Copia de FORTINET-DocumentoDescriptivo FortiGate-2016

DOCUMENTO DESCRIPTIVO
FORTIGATE
Resumen de funcionalidades
FORTINET - FAST, SECURE, GLOBAL Página 1 de 90

ÍNDICE
1. INTRODUCCIÓN ............................................................................................................... 4
1.1. Acerca de FortiGate ................................................................................................... 4
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS .............................................. 5
2.1. La Arquitectura FortiGate ......................................................................................... 5
2.2. IPv6 ............................................................................................................................... 8
2.3. Modalidad NAT o Transparente .............................................................................. 9
2.4. Inspección en modo Proxy o Flow ........................................................................ 10
2.5. Proxy Explícito .......................................................................................................... 10
2.6. Dominios Virtuales (VDOM) ................................................................................. 11
2.7. Fortiview .................................................................................................................... 12
2.8. Routing ....................................................................................................................... 14
2.8.1. Enrutamiento Estático Redundante .............................................................. 14
2.8.2. Policy Routing .................................................................................................. 15
2.8.3. Enrutamiento Dinámico ................................................................................. 16
2.9. Alta Disponibilidad ................................................................................................... 17
2.10. Optimización WAN ................................................................................................. 19
2.11. Autenticación de Usuarios ....................................................................................... 21
2.12. Firewall ....................................................................................................................... 23
2.12.1. Definición de Políticas .................................................................................... 25
2.12.2. Inspección SSL y SSH ..................................................................................... 26
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL ..................... 28
2.12.4. Calidad de Servicio (QoS) ............................................................................... 30
2.12.5. Soporte VoIP.................................................................................................... 32
2.13. Redes Privadas Virtuales (VPN) ............................................................................. 33
2.13.1. Internet Protocol Security (IPSec)................................................................. 33
2.13.2. Point-to-Point Tunneling Protocol (PPTP) ................................................. 36
2.13.3. L2TP over IPSEC (Microsoft VPN) ............................................................ 37
2.13.4. GRE over IPSEC (Cisco VPN)..................................................................... 37
2.13.5. Wizard................................................................................................................ 38
2.13.6. VPN SSL ........................................................................................................... 38
2.14. AntiMalware............................................................................................................... 40
2.14.1. Escaneo de Firmas (Signature Scaning) ........................................................ 43
2.14.2. Escaneo Heurístico .......................................................................................... 43
2.14.3. Escaneo basado en CPRL .............................................................................. 44
2.14.4. Advanced Threat Protection (ATP) .............................................................. 44
2.14.5. Actualización de la Base de Firmas y Motor de Escaneo .......................... 46
2.14.6. Activación del Servicio mediante Perfiles de Protección ........................... 47
2.14.7. Mensajes de Reemplazo en Ficheros Infectados......................................... 48
2.15. Detección y Prevención de Intrusión (IDS/IPS) ................................................. 48
2.15.1. Métodos de Detección .................................................................................... 51
2.15.2. Prevención de Intrusiones en Tiempo Real ................................................. 52
2.15.3. Activación del Servicio mediante Sensores .................................................. 53
2.16. Control de Aplicaciones ........................................................................................... 55
2.17. Filtrado de Tráfico Web (URL Web Filtering) ..................................................... 58
2.17.1. URL Filtering mediante uso de listas locales ............................................... 58
2.17.2. Filtrado de Contenido mediante listas locales ............................................. 59
2.17.3. Filtrado de Java / Scripts / Cookies ............................................................. 59

2.17.4. Servicio Fortiguard Web Filtering ................................................................. 60
2.17.5. Filtrado basado en cuotas ............................................................................... 62
2.17.6. Filtrado de Contenido en Cachés .................................................................. 62
2.17.7. Activación del Servicio mediante Perfiles de Protección ........................... 63
2.17.8. Mensajes de sustitución en web filter ........................................................... 65
2.18. AntiSpam.................................................................................................................... 65
2.18.1. Servicio Fortiguard AntiSpam........................................................................ 68
2.18.2. Más características FortiGuard ...................................................................... 69
2.19. Data Leak Prevention (Prevención de Fuga de Datos) ....................................... 69
2.20. WAF (Web application firewall) ............................................................................. 71
2.21. CASI (Cloud Access Security Inspection) ............................................................. 72
2.22. DNS Filter.................................................................................................................. 73
2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C ... 73
2.22.2. Filtro de URLs estático ................................................................................... 73
2.23. External security devices .......................................................................................... 74
2.1. Controlador Switches - FortiLink........................................................................... 74
2.2. Controlador Wifi ....................................................................................................... 74
2.3. Identificación de Dispositivos - BYOD ................................................................ 76
2.4. Seguimiento de amenazas (Reputación de clientes) ............................................. 77
2.5. FortiGate Virtual Appliance .................................................................................... 78
2.6. Wan link load balance .............................................................................................. 80
2.6.1. Algoritmos de balanceo .................................................................................. 81
2.6.2. Wan Links ......................................................................................................... 81
2.6.3. Reglas de prioridad .......................................................................................... 82
2.7. Control del EndPoint ............................................................................................... 82
2.8. Virtual wire pair ......................................................................................................... 83
2.9. FortiExtender ............................................................................................................ 85
3. GESTIÓN DE LOS EQUIPOS FORTIGATE ............................................................85
3.1. Tipo de gestión .......................................................................................................... 85
3.2. Gestión Centralizada con FortiManager ............................................................... 86
3.3. FortiManager Virtual Appliance ............................................................................. 87
3.4. Registro de Logs........................................................................................................ 88
3.5. Registro centralizado y gestión de informes con FortiAnalyzer ........................ 89

1. INTRODUCCIÓN
1.1. Acerca de FortiGate
Las plataformas de seguridad FortiGate constituyen una nueva generación de equipos de

seguridad de muy alto rendimiento que garantizan la protección completa de los Sistemas
de empresas de cualquier tamaño tiempo real.
FortiGate, líder del mercado, proporciona una solución integrada de seguridad compuesta
por las funcionalidades más eficaces que proporcionan una protección completa de las
comunicaciones, como son: Firewall, VPN (IPSEC y SSL), Antimalware, Anti-Botnet,
Anti-DOS, Sistemas de Detección/Prevención de Intrusiones, Filtrado Web, Antispam,
Control de Aplicaciones, Inspección de Contenido en SSL, firewall de aplicaciones WEB
e inspección del acceso a aplicaciones cloud (CASI). Además, todas las funcionalidades de
seguridad se integran de forma conjunta con funcionalidades añadidas como Traffic
Shaping, Alta Disponibilidad, balanceo de carga, Aceleración y balanceo Wan, Soporte a
VoIP, Controlador Wireless, Enrutamiento dinámico RIP, OSPF y BGP, etc.
El gran abanico de equipos FortiGate existente permite diseñar soluciones adaptadas a las
diferentes necesidades de cada entorno, disponiendo en todos ellos de las mismas
funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS, que es similar
en todos los equipos FortiGate, independientemente de la gama a la que pertenezcan.
Los equipos FortiGate pueden considerarse como equipos “todo en uno”, configurados para
proporcionar todo el conjunto de funcionalidades de seguridad más importantes en el
mercado de una forma sencilla, pero también pueden ser considerados como un appliance
de seguridad especializado en una o varias de las funcionalidades de las que dispone,
obteniendo un equipo de alto rendimiento y prestaciones sin competencia.
La familia de dispositivos Fortinet se extiende con equipos que complementan las

funcionalidades de los propios FortiGate:
 La plataforma FortiManager, que permite la gestión, administración y

configuración desde un único punto centralizado de miles de equipos FortiGate
que estén distribuidos en nuestro entorno de comunicaciones.
 Los equipos FortiAnalyzer, que proveen de una potente herramienta de gestión y

análisis de logs, generación periódica y automatizada de informes configurables por
el administrador, así como herramientas complementarias de análisis forense,
análisis de vulnerabilidades o scanning de red.
 Los puntos de acceso Wireless, FortiAP, que junto con la funcionalidad de

controlador Wifi de los equipos Fortigate, permiten aplicar políticas de seguridad
al tráfico Wifi de la misma manera que al tráfico LAN, garantizando una gestión
simple y centralizada de la seguridad de una compañía independientemente de que
los usuarios accedan por LAN, Wifi o VPN.
 Las plataformas de protección ante amenazas Avanzadas FortiSandbox, que

permiten elevar el nivel de protección, al ser capaces de analizar el comportamiento

del malware desconocido, evitando que infecte las redes y sistemas protegidas por
este dispositivo
 El software FortiClient, como completo agente de seguridad para el puesto de

usuario, dotado de las funcionalidades de Firewall, Antimalware, AntiSpam, Web
Filter, Control de Aplicaciones e integración con FortiSandbox, siendo también
cliente VPN IPSec para el establecimiento de túneles con los equipos FortiGate.
Permite que se apliquen políticas en el firewall en función del cumplimiento de las
políticas de seguridad en el puesto de usuario, así como seguir manteniendo las
políticas de seguridad corporativas una vez el equipo ha salido del entorno
corporativo
FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo están disponible en

formato appliance físico, también existen versiones de tipo appliance virtual homólogo,
que puede ser desplegado en las principales plataformas de virtualización del mercado.
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS

2.1. La Arquitectura FortiGate
La tecnología Fortinet es una poderosa combinación de software y hardware basada en el

uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés
como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido
del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las
comunicaciones.
La tecnología incluye los Procesadores FortiASIC™ y el Sistema Operativo FortiOS™ los

cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento
ofrecido por los equipos.
Los procesadores FortiASIC™, diseñados por Fortinet, poseen un motor propietario de

análisis de contenido que acelera los intensivos procesos de análisis requeridos por la
seguridad a nivel de aplicación (Antimalware, filtrado de contenidos y procesos
relacionados), estos procesos tendrían un rendimiento mucho más bajo y una mayor
latencia si fueran llevados a cabo por procesadores de propósito general.

El Sistema Operativo FortiOS™ es un sistema robusto y eficiente, diseñado y dedicado a
los procesos propios de una plataforma de seguridad.
FortiASIC™
La exclusiva arquitectura basada en ASIC

empleada por los equipos Fortinet permite el
análisis del contenido del tráfico en tiempo
real, satisfaciendo todas las necesidades de
protección a nivel de aplicación sin impactar
en el rendimiento de la red.
El procesador FortiASIC™ posee múltiples características que hacen posible su alto

rendimiento:
 Contiene un motor hardware que acelera el análisis de las cabeceras de cada

paquete y del contenido ensamblado de los paquetes de una conexión, acelerando
de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser
capaz de identificar a velocidad de línea el flujo al que pertenece cada paquete.
 Posee un potente motor de comparación de firmas que permite contrastar el

contenido del tráfico de una sesión contra miles de patrones de firmas de virus,
ataques de intrusión, reconocimiento de aplicaciones u otros patrones sin
comprometer el rendimiento de la red. Este motor de análisis re-ensambla los
paquetes pertenecientes a un mismo mensaje en memoria, carga las firmas
necesarias y realiza una búsqueda por comparación de patrones, todos estos
procesos se realizan a nivel de hardware con la ganancia en velocidad que eso
supone.
 FortiASIC™ incluye también un motor de aceleración de cifrado que permite

realizar cifrado y descifrado de alto rendimiento para el establecimiento de las
Redes Privadas Virtuales o VPN.
Diferentes flujos, diferentes velocidades: Gracias a los procesadores FortiASIC el flujo

de tráfico que atraviesa un dispositivo FortiGate, se trata a diferentes velocidades en
función de que los paquetes se inspeccionen o no por los diferentes motores de filtrado.
Así un paquete que solo se inspecciona a nivel de Firewall, se procesará a la velocidad
máxima que puede proporcionar el hardware para este flujo y solo el tráfico que se
inspeccione a través del motor de IPS, Antimalware, etc. (por ejemplo), permitirá el caudal
máximo según las especificaciones hardware de cada equipo para dicho motor de
inspección.
Aceleración hardware para puertos de red: NP6 (Network Processor v6)
El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red
está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la
sustitución de IP's cuando se habilita NAT, el seguimiento del tráfico a través de las tablas
de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino,
permitiendo sólo las conexiones legítimas a nivel de política de seguridad así como todo el

tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones como es
el caso de FTP o los protocolos de voz, por ejemplo. Este trabajo debe ser realizado
independientemente del payload del protocolo en cuestión y para cada uno de los paquetes
que compongan una sesión a nivel de aplicación.
Cuando los protocolos

en uso se basan en una
gran cantidad de
paquetes con un
payload bajo, el trabajo
que ha de llevarse a cabo
en el firewall es mucho
mayor, ya que este
depende
exclusivamente de la
cantidad y no del
tamaño de los paquetes
y debido a que en un
mismo volumen de
datos se han de procesar
un número mucho mayor de cabeceras y entradas de las tablas de estado así como de
decisiones de enrutamiento. Esta circunstancia, provoca que los equipos que sólo utilizan
CPU's de propósito general para realizar las tareas necesarias puedan verse seriamente
afectados ante estos tipos de tráfico, llegando a decrementar su rendimiento de tal forma
que se introducen retardos en la red e incluso es necesario descartar paquetes debido a la
saturación de la CPU del equipo. Esta saturación provoca retardos inadmisibles en
determinados protocolos y además afecta al resto del tráfico de la red haciendo que la
calidad del servicio se vea afectada muy negativamente.
Queda entonces patente que el troughput de un equipo está directamente relacionado con
el tipo de tráfico que se está generando en la red y no sólo con su volumen, y que además,
los números comúnmente expuestos en las hojas de producto son imposibles de alcanzar
en entornos de tráfico característico de aplicaciones multimedia y convergencia IP como
pueden ser el streaming de video o los protocolos RTP para VoIP.
La solución en este tipo de entornos, pasa por el uso de tecnologías de aceleración

hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestión de
las cabeceras de forma rápida y sin influir en el trabajo de la CPU principal, liberando a
esta de la carga del procesamiento de las cabeceras de los paquetes, el mantenimiento de
las tablas de estado o las decisiones de enrutamiento.
Para cumplir con este requerimiento, la familia de equipos físicos FortiGate, incluye en su
lineal dispositivos equipados con puertos acelerados (Network Processor) NP6. Mediante
el uso de circuitos integrados de aplicación específica (ASIC) que dan servicio exclusivo a
este tipo de puertos, se acelera la inspección de paquetes a nivel del propio puerto,
liberando a la CPU e imprimiendo velocidad de línea a las transmisiones que los atraviesan,
sea cual sea el tamaño de paquete utilizado. De esta forma, se puede mantener un
troughput continuo de forma optimizada en las comunicaciones, de manera que el nivel
de servicio de los protocolos más sensibles, y por extensión el resto de tráfico de la red, no
se vea afectado, ya sea en entorno multi-gigabit, 10G, 40G o 100G, pues existen

dispositivos FortiGate con diferentes combinaciones puertos de 1G (fibra y/o cobre) ,
10G (fibra y/o cobre), 40G, 100G, PoE, etc.
Algunos modelos de FortiGate (revisar hoja de datos) disponen de un Switch hardware en

su interior con soporte STP (Spaning Tree Protocol).
Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su
portfolio de productos, haciendo que las redes puedan seguir funcionando con normalidad
ante protocolos que hacen uso extensivo de paquetes pequeños, como los asociados a los
protocolos de VoIP, las aplicaciones multimedia o el tráfico de sincronización de los
motores de base de datos.
El core de esta tecnología consiste en el uso de FortiASIC NP6 para dar servicio a varios
puertos de red de un equipo, así será el FortiASIC y no la CPU principal, el que lleva a
cabo el procesamiento de los paquetes que entran en cada puerto físico del appliance,
haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar
ciclos de liberación de la CPU principal.
Aceleración hardware FortiASIC CP8/9 (Content Processor v8/9)
Del mismo modo que NP6 acelera el rendimiento y disminuyen la latencia al inspeccionar
el tráfico de red, los procesadores FortiASIC CP 8/9 son capaces de acelerar las tareas
intensivas de computación, como la inspección de contenido en capa 7.
Aceleración hardware FortiSoC2
La gama “entry level” de equipos FortiGate dispone de un procesador específico

desarrollado por Fortinet que proporciona un rendimiento óptimo a un coste adaptado al
presupuesto de los clientes a los que van dirigidos estos equipos, generalmente pequeñas
y medianas empresas o también oficinas remotas con pocos usuarios y líneas de
comunicaciones de bajo caudal.
FortiOS™
El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de

conmutación de alto rendimiento. El núcleo de FortiOS™ es un kernel dedicado,
optimizado para procesamiento de paquetes y trabajo en tiempo real. Provee además de
un interfaz homogéneo para cada una de las funcionalidades ofrecidas. Este sistema
operativo funciona sobre diversos modelos de procesadores de propósito general. Esta
flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate.
2.2. IPv6

Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva versión de firmware. En
la siguiente tabla, se pueden ver las funcionalidades soportadas más destacables, relativas a
IPv6:
 Políticas IPS por interface IPv6

 Rutas estáticas IPv6
 Objetos y grupos IPv6
 Políticas IPv6
 VPN IPSEC con direccionamiento IPV6
 Túneles IPv6 sobre IPv4
 DNS IPv6
 IPv6 en modo transparente
 Acceso administrativo IPv6
 Routing dinámico IPv6: RIP, BGP, OSPF
 Soporte UTM para tráfico IPv6: AV, Web filtering
 SSL VPN IPv6
 Monitor de sesiones IPv6
 Autenticación Firewall IPv6
 DHCP6
 Aceleración FW IPv6
 Soporte SNMP IPv6
 DLP para IPv6.
 VoIP, ICAP, y UTM IPv6
 NAT 64, NAT 66, DNS 64
 Política IPS forwarding IPv6
 HA sesión pick-up IPv6
 Sensor DOS IPv6
 Traffic shaping por IP para IPv6
 Policy routing IPv6
 Proxy explícito IPv6
 MIBS IPv6
 IPSec fase 2
 Rangos de IPs
 Configuracion de valores TCP MSS
 Soporte RSSO
 Base de datos de geolocalización
 Blackhole routing.
 TFTP session helper
 Mejoras en session helper de FTP, PPTP y RTSP.
 Routing asimétrico para ICMP.
2.3. Modalidad NAT o Transparente

Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de
funcionamiento: modo router/NAT o modo Transparente.
Trabajando en modo NAT el equipo actúa como un router, enrutando los paquetes entre
los diferentes interfaces físicos y/o lógicos del equipo, con la capacidad de realizar NAT.
Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar

los paquetes a través del mismo en función de las políticas definidas. El equipo FortiGate
no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestión del propio
equipo y actualización de firmas, a la que atiende por cualquiera de los interfaces). De este
modo, el equipo puede ser introducido en cualquier punto de la red sin necesidad de
realizar ninguna modificación sobre ningún otro dispositivo. El equipo FortiGate soporta
las mismas funcionalidades en ambos modos de funcionamiento (firewall, antimalware,
IPS, control de aplicaciones, web filtering, antispam).
También es posible combinar las dos funcionalidades y configurar en un mismo dispositivo

FortiGate.
2.4. Inspección en modo Proxy o Flow
El modo de inspección controla la forma que tiene FortiGate de aplicar y controlar los
perfiles de seguridad. Una vez configurado el modo de inspección, aplica de forma global
a todos los perfiles de seguridad, por lo que no es posible configurar una política con un
perfil de seguridad en modo proxy y otra regla con otro perfil en modo flow.
2.5. Proxy Explícito
FortiGate puede configurarse como un servidor Proxy (HTTP y FTP), de forma que los
navegadores de los equipos cliente lo utilicen de forma explícita para permitir la salida a
internet. El acceso a internet lo puede realizar el propio equipo FortiGate de forma directa
o bien utilizando otro proxy externo, configurando un proxy encadenado
(chaining/forwarding).
Es también posible establecer mensajes de aviso (tipo disclaimer) a nivel de usuario,

dominio o política, al utilizar el proxy explícito de FortiGate.
Distintos tipos de objetos se pueden utilizar en las polícitas de proxy explícito, como son:
 Objetos tipo VIP

 Patrón URL
 Host Regex
 Categoría URL
 Método HTTP
 Agente Usuario
 Cabecera HTTP
 Origen avanzado (combinación de Agente usuario, Método HTTP y cabecera
HTTP)

 Destino avanzado (combinación de Categoría URL y Host Regex)
Así mismo se implementan funcionalidades anti-botnet en el Proxy Explícito.
2.6. Dominios Virtuales (VDOM)
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre
una única plataforma física sea posible configurar hasta 500 Equipos virtuales
(dependendiendo del modelo de dispositivo), completamente independientes entre sí y con
todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate
disponen en su configuración básica de la capacidad de definición de dominios virtuales.
Se recomienda consultar la hoja de características de cada modelo donde se indica el
número de VDOM incluidos sin licencia adicional y las capacidades de ampliar este
número para los modelos de gama media o alta, en los que es posible ampliar el número a
250 VDOM o incluso 500 Dominios Virtuales en los equipos más altos de gama.
Cada uno de estos dominios virtuales representa de forma lógica una instancia
independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la
posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas
sobre cada máquina, etc.

2.7. Fortiview
FortiView es una consola incluida en el propio interface gráfico de FortiGate, que no

requiere licencia y que mejora la visibilidad de las aplicaciones, amenazas, sitios web, etc.
que se están utilizando en la red. La visualización se puede realizar en tiempo real o basada
en datos históricos.
Cada ventana de FortiView muestra inicialmente las 100 sesiones top, aunque cuando se
filtran los resultados, se pueden mostrar más sesiones. El filtrado se puede realizar por
diferentes atributos, estos atributos se pueden seleccionar desde un menú localizado al
principio de cada widget, que muestra solo las opciones que contienen información, por
ejemplo, si las únicas aplicaciones utilizadas son Dropbox, SSL y Skype, estas serán las
únicas opciones que aparecerán en el menú desplegable para filtrar por aplicaciones.
A continuación se indica la información disponible en los diferentes widget de FortiView:

 Orígenes
Este widget muestra información sobre los orígenes del tráfico que llega al
Fortigate, incluyendo información del usuario y del dispositivo. Se pueden añadir
columnas adicionales con información sobre sesiones, bytes enviados o recibidos.
Además se puede filtrar por IP de origen, dispositivo de origen, interface de origen
o destino e identificador de política.
 Aplicaciones
Para obtener información de Aplicaciones, es necesario que al menos una política
de seguridad tenga aplicado el control de aplicaciones.
Este widget muestra información sobre las aplicaciones que se están utilizando en
la red, incluyendo el nombre, categoría y nivel de riesgo de la misma. Se pueden
añadir columnas adicionales con información sobre sesiones y bytes enviados o
recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origen o
destino e identificador de política.
 Aplicaciones Cloud
Este widget requiere al menos una política con la inspección SSL además del
control de aplicaciones
Contiene información acerca de las aplicaciones en la nube que se han usado en la
red: nombre, categoría, nivel de riesgo, identificador de login y el número de videos
visualizados (si aplica). Si se deja el cursor sobre la columna que muestra el número
de videos, se podrá ver el título de los mismos. Se pueden también añadir columnas
adicionales con las sesiones, bytes enviados o recibidos.
Existen dos posibles formas de ver las aplicaciones Cloud: Aplicaciones y Usuarios.
Aplicaciones muestra una lista de los programas utilizados, mientras que Usuarios,
muestra información de usuarios individuales que utilizan aplicaciones Cloud,

incluyendo el nombre del usuario si el FortiGate ha podido obtener esta
información en el momento del login. También permite filtrar por aplicación,
interface de origen o destino e identificador de política.
 Destinos
Se muestra información sobre la IP de destino del tráfico del Fortigate, así como
la aplicación que se ha utilizado. Se pueden añadir columnas adicionales con
información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo permite
filtrar por aplicación, interface de origeno destino e identificador de política.
 Sitios Web
Este widget requiere al menos una política con Web Filtering habilitado. Muestra
una lista de los sitios web más visitados y de los más bloqueados. Se puede ver la
información por dominio o por categoría, utilizando las opciones disponibles en la
esquina superior derecha. Cada categoría puede ser pulsada para ver una
descripción de la misma, así como sitios web de ejemplo. Se han añadido iconos a
los grupos de categorías y se muestra además información sobre el dominio, el
tiempo de uso, el nivel de amenaza, orígenes y bytes enviados o recibidos.
También permite filtrar por aplicación, interface de origen o destino e identificador

de política.
 Amenazas
Para que este widget pueda mostrar información, se debe habilitar la opción de
tracking de amenazas.

Se muestra un listado de los usuarios top involucrados en incidentes, así como
información del top de amenazas en la red. Se puede mostrar información adicional
acerca de la amenaza, la categoría, el nivel de amenaza, el peso y el número de
incidentes detectados. También puede ser filtrado por interface de origen o
destino, tipo de amenaza, amenaza e identificador de la política.
 Todas las sesiones

Muestra información relativa a todo el tráfico del Fortigate. Se pueden elegir las
columnas a visualizar en la opción “Column Settings” y colocarlas en el orden
deseado a través del menú contextual que aparece al pulsar el botón derecho del
ratón.
Se puede filtrar por IP de origen o destino, aplicación, dispositivo de origen,

interface de origen o destino e identificador de política. En caso de haber aplicado
un filtro en algún widget anterior antes de visualizar el widget de todas las sesiones,
dicho filtro permanecerá activo hasta que se limpie de forma manual.
La información histórica que muestra FortiView se obtiene a partir de los logs almacenados
en el propio FortiGate, por este motivo los dispositivos más pequeños que constan
únicamente de un disco flash, en lugar de SSD, no podrán obtener información histórica.
2.8. Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1 y
v2), OSPF (IPv4 ó IPv6) y BGP v4 (mediante BGP4+ soportado IPv6), así como con
enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento
estático (IPv4 ó IPv6) y ofrecer la posibilidad de realizar policy routing y balanceo de líneas
WAN, permitiendo incluso la utilización de distinta línea en función del tráfico de las
distintas aplicaciones.
2.8.1. Enrutamiento Estático Redundante
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De este
modo, cuando la puerta de enlace definida como primaria no esté disponible, el equipo
FortiGate encaminará los paquetes por el segundo gateway definido.
Para poder detectar la caída de cualquiera de los elementos que componen el camino de
salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping
Server que permite monitorizar el estado de dicho camino mediante el envío de paquetes
ICMP contra cualquier nodo de ese camino.

Un ejemplo de configuración seria este:
config system link-monitor

edit "link1"
set srcintf "wan1"
set server "8.8.8.8"
set gateway-ip 192.168.36.254
next
end
Además se puede ver el estado de cada link monitor en Monitor -> WAN Link Monitor
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino
no está disponible y comienza a utilizar el siguiente gateway definido.
De este modo se puede emplear la plataforma FortiGate para configurar múltiples

conexiones a Internet, soportando redundancia entre ellas mediante ECMP (Equal Cost
Multi-path).
Se puede implementar ECMP en 3 modos distintos:
 source-ip-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en

función de las direcciones IP origen.
 weight-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en
función de los pesos establecidos en cada ruta estática de igual coste.
 usage-based: Se balancea el tráfico entre las distintas rutas de salida en función del
porcentaje de uso de un interfaz. Una vez superado el porcentaje predefinido para
un interfaz, comenzarán a utilizarse la ruta de salida ligada a otro interfaz.
2.8.2. Policy Routing
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de

posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se
realice únicamente en función de la red de destino, sino teniendo en cuenta también los
siguientes parámetros:
 Interfaz Origen y red de origen

 Protocolo, servicio o rango de puertos tanto de origen como de destino y ToS.
Configuración Policy routing
De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80) fuese
redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro, logrando
de este modo balancear la carga entre dos interfaces de conexión a Internet, sin perder la
redundancia de los mismos.
2.8.3. Enrutamiento Dinámico
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1
y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse
Mode y Dense Mode, de modo que se permite la integración de las plataformas en entornos
de red más complejos.

2.9. Alta Disponibilidad
La capacidad de trabajar en clúster de alta disponibilidad (HA) dota a los equipos FortiGate
de redundancia ante fallos. Además el clúster puede configurarse en modo activo-activo
haciendo balanceo de carga del tráfico, en modo activo/pasivo en la que un único equipo
procesa el tráfico de la red y es monitorizado por los demás para sustituirle en caso de
caída, o en modo Virtual Cluster (solo para 2 nodos), que permite establecer diferentes
clusters activo/pasivo a nivel de VDOM.
Todos los modelos de FortiGate pueden ser configurados en clúster, proporcionando

escenarios de alta disponibilidad mediante la utilización de varios equipos redundantes
entre sí, empleando un protocolo específico para la sincronización del clúster (Fortigate
Cluster Protocol / FGCP)
FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es
recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así como
tener instalada la misma versión del Sistema Operativo FortiOS (firmware)
Otras características del HA en FortiGate:
 Modo NAT y modo transparente

 Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate
100D
 Soporte de sincronización de la configuración en modo standalone (sincronizacion
sin clúster)
 Soporte HA para autenticación VPN SSL
HA Heartbeat
Los miembros del clúster se comunican entre ellos a través de un protocolo propietario
denominado HA Heartbeat. Este protocolo se utiliza para:
 Sincronizar la configuración entre los equipos

 Sincronizar la tabla de sesiones activas tanto de firewall como de VPN
 Informar a los otros miembros del clúster del estado del equipo y sus enlaces
Los interfaces empleados para el intercambio de información entre los equipos del clúster
son definidos por el administrador del equipo, si bien no existe la necesidad de que sean
enlaces dedicados a esta función y permiten que dichos enlaces sean empleados para
transmitir tráfico de producción, es recomendable establecer interfaces dedicados siempre
que sea posible.
Igualmente es recomendable que los interfaces empleados para la transmisión de esta

información sean configurados en modo redundante, es decir, que el administrador defina

varios enlaces para realizar esta función, de modo que si alguno fallara la información
pasaría a transmitirse de forma automática por otro enlace al que se le haya asignado esta
tarea.
Dado que los equipos que forman parte del clúster se intercambian información sobre las
sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a estas
sesiones, realizándose una protección ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con
objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en el cluster,
en el supuesto caso de una caída de alguno de los interfaces monitorizados.
Modos Activo-Activo y Activo-Pasivo
Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o

en modo activo-pasivo. Ambos modos de funcionamiento son soportados tanto en modo
transparente como en modo NAT (router).
Configuración de Alta Disponibilidad
Un clúster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el

tráfico y uno o más equipos subordinados que están conectados a la red y al equipo
primario, pero no procesan tráfico alguno. No obstante los nodos secundarios pueden
tener una copia de la tabla de sesiones si se habilita la opción “Enable Session Pick-up”
El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades
que componen el clúster. Cada FortiGate procesa activamente las conexiones existentes y
monitoriza el estado de los otros nodos del clúster. El nodo primario procesa el tráfico y
redistribuye el tráfico entre los diferentes equipos que forman parte del clúster.

Virtual Clustering
Cuando 2 equipos configurados en alta disponibilidad existen diferentes Dominios

Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los
equipos que forman el clúster, configurándolos en modo activo-pasivo pero estableciendo
diferentes nodos activos para cada grupo de Dominios Virtuales o VDOMs. De este
modo, el tráfico de un grupo de dominios virtuales será procesado por uno de los nodos,
mientras que el otro grupo de VDOMs enviará su tráfico hacia el otro nodo,
estableciéndose de este modo un balanceo de carga en función del dominio virtual.
CUSTOMER A CUSTOMER B CUSTOMER C CUSTOMER D

VDOM VDOM VDOM VDOM
CUSTOMER A CUSTOMER B CUSTOMER C CUSTOMER D

VDOM VDOM VDOM VDOM
Compartir solo la tabla de sesiones
Este modo de configuración especial permite compartir la tabla de sesiones entre dos
equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es
posible configurar este modo de manera que los equipos FortiGate compartan un único
fichero de configuración, aportando al administrador la posibilidad de realizar los cambios
de forma centralizada, como si de un clúster se tratara, pero sin existir mecanismos de
monitorización entre los nodos, como si ocurre en un clúster tradicional FGCP.
VRRP (Virtual Router Redundancy Protocol)
Es posible configurar el protocolo VRRP entre equipos FortiGate e incluso entre equipos
de otro fabricante y un dispositivo FortiGate. Este protocolo solo trabaja a nivel de
routing, por lo que no es posible compartir la tabla de sesiones cuando se hace uso del
mismo.
2.10. Optimización WAN
La optimización o aceleración WAN posibilita la mejora y el incremento de rendimiento y

seguridad en comunicaciones a través de redes de área extensa, como puede ser el caso de
Internet o MPLS. Esta función está disponible por VDOM (firewall virtual)
configurándose de manera independiente para cada uno de ellos, lo que dota de mucha
flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios
gestionados.
Los FortiGate que soportan esta funcionalidad son aquellos que constan de
almacenamiento interno.
La tecnología de compresión utilizada es propietaria de Fortinet, no compatible con

aceleradores de terceros, pero sí lo es con el cliente Forticlient.

Las principales funcionalidades aportadas son la optimización de la comunicación,
reducción del ancho de banda consumido, gracias a la optimización del protocolo de
comunicación utilizado, byte caching, web caching y la posible securización de la
comunicación cliente/servidor a través de la red WAN gracias al establecimiento de un
túnel seguro. Con esto se reducen latencias, se incrementa el rendimiento y se garantiza la
privacidad en las transacciones.
Dicha tecnología requerirá el soporte en ambos extremos remotos de la tecnología de

optimización. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o
Forticlient WAN Optimization.
Además de ofrecer un alto grado de privacidad, gracias a la tunelización segura, esta

tecnología está incluida en un sistema de Firewall de reconocida reputación, con lo que se
dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos,
pudiendo aplicar reglas de Firewall necesarias para cumplir la política corporativa.
Técnica Web Caching
Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos

servidores y el ancho de banda utilizado, así como la percepción de latencia por el usuario
final.
Dicha técnica se basa en hacer caching de determinados objetos que intervienen

usualmente en estas transacciones. Se guardan contenidos como determinadas páginas
HTML, imágenes, respuestas de servlets y algunos objetos más. Para guardar estos objetos
(caching) se utilizará el disco duro o módulos opcionales con disco (ASM o FSM) del
equipo Fortigate.
Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN, además
los servidores que sirven estas peticiones deberán servir un número menor de
transacciones gracias a la técnica de caching de Fortigate y adicionalmente, la latencia
percibida por los usuarios se verá drásticamente reducida, ya que parte del contenido se
sirve localmente.
Para hacer simplemente caché tradicional de tráfico Web, no es necesario otro sistema
Fortigate en el otro extremo.
Optimización de Protocolos
Esta técnica mejora el uso del ancho de banda y la eficiencia de la comunicación. Requiere
el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleración
uno de los protocolos soportados como CIFS, FTP, HTTP o MAPI. Un ejemplo típico y
de extendido uso es el protocolo CIFS, que durante su establecimiento y mantenimiento

de sesión utiliza gran número de comunicaciones por lo que la compartición de archivos a
través de Internet suele ser bastante lenta. Gracias a la funcionalidad Protocol Optimization
provista, se reduce en gran medida el tiempo de espera de este tipo de transacciones.
Byte caching
Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les aplica
un hash único. A posteriori, se envían esos elementos hash al extremo remoto y este busca
coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este
modo la transferencia de un fichero se ve agilizada. Esta técnica no es específica de un
protocolo, por ejemplo un fichero X enviado vía email puede ser acelerado a posteriori en
una descarga web si el fichero es el mismo X.
Aceleración SSL
Gracias a los circuitos ASIC CP8/9 se acelera el cifrado/descifrado de trafico SSL.
Túneles seguros entre WAN Peers
Empleando túneles SSL se puede garantizar la privacidad de las comunicaciones dentro

del túnel WAN.
Estadísticas de Aceleración WAN
2.11. Autenticación de Usuarios
Las plataformas FortiGate soportan la autenticación de usuarios en diferentes

funcionalidades, como son:
Autenticación a través de políticas de Firewall. Cuando un determinado tráfico es

identificado por una política definida en el Firewall que tiene un objeto de tipo usuario o
grupo en el campo “origen”, el equipo decide si dicho tráfico es permitido o no en función
del usuario del que se trate, de esta forma la granularidad de las reglas puede llevarse a cabo
en función del origen del tráfico o en función del grupo de usuarios que generen el tráfico.
Esta autenticación puede realizarse contra una base de datos local creada en el propio
equipo, o bien contra servidores externos RADIUS, TACACS +, LDAP, Novel eDirectory

o Active Directory, pudiendo realizarse con estos 2 últimos una autenticación transparente
de los usuarios que pertenezcan al Directorio Activo de Microsoft o de Novel eDirectory.
Autenticación de usuarios VPN: Cuando un usuario intenta acceder la red interna a través
del servicio de acceso remoto VPN provisto por los equipos FortiGate, ya sea IPSec o SSL
la tecnología empleada, el equipo solicita la autenticación del usuario de forma previa a
establecer la conexión. Esta autenticación se puede realizar mediante una base de datos
local, o bien mediante la utilización de servidores externos (RADIUS, LDAP, AD, etc.).
FortiGate permite la utilización de un segundo factor de autenticación, ya sea a través del

envío de una password de un solo uso por correo electrónico o mediante SMS, así como
mediante la utilización de FortiToken, un generador de contraseñas de un solo disponible
en formato físico o software para Smart Phone.
Fortinet dispone de un protocolo propietario denominado FSSO (Fortinet Single Sign On)
que interactúa con el Servidor de Directorio Activo o Novel eDirectory. El protocolo
FSSO se basa en la utilización de un agente ligero software que se instala en un servidor
miembro del Directorio Activo y que desde ese momento establece un diálogo con el
equipo FortiGate. También es posible mediante polling desde el equipo FortiGate, realizar
consultas a los servidores del directorio, de modo que no se requiera la instalación del
agente ligero.
El modo de funcionamiento de FSSO consiste en que cada vez que un usuario se valida
en el servidor AD, el agente informa al equipo FortiGate de qué usuario se ha validado, a
qué grupo pertenece y qué dirección IP le ha sido asignada. En caso de haberlo configurado
con polling desde el propio FortiGate, este extrae dicha información del log de eventos
del Controlador/es de Dominio (DC) del Directorio Activo. A partir de ese momento,
cada vez que el usuario realice alguna operación que implique validación por parte del
Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la validación se
realiza de forma transparente gracias a la información que se han intercambiado el servidor
AD y el equipo FortiGate.
Otras funcionalidades relacionadas con la identificación de usuarios son:
 Acceso basado en SSO usando 802.1x, portal cautivo y FortiClient VPN

 Agente SSO para Citrix y Microsoft Terminal Services
 RSSO: SSO basado en Radius (Perfiles dinámicos)
 Soporte para servidores secundarios/backup de autenticación remota
 Pooling FSSO directamente desde el FortiGate
 Soporte de perfiles dinámicos para Proxy SSH
 Provisión de acceso a usuarios invitados

 Importación segura de semillas OTP
 Activación y gestión de soft Token (FortiToken Mobile para Android e IOS)
 API Json para soporte de Token
 Monitorización de servidor Microsoft Exchange para FSSO
2.12. Firewall
Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnología Stateful

Inspection Packet. Esto le permite hacer un análisis exhaustivo de la cabecera de cada paquete,
identificando la sesión a la que pertenece, chequeando el correcto orden de los paquetes y
realizando control sobre el tráfico de la red.
Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. Cada
vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las
direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se
trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden
correcto.
Este análisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicación

Específica FortiASIC, lo que permite a las plataformas FortiGate alcanzar un rendimiento
mayor y un número de nuevas sesiones por segundo superior al de cualquier solución
basada en la utilización de una CPU de propósito general.
Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y
destino.
Este modo de definición de las políticas permite optimizar el rendimiento y el

procesamiento de cada uno de los flujos, ya que para cada uno de los paquetes es
identificado su origen y su destino y enviado entonces al módulo de routing. Esta

organización permite que el paquete sea tan solo comparado contra las reglas definidas
entre esos interfaces, comenzando por la superior de todas y descendiendo hasta encontrar
aquella con que coincida en función de los diferentes parámetros configurables para cada
política (par origen/destino, usuario, servicio, calendario, etc.). Si no se encontrara ninguna
regla que coincidiera con el paquete analizado, éste sería descartado. Al tener que comparar
contra un grupo menor que el total de las reglas definidas, el tiempo requerido disminuye,
lo que agregado a la utilización de la tecnología FortiASIC confiere a los equipos FortiGate
un rendimiento inigualable como firewall, llegando hasta 1 Terabps en un chasis de la serie
5000.
Si se desea, es posible definir los interfaces de entrada y salida de tráfico como Any para
así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean sus
interfaces de entrada o salida.
Así mismo es posible establecer reglas definiendo más de un interface de entrada y/o
salida:

2.12.1. Definición de Políticas
Las políticas del firewall se definen en base a los siguientes criterios:
 Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces físicos del
equipo como a interfaces lógicos definidos como VLAN Interface, siguiendo el
estándar 802.1Q para marcado de tramas de cada VLAN. En caso de que se
requieran interfaces agregados (LACP/802.3ad*), es posible que más de un
interfaz físico pueda comportarse como uno único, o pueden establecerse como
Any para que se utilice cualquier interfaz de entrada o salida, así como seleccionar
más de un interface como origen o destino del tráfico. Igualmente si es necesario
implementar Proxy Explícito en el equipo, este también puede ser seleccionado
como interfaz para aplicar los perfiles de protección necesarios. Los interfaces
virtuales para definir VPN IPSEC o SSL, también se podrán seleccionar como
entrada o salida del tráfico. Por último la interfaz virtual wan-load-balance que se
crea cuando habilitamos la funcionalidad de balanceo de líneas, es otra interfaz que
se puede utilizar como destino del tráfico.
* Nota: Consultar la matriz de características de FortiOS 5.4 para identificar los

modelos de FortiGate que soportan esta funcionalidad.
 Programación: A cada política se le puede definir un horario tanto único como

recursivo, que permite acotar la aplicación de la regla a un espacio temporal
determinado en función de la hora, el día de la semana, mes o año. También es
posible establecer una programación con fecha de caducidad, de modo que la
política se procesará solo hasta la fecha/hora especificada.
 Direcciones o grupos de direcciones IP origen y destino y usuarios o grupos de

usuarios. En concreto en el campo de origen se puede especificar, aparte de IPs o
grupos de IPs, también usuarios y/o grupos de usuarios para proporcionar
autenticación a la regla.
 Tipo de dispositivo de origen. Para poder utilizar esta opción en la regla es

necesario tener habilitada la detección de dispositivos en la interfaz de origen.
 Protocolo, servicio o puertos TCP/UDP
 La política define la acción a tomar con aquellos paquetes que cumplan los criterios
definidos. Entre las acciones a realizar están:
o Permitir la conexión
o Denegar la conexión
 Realizar traducción de direcciones (NAT). Permitiendo realizar una traducción

estática de direcciones, o bien utilizar grupos de direcciones con objeto de realizar
NAT dinámico, y así mismo definir traducciones de puertos (PAT).
 Aplicar reglas de gestión de ancho de banda (Traffic Shaping). Este ancho de banda
puede ser especificado para toda la política, para cada IP, para todas las políticas
del firewall que utilicen un mismo perfil de Traffic Shapping. Es posible también

utilizar Traffic Shaping en un sensor de aplicaciones, de forma que se establezcan
límites de caudal al utilizar una determinada aplicación.
 Analizar el tráfico mediante perfiles adicionales de seguridad, como Antimalware,

AntiSpam, Detección/Prevención de Intrusiones, filtrado Web, DLP,
funcionalidades WAF o Control de Aplicaciones, mediante la definición de un
perfil de protección
 En cada política se puede habilitar el seguimiento de aquellas conexiones que

atraviesan el firewall de acuerdo a la política definida, con objeto de poder hacer
un registro de las conexiones establecidas a través del equipo.
La columna “Contador” que figura en las políticas de seguridad permite conocer el número
de veces que una política ha procesado tráfico, así como la cantidad de tráfico acumulado
que ha permitido o denegado una política (incluida la política implícita final para
denegación de todo el tráfico no permitido en políticas anteriores).
Es posible establecer una política que descifre el tráfico SSL y lo envíe a un dispositivo
externo.
También se puede añadir un nombre a cada política de seguridad, al igual que un

comentario, de forma que permita identificar mejor para que se utiliza cada política. Por
defecto será necesario establecer el nombre a la política, pero esto se puede modificar
desde el CLI con los siguientes comando:
config system settings
set gui-allow-unamed-policy [enable | disable]
end
Una nueva funcionalidad permite localizar políticas y rutas establecidas en el dispositivo,

de forma que se pueda consultar qué ruta o política coincidirá con un determinado
tráfico que se especifique en la propia consulta, incluyendo:
 Interface de origen
 Protocolo: IP, TCP, UDP, SCP, ICMP
 IP de origen o destino
 Puerto origen o destino
 Número de protocolo
 Etc.
2.12.2. Inspección SSL y SSH
Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder
efectuar inspección dentro de protocolos seguros basados en SSL, como HTTPS, SMTPS,
POP3S, FTPS e IMAPS.

De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma
inspección de contenidos, así como inspección Antimalware, DLP o Control de
aplicaciones. Además existe la posibilidad de definir las excepciones del descifrado dentro
del propio perfil, para evitar descifrar información
Configuración de inspección SSL y SSH

Al mismo tiempo es posible inspeccionar el tráfico en un túnel SSH.
Además existe otro método de inspección SSL que no implica la rotura del túnel. Esto
evita los inconvenientes derivados de esta técnica como por ejemplo los avisos de
certificados inválidos en los navegadores, problemas con HSTS, etc…
Este método es SSL Certificate inspection. Únicamente inspecciona el certificado para

comprobar que es válido y que ha sido emitido por una entidad certificadora para el sitio
web correspondiente. Se configura marcando la opción “SSL Certificate inspection”
dentro del perfil de inspección SSL:
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL
Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera

que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las
peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores

habilitados para ese efecto. La distribución del balanceo de carga puede ser configurada a
nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en
la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores
que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o HTTP
de manera que ante el fallo de un servidor, el servicio continúa activo en el resto de equipos,
dotando a la plataforma de alta disponibilidad.
De la misma forma, es posible configurar la IP virtual para que haga multiplexación del
tráfico HTTP, de manera que varias conexiones externas se traducen en una única
conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al
servir las peticiones entrantes.

Con la misma filosofía, los equipos FortiGate pueden realizar la labor de aceleradores SSL
para conexiones HTTPS. La conexión HTTPS es terminada en el equipo FortiGate y este
realiza la petición sin cifrar (o cifrada) al servidor correspondiente. De esta manera se
elimina la necesidad de cifrar la sesión en el propio servidor, con lo que los recursos de
este son optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y
descifrado del túnel SSL en manos del FortiGate.
Es también posible además mantener la persistencia de una sesión si es necesario (tanto en

HTTP como en HTTPS).
2.12.4. Calidad de Servicio (QoS)
Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio

prioritario sobre el tráfico más sensible al retardo. Los equipos FortiGate permiten aplicar
técnicas de priorización de tráfico y Calidad de Servicio (QoS), reservar ancho de banda
para aquellas aplicaciones que sean más sensibles al retardo, o bien limitar el ancho de
banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red.
La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico

generado por la transmisión de voz y las aplicaciones multimedia. Estos tipos de tráfico
son enormemente sensibles al retardo y a la variación del mismo (jitter). Una adecuada
gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin recurrir
a una ampliación innecesaria del ancho de banda de la red, reservando el ancho de banda
necesario y priorizando este tipo de tráfico ante otros menos sensibles al retardo como
pueda ser el correo o el tráfico ftp.
Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados,
incluyendo H.323, SIP, TCP, UDP, ICMP o ESP.
La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo:

La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten
regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los paquetes.
Lo que se consigue de este modo es evitar que los paquetes sean descartados, haciendo
que se almacenen en el buffer hasta su transmisión, retrasando su envío hasta que sea
posible. Los equipos FortiGate usan la técnica Token Bucket para garantizar y limitar el
ancho de banda.
La bufferización se realiza en función de la prioridad asignada a cada flujo, pudiendo variar
entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el envío de
todos los paquetes almacenados, se transmiten en primer lugar los de prioridad alta.
La tecnología DiffServ permite modificar los parámetros DSCP, siguiendo las normas RFC
2474 y 2475. Así, aquellos componentes de la red compatibles con DiffServ, son capaces de
interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los
paquetes y clasificando, marcando, y gestionando el tráfico en base a esta información.
Calidad de Servicio Basada en Políticas
Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una
de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez
que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los
parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de tráfico.
Configuración de parámetros QOS
Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas
Los parámetros de configuración del ancho de banda nos permiten definir un ancho de
banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho
de banda definido no puede superar el ancho de banda total disponible, pero puede ser
empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones
que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles al retardo.
Gestión del Ancho de Banda (Traffic Shaping) por dirección IP
Así mismo, también es posible establecer traffic shaping por IP, de forma que sea aplicado
por cada dirección IP, en lugar de por política.

Soporte DiffServ en GUI
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de

modificar los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los
que se aplica una política en particular. Hasta la versión 5.4.0 la única forma de configurar
DSCP era por CLI. Ahora es posible configurarlo también en GUI.
Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces
Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de
banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una
interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz
determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta
técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN.
Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI):
(internal) # set inbandwidth

bandwidth-limit <integer> in KB/s (0-2097000; 0 for unlimited)
2.12.5. Soporte VoIP
Los equipos FortiGate incorporan soporte para los protocolos más demandados de VoIP
(H323, SIP, SCCP) aplicando sobre estos los mayores controles de seguridad y reporting
a través de los perfiles de protección. Entre las funcionalidades soportadas cabe destacar.
 Application layer gateway para SIP basado en SCTP y TCP

 Compresión/descompresión de cabeceras SIP
 Mantenimiento de la información IP original incluso cuando está presente NAT
 Conversión entre SIP basado en TCP y SIP basado en SCTP y viceversa
 Limitación del número de mensajes SIP
 Log de comienzo y fin de llamadas

2.13. Redes Privadas Virtuales (VPN)
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en

protocolos IPSec y SSL, además de PPTP, L2TP over IPSEC (Microsoft VPN) y GRE
over IPSEC (Cisco VPN). De esta forma, oficinas pequeñas, medias, corporaciones e ISPs
pueden establecer comunicaciones privadas sobre redes públicas garantizando la
confidencialidad e integridad de los datos trasmitidos por Internet.
La funcionalidad VPN está integrada en la propia plataforma FortiGate sin necesidad de

licencia, así como también se puede utilizar mediante la instalación de la suite de
aplicaciones Forticlient Endpoint Security, que permite el establecimiento de VPNs desde
un equipo cliente. También es posible integrarlo a través de software VPN de terceros
(solo para IPSEC). El tráfico VPN puede ser analizado por el módulo de Firewall así como
por múltiples funcionalidades UTM que ofrece FortiGate: antimalware, IPS, web filtering,
antispam, etc.
Además, los equipos FortiGate soportan VPNs con IPv6, con o sin certificados, ya sean
site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o IPv6 sobre IPv4.
2.13.1. Internet Protocol Security (IPSec)
IPSec establece un marco de trabajo para el intercambio seguro de paquetes a nivel de la

capa 3 OSI, o capa IP. Las unidades FortiGate implementan el protocolo Encapsulated
Security Payload (ESP) en modo túnel. Los paquetes cifrados aparecen como paquetes
ordinarios que pueden ser enrutados a través de cualquier red IP.
Para el establecimiento de redes privadas virtuales basadas en IPSec, FortiGate cumple el
estándar IPSec y soporta:
 Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256

 Algoritmos de hashing o digest: MD5, SHA1, SHA256, SHA384, SHA512
 NAT Transversal
 DH Group 1, 2, 5 y 14
 DPD (Dead Peer Detección, detección de caída del nodo remoto)
 Replay Detection (Detección de ataques de respuesta)
 PFS (Perfect Forward Secrecy, obliga a generar nuevas claves independientes de
las anteriores, lo cual aumenta la seguridad)

 Autenticación basada en pre-shared key con usuarios definidos en una base de
datos local o en un servidor externo (LDAP, RADIUS, Directorio Activo),
certificados X.509, autenticación extendida XAuth
 Interoperabilidad con otros fabricantes IPSec Compliant (Cisco, Checkpoint, etc.)
 Alta disponibilidad de enlaces VPN desde un único equipo
La utilización de IPSec para realizar VPN es habitual en diversas tipologías de red. Los
equipos FortiGate soportan las siguientes topologías de red:
Gateway-to-Gateway.
Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. Todo el tráfico
entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de
protección de FortiGate.
Fully Meshed Network
Todos los equipos que forman la red corporativa están conectados con el resto,
configurando una malla. Esta topología presenta la ventaja de su alta tolerancia a fallos (si
un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad
de escalado y gestión.
Partially Meshed Network
Se establecen túneles entre aquellos nodos que regularmente mantienen comunicación.
Hub and Spoke

Configuración en la que existe un equipo central con el que los equipos remotos establecen
los túneles VPN, sin existir comunicación directa entre los equipos remotos.
Un caso particular de Hub and spoke es aquel en el que los equipos remotos puedan
requerir comunicación entre sí en algún momento particular. Para solucionar esta
situación, existe la funcionalidad ADVPN (Auto Discovery VPN), la cual permite
establecer túneles de forma dinámica entre los equipos remotos sin necesidad de configurar
manualmente todos los enlaces.
Además de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser
configurados para actuar como servidores de acceso remoto (Dialup Server). Para el acceso
remoto mediante IPSec, Fortinet proporciona un cliente IPSec Software para plataformas
MS Windows, Mac OSX y Android: FortiClient.
Aparte de ser un cliente VPN IPSec (Windows, Mac OSX & Android) y VPN SSL
(Windows, Mac OSX, IOS & Android), FortiClient incorpora capacidad de detección de
intrusión (Windows & Mac), filtrado web (Windows, Mac & IOS), antimalware (Windows
& Mac), control de aplicaciones (Windows & Mac), doble factor de autenticación
(Windows, Mac & Android), escaneo de vulnerabilidades (Windows & Mac) y
optimización wan (Windows).

Además, FortiClient se puede registrar en FortiGate como parte de la funcionalidad de
Endpoint Control. Esta funcionalidad permite gestionar y controlar la seguridad de
aquellos usuarios que tengan instalado el FortiClient en sus dispositivos y se hayan
registrado contra un FortiGate para así poder establecer una gestión centralizada de estos
equipos, centralizar los logs contra un FortiAnalyzer, centralizar la gestión, provisionarlos
con la configuración deseada por el administrador, forzarles a usar una cierta política de
seguridad (ya sea online u offline, o sea, en una red accesible por el controlador FortiGate
o fuera de ella), gestionar su acceso a la red a través del Directorio Activo (FSSO),
personalizarles la interfaz gráfica GUI…etc.
Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta funcionalidad
los equipos dotados de IP dinámica pueden ser asignados a un nombre DNS. Cada vez
que se conecte a Internet, el ISP le asignará una IP diferente y los demás equipos de la
VPN le localizarán mediante la resolución de su nombre DNS.
2.13.2. Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes
PPTP Windows o Linux. PPTP utiliza protocolos de autenticación PPP; de este modo
clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo
FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como
alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP a
un servidor PPTP en la red. Para la autenticación de los clientes, FortiGate soporta PAP,
CHAP y autenticación de texto plano. Los clientes PPTP son autenticados como
miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de
seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su
integridad no está protegida. Además, los paquetes encapsulados PPP no son
criptográficamente protegidos y pueden ser leídos o modificados.
(Configurable desde línea de comandos o CLI de Fortigate).

2.13.3. L2TP over IPSEC (Microsoft VPN)
El protocolo L2TP sobre IPSEC permite el establecimiento de túneles VPN entre equipos
Microsoft Windows y Mac OS (a partir de la versión 10.3) mediante la utilización de un
software propietario de conexión de red embebido en estos sistemas operativos.
El protocolo L2TP no proporciona cifrado o confidencialidad por sí mismo, para lo cual

se apoya en el protocolo IPSEC, a través del cual securiza la comunicación. Esta
securización comienza con la autenticación de los extremos mediante el establecimiento
de una SA negociada entre los dos extremos, sobre el protocolo IKE, ya sea con pre-shared
keys o usando certificados. A continuación establece el canal seguro mediante ESP en
modo de transporte. Finalmente se utiliza este canal seguro para establecer el túnel L2TP
entre los dos extremos, encapsulando esta comunicación sobre el canal IPSec cifrado.
(Configurable desde línea de comandos o CLI de Fortigate).
2.13.4. GRE over IPSEC (Cisco VPN)
Este método permite habilitar las conexiones VPN desde dispositivos Cisco que soportan
GRE (Generic Routing Encapsulation), ya sea sobre IPSec en modo túnel o en modo
transporte. De nuevo el protocolo IPSec se utiliza para cifrar los datos que se intercambian
dentro de un túnel GRE, proporcionando además de cifrado la autenticación de ambos
extremos de la comunicación.

Esto se logra estableciendo un túnel GRE sobre una VPN IPSec y permitiendo el tráfico
bidireccional entre ambos túneles. De esta manera se puede enviar el tráfico hacia la red
remota de manera segura sobre el túnel GRE over IPSec. (Configurable desde línea de
comandos o CLI de Fortigate).
2.13.5. Wizard
Gracias al Wizard es posible configurar las VPNs IPSec de forma más rápida y sencilla. El
propio wizard crea las interfaces virtuales, rutas, políticas, fase 1 y fase 2 necesarias para
que funcione la VPN.
Dado que pueden existir multiples variantes en una VPN IPSec, las más importantes se
han recogido en el menú del Wizard. Las opciones contempladas son: Site to site o acceso
remoto, si es site to site, el dispositivo remoto puede ser FortiGate o Cisco. Si es acceso
remoto, se puede utilizar un cliente pesado FortiClient o clientes nativos de Android o
iOS:
2.13.6. VPN SSL
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que,
garantizando en todo momento la confidencialidad e integridad de la información,
constituye un sistema con una implantación, administración y mantenimiento simplificado.
Dado que las VPN SSL usan cifrado SSL, no es necesaria la instalación de ningún software
específico en los ordenadores remotos, sino que resulta accesible desde cualquier
navegador, lo que supone un gran avance frente a las tradicionales VPN basadas en IPSec,
en lo que a sistemas de acceso de usuario se refiere. De este modo, se ofrece un método
de acceso a los sistemas de información de cualquier organización que no requiere de la
implantación de ninguna aplicación específica en los ordenadores remotos con lo que se
permite un acceso controlado a los recursos, con total garantía de seguridad.
Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor
de túneles SSL, con una configuración sencilla que permite la autenticación de usuarios
mediante sistemas de autenticación robusta y la personalización del servicio de acceso
remoto.
Adicionalmente se cuentan con características habituales en este tipo de solución, como

posibilidad de establecer conexiones mediante clientes pesados (descargando un ActiveX)

o personalizar al completo el portal de acceso SSL que se les presenta a los usuarios, los
cuales pueden ser locales o remotos. Además, permite la descarga directa del FortiClient
para equipos Windows, MacOSX, iOS y Android, de manera que pueda ser utilizado tanto
para lanzar las conexiones de manera securizada.
Las VPN SSL en FortiGate se pueden realizar en dos modos: Web-only mode y Tunnel
mode.
Las características específicas son las siguientes:
Web-only mode
Para clientes “ligeros” que sólo cuentan con el navegador para conectarse, y
Protocolos soportados en modo Web-only: HTTP/HTTPS, FTP, RDP, SMB/CIFS, VNC,
SSH, TELNET, CITRIX, RDP NATIVE, PING y Port Forward.

Tunnel mode
Para aquellos usuarios que necesiten conectarse con el navegador y utilizar una serie de
aplicaciones adicionales (“cliente pesado”).
2.14. AntiMalware

FortiGate incorpora un sistema antimalware de alto rendimiento gracias a su optimizada
arquitectura y configuración. Los componentes principales del sistema antimalware de
FortiGate son:
 La arquitectura hardware basada en FortiASIC

 Su optimizado sistema operativo FortiOS
 La infraestructura, los laboratorios y centros de desarrollo distribuidos a lo largo
de todo el mundo mediante la red FortiGuard.
Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisión, el

archivo es eliminado o guardado en cuarentena, y es sustituido por un mensaje de alerta
configurable por el administrador. Además, el equipo FortiGate guarda un registro del
ataque detectado, y puede configurarse el envío de un correo de alerta o un trap SNMP.
Para una protección extra, el motor antimalware es capaz de bloquear ficheros de un tipo
específico (.bat, .exe, etc) que potencialmente sean contenedores de virus, bloquear
aquellos archivos adjuntos de correo electrónico que sean de un tamaño superior al límite
de filtrado o bien bloquear ficheros con un determinado patrón en el nombre. Además es
capaz de proteger contra Grayware y aplicar protección heurística.
El filtrado antimalware de FortiGate protege la navegación web (protocolo HTTP), la

transferencia de archivos (protocolo FTP), los contenidos transmitidos por correo
electrónico (protocolos IMAP, POP3, SMTP y MAPI), la mensajería instantánea o IM
(ICQ, Yahoo y MSN Messenger) e incluso los contenidos de noticias por NNTP, siendo
posible escanear estos protocolos en puertos diferentes a los habitualmente empleados, e
incluso en múltiples puertos. Adicionalmente, mediante el escaneo de protocolos seguros,
se puede chequear si las conexiones cifradas están libres de virus en protocolos de correo
seguro como SMTPS, IMAPS, POP3S, y de navegación y transferencia, como HTTPS y
FTPS. Esto también es posible en modo “Flow”.
Los equipos FortiGate analizan también las cabeceras MIME de los correos con objeto de
encontrar posibles virus transmitidos como ficheros adjuntos con este formato.
Tanto en ficheros adjuntos de correo en FTP, FTPS, IM Y NNTP, el motor de

antimalware es capaz de deshacer hasta 100 niveles de anidamiento en ficheros
comprimidos de forma recurrente.
El servicio de protección antimalware provisto por FortiGate es totalmente transparente

a los usuarios. El denominado “FortiGate Content Screening” permite que clientes y
aplicaciones no requieran ninguna modificación especial en su configuración, sin necesidad
de definir proxies en los clientes, etc. Este modo es conocido tradicionalmente como modo
“Proxy”.
En modo “Proxy” es posible escoger la base de datos de firmas de virus a chequear

dependiendo del modelo de Fortigate. Las disponibles son:
 Normal: contiene las firmas de los virus más habituales que actúan en la actualidad.
 Extended: suma a la base de datos normal aquellos virus recientes, del último año,
que tienen actualmente poca o ninguna actividad.

 Extreme: añade a la base de datos extended una amplia colección de virus antiguos y
con escasa o nula actividad durante los últimos años, los cuales pueden
comprometer hardware o sistemas operativos antiguos o no usados en la
actualidad.
* Nota: La base de datos de virus se selecciona por CLI.
Como mecanismo adicional, es posible seleccionar el motor “flow-based”, el cual ofrece

un rendimiento mucho mayor al utilizar una tecnología de inspección que va analizando el
tráfico a medida que va pasando (también conocido como “streaming”) sin necesidad de
usar un buffer en el que guardar los sucesivos paquetes que analiza, tal como hace el modo
“Proxy”. Para ello, el modo “Flow” utiliza el motor IPS para realizar este análisis. Las
ventajas del uso de este motor son las siguientes:
 Uso reducido de memoria

 Mayor volumen de sesiones concurrentes
 Mayor número de inicios de sesión por unidad de tiempo
 Menor latencia
 No se ve afectado por la longitud del fichero
 A diferencia de algunos motores de la competencia, en modo flow existe
también la posibilidad de efectuar análisis en ficheros comprimidos
A estas ventajas, el modo “Flow” también añade la posibilidad de realizar inspección de

sesiones SSL, siendo completamente compatible con IPv6.
El motor antimalware realiza los siguientes servicios:

 Protección de virus
 Servicio de bloqueo de ficheros
 Servicio de cuarentena sobre correo electrónico
 Proteccion contra Botnets y Phishing
 FortiGuard Analitics (Sandbox en la nube, Análisis de amenazas Zero Day y
Submission).
Para la detección de virus las plataformas FortiGate utilizan diferentes mecanismos. El

motor de escaneo de virus de FortiGate está diseñado para soportar una combinación de
estrategias para detectar virus en archivos, como son escaneo de firmas o patrones y el
análisis heurístico y de simulación heurística (dynamic heuristic scanning).

El escaneo de firmas es el método que mayor número de virus detecta, y que, gracias a la
aceleración mediante FortiASIC, realiza una utilización menos intensiva del equipo y
obtiene mejor rendimiento. El método de análisis heurístico requiere progresivamente
más capacidad de procesador con la simulación de ejecución. El hardware dedicado de alto
rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice en
tiempo real para los usuarios.
Para reducir la demanda de procesos, el escaneo de virus siempre comienza con la

estrategia de antimalware que menos recursos demanda antes de iniciar procesos de
detección más pesados. Tan pronto como un virus es detectado, el análisis se detiene.
Trabajando juntas, las estrategias de escaneo de virus proveen la mejor protección

disponible.
2.14.1. Escaneo de Firmas (Signature Scaning)
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para
identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el archivo
se considera infectado. Los sistemas antimalware basados en análisis de firmas constituyen
el método más efectivo y más utilizado en la detección de virus.
El análisis incluye también el escaneo de las macros existentes en los archivos Microsoft
Office en busca de cadenas conocidas de virus macro. Los macros son también analizados
en búsqueda de comportamientos anómalos tales como importar y exportar código,
escribir en el registro o intentos de deshabilitar características de seguridad
Para realizar este análisis de firmas existen dos elementos claves:
 Una base de datos que contiene las firmas de virus conocidos

 Un motor de escaneo que compara los archivos analizados con las firmas en la
base de datos para detectar una concordancia indicando la presencia de un
virus.
El rendimiento es la clave para la detención eficiente de virus que cada vez son más y más
complejos. La aceleración del reensamblado de los paquetes y la comparación con las
firmas mediante FortiASIC es un componente clave que permite a FortiGate la realización
de este análisis en tiempo real sin introducir retardo sobre el normal funcionamiento de la
red y las aplicaciones.
A todo lo anterior hay que añadir la posibilidad de hacer offloading de la configuración del
Antimalware enviando las peticiones de proceso a un servidor ICAP previamente
configurado, el cual se encargaría de dirimir de manera externa la existencia de virus,
enviando la respuesta al FortiGate para que este ejecute la acción que tenga configurada
en cada caso.
2.14.2. Escaneo Heurístico

Los creadores de virus llevan a cabo una serie de pasos para complicar más la detección de
los mismos. Ejemplos como el cifrado de la pila de código del virus o los llamados virus
polimórficos, los cuales se modifican ellos mismos sin levantar sospechas en cada

replicación, complican cada vez más la detección de los virus y hace ineficaz en algunos
casos la creación de firmas de reconocimiento del virus.
Con el fin de detectar estos virus, se realizan los denominados análisis “heurísticos” que
buscan “comportamientos anómalos conocidos”, mediante la identificación de secuencias
de operaciones que constituyen comportamientos propios de estos tipos de virus.
Mediante el análisis heurístico de los contenidos se llevan a cabo un número de cada una,
de las cuales dan como resultado una clasificación apropiada. Las clasificaciones de estas
pruebas son combinadas para una clasificación total. Si esta clasificación se sitúa sobre un
cierto umbral, el módulo heurístico devuelve un resultado de virus encontrados.
2.14.3. Escaneo basado en CPRL

Compact Pattern Recognition Language (CPRL) es un lenguaje de programación
propietario y patentado enfocado a la protección contra amenazas de tipo Zero Day, es
decir, no basado en firmas sino en comportamiento. Con unas pocas descripciones de
comportamientos maliciosos, el motor antimalware es capaz de detectar múltiples tipos y
variantes de amenazas y se optimiza de este modo la utilización de recursos del equipo y
la latencia introducida.
El uso de CPRL es más eficaz en uso de recursos que la heurística y produce menos falsos
positivos. Además, combinado con el método de detección de virus en modo flow, la
eficiencia se multiplica en la detección de amenazas de tipo Zero Day en archivos de gran
tamaño o con técnicas de evasión.
2.14.4. Advanced Threat Protection (ATP)
La nueva protección contra amenazas avanzadas persistentes (APT) o Advanced Threat

Protection (ATP), incluye la protección contra Botnets, Phising y amenazas de Zero Day
usando la tecnología de Sandboxing.
Esta tecnología se puede utilizar de dos maneras diferentes:

- Sandbox en la nube con FortiCloud
- SandBox on-premise con FortiSandbox que puede ser tanto maquina física como
virtual.
El primer paso es asociar el FortiGate con la solución de sandboxing elegida. Si la solución

es cloud, se configura el nombre de usuario y contraseña de la cuenta de FortiCloud:
En caso de utilizar FortiCloud, la configuración se realiza desde System -> External

Security Devices:

Con FortiSandbox, además de poder detectar amenazas de tipo Zero Day (desconocidas
para los antimalware), se pueden desplegar en tiempo real firmas para dichas amenazas.
Estas firmas se despliegan de dos formas, dependiendo de la naturaleza de la amenaza.
Para las amenazas localizadas en internet, como por ejemplo exploits del navegador, se
despliega un componente llamado “URL Package”, que incluye la URL que contiene la
amenaza.
Si la amenaza es un archivo con un comportamiento malicioso, se despliega un “Malware
Package” que contiene una firma para dicho archivo.
Estas firmas se envían a todos los dispositivos autorizados en el FortiSandbox o vinculados
a la cuenta de FortiCloud y se aplican si se ha marcado la opción correspondiente en el
perfil de Antimalware.
Las estadísticas de uso de FortiSandbox se pueden ver desde FortiView:

2.14.5. Actualización de la Base de Firmas y Motor de Escaneo
Las actualizaciones del antimalware contienen la base del conocimiento de virus y el motor
de escaneo, los cuales son continuamente actualizados por Fortinet y distribuidos mediante
la red FortiGuard tan pronto como nuevos virus y gusanos son encontrados y difundidos.
Actualización de las definiciones de virus y motor de escaneo
Actualizaciones automáticas
Los equipos FortiGate son dinámicamente actualizados gracias la red FortiGuard

Distribution Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo
de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los
dispositivos FortiGate. Todos los equipos FortiGate están programados con una lista de
servidores FDN más cercanos de acuerdo a la zona horaria configurada en el equipo.
Asimismo, las plataformas de gestión FortiManager pueden actuar como un nodo de la
red FDN para los equipos que gestiona. Los dispositivos FortiGate soportan dos modos
de actualización:
Pull updates. Los equipos pueden comprobar automáticamente si existen en la red FDN
nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e
instalarlas automáticamente, así como los motores de antimalware actualizados. Estas
comprobaciones pueden ser programadas para su realización en periodos horarios, diarios
o semanales.
Push updates. Cada vez que un nuevo motor de antimalware o definiciones son
publicadas, los servidores que forman parte de la red FDN notifican a todos los equipos
FortiGate configurados para push updates que una nueva actualización está disponible. En
60 segundos desde la recepción de una notificación push, el equipo FortiGate se descargará
la actualización desde la FDN.
Actualizaciones Manuales

Aparte de los métodos de actualizaciones expuestos anteriormente, los equipos FortiGate
poseen la opción de realizar actualizaciones manuales. El administrador del equipo
FortiGate puede iniciar la actualización manual simplemente seleccionando la opción
“Update now” desde la consola de gestión del equipo FortiGate.
2.14.6. Activación del Servicio mediante Perfiles de Protección
Los servicios de protección Antimalware son habilitados mediante los perfiles de

protección aplicados posteriormente en las diferentes políticas del firewall.
Dentro del perfil, por ejemplo, será posible configurar opciones de cuarentena NAC
integradas, de forma que se haga cuarentena durante un ataque de virus, al atacante o al
objetivo, por un tiempo concreto o ilimitado.
Configuración Servicio Antimalware en el Perfil de Protección
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de tráfico.
Esta configuración basada en políticas provee un control granular de los servicios de
protección y de la utilización de los recursos de FortiGate.

2.14.7. Mensajes de Reemplazo en Ficheros Infectados
Los mensajes de reemplazo son incluidos por el filtro antimalware en los lugares ocupados
por ficheros o contenidos eliminados de mensajes de correo, transmisiones http o ftp.
Estos mensajes de reemplazo que reciben los usuarios en sustitución de los ficheros o
contenidos infectados son totalmente configurables por el administrador del sistema.
Configuración de los Mensajes de Reemplazo
2.15. Detección y Prevención de Intrusión (IDS/IPS)
El Sistema de Detección y Protección de Intrusión de FortiGate constituye un sensor de

red en tiempo real que utiliza definiciones de firmas de ataques y detección de
comportamientos anómalos para detectar y prevenir tráfico sospechoso y ataques de red.
El motor IDS provee seguridad hasta la capa de aplicación, sin mermar por ello el
rendimiento de la red. La capacidad de IDS de los equipos FortiGate se basa en el módulo
de routing, el módulo de firewall y la capa de aplicación. De esta forma el sistema de
detección de intrusiones no se limita únicamente a la detección de ataques de nivel de red
ni tampoco al análisis individual de cada paquete. FortiGate reensambla el contenido de
los paquetes en línea y los procesa para identificar ataques hasta el nivel de aplicación.

Cada sensor (Red, IP, Transporte, Aplicación) es un programa que genera un tráfico ínfimo.
El sensor utiliza el hardware FortiASIC para acelerar la inspección del tráfico y chequear
patrones de tráfico que concuerden con las firmas y anomalías especificadas. La
arquitectura hardware asistida de detección de intrusión provee a los equipos FortiGate de
rendimientos excepcionales únicos en el mercado.
La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques:
 Ataques de Denegación de Servicio (DoS)

 Ataques de Reconocimiento
 Exploits
 Ataques de Evasión de Sondas IDS
 Botnets
Ataques de denegación de servicio (DoS Attacks):
Intentan denegar el acceso a servicios u ordenadores mediante la sobrecarga del enlace de

red, de la CPU u ocupación de discos duros. El atacante no intenta conseguir información,
sino interferir los accesos a los recursos de red. El IPS FortiGate detecta los siguientes
ataques de DoS comunes:
Inundación de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP
flood
Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop, land,
y WinNuke
Ataques de Reconocimiento:
Son aquellos ataques a través de los cuales el atacante intenta conseguir información sobre
un determinado sistema con objeto de preparar un posterior ataque basado en
vulnerabilidades específicas.
FortiGate IPS detecta los siguientes ataques comunes de reconocimiento:

 Fingerprinting
 Ping sweeps
 Port scans (tanto TCP como UDP)
 Buffer overflows, incluyendo SMTP, FTP y POP3
 Account scans
 OS identification (Identificación del Sistema Operativo)
Exploits:
Intentos de aprovechar vulnerabilidades o bugs conocidos de aplicaciones o sistemas

operativos con el objeto de ganar acceso no autorizado a equipos o redes completas.
El IPS de la plataforma FortiGate detecta múltiples exploits, como por ejemplo:
 Brute Force attack

 CGI Scripts, incluyendo Phf, EWS, info2www, TextCounter, GuestBook,
Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish,
AnyForm, y FormMail
 Web Server attacks
 Web Browser attacks; URL, HTTP, HTML, JavaScript, Frames, Java, y ActiveX
 SMTP (SendMail) attack
 IMAP/POP attack
 Buffer overflow
 DNS attacks, incluyendo BIND y Cache
 IP spoofing
 Trojan Horse attacks, incluyendo BackOrifice 2K, IniKiller, Netbus, NetSpy,
Priority, Ripper, Striker, y SubSeven
 Etc.
Ataques de Evasión de NIDS:
Consisten en técnicas para evadir sistemas de detección de intrusiones. El IPS de la

plataforma FortiGate detecta las siguientes técnicas de evasión de NIDS:
 Signature spoofing
 Signature encoding
 IP fragmentation
 TCP/UDP disassembly
 Obfuscation
BotNets:
Hacen referencia a un grupo de equipos informáticos o bots los cuales se ejecutan de una
manera remota y autónoma. Dichos bots pueden ejecutarse y controlarse de manera

remota para controlar todos los ordenadores/servidores de manera remota. En numerosas
ocasiones estos bots son usados para realizar ataques de DDoS o usados para enviar spam
2.15.1. Métodos de Detección
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las
tareas de detección y prevención de intrusión son dos: detección de firmas y seguimiento
de comportamientos anómalos.
Detección de Firmas
Las firmas de ataques se encuentran en el núcleo del módulo de detección de intrusiones

FortiGate (más de 7500 firmas soportadas). Las firmas son los patrones de tráfico que
indican que un sistema puede estar bajo un ataque. Funcionalmente, las firmas son
similares a las definiciones de virus, con cada firma diseñada para detectar un tipo de ataque
particular. Tanto las firmas predefinidas como el motor IPS, son actualizables a través de
FortiGuard Distribution Network (FDN), de un modo similar al que se actualizan las
definiciones de antimalware.
Algunas Firmas de Ataques detectados mediante IDS
Cada una de las firmas puede ser habilitada para su detección de modo independiente.
Además existe la posibilidad de definir firmas de ataques personalizadas que pueden ser
añadidas para detectar ataques no incluidos en el fichero de definiciones de ataques.
Detección de Anomalías de Tráfico

Los equipos FortiGate analizan las secuencias de paquetes y el establecimiento de sesiones
de acuerdo a los patrones de tráfico definidos en los diferentes protocolos estándar. Para
aplicarlo nos crearemos una política de DoS
Anomalías de Tráfico
FortiGate IPS identifica a su vez anomalías estadísticas de tráfico TCP, UDP e ICMP,
como son:
 Flooding – Si el número de sesiones apunta a un solo destino en un segundo está
sobre el umbral, el destino está experimentando flooding o inundación.
 Scan – Si el número de sesiones desde un origen único en un segundo está sobre
el umbral, el origen está siendo escaneado.
 Source – Si el número de sesiones concurrentes desde un único destino está sobre
los umbrales, el límite de sesiones por origen está siendo alcanzado.
 Destination session limit – Si el número de sesiones concurrentes a un único
destino está sobre el umbral, el límite de sesiones por destino está siendo
alcanzado.
Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar
situaciones excepcionales, como la existencia de un proxy en la red, etc.
2.15.2. Prevención de Intrusiones en Tiempo Real
Cuando los ataques son detectados, el sistema toma las acciones necesarias para prevenir
daños. Cualquier ataque detectado puede ser bloqueado, ya sean ataques basados en firmas,
ataques basados en anomalías, o ataques personalizados.
Debido a que el módulo IDS está completamente integrado con el motor de firewall, los
equipos FortiGate proveen detección y prevención de intrusiones en tiempo real. El
módulo IDS posee un enlace específico en el módulo de firewall que permite que una vez

el sensor identifica un ataque, el modulo firewall rápidamente toma acción para bloquear
el tráfico impidiendo que el ataque tenga éxito. Los equipos FortiGate permiten definir
diferentes acciones a realizar en función del ataque detectado:
Pass: FortiGate permite que el paquete que activó (triggered) la firma pase a través del
firewall.
Drop: El equipo FortiGate descarta el paquete que activó la firma.
2.15.3. Activación del Servicio mediante Sensores
La activación de la funcionalidad de Detección y Prevención de Intrusiones se realiza

mediante la configuración de sensores, tanto de firmas como de anomalías, que son
aplicados posteriormente en las diferentes políticas del firewall.
Cada una de las firmas de ataques tiene asociada una severidad, un objetivo (target) y un
tipo de sistema operativo para el que es específica. Además, cada firma va asociada a un
protocolo o aplicación determinados. Para cada una de las firmas y anomalías existentes es
posible establecer un nivel de severidad (crítico, alto, medio, bajo o información), que
posteriormente pueden ser aplicados de forma independiente en el sensor. De este modo,
las firmas y anomalías habilitadas en cada sensor pueden variar dependiendo de los flujos
de tráfico. Esta configuración provee un control granular de los servicios de protección y
de la utilización de los recursos de FortiGate.
Dentro de la configuración del mismo sensor, es posible marcar opciones de cuarentena

NAC integradas, de forma que se puede incluir en cuarentena durante un ataque, al
atacante y al atacado e incluso bloquear el interfaz por donde llega el ataque por un tiempo
concreto o ilimitado.

Los sensores definidos, son posteriormente aplicados a las reglas de firewall, de manera
que cada regla puede tener configurado un sensor específico para aquellos protocolos o
aplicaciones que son permitidas en su flujo de tráfico.
Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo
En las actualizaciones del servicio IPS/IDS se actualiza la base de datos de ataques y

anomalías reconocidas y el motor de escaneo, los cuales son continuamente renovados por
Fortinet y distribuidos mediante la red FDS tan pronto como nuevas formas de ataque son
encontradas y difundidas.
Actualización de las definiciones de ataques y motor de escaneo
Es posible habilitar Extended IPS Signature Package y mejorar la eficacia del IPS enviando
muestras de ataques a FortiGuard.
Otras características
Es posible aplicar políticas DoS por sensor desplegado, de esta forma se tienen las
siguientes funcionalidades:
 Protección más robusta contra ataques DoS. Al aplicar los sensores a nivel de
interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de
que haga “match” en el firewall.

 Posibilidad de filtrar todo tipo de tráfico antes de que llegue al firewall aunque este
esté configurado con una regla “drop”.
Posibilidad de desplegar sensores en modo one-arm o como IDS tradicional habilitando un

puerto de escucha o análisis conectado a un puerto de mirror o SPAN en un switch.
Posibilidad de guardar a bajo nivel aquellos paquetes que hagan “match” en una firma,
posibilitando su posterior descarga en formato pcap para abrirlos con Ethereal/Wireshark
desde FortiAnalyzer.
Para cada una de las firmas IPS se muestra su CVE-ID.
2.16. Control de Aplicaciones
Con la función de control de aplicaciones, FortiGate permite detectar y tomar medidas

contra el tráfico de red en función de la aplicación.
El control de aplicaciones utiliza los decodificadores IPS que pueden analizar el tráfico de
red para detectar el tráfico de aplicaciones, incluso si el tráfico utiliza los puertos o
protocolos no estándar.
FortiGate puede reconocer el tráfico de red generado por un gran número de aplicaciones.
Fortinet está en constante aumento la lista de aplicaciones que controla, siendo accesible
en la página web de fortiguard (http://www.fortiguard.com).
En la actualidad se reconocen más de 7800 aplicaciones, siendo estas categorizadas en

diferentes tipos ampliando así su facilidad de uso:
 Por categoria: IM, P2P, VoIP, Video/Audio, Proxy, Remote.Access, Game,

General.Interest, Network.Service, Update, Botnet, Email, Storage.Backup,
Social.Media, File.Sharing, Web.Others, Industrial, Special, Collaboration,
Business, Cloud.IT, Mobile.
 Por tecnologia: Browser-Based, Network-Protocol, Client-Server y Peer-to-Peer.
 Por populariedad: de 1 a 5 estrellas
 Por riesgo: Malware or Botnet, Bandwidth Consuming o None

Las principales ventajas que aporta el control de aplicaciones son las siguientes:
 Ir más allá del control tradicional de nivel 4 de los firewalls convencionales,

pudiendo así controlar aplicaciones evasivas o que cambien de puerto con
frecuencia
 Uno de los vectores de infección de malware más habitual es el intercambio de

ficheros a través de uno de los protocolos más utilizados como es http, por ello
surge la necesidad de poder controlar las distintas aplicaciones que hacen uso de
este mecanismo común
 Obtener una mayor visibilidad de la red, de forma que sea posible conocer en
profundidad y con detalle el uso que se hace de este recurso por parte de cada
usuario de una organización
La implementación de este tipo de control se puede llevar a cabo en 4 simples pasos:
1 – Definir la lista de Control de Aplicaciones

2 – Añadir a criterio las distintas aplicaciones individuales o por grupos
3 – Aplicar el conjunto definido a un perfil de protección
4- Aplicar dicho perfil a una regla de cortafuegos para que el control se lleve a cabo
únicamente en los flujos de tráfico necesarios
De forma añadida, es posible asignar una cuota de ancho de banda o QoS, por aplicación:

A través de FortiAnalyzer será posible llevar a cabo el reporting necesario para mostrar las
estadísticas relevantes del control de aplicaciones, como las principales aplicaciones
reconocidas o permitidas.
Otras funcionalidades que aporta el control de aplicaciones son:

 Inspección profunda para aplicaciones Cloud. De este modo es posible capturar el
nombre de usuario o los ficheros que se intercambian, los nombres de los videos,
etc.
 Ajustes de traffic shaping. Pueden aplicarse a las categorías de las aplicaciones
 Ratio de riesgo. 5 niveles de riesgo (crítico, alto, medio, elevado y bajo). Cada
aplicación consta del nivel de riesgo que le corresponde.
 Aparición de Mensajes de reemplazo cuando la aplicación es bloqueda.
 Soporte para protocolo SPDY

2.17. Filtrado de Tráfico Web (URL Web Filtering)
La distribución y visualización de contenido no autorizado supone un riesgo importante

para cualquier organización. Para las empresas, la monitorización del uso que sus
empleados hacen de los accesos a Internet y la prevención de visualización de contenidos
web inapropiados, o no autorizados, se ha convertido en algo necesario, justificado por los
costes financieros y las implicaciones legales que conlleva la pasividad en este aspecto.
El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena del
contenido del protocolo http permitiéndonos filtrar direcciones URL potencialmente no
asociadas al desarrollo de la normal actividad laboral, contenidos embebidos en las propias
páginas web o scripts basados en java, activeX o cookies, contenidos potencialmente
peligrosos.
La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio
usuario, o bien mediante la utilización del servicio FortiGuard Web Filtering.
Estas son algunas funcionalidades genéricas soportadas:
• Restringir acceso a Google para dominios específicos

• Nuevos protocolos para autenticación y warning
• Modificación de cabeceras http request
• Añadir un referer a los filtros URL
• Usar comprobaciones de rating en FortiGuard para imágenes, JavaScript, CSS y
CRL
• Variables nuevas para los mensajes de reemplazo
2.17.1. URL Filtering mediante uso de listas locales
El filtrado de URL puede implementarse utilizando bases de datos locales con listas
black/white lists definidas por el usuario que contienen URLs cuyo acceso está permitido
o denegado. El acceso a URLs específicas puede ser bloqueado añadiéndolas a la lista de
bloqueo de URLs. El dispositivo FortiGate bloquea cualquier página web que coincida con
la URLs especificada y muestra un mensaje de sustitución de la misma al usuario.

La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando
caracteres comodines o expresiones regulares. Esta lista puede ser creada manualmente o
importada desde listas de URLs elaboradas por terceros.
Asimismo, con objeto de prevenir el bloqueo de páginas web legítimas no intencionado,

las URLs pueden ser añadidas a una lista de excepción que sobrescribe la URL bloqueada
y listas de bloqueo de contenido. El bloqueo de URL puede ser configurado para bloquear
todo o sólo algunas de las páginas de un sitio web. Utilizando esta característica es posible
denegar el acceso a partes de un sitio web sin denegar el acceso completo al sitio en
cuestión.
2.17.2. Filtrado de Contenido mediante listas locales
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas páginas web
que contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una
página web es bloqueada, un mensaje de alerta que sustituye a la web original generado por
FortiGate es mostrado en el navegador del usuario.
Las palabras clave pueden ser añadidas una por una, o importadas utilizando un fichero de
texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta 80
caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los sistemas
de caracteres Western, Simplified Chinese, Traditional Chinese, Japanese, Thaï, Korean,
French, Spanish o Cyrillic. Las palabras y expresiones pueden ser configuradas utilizando
comodines o expresiones regulares perl.
2.17.3. Filtrado de Java / Scripts / Cookies
El filtrado de contenido web también incluye características de filtrado de scripts y códigos

maliciosos que puede ser configurado para bloquear contenido web inseguro tal y como
Java Applets, Cookies y ActiveX.

2.17.4. Servicio Fortiguard Web Filtering
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una
clasificación actualizada de forma continua que engloba más de dos mil millones de URL´s
distribuidas en un abanico de 77 categorías. El servicio está basado en la petición de la
clasificación de las diferentes direcciones a la infraestructura de Fortinet. Así, mediante la
configuración en las políticas de acceso a Internet, los equipos FortiGate son capaces de
permitir o denegar el acceso a los diferentes sitios web en función de la categoría a la que
pertenezcan. El dispositivo FortiGate soporta políticas a nivel de usuarios/grupos y
mantiene información del usuario/grupo para cada petición realizada.
El servicio Fortiguard Web Filtering tiene categorizados más de 56 millones de dominios

o websites en 77 categorías agrupadas dentro de 8 clases. La base de datos utilizada por el
servicio FortiGuard Web Filtering es continuamente actualizada mediante el
descubrimiento y categorización de nuevos dominios, así como mediante la información
enviada por los propios equipos FortiGate cuando intentan el acceso a una página no
categorizada.
Funcionamiento del Servicio Fortiguard Web Filtering
Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las páginas
web y utilizan el servicio FortiGuard Web Filtering para determinar la categoría a la que
pertenece dicho sitio web y si se debe permitir o no la visualización de la página. Cuando
utilizamos un navegador para solicitar una URL, el dispositivo FortiGate envía esa solicitud
a la red FortiGuard Network y comienza el siguiente proceso:
El equipo FortiGate intercepta una solicitud web desde su red local, si el rating de la URL
está ya cacheada en el dispositivo FortiGate, es inmediatamente comparada con la política
para ese usuario. Si el sitio está permitido, la página es solicitada (3ª) y la respuesta es
recuperada (4ª).
Si la URL clasificada no está en la caché del equipo FortiGate, la página es solicitada al

servidor web (3ª) y simultáneamente una solicitud de categorización se envía al servidor
FortiGuard Rating Server (3b).
Cuando la respuesta de categorización es recibida por el dispositivo FortiGate (4ª), el

resultado es comparado con la política solicitante (2). La respuesta desde el sitio web (4b)
es encolada por el dispositivo FortiGate si fuera necesario hasta que la categorización sea
recibida. Mientras tanto, la web solicitada devuelve la página. Dado que la solicitud de
categorización es similar a una petición DNS, la respuesta siempre va a ser obtenida de
forma previa a la recepción completa de la página.

Si la política es permitir la página, la respuesta del sitio web (4b) es pasada al solicitante (5).
En otro caso, un mensaje definible de “Bloqueado” es enviado al solicitante e incluso el
evento es recogido en el log de filtrado de contenidos.
La siguiente ilustración muestra el mecanismo utilizado:
Beneficios del Servicio FortiGuard Web Filtering
Los usuarios del servicio FortiGuard Web Filtering se benefician de una solución de
filtrado de contenido web actualizada permanentemente, así como de otras características
como son:
Alta Eficiencia y Fiabilidad, con el modelo de entrega “In-the-Cloud” según el cual la base
de datos de FortiGuard es mantenida por Fortinet en localizaciones estratégicas
geográficas implementadas alrededor del mundo. De este modo se provee un rendimiento
equivalente a soluciones que requieren una base de datos localmente albergada, con la
fiabilidad de la red FortiGuard a la disposición del usuario.
Gestión Simplificada, ya que el servicio FortiGuard Web Filtering es un servicio

gestionado, actualizado y mantenido 24 horas al día, 365 días al año por los centros de
soporte y desarrollo de Fortinet, liberando al usuario de las tediosas tareas de
administración y actualización de bases de datos y servidores.
Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering, las organizaciones
eliminan la necesidad adicional de hardware para soluciones de filtrado de contenidos web.
Adicionalmente, el modelo de licenciamiento del servicio, que provee una suscripción
anual para un precio fijo por modelo de FortiGate libera de la necesidad de licencias por
número de usuarios, permitiendo a los proveedores de servicios de seguridad gestionada y
grandes empresas implementar el servicio con unas condiciones altamente asequibles y
coste predecible.

2.17.5. Filtrado basado en cuotas
Adicionalmente, es posible asignar cuotas de tiempo o tráfico a las distintas categorías

contenidas en el servicio Fortiguard:
Estas cuotas de tiempo podrán ser definidas por cada categoría y establecidas en segundos,
minutos u horas, son calculadas específicamente para cada usuario y reseteadas
diariamente.
Esto permitirá que se asigne, por ejemplo, media hora por día a la navegación por parte de
un usuario a una categoría, grupo o clasificación de Fortiguard específica.
Algo similar sucede con las cuotas de tráfico, que pueden ser asignadas desde byes hasta
Gigabytes por usuario o grupo.
2.17.6. Filtrado de Contenido en Cachés
Los equipos FortiGate no sólo se limitan a inspeccionar las URL’s o los contenidos de las
páginas a las que se acceden, sino que además permiten prevenir el acceso a contenidos no
permitidos haciendo uso de la capacidad de algunos motores de búsqueda de almacenar
parte de estas páginas en caché. Habitualmente, cuando utilizamos algún buscador para
intentar acceder a la información, el buscador no sólo nos muestra un link que nos redirige
a la URL en cuestión, sino que además nos permite visualizar esa URL guardada en una
caché propia del buscador. Los equipos FortiGate son capaces de analizar la dirección de
esa información en caché en el motor de búsqueda y la existencia de contenidos no

permitidos en la misma, evitando de este modo el acceso a contenidos no permitidos por
este medio.
Del mismo modo, pueden habilitarse filtros sobre búsquedas de imágenes y contenidos
multimedia que actúan del mismo modo, no permitiendo que el contenido en caché de las
páginas de búsqueda sea mostrado a los usuarios en caso de proceder de un dominio cuyo
contenido no está permitido.
2.17.7. Activación del Servicio mediante Perfiles de Protección
Al igual que el resto de funcionalidades, la activación de la funcionalidad de Filtrado de

Contenidos Web se realiza en cada perfil de protección. En este caso los servicios
configurados por el usuario se activan de forma independiente del servicio FortiGuard
Web Filtering.
La funcionalidad “Web Filtering” en la definición de perfil de protección permite habilitar

comprobaciones contra listas blancas o negras de URLs definidas por el usuario, habilitar
filtrado de contenido y consultas contra la lista de palabras clave definidas por el usuario,
así como bloquear scripts.
Existen tres posibilidades para el análisis web con un perfil de webfilter:
 Modo proxy: Fortigate para la conexión, consulta la categoría en fortiguard y

dependiendo de dicha respuesta y análisis se permitirá o no la conexión. La
conexión durante el análisis de buferiza
 Modo Flow-based: En dicho modo fortigate utiliza el IPS engine, o
comportamiento de análisis de flujo en tiempo real, para determinar si es o no
tráfico legitimo acorde con nuestra política de seguridad.
 DNS: En dicho modo una vez que el usuario solicite una determinada URL, la
petición de DNS pasará por FortiGuard, y aplicará en la propia respuesta de DNS
el rating de dicha web. Para el uso de este modo necesitamos que nuestro FortiGate
apunte como sus servidores DNS a los servicios de FortiGuard.

La funcionalidad “FortiGuard Web Filtering” en la definición de cada perfil de protección
permite habilitar el servicio FortiGuard y definir las categorías que son bloqueadas,
monitorizadas y/o permitidas:
La aplicación de los diferentes perfiles de protección puede aplicarse con autenticación de

usuarios, haciendo posible discriminar el acceso a las diferentes categorías según el grupo
al que pertenezca cada usuario.

2.17.8. Mensajes de sustitución en web filter
Cuando una página web es bloqueada, es reemplazada mediante un mensaje personalizable.
2.18. AntiSpam
La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no

solicitados detectando los mensajes de spam e identificando esas transmisiones. Los filtros
antispam se configuran de un modo global, si bien son aplicados en base a perfiles de
protección, al igual que el resto de funcionalidades del equipo.
El spam resta tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en
limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la
productividad. Así mismo, los mensajes de spam hacen crecer los tamaños necesarios de
los buzones de correo de los usuarios, haciendo crecer implícitamente el tamaño de los
servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos
innecesario.
La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación de

diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos SMTP,
POP3 e IMAP). Aquellos filtros que requieren la conexión con servidores externos
(FortiGuard Antispam o los servicios de Listas Negras en tiempo real) se ejecutan de forma
simultánea con los otros filtros, optimizando el tiempo de respuesta del análisis de los
mensajes. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam
se procede a realizar la acción definida para cada filtro que podrá ser:

 Marcar el mensaje como Spam (Tagged): el mensaje quedará identificado como
Spam a través de una etiqueta que puede estar localizada en el título del correo o
en el encabezamiento MIME.
 Descartar (Discard): Sólo para SMTP. En este caso el mensaje es desechado,

pudiendo sustituirlo con un mensaje predefinido que advierta al usuario del envío
de Spam.
La configuración de las distintas medidas AntiSpam que se pueden definir están divididas
entre aquellas que se establecen mediante el servicio de filtrado de Spam de FortiGuard y
aquellas que se definen de manera local.
Los servicios de AntiSpam de FortiGuard usan para ello una base de datos de reputación
de IP del remitente, una base de datos de firmas de Spam conocido y otras sofisticadas
herramientas de filtrado de spam. Dentro de este servicio se pueden configurar la
comprobación de IP del remitente, de las URLs que vayan en el correo, incluyendo aquellas
de phishing y del checksum del correo. Además se puede activar la opción de Spam
Submission para notificar casos de correos legítimos identificado erróneamente como
spam, lo que es conocido como falsos positivos.
Localmente es posible comprobar el dominio indicado por el remitente en el HELO de la

conexión SMTP, establecer listas blancas/negras de IPs y/o correos y comprobar la
existencia del dominio que aparece en el reply-to.
Dentro de esta separación, los distintos filtros antispam aplicados por la plataforma
FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el
control por el contenido del mismo.

Control por Origen
Black White List: lista blanca/negra de IPs o direcciones de correo. Las direcciones de
correo se pueden definir mediante wildcards o expresiones regulares.
FortiGuard IP Address check: comprueba contra los servidores de FortiGuard si la IP del

remitente se encuentra en una lista negra.
IP address black/white list check: el FortiGate comprueba si la IP del remitente pertenece

a alguna lista blanca o negra configurada por el usuario.
HELO DNS lookup: el equipo hace una comprobación DNS para revisar que el dominio
indicado por el remitente al inicio de la conexión SMTP, el cual se identifica con el
comando HELO, realmente existe. Si no es así, cualquier correo entregado dentro de esa
sesión se considera spam.
Email address black/white list check: el FortiGate comprueba si la dirección de correo del
remitente pertenece a alguna lista blanca o negra configurada por el usuario.
También se pueden configurar DNSBL & ORDBL check (listas DNS Blackhole y Listas
Open Relay Database), en las que se chequea el origen del mensaje contra listas de DNSB
y ORDB predefinidas, identificadas como listas blancas (marcaríamos el mensaje como
clear) o listas negras. Las listas son configurables por el administrador de la plataforma
FortiGate.
Control de Contenido
FortiGuard URL check: comprueba contra los servidores de FortiGuard si las URLs que
se encuentran en el cuerpo del correo están asociadas con spam. Si esas URLs pertenecen
a alguna lista negra determina que el correo es spam.
Detect phishing URLs in email: envía los links URL a los servidores de FortiGuard para
identificar si se tratan de URLs de phishing. De ser así elimina el link.
FortiGuard email checksum check: el FortiGate obtiene el hash del correo y lo envía a los
servidores de FortiGuard, los cuales lo comparan con los hashes de correos de spam
guardados en su base de datos. Si se encuentra una coincidencia el correo se marca como
spam.
FortiGuard spam submission: es un modo para informar al servicio antispam de
FortiGuard que un correo que no es spam ha sido catalogado como spam (falso positivo).
Para esto el FortiGate añade un link al final de todos los correos que categoriza como
spam.
Comprobación de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet Mail
Extensions) son añadidas al email para describir el tipo de contenido, como puede ser el
tipo de texto en el cuerpo del email o el programa que generó el email. Los spammers
frecuentemente insertan comentarios en los valores de las cabeceras o las dejan en blanco,
por lo que pueden utilizarse como filtros spam y de virus. Asimismo, los equipos FortiGate
pueden utilizar las cabeceras MIME para marcar aquellos mensajes detectados como spam.

Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo de
emails que contienen palabras específicas o patrones reconocidos. Las palabras pueden ser
definidas mediante comodines (wildcards) o expresiones regulares. Por ejemplo, la
siguiente expresión capturaría la palabra “viagra” deletreada de varias maneras:
/[v|\/].?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i. Solo es configurable vía CLI.
Además de todo esto, también se permite la inspección en modo flow, soportando la

inspección de sesiones SSL. Junto con esto también es capaz de procesar mensajes
fragmentados y la inclusión de una firma a todos los correos SMTP.
2.18.1. Servicio Fortiguard AntiSpam
Fortiguard AntiSpam es un servicio gestionado, administrado y actualizado por Fortinet y

soportado por la red FortiGuard Network que dispone de listas propias de direcciones IP,
direcciones e-mail, URL's, etc. que están continuamente actualizadas gracias a la detección
de nuevos mensajes de spam a lo largo de todo el mundo.
Mediante la utilización de honeypots en los que se detectan nuevos mensajes de spam, y la

realimentación por parte de los equipos FortiGate y los clientes FortiClient existentes en
todo el mundo, el servicio FortiGuard Antispam es capaz de actualizar las listas negras de
forma casi inmediata ante la aparición de nuevos mensajes de spam a lo largo de todo el
mundo.
El motor AntiSpam, continuamente mejorado, se actualiza periódicamente a través del

servicio Fortiguard AntiSpam, sin ser necesario esperar a una actualización completa de
firmware del equipo Fortigate para actualizar dicho motor.
Activación del Servicio mediante Perfiles de Protección
Al igual que el resto de funcionalidades, la activación de la funcionalidad AntiSpam de los

equipos FortiGate se realiza en cada perfil de protección, aplicado posteriormente en las
diferentes políticas definidas en el firewall.

2.18.2. Más características FortiGuard
 Actualizaciones de base de datos GeoIP en tiempo real
 Servicio de mensajería SMS
 Servidores DNS desde FortiGuard
 Servidores NTP desde FortiGuard
 Servicio de DNS dinámico FortiGuard
 Actualizaciones de Modem USB
 Actualizaciones para visibilidad de Dispositivos y Sistemas operativos
 Licencias del servicio FortiCloud
2.19. Data Leak Prevention (Prevención de Fuga de Datos)
Cambiando el enfoque tradicional de las plataformas de seguridad perimetrales cuyo

objetivo habitual ha sido evitar que el malware y los intrusos accedan a la red interna o
protegida, la característica de Prevención de Fuga de Información o DLP (Data Leak
Prevention) ofrece la posibilidad de evitar que la información categorizada como sensible
o confidencial salga fuera de la organización a través de la plataforma.
Es posible llevar a cabo esta protección para diferentes servicios de transferencia de datos.
Para transferencia de mensajes puede inspeccionar los servicios SMTP, POP3, IMAP,
HTTP, NNTP e IMAP. A su vez, para transferencia de ficheros añade a los servicios
anteriores los de FTP, AIM, ICQ, MSN, Yahoo! y MAPI. Esto se realiza estableciendo

reglas o grupos de reglas predefinidas, donde un buen ejemplo sería una de ellas que
inspecciona en busca de números de tarjetas de crédito, o por otro lado, reglas totalmente
personalizables.
Ejemplo de regla DLP que busca patrones de tarjetas de crédito
Así mismo las acciones posibles pasan por hacer únicamente log de la fuga de datos (con
el único fin de monitorizar) hasta bloquear dichas fugas, bloqueando el tráfico que genere
ese usuario, hacer cuarentena del mismo o archivar y guardar la información relativa a la
violación que se está realizando.
Otra técnica utilizada por el módulo de DLP es fingerprinting. El equipo FortiGate genera
un checksum para ciertos archivos y los almacena en su disco duro (esta funcionalidad solo
está disponible en appliances con almacenamiento interno). Despúes se genera un
checksum para cada archivo que se ve en el tráfico de red. Si alguno de los checksum de
estos archivos coincide con uno almacenado en el disco duro, se lleva a cabo la acción
configurada.
Por último existe la funcionalidad denominada DLP watermarking o marca de agua. Esta
funcionalidad consiste en añadir una marca de agua o patrón a los ficheros que queremos
proteger, en la cual se añade un identificador de la marca de agua y un nivel de criticidad
(Critical, Private o Warning). Este patrón es ligero, ocupando unos 100 bytes únicamente.
Es importante destacar que la marca de agua es completamente transparente para los
usuarios del fichero, los cuales no podrán verla. Una vez introducida esa marca de agua y
siempre que hayamos creado un sensor de DLP para detectar los ficheros con ese
identificador de marca de agua y la sensibilidad asignada, el equipo detectará cuando esos
ficheros pasen a través del FortiGate y podrá ejecutar la acción que configuremos para
ello, ya sea bloquear, logar o meter en cuarentena al usuario, a su IP o a la interfaz.

Para realizar estas marcas de agua hay que utilizar una herramienta propietaria de Fortinet,
llamada Fortinet watermarking utility. Esta herramienta se encuentra disponible dentro de
la aplicación FortiExplorer y únicamente para Windows. Existe una versión antigua para
Linux en interfaz de comandos, pero ha sido descontinuada. Los tipos de archivos
soportados son: txt, pdf, doc, xls, ppt, docx, pptx, xlsx.
Configuración de sensor DLP para detectar una marca de agua
2.20. WAF (Web application firewall)

Se puede crear un perfil de seguridad enfocado a la protección contra amenazas de
aplicaciones web. FortiGate incluye una lista de firmas y ataques reconocidos que se
pueden aplicar a políticas de seguridad, o permite la opción de redirigir el tráfico web a un
dispositivo WAF específico, como es FortiWEB, para analizarlo.
Las firmas y restricciones de tráfico soportadas son las siguientes:

2.21. CASI (Cloud Access Security Inspection)
La funcionalidad “Cloud Access Security Inspection” permite un mayor control en el
tráfico y las acciones de las aplicaciones cloud como por ejemplo Youtube, Dropbox,
Amazon, etc…

Para que funcione, debe estar habilitado “Deep inspección of Cloud Applications” en el
perfil de seguridad de control de aplicaciones.
El perfil CASI está definido por un nombre de aplicación, categoría y acción. Para cada
línea es posible aplicar las acciones permitir, bloquear y monitorizar.
2.22. DNS Filter

Gracias a DNS Filter se cuenta con las siguientes funcionalidades:
2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C

La lista de servidores de comand and control de botnets se almacena en una base de datos
interna que se almacena automáticamente desde FortiGuard. Para tener acceso a estas
actualizaciones es necesario contar con una licencia al dia de FortiGuard web filter.
Para bloquear estas peticiones, el trafico DNS se inspecciona con el motor de IPS y se
comparan las peticiones con la base de datos del equipo. Cuando hay un match, se
bloquean todos los subdominios del dominio encontrado. Esta funcionalidad se habilita
en Security Profiles -> DNS Filter y habilitar Block DNS requests lo known botnet
C&C.
2.22.2. Filtro de URLs estático

El perfil de inspección DNS permite bloquear, eximir o monitorizar consultas DNS
utilizando el motor IPS para inspeccionar los paquetes de DNS y buscar los dominios que
hemos configurado en el perfil. El FortiGate debe utilizar el servicio de DNS de
FortiGuard para hacer las consultas de DNS. Las respuestas a estas consultas están
formadas por la IP correspondiente al dominio y una clasificación que incluye la categoría
del dominio.

Aparte de las acciones indicadas anteriormente, estas consultas también se puede redirigir,
para que se resuelva una IP personalizada para los dominios configurados.
2.23. External security devices

Se pueden configurar dispositivos de seguridad externos para descargar al FortiGate de la
carga de procesar cierto tipo de tráfico. Estos dispositivos pueden ser FortiMail, FortiWeb
o Forticache.
Para habilitar esta funcionalidad hay que ir a System -> External Security Devices y
activar el checkbox del dispositivo a conectar. Seguidamente se indica la IP y a
continuación se pulsa en el botón Aplicar.
En el caso de trafico HTTP, se puede elegir si enviar el tráfico a un FortiWeb o a un
FortiCache, dependiendo del tipo de servicio que se quiera proporcionar. En el caso de
necesitar enviar el tráfico a un FortiWeb, también es necesario configurar una política de
seguridad con un perfil de seguridad de Web application firewall asociado.
Si el dispositivo asociado es un FortiCache, en la política de seguridad hay que configurar
un perfil de seguridad de web cache y si el dispositivo es un FortiMail, en la política de
seguridad hay que activar un perfil de seguridad de tipo antispam.
2.1. Controlador Switches - FortiLink

Algunos modelos de FortiGate incorporan un controlador centralizado de switches
FortiSwitch (ver hoja de características de cada modelo). Es necesario que el FortiSwitch
a gestionar disponga de un sistema operativo FortiSwitchOS 3.3.0 o superior.
Gracias a FortiLink, la gestión de VLAN o puertos PoE de los FortiSwitches se realizará

desde el GUI de FortiGate. Desde FortiLink se podrá además visualizar un diagrama de la
topología de la red de switches conectados al FortiGate.
2.2. Controlador Wifi
Todos los dispositivos FortiGate, son capaces de actuar como controladores Wireless para
los puntos de acceso fabricados por Fortinet (FortiAPs). Esto supone un ahorro de costes
considerable para los clientes al no tener que adquirir un controlador Wireless.

Lista de productos FortiAP
La solución de Fortinet se integra de forma directa con el Firewall, siendo cada SSID wifi
una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de seguridad en
la red Wifi que en la red cableada, pudiendo configurar en la wifi reglas de Firewall, Traffic-
Shapping, Control de Aplicaciones, Webfiltering, etc. de forma sencilla y transparente.
Dispone además de opciones de portal cautivo para invitados, pudiendo delegar la gestión
de dichos invitados. Para ello dispone de un portal de administración restringido que
permite dar acreditaciones a la red wifi de manera sencilla, pudiendo suministrar la
información de usuario y contraseña de varios métodos, incluyendo SMS, email o impreso.
Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi,
pudiendo crear reglas de seguridad basadas en tipo de dispositivo.
A nivel de conectividad, la solución de Fortinet cuenta con las funcionalidades de

conectividad más requeridas para los entornos Enterprise, funcionalidades tales como
meshing, local bridging, asignación dinámica de canales, asignación dinámica de potencia,
balanceo de clientes entre puntos de acceso, fast roaming, etc…
Otras funcionalidades:
 IDS Wireless
 Balanceo de carga de clientes
 Soporte Mesh y Bridging
 Bridge entre un SSID y un puerto físico
 Detección de AP´s falsos
 Ajuste automático de portencia
 Supresión automática de “rogué” Ap´s
 Cifrado del tráfico CAPWAP

Gestion de FortiAP. Dado que FortiGate también es un controlador de APs, existen ciertas
funcionalidades de control de APs específicas:
 Selección manual de los perfiles para los AP
 Escaneo de AP
 Resumen de configuración de cada radio
 Acceso a la consola CLI
 Posibilidad de hacer un Split tunnel para el tráfico Wireless
2.3. Identificación de Dispositivos - BYOD
La solución de Fortinet permite identificar el tipo dispositivo que se ha conectado a la red

(tanto cableada como wireless). De esta forma se tiene visibilidad de inmediata de usuarios,
sistema operativo y dirección IP. La captura inferior es una muestra:
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear políticas
de seguridad. Así pues, se podría crear un grupo con los dispositivos corporativos y
permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos y restringirlos
desde sistemas operativos no corporativos. De este modo es posible controlar los
dispositivos personales que los usuarios pueden utilizar en una red corporativa, cosa que
cada vez ocurre de forma más habitual y que se conoce como Bring Your Own Device
(BYOD). Por ejemplo, se podría establecer una política basada en dispositivos para evitar
que una consola de juegos se pueda conectar a la red de una empresa o incluso a internet,
también establecer que las tabletas y teléfonos puedan conectar a internet, pero no a los
servidores de la empresa, así como los portátiles corporativos podrían conectar a internet
y a la red corporativa, pero aplicándoles filtrado antimalware o incluso establecer una
política para que solo puedan conectar si tienen instalado el antimalware FortiClient en
dicho ordenador.

La captura inferior muestra una política de firewall que hace uso de este concepto de
dispositivo:
Es posible además configurar dispositivos de forma manual e incluso añadir a estos

dispositivos un “avatar” que se podrá visualizar posteriormente en el GUI para mejor
identificación visual del objeto.
2.4. Seguimiento de amenazas (Reputación de clientes)
Los tipos de escaneo UTM disponibles en FortiGate permiten detectar ataques específicos,
pero algunas veces el comportamiento de los usuarios puede incrementar el riesgo de un
ataque o infección.
El seguimiento de amenazas puede proporcionar información a través del comportamiento

de los clientes y la información sobre las actividades determina un nivel de riesgo.
Las actividades que pueden monitorizarse son:
 Intentos fallidos de conexión: El comportamiento típico de una BOT es conectar

a algunos anfitriones que a veces no existen en el Internet. Debido a esto es
necesario que el BOT realice un cambio constante de su “home” para evitar la
aplicación de medidas legislativas, o simplemente para esconderse de los
fabricantes de soluciones antimalware. Los intentos de conexión son detectados
mediante:
 Búsqueda de nombres DNS que no existe.
 Intentos de conexión a una dirección IP que no tiene ruta.

 Errores HTTP 404
 Los paquetes que se bloquean por las políticas de seguridad.
 Protección de Intrusión: Ataque detectado. La reputación aumenta con la
severidad del ataque. Requiere suscripción FortiGuard IPS.
 Protección contra Malware: el malware detectado. Requiere una suscripción a
FortiGuard Antimalware.
 Actividad Web: Al visitar sitios web incluidos en categorías que suponen un riesgo,
incluyendo las categorías: potencialmente peligroso, Contenido para adultos,
consumo de ancho de banda y riesgo de seguridad. Requiere una suscripción a
FortiGuard Web Filtering.
 Protección de la aplicación: El cliente utiliza software en categorías de riesgo,
incluyendo Botnet, P2P, Proxy y Juego. Requiere una suscripción a FortiGuard
IPS.
 Ubicación geográfica donde los clientes están comunicando. Requiere acceso a la
base de datos geográfica FortiGuard y un contrato de soporte válido con Fortinet.
De entre las actividades sobre las que puede realizar un seguimiento, se puede configurar
la severidad con la que cada actividad afectará a la reputación de los clientes, en una escala
de bajo, medio, alto o crítico. También se puedo optar por ignorar una actividad, y no
tendrá ningún efecto en la reputación.
Esta funcionalidad actualmente tiene como objetivo alertar de una actividad que supone
un riesgo para la seguridad y no incluye herramientas para detenerla. Se trata de una utilidad
para mostrar el comportamiento de riesgo y poder tomar medidas adicionales para
detenerlo. Estas acciones podrían ser crear una política de seguridad para bloquear la
actividad o incrementar la protección UTM, así como tomar otras medidas ajenas al
FortiGate para paliar el comportamiento.
Tras la activación de la reputación de clientes, FortiGate monitoriza el comportamiento de

los usuarios, que puede mostrarse en el monitor de amenazas de FortiView:
La reputación de los clientes se almacena en el log de tráfico, en unos campos específicos

para esto (crscore y craction). Al habilitar esta funcionalidad, por lo tanto, no se puede
eliminar la acción de log de una política de seguridad.
2.5. FortiGate Virtual Appliance

Los dispositivos de seguridad Fortigate Virtual Appliance de Fortinet son appliances
basados en formato máquina virtual, creados especialmente para operar en los entornos
de “hypervisors”. Estos appliances virtuales ayudan a proteger las infraestructuras de red
con seguridad multiamenaza integrada. Al igual que un dispositivo FortiGate tradicional,

el appliance virtual FortiGate protege la infraestructura de una gran variedad de amenazas
permitiendo a los clientes consolidar sus tecnologías de seguridad independientes,
reduciendo los costes y la complejidad de su infraestructura de seguridad.
Dado que las características de seguridad son las mismas que los basados tradicionalmente
en hardware, los appliances virtuales FortiGate pueden operar conjuntamente con los
dispositivos FortiGate tradicionales para asegurar que tanto el perímetro como las capas
virtuales dentro del entorno virtual están protegidos, y son visibles y fáciles de gestionar.
Data Center Virtualizado
Zona 1: Zona 2:
Servidores PCs
Virtual
Appliances
Los dispositivos de seguridad virtual de Fortinet han sido creados para operar en cualquier
entorno y al igual que sus homólogos físicos aportan consolidación, rendimiento,
visibilidad y control a los cada vez más extendidos entornos virtualizados.
Las licencias de los mismos están basadas en el número de CPUs, esto es, 2, 4 u 8 cores:

Los requisitos mínimos de cara al Hypervisor son los siguientes:
2.6. Wan link load balance

De la misma forma que se puede balancear el tráfico entrante al firewall, también se puede
balancear el tráfico saliente, esto permite:
- Reducir los puntos de fallo de la red.
- Aumentar la capacidad de la red para gestionar una mayor cantidad de
datos.
- Automatizar el proceso de balanceo de carga.

2.6.1. Algoritmos de balanceo
El elemento fundamental para configurar el balanceo son las interfaces físicas que lo
componen. A medida que se añaden interfaces al proceso, entran también en los cálculos
que realizan los algoritmos para gestionar el tráfico. Otros aspectos a tener en cuenta:
- Elección correcta el algoritmo de balanceo según las necesidades de la red.

- Las interfaces pueden ser deshabilitadas si necesitan algun tipo de
mantenimiento. Cuando se habilitan, vuelven a tenerse en cuenta por los
algoritmos de balanceo de forma automática.
- No es necesario que las interfaces sean las que están etiquetadas como
WAN.
- El uso y comportamiento de las interfaces se grafican en el GUI para
facilitar la gestión y configuración de la funcionalidad.
2.6.2. Wan Links

Existen 5 algoritmos de balanceo:
- Ancho de banda. Se asignan pesos a las interfaces y el tráfico se asigna en
base a esos pesos a una interfaz o a otra. Ejemplo:
- Spillover. Se utiliza una interfaz hasta que se alcanza su capacidad máxima.

Entonces se empieza a utilizar otra interfaz. Esta decisión se puede hacer
en base al tráfico entrante o saliente.
- Sesiones. Igual que el anterior, pero el parámetro que se tiene en cuenta es
el número de sesiones en lugar del número de paquetes.
- IP de origen-destino. Se intenta hacer un reparto equilibrado del tráfico
entre todas las interfaces pero teniendo en cuenta las IPs de origen y de
destino. El tráfico de la IP A a la IP B se envía siempre a la misma interfaz
de salida.
- IP de origen. Igual que el anterior, pero solo se tiene en cuenta la IP de
origen.

2.6.3. Reglas de prioridad
Para cierto tipo de tráfico puede ser posible establecer reglas de uso más concretas. Estas
reglas se pueden establecer en base a varios parámetros: dirección de origen, grupo de
origen, dirección de destino, protocolo, aplicación.
2.7. Control del EndPoint

FortiClient es el software de Fortinet disponible para entornos Windows, MacOSX, iOS y
Android que permite extender las funcionalidades del firewall hasta el dispositivo del
usuario. Algunas de las funcionalidades básicas que incluye son las siguientes:
 Autenticación desde FortiClient
 Gestión y registro de FortiClient
 Portal cautivo para instalación y comprobación del endpoint
 Provisión de configuración de seguridad de FortiClient cuando el usuario no está
conectado a la red protegida
 Log del endpoint
 Estado del endpoint. Registrado o no registrado y on-net u off-net.
Gracias a la integración del endpoint con FortiSandbox, además se puede determinar si el

equipo del usuario ha podido ser infectado por una amenaza nueva. En este caso podemos
poner en cuarentena el equipo desde la consola de FortiGate. Esto se puede hacer desde
FortiView:

O desde el menú de FortiClient Monitor:
La cuarentena de un equipo aplicada por FortiClient únicamente se puede levantar desde

la consola de FortiGate seleccionando “Release Quarantine”:
2.8. Virtual wire pair

Esta funcionalidad está disponible en modo NAT y modo transparente y sustituye a la
funcionalidad de Port Pair disponible en anteriores versiones de FortiOS en modo
transparente.
Cuando se configuran dos interfaces en modo virtual wire pair, no se configura ninguna
IP y funcionan de un modo similar a un VDOM en modo transparente. Todos los paquetes
que entran en el equipo por una de las interfaces solo pueden salir por la otra, si están
permitidos por una política de virtual wire pair. Se pueden configurar multiples interfaces

de este tipo. Aunque no permite configurar VLANes, se pueden habilitar wildcards de
VLAN.
Para añadir una interfaz virtual wire pair, hay que ir a Network -> Interfaces y seleccionar
Create New -> Virtual Wire Pair. Seleccionar las dos interfaces involucradas y pinchar
en OK.
La nueva interfaz aparece en la lista de interfaces del equipo.

Lo siguiente necesario es configurar una política de acceso. Para esto hay que ir a Policy
& Objects -> IPv4 Virtual Wire Pair Policy. Seleccionar el virtual wire pair para el cual
se pretende añadir la política y pinchar en Create New. Se configura la dirección de la
política y los objetos típicos de una política de firewall.

2.9. FortiExtender
El dispositivo FortiExtender proporciona conectividad vía 3G/4G/LTE a un FortiGate.
Se establece un canal de datos CAPWAP entre FortiGate y FortiExtender para
proporcionar la conectividad a la red 4G/LTE.
Si bien FortiGate proporciona conectividad con la red 3G/4G a través de dispositivos

USB conectados directamente al FortiGate, con FortiExtender se extienden estas
capacidades además de poder ubicar el dispositivo FortiExtender en una localización más
óptima para la recepción de la señal 4G/LTE, por ejemplo, fuera de una sala de proceso
de datos, donde la señal de recepción puede ser más baja.
3. GESTIÓN DE LOS EQUIPOS FORTIGATE

3.1. Tipo de gestión
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https, telnet
o SSH, siendo estos accesos configurables por interfaz, Además existe la posibilidad de
definir diferentes perfiles de administración con objeto de limitar las tareas y posibilidades
de cada usuario con acceso al equipo. A la hora de definir un usuario de administración, se
puede limitar el acceso a uno o varios VDOM en caso necesario.
Gracias a la aplicación FortiExplorer, disponible para Windows, Mac OSX, IOS y Android,
se puede configurar un dispositivo FortiGate a través de su interface USB.
Estas son algunas funcionalidades relacionadas con la administración del equipo:
 Soporte de configuración a través del interface USB para Android y dispositivos

IOS con la aplicación FortiExplorer.
 Nueva opción para formatear el boot device antes de actualizar el firmware
 Nuevo comando CLI para restablecer los valores de fábrica, manteniendo la
configuración de interfaces y VDOM
 Posibilidad de deshabilitar el login por consola
 Nuevos traps SNMP para FortiAP y FortiSwitch
 Extensiones SNMP para BGP
 GUI simplificado para FortiGate y FortiWifi 20C y 40C
 Servidor y Cliente DNS
 Servidor y cliente DHCP.
 Configuración de opciones DHCP para obtener la IP de un servidor TFTP y el
nombre de un fichero de configuración para restaurar configuraciones
 Wizard de configuración
 Mejoras en la configuración de gestión centralizada
 Soporte de nombres largos mejorado en CLI
 Modificación de políticas desde la ventana de lista de políticas.
 Personalización del color e idioma de la interfaz gráfica de usuario.
 Modo pantalla completa de la interfaz gráfica de usuario.

Fortinet cuenta además con una plataforma de gestión global centralizada para múltiples
equipos denominada FortiManager™. El sistema FortiManager™ es una plataforma
integrada para la gestión centralizada de equipos FortiGate a través del cual pueden
configurarse múltiples dispositivos FortiGate de forma simultánea, creando grupos de
equipos y plantillas de configuración y permitiendo monitorizar el estado de estos
dispositivos.
3.2. Gestión Centralizada con FortiManager
FortiManager es la plataforma de gestión centralizada de Fortinet. FortiManager permite

la centralización de las acciones que se han de llevar a cabo en los equipos FortiGate
permitiendo un rápido despliegue de los proyectos de seguridad, el mantenimiento y
actualización de los distintos dispositivos FortiGate y su monitorización en tiempo real.
Además, con FortiManager se puede gestionar la suite de PC FortiClient y el gestor de
logging y reporting FortiAnalyzer, presentando una única interfaz de gestión para todos
los elementos de seguridad. Así mismo, la plataforma FortiManager se puede utilizar como
servidor de actualización de firmas de los equipos FortiGate, como si fueran un nodo más
de la red FDN, pero formando parte de la red del propio usuario, pudiendo de esta manera
centralizar la gestión de las descargas de seguridad de los equipos.
El lineal actual de FortiManager se compone de distintos equipos físicos, aportando

soluciones de gestión centralizada a todos los entornos de seguridad posibles. Cada modelo

es capaz de gestionar un número definido de dispositivos Fortigate o de VDOM
configurados en estos.
Estos equipos soportan diversas funcionalidades, por ejemplo, la gestión por parte de un
administrador de múltiples ADOMs o dominios administrativos. Además, posibilita que
ciertas características de los dispositivos sean gestionadas a través de un perfil de
dispositivo, en vez de desde la base de datos de gestión de dispositivos. Asimismo, también
permiten crear perfiles de tiempo real o RTM (Real Time Monitor). De igual modo,
también es posible activar y monitorizar FortiTokens asociados a dispositivos FortiGate.
Otra ventaja importante radica en que cuando hay equipos en alta disponibilidad y el
maestro cae, el esclavo se presenta como nuevo maestro sin necesidad de reiniciarse.
Además es también perfectamente compatible con IPv6.
3.3. FortiManager Virtual Appliance
Los dispositivos FortiManager Virtual Appliance son los appliances de gestión de Fortinet
con soporte en formato máquina virtual y creados para operar en las principales
plataformas de virtualización. Estos appliances virtuales se componen de las mismas
características que sus homólogos hardware, pero en formato virtual. Tanto los equipos
físicos como los virtuales pueden realizar labores de servidor local Fortiguard al completo
y un appliance virtual puede gestionar indistintamente FortiGates físicos o virtuales, lo
mismo que el appliance físico FortiManager.

3.4. Registro de Logs
La capacidad de registro de eventos, tráfico y aplicaciones puede ser habilitada tanto a nivel
global como en cada una de las políticas definidas a nivel de firewall permitiendo configurar
un elevado nivel de detalle y de forma independiente cada uno de los registros que se
requieren.
Así, por cada política, de forma granular, se puede escoger una de las siguientes opciones:
 No Log: no hace login de los eventos.

 Log Security Events: guarda un registro de los eventos UTM producidos.
 Log all Sessions: guarda un registro de log para cada sesión que se genera.
 Generate logs when Session Starts: Genera un log cada vez que una sesión
comienza (al igual que cuando finaliza).

 Capture packets: Realiza una captura de todo el tráfico que machea en la regla y lo
almacena en el disco duro.
Estos registros pueden ser almacenados localmente en memoria o en disco, (en aquellas
unidades que dispongan de él) o bien en un servidor externo como pueden ser un syslog
o la plataforma FortiAnalyzer. Para más seguridad, se pueden enviar los logs cifrados.
FortiGate también dispone de la capacidad de generar informes de forma local, utilizando

para ello los logs almacenados en sus discos. Uno de estos informes permite evaluar el
cumplimiento PCI DSS a nivel global o a nivel de VDOM:
3.5. Registro centralizado y gestión de informes con FortiAnalyzer
FortiAnalyzer es una plataforma dedicada al registro centralizado de logs y la gestión y

tratamiento de los mismos. FortiAnalyzer posee la capacidad de generar más de 350
gráficas e informes diferentes que nos aportan información detallada sobre los eventos
registrados a nivel de Firewall, ataques, virus, VPN, utilización web, análisis forense, etc.
Entre los posibles informes cabe destacar:

 Informes de ataques: ataques registrados por cada equipo FortiGate, señalando el
momento en el que son registrados, e identificados a las fuentes más comunes de
ataque
 Informes de virus: top virus detectados, virus detectados por protocolo
 Informe de Eventos: eventos propios de la máquina, de administración de la
misma, etc.
 Informe de utilización del correo electrónico: usuarios más activos en envío y
recepción, ficheros adjuntos bloqueados identificados como sospechosos.
 Informe de utilización del tráfico web: usuarios web top, sitios bloqueados,
usuarios de mayor frecuencia de intento de acceso a sitios bloqueados, etc.
 Informe de utilización de ancho de banda: informes de uso del ancho de banda
por usuario, día, hora y protocolo
 Informes por protocolo: Protocolos más utilizados, usuarios ftp /telnet top.
FortiAnalyzer incluye un registro histórico y en tiempo real del tráfico de cada uno de los
equipos FortiGate gestionados, así como una herramienta de búsqueda en los logs.
FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos, tanto
en formato físcio como appliance virtual para las principales plataformas de virtualización.
Aparte de la capacidad de generación de informes y de la gestión de los logs de las distintas

plataformas FortiGate, FortiAnalyzer puede actuar como gestor de alertas bajo
determinadas condiciones configurables por el administrador de seguridad. De esta forma
se centralizan las alertas de seguridad en un único dispositivo evitando la dispersión y las
dificultades de gestión asociadas a esta. Como elementos de análisis de la red FortiAnalyzer
cuenta con un monitor de tráfico en tiempo real y un escáner de vulnerabilidades que
permiten conocer en todo momento el estado de la seguridad en el entorno aportando la
capacidad de actuar sobre los puntos débiles o las vulnerabilidades detectadas. Para facilitar
al máximo las tareas de búsqueda de logs, existen módulos de análisis forense y de
correlación de eventos que permiten encontrar la información necesaria sin la pérdida de
tiempo típicamente asociada a la búsqueda en ficheros de log independientes y
descentralizados.
Algunas de las funcionalidades más destacables son:
 Log arrays, que soportan el acceso a logs e informes basados en grupos de

dispositivos, los cuales pueden formar parte de un HA.
 Permite logar tráfico proveniente de endpoints de FortiClient.
 Es posible generar informes para un grupo de dispositivos.
 Genera informes basados en la reputación del cliente o client reputation.
 Backups/restore de logs e informes.
 Generación de alertas basadas en ciertos filtros sobre los logs recibidos.
 Nuevos gráficos y datasets para wireless.
 Mejora de la gestión SNMP y de los MIBs.
 Herramienta mejorada para tests y realización de queries y muestra de resultados.

Copia de FORTINET-DocumentoDescriptivo FortiGate-2016

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Copia de FORTINET-DocumentoDescriptivo FortiGate-2016

Cargado por

Copyright:

Formatos disponibles

DOCUMENTO DESCRIPTIVO

FORTINET - FAST, SECURE, GLOBAL Página 1 de 90

FORTINET - FAST, SECURE, GLOBAL Página 2 de 90

FORTINET - FAST, SECURE, GLOBAL Página 3 de 90

Las plataformas de seguridad FortiGate constituyen una nueva generación de equipos de

La familia de dispositivos Fortinet se extiende con equipos que complementan las

 La plataforma FortiManager, que permite la gestión, administración y

 Los equipos FortiAnalyzer, que proveen de una potente herramienta de gestión y

 Los puntos de acceso Wireless, FortiAP, que junto con la funcionalidad de

 Las plataformas de protección ante amenazas Avanzadas FortiSandbox, que

FORTINET - FAST, SECURE, GLOBAL Página 4 de 90

 El software FortiClient, como completo agente de seguridad para el puesto de

FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo están disponible en

2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS

La tecnología Fortinet es una poderosa combinación de software y hardware basada en el

La tecnología incluye los Procesadores FortiASIC™ y el Sistema Operativo FortiOS™ los

Los procesadores FortiASIC™, diseñados por Fortinet, poseen un motor propietario de

FORTINET - FAST, SECURE, GLOBAL Página 5 de 90

La exclusiva arquitectura basada en ASIC

El procesador FortiASIC™ posee múltiples características que hacen posible su alto

 Contiene un motor hardware que acelera el análisis de las cabeceras de cada

 Posee un potente motor de comparación de firmas que permite contrastar el

 FortiASIC™ incluye también un motor de aceleración de cifrado que permite

Diferentes flujos, diferentes velocidades: Gracias a los procesadores FortiASIC el flujo

Aceleración hardware para puertos de red: NP6 (Network Processor v6)

FORTINET - FAST, SECURE, GLOBAL Página 6 de 90

Cuando los protocolos

La solución en este tipo de entornos, pasa por el uso de tecnologías de aceleración

FORTINET - FAST, SECURE, GLOBAL Página 7 de 90

Algunos modelos de FortiGate (revisar hoja de datos) disponen de un Switch hardware en

Aceleración hardware FortiASIC CP8/9 (Content Processor v8/9)

Aceleración hardware FortiSoC2

La gama “entry level” de equipos FortiGate dispone de un procesador específico

El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de

FORTINET - FAST, SECURE, GLOBAL Página 8 de 90

 Políticas IPS por interface IPv6

2.3. Modalidad NAT o Transparente

FORTINET - FAST, SECURE, GLOBAL Página 9 de 90

Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar

También es posible combinar las dos funcionalidades y configurar en un mismo dispositivo

2.4. Inspección en modo Proxy o Flow

2.5. Proxy Explícito

Es también posible establecer mensajes de aviso (tipo disclaimer) a nivel de usuario,

 Objetos tipo VIP

FORTINET - FAST, SECURE, GLOBAL Página 10 de 90

Así mismo se implementan funcionalidades anti-botnet en el Proxy Explícito.

2.6. Dominios Virtuales (VDOM)

FORTINET - FAST, SECURE, GLOBAL Página 11 de 90

FortiView es una consola incluida en el propio interface gráfico de FortiGate, que no

A continuación se indica la información disponible en los diferentes widget de FortiView:

FORTINET - FAST, SECURE, GLOBAL Página 12 de 90

También permite filtrar por aplicación, interface de origen o destino e identificador

FORTINET - FAST, SECURE, GLOBAL Página 13 de 90

 Todas las sesiones

Se puede filtrar por IP de origen o destino, aplicación, dispositivo de origen,

2.8.1. Enrutamiento Estático Redundante

FORTINET - FAST, SECURE, GLOBAL Página 14 de 90

config system link-monitor

De este modo se puede emplear la plataforma FortiGate para configurar múltiples

Se puede implementar ECMP en 3 modos distintos:

 source-ip-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en

2.8.2. Policy Routing

Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de