaneo de virus siempre
comienza con la estrategia de antimalware que menos recursos
demanda antes de iniciar procesos de deteccin ms pesados. Tan
pronto como un virus es detectado, el anlisis se detiene.
Trabajando juntas, las estrategias de escaneo de virus proveen la
mejor proteccin disponible.
2.14.1.

Escaneo de Firmas (Signature Scaning)

El escaneo de firmas analiza las cadenas de bytes de los ficheros


que son conocidas para identificar virus. Si toda la cadena de bytes
se identifica con un virus en particular, el archivo se considera
infectado. Los sistemas antimalware basados en anlisis de firmas
constituyen el mtodo ms efectivo y ms utilizado en la deteccin
de virus.
El anlisis incluye tambin el escaneo de las macros existentes en
los archivos Microsoft Office en busca de cadenas conocidas de

FORTINET - FAST, SECURE, GLOBAL Pgina 50 de 106

virus macro. Los macros son tambin analizados en bsqueda de


comportamientos anmalos tales como importar y exportar cdigo,
escribir en el registro o intentos de deshabilitar caractersticas de
seguridad
Para realizar este anlisis de firmas existen dos elementos claves:

Una base de datos que contiene las firmas de virus


conocidos
Un motor de escaneo que compara los archivos analizados
con las firmas en la base de datos para detectar una
concordancia indicando la presencia de un virus.

El rendimiento es la clave para la detencin eficiente de virus que


cada vez son ms y ms complejos. La aceleracin del
reensamblado de los paquetes y la comparacin con las firmas
mediante FortiASIC es un componente clave que permite a
FortiGate la realizacin de este anlisis en tiempo real sin
introducir retardo sobre el normal funcionamiento de la red y las
aplicaciones.
A todo lo anterior hay que aadir la posibilidad de hacer offloading
de la configuracin del Antimalware enviando las peticiones de
proceso a un servidor ICAP previamente configurado, el cual se
encargara de dirimir de manera externa la existencia de virus,
enviando la respuesta al FortiGate para que este ejecute la accin
que tenga configurada en cada caso.
2.14.2.
Escaneo Heurstico
Los creadores de virus llevan a cabo una serie de pasos para
complicar ms la deteccin de los mismos. Ejemplos como el
cifrado de la pila de cdigo del virus o los llamados virus
polimrficos, los cuales se modifican ellos mismos sin levantar
sospechas en cada replicacin, complican cada vez ms la
deteccin de los virus y hace ineficaz en algunos casos la creacin
de firmas de reconocimiento del virus.
Con el fin de detectar estos virus, se realizan los denominados
anlisis heursticos que buscan comportamientos anmalos
conocidos, mediante la identificacin de secuencias de
operaciones que constituyen comportamientos propios de estos
tipos de virus. Mediante el anlisis heurstico de los contenidos se
llevan a cabo un nmero de cada una, de las cuales dan como
resultado una clasificacin apropiada. Las clasificaciones de estas
pruebas son combinadas para una clasificacin total. Si esta
clasificacin se sita sobre un cierto umbral, el mdulo heurstico
devuelve un resultado de virus encontrados.

FORTINET - FAST, SECURE, GLOBAL Pgina 51 de 106

2.14.3.
Escaneo basado en CPRL
Compact Pattern Recognition Language (CPRL) es un lenguaje de
programacin propietario y patentado enfocado a la proteccin
contra amenazas de tipo Zero Day, es decir, no basado en firmas
sino en comportamiento. Con unas pocas descripciones de
comportamientos maliciosos, el motor antimalware es capaz de
detectar mltiples tipos y variantes de amenazas y se optimiza de
este modo la utilizacin de recursos del equipo y la latencia
introducida.
El uso de CPRL es ms eficaz en uso de recursos que la heurstica y
produce menos falsos positivos. Adems, combinado con el mtodo
de deteccin de virus en modo flow, la eficiencia se multiplica en la
deteccin de amenazas de tipo Zero Day en archivos de gran
tamao o con tcnicas de evasin.
2.14.4.

Advanced Threat Protection (ATP)

La nueva proteccin contra amenazas avanzadas persistentes (APT)


o Advanced Threat Protection (ATP), incluye la proteccin contra
Botnets, Phising y amenazas de Zero Day usando la tecnologa de
Sandboxing.
Esta tecnologa se puede utilizar de dos maneras diferentes:
- Sandbox en la nube con FortiCloud
- SandBox on-premise con FortiSandbox que puede ser tanto
maquina fsica como virtual.
El primer paso es asociar el FortiGate con la solucin de
sandboxing elegida. Si la solucin es cloud, se configura el nombre
de usuario y contrasea de la cuenta de FortiCloud:

En caso de utilizar FortiCloud, la configuracin se realiza desde


System -> External Security Devices:

FORTINET - FAST, SECURE, GLOBAL Pgina 52 de 106

Con FortiSandbox, adems de poder detectar amenazas de tipo


Zero Day (desconocidas para los antimalware), se pueden
desplegar en tiempo real firmas para dichas amenazas. Estas
firmas se despliegan de dos formas, dependiendo de la naturaleza
de la amenaza. Para las amenazas localizadas en internet, como por
ejemplo exploits del navegador, se despliega un componente
llamado URL Package, que incluye la URL que contiene la
amenaza.
Si la amenaza es un archivo con un comportamiento malicioso, se
despliega un Malware Package que contiene una firma para dicho
archivo.
Estas firmas se envan a todos los dispositivos autorizados en el
FortiSandbox o vinculados a la cuenta de FortiCloud y se aplican si
se ha marcado la opcin correspondiente en el perfil de
Antimalware.

Las estadsticas de uso de FortiSandbox se pueden ver desde


FortiView:

FORTINET - FAST, SECURE, GLOBAL Pgina 53 de 106

2.14.5.
Actualizacin de la Base de Firmas y Motor
de Escaneo
Las actualizaciones del antimalware contienen la base del
conocimiento de virus y el motor de escaneo, los cuales son
continuamente actualizados por Fortinet y distribuidos mediante la
red FortiGuard tan pronto como nuevos virus y gusanos son
encontrados y difundidos.

Actualizacin de las definiciones de virus y motor de escaneo

Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la
red FortiGuard Distribution Network (FDN). Los servidores FDN se
encuentran distribuidos a lo largo de todo el mundo con
disponibilidad 24x7 para entregar nuevas firmas y motores para los
dispositivos FortiGate. Todos los equipos FortiGate estn
programados con una lista de servidores FDN ms cercanos de

FORTINET - FAST, SECURE, GLOBAL Pgina 54 de 106

acuerdo a la zona horaria configurada en el equipo. Asimismo, las


plataformas de gestin FortiManager pueden actuar como un nodo
de la red FDN para los equipos que gestiona. Los dispositivos
FortiGate soportan dos modos de actualizacin:
Pull updates. Los equipos pueden comprobar automticamente si
existen en la red FDN nuevas definiciones de virus disponibles y, si
encuentran
nuevas
versiones,
descargarlas
e
instalarlas
automticamente, as como los motores de antimalware
actualizados. Estas comprobaciones pueden ser programadas para
su realizacin en periodos horarios, diarios o semanales.
Push updates. Cada vez que un nuevo motor de antimalware o
definiciones son publicadas, los servidores que forman parte de la
red FDN notifican a todos los equipos FortiGate configurados para
push updates que una nueva actualizacin est disponible. En 60
segundos desde la recepcin de una notificacin push, el equipo
FortiGate se descargar la actualizacin desde la FDN.
Actualizaciones Manuales
Aparte de los mtodos de actualizaciones expuestos anteriormente,
los equipos FortiGate poseen la opcin de realizar actualizaciones
manuales. El administrador del equipo FortiGate puede iniciar la
actualizacin manual simplemente seleccionando la opcin Update
now desde la consola de gestin del equipo FortiGate.

2.14.6.
Activacin del Servicio mediante Perfiles de
Proteccin
Los servicios de proteccin Antimalware son habilitados mediante
los perfiles de proteccin aplicados posteriormente en las
diferentes polticas del firewall.
Dentro del perfil, por ejemplo, ser posible configurar opciones de
cuarentena NAC integradas, de forma que se haga cuarentena
durante un ataque de virus, al atacante o al objetivo, por un tiempo
concreto o ilimitado.

FORTINET - FAST, SECURE, GLOBAL Pgina 55 de 106

Configuracin Servicio Antimalware en el Perfil de Proteccin

De este modo, los servicios habilitados pueden variar dependiendo


de los flujos de trfico. Esta configuracin basada en polticas
provee un control granular de los servicios de proteccin y de la
utilizacin de los recursos de FortiGate.
2.14.7.
Mensajes
Infectados

de

Reemplazo

en

Ficheros

Los mensajes de reemplazo son incluidos por el filtro antimalware


en los lugares ocupados por ficheros o contenidos eliminados de
mensajes de correo, transmisiones http o ftp.
Estos mensajes de reemplazo que reciben los usuarios en
sustitucin de los ficheros o contenidos infectados son totalmente
configurables por el administrador del sistema.

FORTINET - FAST, SECURE, GLOBAL Pgina 56 de 106

Configuracin de los Mensajes de Reemplazo

2.15.

Deteccin y Prevencin de Intrusin (IDS/IPS)

El Sistema de Deteccin y Proteccin de Intrusin de FortiGate


constituye un sensor de red en tiempo real que utiliza definiciones
de firmas de ataques y deteccin de comportamientos anmalos
para detectar y prevenir trfico sospechoso y ataques de red.
El motor IDS provee seguridad hasta la capa de aplicacin, sin
mermar por ello el rendimiento de la red. La capacidad de IDS de
los equipos FortiGate se basa en el mdulo de routing, el mdulo de
firewall y la capa de aplicacin. De esta forma el sistema de
deteccin de intrusiones no se limita nicamente a la deteccin de
ataques de nivel de red ni tampoco al anlisis individual de cada
paquete. FortiGate reensambla el contenido de los paquetes en
lnea y los procesa para identificar ataques hasta el nivel de
aplicacin.

FORTINET - FAST, SECURE, GLOBAL Pgina 57 de 106

Cada sensor (Red, IP, Transporte, Aplicacin) es un programa que


genera un trfico nfimo. El sensor utiliza el hardware FortiASIC
para acelerar la inspeccin del trfico y chequear patrones de
trfico que concuerden con las firmas y anomalas especificadas. La
arquitectura hardware asistida de deteccin de intrusin provee a
los equipos FortiGate de rendimientos excepcionales nicos en el
mercado.
La funcionalidad IPS de FortiGate detecta y previene los siguientes
tipos de ataques:

Ataques de Denegacin de Servicio (DoS)


Ataques de Reconocimiento
Exploits
Ataques de Evasin de Sondas IDS
Botnets

Ataques de denegacin de servicio (DoS Attacks):


Intentan denegar el acceso a servicios u ordenadores mediante la
sobrecarga del enlace de red, de la CPU u ocupacin de discos
duros. El atacante no intenta conseguir informacin, sino interferir
los accesos a los recursos de red. El IPS FortiGate detecta los
siguientes ataques de DoS comunes:
Inundacin de paquetes, incluyendo Smurf flood, TCP SYN flood,
UDP flood, y ICMP flood
Paquetes formados incorrectamente, incluyendo Ping of Death,
Chargen, Tear drop, land, y WinNuke
Ataques de Reconocimiento:
Son aquellos ataques a travs de los cuales el atacante intenta
conseguir informacin sobre un determinado sistema con objeto de

FORTINET - FAST, SECURE, GLOBAL Pgina 58 de 106

preparar un
especficas.

posterior

FortiGate IPS detecta


reconocimiento:

ataque

los

basado

siguientes

en

vulnerabilidades

ataques

comunes

de

Fingerprinting
Ping sweeps
Port scans (tanto TCP como UDP)
Buffer overflows, incluyendo SMTP, FTP y POP3
Account scans
OS identification (Identificacin del Sistema Operativo)

Exploits:
Intentos de aprovechar vulnerabilidades o bugs conocidos de
aplicaciones o sistemas operativos con el objeto de ganar acceso no
autorizado a equipos o redes completas.
El IPS de la plataforma FortiGate detecta mltiples exploits, como
por ejemplo:

Brute Force attack


CGI Scripts, incluyendo Phf, EWS, info2www, TextCounter,
GuestBook, Count.cgi, handler, webdist.cgi,php.cgi, files.pl,
nph-test-cgi, nph-publish, AnyForm, y FormMail
Web Server attacks
Web Browser attacks; URL, HTTP, HTML, JavaScript, Frames,
Java, y ActiveX
SMTP (SendMail) attack
IMAP/POP attack
Buffer overflow
DNS attacks, incluyendo BIND y Cache
IP spoofing
Trojan Horse attacks, incluyendo BackOrifice 2K, IniKiller,
Netbus, NetSpy, Priority, Ripper, Striker, y SubSeven
Etc.

Ataques de Evasin de NIDS:


Consisten en tcnicas para evadir sistemas de deteccin de
intrusiones. El IPS de la plataforma FortiGate detecta las siguientes
tcnicas de evasin de NIDS:

FORTINET - FAST, SECURE, GLOBAL Pgina 59 de 106

Signature spoofing
Signature encoding
IP fragmentation
TCP/UDP disassembly
Obfuscation

BotNets:
Hacen referencia a un grupo de equipos informticos o bots los
cuales se ejecutan de una manera remota y autnoma. Dichos bots
pueden ejecutarse y controlarse de manera remota para controlar
todos los ordenadores/servidores de manera remota. En numerosas
ocasiones estos bots son usados para realizar ataques de DDoS o
usados para enviar spam
2.15.1.

Mtodos de Deteccin

Las estrategias mediante las que las que la plataforma FortiGate es


capaz de realizar las tareas de deteccin y prevencin de intrusin
son dos: deteccin de firmas y seguimiento de comportamientos
anmalos.
Deteccin de Firmas
Las firmas de ataques se encuentran en el ncleo del mdulo de
deteccin de intrusiones FortiGate (ms de 7500 firmas
soportadas). Las firmas son los patrones de trfico que indican que
un sistema puede estar bajo un ataque. Funcionalmente, las firmas
son similares a las definiciones de virus, con cada firma diseada
para detectar un tipo de ataque particular. Tanto las firmas
predefinidas como el motor IPS, son actualizables a travs de
FortiGuard Distribution Network (FDN), de un modo similar al que
se actualizan las definiciones de antimalware.

FORTINET - FAST, SECURE, GLOBAL Pgina 60 de 106

Algunas Firmas de Ataques detectados mediante IDS

Cada una de las firmas puede ser habilitada para su deteccin de


modo independiente.
Adems existe la posibilidad de definir firmas de ataques
personalizadas que pueden ser aadidas para detectar ataques no
incluidos en el fichero de definiciones de ataques.
Deteccin de Anomalas de Trfico
Los equipos FortiGate analizan las secuencias de paquetes y el
establecimiento de sesiones de acuerdo a los patrones de trfico
definidos en los diferentes protocolos estndar. Para aplicarlo nos
crearemos una poltica de DoS

FORTINET - FAST, SECURE, GLOBAL Pgina 61 de 106

Anomalas de Trfico

FortiGate IPS identifica a su vez anomalas estadsticas de trfico


TCP, UDP e ICMP, como son:
Flooding Si el nmero de sesiones apunta a un solo destino
en un segundo est sobre el umbral, el destino est
experimentando flooding o inundacin.
Scan Si el nmero de sesiones desde un origen nico en un
segundo est sobre el umbral, el origen est siendo
escaneado.
Source Si el nmero de sesiones concurrentes desde un
nico destino est sobre los umbrales, el lmite de sesiones
por origen est siendo alcanzado.
Destination session limit Si el nmero de sesiones
concurrentes a un nico destino est sobre el umbral, el
lmite de sesiones por destino est siendo alcanzado.
Los umbrales pueden ser configurados por el usuario para tener
capacidad de contemplar situaciones excepcionales, como la
existencia de un proxy en la red, etc.
2.15.2.

Prevencin de Intrusiones en Tiempo Real

Cuando los ataques son detectados, el sistema toma las acciones


necesarias para prevenir daos. Cualquier ataque detectado puede
ser bloqueado, ya sean ataques basados en firmas, ataques basados
en anomalas, o ataques personalizados.

FORTINET - FAST, SECURE, GLOBAL Pgina 62 de 106

Debido a que el mdulo IDS est completamente integrado con el


motor de firewall, los equipos FortiGate proveen deteccin y
prevencin de intrusiones en tiempo real. El mdulo IDS posee un
enlace especfico en el mdulo de firewall que permite que una vez
el sensor identifica un ataque, el modulo firewall rpidamente toma
accin para bloquear el trfico impidiendo que el ataque tenga
xito. Los equipos FortiGate permiten definir diferentes acciones a
realizar en funcin del ataque detectado:
Pass: FortiGate permite que el paquete que activ (triggered) la
firma pase a travs del firewall.
Drop: El equipo FortiGate descarta el paquete que activ la firma.
2.15.3.

Activacin del Servicio mediante Sensores

La activacin de la funcionalidad de Deteccin y Prevencin de


Intrusiones se realiza mediante la configuracin de sensores, tanto
de firmas como de anomalas, que son aplicados posteriormente en
las diferentes polticas del firewall.
Cada una de las firmas de ataques tiene asociada una severidad, un
objetivo (target) y un tipo de sistema operativo para el que es
especfica. Adems, cada firma va asociada a un protocolo o
aplicacin determinados. Para cada una de las firmas y anomalas
existentes es posible establecer un nivel de severidad (crtico, alto,
medio, bajo o informacin), que posteriormente pueden ser
aplicados de forma independiente en el sensor. De este modo, las
firmas y anomalas habilitadas en cada sensor pueden variar
dependiendo de los flujos de trfico. Esta configuracin provee un
control granular de los servicios de proteccin y de la utilizacin de
los recursos de FortiGate.

FORTINET - FAST, SECURE, GLOBAL Pgina 63 de 106

Dentro de la configuracin del mismo sensor, es posible marcar


opciones de cuarentena NAC integradas, de forma que se puede
incluir en cuarentena durante un ataque, al atacante y al atacado e
incluso bloquear el interfaz por donde llega el ataque por un
tiempo concreto o ilimitado.

Los sensores definidos, son posteriormente aplicados a las reglas


de firewall, de manera que cada regla puede tener configurado un
sensor especfico para aquellos protocolos o aplicaciones que son
permitidas en su flujo de trfico.
Actualizaciones de la Base de Datos de Firmas de Ataques y
Motor de Escaneo
En las actualizaciones del servicio IPS/IDS se actualiza la base de
datos de ataques y anomalas reconocidas y el motor de escaneo,
los cuales son continuamente renovados por Fortinet y distribuidos
mediante la red FDS tan pronto como nuevas formas de ataque son
encontradas y difundidas.

FORTINET - FAST, SECURE, GLOBAL Pgina 64 de 106

Actualizacin de las definiciones de ataques y motor de escaneo

Es posible habilitar Extended IPS Signature Package y mejorar la


eficacia del IPS enviando muestras de ataques a FortiGuard.

Otras caractersticas
Es posible aplicar polticas DoS por sensor desplegado, de esta
forma se tienen las siguientes funcionalidades:

Proteccin ms robusta contra ataques DoS. Al aplicar los


sensores a nivel de interface antes de llegar al firewall, se
puede detectar y bloquear el ataque antes de que haga
match en el firewall.

Posibilidad de filtrar todo tipo de trfico antes de que llegue


al firewall aunque este est configurado con una regla
drop.

Posibilidad de desplegar sensores en modo one-arm o como IDS


tradicional habilitando un puerto de escucha o anlisis conectado a
un puerto de mirror o SPAN en un switch.
Posibilidad de guardar a bajo nivel aquellos paquetes que hagan
match en una firma, posibilitando su posterior descarga en
formato pcap para abrirlos con Ethereal/Wireshark desde
FortiAnalyzer.
Para cada una de las firmas IPS se muestra su CVE-ID.

FORTINET - FAST, SECURE, GLOBAL Pgina 65 de 106

2.16.

Control de Aplicaciones

Con la funcin de control de aplicaciones, FortiGate permite


detectar y tomar medidas contra el trfico de red en funcin de la
aplicacin.
El control de aplicaciones utiliza los decodificadores IPS que
pueden analizar el trfico de red para detectar el trfico de
aplicaciones, incluso si el trfico utiliza los puertos o protocolos no
estndar.
FortiGate puede reconocer el trfico de red generado por un gran
nmero de aplicaciones. Fortinet est en constante aumento la lista
de aplicaciones que controla, siendo accesible en la pgina web de
fortiguard (http://www.fortiguard.com).
En la actualidad se reconocen ms de 7800 aplicaciones, siendo
estas categorizadas en diferentes tipos ampliando as su facilidad
de uso:

Por
categoria:
IM, P2P, VoIP, Video/Audio, Proxy,
Remote.Access, Game, General.Interest, Network.Service,
Update, Botnet, Email, Storage.Backup, Social.Media,
File.Sharing, Web.Others, Industrial, Special, Collaboration,
Business, Cloud.IT, Mobile.
Por tecnologia: Browser-Based, Network-Protocol, ClientServer y Peer-to-Peer.
Por populariedad: de 1 a 5 estrellas
Por riesgo: Malware or Botnet, Bandwidth Consuming o
None

Las principales ventajas que aporta el control de aplicaciones son


las
siguientes:

Ir ms all del control tradicional de nivel 4 de los firewalls


convencionales, pudiendo as controlar aplicaciones evasivas
o que cambien de puerto con frecuencia

FORTINET - FAST, SECURE, GLOBAL Pgina 66 de 106

Uno de los vectores de infeccin de malware ms habitual es


el intercambio de ficheros a travs de uno de los protocolos
ms utilizados como es http, por ello surge la necesidad de
poder controlar las distintas aplicaciones que hacen uso de
este mecanismo comn

Obtener una mayor visibilidad de la red, de forma que sea


posible conocer en profundidad y con detalle el uso que se
hace de este recurso por parte de cada usuario de una
organizacin

La implementacin de este tipo de control se puede llevar a cabo


en 4 simples pasos:
1 Definir la lista de Control de Aplicaciones
2 Aadir a criterio las distintas aplicaciones individuales o por
grupos
3 Aplicar el conjunto definido a un perfil de proteccin
4- Aplicar dicho perfil a una regla de cortafuegos para que el
control se lleve a cabo nicamente en los flujos de trfico
necesarios

De forma aadida, es posible asignar una cuota de ancho de banda


o QoS, por aplicacin:

FORTINET - FAST, SECURE, GLOBAL Pgina 67 de 106

A travs de FortiAnalyzer ser posible llevar a cabo el reporting


necesario para mostrar las estadsticas relevantes del control de
aplicaciones, como las principales aplicaciones reconocidas o
permitidas.

Otras funcionalidades que aporta el control de aplicaciones son:


Inspeccin profunda para aplicaciones Cloud. De este modo
es posible capturar el nombre de usuario o los ficheros que se
intercambian, los nombres de los videos, etc.
Ajustes de traffic shaping. Pueden aplicarse a las categoras
de las aplicaciones

FORTINET - FAST, SECURE, GLOBAL Pgina 68 de 106

Ratio de riesgo. 5 niveles de riesgo (crtico, alto, medio,


elevado y bajo). Cada aplicacin consta del nivel de riesgo
que le corresponde.
Aparicin de Mensajes de reemplazo cuando la aplicacin es
bloqueda.
Soporte para protocolo SPDY

2.17.

Filtrado de Trfico Web (URL Web Filtering)

La distribucin y visualizacin de contenido no autorizado supone


un riesgo importante para cualquier organizacin. Para las
empresas, la monitorizacin del uso que sus empleados hacen de
los accesos a Internet y la prevencin de visualizacin de
contenidos web inapropiados, o no autorizados, se ha convertido en
algo necesario, justificado por los costes financieros y las
implicaciones legales que conlleva la pasividad en este aspecto.
El servicio FortiGate web filtering puede ser configurado para
escanear toda la cadena del contenido del protocolo http
permitindonos filtrar direcciones URL potencialmente no
asociadas al desarrollo de la normal actividad laboral, contenidos
embebidos en las propias pginas web o scripts basados en java,
activeX o cookies, contenidos potencialmente peligrosos.
La funcionalidad de filtrado web puede definirse mediante listas
creadas por el propio usuario, o bien mediante la utilizacin del
servicio FortiGuard Web Filtering.
Estas son algunas funcionalidades genricas soportadas:

Restringir acceso a Google para dominios especficos

Nuevos protocolos para autenticacin y warning

Modificacin de cabeceras http request

Aadir un referer a los filtros URL

Usar comprobaciones de rating en FortiGuard para imgenes,


JavaScript, CSS y CRL

Variables nuevas para los mensajes de reemplazo


2.17.1.

URL Filtering mediante uso de listas locales

El filtrado de URL puede implementarse utilizando bases de datos


locales con listas black/white lists definidas por el usuario que
contienen URLs cuyo acceso est permitido o denegado. El acceso
a URLs especficas puede ser bloqueado aadindolas a la lista de

FORTINET - FAST, SECURE, GLOBAL Pgina 69 de 106

bloqueo de URLs. El dispositivo FortiGate bloquea cualquier pgina


web que coincida con la URLs especificada y muestra un mensaje
de sustitucin de la misma al usuario.

La lista puede incluir direcciones IP, URLs completas o URLs


definidas utilizando caracteres comodines o expresiones regulares.
Esta lista puede ser creada manualmente o importada desde listas
de URLs elaboradas por terceros.
Asimismo, con objeto de prevenir el bloqueo de pginas web
legtimas no intencionado, las URLs pueden ser aadidas a una
lista de excepcin que sobrescribe la URL bloqueada y listas de
bloqueo de contenido. El bloqueo de URL puede ser configurado
para bloquear todo o slo algunas de las pginas de un sitio web.
Utilizando esta caracterstica es posible denegar el acceso a partes
de un sitio web sin denegar el acceso completo al sitio en cuestin.
2.17.2.

Filtrado de Contenido mediante listas locales

Los dispositivos FortiGate pueden ser configurados para bloquear


aquellas pginas web que contengan palabras o frases clave
incluidas en la lista de Banned Words. Cuando una pgina web es
bloqueada, un mensaje de alerta que sustituye a la web original
generado por FortiGate es mostrado en el navegador del usuario.
Las palabras clave pueden ser aadidas una por una, o importadas
utilizando un fichero de texto. Estas palabras pueden ser palabras
individuales o una cadena de texto de hasta 80 caracteres de
longitud. Las palabras pueden estar en varios lenguajes utilizando
los sistemas de caracteres Western, Simplified Chinese, Traditional

FORTINET - FAST, SECURE, GLOBAL Pgina 70 de 106

Chinese, Japanese, Tha, Korean, French, Spanish o Cyrillic. Las


palabras y expresiones pueden ser configuradas utilizando
comodines o expresiones regulares perl.
2.17.3.

Filtrado de Java / Scripts / Cookies

El filtrado de contenido web tambin incluye caractersticas de


filtrado de scripts y cdigos maliciosos que puede ser configurado
para bloquear contenido web inseguro tal y como Java Applets,
Cookies y ActiveX.

2.17.4.

Servicio Fortiguard Web Filtering

Fortiguard Web Filtering es un servicio de filtrado de contenidos


web que posee una clasificacin actualizada de forma continua que
engloba ms de dos mil millones de URLs distribuidas en un
abanico de 77 categoras. El servicio est basado en la peticin de
la clasificacin de las diferentes direcciones a la infraestructura de
Fortinet. As, mediante la configuracin en las polticas de acceso a
Internet, los equipos FortiGate son capaces de permitir o denegar
el acceso a los diferentes sitios web en funcin de la categora a la
que pertenezcan. El dispositivo FortiGate soporta polticas a nivel
de usuarios/grupos y mantiene informacin del usuario/grupo para
cada peticin realizada.
El servicio Fortiguard Web Filtering tiene categorizados ms de 56
millones de dominios o websites en 77 categoras agrupadas dentro
de 8 clases. La base de datos utilizada por el servicio FortiGuard
Web Filtering es continuamente actualizada mediante el
descubrimiento y categorizacin de nuevos dominios, as como
mediante la informacin enviada por los propios equipos FortiGate
cuando intentan el acceso a una pgina no categorizada.
Funcionamiento del Servicio Fortiguard Web Filtering
Los dispositivos FortiGate interceptan las solicitudes que los
usuarios hacen a las pginas web y utilizan el servicio FortiGuard
Web Filtering para determinar la categora a la que pertenece
dicho sitio web y si se debe permitir o no la visualizacin de la
pgina. Cuando utilizamos un navegador para solicitar una URL, el

FORTINET - FAST, SECURE, GLOBAL Pgina 71 de 106

dispositivo FortiGate enva esa solicitud a la red FortiGuard


Network y comienza el siguiente proceso:
El equipo FortiGate intercepta una solicitud web desde su red local,
si el rating de la URL est ya cacheada en el dispositivo FortiGate,
es inmediatamente comparada con la poltica para ese usuario. Si
el sitio est permitido, la pgina es solicitada (3) y la respuesta es
recuperada (4).
Si la URL clasificada no est en la cach del equipo FortiGate, la
pgina es solicitada al servidor web (3) y simultneamente una
solicitud de categorizacin se enva al servidor FortiGuard Rating
Server (3b).
Cuando la respuesta de categorizacin es recibida por el
dispositivo FortiGate (4), el resultado es comparado con la poltica
solicitante (2). La respuesta desde el sitio web (4b) es encolada por
el dispositivo FortiGate si fuera necesario hasta que la
categorizacin sea recibida. Mientras tanto, la web solicitada
devuelve la pgina. Dado que la solicitud de categorizacin es
similar a una peticin DNS, la respuesta siempre va a ser obtenida
de forma previa a la recepcin completa de la pgina.
Si la poltica es permitir la pgina, la respuesta del sitio web (4b)
es pasada al solicitante (5). En otro caso, un mensaje definible de
Bloqueado es enviado al solicitante e incluso el evento es
recogido en el log de filtrado de contenidos.
La siguiente ilustracin muestra el mecanismo utilizado:

Beneficios del Servicio FortiGuard Web Filtering

FORTINET - FAST, SECURE, GLOBAL Pgina 72 de 106

Los usuarios del servicio FortiGuard Web Filtering se benefician de


una solucin de filtrado de contenido web actualizada
permanentemente, as como de otras caractersticas como son:
Alta Eficiencia y Fiabilidad, con el modelo de entrega In-theCloud segn el cual la base de datos de FortiGuard es mantenida
por
Fortinet
en
localizaciones
estratgicas
geogrficas
implementadas alrededor del mundo. De este modo se provee un
rendimiento equivalente a soluciones que requieren una base de
datos localmente albergada, con la fiabilidad de la red FortiGuard a
la disposicin del usuario.
Gestin Simplificada, ya que el servicio FortiGuard Web Filtering es
un servicio gestionado, actualizado y mantenido 24 horas al da,
365 das al ao por los centros de soporte y desarrollo de Fortinet,
liberando al usuario de las tediosas tareas de administracin y
actualizacin de bases de datos y servidores.
Ahorro de Costes: haciendo uso del servicio FortiGuard Web
Filtering, las organizaciones eliminan la necesidad adicional de
hardware para soluciones de filtrado de contenidos web.
Adicionalmente, el modelo de licenciamiento del servicio, que
provee una suscripcin anual para un precio fijo por modelo de
FortiGate libera de la necesidad de licencias por nmero de
usuarios, permitiendo a los proveedores de servicios de seguridad
gestionada y grandes empresas implementar el servicio con unas
condiciones altamente asequibles y coste predecible.
2.17.5.

Filtrado basado en cuotas

Adicionalmente, es posible asignar cuotas de tiempo o trfico a las


distintas categoras contenidas en el servicio Fortiguard:

FORTINET - FAST, SECURE, GLOBAL Pgina 73 de 106

Estas cuotas de tiempo podrn ser definidas por cada categora y


establecidas en segundos, minutos u horas, son calculadas
especficamente para cada usuario y reseteadas diariamente.
Esto permitir que se asigne, por ejemplo, media hora por da a la
navegacin por parte de un usuario a una categora, grupo o
clasificacin de Fortiguard especfica.
Algo similar sucede con las cuotas de trfico, que pueden ser
asignadas desde byes hasta Gigabytes por usuario o grupo.
2.17.6.

Filtrado de Contenido en Cachs

Los equipos FortiGate no slo se limitan a inspeccionar las URLs o


los contenidos de las pginas a las que se acceden, sino que
adems permiten prevenir el acceso a contenidos no permitidos
haciendo uso de la capacidad de algunos motores de bsqueda de
almacenar parte de estas pginas en cach. Habitualmente, cuando
utilizamos algn buscador para intentar acceder a la informacin,
el buscador no slo nos muestra un link que nos redirige a la URL
en cuestin, sino que adems nos permite visualizar esa URL
guardada en una cach propia del buscador. Los equipos FortiGate
son capaces de analizar la direccin de esa informacin en cach
en el motor de bsqueda y la existencia de contenidos no

FORTINET - FAST, SECURE, GLOBAL Pgina 74 de 106

permitidos en la misma, evitando de este modo el acceso a


contenidos no permitidos por este medio.
Del mismo modo, pueden habilitarse filtros sobre bsquedas de
imgenes y contenidos multimedia que actan del mismo modo, no
permitiendo que el contenido en cach de las pginas de bsqueda
sea mostrado a los usuarios en caso de proceder de un dominio
cuyo contenido no est permitido.

2.17.7.
Activacin del Servicio mediante Perfiles de
Proteccin
Al igual que el resto de funcionalidades, la activacin de la
funcionalidad de Filtrado de Contenidos Web se realiza en cada
perfil de proteccin. En este caso los servicios configurados por el
usuario se activan de forma independiente del servicio FortiGuard
Web Filtering.
La funcionalidad Web Filtering en la definicin de perfil de
proteccin permite habilitar comprobaciones contra listas blancas
o negras de URLs definidas por el usuario, habilitar filtrado de
contenido y consultas contra la lista de palabras clave definidas por
el usuario, as como bloquear scripts.
Existen tres posibilidades para el anlisis web con un perfil de
webfilter:

Modo proxy: Fortigate para la conexin, consulta la categora


en fortiguard y dependiendo de dicha respuesta y anlisis se
permitir o no la conexin. La conexin durante el anlisis de
buferiza
Modo Flow-based: En dicho modo fortigate utiliza el IPS
engine, o comportamiento de anlisis de flujo en tiempo real,
para determinar si es o no trfico legitimo acorde con nuestra
poltica de seguridad.
DNS: En dicho modo una vez que el usuario solicite una
determinada URL, la peticin de DNS pasar por FortiGuard,
y aplicar en la propia respuesta de DNS el rating de dicha
web. Para el uso de este modo necesitamos que nuestro
FortiGate apunte como sus servidores DNS a los servicios de
FortiGuard.

FORTINET - FAST, SECURE, GLOBAL Pgina 75 de 106

La funcionalidad FortiGuard Web Filtering en la definicin de


cada perfil de proteccin permite habilitar el servicio FortiGuard y
definir las categoras que son bloqueadas, monitorizadas y/o
permitidas:

La aplicacin de los diferentes perfiles de proteccin puede


aplicarse con autenticacin
de usuarios, haciendo posible
discriminar el acceso a las diferentes categoras segn el grupo al
que pertenezca cada usuario.

FORTINET - FAST, SECURE, GLOBAL Pgina 76 de 106

2.17.8.

Mensajes de sustitucin en web filter

Cuando una pgina web es bloqueada, es reemplazada mediante un


mensaje personalizable.

2.18.

AntiSpam

La funcionalidad AntiSpam de los equipos FortiGate permite


gestionar los correos no solicitados detectando los mensajes de
spam e identificando esas transmisiones. Los filtros antispam se
configuran de un modo global, si bien son aplicados en base a
perfiles de proteccin, al igual que el resto de funcionalidades del
equipo.
El spam resta tiempo a los empleados, quienes se ven forzados a
malgastar su tiempo en limpiar sus buzones de entrada, afectando
por lo tanto de forma negativa a la productividad. As mismo, los
mensajes de spam hacen crecer los tamaos necesarios de los
buzones de correo de los usuarios, haciendo crecer implcitamente
el tamao de los servidores necesarios para albergarlos. En
resumen, se produce un consumo de recursos innecesario.
La funcionalidad AntiSpam ofrecida por los equipos FortiGate
consiste en la aplicacin de diferentes filtros sobre el trfico de
intercambio de correo electrnico (protocolos SMTP, POP3 e
IMAP). Aquellos filtros que requieren la conexin con servidores
externos (FortiGuard Antispam o los servicios de Listas Negras en

FORTINET - FAST, SECURE, GLOBAL Pgina 77 de 106

tiempo real) se ejecutan de forma simultnea con los otros filtros,


optimizando el tiempo de respuesta del anlisis de los mensajes.
Tan pronto como alguno de los filtros aplicados identifica el
mensaje como spam se procede a realizar la accin definida para
cada filtro que podr ser:

Marcar el mensaje como Spam (Tagged): el mensaje quedar


identificado como Spam a travs de una etiqueta que puede
estar localizada en el ttulo del correo o en el encabezamiento
MIME.

Descartar (Discard): Slo para SMTP. En este caso el mensaje


es desechado, pudiendo sustituirlo con un mensaje
predefinido que advierta al usuario del envo de Spam.

La configuracin de las distintas medidas AntiSpam que se pueden


definir estn divididas entre aquellas que se establecen mediante el
servicio de filtrado de Spam de FortiGuard y aquellas que se
definen de manera local.
Los servicios de AntiSpam de FortiGuard usan para ello una base
de datos de reputacin de IP del remitente, una base de datos de
firmas de Spam conocido y otras sofisticadas herramientas de
filtrado de spam. Dentro de este servicio se pueden configurar la
comprobacin de IP del remitente, de las URLs que vayan en el
correo, incluyendo aquellas de phishing y del checksum del correo.
Adems se puede activar la opcin de Spam Submission para
notificar casos de correos legtimos identificado errneamente
como spam, lo que es conocido como falsos positivos.
Localmente es posible comprobar el dominio indicado por el
remitente en el HELO de la conexin SMTP, establecer listas
blancas/negras de IPs y/o correos y comprobar la existencia del
dominio que aparece en el reply-to.
Dentro de esta separacin, los distintos filtros antispam aplicados
por la plataforma FortiGate a los mensajes de correo se basan en el
control por origen del mensaje y el control por el contenido del
mismo.

FORTINET - FAST, SECURE, GLOBAL Pgina 78 de 106

Control por Origen


Black White List: lista blanca/negra de IPs o direcciones de correo.
Las direcciones de correo se pueden definir mediante wildcards o
expresiones regulares.
FortiGuard IP Address check: comprueba contra los servidores de
FortiGuard si la IP del remitente se encuentra en una lista negra.
IP address black/white list check: el FortiGate comprueba si la IP
del remitente pertenece a alguna lista blanca o negra configurada
por el usuario.
HELO DNS lookup: el equipo hace una comprobacin DNS para
revisar que el dominio indicado por el remitente al inicio de la
conexin SMTP, el cual se identifica con el comando HELO,
realmente existe. Si no es as, cualquier correo entregado dentro
de esa sesin se considera spam.
Email address black/white list check: el FortiGate comprueba si la
direccin de correo del remitente pertenece a alguna lista blanca o
negra configurada por el usuario.
Tambin se pueden configurar DNSBL & ORDBL check (listas DNS
Blackhole y Listas Open Relay Database), en las que se chequea el
origen del mensaje contra listas de DNSB y ORDB predefinidas,
identificadas como listas blancas (marcaramos el mensaje como

FORTINET - FAST, SECURE, GLOBAL Pgina 79 de 106

clear) o listas negras. Las listas son configurables por el


administrador de la plataforma FortiGate.
Control de Contenido
FortiGuard URL check: comprueba contra los servidores de
FortiGuard si las URLs que se encuentran en el cuerpo del correo
estn asociadas con spam. Si esas URLs pertenecen a alguna lista
negra determina que el correo es spam.
Detect phishing URLs in email: enva los links URL a los servidores
de FortiGuard para identificar si se tratan de URLs de phishing. De
ser as elimina el link.
FortiGuard email checksum check: el FortiGate obtiene el hash del
correo y lo enva a los servidores de FortiGuard, los cuales lo
comparan con los hashes de correos de spam guardados en su base
de datos. Si se encuentra una coincidencia el correo se marca como
spam.
FortiGuard spam submission: es un modo para informar al servicio
antispam de FortiGuard que un correo que no es spam ha sido
catalogado como spam (falso positivo). Para esto el FortiGate aade
un link al final de todos los correos que categoriza como spam.
Comprobacin de las cabeceras MIME: Las cabeceras MIME
(Multipurpose Internet Mail Extensions) son aadidas al email para
describir el tipo de contenido, como puede ser el tipo de texto en el
cuerpo del email o el programa que gener el email. Los spammers
frecuentemente insertan comentarios en los valores de las
cabeceras o las dejan en blanco, por lo que pueden utilizarse como
filtros spam y de virus. Asimismo, los equipos FortiGate pueden
utilizar las cabeceras MIME para marcar aquellos mensajes
detectados como spam.
Banned word check: El equipo FortiGate puede controlar el spam
mediante el bloqueo de emails que contienen palabras especficas o
patrones reconocidos. Las palabras pueden ser definidas mediante
comodines (wildcards) o expresiones regulares. Por ejemplo, la
siguiente expresin capturara la palabra viagra deletreada de
varias maneras:
/[v|\/].?[il;1'!\|].?[a@0].?[gq].?r.?[a@0]/i.
Solo
es
configurable va CLI.
Adems de todo esto, tambin se permite la inspeccin en modo
flow, soportando la inspeccin de sesiones SSL. Junto con esto
tambin es capaz de procesar mensajes fragmentados y la inclusin
de una firma a todos los correos SMTP.

FORTINET - FAST, SECURE, GLOBAL Pgina 80 de 106

2.18.1.

Servicio Fortiguard AntiSpam

Fortiguard AntiSpam es un servicio gestionado, administrado y


actualizado por Fortinet y soportado por la red FortiGuard Network
que dispone de listas propias de direcciones IP, direcciones e-mail,
URL's, etc. que estn continuamente actualizadas gracias a la
deteccin de nuevos mensajes de spam a lo largo de todo el mundo.
Mediante la utilizacin de honeypots en los que se detectan nuevos
mensajes de spam, y la realimentacin por parte de los equipos
FortiGate y los clientes FortiClient existentes en todo el mundo, el
servicio FortiGuard Antispam es capaz de actualizar las listas
negras de forma casi inmediata ante la aparicin de nuevos
mensajes de spam a lo largo de todo el mundo.
El motor AntiSpam, continuamente mejorado, se actualiza
peridicamente a travs del servicio Fortiguard AntiSpam, sin ser
necesario esperar a una actualizacin completa de firmware del
equipo Fortigate para actualizar dicho motor.
Activacin del Servicio mediante Perfiles de Proteccin
Al igual que el resto de funcionalidades, la activacin de la
funcionalidad AntiSpam de los equipos FortiGate se realiza en cada
perfil de proteccin, aplicado posteriormente en las diferentes
polticas definidas en el firewall.

FORTINET - FAST, SECURE, GLOBAL Pgina 81 de 106

2.18.2.
Ms caractersticas FortiGuard
Actualizaciones de base de datos GeoIP en tiempo real
Servicio de mensajera SMS
Servidores DNS desde FortiGuard
Servidores NTP desde FortiGuard
Servicio de DNS dinmico FortiGuard
Actualizaciones de Modem USB
Actualizaciones para visibilidad de Dispositivos y Sistemas
operativos
Licencias del servicio FortiCloud

2.19. Data Leak Prevention (Prevencin de Fuga de


Datos)
Cambiando el enfoque tradicional de las plataformas de seguridad
perimetrales cuyo objetivo habitual ha sido evitar que el malware y
los intrusos accedan a la red interna o protegida, la caracterstica
de Prevencin de Fuga de Informacin o DLP (Data Leak
Prevention) ofrece la posibilidad de evitar que la informacin
categorizada como sensible o confidencial salga fuera de la
organizacin a travs de la plataforma.

FORTINET - FAST, SECURE, GLOBAL Pgina 82 de 106

Es posible llevar a cabo esta proteccin para diferentes servicios de


transferencia de datos. Para transferencia de mensajes puede
inspeccionar los servicios SMTP, POP3, IMAP, HTTP, NNTP e IMAP.
A su vez, para transferencia de ficheros aade a los servicios
anteriores los de FTP, AIM, ICQ, MSN, Yahoo! y MAPI. Esto se
realiza estableciendo reglas o grupos de reglas predefinidas, donde
un buen ejemplo sera una de ellas que inspecciona en busca de
nmeros de tarjetas de crdito, o por otro lado, reglas totalmente
personalizables.

Ejemplo de regla DLP que busca patrones de tarjetas de crdito

As mismo las acciones posibles pasan por hacer nicamente log de


la fuga de datos (con el nico fin de monitorizar) hasta bloquear
dichas fugas, bloqueando el trfico que genere ese usuario, hacer
cuarentena del mismo o archivar y guardar la informacin relativa
a la violacin que se est realizando.

Otra tcnica utilizada por el mdulo de DLP es fingerprinting. El


equipo FortiGate genera un checksum para ciertos archivos y los
almacena en su disco duro (esta funcionalidad solo est disponible
en appliances con almacenamiento interno). Despes se genera un
checksum para cada archivo que se ve en el trfico de red. Si
alguno de los checksum de estos archivos coincide con uno
almacenado en el disco duro, se lleva a cabo la accin configurada.

FORTINET - FAST, SECURE, GLOBAL Pgina 83 de 106

Por ltimo existe la funcionalidad denominada DLP watermarking o


marca de agua. Esta funcionalidad consiste en aadir una marca de
agua o patrn a los ficheros que queremos proteger, en la cual se
aade un identificador de la marca de agua y un nivel de criticidad
(Critical, Private o Warning). Este patrn es ligero, ocupando unos
100 bytes nicamente. Es importante destacar que la marca de
agua es completamente transparente para los usuarios del fichero,
los cuales no podrn verla. Una vez introducida esa marca de agua
y siempre que hayamos creado un sensor de DLP para detectar los
ficheros con ese identificador de marca de agua y la sensibilidad
asignada, el equipo detectar cuando esos ficheros pasen a travs
del FortiGate y podr ejecutar la accin que configuremos para
ello, ya sea bloquear, logar o meter en cuarentena al usuario, a su
IP o a la interfaz.
Para realizar estas marcas de agua hay que utilizar una
herramienta
propietaria
de
Fortinet,
llamada
Fortinet
watermarking utility. Esta herramienta se encuentra disponible
dentro de la aplicacin FortiExplorer y nicamente para Windows.
Existe una versin antigua para Linux en interfaz de comandos,
pero ha sido descontinuada. Los tipos de archivos soportados son:
txt, pdf, doc, xls, ppt, docx, pptx, xlsx.

Configuracin de sensor DLP para detectar una marca de


agua

2.20.

WAF (Web application firewall)

Se puede crear un perfil de seguridad enfocado a la proteccin


contra amenazas de aplicaciones web. FortiGate incluye una lista
de firmas y ataques reconocidos que se pueden aplicar a polticas

FORTINET - FAST, SECURE, GLOBAL Pgina 84 de 106

de seguridad, o permite la opcin de redirigir el trfico web a un


dispositivo WAF especfico, como es FortiWEB, para analizarlo.

Las firmas y restricciones de trfico soportadas son las siguientes:

2.21.

CASI (Cloud Access Security Inspection)

La funcionalidad Cloud Access Security Inspection permite un


mayor control en el trfico y las acciones de las aplicaciones cloud
como por ejemplo Youtube, Dropbox, Amazon, etc

FORTINET - FAST, SECURE, GLOBAL Pgina 85 de 106

Para que funcione, debe estar habilitado Deep inspeccin of Cloud


Applications en el perfil de seguridad de control de aplicaciones.
El perfil CASI est definido por un nombre de aplicacin, categora
y accin. Para cada lnea es posible aplicar las acciones permitir,
bloquear y monitorizar.

2.22.

DNS Filter

Gracias a DNS Filter se cuenta con las siguientes funcionalidades:


2.22.1.
Bloquear consultas DNS a direcciones
conocidas de servidores C&C
La lista de servidores de comand and control de botnets se
almacena en una base de datos interna que se almacena
automticamente desde FortiGuard. Para tener acceso a estas
actualizaciones es necesario contar con una licencia al dia de
FortiGuard web filter.
Para bloquear estas peticiones, el trafico DNS se inspecciona con el
motor de IPS y se comparan las peticiones con la base de datos del
equipo. Cuando hay un match, se bloquean todos los subdominios
del dominio encontrado. Esta funcionalidad se habilita en Security
Profiles -> DNS Filter y habilitar Block DNS requests lo known
botnet C&C.

FORTINET - FAST, SECURE, GLOBAL Pgina 86 de 106

2.22.2.
Filtro de URLs esttico
El perfil de inspeccin DNS permite bloquear, eximir o monitorizar
consultas DNS utilizando el motor IPS para inspeccionar los
paquetes de DNS y buscar los dominios que hemos configurado en
el perfil. El FortiGate debe utilizar el servicio de DNS de
FortiGuard para hacer las consultas de DNS. Las respuestas a estas
consultas estn formadas por la IP correspondiente al dominio y
una clasificacin que incluye la categora del dominio.
Aparte de las acciones indicadas anteriormente, estas consultas
tambin se puede redirigir, para que se resuelva una IP
personalizada para los dominios configurados.

2.23.

External security devices

Se pueden configurar dispositivos de seguridad externos para


descargar al FortiGate de la carga de procesar cierto tipo de
trfico. Estos dispositivos pueden ser FortiMail, FortiWeb o
Forticache.

Para habilitar esta funcionalidad hay que ir a System -> External


Security Devices y activar el checkbox del dispositivo a conectar.
Seguidamente se indica la IP y a continuacin se pulsa en el botn
Aplicar.
En el caso de trafico HTTP, se puede elegir si enviar el trfico a un
FortiWeb o a un FortiCache, dependiendo del tipo de servicio que
se quiera proporcionar. En el caso de necesitar enviar el trfico a
un FortiWeb, tambin es necesario configurar una poltica de
seguridad con un perfil de seguridad de Web application firewall
asociado.
Si el dispositivo asociado es un FortiCache, en la poltica de
seguridad hay que configurar un perfil de seguridad de web cache
y si el dispositivo es un FortiMail, en la poltica de seguridad hay
que activar un perfil de seguridad de tipo antispam.

FORTINET - FAST, SECURE, GLOBAL Pgina 87 de 106

1 Controlador Switches - FortiLink


Algunos modelos de FortiGate incorporan un controlador
centralizado de switches FortiSwitch (ver hoja de caractersticas de
cada modelo). Es necesario que el FortiSwitch a gestionar disponga
de un sistema operativo FortiSwitchOS 3.3.0 o superior.
Gracias a FortiLink, la gestin de VLAN o puertos PoE de los
FortiSwitches se realizar desde el GUI de FortiGate. Desde
FortiLink se podr adems visualizar un diagrama de la topologa
de la red de switches conectados al FortiGate.

2.24.

Controlador Wifi

Todos los dispositivos FortiGate, son capaces de actuar como


controladores Wireless para los puntos de acceso fabricados por
Fortinet (FortiAPs). Esto supone un ahorro de costes considerable
para los clientes al no tener que adquirir un controlador Wireless.

Lista de productos FortiAP


La solucin de Fortinet se integra de forma directa con el Firewall,
siendo cada SSID wifi una nueva interfaz del Firewall. Esto
permite aplicar las mismas polticas de seguridad en la red Wifi que
en la red cableada, pudiendo configurar en la wifi reglas de
Firewall, Traffic-Shapping, Control de Aplicaciones, Webfiltering,
etc. de forma sencilla y transparente.
Dispone adems de opciones de portal cautivo para invitados,
pudiendo delegar la gestin de dichos invitados. Para ello dispone

FORTINET - FAST, SECURE, GLOBAL Pgina 88 de 106

de un portal de administracin restringido que permite dar


acreditaciones a la red wifi de manera sencilla, pudiendo
suministrar la informacin de usuario y contrasea de varios
mtodos, incluyendo SMS, email o impreso.
Con Fortinet es adems posible reconocer el tipo de dispositivo que
conecta a la red wifi, pudiendo crear reglas de seguridad basadas
en tipo de dispositivo.
A nivel de conectividad, la solucin de Fortinet cuenta con las
funcionalidades de conectividad ms requeridas para los entornos
Enterprise, funcionalidades tales como meshing, local bridging,
asignacin dinmica de canales, asignacin dinmica de potencia,
balanceo de clientes entre puntos de acceso, fast roaming, etc
Otras funcionalidades:

IDS Wireless
Balanceo de carga de clientes
Soporte Mesh y Bridging
Bridge entre un SSID y un puerto fsico
Deteccin de APs falsos
Ajuste automtico de portencia
Supresin automtica de rogu Aps
Cifrado del trfico CAPWAP

Gestion de FortiAP. Dado que FortiGate tambin es un controlador


de APs, existen ciertas funcionalidades de control de APs
especficas:
Seleccin manual de los perfiles para los AP
Escaneo de AP
Resumen de configuracin de cada radio
Acceso a la consola CLI
Posibilidad de hacer un Split tunnel para el trfico Wireless

2.25.

Identificacin de Dispositivos - BYOD

La solucin de Fortinet permite identificar el tipo dispositivo que se


ha conectado a la red (tanto cableada como wireless). De esta
forma se tiene visibilidad de inmediata de usuarios, sistema
operativo y direccin IP. La captura inferior es una muestra:

FORTINET - FAST, SECURE, GLOBAL Pgina 89 de 106

Los dispositivos pueden ser agrupados y se pueden utilizar estos


grupos para crear polticas de seguridad. As pues, se podra crear
un grupo con los dispositivos corporativos y permitir ciertas redes,
protocolos y aplicaciones desde dichos dispositivos y restringirlos
desde sistemas operativos no corporativos. De este modo es posible
controlar los dispositivos personales que los usuarios pueden
utilizar en una red corporativa, cosa que cada vez ocurre de forma
ms habitual y que se conoce como Bring Your Own Device (BYOD).
Por ejemplo, se podra establecer una poltica basada en
dispositivos para evitar que una consola de juegos se pueda
conectar a la red de una empresa o incluso a internet, tambin
establecer que las tabletas y telfonos puedan conectar a internet,
pero no a los servidores de la empresa, as como los porttiles
corporativos podran conectar a internet y a la red corporativa,
pero aplicndoles filtrado antimalware o incluso establecer una
poltica para que solo puedan conectar si tienen instalado el
antimalware FortiClient en dicho ordenador.

La captura inferior muestra una poltica de firewall que hace uso


de este concepto de dispositivo:

FORTINET - FAST, SECURE, GLOBAL Pgina 90 de 106

Es posible adems configurar dispositivos de forma manual e


incluso aadir a estos dispositivos un avatar que se podr
visualizar posteriormente en el GUI para mejor identificacin visual
del objeto.

2.26. Seguimiento
clientes)

de

amenazas

(Reputacin

de

Los tipos de escaneo UTM disponibles en FortiGate permiten


detectar
ataques
especficos,
pero
algunas
veces
el
comportamiento de los usuarios puede incrementar el riesgo de un
ataque o infeccin.
El seguimiento de amenazas puede proporcionar informacin a
travs del comportamiento de los clientes y la informacin sobre
las actividades determina un nivel de riesgo.
Las actividades que pueden monitorizarse son:

Intentos fallidos de conexin: El comportamiento tpico de


una BOT es conectar a algunos anfitriones que a veces no
existen en el Internet. Debido a esto es necesario que el BOT
realice un cambio constante de su home para evitar la
aplicacin de medidas legislativas, o simplemente para
esconderse de los fabricantes de soluciones antimalware. Los
intentos de conexin son detectados mediante:

FORTINET - FAST, SECURE, GLOBAL Pgina 91 de 106

Bsqueda de nombres DNS que no existe.


Intentos de conexin a una direccin IP que no tiene
ruta.
Errores HTTP 404
Los paquetes que se bloquean por las polticas de seguridad.
Proteccin de Intrusin: Ataque detectado. La reputacin
aumenta con la severidad del ataque. Requiere suscripcin
FortiGuard IPS.
Proteccin contra Malware: el malware detectado. Requiere
una suscripcin a FortiGuard Antimalware.
Actividad Web: Al visitar sitios web incluidos en categoras
que suponen un riesgo, incluyendo las categoras:
potencialmente peligroso, Contenido para adultos, consumo
de ancho de banda y riesgo de seguridad. Requiere una
suscripcin a FortiGuard Web Filtering.
Proteccin de la aplicacin: El cliente utiliza software en
categoras de riesgo, incluyendo Botnet, P2P, Proxy y Juego.
Requiere una suscripcin a FortiGuard IPS.
Ubicacin geogrfica donde los clientes estn comunicando.
Requiere acceso a la base de datos geogrfica FortiGuard y
un contrato de soporte vlido con Fortinet.

De entre las actividades sobre las que puede realizar un


seguimiento, se puede configurar la severidad con la que cada
actividad afectar a la reputacin de los clientes, en una escala de
bajo, medio, alto o crtico. Tambin se puedo optar por ignorar una
actividad, y no tendr ningn efecto en la reputacin.
Esta funcionalidad actualmente tiene como objetivo alertar de una
actividad que supone un riesgo para la seguridad y no incluye
herramientas para detenerla. Se trata de una utilidad para mostrar
el comportamiento de riesgo y poder tomar medidas adicionales
para detenerlo. Estas acciones podran ser crear una poltica de
seguridad para bloquear la actividad o incrementar la proteccin
UTM, as como tomar otras medidas ajenas al FortiGate para paliar
el comportamiento.
Tras la activacin de la reputacin de clientes, FortiGate monitoriza
el comportamiento de los usuarios, que puede mostrarse en el
monitor de amenazas de FortiView:

FORTINET - FAST, SECURE, GLOBAL Pgina 92 de 106

La reputacin de los clientes se almacena en el log de trfico, en


unos campos especficos para esto (crscore y craction). Al habilitar
esta funcionalidad, por lo tanto, no se puede eliminar la accin de
log de una poltica de seguridad.

2.27.

FortiGate Virtual Appliance

Los dispositivos de seguridad Fortigate Virtual Appliance de


Fortinet son appliances basados en formato mquina virtual,
creados especialmente para operar en los entornos de
hypervisors. Estos appliances virtuales ayudan a proteger las
infraestructuras de red con seguridad multiamenaza integrada. Al
igual que un dispositivo FortiGate tradicional, el appliance virtual
FortiGate protege la infraestructura de una gran variedad de
amenazas permitiendo a los clientes consolidar sus tecnologas de
seguridad independientes, reduciendo los costes y la complejidad
de su infraestructura de seguridad.
Dado que las caractersticas de seguridad son las mismas que los
basados tradicionalmente en hardware, los appliances virtuales
FortiGate pueden operar conjuntamente con los dispositivos
FortiGate tradicionales para asegurar que tanto el permetro como
las capas virtuales dentro del entorno virtual estn protegidos, y
son visibles y fciles de gestionar.

FORTINET - FAST, SECURE, GLOBAL Pgina 93 de 106

Data Center Virtualizado


Zona 2:
PCs

Zona 1: Servidores

Virtual
Appliances

Los dispositivos de seguridad virtual de Fortinet han sido creados


para operar en cualquier entorno y al igual que sus homlogos
fsicos aportan consolidacin, rendimiento, visibilidad y control a
los cada vez ms extendidos entornos virtualizados.
Las licencias de los mismos estn basadas en el nmero de CPUs,
esto es, 2, 4 u 8 cores:

FORTINET - FAST, SECURE, GLOBAL Pgina 94 de 106

Los requisitos mnimos de cara al Hypervisor son los siguientes:

2.28.

Wan link load balance

De la misma forma que se puede balancear el trfico entrante al


firewall, tambin se puede balancear el trfico saliente, esto
permite:
- Reducir los puntos de fallo de la red.
- Aumentar la capacidad de la red para gestionar una
mayor cantidad de datos.
- Automatizar el proceso de balanceo de carga.
2.28.1.
Algoritmos de balanceo
El elemento fundamental para configurar el balanceo son las
interfaces fsicas que lo componen. A medida que se aaden
interfaces al proceso, entran tambin en los clculos que realizan
los algoritmos para gestionar el trfico. Otros aspectos a tener en
cuenta:
-

Eleccin correcta el algoritmo de balanceo segn las


necesidades de la red.
Las interfaces pueden ser deshabilitadas si necesitan
algun tipo de mantenimiento. Cuando se habilitan,
vuelven a tenerse en cuenta por los algoritmos de
balanceo de forma automtica.
No es necesario que las interfaces sean las que estn
etiquetadas como WAN.
El uso y comportamiento de las interfaces se grafican
en el GUI para facilitar la gestin y configuracin de la
funcionalidad.

FORTINET - FAST, SECURE, GLOBAL Pgina 95 de 106

2.28.2.
Wan Links
Existen 5 algoritmos de balanceo:
- Ancho de banda. Se asignan pesos a las interfaces y el
trfico se asigna en base a esos pesos a una interfaz o a
otra. Ejemplo:

Spillover. Se utiliza una interfaz hasta que se alcanza su


capacidad mxima. Entonces se empieza a utilizar otra
interfaz. Esta decisin se puede hacer en base al trfico
entrante o saliente.
Sesiones. Igual que el anterior, pero el parmetro que
se tiene en cuenta es el nmero de sesiones en lugar
del nmero de paquetes.
IP de origen-destino. Se intenta hacer un reparto
equilibrado del trfico entre todas las interfaces pero
teniendo en cuenta las IPs de origen y de destino. El
trfico de la IP A a la IP B se enva siempre a la misma
interfaz de salida.
IP de origen. Igual que el anterior, pero solo se tiene en
cuenta la IP de origen.

FORTINET - FAST, SECURE, GLOBAL Pgina 96 de 106

2.28.3.
Reglas de prioridad
Para cierto tipo de trfico puede ser posible establecer reglas de
uso ms concretas. Estas reglas se pueden establecer en base a
varios parmetros: direccin de origen, grupo de origen, direccin
de destino, protocolo, aplicacin.

2.29.

Control del EndPoint

FortiClient es el software de Fortinet disponible para entornos


Windows, MacOSX, iOS y Android que permite extender las
funcionalidades del firewall hasta el dispositivo del usuario.
Algunas de las funcionalidades bsicas que incluye son las
siguientes:
Autenticacin desde FortiClient
Gestin y registro de FortiClient
Portal cautivo para instalacin y comprobacin del endpoint
Provisin de configuracin de seguridad de FortiClient
cuando el usuario no est conectado a la red protegida
Log del endpoint
Estado del endpoint. Registrado o no registrado y on-net u
off-net.
Gracias a la integracin del endpoint con FortiSandbox, adems se
puede determinar si el equipo del usuario ha podido ser infectado
por una amenaza nueva. En este caso podemos poner en
cuarentena el equipo desde la consola de FortiGate. Esto se puede
hacer desde FortiView:

FORTINET - FAST, SECURE, GLOBAL Pgina 97 de 106

O desde el men de FortiClient Monitor:

La cuarentena de un equipo aplicada por FortiClient nicamente se


puede levantar desde la consola de FortiGate seleccionando
Release Quarantine:

2.30.

Virtual wire pair

Esta funcionalidad est disponible en modo NAT y modo


transparente y sustituye a la funcionalidad de Port Pair disponible
en anteriores versiones de FortiOS en modo transparente.
Cuando se configuran dos interfaces en modo virtual wire pair, no
se configura ninguna IP y funcionan de un modo similar a un VDOM
en modo transparente. Todos los paquetes que entran en el equipo
por una de las interfaces solo pueden salir por la otra, si estn

FORTINET - FAST, SECURE, GLOBAL Pgina 98 de 106

permitidos por una poltica de virtual wire pair. Se pueden


configurar multiples interfaces de este tipo. Aunque no permite
configurar VLANes, se pueden habilitar wildcards de VLAN.
Para aadir una interfaz virtual wire pair, hay que ir a Network ->
Interfaces y seleccionar Create New -> Virtual Wire Pair.
Seleccionar las dos interfaces involucradas y pinchar en OK.

La nueva interfaz aparece en la lista de interfaces del equipo.


Lo siguiente necesario es configurar una poltica de acceso. Para
esto hay que ir a Policy & Objects -> IPv4 Virtual Wire Pair
Policy. Seleccionar el virtual wire pair para el cual se pretende
aadir la poltica y pinchar en Create New. Se configura la
direccin de la poltica y los objetos tpicos de una poltica de
firewall.

FORTINET - FAST, SECURE, GLOBAL Pgina 99 de 106

2.31.

FortiExtender

El dispositivo FortiExtender proporciona conectividad va


3G/4G/LTE a un FortiGate. Se establece un canal de datos CAPWAP
entre FortiGate y FortiExtender para proporcionar la conectividad
a la red 4G/LTE.
Si bien FortiGate proporciona conectividad con la red 3G/4G a
travs de dispositivos USB conectados directamente al FortiGate,
con FortiExtender se extienden estas capacidades adems de poder
ubicar el dispositivo FortiExtender en una localizacin ms ptima
para la recepcin de la seal 4G/LTE, por ejemplo, fuera de una
sala de proceso de datos, donde la seal de recepcin puede ser
ms baja.

3.GESTIN DE LOS EQUIPOS FORTIGATE


3.1.

Tipo de gestin

Cada equipo FortiGate puede ser gestionado localmente mediante


acceso http, https, telnet o SSH, siendo estos accesos configurables
por interfaz, Adems existe la posibilidad de definir diferentes
perfiles de administracin con objeto de limitar las tareas y
posibilidades de cada usuario con acceso al equipo. A la hora de
definir un usuario de administracin, se puede limitar el acceso a
uno o varios VDOM en caso necesario.
Gracias a la aplicacin FortiExplorer, disponible para Windows,
Mac OSX, IOS y Android, se puede configurar un dispositivo
FortiGate a travs de su interface USB.
Estas son algunas funcionalidades
administracin del equipo:

relacionadas

con

la

Soporte de configuracin a travs del interface USB para


Android y dispositivos IOS con la aplicacin FortiExplorer.
Nueva opcin para formatear el boot device antes de
actualizar el firmware
Nuevo comando CLI para restablecer los valores de fbrica,
manteniendo la configuracin de interfaces y VDOM
Posibilidad de deshabilitar el login por consola
Nuevos traps SNMP para FortiAP y FortiSwitch
Extensiones SNMP para BGP
GUI simplificado para FortiGate y FortiWifi 20C y 40C
Servidor y Cliente DNS
Servidor y cliente DHCP.

FORTINET - FAST, SECURE, GLOBALPgina 100 de 106

Configuracin de opciones DHCP para obtener la IP de un


servidor TFTP y el nombre de un fichero de configuracin
para restaurar configuraciones
Wizard de configuracin
Mejoras en la configuracin de gestin centralizada
Soporte de nombres largos mejorado en CLI
Modificacin de polticas desde la ventana de lista de
polticas.
Personalizacin del color e idioma de la interfaz grfica de
usuario.
Modo pantalla completa de la interfaz grfica de usuario.

Fortinet cuenta adems con una plataforma de gestin global


centralizada para mltiples equipos denominada FortiManager.
El sistema FortiManager es una plataforma integrada para la
gestin centralizada de equipos FortiGate a travs del cual pueden
configurarse mltiples dispositivos FortiGate de forma simultnea,
creando grupos de equipos y plantillas de configuracin y
permitiendo monitorizar el estado de estos dispositivos.

FORTINET - FAST, SECURE, GLOBALPgina 101 de 106

3.2.

Gestin Centralizada con FortiManager

FortiManager es la plataforma de gestin centralizada de Fortinet.


FortiManager permite la centralizacin de las acciones que se han
de llevar a cabo en los equipos FortiGate permitiendo un rpido
despliegue de los proyectos de seguridad, el mantenimiento y
actualizacin de los distintos dispositivos FortiGate y su
monitorizacin en tiempo real. Adems, con FortiManager se puede
gestionar la suite de PC FortiClient y el gestor de logging y
reporting FortiAnalyzer, presentando una nica interfaz de gestin
para todos los elementos de seguridad. As mismo, la plataforma
FortiManager se puede utilizar como servidor de actualizacin de
firmas de los equipos FortiGate, como si fueran un nodo ms de la
red FDN, pero formando parte de la red del propio usuario,
pudiendo de esta manera centralizar la gestin de las descargas de
seguridad de los equipos.
El lineal actual de FortiManager se compone de distintos equipos
fsicos, aportando soluciones de gestin centralizada a todos los
entornos de seguridad posibles. Cada modelo es capaz de gestionar
un nmero definido de dispositivos Fortigate o de VDOM
configurados en estos.
Estos equipos soportan diversas funcionalidades, por ejemplo, la
gestin por parte de un administrador de mltiples ADOMs o
dominios
administrativos. Adems, posibilita
que ciertas
caractersticas de los dispositivos sean gestionadas a travs de un
perfil de dispositivo, en vez de desde la base de datos de gestin de
dispositivos. Asimismo, tambin permiten crear perfiles de tiempo
real o RTM (Real Time Monitor). De igual modo, tambin es posible
activar y monitorizar FortiTokens asociados a dispositivos
FortiGate.
Otra ventaja importante radica en que cuando hay equipos en alta
disponibilidad y el maestro cae, el esclavo se presenta como nuevo
maestro sin necesidad de reiniciarse. Adems es tambin
perfectamente compatible con IPv6.

3.3.

FortiManager Virtual Appliance

Los dispositivos FortiManager Virtual Appliance son los appliances


de gestin de Fortinet con soporte en formato mquina virtual y
creados para operar en las principales plataformas de
virtualizacin. Estos appliances virtuales se componen de las
mismas caractersticas que sus homlogos hardware, pero en
formato virtual. Tanto los equipos fsicos como los virtuales pueden
realizar labores de servidor local Fortiguard al completo y un

FORTINET - FAST, SECURE, GLOBALPgina 102 de 106

appliance virtual puede gestionar indistintamente FortiGates fsicos


o virtuales, lo mismo que el appliance fsico FortiManager.

3.4.

Registro de Logs

La capacidad de registro de eventos, trfico y aplicaciones puede


ser habilitada tanto a nivel global como en cada una de las polticas
definidas a nivel de firewall permitiendo configurar un elevado
nivel de detalle y de forma independiente cada uno de los registros
que se requieren.

FORTINET - FAST, SECURE, GLOBALPgina 103 de 106

As, por cada poltica, de forma granular, se puede escoger una de


las siguientes opciones:

No Log: no hace login de los eventos.


Log Security Events: guarda un registro de los eventos UTM
producidos.
Log all Sessions: guarda un registro de log para cada sesin
que se genera.
Generate logs when Session Starts: Genera un log cada vez
que una sesin comienza (al igual que cuando finaliza).
Capture packets: Realiza una captura de todo el trfico que
machea en la regla y lo almacena en el disco duro.

Estos registros pueden ser almacenados localmente en memoria o


en disco, (en aquellas unidades que dispongan de l) o bien en un
servidor externo como pueden ser un syslog o la plataforma
FortiAnalyzer. Para ms seguridad, se pueden enviar los logs
cifrados.

FortiGate tambin dispone de la capacidad de generar informes de


forma local, utilizando para ello los logs almacenados en sus discos.
Uno de estos informes permite evaluar el cumplimiento PCI DSS a
nivel global o a nivel de VDOM:

FORTINET - FAST, SECURE, GLOBALPgina 104 de 106

3.5.
Registro centralizado y gestin de informes
con FortiAnalyzer
FortiAnalyzer es una plataforma dedicada al registro centralizado
de logs y la gestin y tratamiento de los mismos. FortiAnalyzer
posee la capacidad de generar ms de 350 grficas e informes
diferentes que nos aportan informacin detallada sobre los eventos
registrados a nivel de Firewall, ataques, virus, VPN, utilizacin
web, anlisis forense, etc. Entre los posibles informes cabe
destacar:

Informes de ataques: ataques registrados por cada equipo


FortiGate, sealando el momento en el que son registrados, e
identificados a las fuentes ms comunes de ataque
Informes de virus: top virus detectados, virus detectados por
protocolo
Informe de Eventos: eventos propios de la mquina, de
administracin de la misma, etc.
Informe de utilizacin del correo electrnico: usuarios ms
activos en envo y recepcin, ficheros adjuntos bloqueados
identificados como sospechosos.
Informe de utilizacin del trfico web: usuarios web top,
sitios bloqueados, usuarios de mayor frecuencia de intento de
acceso a sitios bloqueados, etc.
Informe de utilizacin de ancho de banda: informes de uso
del ancho de banda por usuario, da, hora y protocolo
Informes por protocolo: Protocolos ms utilizados, usuarios
ftp /telnet top.

FortiAnalyzer incluye un registro histrico y en tiempo real del


trfico de cada uno de los equipos FortiGate gestionados, as como
una herramienta de bsqueda en los logs.
FortiAnalyzer presenta un amplio lineal con soluciones para todo
tipo de proyectos, tanto en formato fscio como appliance virtual
para las principales plataformas de virtualizacin.
Aparte de la capacidad de generacin de informes y de la gestin
de los logs de las distintas plataformas FortiGate, FortiAnalyzer

FORTINET - FAST, SECURE, GLOBALPgina 105 de 106

puede actuar como gestor de alertas bajo determinadas


condiciones configurables por el administrador de seguridad. De
esta forma se centralizan las alertas de seguridad en un nico
dispositivo evitando la dispersin y las dificultades de gestin
asociadas a esta. Como elementos de anlisis de la red
FortiAnalyzer cuenta con un monitor de trfico en tiempo real y un
escner de vulnerabilidades que permiten conocer en todo
momento el estado de la seguridad en el entorno aportando la
capacidad de actuar sobre los puntos dbiles o las vulnerabilidades
detectadas. Para facilitar al mximo las tareas de bsqueda de logs,
existen mdulos de anlisis forense y de correlacin de eventos que
permiten encontrar la informacin necesaria sin la prdida de
tiempo tpicamente asociada a la bsqueda en ficheros de log
independientes y descentralizados.
Algunas de las funcionalidades ms destacables son:

Log arrays, que soportan el acceso a logs e informes basados


en grupos de dispositivos, los cuales pueden formar parte de
un HA.
Permite logar trfico proveniente de endpoints de FortiClient.
Es posible generar informes para un grupo de dispositivos.
Genera informes basados en la reputacin del cliente o client
reputation.
Backups/restore de logs e informes.
Generacin de alertas basadas en ciertos filtros sobre los logs
recibidos.
Nuevos grficos y datasets para wireless.
Mejora de la gestin SNMP y de los MIBs.
Herramienta mejorada para tests y realizacin de queries y
muestra de resultados.

FORTINET - FAST, SECURE, GLOBALPgina 106 de 106