Filtro Web sobre Fortigate 5.

Topología de Red

Versión de Firmware
Configuración de Interfaces de Red

Estado de las interfaces de Red

Como la interfaz WAN esta en modo DHCP, se muestra el estado de la interfaz a detalle de
dicha interfaz

Enrutamiento
Regla de Acceso para salida a Internet

Probando conectividad con la Base de Datos de Fortinet

Configurando DNS en el equipo

Estatus de licenciamiento de Filtro Web

Para ver las licencias que tiene actualmente el equipo

En el caso de que este filtro web sea un equipo interno, es conveniente cambiar el puerto
para conectarse con Fortiguard, debido a que el puerto que viene por defecto (8888) puede
estar siendo bloqueado en el equipo perimetral externo
Perfiles de Filtro Web que viene por defecto (nosotros trabajaremos con el “Custom”)

Consultar de urls en Fortiguard

Criterio de búsqueda
Consulta de url’s, con la finalidad de obtener a que categoría pertenece

Resultado de la consulta
Consulta de Categorías de Filtro Web

Criterio de Búsqueda

Categorías del Filtro Web

1er Escenario:
Bloqueo de todas las categorías

Agregamos el perfil de filtro Web a la Política de Firewall (perfil por defecto)

Observaciones

-Nótese que al habilitar el filtro web, por defecto se habilitan 2 opciones más (Proxy Options +
SSL Inspection)

-Como se está trabajando en un único perfil web (el que viene por defecto con el equipo), este
se muestra como si estuviese deshabilitado

Regla de Acceso creada

Ahora, probamos las funcionalidades del Filtro Web

Accedemos a una url cualquiera

http://www.sunat.gob.pe

El resultado
Vemos que la url está siendo bloqueada debido a que la categoría en mención no esta
permitida

Probamos el acceso a otra url

http://www2.osiptel.gob.pe/sigem/

El resultado

Ahora procederemos a habilitar el modulo “URL Filter”

Aquí agregamos la url

Guardamos los cambios realizados

Para validar nuevamente el acceso, se debe borrar el historial de páginas visitadas

Nuevamente probamos el acceso a la url en mención

El resultado

Al parecer, el estado de la categoría tiene mayor peso que “static url filter”

Ahora, realizamos cambios en la acción del “URL Filter”

Borramos nuevamente archivos temporales (Historial de Paginas) y nuevamente accedemos a
la urls en mención, y se obtiene el siguiente resultado

Entonces, como la url pertenece a la categoría “Business”

Ahora habilitaremos dicha categoría

Guardamos los cambios establecidos, y estos quedan de la siguiente manera
Borramos archivos temporales, y nuevamente cargamos la url

Y esta se muestra sin problemas

Ahora realizamos un cambio de la acción en “URL Filter”

Nuevamente guardamos los cambios realizados, quedando de la siguiente forma

Borramos archivos temporales del navegador y cargamos nuevamente la url

Y ahora se ve que la url fue bloqueada por la característica “Static URL Filter”

En este escenario, el estado de la categoría tiene menor peso que “Static Url Filter”
Nuevamente bloqueamos todas las categorías del Filtro Web

Nuevamente, realizamos un cambio en “URL Filter” para la url en mención

Nuevamente grabamos los cambios establecidos, quedando de la siguiente forma

Borramos nuevamente temporales, y cargamos la url
Finalmente, realizamos los siguientes cambios

-Colocamos en Monitor a la categoría “Business”

-En Static URL Filter, la acción pasa a ser “Allow”

Borramos archivos temporales, y cargamos la url, y vemos que se muestra sin problemas
Instalación de Certificados

Primero, hay que habilitar la funcionalidad de “Certificados”, para ello nos dirigimos a la
siguiente ruta

Ahora procederemos a seleccionar el certificado a descargar

Descargamos el certificado

El archivo descargado en el disco duro

¿Para qué necesitamos descargar un certificado digital en la parte de Filtro Web?

El filtro web, analiza las diversas url’s, y categoriza cada una de ellas, y aplica el filtrado de
acuerdo a la opción elegida (block/allow)

Pero para analizar páginas de tipo https, se necesita un certificado, pues con esto el equipo
quita el certicado SSL de estas páginas, las analiza, las categoriza y nuevamente le coloca el
certificado SSL.

Ahora, importaremos el certificado descargado en el navegador

En Mozilla, nos dirigimos a Menú – Preferences (Opciones)

En la parte de búsqueda, colocamos la cadena a buscar (en este caso certificados), y nos
aparecen varias opciones

Damos clic en “View Certificates”

En esta parte, importaremos el certificado descargado anteriormente

Seleccionamos el certificado a importar

Luego de ello el sistema nos consulta porque razón debes aceptar este nuevo certificado

Aquí marcamos la opción marcada

Luego de ello, el certificado es importado

Para validar si este se realizó correctamente, debe aparecer el nombre del equipo Fortigate

Con esto, ya estamos en la capacidad de analizar urls con certificado digital (de tipo https)

Bloqueo de Categorías (Ejemplo real)

Vamos a bloquear los accesos a redes Sociales y paginas para adultos

Para ello, a todas las categorías Generales, las colocamos en modo “Monitor”

Y a la categoría “Social Networking” (esta se encuentra dentro de la categoría General

“General Interest – Personal) la colocamos en el estado “Block”

Adicionalmente, bloquearemos la categoría “Pornografia”

Nótese que basta que haya categorías bloqueadas, y las cuales forman parte de las categorías
Generales, estas últimas ahora se muestran de color blanco
Validamos nuevamente la política de Firewall con el perfil web asociado

Validaciones
Acceso a url de contenido para adulto en https

Acceso a url de tipo Redes Sociales en https

Consideración a tomar sobre Filtro Web con Integración de Certificado Digital para bloqueo
de páginas de tipo https

Una de las formas de verificar que el bloqueo se realizó con éxito a través del uso del
certificado digital es de la siguiente manera

Ingresamos una url en https que debería ser bloqueada

Damos clic en el “candado” para ver información del certificado

Y se observa que el nombre de la entidad certificadora apunta al certificado generado en el
equipo Fortigate (ver número de serie del appliance)

Donde:

Bloqueo de url de tipo http

Acceso a url de tipo Redes Sociales en http (aquí el appliance no necesita uso del certificado, lo
bloquea por la categoría únicamente)
Ahora bloqueamos la categoría “Streaming Media and Download”

Luego de aplicar los cambios procederemos a realizar las validaciones

Acceso a url de tipo Streaming en https

Vista de logs de Filtro Web
Bloqueo de url’s usando wildcard

En google, buscamos la cadena fifa.com, y las primeras coincidencias se muestran a

continuación
https://es.fifa.com

https://www.fifa.com
En “Static URL Filter”, aplicaremos el filtro para cada url que comience con *.fifa.com

Los cambios realizados quedan de la siguiente forma

Nuevamente borramos temporales en el navegador, y realizamos la misma búsqueda

Y tratamos de acceder a las 2 url’s

https://es.fifa.com

https://www.fifa.com
Si nos basamos en Fortiguard, validamos a que categoría pertenecen ambas url’s

Como se puede observar, ambas url’s caen dentro de la categoría “Sports”

Y esta categoría está habilitada en el Filtro Web

En este caso, y debido a que las categorías están en modo “Monitor”, el estado de la categoría
tiene menor peso que la característica “Static URL Filter”

Creación de listas Negras/Blancas

Para ello, debemos crear tales categorías como personalizadas, ver imagen
Luego de ello, damos clic en “Crear Nuevo”

Aquí creamos las listas Blancas y Negras

Una vez terminado esto, clic en “OK”

Lo que vamos a hacer ahora es

-Permitir el acceso a https://twitter.com

-Bloquear el acceso a https://www.cibertec.edu.pe

Entonces, ahora comenzamos a agregar las url’s en mención

Para ello, realizamos las siguientes acciones

Agregando la url de cibertec en lista negra

Agregando la url de twitter en lista blanca

Los cambios realizados se muestran a continuación

Si regresamos al perfil web, en las categorías locales, vemos las listas creadas

Según lo requerido, para este caso se aplica que:

-Lista Negra (acción: block)

-Lista Blanca (acción: allow)

Ahora solo nos queda hacer nuestras validaciones para los cambios establecidos

Acceso a la url de twitter

Acceso a la url de Cibertec

Control de Aplicaciones (AC)

El control de Aplicaciones (AC) es un módulo de seguridad que se complementa con el módulo

de WebFilter, para el filtrado de páginas web.

Utilizaremos el perfil por defecto para hacer las pruebas correspondientes

En este caso, se observa que todas las categorías están en modo “Monitor”

Ahora bloquearemos ciertas categorías y las demás quedaran tal cual se encontraban
Ahora, asociamos el perfil de AC a la política de Firewall

Los cambios realizados quedan de la siguiente forma

Accedemos a nuestro correo de Gmail, y vemos el estado del CHAT

En este caso, se encuentra activo

Para probar el control de aplicaciones, configuraremos el perfil para bloquear el acceso al chat
de Gmail

Dentro del perfil por defecto del AC, damos clic en el “Agregar Firma”
Realizamos la búsqueda de la firma por nombre y una vez encontrada la seleccionamos

Los cambios realizados quedan de la siguiente forma

Nótese que la categoría “Collaboration” está habilitada y/o monitoreada, excepto cuando la
firma sea de Google.Hangouts, en cuyo caso la acción por defecto será “Block”

Cerramos sesión en Gmail y nuevamente ingresamos al correo y validamos ahora el estado del
chat

Visor de Trafico de Aplicaciones

Para ello, vamos a la siguiente ruta

Visor de log de eventos para Application Control

Para ello, nos vamos a la siguiente ruta

Detalle de un registro cualquiera

Observación

Hasta el momento, hemos estado trabajando con un único perfil de seguridad, ya sea como
Webfilter y Application Control

Si se desea trabajar con más de un perfil de seguridad, y que estas estén asociados a diversas
políticas, se debe habilitar el siguiente modulo

Y ya con ello (para el caso del Control de Aplicaciones) podemos ver ya un menú desplegable y
con nuevos botones, los cuales ya nos permiten crear nuevos perfiles, y estos ser asociados a
diversas políticas (ver botones de color rojo, naranja, morado en la margen derecha)
Un ejemplo de esto seria

Aquí como se puede observar, hay varios perfiles de tipo Webfilter, Application Control e IPS
en diversas políticas de firewall, todas ellas las cuales se aplican para diversos grupos de
usuarios de la institución
Integración de Filtro Web con Fortisandbox

Fortisandbox (Solución de Fortinet integral a Fortigate contra Amenazas Avanzadas)

En este caso, haremos la integración del Filtro Web contra un Fortisandbox en Internet

En el dashboard Principal (equipo 1500D con firmware 5.4.7), clic en “Configure”

Luego configuramos las opciones marcadas según se observa en la figura

Luego, nos pide configurar un perfil de Antivirus para habilitar la inspección de FortiSandbox
Configuramos el perfil con las opciones mostradas

Integración de Fortisandbox con Filtro Web

En cada perfil web creado, habilitamos la opción mostrada

Luego de ello, vemos que la opción de Fortisanbox se encuentra habilitada

Ahora nos vamos a ver las estadísticas del Fortisandbox

Luego, damos clic para ver los detalles

Luego damos clic sobre el valor numero indicado

Y luego nos muestra el usuario al cual se le detecto el archivo sospechoso

Hacemos doble clic y vemos el detalle del archivo