Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lab 9 - Antivirus
En esta práctica de laboratorio, se procederá a configurar, usar y supervisar el escaneo del
antivirus basado en flujo y en proxy en Local-FortiGate.
Objetivos
• Configurar el escaneo del antivirus basado en flujo y en proxy.
• Entender el comportamiento del escaneo del antivirus de FortiGate.
• Escanear protocolos múltiples.
• Analizar y entender los registros del antivirus.
Prerrequisitos
Antes de comenzar esta práctica de laboratorio, debe restaurar un archivo de configuración
al FortiGate.
4. Verifique que Detect Viruses (Detección de virus) esté ajustado en Block (Bloque) y que el
escaneo HTTP esté habilitado en Inspected Protocols (Protocolos Inspeccionados)
Este perfil define el comportamiento del escaneo de virus para el tráfico que coincida
con las políticas que usen ese perfil.
Nota: Al seleccionar un perfil de antivirus, el ítem Proxy Options (Opciones del Proxy) se habilita
automáticamente. El ítem Proxy Options (Opciones del Proxy) no puede deshabilitarse, pero puede
seleccionar cualquier perfil de opciones de proxy preconfigurado de la lista desplegable asociada.
5. Deje todas las demás configuraciones en sus valores predeterminados y haga clic en
OK (Aceptar) para guardar los cambios.
6. Opcionalmente, podemos revisar las opciones predeterminadas de proxy del perfil
seleccionado en la política del Cortafuegos, ingresando a Security Profiles (Perfiles de
Seguridad) > Proxy Options (Opciones de Proxy).
Este perfil determina cómo los proxies de FortiGate recogen los protocolos. Por
ejemplo, el puerto de escucha HTTP está configurado en el puerto 80.
4. En el mensaje que se muestra, haga clic en el enlace para ver información sobre el
virus detectado en la Enciclopedia del Virus de Fortinet.
Nota: La sección de registros AntiVirus (Antivirus) no se mostrará si no existen registros del antivirus.
FortiGate lo mostrará después de la creación de los registros. Y si en caso de que este elemento del
menú no se muestre, cierre la sesión en la interface gráfica de FortiGate e inicie sesión nuevamente
para actualizarlo.
5. Ingresar al Panel (Dashboard).
6. Agregue el complemento Advanced Threat Protection Statistics (Estadísticas de protección
avanzada contra amenazas) para visualizar la estadística general de la actividad del
antivirus.
Para probar el escaneo del antivirus sin la inspección SSL habilitada en la política
del Cortafuegos.
1. En la máquina virtual Local-Windows, abra un navegador web e ingrese al siguiente
sitio web:
http://eicar.org
2. En la página web de EICAR, haga clic en DOWNLOAD ANTI MALWARE TESTFILE y después,
haga clic en el enlace Download (Descargar) que aparece a la izquierda.
3. Esta vez, descargue el archivo de muestra de EICAR desde la sección Download area
using the secure, SSL enabled protocol https (Area de descarga que utiliza el protocolo seguro
https habilitado con SSL).
La descarga se realizará sin ningún problema. FortiGate no debería bloquear el
archivo, porque no se ha habilitado la inspección SSL completa.
Nota: El cambio de un modo de inspección a otro dará como resultado la conversión de perfiles y la
eliminación o adición de características de seguridad, según el modo seleccionado.
El equipo cliente debe mostrar un mensaje de error que indica que el servidor canceló
la conexión.
Nota: Con el escaneo de virus basado en flujo, los datos del archivo ya se han enviado al equipo cliente,
por lo que ya no es necesario mostrar ningún mensaje o ventana indicando el bloqueo inmediato.