NO REIMPRIMIR

© FORTINET LAB 11 - Control de Aplicaciones

Lab 11 - Control de Aplicaciones

En este laboratorio, vamos a configurar y utilizar el control de aplicaciones y la inspección
de seguridad de acceso a la nube (CASI) para tomar las medidas apropiadas en una
aplicación. Podremos visualizar los registros y monitorear desde FortiView. La función de
control de aplicaciones también se utilizará conjuntamente con el modelado de tráfico para
limitar el ancho de banda de una aplicación.

Objetivos.
• Configurar el control de aplicaciones.
• Analizar e interpretar los registros del control de aplicaciones y las aplicaciones de
FortiView.
• Configurar y monitorear el modelado del tráfico para el control de aplicaciones.
• Configurar CASI para el control específico de aplicaciones.

Tiempo para completar.

Estimado: 25 minutos.

Prerrequisitos.
Antes de comenzar esta práctica de laboratorio, debe restaurar un archivo de configuración
en FortiGate.

Para restaurar el archivo de configuración en FortiGate.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese al Panel (Dashboard) y desde el grupo System Information (Información del Sistema) haga
clic en Restore (Restaurar).

3. Desde la PC local (Máquina Virtual Local-Windows), haga clic en Upload (Cargar), e ingrese a
Desktop > Resources > FortiGate-I > Application-Control, y seleccione local-
application-control.conf
4. Haga clic en OK, y nuevamente en OK para terminar.

FortiGate I - Guía del Estudiante 1

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

1. Creando un perfil para el control de aplicaciones

En este ejercicio, creará un perfil para el control de aplicaciones. FortiGate realiza la
coincidencia del tráfico en este orden:
1. Anulación de aplicaciones
2. Anulación de filtros.
3. Categorías de aplicación.
También vamos a visualizar las aplicaciones y los registros del control de aplicaciones
desde FortiView para confirmar que las aplicaciones se hayan registrado correctamente.

Configurando las anulaciones para las aplicaciones.

El archivo de configuración de este ejercicio ya contiene configuradas las categorías
para el control de aplicaciones para efectuar el monitoreo (excepto para las aplicaciones
desconocidas). Esto permite que las aplicaciones pasen, pero también se grabe un
mensaje de registro.
En este ejercicio, vamos a configurar anulaciones de aplicación. Las anulaciones de
aplicación tendrán prioridad sobre las categorías de aplicación.

Para configurar la anulación de una aplicación.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese a Security Profiles > Application Control (Perfiles de Seguridad > Control de Aplicaciones).
3. Se tiene que revisar el sensor predeterminado para el control de aplicaciones, para
esto, verifique que se está seleccionando el sensor de aplicación denominado default
(predeterminado).

4. De la página Edit Application Sensor (Editar Sensor de Aplicación), y en Application Overrides

(Anulación de Aplicación) haga clic en Add Signatures (Agregar Firmas), para agregar una firma de
aplicación.
5. En la página Add Signature (Agregar Firma), haga clic en Add Filter (Agregar Filtro).
6. Haga clic en Name (Nombre) y escriba dailymotion en el campo de búsqueda.
7. De la lista rellenada, haga clic en la aplicación Dailymotion para seleccionarla.
8. Haga clic en Dailymotion:

9. Haga clic en Use Selected Signature (Usar Firma Seleccionada) en la parte inferior.
La configuración debe quedar como la siguiente:

FortiGate I - Guía del Estudiante 2

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

La acción (Action) para la anulación debería mostrarse como Block (Bloquear).

10. Y de la parte inferior de la página Edit Application Sensor (Editar Sensor de Aplicación), haga
clic en Apply (Aplicar) .

Verificando de que se haya aplicado el perfil de control de

aplicación.
El archivo de configuración para este ejercicio ya tiene el perfil predeterminado para el
control de aplicación, que se ha sido agregado a la política del Cortafuegos y que vamos
a verificar.

Para verificar que el perfil de control de aplicación se haya aplicado a la política

del Cortafuegos.
1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects > IPv4 Policy
(Política y objetos > Política IPv4).

2. Haga clic derecho en la columna Seq.# de la política cortafuego App_control.

3. Haga clic en Edit (Editar).
4. En la sección Security Profiles (Perfiles de Seguridad), verifique que Application Control (Control
de Aplicación) esté activado y que se haya seleccionado el sensor de control de aplicación
predeterminado.

5. Haga clic en Cancel (Cancelar).

Probando el perfil de control de aplicación.

Ahora que la configuración ya está completa, vamos a probar el perfil de control de
aplicación, ingresando a la aplicación que quedó bloqueada con la configuración de
Application Overrides (Anulación de Aplicación).

Para probar el perfil de control de aplicación.

1. En la máquina virtual Local-Windows, abra una nueva ventana del navegador web e
ingrese a la siguiente URL: http://dailymotion.com
Se debe observar que no se puede conectar a ese sitio. Se agota el tiempo para
realizar la conexión.

FortiGate I - Guía del Estudiante 3

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

2. En la interface gráfica de Local-FortiGate, ingrese a Security Profiles > Application

Control (Perfiles de seguridad > Control de Aplicación).

3. Edite nuevamente el sensor de aplicación predeterminado.

4. Y en la parte inferior del perfil, habilite Replacement Messages for HTTP-based

Applications (Mensajes de Reemplazo para Aplicaciones Basadas en HTTP).

5. Haga clic en Apply (Aplicar).

6. Ir al sitio web http://dailymotion.com de nuevo.

Ahora FortiGate debería mostrar un mensaje de bloqueo.

Visualización de registros.
Ahora vamos a visualizar los registros para la prueba que se acaba de realizar.

Para visualizar los registros.

1. En la interface gráfica de Local-FortiGate, ingrese a Log & Report > Application Control
(Registro e Informe > Control de Aplicación).

Nota: La sección de registros Application Control (Control de Aplicación) no se mostrará si no existen

registros de control de aplicación. FortiGate lo mostrará después de crear los registros. Si este
elemento del menú no se muestra, cierre la sesión desde la interface gráfica de FortiGate y vuelva a
iniciar sesión para actualizarlo.

2. Busque y revise la información de registro de Dailymotion para confirmar que esta

acción se registró correctamente.

3. Haga doble clic en el registro para visualizar más detalles.

El registro mostrará el nombre del sensor de aplicación, la categoría y la acción
realizada por FortiGate.

4. Ingrese a Log & Report > Forward Traffic (Registro e Informe > Reenviar Tráfico) busque y revise
la información de registro para Dailymotion.

Se puede analizar más detalles sobre este registro, como IP con NAT, Bytes enviados/
recibidos, la acción realizada y la aplicación.

FortiGate I - Guía del Estudiante 4

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

2. Limitando el tráfico utilizando Modeladores de

Tráfico (Traffic Shapers)
Se puede limitar el consumo de ancho de banda de una categoría de aplicación o una
aplicación específica configurando una política de modelado de tráfico. Debe asegurarse
de que los criterios coincidentes concuerden con la política cortafuego o las políticas a las
que se desea aplicar la configuración.
En este ejercicio, vamos a configurar y aplicar el modelado del tráfico a una aplicación para
limitar su consumo de ancho de banda.

Modificando la acción de Anulación de Aplicación.

Vamos a modificar la anulación de aplicación para que la aplicación Dailymotion cambie la
acción de Block (Bloquear) a Monitor (Monitorear). Y en el siguiente procedimiento, se aplicará el
modelado de tráfico.

Para modificar la acción de Anulación de Aplicación.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese a Security Profiles > Application Control (Perfiles de seguridad > Control de Aplicaciones).
3. Verifique que se está seleccionando el sensor de aplicación denominado default
(predeterminado).

4. En Application Overrides (Anulación de Aplicación), haga clic con el botón derecho en

Dailymotion y haga clic en Monitor (Monitorear).
Esto cambiará la acción para Dailymotion de Block (Bloquear) a Monitor (Monitorear).
5. Haga clic en Apply (Aplicar).

Nota: Para poder configurar el tráfico, la firma debe estar permitida en el perfil de control de la aplicación.

Configurando políticas para el modelado de tráfico.

El modelado de tráfico está preconfigurado para esta práctica. Vamos a configurar una
política de modelado de tráfico utilizando el modelado de tráfico preconfigurado para limitar
el uso de ancho de banda para Dailymotion.

Para configurar la política de modelado de tráfico.

1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects > Traffic Shapers
(Política y Objetos > Modeladores de Tráfico).

2. Para el modelador de tráfico DAILYMOTION_SHAPER, observe detenidamente la

columna Max Bandwidth (Máximo Ancho de Banda).
Podemos notar que el ancho de banda máximo permitido es muy bajo.
3. Ingrese a Policy & Objects > Traffic Shaping Policy (Política y Objetos > Política de Modelado de
Tráfico) y haga clic en Create New (Crear Nuevo).

4. Configure lo siguiente.

FortiGate I - Guía del Estudiante 5

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

FIELD (Campo) VALUE (Valor)

Source (Origen) all (Todos)

Destination (Destino) all (Todos)
Service (Servicio) ALL (Todos)
Dailymotion
Application (Aplicación) (Consejo: escriba el nombre en el cuadro de búsqueda en el lado
derecho y haga clic en Dailymotion para agregar.)
port1
Outgoing Interface (Inteface Saliente)
(Consejo: recuerde que esta es la interface de egreso de FortiGate.)
Reverse Shaper (Modelador Inverso) Habilitar y aplicar : DAILYMOTION_SHAPER
Enable this policy (Habilite esta política) Enable (Habilitar)

La configuración debe quedar como se muestra a continuación :

5. Haga clic en OK (Aceptar)

Nota: la opción Shared Shaper (Modelador Compartido) se usa para limitar el ancho de banda
de ingreso a egreso. Es útil para limitar el ancho de banda de carga. La opción Reverse Shaper
(Modelador Inverso) se usa para limitar el ancho de banda de egreso a ingreso. Es útil para limitar el
ancho de banda de descarga/transmisión.

Nota: debe asegurarse de que los criterios coincidentes concuerden con la política o las políticas del
cortafuegos a las que desea aplicar el modelado.

Prueba del modelado del tráfico.

Ahora que la configuración ya está completa, haremos la prueba de la configuración del
tráfico reproduciendo un video en Dailymotion.

FortiGate I - Guía del Estudiante 6

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

Para probar el modelado del tráfico.

1. En la máquina virtual Local-Windows, abra un navegador web e ingrese a la siguiente
URL:
http://dailymotion.com
2. Intente reproducir algún video.
Notará que el acceso a este sitio es lento y el video tarda mucho tiempo en almacenarse
y reroducir.

Nota: Si en el aula se está utilizando un laboratorio virtual, el hardware subyacente se comparte y,

por lo tanto, la cantidad de ancho de banda disponible para el acceso a Internet varía según el uso
y por algún otro uso simultáneo. El modelador de tráfico se establece en un valor muy bajo para
asegurarse de que la diferencia en el comportamiento sea fácilmente perceptible. En redes reales,
esta configuración tendría que ser mayor.
3. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects > Traffic Shapers
(Política y Objetos > Modeladores de tráfico).

4. Revise las columnas DAILYMOTION_SHAPER para Bandwidth Utilization (Uso de Ancho

de Banda) y Dropped Bytes (Bytes Descartados).

Es necesario actualizar la interface gráfica de FortiGate para ver las estadísticas de

los modeladores del tráfico.
Podemos observar el uso del ancho de banda por parte de la aplicación Dailymotion
y a FortiGate, que está eliminando los paquetes que están en exceso del ancho de
banda configurado en el modelador de tráfico.

Nota: Las estadísticas del monitor están actualizadas desde el momento en que se solicitó la página de
la interface gráfica, así que asegúrese de revisarlas mientras se está descargando un video. También
actualice la página varias veces para obtener mejores resultados.

FortiGate I - Guía del Estudiante 7

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

3. Configurando CASI (Cloud Access Security Inspection)

El perfil CASI permite un control preciso sobre aplicaciones en la nube como YouTube,
Dropbox y Netflix, por nombrar algunos. Como la mayoría de las aplicaciones basadas
en la nube utilizan cifrado SSL, se debe habilitar la inspección profunda en la política del
Cortafuegos.
En este ejercicio, vamos a utilizar el control específico para las aplicaciones basadas en
la nube.

Configurando un perfil CASI

Vamos a configurar un perfil CASI.

Para configurar un perfil CASI

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese a Security Profiles > Cloud Access Security Inspection (Perfiles de Seguridad > Inspección
de Seguridad para el Acceso a la Nube).

3. Revise el perfil CASI predeterminado en el que todas las acciones de la aplicación

están configuradas para monitorear.
4. En General.Interest, cambie la acción a Block (Bloquear) para Bing Search (Búsquedas de
Bing).

5. Haga clic en Apply (Aplicar) en la parte inferior.

Configuración opcional: si tiene una cuenta en www.facebook.com o www.linkedin.
com, siga los pasos a continuación:
• En Social.Media, haga clic en el signo + de Facebook y cambie la acción Login (Iniciar
Sesión) por Block (Bloquear).

• En Social.Media, haga clic en el signo + de LinkedIn y cambie la acción Login (Iniciar

Sesión) por Block (Bloquear).

• Haga clic en Apply (Aplicar) en la parte inferior.

Habilitando CASI y verificando que la inspección profunda esté

habilitada en la política del Cortafuegos
Como la mayoría de las aplicaciones en la nube son HTTPS, recuerde entonces, que para
ellas, también necesitará un perfil de inspección SSL/SSH en la política cortafuego.

Nota: Para que CASI funcione, el hombre en el medio (MITM) debe configurarse
correctamente, sin advertencias de certificado. Firefox utiliza su propio almacén de
certificados, mientras que Chrome e Internet Explorer utilizan el de Microsoft.

En este entorno, el certificado CA de FortiGate para la inspección de SSL se carga

previamente en el navegador Firefox.

FortiGate I - Guía del Estudiante 8

NO REIMPRIMIR
© FORTINET LAB 11 - Control de Aplicaciones

Para habilitar CASI y verificar que la inspección profunda esté habilitada en la

política cortafuego.
1. En la interface gráfica de Local-FortiGate, ingrese a Policy & Objects > IPv4 Policy
(Política y Objetos > Política IPv4).
2. Haga clic derecho en la columna Seq.# de la política cortafuego App_control y haga
clic en Edit (Editar).
3. En Security Profiles (Perfiles de Seguridad), habilite CASI y seleccione Default (Predeterminado)
de la lista desplegable asociada.
4. En Security Profiles (Perfiles de Seguridad), verifique que SSL/SSH Inspection (Inspección SSL/
SSH) esté habilitado y de que se haya seleccionado Deep-Inspection (Inspección Profunda).
5. Haga clic en OK (Aceptar)

Probando CASI
Ahora que la configuración ya está completa, vamos a probar CASI utilizando la aplicación
que se configuró.

Para probar CASI

1. En la máquina virtual Local-Windows, abra una nueva ventana del navegador web e
ingrese a la siguiente URL:
http://www.bing.com.
2. Intente buscar algo como Fortinet, Youtube o Facebook.
La página será bloqueada.
Pruebas opcionales: si tiene una cuenta en www.facebook.com o www.linkedin.com,
puede abrir una nueva ventana del navegador web y visitar https://www.facebook.
com o https://www.linkedin.com .
Intente iniciar sesión en su cuenta. Notará que no puede iniciar sesión.
3. En la interface gráfica de Local-FortiGate, ingrese a Log & Reports > Application
Control (Registro e Informes > Control de Aplicaciones).

Nota: La sección de registros Application Control (Control de Aplicaciones) no se mostrará si no

existen registros de control de aplicación. FortiGate los mostrará después de crear los registros. Si
este elemento del menú no se muestra, cierre la sesión de la interface gráfica de FortiGate y vuelva a
iniciar sesión para actualizarlo.
4. Busque los registros de Bing, Facebook o LinkedIn.
Podemos ver registros similares a los que se muestran a continuación.

En este ejemplo, observe las columnas Application User (Usuario de la Aplicación) y Application
Details (Detalles de la Aplicación).
Para LinkedIn, el inicio de sesión en LinkedIn está bloqueado, pero el acceso al sitio
web está permitido como se muestra en el registro.
Para la búsqueda de Bing, muestra la frase de búsqueda (Search Phrase: test).

FortiGate I - Guía del Estudiante 9