Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FORTINET-DocumentoDescriptivo FortiGate-2016
FORTINET-DocumentoDescriptivo FortiGate-2016
ÍNDICE
1. INTRODUCCIÓN 4
1.1. Acerca de FortiGate 4
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS 5
2.1. La Arquitectura FortiGate 5
2.2. IPv6 8
2.3. Modalidad NAT o Transparente 9
2.4. Inspección en modo Proxy o Flow 10
2.5. Proxy Explícito 10
2.6. Dominios Virtuales (VDOM) 11
2.7. Fortiview 12
2.8. Routing 14
2.8.1. Enrutamiento Estático Redundante 14
2.8.2. Policy Routing 15
2.8.3. Enrutamiento Dinámico 16
2.9. Alta Disponibilidad 17
2.10. Optimización WAN 19
2.11. Autenticación de Usuarios 21
2.12. Firewall 23
2.12.1. Definición de Políticas 25
2.12.2. Inspección SSL y SSH 26
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL 28
2.12.4. Calidad de Servicio (QoS) 30
2.12.5. Soporte VoIP 32
2.13. Redes Privadas Virtuales (VPN) 33
2.13.1. Internet Protocol Security (IPSec) 33
2.13.2. Point-to-Point Tunneling Protocol (PPTP) 36
2.13.3. L2TP over IPSEC (Microsoft VPN) 37
2.13.4. GRE over IPSEC (Cisco VPN) 37
2.13.5. Wizard 38
2.13.6. VPN SSL 38
2.14. AntiMalware 40
2.14.1. Escaneo de Firmas (Signature Scaning) 43
2.14.2. Escaneo Heurístico 43
2.14.3. Escaneo basado en CPRL 44
2.14.4. Advanced Threat Protection (ATP) 44
2.14.5. Actualización de la Base de Firmas y Motor de Escaneo 46
2.14.6. Activación del Servicio mediante Perfiles de Protección 47
2.14.7. Mensajes de Reemplazo en Ficheros Infectados 48
2.15. Detección y Prevención de Intrusión (IDS/IPS) 48
2.15.1. Métodos de Detección 51
2.15.2. Prevención de Intrusiones en Tiempo Real 52
2.15.3. Activación del Servicio mediante Sensores 53
2.16. Control de Aplicaciones 55
2.17. Filtrado de Tráfico Web (URL Web Filtering) 58
Los equipos FortiGate pueden considerarse como equipos “todo en uno”, configurados para
proporcionar todo el conjunto de funcionalidades de seguridad más importantes en el
mercado de una forma sencilla, pero también pueden ser considerados como un
appliance de seguridad especializado en una o varias de las funcionalidades de las que
dispone, obteniendo un equipo de alto rendimiento y prestaciones sin competencia.
FortiASIC™
El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red
está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la
sustitución de IP's cuando se habilita NAT, el seguimiento del tráfico a través de las
tablas de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino,
permitiendo sólo las conexiones legítimas a nivel de política de seguridad así como todo
el tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones
como es el caso de FTP o los protocolos de voz, por ejemplo. Este trabajo debe ser
realizado independientemente del payload del protocolo en cuestión y para cada uno de
los paquetes que compongan una sesión a nivel de aplicación.
Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su
portfolio de productos, haciendo que las redes puedan seguir funcionando con
normalidad ante protocolos que hacen uso extensivo de paquetes pequeños, como los
asociados a los protocolos de VoIP, las aplicaciones multimedia o el tráfico de
sincronización de los motores de base de datos.
El core de esta tecnología consiste en el uso de FortiASIC NP6 para dar servicio a varios
puertos de red de un equipo, así será el FortiASIC y no la CPU principal, el que lleva a
cabo el procesamiento de los paquetes que entran en cada puerto físico del appliance,
haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar
ciclos de liberación de la CPU principal.
FortiOS™
2.2. IPv6
Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva versión de firmware. En
la siguiente tabla, se pueden ver las funcionalidades soportadas más destacables, relativas
a IPv6:
Trabajando en modo NAT el equipo actúa como un router, enrutando los paquetes entre
los diferentes interfaces físicos y/o lógicos del equipo, con la capacidad de realizar NAT.
El modo de inspección controla la forma que tiene FortiGate de aplicar y controlar los
perfiles de seguridad. Una vez configurado el modo de inspección, aplica de forma global
a todos los perfiles de seguridad, por lo que no es posible configurar una política con un
perfil de seguridad en modo proxy y otra regla con otro perfil en modo flow.
FortiGate puede configurarse como un servidor Proxy (HTTP y FTP), de forma que los
navegadores de los equipos cliente lo utilicen de forma explícita para permitir la salida a
internet. El acceso a internet lo puede realizar el propio equipo FortiGate de forma
directa o bien utilizando otro proxy externo, configurando un proxy encadenado
(chaining/forwarding).
Distintos tipos de objetos se pueden utilizar en las polícitas de proxy explícito, como son:
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre
una única plataforma física sea posible configurar hasta 500 Equipos virtuales
(dependendiendo del modelo de dispositivo), completamente independientes entre sí y
con todas las funcionalidades que posee cada plataforma física. Todos los equipos
FortiGate disponen en su configuración básica de la capacidad de definición de dominios
virtuales. Se recomienda consultar la hoja de características de cada modelo donde se
indica el número de VDOM incluidos sin licencia adicional y las capacidades de ampliar
este número para los modelos de gama media o alta, en los que es posible ampliar el
número a 250 VDOM o incluso 500 Dominios Virtuales en los equipos más altos de
gama.
Cada uno de estos dominios virtuales representa de forma lógica una instancia
independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la
posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y
políticas sobre cada máquina, etc.
Cada ventana de FortiView muestra inicialmente las 100 sesiones top, aunque cuando se
filtran los resultados, se pueden mostrar más sesiones. El filtrado se puede realizar por
diferentes atributos, estos atributos se pueden seleccionar desde un menú localizado al
principio de cada widget, que muestra solo las opciones que contienen información, por
ejemplo, si las únicas aplicaciones utilizadas son Dropbox, SSL y Skype, estas serán las
únicas opciones que aparecerán en el menú desplegable para filtrar por aplicaciones.
● Aplicaciones
Para obtener información de Aplicaciones, es necesario que al menos una política de
seguridad tenga aplicado el control de aplicaciones.
Este widget muestra información sobre las aplicaciones que se están utilizando en la red,
incluyendo el nombre, categoría y nivel de riesgo de la misma. Se pueden añadir
columnas adicionales con información sobre sesiones y bytes enviados o
recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origen o
destino e identificador de política.
● Aplicaciones Cloud
Este widget requiere al menos una política con la inspección SSL además del control de
aplicaciones
Contiene información acerca de las aplicaciones en la nube que se han usado en la red:
nombre, categoría, nivel de riesgo, identificador de login y el número de videos
visualizados (si aplica). Si se deja el cursor sobre la columna que muestra el
número de videos, se podrá ver el título de los mismos. Se pueden también añadir
columnas adicionales con las sesiones, bytes enviados o recibidos.
● Destinos
Se muestra información sobre la IP de destino del tráfico del Fortigate, así como la
aplicación que se ha utilizado. Se pueden añadir columnas adicionales con
información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo
permite filtrar por aplicación, interface de origeno destino e identificador de
política.
● Sitios Web
Este widget requiere al menos una política con Web Filtering habilitado. Muestra una lista
de los sitios web más visitados y de los más bloqueados. Se puede ver la
información por dominio o por categoría, utilizando las opciones disponibles en
la esquina superior derecha. Cada categoría puede ser pulsada para ver una
descripción de la misma, así como sitios web de ejemplo. Se han añadido iconos a
los grupos de categorías y se muestra además información sobre el dominio, el
tiempo de uso, el nivel de amenaza, orígenes y bytes enviados o recibidos.
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1
y v2), OSPF (IPv4 ó IPv6) y BGP v4 (mediante BGP4+ soportado IPv6), así como con
enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento
estático (IPv4 ó IPv6) y ofrecer la posibilidad de realizar policy routing y balanceo de líneas
WAN, permitiendo incluso la utilización de distinta línea en función del tráfico de las
distintas aplicaciones.
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De
este modo, cuando la puerta de enlace definida como primaria no esté disponible, el
equipo FortiGate encaminará los paquetes por el segundo gateway definido.
Para poder detectar la caída de cualquiera de los elementos que componen el camino de
salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping
Server que permite monitorizar el estado de dicho camino mediante el envío de paquetes
ICMP contra cualquier nodo de ese camino.
Además se puede ver el estado de cada link monitor en Monitor -> WAN Link Monitor
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino
no está disponible y comienza a utilizar el siguiente gateway definido.
De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80)
fuese redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro,
logrando de este modo balancear la carga entre dos interfaces de conexión a Internet, sin
perder la redundancia de los mismos.
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1
y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse
Mode y Dense Mode, de modo que se permite la integración de las plataformas en
entornos de red más complejos.
FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es
recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así como
tener instalada la misma versión del Sistema Operativo FortiOS (firmware)
Otras características del HA en FortiGate:
FORTINET - FAST, SECURE, GLOBAL Página 17 de 97
● Modo NAT y modo transparente
● Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate
100D
● Soporte de sincronización de la configuración en modo standalone
(sincronizacion sin clúster)
● Soporte HA para autenticación VPN SSL
HA Heartbeat
Los miembros del clúster se comunican entre ellos a través de un protocolo propietario
denominado HA Heartbeat. Este protocolo se utiliza para:
Los interfaces empleados para el intercambio de información entre los equipos del
clúster son definidos por el administrador del equipo, si bien no existe la necesidad de
que sean enlaces dedicados a esta función y permiten que dichos enlaces sean empleados
para transmitir tráfico de producción, es recomendable establecer interfaces dedicados
siempre que sea posible.
Dado que los equipos que forman parte del clúster se intercambian información sobre
las sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a estas
sesiones, realizándose una protección ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con
objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en el
cluster, en el supuesto caso de una caída de alguno de los interfaces monitorizados.
El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades
que componen el clúster. Cada FortiGate procesa activamente las conexiones existentes y
monitoriza el estado de los otros nodos del clúster. El nodo primario procesa el tráfico y
redistribuye el tráfico entre los diferentes equipos que forman parte del clúster.
Virtual Clustering
Este modo de configuración especial permite compartir la tabla de sesiones entre dos
equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es
posible configurar este modo de manera que los equipos FortiGate compartan un único
fichero de configuración, aportando al administrador la posibilidad de realizar los
cambios de forma centralizada, como si de un clúster se tratara, pero sin existir
mecanismos de monitorización entre los nodos, como si ocurre en un clúster tradicional
FGCP.
Los FortiGate que soportan esta funcionalidad son aquellos que constan de
almacenamiento interno.
Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN,
además los servidores que sirven estas peticiones deberán servir un número menor de
transacciones gracias a la técnica de caching de Fortigate y adicionalmente, la latencia
percibida por los usuarios se verá drásticamente reducida, ya que parte del contenido se
sirve localmente.
Para hacer simplemente caché tradicional de tráfico Web, no es necesario otro sistema
Fortigate en el otro extremo.
Optimización de Protocolos
Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les
aplica un hash único. A posteriori, se envían esos elementos hash al extremo remoto y
este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash.
De este modo la transferencia de un fichero se ve agilizada. Esta técnica no es específica
de un protocolo, por ejemplo un fichero X enviado vía email puede ser acelerado a
posteriori en una descarga web si el fichero es el mismo X.
Aceleración SSL
El modo de funcionamiento de FSSO consiste en que cada vez que un usuario se valida
en el servidor AD, el agente informa al equipo FortiGate de qué usuario se ha validado, a
qué grupo pertenece y qué dirección IP le ha sido asignada. En caso de haberlo
configurado con polling desde el propio FortiGate, este extrae dicha información del log
de eventos del Controlador/es de Dominio (DC) del Directorio Activo. A partir de ese
momento, cada vez que el usuario realice alguna operación que implique validación por
parte del Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la
validación se realiza de forma transparente gracias a la información que se han
intercambiado el servidor AD y el equipo FortiGate.
2.12. Firewall
Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. Cada
vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las
direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se
trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden
correcto.
Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y
destino.
Si se desea, es posible definir los interfaces de entrada y salida de tráfico como Any para
así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean
sus interfaces de entrada o salida.
Así mismo es posible establecer reglas definiendo más de un interface de entrada y/o
salida:
● Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces físicos
del equipo como a interfaces lógicos definidos como VLAN Interface, siguiendo
el estándar 802.1Q para marcado de tramas de cada VLAN. En caso de que se
requieran interfaces agregados (LACP/802.3ad*), es posible que más de un
interfaz físico pueda comportarse como uno único, o pueden establecerse como
Any para que se utilice cualquier interfaz de entrada o salida, así como seleccionar
más de un interface como origen o destino del tráfico. Igualmente si es necesario
implementar Proxy Explícito en el equipo, este también puede ser seleccionado
como interfaz para aplicar los perfiles de protección necesarios. Los interfaces
virtuales para definir VPN IPSEC o SSL, también se podrán seleccionar como
entrada o salida del tráfico. Por último la interfaz virtual wan-load-balance que se
crea cuando habilitamos la funcionalidad de balanceo de líneas, es otra interfaz
que se puede utilizar como destino del tráfico.
* Nota: Consultar la matriz de características de FortiOS 5.4 para identificar los modelos
de FortiGate que soportan esta funcionalidad.
● La política define la acción a tomar con aquellos paquetes que cumplan los
criterios definidos. Entre las acciones a realizar están:
o Permitir la conexión
o Denegar la conexión
Es posible establecer una política que descifre el tráfico SSL y lo envíe a un dispositivo
externo.
end
● Interface de origen
● Protocolo: IP, TCP, UDP, SCP, ICMP
● IP de origen o destino
● Puerto origen o destino
● Número de protocolo
● Etc.
Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder
efectuar inspección dentro de protocolos seguros basados en SSL, como HTTPS,
SMTPS, POP3S, FTPS e IMAPS.
De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma
inspección de contenidos, así como inspección Antimalware, DLP o Control de
aplicaciones. Además existe la posibilidad de definir las excepciones del descifrado dentro
del propio perfil, para evitar descifrar información
Además existe otro método de inspección SSL que no implica la rotura del túnel. Esto
evita los inconvenientes derivados de esta técnica como por ejemplo los avisos de
certificados inválidos en los navegadores, problemas con HSTS, etc…
De la misma forma, es posible configurar la IP virtual para que haga multiplexación del
tráfico HTTP, de manera que varias conexiones externas se traducen en una única
conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al
servir las peticiones entrantes.
Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados,
incluyendo H.323, SIP, TCP, UDP, ICMP o ESP.
Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una
de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez
que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los
parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de
tráfico.
Los parámetros de configuración del ancho de banda nos permiten definir un ancho de
banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho
de banda definido no puede superar el ancho de banda total disponible, pero puede ser
empleado para mejorar la calidad del uso de este ancho de banda por aquellas
aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles
al retardo.
Así mismo, también es posible establecer traffic shaping por IP, de forma que sea
aplicado por cada dirección IP, en lugar de por política.
Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de
banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una
interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz
determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta
técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN.
Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI):
Los equipos FortiGate incorporan soporte para los protocolos más demandados de VoIP
(H323, SIP, SCCP) aplicando sobre estos los mayores controles de seguridad y reporting
a través de los perfiles de protección. Entre las funcionalidades soportadas cabe destacar.
Además, los equipos FortiGate soportan VPNs con IPv6, con o sin certificados, ya sean
site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o IPv6 sobre IPv4.
La utilización de IPSec para realizar VPN es habitual en diversas tipologías de red. Los
equipos FortiGate soportan las siguientes topologías de red:
Gateway-to-Gateway.
Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. Todo el tráfico
entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de
protección de FortiGate.
Todos los equipos que forman la red corporativa están conectados con el resto,
configurando una malla. Esta topología presenta la ventaja de su alta tolerancia a fallos (si
un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad
de escalado y gestión.
Configuración en la que existe un equipo central con el que los equipos remotos
establecen los túneles VPN, sin existir comunicación directa entre los equipos remotos.
Además de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser
configurados para actuar como servidores de acceso remoto (Dialup Server). Para el
acceso remoto mediante IPSec, Fortinet proporciona un cliente IPSec Software para
plataformas MS Windows, Mac OSX y Android: FortiClient.
Aparte de ser un cliente VPN IPSec (Windows, Mac OSX & Android) y VPN SSL
(Windows, Mac OSX, IOS & Android), FortiClient incorpora capacidad de detección de
intrusión (Windows & Mac), filtrado web (Windows, Mac & IOS), antimalware
(Windows & Mac), control de aplicaciones (Windows & Mac), doble factor de
autenticación (Windows, Mac & Android), escaneo de vulnerabilidades (Windows &
Mac) y optimización wan (Windows).
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes
PPTP Windows o Linux. PPTP utiliza protocolos de autenticación PPP; de este modo
clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo
FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como
alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP
a un servidor PPTP en la red. Para la autenticación de los clientes, FortiGate soporta
PAP, CHAP y autenticación de texto plano. Los clientes PPTP son autenticados como
miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de
seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su
integridad no está protegida. Además, los paquetes encapsulados PPP no son
criptográficamente protegidos y pueden ser leídos o modificados.
(Configurable desde línea de comandos o CLI de Fortigate).
Este método permite habilitar las conexiones VPN desde dispositivos Cisco que
soportan GRE (Generic Routing Encapsulation), ya sea sobre IPSec en modo túnel o en
modo transporte. De nuevo el protocolo IPSec se utiliza para cifrar los datos que se
intercambian dentro de un túnel GRE, proporcionando además de cifrado la
autenticación de ambos extremos de la comunicación.
2.13.5. Wizard
Gracias al Wizard es posible configurar las VPNs IPSec de forma más rápida y sencilla.
El propio wizard crea las interfaces virtuales, rutas, políticas, fase 1 y fase 2 necesarias
para que funcione la VPN.
Dado que pueden existir multiples variantes en una VPN IPSec, las más importantes se
han recogido en el menú del Wizard. Las opciones contempladas son: Site to site o
acceso remoto, si es site to site, el dispositivo remoto puede ser FortiGate o Cisco. Si es
acceso remoto, se puede utilizar un cliente pesado FortiClient o clientes nativos de
Android o iOS:
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que,
garantizando en todo momento la confidencialidad e integridad de la información,
constituye un sistema con una implantación, administración y mantenimiento
simplificado. Dado que las VPN SSL usan cifrado SSL, no es necesaria la instalación de
FORTINET - FAST, SECURE, GLOBAL Página 41 de 97
ningún software específico en los ordenadores remotos, sino que resulta accesible desde
cualquier navegador, lo que supone un gran avance frente a las tradicionales VPN
basadas en IPSec, en lo que a sistemas de acceso de usuario se refiere. De este modo, se
ofrece un método de acceso a los sistemas de información de cualquier organización que
no requiere de la implantación de ninguna aplicación específica en los ordenadores
remotos con lo que se permite un acceso controlado a los recursos, con total garantía de
seguridad.
Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor
de túneles SSL, con una configuración sencilla que permite la autenticación de usuarios
mediante sistemas de autenticación robusta y la personalización del servicio de acceso
remoto.
Las VPN SSL en FortiGate se pueden realizar en dos modos: Web-only mode y Tunnel
mode.
Web-only mode
Para clientes “ligeros” que sólo cuentan con el navegador para conectarse, y
Protocolos soportados en modo Web-only: HTTP/HTTPS, FTP, RDP, SMB/CIFS, VNC,
SSH, TELNET, CITRIX, RDP NATIVE, PING y Port Forward.
Para aquellos usuarios que necesiten conectarse con el navegador y utilizar una serie de
aplicaciones adicionales (“cliente pesado”).
2.14. AntiMalware
Para una protección extra, el motor antimalware es capaz de bloquear ficheros de un tipo
específico (.bat, .exe, etc) que potencialmente sean contenedores de virus, bloquear
aquellos archivos adjuntos de correo electrónico que sean de un tamaño superior al límite
de filtrado o bien bloquear ficheros con un determinado patrón en el nombre. Además es
capaz de proteger contra Grayware y aplicar protección heurística.
Los equipos FortiGate analizan también las cabeceras MIME de los correos con objeto
de encontrar posibles virus transmitidos como ficheros adjuntos con este formato.
El escaneo de firmas es el método que mayor número de virus detecta, y que, gracias a la
aceleración mediante FortiASIC, realiza una utilización menos intensiva del equipo y
obtiene mejor rendimiento. El método de análisis heurístico requiere progresivamente
más capacidad de procesador con la simulación de ejecución. El hardware dedicado de
alto rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice
en tiempo real para los usuarios.
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para
identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el
archivo se considera infectado. Los sistemas antimalware basados en análisis de firmas
constituyen el método más efectivo y más utilizado en la detección de virus.
El análisis incluye también el escaneo de las macros existentes en los archivos Microsoft
Office en busca de cadenas conocidas de virus macro. Los macros son también
analizados en búsqueda de comportamientos anómalos tales como importar y exportar
código, escribir en el registro o intentos de deshabilitar características de seguridad
El rendimiento es la clave para la detención eficiente de virus que cada vez son más y
más complejos. La aceleración del reensamblado de los paquetes y la comparación con
las firmas mediante FortiASIC es un componente clave que permite a FortiGate la
realización de este análisis en tiempo real sin introducir retardo sobre el normal
funcionamiento de la red y las aplicaciones.
Con el fin de detectar estos virus, se realizan los denominados análisis “heurísticos” que
buscan “comportamientos anómalos conocidos”, mediante la identificación de
secuencias de operaciones que constituyen comportamientos propios de estos tipos de
virus. Mediante el análisis heurístico de los contenidos se llevan a cabo un número de
cada una, de las cuales dan como resultado una clasificación apropiada. Las
clasificaciones de estas pruebas son combinadas para una clasificación total. Si esta
clasificación se sitúa sobre un cierto umbral, el módulo heurístico devuelve un resultado
de virus encontrados.
Con FortiSandbox, además de poder detectar amenazas de tipo Zero Day (desconocidas
para los antimalware), se pueden desplegar en tiempo real firmas para dichas amenazas.
Estas firmas se despliegan de dos formas, dependiendo de la naturaleza de la amenaza.
Para las amenazas localizadas en internet, como por ejemplo exploits del navegador, se
despliega un componente llamado “URL Package”, que incluye la URL que contiene la
amenaza.
Si la amenaza es un archivo con un comportamiento malicioso, se despliega un “Malware
Package” que contiene una firma para dicho archivo.
Estas firmas se envían a todos los dispositivos autorizados en el FortiSandbox o
vinculados a la cuenta de FortiCloud y se aplican si se ha marcado la opción
correspondiente en el perfil de Antimalware.
Actualizaciones automáticas
Pull updates. Los equipos pueden comprobar automáticamente si existen en la red FDN
nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e
instalarlas automáticamente, así como los motores de antimalware actualizados. Estas
comprobaciones pueden ser programadas para su realización en periodos horarios,
diarios o semanales.
Push updates. Cada vez que un nuevo motor de antimalware o definiciones son
publicadas, los servidores que forman parte de la red FDN notifican a todos los equipos
FortiGate configurados para push updates que una nueva actualización está disponible.
En 60 segundos desde la recepción de una notificación push, el equipo FortiGate se
descargará la actualización desde la FDN.
Actualizaciones Manuales
Dentro del perfil, por ejemplo, será posible configurar opciones de cuarentena NAC
integradas, de forma que se haga cuarentena durante un ataque de virus, al atacante o al
objetivo, por un tiempo concreto o ilimitado.
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de
tráfico. Esta configuración basada en políticas provee un control granular de los servicios
de protección y de la utilización de los recursos de FortiGate.
Los mensajes de reemplazo son incluidos por el filtro antimalware en los lugares
ocupados por ficheros o contenidos eliminados de mensajes de correo, transmisiones
http o ftp.
Estos mensajes de reemplazo que reciben los usuarios en sustitución de los ficheros o
contenidos infectados son totalmente configurables por el administrador del sistema.
El motor IDS provee seguridad hasta la capa de aplicación, sin mermar por ello el
rendimiento de la red. La capacidad de IDS de los equipos FortiGate se basa en el
módulo de routing, el módulo de firewall y la capa de aplicación. De esta forma el
sistema de detección de intrusiones no se limita únicamente a la detección de ataques de
nivel de red ni tampoco al análisis individual de cada paquete. FortiGate reensambla el
contenido de los paquetes en línea y los procesa para identificar ataques hasta el nivel de
aplicación.
Inundación de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP
flood
Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop,
land, y WinNuke
Ataques de Reconocimiento:
Son aquellos ataques a través de los cuales el atacante intenta conseguir información
sobre un determinado sistema con objeto de preparar un posterior ataque basado en
vulnerabilidades específicas.
Exploits:
● Signature spoofing
● Signature encoding
● IP fragmentation
● TCP/UDP disassembly
● Obfuscation
BotNets:
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las
tareas de detección y prevención de intrusión son dos: detección de firmas y seguimiento
de comportamientos anómalos.
Detección de Firmas
Cada una de las firmas puede ser habilitada para su detección de modo independiente.
Anomalías de Tráfico
FortiGate IPS identifica a su vez anomalías estadísticas de tráfico TCP, UDP e ICMP,
como son:
● Flooding – Si el número de sesiones apunta a un solo destino en un segundo está
sobre el umbral, el destino está experimentando flooding o inundación.
● Scan – Si el número de sesiones desde un origen único en un segundo está sobre
el umbral, el origen está siendo escaneado.
● Source – Si el número de sesiones concurrentes desde un único destino está
sobre los umbrales, el límite de sesiones por origen está siendo alcanzado.
● Destination session limit – Si el número de sesiones concurrentes a un único
destino está sobre el umbral, el límite de sesiones por destino está siendo
alcanzado.
Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar
situaciones excepcionales, como la existencia de un proxy en la red, etc.
Debido a que el módulo IDS está completamente integrado con el motor de firewall, los
equipos FortiGate proveen detección y prevención de intrusiones en tiempo real. El
módulo IDS posee un enlace específico en el módulo de firewall que permite que una
vez el sensor identifica un ataque, el modulo firewall rápidamente toma acción para
bloquear el tráfico impidiendo que el ataque tenga éxito. Los equipos FortiGate
permiten definir diferentes acciones a realizar en función del ataque detectado:
Pass: FortiGate permite que el paquete que activó (triggered) la firma pase a través del
firewall.
Drop: El equipo FortiGate descarta el paquete que activó la firma.
Cada una de las firmas de ataques tiene asociada una severidad, un objetivo (target) y un
tipo de sistema operativo para el que es específica. Además, cada firma va asociada a un
protocolo o aplicación determinados. Para cada una de las firmas y anomalías existentes
es posible establecer un nivel de severidad (crítico, alto, medio, bajo o información), que
posteriormente pueden ser aplicados de forma independiente en el sensor. De este
modo, las firmas y anomalías habilitadas en cada sensor pueden variar dependiendo de
los flujos de tráfico. Esta configuración provee un control granular de los servicios de
protección y de la utilización de los recursos de FortiGate.
Los sensores definidos, son posteriormente aplicados a las reglas de firewall, de manera
que cada regla puede tener configurado un sensor específico para aquellos protocolos o
aplicaciones que son permitidas en su flujo de tráfico.
Es posible habilitar Extended IPS Signature Package y mejorar la eficacia del IPS
enviando muestras de ataques a FortiGuard.
Otras características
Es posible aplicar políticas DoS por sensor desplegado, de esta forma se tienen las
siguientes funcionalidades:
● Protección más robusta contra ataques DoS. Al aplicar los sensores a nivel de
interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de
que haga “match” en el firewall.
● Posibilidad de filtrar todo tipo de tráfico antes de que llegue al firewall aunque
este esté configurado con una regla “drop”.
Posibilidad de guardar a bajo nivel aquellos paquetes que hagan “match” en una firma,
posibilitando su posterior descarga en formato pcap para abrirlos con
Ethereal/Wireshark desde FortiAnalyzer.
El control de aplicaciones utiliza los decodificadores IPS que pueden analizar el tráfico
de red para detectar el tráfico de aplicaciones, incluso si el tráfico utiliza los puertos o
protocolos no estándar.
Las principales ventajas que aporta el control de aplicaciones son las siguientes:
● Obtener una mayor visibilidad de la red, de forma que sea posible conocer en
profundidad y con detalle el uso que se hace de este recurso por parte de cada
usuario de una organización
De forma añadida, es posible asignar una cuota de ancho de banda o QoS, por
aplicación:
A través de FortiAnalyzer será posible llevar a cabo el reporting necesario para mostrar
las estadísticas relevantes del control de aplicaciones, como las principales aplicaciones
reconocidas o permitidas.
El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena
del contenido del protocolo http permitiéndonos filtrar direcciones URL potencialmente
no asociadas al desarrollo de la normal actividad laboral, contenidos embebidos en las
propias páginas web o scripts basados en java, activeX o cookies, contenidos
potencialmente peligrosos.
La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio
usuario, o bien mediante la utilización del servicio FortiGuard Web Filtering.
El filtrado de URL puede implementarse utilizando bases de datos locales con listas
black/white lists definidas por el usuario que contienen URLs cuyo acceso está permitido
o denegado. El acceso a URLs específicas puede ser bloqueado añadiéndolas a la lista de
bloqueo de URLs. El dispositivo FortiGate bloquea cualquier página web que coincida
con la URLs especificada y muestra un mensaje de sustitución de la misma al usuario.
La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando
caracteres comodines o expresiones regulares. Esta lista puede ser creada manualmente o
importada desde listas de URLs elaboradas por terceros.
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas páginas web
que contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una
página web es bloqueada, un mensaje de alerta que sustituye a la web original generado
por FortiGate es mostrado en el navegador del usuario.
Las palabras clave pueden ser añadidas una por una, o importadas utilizando un fichero
de texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta
80 caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los
sistemas de caracteres Western, Simplified Chinese, Traditional Chinese, Japanese, Thaï,
Korean, French, Spanish o Cyrillic. Las palabras y expresiones pueden ser configuradas
utilizando comodines o expresiones regulares perl.
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una
clasificación actualizada de forma continua que engloba más de dos mil millones de
URL´s distribuidas en un abanico de 77 categorías. El servicio está basado en la petición
de la clasificación de las diferentes direcciones a la infraestructura de Fortinet. Así,
mediante la configuración en las políticas de acceso a Internet, los equipos FortiGate son
capaces de permitir o denegar el acceso a los diferentes sitios web en función de la
categoría a la que pertenezcan. El dispositivo FortiGate soporta políticas a nivel de
usuarios/grupos y mantiene información del usuario/grupo para cada petición realizada.
Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las páginas
web y utilizan el servicio FortiGuard Web Filtering para determinar la categoría a la que
pertenece dicho sitio web y si se debe permitir o no la visualización de la página. Cuando
utilizamos un navegador para solicitar una URL, el dispositivo FortiGate envía esa
solicitud a la red FortiGuard Network y comienza el siguiente proceso:
El equipo FortiGate intercepta una solicitud web desde su red local, si el rating de la
URL está ya cacheada en el dispositivo FortiGate, es inmediatamente comparada con la
política para ese usuario. Si el sitio está permitido, la página es solicitada (3ª) y la respuesta
es recuperada (4ª).
Si la política es permitir la página, la respuesta del sitio web (4b) es pasada al solicitante
(5). En otro caso, un mensaje definible de “Bloqueado” es enviado al solicitante e incluso
el evento es recogido en el log de filtrado de contenidos.
Los usuarios del servicio FortiGuard Web Filtering se benefician de una solución de
filtrado de contenido web actualizada permanentemente, así como de otras características
como son:
Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering, las
organizaciones eliminan la necesidad adicional de hardware para soluciones de filtrado de
contenidos web. Adicionalmente, el modelo de licenciamiento del servicio, que provee
una suscripción anual para un precio fijo por modelo de FortiGate libera de la necesidad
de licencias por número de usuarios, permitiendo a los proveedores de servicios de
seguridad gestionada y grandes empresas implementar el servicio con unas condiciones
altamente asequibles y coste predecible.
Esto permitirá que se asigne, por ejemplo, media hora por día a la navegación por parte
de un usuario a una categoría, grupo o clasificación de Fortiguard específica.
Algo similar sucede con las cuotas de tráfico, que pueden ser asignadas desde byes hasta
Gigabytes por usuario o grupo.
Los equipos FortiGate no sólo se limitan a inspeccionar las URL’s o los contenidos de las
páginas a las que se acceden, sino que además permiten prevenir el acceso a contenidos
no permitidos haciendo uso de la capacidad de algunos motores de búsqueda de
almacenar parte de estas páginas en caché. Habitualmente, cuando utilizamos algún
buscador para intentar acceder a la información, el buscador no sólo nos muestra un link
que nos redirige a la URL en cuestión, sino que además nos permite visualizar esa URL
guardada en una caché propia del buscador. Los equipos FortiGate son capaces de
analizar la dirección de esa información en caché en el motor de búsqueda y la existencia
de contenidos no permitidos en la misma, evitando de este modo el acceso a contenidos
no permitidos por este medio.
2.18. AntiSpam
El spam resta tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en
limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la
productividad. Así mismo, los mensajes de spam hacen crecer los tamaños necesarios de
los buzones de correo de los usuarios, haciendo crecer implícitamente el tamaño de los
servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos
innecesario.
La configuración de las distintas medidas AntiSpam que se pueden definir están divididas
entre aquellas que se establecen mediante el servicio de filtrado de Spam de FortiGuard y
aquellas que se definen de manera local.
Los servicios de AntiSpam de FortiGuard usan para ello una base de datos de reputación
de IP del remitente, una base de datos de firmas de Spam conocido y otras sofisticadas
herramientas de filtrado de spam. Dentro de este servicio se pueden configurar la
comprobación de IP del remitente, de las URLs que vayan en el correo, incluyendo
aquellas de phishing y del checksum del correo. Además se puede activar la opción de
Spam Submission para notificar casos de correos legítimos identificado erróneamente
como spam, lo que es conocido como falsos positivos.
Dentro de esta separación, los distintos filtros antispam aplicados por la plataforma
FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el
control por el contenido del mismo.
Black White List: lista blanca/negra de IPs o direcciones de correo. Las direcciones de
correo se pueden definir mediante wildcards o expresiones regulares.
HELO DNS lookup: el equipo hace una comprobación DNS para revisar que el dominio
indicado por el remitente al inicio de la conexión SMTP, el cual se identifica con el
comando HELO, realmente existe. Si no es así, cualquier correo entregado dentro de esa
sesión se considera spam.
También se pueden configurar DNSBL & ORDBL check (listas DNS Blackhole y Listas
Open Relay Database), en las que se chequea el origen del mensaje contra listas de
DNSB y ORDB predefinidas, identificadas como listas blancas (marcaríamos el mensaje
como clear) o listas negras. Las listas son configurables por el administrador de la
plataforma FortiGate.
Control de Contenido
FortiGuard URL check: comprueba contra los servidores de FortiGuard si las URLs que
se encuentran en el cuerpo del correo están asociadas con spam. Si esas URLs
pertenecen a alguna lista negra determina que el correo es spam.
Detect phishing URLs in email: envía los links URL a los servidores de FortiGuard para
identificar si se tratan de URLs de phishing. De ser así elimina el link.
FortiGuard email checksum check: el FortiGate obtiene el hash del correo y lo envía a los
servidores de FortiGuard, los cuales lo comparan con los hashes de correos de spam
guardados en su base de datos. Si se encuentra una coincidencia el correo se marca como
spam.
FortiGuard spam submission: es un modo para informar al servicio antispam de
FortiGuard que un correo que no es spam ha sido catalogado como spam (falso
positivo). Para esto el FortiGate añade un link al final de todos los correos que categoriza
como spam.
Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo
de emails que contienen palabras específicas o patrones reconocidos. Las palabras
pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por
ejemplo, la siguiente expresión capturaría la palabra “viagra” deletreada de varias
maneras:
/[v|\/].?[iíl;1'!\|].?[a@àâäå0].?[gq].?r.?[a@àâäå0]/i. Solo es configurable vía CLI.
Así mismo las acciones posibles pasan por hacer únicamente log de la fuga de datos (con
el único fin de monitorizar) hasta bloquear dichas fugas, bloqueando el tráfico que genere
ese usuario, hacer cuarentena del mismo o archivar y guardar la información relativa a la
violación que se está realizando.
Por último existe la funcionalidad denominada DLP watermarking o marca de agua. Esta
funcionalidad consiste en añadir una marca de agua o patrón a los ficheros que queremos
proteger, en la cual se añade un identificador de la marca de agua y un nivel de criticidad
(Critical, Private o Warning). Este patrón es ligero, ocupando unos 100 bytes únicamente.
Es importante destacar que la marca de agua es completamente transparente para los
usuarios del fichero, los cuales no podrán verla. Una vez introducida esa marca de agua y
Para realizar estas marcas de agua hay que utilizar una herramienta propietaria de
Fortinet, llamada Fortinet watermarking utility. Esta herramienta se encuentra disponible
dentro de la aplicación FortiExplorer y únicamente para Windows. Existe una versión
antigua para Linux en interfaz de comandos, pero ha sido descontinuada. Los tipos de
archivos soportados son: txt, pdf, doc, xls, ppt, docx, pptx, xlsx.
Para habilitar esta funcionalidad hay que ir a System -> External Security Devices y
activar el checkbox del dispositivo a conectar. Seguidamente se indica la IP y a
continuación se pulsa en el botón Aplicar.
En el caso de trafico HTTP, se puede elegir si enviar el tráfico a un FortiWeb o a un
FortiCache, dependiendo del tipo de servicio que se quiera proporcionar. En el caso de
necesitar enviar el tráfico a un FortiWeb, también es necesario configurar una política de
seguridad con un perfil de seguridad de Web application firewall asociado.
Si el dispositivo asociado es un FortiCache, en la política de seguridad hay que configurar
un perfil de seguridad de web cache y si el dispositivo es un FortiMail, en la política de
seguridad hay que activar un perfil de seguridad de tipo antispam.
La solución de Fortinet se integra de forma directa con el Firewall, siendo cada SSID
wifi una nueva interfaz del Firewall. Esto permite aplicar las mismas políticas de
seguridad en la red Wifi que en la red cableada, pudiendo configurar en la wifi reglas de
Firewall, Traffic-Shapping, Control de Aplicaciones, Webfiltering, etc. de forma sencilla y
transparente.
Con Fortinet es además posible reconocer el tipo de dispositivo que conecta a la red wifi,
pudiendo crear reglas de seguridad basadas en tipo de dispositivo.
Otras funcionalidades:
● IDS Wireless
● Balanceo de carga de clientes
FORTINET - FAST, SECURE, GLOBAL Página 80 de 97
● Soporte Mesh y Bridging
● Bridge entre un SSID y un puerto físico
● Detección de AP´s falsos
● Ajuste automático de portencia
● Supresión automática de “rogué” Ap´s
● Cifrado del tráfico CAPWAP
Los dispositivos pueden ser agrupados y se pueden utilizar estos grupos para crear
políticas de seguridad. Así pues, se podría crear un grupo con los dispositivos
corporativos y permitir ciertas redes, protocolos y aplicaciones desde dichos dispositivos
y restringirlos desde sistemas operativos no corporativos. De este modo es posible
controlar los dispositivos personales que los usuarios pueden utilizar en una red
corporativa, cosa que cada vez ocurre de forma más habitual y que se conoce como
Bring Your Own Device (BYOD). Por ejemplo, se podría establecer una política basada
en dispositivos para evitar que una consola de juegos se pueda conectar a la red de una
empresa o incluso a internet, también establecer que las tabletas y teléfonos puedan
FORTINET - FAST, SECURE, GLOBAL Página 81 de 97
conectar a internet, pero no a los servidores de la empresa, así como los portátiles
corporativos podrían conectar a internet y a la red corporativa, pero aplicándoles filtrado
antimalware o incluso establecer una política para que solo puedan conectar si tienen
instalado el antimalware FortiClient en dicho ordenador.
La captura inferior muestra una política de firewall que hace uso de este concepto de
dispositivo:
De entre las actividades sobre las que puede realizar un seguimiento, se puede configurar
la severidad con la que cada actividad afectará a la reputación de los clientes, en una
escala de bajo, medio, alto o crítico. También se puedo optar por ignorar una actividad, y
no tendrá ningún efecto en la reputación.
Esta funcionalidad actualmente tiene como objetivo alertar de una actividad que supone
un riesgo para la seguridad y no incluye herramientas para detenerla. Se trata de una
utilidad para mostrar el comportamiento de riesgo y poder tomar medidas adicionales
para detenerlo. Estas acciones podrían ser crear una política de seguridad para bloquear la
actividad o incrementar la protección UTM, así como tomar otras medidas ajenas al
FortiGate para paliar el comportamiento.
Dado que las características de seguridad son las mismas que los basados
tradicionalmente en hardware, los appliances virtuales FortiGate pueden operar
conjuntamente con los dispositivos FortiGate tradicionales para asegurar que tanto el
perímetro como las capas virtuales dentro del entorno virtual están protegidos, y son
visibles y fáciles de gestionar.
Los dispositivos de seguridad virtual de Fortinet han sido creados para operar en
cualquier entorno y al igual que sus homólogos físicos aportan consolidación,
rendimiento, visibilidad y control a los cada vez más extendidos entornos virtualizados.
Las licencias de los mismos están basadas en el número de CPUs, esto es, 2, 4 u 8 cores:
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https,
telnet o SSH, siendo estos accesos configurables por interfaz, Además existe la
posibilidad de definir diferentes perfiles de administración con objeto de limitar las tareas
y posibilidades de cada usuario con acceso al equipo. A la hora de definir un usuario de
administración, se puede limitar el acceso a uno o varios VDOM en caso necesario.
Estos equipos soportan diversas funcionalidades, por ejemplo, la gestión por parte de un
administrador de múltiples ADOMs o dominios administrativos. Además, posibilita que
ciertas características de los dispositivos sean gestionadas a través de un perfil de
dispositivo, en vez de desde la base de datos de gestión de dispositivos. Asimismo,
también permiten crear perfiles de tiempo real o RTM (Real Time Monitor). De igual
modo, también es posible activar y monitorizar FortiTokens asociados a dispositivos
FortiGate.
Otra ventaja importante radica en que cuando hay equipos en alta disponibilidad y el
maestro cae, el esclavo se presenta como nuevo maestro sin necesidad de reiniciarse.
Además es también perfectamente compatible con IPv6.
Así, por cada política, de forma granular, se puede escoger una de las siguientes opciones:
Estos registros pueden ser almacenados localmente en memoria o en disco, (en aquellas
unidades que dispongan de él) o bien en un servidor externo como pueden ser un syslog
o la plataforma FortiAnalyzer. Para más seguridad, se pueden enviar los logs cifrados.
FortiAnalyzer incluye un registro histórico y en tiempo real del tráfico de cada uno de los
equipos FortiGate gestionados, así como una herramienta de búsqueda en los logs.
FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos, tanto
en formato físcio como appliance virtual para las principales plataformas de
virtualización.