NO REIMPRIMIR

© FORTINET LAB 9 - Antivirus

Lab 9 - Antivirus
En esta práctica de laboratorio, se procederá a configurar, usar y supervisar el escaneo del
antivirus basado en flujo y en proxy en Local-FortiGate.

Objetivos
• Configurar el escaneo del antivirus basado en flujo y en proxy.
• Entender el comportamiento del escaneo del antivirus de FortiGate.
• Escanear protocolos múltiples.
• Analizar y entender los registros del antivirus.

Tiempo para completar.

Estimado: 20 minutos

Prerrequisitos
Antes de comenzar esta práctica de laboratorio, debe restaurar un archivo de configuración
al FortiGate.

Para restaurar el archivo de configuración del FortiGate.

1. Desde la máquina virtual Local-Windows, abra un navegador e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese al Panel (Dashboard), y desde el grupo System Information (Información del
Sistema) haga clic en Restore (Restaurar).

3. Seleccione restaurar desde Local PC y haga clic en Upload (Cargar).

4. Ingrese a Desktop (Escritorio) > Resources (Recursos) > FortiGate-I > Antivirus y
seleccione local-antivirus.conf
5. Haga clic en OK (Aceptar).
6. Finalmente, haga clic en OK (Aceptar) para reiniciar.

FortiGate I - Guía del Estudiante 1

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

1. Escaneo del antivirus basado en proxy

En el escaneo basado en proxy, el proxy de cada protocolo almacena el archivo completo
(o espera el límite de tamaño mayor) y lo escanea. El equipo cliente debe esperar a que
termine el escaneo.
En este ejercicio, realizará la configuración del escaneo del antivirus basado en proxy,
incluyendo las características de seguridad asociadas (tales como las opciones del proxy
y la opción de inspección profunda) y las aplicará a la política del Cortafuegos. Después,
analizará el comportamiento del escaneo del antivirus cuando la opción de inspección
profunda esté habilitada y también cuando esté deshabilitada. Finalmente, analizará los
registros y la información general de la actividad del antivirus.

Configurando los ajustes del antivirus basado en proxy.

El archivo de configuración que se cargó al comienzo de esta práctica de laboratorio ya
tiene una configuración por defecto de antivirus basado en proxy. En este procedimiento,
verificará la configuración y habilitará el perfil del antivirus basado en proxy en la política
del Cortafuegos.

Para revisar el perfil del antivirus basado en Proxy.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese al Panel (Dashboard) y luego al grupo System Information.
Notará que Inspection Mode (Modo de inspección) está configurado en Proxy-based
(Basado en Proxy).
3. Ingrese a Security Profiles (Perfiles de Seguridad) > AntiVirus (Antivirus) y seleccione el
perfil de antivirus Default (por defecto).

4. Verifique que Detect Viruses (Detección de virus) esté ajustado en Block (Bloque) y que el
escaneo HTTP esté habilitado en Inspected Protocols (Protocolos Inspeccionados)
Este perfil define el comportamiento del escaneo de virus para el tráfico que coincida
con las políticas que usen ese perfil.

Habilitando el perfil del antivirus en una política del Cortafuegos.

Después de configurar el perfil del antivirus, se debe habilitar el perfil del antivirus en la
política del Cortafuegos. Y cuando el perfil de antivirus esté habilitado en la política del
Cortafuegos, se puede realizar la búsqueda de virus y generar los registros (dependiendo de
la configuración del registro).

Para habilitar el perfil del antivirus en la política del Cortafuegos.

1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects (Objetos y Políticas)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Seq.# para seleccionar la política del Cortafuegos
AV_Scan (Escaneo de Anti Virus).

FortiGate I - Guía del Estudiante 2

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

3. Haga clic en Edit (Editar).

4. Del grupo Security Profiles (Perfiles de Seguridad) habilite AntiVirus (Antivirus) y seleccione
la opción Default (Por Defecto) de la lista desplegable asociada.

Nota: Al seleccionar un perfil de antivirus, el ítem Proxy Options (Opciones del Proxy) se habilita
automáticamente. El ítem Proxy Options (Opciones del Proxy) no puede deshabilitarse, pero puede
seleccionar cualquier perfil de opciones de proxy preconfigurado de la lista desplegable asociada.
5. Deje todas las demás configuraciones en sus valores predeterminados y haga clic en
OK (Aceptar) para guardar los cambios.
6. Opcionalmente, podemos revisar las opciones predeterminadas de proxy del perfil
seleccionado en la política del Cortafuegos, ingresando a Security Profiles (Perfiles de
Seguridad) > Proxy Options (Opciones de Proxy).
Este perfil determina cómo los proxies de FortiGate recogen los protocolos. Por
ejemplo, el puerto de escucha HTTP está configurado en el puerto 80.

Probando la configuración del antivirus.

En este procedimiento, descargará el archivo EICAR en la máquina virtual Local-Windows.
El archivo de prueba EICAR es un virus estándar de la industria utilizado para probar la
detección del antivirus con un archivo de prueba que no cause daños. El archivo contiene
los siguientes caracteres:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Para probar la configuración del antivirus.

1. En la máquina virtual Local-Windows, abra un navegador web e ingrese al siguiente
sitio web:
http://eicar.org
2. En la página web de EICAR, haga clic en DOWNLOAD ANTI MALWARE TESTFILE (Descargar
Archivo de Prueba Anti Malware), (ubicado en la esquina superior derecha de la página) y
luego haga clic en el enlace Download (Descargar) que aparece a la izquierda.
3. Descargue cualquiera de los archivos de muestra de EICAR de la sección Download
area using the standard protocol http (Área de descarga utilizando el protocolo estándar http).
Y antes de que se produzca la descarga, FortiGate reaccionará y bloqueará el intento
de descarga y mostrará la siguiente ventana:

No se le permite descargar el archivo “eicar.com” porque está

infectado con el virus “EICAR_TEST_FILE”.

Archivo puesto en cuarentena como:

FortiGate muestra el mensaje de virus HTTP cuando bloquea o pone en cuarentena

archivos infectados.

FortiGate I - Guía del Estudiante 3

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

4. En el mensaje que se muestra, haga clic en el enlace para ver información sobre el
virus detectado en la Enciclopedia del Virus de Fortinet.

Visualizando los registros del antivirus.

El propósito de crear registros consiste en proporcionar soporte para el control del tráfico
de la red, localización de problemas, establecimiento de datos de referencia y realizar
ajustes a la seguridad de la red, si fuera necesario.

Para visualizar los registros del antivirus.

1. En la interface gráfica de Local-FortiGate, ingrese a Log & Report (Registro y Reportes) >
Forward Traffic (Tráfico Redireccionado).
2. Localice el mensaje de registro del antivirus y haga doble clic sobre éste.
La pestaña Details (Detalles) muestra la información del registro de tráfico direccionado
junto con la acción realizada.
3. Haga clic en la pestaña Security (Seguridad) para visualizar la información del registro
de seguridad que proporciona información más específica para eventos de seguridad
tales como el nombre del archivo, un virus o un botnet y las referencias por nombrar
algunos.
4. También puede visualizar los registros de seguridad del antivirus ingresando a Log &
Report (Registro y Reporte) > AntiVirus (Antivirus).

Nota: La sección de registros AntiVirus (Antivirus) no se mostrará si no existen registros del antivirus.
FortiGate lo mostrará después de la creación de los registros. Y si en caso de que este elemento del
menú no se muestre, cierre la sesión en la interface gráfica de FortiGate e inicie sesión nuevamente
para actualizarlo.
5. Ingresar al Panel (Dashboard).
6. Agregue el complemento Advanced Threat Protection Statistics (Estadísticas de protección
avanzada contra amenazas) para visualizar la estadística general de la actividad del
antivirus.

El complemento Advanced Threat Protection Statistics (Estadísticas de protección avanzada

contra amenazas) proporciona estadísticas sobre la cantidad de archivos enviados y los
resultados de los escaneos.

Habilitando la inspección SSL en una política del Cortafuegos.

Hasta ahora, se ha probado el tráfico no cifrado para el escaneo del antivirus. Para que
FortiGate inspeccione el tráfico cifrado, se debe habilitar la inspección profunda en la
política del Cortafuegos. Al habilitar esta función, FortiGate filtrará el tráfico usando el
protocolo de encriptado SSL. Este protocolo funciona de manera muy similar al ataque
Man-in-the-middle (Ataque de Intermediario).

Para probar el escaneo del antivirus sin la inspección SSL habilitada en la política
del Cortafuegos.
1. En la máquina virtual Local-Windows, abra un navegador web e ingrese al siguiente
sitio web:

FortiGate I - Guía del Estudiante 4

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

http://eicar.org
2. En la página web de EICAR, haga clic en DOWNLOAD ANTI MALWARE TESTFILE y después,
haga clic en el enlace Download (Descargar) que aparece a la izquierda.
3. Esta vez, descargue el archivo de muestra de EICAR desde la sección Download area
using the secure, SSL enabled protocol https (Area de descarga que utiliza el protocolo seguro
https habilitado con SSL).
La descarga se realizará sin ningún problema. FortiGate no debería bloquear el
archivo, porque no se ha habilitado la inspección SSL completa.

Para revisar el perfil de inspección SSL.

1. En la interface gráfica de Local-FortiGate, ingresar a Security Profiles (Perfiles de
Seguridad) > SSL/SSH Inspection (Inspección SSL/SSH).
2. Seleccione el perfil Deep-Inspection (Inspección Profunda) del menú desplegable del lado
derecho.

3. Revise y verifique lo siguiente:

• Que el ítem Inspection Method (Método de Inspección) esté configurado en Full SSL
Inspection (Inspección SSL completa).
• Que el ítem Protocol Port Mappings (Mapeo de Puertos de Protocolo) tenga HTTPS
habilitado y configurado en el puerto 443.

Para habilitar el perfil de inspección SSL en una política del Cortafuegos y

probarlo.
1. En la interface gráfica de Local-FortiGate, ingresar a Policy & Objects (Objetos y Política)
> IPv4 Policy (Política IPv4).
2. Haga clic derecho en la columna Seq.# para la política del Cortafuegos AV_Scan.
3. Haga clic en Edit (Editar).
4. En Security Profiles (Perfiles de seguridad), habilite Inspection SSL/SSH (Inspección SSL/
SSH) y seleccione Deep-Inspection (Inspección Profunda) desde la lista desplegable
asociada.
5. Deje todas las demás configuraciones en sus valores predeterminados y haga clic en
OK (Aceptar) para guardar los cambios.
6. Regrese a la página web de EICAR e intente descargar el archivo de eicar.com desde
la sección Download area using the secure, SSL enabled protocol https (Area de descarga
que utiliza el protocolo seguro https habilitado con SSL).

Nota: Si el certificado de inspección completa autofirmado de FortiGate no está instalado en el

navegador, los usuarios finales verán una advertencia sobre el certificado. En el entorno de este
ejemplo, el certificado de inspección SSL autofirmado de FortiGate está instalado en el navegador.
7. Ahora, FortiGate debe bloquear la descarga y reemplazarla con un mensaje. Si no es
así, es posible que deba eliminar los archivos temporales del navegador. En Firefox,
vaya a History (Historial) > Clear Recent History (Borrar Historial Reciente) > Everything
(Todo).

FortiGate I - Guía del Estudiante 5

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

2. Escaneo del Antivirus basado en Flujo

El escaneo del antivirus basado en Flujo cuenta con dos modos:
• Exploración rápida, que utiliza una base de datos antivirus compacta y realiza un escaneo
mucho más rápido porque no almacena temporalmente el archivo en la memoria.
• El escaneo completo, que usa toda la base de datos del antivirus. Almacena el archivo
en una memoria temporal, pero lo transmite simultáneamente al cliente final. Todo se
transmite, excepto el último paquete. El último paquete se retrasa y todo el archivo se
envía finalmente al motor del antivirus para el escaneo.
En este ejercicio, se cambiará el modo de inspección de FortiGate a basado en flujo, que
convertirá, los perfiles soportados, de basados ​​en proxy a basados ​​en flujo y eliminará
cualquier configuración específica del proxy. Se probará el escaneo basado en flujo usando
el protocolo FTP.

Cambiando el modo de inspección de FortiGate.

En FortiGate, el modo de inspección basado en proxy está habilitado por defecto. Se
procederá a cambiar el modo de inspección, de basado en proxy a basado en flujo.

Para cambiar el modo de inspección de FortiGate.

1. Desde la máquina virtual Local-Windows, abra un navegador e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese al Panel (Dashboard), y al grupo System Information (Información del Sistema).
3. Haga clic en Change (Cambiar) del ítem Inspection Mode (Modo de Inspección) para
cambiar de Proxy-based (Basado en Proxy) a Flow-based (Basado en Flujo).

4. Seleccione Flow-based (Basado en flujo), acepte el mensaje de advertencia y haga clic

en OK (Aceptar) para guardar los cambios.

Nota: El cambio de un modo de inspección a otro dará como resultado la conversión de perfiles y la
eliminación o adición de características de seguridad, según el modo seleccionado.

FortiGate I - Guía del Estudiante 6

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

Revisión del perfil del antivirus basado en flujo.

Ahora que se ha cambiado el modo de inspección a basado en flujo, hay que revisar el
perfil del antivirus para ver los cambios.

Para revisar el perfil del antivirus basado en flujo.

1. En la máquina virtual de Local-FortiGate, ingresar a Security Profiles (Perfiles de
Seguridad) > AntiVirus (Antivirus).
2. Revise el perfil predeterminado del antivirus.
Notará que el perfil predeterminado del antivirus ha cambiado de perfil basado en
proxy a un perfil completo basado en flujo. También se ve que el ítem Proxy Options
(Opciones de Proxy) ha sido eliminado de Security Profiles (Perfiles de seguridad).

Probando el perfil del antivirus basado en flujo.

Pasaremos a efectuar las pruebas del perfil de antivirus basado en flujo.

Para probar la configuración del antivirus.

1. Desde la máquina virtual Local-Windows, úbique y ejecute el cliente FTP FileZilla.
2. Conéctese a 10.200.1.254. Deje el nombre de usuario y la contraseña en blanco para
usar el FTP de forma anónima.

3. En el lado Remote (remoto), haga clic en la carpeta pub (Pública).

4. Haga clic derecho en el archivo eicar.com y seleccione Download (Descargar).

FortiGate I - Guía del Estudiante 7

NO REIMPRIMIR
© FORTINET LAB 9 - Antivirus

El equipo cliente debe mostrar un mensaje de error que indica que el servidor canceló
la conexión.

Nota: Con el escaneo de virus basado en flujo, los datos del archivo ya se han enviado al equipo cliente,
por lo que ya no es necesario mostrar ningún mensaje o ventana indicando el bloqueo inmediato.

Visualizando los registros del antivirus.

Ahora se verificará y confirmará los registros de las pruebas que se acaba de realizar.
1. En la interface gráfica de Local-FortiGate, ingrese a Log & Report (Registro y Reporte) >
Forward Traffic (Tráfico Redireccionado).
2. Ubique el mensaje de registros del antivirus. Haga doble clic en la entrada del registro
para seleccionarlo.
La pestaña Details (Detalles) muestra la información del tráfico redireccionado junto con
la acción realizada.
3. Haga clic en la pestaña Security (Seguridad) para visualizar la información del registro
de seguridad que proporciona información más específica para eventos de seguridad
tales como el nombre del archivo, un virus o un botnet y las referencias por nombrar
algunos.
4. También puede visualizar los registros de seguridad del antivirus ingresando a Log &
Report (Registro y Reporte) > AntiVirus (Antivirus).

FortiGate I - Guía del Estudiante 8