Un nuevo acercamiento

Fortinet a la
& Seminario
Protección de redes
Actualización

Mayo 2004
 Fortinet
ƒ Creada en el 2000 por Ken Xie y Joe Wells
ƒFundador de NetScreen y Director de I+D de Trend Micro e IBM
(NASDAQ: NSCN)
ƒ Cuartel General en Santa Clara, CA (200 empleados); Presencia Mundial

Oficinas en Australia, Canada, China, Francia, Alemania, Japón,

ƒ

Korea, UK y España
ƒ Objetivo: protección de red en tiempo real demandada por el mercado
El primer gateway de protección en tiempo real con antivirus basado
ƒ

en ASICs e IDS y Filtrado de URL como servicios de valor

añadido sin coste adicional
ƒ Objetivo: Superar las limitaciones de las soluciones convencionales
Rendimiento, gestión, coste. ¡¡¡30.000 unidades desde mayo 2002!!!
ƒ

Fortinet Confidential
Fortinet Confidential
Fortinet se ha posicionado como empresa visionaria en las
necesidades sobre seguridad que están demandando las
organizaciones

“Fortinet has demonstrated

its investment in powerful
network processing
technology by filtering
viruses in-line, which
requires an unprecedented
level of packet assembly
and filtering.”

“…Firewalls must
provide a wider range
of intrusion prevention
capabilities, or face
extinction…”

Fortinet Confidential
Arquitectura Fortigate– Completa y en
tiempo real

Fortinet Chip (Propietario)

• Scanning (Hw)
FortiASIC™ • Encriptación (Hw)
• Análisis de Contenidos en
Procesador en tiempo real (Hw)

FortiOS™
Sistema
Operativo

Sistema Operativo Securizado (Propietario)

• Sistema operativo en tiempo real
• Alto rendimiento
• Robusto
• Contruído específicamente para ser gestionado en remoto
sin pérdidas de rendimiento
La serie Fortigate es la primera que
proporciona al mercado:
• Protección antivirus de tiempo real basada en ASIC
• Filtrado de contenido en tiempo real basado en ASIC
• La gama completa de servicios de seguridad perimetral de forma
integrada*:
– Firewall
– VPN
– Detección de intrusiones
– Gestión del ancho de banda

*El modo “Transparent Mode” del fortigate, permite una

sencilla integración con los firewall, VPN, y resto de
elementos de seguridad existentes
Fortinet Confidential
 Versión 2.8
Nuevas
características
Aspectos Clave: Antivirus

• El único AV del mercado basado en ASIC con la certificación ICSA

• 3 tipos de servicios:
– Detección de Virus
– Bloqueo de Ficheros y Correo (oversized files or pattern matching file names)
– Cuarentena
• Protocolos soportados:
– Correo: SMTP, POP3, IMAP
– Web: HTTP (contenido, downloads y web mail)
– FTP
– Soporte en puertos no standard (SMTP, POP3, IMAP, HTTP)
• Método de Scanning
– Basado en firmas
– Scanning de Macros
– Heurístico (executable PE files)

Fortinet Confidential
Aspectos Clave: Antivirus

• Cobertura total para los virus incluídos en la WildList

– Incluyendo virus polymorphic
• Modo Transparente
– No se requiere ninguna configuración especial por parte del usuario
• Máxima eficacia en el Scanning
– Scanning Contextual – compara los datos con el método más apropiado y la base
de datos más apropiada de acuerdo a la naturaleza de los mismos
• Alto Rendimiento
– Unica solución basada en ASIC-para acelerar el scanning en tiempo real
– Scanning del tráfico Web en tiempo real sin latencias
– No comparable a cualquier otro Gateway de AV del mercado
– Hasta 10x más rápido que cualquier otra solución basda en SW
• Customización en las firmas para los correos salientes
• Customización en los mensajes (mail, FTP, Web)

Fortinet Confidential
Configuración para la protección de los
perfiles
Aspectos Clave: Antivirus

• Encriptación y Desencriptación del tráfico VPN para scanning de

virus y worms
• Scanning de ficheros macros de Microsoft encriptados
• Capacidad para hacer scanning hasta 12 niveles de comprensión
(ej: LZH compresión)
• Logs del AV scanning enviados al administrador nada más
suceder el evento
• Actualización FortiProtect Distribution Network (FDN)
– Update manual
– Por fechas
– “Push”
• Más efectivo
• Mensaje UDP enviado via FDN a las unidades FortiGate por el puerto 9443

Fortinet Confidential
Con la infraestructura FortiProtect™, se asegura
el menor tiempo de respuesta del mercado ante
FortiProtect Web Portal & Boletines y
nuevas amenazas
Red de Servidores email diarios sobre el status de las
distribuídos para una rápida amenazas (Antiguo FortiResponse)
actualización

Alta Disponibilidad, Gran

Capacidad
(Updates para TODOS las
unidades FortiGate, en menos de 5
minutos)
Fortinet Confidential
Aspectos Clave: Firewall

• ICSA-certified Stateful • Policy-based NAT

Inspection Firewall – Many-to-one (PAT)
• Alto rendimiento – Many-to-many NAT
– Más de 4 Gbps en FG3600 – H.323 NAT Traversal

• Modo Route y mode • User group-based

transparente authentication
– Local database
• Aplicación de políticas
– Radius authentication
firewall en túneles VPN
– LDAP authentication
• Aplicación de AV y de
– SecureID authentication
filtrado de contenidos como
parte de las políticas de • IP/MAC Binding
firewall

Fortinet Confidential
Soporte 802.1Q VLAN

• FortiGate 200 y superior

• Multiple VLAN basadas en sub-interfaces
– Definibles en cada puerto físico
– Soporte para overlapped IP addresses con diferentes VLAN tags
• Inter-(sub) interface security policies
– VLAN based AV
– VLAN based NIDS
– VLAN based content filtering
– VLAN based VPN construction
– VLAN based firewall policy y traffic shaping
• Virtual Domain

Fortinet Confidential
Definición de las políticas de routing

Fortinet Confidential
Caracterísiticas de Routing

• Soporte de RIP v1 y RIP v2

• Rutas estáticas – destino basado en rutas
– Las rutas pueden recogerse en forma de tabla desde la más específica a
la más general
– Soporta múltiples gateways para cualquier ruta estática
• Detección del estado del gateway basado en pings personalizables
• Failover automático hacia el siguiente gateway cuando el primero falla
– Creación de backup de rutas hacia Internet:

ISP1

Internet Intranet

ISP2

Fortinet Confidential
Características de Routing

• Static routing – Policy-based routes

– Rutas basadas en
• Dirección de origen
• Protocolo, tipo de servicio o rango
• Interface entrante
– Política de rutas chequeada antes de las rutas de destino
– Creación de múltiples rutas hacia Internet
– Static load-sharing:
Real-
Real-time
traffic (HTTP)
ISP1

Internet Intranet

ISP2 Other
traffic

Fortinet Confidential
Aspectos Clave: VPN
• ICSA-certified IPSec VPN
• Protocolos soportados:
– IPsec, PPTP
– L2TP/Passthrough of IPSec and
PPTP
• Encriptación Hardware:
– DES, 3DES y AES
• Tráfico IPSec VPN controlado por
las políticas de firewall
• Túneles VPN desencriptados y
enrutados a través del firewall y
para el escaneo de AV
Fortinet Confidential
• VPN NAT traversal
• Dead peer detection (DPD)
• Dial-up monitor/Remote VPN
client
• Authentication:
– Support for Xauth over Radius
– x.509 Certificate auth
– LDAP for user authentication
• Interoperabilidad con la
mayoría de los fabricantes
VPN
• Soporta arquitectura Hub y
Spoke
Aspectos Clave: Detección de Intrusiones

• Certificación ICSA
• Máximo rendimiento
– IDS basado en ASIC
• Base de datos de 1,400 ataques
• Actualización automática de las firmas
– FortiResponse Distribution Network
• Alertas customizables
– Según diferentes tipos de ataques
• Muy sencilla de configurar y mantener
• CAPEX y OPEX notablemente menores que cualquier otra
solución de NIDS basada en appliance

Fortinet Confidential
Aspectos Clave: Detección de Intrusiones

• Lista de ataques customizables para habilitar o

deshabilitar firmas
• Soporte para autodefinición de firmas por los usuarios
Configuración para la protección de los
perfiles

• Métodos de
Detección:
– Firmas
– Anomalias
• Scanning attacks
• Flooding attacks
IDS basado en políticas

• Scanning de
tráfico selectivo
• Sólo donde sea
necesario
• Máxima
granularidad
– IDS no limitado a
nº de interfaces o
VLANs
• Optimización de
los recursos
Prevención en tiempo real

• Prevención Total automática contra ataques sin intervención

humana
• Detección y Respuesta en Tiempo Real
• Cualquier tipo de ataque puede ser bloqueado
Aspectos Clave: Filtrado Web

• Filtrado de contenidos basado en políticas

– Sólo donde sea necesario
– Scanning, bloqueo o permisión selectiva según los diferentes
tipos de contenidos para usuarios o grupos
• Bloqueo de Scripts (Java, ActiveX, cookies)
• Filtrado Web nativo
– Black List (gratis):
• SquidGuard (URLs lists)
• DansGuardian (banned words)
– Por categorías web
– Bloqueo de Contenido (banned words)
– Bloqueo de URL y Pattern

Fortinet Confidential
Protección Spam – Filtrado Mensajes

SPA
M

• Filtrado Mensajes
– Chequear la información del emisor/receptor contra email
de black/white lists de forma estática
– Chequear que el dominio del email de retorno tenga MX
(Mail Exchange) y/o A (Audio) record
– Chequear cabeceras contra pares de key-value
predefinidas
• La lista es estática
– Chequear las cabeceras de los mensajes, asunto y cuerpo
para palabras baneadas
• Expresiones regulares que provienen de una lista localmente
actualizada

Fortinet Confidential
Protección SPAM – Filtrado SMTP

SPA
M
• Filtrado de servidores SMTP:
– White y black list estática
• IP addresses or hostnames
– Real-Time Blackhole List (RBL) y Open Relay Database (ORDB) checks
• Support ad-hoc syntax of standard for DNS-based BL queries
• Support any BL that supports it. For example - http://mail-abuse.org/rbl
• Sender’s IP address is check against publicly accessible databases of RBL and
ORDB servers
• Static database of well-known RBL servers
• Can be user modified
– Reverse DNS lookup
• When receiving a HELO from an SMTP client
• HELO commands carries a domain name which is reversed

Fortinet Confidential
Gestión FortiGate

• CLI – Command-line Interface

– Security through SSH
• Web GUI
– Security through SSL

Fortinet Confidential
Acceso CLI desde Telnet/SSH/GUI
Web GUI – Configuración
Web GUI – Localización

• GUI en 6
idiomas
Gestión basada en roles
Web GUI – Monitorización
Backup y restore

• Backup/restore la
configuración
completa
• Backup/restore
cualquier parte
de la
configuración
• Backup realizado
en formato de
fichero de texto
Familia de Productos

Familia de Productos FortiGate

SOHO Branch Office Medium Enterprise Large Enterprise Service Provider/Telco
FortiGate-
FortiGate-4000

FortiGate-
FortiGate-3600

FortiGate-
FortiGate-3000
FortiManager FortiLog
Redundant PS, VDom
THROUGHPUT

FortiGate-
FortiGate-1000 Gigabit perf
FortiGate 800 Gigabit Eth
FortiGate 500 High port density
FortiGate-
FortiGate-400
FortiGate-
FortiGate-300 High Availability
FortiGate-
FortiGate-200 Integrated Logging, VLAN support
FortiGate-
FortiGate-100

FortiGate-
FortiGate-60 / FortiWifi

FortiGate-
FortiGate-50A
FortiGate – Rendimientos

FortiGate Performance Summary

Producto Nodos AV HTTP Perf AV Mail Perf Firewall VPN Sesiones
FG-50 1 hasta 5 1MB 10MB 20 3K

FG-60 1 hasta 25 5MB 1500 MM 70MB 40 50K

25 hasta
FG-100 35 9MB 95MB 40 / 80 50K / 200K

25 hasta
FG-200 50 11MB 2500 MM 120MB 100 400K

FG-300 50-100 20MB 3000 MM 200MB 1.5K 400K

FG400 50-100 25 MB 3500 MM 280MB 2K 400K

FG-500 100-150 25MB 4000 MM 280MB 2K 400K

FG-800 / FG-1000 100-250 45MB / 50MB 600MB / 1 GB 2K/3K 400K/600K

FG-3000 200-750 110MB 2.25 GB 5K 975K

FG-3600 500-1500 130MB 4 GB 5K 1MB

 Gracias
¿Preguntas?