Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FortiGate Hardening Guide - Español
FortiGate Hardening Guide - Español
Versiones
FORTIGATE HARDENING....................................................................................................1
1. OBJETO.............................................................................................................................6
2. ALCANCE.........................................................................................................................6
3. GENERAL.........................................................................................................................6
4. DESARROLLO.................................................................................................................6
4.1 ACTUALIZACIÓN FIRMWARE...........................................................................6
4.2 NOMBRE DEL DISPOSITIVO...............................................................................6
4.3 INVENTARIO DE EQUIPOS.................................................................................6
4.4 REGISTRO EN WEB DE SOPORTE.....................................................................7
4.5 MONITORIZACION LOGS...................................................................................7
4.6 INFORMES...............................................................................................................7
4.7 GUÍA DE SEGURIDAD...........................................................................................7
4.7.1 Configuración de mensajes de advertencia.........................................7
4.7.1.1 Objetivo.............................................................................................7
4.7.1.2 Beneficios de seguridad....................................................................7
4.7.1.3 Guía..................................................................................................7
4.7.2 Política de contraseñas locales para Administradores ensobrados..8
4.7.2.1 Objetivo.............................................................................................8
4.7.2.2 Beneficios de seguridad....................................................................8
4.7.2.3 Guía..................................................................................................8
4.7.3 Configuración de Administradores.......................................................8
4.7.3.1 Objetivo.............................................................................................8
4.7.3.2 Beneficios de seguridad....................................................................9
4.7.3.3 Guía..................................................................................................9
4.7.4 Configuración OTP para Administradores diarios...............................9
4.7.4.1 Objetivo.............................................................................................9
4.7.4.2 Beneficios de seguridad....................................................................9
4.7.4.3 Guía..................................................................................................9
4.7.5 Cerrar los interfaces no utilizados......................................................10
4.7.5.1 Objetivo...........................................................................................10
4.7.5.2 Beneficios de seguridad..................................................................10
4.7.5.3 Guía................................................................................................10
4.7.6 Descripción de los interfaces utilizados.............................................10
4.7.6.1 Objetivo...........................................................................................10
4.7.6.2 Beneficios de seguridad..................................................................10
4.7.6.3 Guía................................................................................................10
4.7.7 Limitar el acceso administrativo a cada interfaz................................11
4.7.7.1 Objetivo...........................................................................................11
4.7.7.2 Beneficios de seguridad..................................................................11
4.7.7.3 Guía................................................................................................11
4.7.8 Limitar el tiempo de inactividad..........................................................11
4.7.8.1 Objetivo...........................................................................................11
4.7.8.2 Beneficios de seguridad..................................................................11
4.7.8.3 Guía................................................................................................11
4.7.9 Deshabilitar la auto instalación a través de USB...............................12
4.7.9.1 Objetivo...........................................................................................12
4.7.9.2 Beneficios de seguridad..................................................................12
4.7.9.3 Guía................................................................................................12
4.7.10 Sincronización automática del reloj....................................................12
4.7.10.1 Objetivo...........................................................................................12
4.7.10.2 Beneficios de seguridad..................................................................12
4.7.10.3 Guía................................................................................................12
4.7.11 Configurar acceso SSH y HTTPS........................................................13
4.7.11.1 Objetivo...........................................................................................13
4.7.11.2 Beneficios de seguridad..................................................................13
4.7.11.3 Guía................................................................................................13
4.7.12 Configurar WEBFILTER.......................................................................13
4.7.12.1 Objetivo...........................................................................................13
4.7.12.2 Beneficios de seguridad..................................................................14
4.7.12.3 Guía................................................................................................14
4.7.13 Configurar actualizaciones antivirus..................................................14
4.7.13.1 Objetivo...........................................................................................14
4.7.13.2 Beneficios de seguridad..................................................................14
4.7.13.3 Guía................................................................................................14
4.7.14 Configurar autenticación RADIUS.......................................................15
4.7.14.1 Objetivo...........................................................................................15
4.7.14.2 Beneficios de seguridad..................................................................15
4.7.14.3 Guía................................................................................................15
4.7.15 Configurar Logs en reglas...................................................................16
4.7.15.1 Objetivo...........................................................................................16
4.7.15.2 Beneficios de seguridad..................................................................16
4.7.15.3 Guía................................................................................................16
4.8 DIAGRAMA TOPOLOGÍA..................................................................................17
4.9 REGISTRO DE CONTROL DE CAMBIOS........................................................17
4.10 REGLAS DE SEGURIDAD...................................................................................17
4.11 REGLAS PROTECION PARA DOS....................................................................17
4.11.1.1 Objetivo...........................................................................................17
4.11.1.2 Beneficios........................................................................................18
4.11.1.3 Guía................................................................................................18
4.12 ENRUTAMIENTO IP............................................................................................19
5. REVISION HISTORY....................................................................................................19
6. REGISTROS (MINIMOS SUGERIDOS).....................................................................21
7. ANEXOS..........................................................................................................................21
1. OBJETO
2. ALCANCE
3. GENERAL
4. DESARROLLO
4.6 INFORMES
Para cada firewall nuevo o existente que se instale, se deberá generar un informe que
recoja el nombre del dispositivo, el número de serie, la fecha de instalación, el nombre
del técnico que realizó la instalación, la dirección IP y una checklist de los puntos que
se han seguido de la instrucción contenida en este documento.
4.7.1.1 Objetivo
4.7.1.2Beneficios de seguridad
4.7.2.1Objetivo
4.7.2.2
Beneficios de seguridad
4.7.2.3 Guía
4.7.3.1Objetivo
Establecer la contraseña del usuario admin y delimitar las redes de origen desde las
que se puede acceder a la administración del equipo.
4.7.3.2
Beneficios de seguridad
4.7.3.3 Guía
4.7.4.1Objetivo
4.7.4.2
Beneficios de seguridad
4.7.4.3 Guía
4.7.5.1Objetivo
4.7.5.2
Beneficios de seguridad
4.7.5.3 Guía
Ejecutar el comando “set status down” en modo de configuración global en del interfaz
en cuestión, por ejemplo para el interfaz port3:
Config global
config system interface
edit "port3"
set status down
next
4.7.6.1Objetivo
Introducir una etiqueta que identifique el uso para el que está destinado el interface.
4.7.6.2
Beneficios de seguridad
4.7.6.3 Guía
edit "port3"
set alias “Internet”
next
4.7.7.1Objetivo
4.7.7.2
Beneficios de seguridad
4.7.7.3 Guía
4.7.8.1Objetivo
4.7.8.2
Beneficios de seguridad
Limitando el tiempo en el que una sesión SSH o HTTPS permanece inactiva, evita el
acceso por parte de usuarios no autorizados a una terminal que permanezca abierta.
4.7.8.3 Guía
4.7.9.1Objetivo
Evitar que el equipo tome una configuración o instale un nuevo firmware a partir de un
fichero que resida en una llave USB que se conecte al dispositivo.
4.7.9.2
Beneficios de seguridad
Un atacante con acceso físico al dispositivo, podría cargar una nueva configuración o
firmware en el equipo a través del puerto USB, reiniciando el dispositivo a través de un
corte de alimentación eléctrica.
4.7.9.3 Guía
4.7.10.1Objetivo
Mantener el reloj del equipo sincronizado con el del resto de equipos de TRla
organización (como equipos de log, de autenticación, etc).
4.7.10.2Beneficios de seguridad
4.7.10.3 Guía
4.7.11.1Objetivo
4.7.11.2Beneficios de seguridad
Una sesión Telnet o http no cifra la comunicación, siendo posible que un atacante
capture las password de acceso a la sesión. El protocolo SSH o HTTPS cifra la
comunicación, impidiendo la captura de la password.
4.7.11.3 Guía
next
4.7.12.1
Objetivo
4.7.12.2
Beneficios de seguridad
Evitar que los usuarios accedan a páginas inseguras, donde sus equipos pueden
verse infectados con malware.
4.7.12.3Guía
4.7.13.1Objetivo
4.7.13.2Beneficios de seguridad
Reconocer los últimos virus que el motor antivirus del equipo es capaz de detectar.
4.7.13.3 Guía
4.7.14.1Objetivo
4.7.14.2Beneficios de seguridad
4.7.14.3 Guía
Será necesario configurar los servidores RADIUS de la compañía para que acepten
solicitudes de cada equipo FortiGate que se configure con este mecanismo de
autenticación. Además será necesario establecer una contraseña (secreto compartido)
en la conexión entre el equipo FortiGate y el servidor RADIUS.
Tras la configuración de los servidores RADIUS, será necesario ejecutar los siguientes
comandos en el equipo FortiGate, Los comandos se ejecutarán en el VDOM de
gestión en caso de que esté activada la característica VDOM:
edit "[Identificador_usuario_administrador]"
set remote-auth enable
set trusthost1 172.16.0.0 255.240.0.0
set trusthost2 172.16.0.0 255.240.0.0
set trusthost3 172.16.0.0 255.240.0.0
set accprofile "super_admin"
set remote-group "Radius-access"
set password ENC
AK1Ws4RlcU5U22ulSm53kZBBm/rTikkjOXrNj/7MHWH9K
8=xxxxxx
next
4.7.15.1Objetivo
Habilitar los logs en las reglas de seguridad de los firewalls para tener constancia en
los sistemas de análisis de logs.
Deben habilitarse en las reglas añadidas, así como en la regla implícita que deniega
todo el tráfico en el firewall de forma predeterminada.
4.7.15.2Beneficios de seguridad
Obtener información acerca del tráfico para poder analizarlo en los sistemas de
gestión de LOGS.,
4.7.15.3 Guía
Para la regla implícita: ejecutar los comandos:
config global
config system global
set fwpolicy-implicit-log enable
set fwpolicy6-implicit-log disable
Para el resto de reglas: teclear el siguiente comando en la configuración de la regla:
En el caso de que la regla tenga configurados perfiles UTM (filtrado web, control de
aplicaciones, antivirus…), será necesario marcar la opción de log en el momento de la
creación de los perfiles UTM.
Categoría Aplicación
P2P ALL
Proxy ALL
Game ALL
Remote-Access ALL
4.11.1.1Objetivo
4.11.1.2Beneficios
4.11.1.3 Guía
Crear Reglas de protección DoS, una por cada protocolo desde Internet y por
destino:
config firewall DoS-policy edit "tcp_dst_session"
edit 1 set status enable
set interface "port1" set log enable
set srcaddr "all" set action block
set dstaddr "all" set threshold 5000
set service "HTTP" next
config anomaly edit "udp_flood"
edit "tcp_syn_flood" set status enable
set status enable set log enable
set log enable set action block
set action block set threshold 2000
set threshold 2000 next
next edit "udp_scan"
edit "tcp_port_scan" set status enable
set status enable set log enable
set log enable set action block
set action block set threshold 2000
set threshold 1000 next
next edit "udp_src_session"
edit "tcp_src_session" set status enable
set status enable set log enable
set log enable set threshold 5000
set action block next
set threshold 5000 edit "udp_dst_session"
next set status enable
set log enable edit "ip_dst_session"
set action block set status enable
set threshold 5000 set log enable
next set action block
edit "icmp_flood" set threshold 5000
set status enable next
set log enable edit "sctp_flood"
set action block set status enable
set threshold 250 set log enable
next set action block
edit "icmp_sweep" set threshold 2000
set status enable next
set log enable edit "sctp_scan"
set action block set status enable
set threshold 100 set log enable
next set action block
edit "icmp_src_session" set threshold 1000
set status enable next
set log enable edit "sctp_src_session"
set action block set status enable
set threshold 300 set log enable
next set action block
edit "icmp_dst_session" set threshold 5000
set status enable next
set log enable edit "sctp_dst_session"
set action block set status enable
set threshold 1000 set log enable
next set action block
edit "ip_src_session" set threshold 5000
set status enable next
set log enable end
set action block next
set threshold 5000 end
next
Consideraciones:
4.12 ENRUTAMIENTO IP
Todos los firewalls FortiGate de la Compañía deberán tener una ruta para localizar
todos los servicios corporativos a través de la línea de comunicaciones por la que
acceda a la red corporativa.
5. REVISION HISTORY
PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN
Mientras el equipo
Técnico se encuentre en la
Diagrama Topología
Responsable XXXXXXX Compañía
Firewall
Instalación
PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN
Mientras el equipo
Técnico se encuentre en la
Inventario Firewalls Responsable XXXXXXX Compañía
Instalación
7. ANEXOS
A - Checklist para la instalación de firewall
Nombre dispositivo:
Dirección IP:
Nº Serie:
Fecha: