Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FortiGate Hardening - Español
FortiGate Hardening - Español
Versiones
FORTIGATE HARDENING....................................................................................................1
1. OBJETO.............................................................................................................................5
2. ALCANCE.........................................................................................................................5
3. GENERAL.........................................................................................................................5
4. DESARROLLO.................................................................................................................5
4.1 ACTUALIZACIÓN FIRMWARE...........................................................................5
4.2 NOMBRE DEL DISPOSITIVO...............................................................................5
4.3 INVENTARIO DE EQUIPOS.................................................................................5
4.4 REGISTRO EN WEB DE SOPORTE.....................................................................6
4.5 MONITORIZACION LOGS...................................................................................6
4.6 INFORMES...............................................................................................................6
4.7 GUÍA DE SEGURIDAD...........................................................................................6
4.7.1 Configuración de mensajes de advertencia.........................................6
4.7.1.1 Objetivo.............................................................................................6
4.7.1.2 Beneficios de seguridad....................................................................6
4.7.1.3 Guía..................................................................................................7
4.7.2 Política de contraseñas locales para Administradores ensobrados..7
4.7.2.1 Objetivo.............................................................................................7
4.7.2.2 Beneficios de seguridad....................................................................7
4.7.2.3 Guía..................................................................................................7
4.7.3 Configuración de Administradores.......................................................8
4.7.3.1 Objetivo.............................................................................................8
4.7.3.2 Beneficios de seguridad....................................................................8
4.7.3.3 Guía..................................................................................................8
4.7.4 Configuración OTP para Administradores diarios...............................8
4.7.4.1 Objetivo.............................................................................................8
4.7.4.2 Beneficios de seguridad....................................................................8
4.7.4.3 Guía..................................................................................................8
4.7.5 Cerrar los interfaces no utilizados........................................................9
4.7.5.1 Objetivo.............................................................................................9
4.7.5.2 Beneficios de seguridad....................................................................9
4.7.5.3 Guía..................................................................................................9
4.7.6 Descripción de los interfaces utilizados...............................................9
4.7.6.1 Objetivo.............................................................................................9
4.7.6.2 Beneficios de seguridad....................................................................9
4.7.6.3 Guía..................................................................................................9
4.7.7 Limitar el acceso administrativo a cada interfaz................................10
4.7.7.1 Objetivo...........................................................................................10
4.7.7.2 Beneficios de seguridad..................................................................10
4.7.7.3 Guía................................................................................................10
4.7.8 Limitar el tiempo de inactividad..........................................................10
4.7.8.1 Objetivo...........................................................................................10
4.7.8.2 Beneficios de seguridad..................................................................10
4.7.8.3 Guía................................................................................................11
4.7.9 Deshabilitar la auto instalación a través de USB...............................11
4.7.9.1 Objetivo...........................................................................................11
4.7.9.2 Beneficios de seguridad..................................................................11
4.7.9.3 Guía................................................................................................11
4.7.10 Sincronización automática del reloj....................................................11
4.7.10.1 Objetivo...........................................................................................11
4.7.10.2 Beneficios de seguridad..................................................................11
4.7.10.3 Guía................................................................................................12
4.7.11 Configurar acceso SSH y HTTPS........................................................12
4.7.11.1 Objetivo...........................................................................................12
4.7.11.2 Beneficios de seguridad..................................................................12
4.7.11.3 Guía................................................................................................12
4.7.12 Configurar WEBFILTER.......................................................................13
4.7.12.1 Objetivo...........................................................................................13
4.7.12.2 Beneficios de seguridad..................................................................13
4.7.12.3 Guía................................................................................................13
4.7.13 Configurar actualizaciones antivirus..................................................13
4.7.13.1 Objetivo...........................................................................................13
4.7.13.2 Beneficios de seguridad..................................................................13
4.7.13.3 Guía................................................................................................13
4.7.14 Configurar autenticación RADIUS.......................................................14
4.7.14.1 Objetivo...........................................................................................14
4.7.14.2 Beneficios de seguridad..................................................................14
4.7.14.3 Guía................................................................................................14
4.7.15 Configurar Logs en reglas...................................................................15
4.7.15.1 Objetivo...........................................................................................15
4.7.15.2 Beneficios de seguridad..................................................................15
4.7.15.3 Guía................................................................................................15
4.8 DIAGRAMA TOPOLOGÍA..................................................................................16
4.9 REGISTRO DE CONTROL DE CAMBIOS........................................................16
4.10 REGLAS DE SEGURIDAD...................................................................................16
4.11 REGLAS PROTECION PARA DOS....................................................................17
4.11.1.1 Objetivo...........................................................................................17
4.11.1.2 Beneficios........................................................................................17
4.11.1.3 Guía................................................................................................17
4.12 ENRUTAMIENTO IP............................................................................................18
5. REVISION HISTORY....................................................................................................18
6. REGISTROS (MINIMOS SUGERIDOS).....................................................................20
7. ANEXOS..........................................................................................................................20
1. OBJETO
2. ALCANCE
3. GENERAL
4. DESARROLLO
4.6 INFORMES
Para cada firewall nuevo o existente que se instale, se deberá generar un informe que
recoja el nombre del dispositivo, el número de serie, la fecha de instalación, el nombre
del técnico que realizó la instalación, la dirección IP y una checklist de los puntos que
se han seguido de la instrucción contenida en este documento.
4.7.1.1 Objetivo
4.7.1.2Beneficios de seguridad
4.7.2.1Objetivo
4.7.2.2
Beneficios de seguridad
4.7.2.3 Guía
4.7.3.1Objetivo
Establecer la contraseña del usuario admin y delimitar las redes de origen desde las
que se puede acceder a la administración del equipo.
4.7.3.2
Beneficios de seguridad
4.7.3.3 Guía
4.7.4.1Objetivo
4.7.4.2
Beneficios de seguridad
4.7.4.3 Guía
4.7.5.1Objetivo
4.7.5.2
Beneficios de seguridad
4.7.5.3 Guía
Config global
config system interface
edit "port3"
set status down
next
4.7.6.1Objetivo
Introducir una etiqueta que identifique el uso para el que está destinado el interface.
4.7.6.2
Beneficios de seguridad
4.7.6.3 Guía
edit "port3"
set alias “Internet”
next
4.7.7.1Objetivo
4.7.7.2
Beneficios de seguridad
4.7.7.3 Guía
4.7.8.1Objetivo
4.7.8.2
Beneficios de seguridad
Limitando el tiempo en el que una sesión SSH o HTTPS permanece inactiva, evita el
acceso por parte de usuarios no autorizados a una terminal que permanezca abierta.
4.7.8.3 Guía
4.7.9.1Objetivo
Evitar que el equipo tome una configuración o instale un nuevo firmware a partir de un
fichero que resida en una llave USB que se conecte al dispositivo.
4.7.9.2
Beneficios de seguridad
Un atacante con acceso físico al dispositivo, podría cargar una nueva configuración o
firmware en el equipo a través del puerto USB, reiniciando el dispositivo a través de un
corte de alimentación eléctrica.
4.7.9.3 Guía
4.7.10.1Objetivo
4.7.10.3 Guía
4.7.11.1Objetivo
4.7.11.2Beneficios de seguridad
Una sesión Telnet o http no cifra la comunicación, siendo posible que un atacante
capture las password de acceso a la sesión. El protocolo SSH o HTTPS cifra la
comunicación, impidiendo la captura de la password.
4.7.11.3 Guía
next
4.7.12.1
Objetivo
4.7.12.2
Beneficios de seguridad
Evitar que los usuarios accedan a páginas inseguras, donde sus equipos pueden
verse infectados con malware.
4.7.12.3Guía
4.7.13.1Objetivo
4.7.13.2Beneficios de seguridad
Reconocer los últimos virus que el motor antivirus del equipo es capaz de detectar.
4.7.13.3 Guía
4.7.14.1Objetivo
4.7.14.2Beneficios de seguridad
Al utilizar cada administrador su propio usuario, será posible tener trazabilidad de los
cambios realizados por cada uno de ellos. Al mismo tiempo, se aprovecha la
caducidad de contraseña del sistema de autenticación externo, de modo que se
aumenta la seguridad para los accesos administrativos.
4.7.14.3 Guía
Será necesario configurar los servidores RADIUS de la compañía para que acepten
solicitudes de cada equipo FortiGate que se configure con este mecanismo de
autenticación. Además será necesario establecer una contraseña (secreto compartido)
en la conexión entre el equipo FortiGate y el servidor RADIUS.
Tras la configuración de los servidores RADIUS, será necesario ejecutar los siguientes
comandos en el equipo FortiGate, Los comandos se ejecutarán en el VDOM de
gestión en caso de que esté activada la característica VDOM:
edit "[Identificador_usuario_administrador]"
set remote-auth enable
set trusthost1 172.16.0.0 255.240.0.0
set trusthost2 172.16.0.0 255.240.0.0
set trusthost3 172.16.0.0 255.240.0.0
set accprofile "super_admin"
set remote-group "Radius-access"
set password ENC xxxxxx
next
4.7.15.1Objetivo
Habilitar los logs en las reglas de seguridad de los firewalls para tener constancia en
los sistemas de análisis de logs.
Deben habilitarse en las reglas añadidas, así como en la regla implícita que deniega
todo el tráfico en el firewall de forma predeterminada.
4.7.15.2Beneficios de seguridad
Obtener información acerca del tráfico para poder analizarlo en los sistemas de
gestión de LOGS.
4.7.15.3 Guía
Para la regla implícita: ejecutar los comandos:
config global
config system global
set fwpolicy-implicit-log enable
Para el resto de reglas: teclear el siguiente comando en la configuración de la regla:
En el caso de que la regla tenga configurados perfiles UTM (filtrado web, control de
aplicaciones, antivirus…), será necesario marcar la opción de log en el momento de la
creación de los perfiles UTM.
Categoría Aplicación
P2P ALL
Proxy ALL
Game ALL
Remote-Access ALL
4.11.1.1Objetivo
4.11.1.2Beneficios
4.11.1.3 Guía
Crear Reglas de protección DoS, una por cada protocolo desde Internet y por
destino:
config firewall DoS-policy edit "udp_flood"
edit 1 set status enable
set interface "port1" set log enable
set srcaddr "all" set action block
set dstaddr "all" set threshold 2000
set service "HTTP" next
config anomaly edit "udp_scan"
edit "tcp_syn_flood" set status enable
set status enable set log enable
set log enable set action block
set action block set threshold 2000
set threshold 2000 next
next edit "udp_src_session"
edit "tcp_port_scan" set status enable
set status enable set log enable
set log enable set threshold 5000
set action block next
set threshold 1000 edit "udp_dst_session"
next set status enable
edit "tcp_src_session" set log enable
set status enable set action block
set log enable set threshold 5000
set action block next
set threshold 5000 edit "icmp_flood"
next set status enable
edit "tcp_dst_session" set log enable
set status enable set action block
set log enable set threshold 250
set action block next
set threshold 5000 edit "icmp_sweep"
next set status enable
set log enable edit "sctp_flood"
set action block set status enable
set threshold 100 set log enable
next set action block
edit "icmp_src_session" set threshold 2000
set status enable next
set log enable edit "sctp_scan"
set action block set status enable
set threshold 300 set log enable
next set action block
edit "icmp_dst_session" set threshold 1000
set status enable next
set log enable edit "sctp_src_session"
set action block set status enable
set threshold 1000 set log enable
next set action block
edit "ip_src_session" set threshold 5000
set status enable next
set log enable edit "sctp_dst_session"
set action block set status enable
set threshold 5000 set log enable
next set action block
edit "ip_dst_session" set threshold 5000
set status enable next
set log enable end
set action block next
set threshold 5000 end
next
Consideraciones:
Todos los firewalls FortiGate de la Compañía deberán tener una ruta para localizar
todos los servicios corporativos a través de la línea de comunicaciones por la que
acceda a la red corporativa.
5. REVISION HISTORY
PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN
Mientras el equipo
Técnico se encuentre en la
Diagrama Topología
Responsable XXXXXXX Compañía
Firewall
Instalación
Mientras el equipo
Técnico se encuentre en la
Inventario Firewalls Responsable XXXXXXX Compañía
Instalación
7. ANEXOS
A - Checklist para la instalación de firewall
Nombre dispositivo:
Dirección IP:
Nº Serie:
Fecha: