FORTINET – Seguridad Integral en

Tiempo Real

High Performance Multi-Threat Security Solutions

Seguridad Integral en Tiempo Real

INDICE
1 Introducción ......................................................................................................................................... 4
1.1 1.2 1.3 1.4
1.4.1 1.4.2

FORTINET ..................................................................................................................................................4 Introducción a la Seguridad en las Comunicaciones ..................................................................................5 Sistemas de Protección ..............................................................................................................................7 ¿Por qué Fortinet? ....................................................................................................................................10
Equipamiento de Alto Redimiento .............................................................................................................................10 Servicios Fortinet .......................................................................................................................................................12

1.5

Reconocimiento de la industria. ................................................................................................................13

2

Características técnicas de los equipos ............................................................................................ 14
2.1 2.2 2.3 2.4
2.4.1 2.4.2 2.4.3

La Arquitectura FortiGate..........................................................................................................................14 Modalidad Router o Transparente ............................................................................................................17 Dominios Virtuales ....................................................................................................................................18 Routing .....................................................................................................................................................18
Enrutamiento Estático Redundante ...........................................................................................................................18 Policy Routing ............................................................................................................................................................19 Enrutamiento Dinámico .............................................................................................................................................20

2.5 2.6 2.7 2.8
2.8.1 2.8.2 2.8.3 2.8.4 2.8.5

Alta Disponibilidad ....................................................................................................................................21 Optimización WAN....................................................................................................................................23 Autenticación de Usuarios ........................................................................................................................26 Firewall .....................................................................................................................................................27
Definición de Políticas ...............................................................................................................................................28 Inspección SSL ..........................................................................................................................................................29 Balanceo de carga multiplexación http y aceleración SSL ........................................................................................29 Calidad de Servicio (QoS) .........................................................................................................................................31 Soporte VoIP..............................................................................................................................................................33

2.9
2.9.1

VPN ..........................................................................................................................................................34
Tipos de VPN soportados ..........................................................................................................................................34

2.10

Antivirus ....................................................................................................................................................37

2

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

2.10.1 2.10.2 2.10.3 2.10.4 2.10.5

Escaneo de Firmas (Signature Scaning) ...................................................................................................................38 Escaneo Heurístico....................................................................................................................................................39 Actualizaciones de la Base de Datos de Firmas y Motor de Escaneo ......................................................................39 Activación del Servicio mediante Perfiles de Protección ...........................................................................................40 Mensajes de Reemplazo en Ficheros Infectados......................................................................................................41

2.11
2.11.1 2.11.2 2.11.3 2.11.4

Detección y Prevención de Intrusión (IDS/IPS).........................................................................................42
Métodos de Detección ...............................................................................................................................................44 Prevención de Intrusiones en Tiempo Real...............................................................................................................47 Activación del Servicio mediante Perfiles de Protección ...........................................................................................47 Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo ...................................................48

2.12 2.13

Control de Aplicaciones ............................................................................................................................51 Filtrado de Tráfico Web (URL Web Filtering) ............................................................................................53

URL Filtering mediante uso de listas locales .............................................................................................................................53 2.13.1 2.13.2 2.13.3 2.13.4 2.13.5 2.13.6 Filtrado de Contenido mediante listas locales ...........................................................................................................54 Filtrado de Java / Scripts / Cookies ...........................................................................................................................54 Servicio Fortiguard Web Filtering ..............................................................................................................................55 Filtrado de Contenido en Cachés ..............................................................................................................................57 Activación del Servicio mediante Perfiles de Protección ...........................................................................................58 Mensajes de sustitución.............................................................................................................................................60

2.14
2.14.1

AntiSpam ..................................................................................................................................................61
Servicio Fortiguard AntiSpam ....................................................................................................................................63

2.15

Data Leak Prevention ...............................................................................................................................64

3

Gestión de los Equipos FortiGate...................................................................................................... 66
3.1 Tipos de gestión........................................................................................................................................66

................................................................................................................................................................................66 3.2 3.3 3.4 Gestión Centralizada con FortiManager ...................................................................................................67 Registro de Logs.......................................................................................................................................68 Registro centralizado y gestión de informes con FortiAnalyzer.................................................................69

3

08/09, FortiOS 4.0

Asia y EMEA. Ken Xie fue pionero en la utilización de un Circuito Integrado de Aplicación Específica (ASIC) para acelerar el proceso Firewall. El equipo de dirección de Fortinet (http://www. estando presentes en Australia.0 . Holanda. Francia. Norte América (US. El primer equipo FortiGate fue lanzado al mercado en el año 2002 y hoy en día Fortinet cuenta con una base instalada de más de 450. Suiza y España). California Más de 75. Su proyecto consistía en dar un enorme paso más en la seguridad en tiempo real. Ken Xie. y acelerando esta Protección Completa de Contenidos mediante un nuevo ASIC. De este modo lanzó al mercado un lineal de equipos de alto rendimiento que mediante aceleración hardware permitía realizar un control sobre el tráfico de las redes en tiempo real. En su etapa en NetScreen. Sudamérica. y tiene su sede central en Sunny Valley. Italia. Taiwán e Indonesia) y Oriente Medio (UAE/Dubai). FortiOS 4. ventas y soporte Sede central en Sunnyvale. El centro de soporte y formación europeo está situado en el Centro Tecnológico Sophia-Antipolis. visionario y previo fundador y CEO de NetScreen. Sus centros de soporte técnico. Corea.com/aboutus/management. tecnología IDP (Intrusion Detection and Prevention) y Antispam en un solo dispositivo. Alemania. integrando antivirus. Polonia. Bélgica. Asia (India. California.000 equipos en todo el mundo. que permite romper la barrera del procesado de contenidos en tiempo real.000 clientes en todo el mundo con más de 450. Filipinas. Singapur. con sede central europea en SophiaAntipolis (Francia) Pioneros en la utilización de Circuitos Integrados de Aplicación Específica para acelerar los procesos de seguridad hasta el nivel de aplicación Único modo de ofrecer Protección Completa en Tiempo Real Líderes en el mercado UTM (Unified Threat Management) según IDC desde el 2003 hasta el 2009 4 08/09.html) está formado por un grupo altamente experimentado en el mundo de la seguridad. Canadá). UK. Algunas de las características más destacables de Fortinet son las siguientes: • • • • • • • Presencia mundial de sus centros de operación. abandonó NetScreen y fundó Fortinet. que tuvo inmediatamente una gran acogida en el mercado. La compañía está formada en la actualidad por más de 1100 empleados. desarrollo y delegaciones comerciales están distribuidos por todo el mundo. con objeto de seguir avanzando en su visión propia de la seguridad en las comunicaciones.1 FORTINET Fortinet fue fundada en el año 2000 por Ken Xie. República Checa. con un gran número de premios y distinciones que así lo reconocen.fortinet.Seguridad Integral en Tiempo Real 1 Introducción 1. cercano a Niza (Francia). Japón.000 equipos instalados Más de 40 oficinas en América. Europa (Austria. Suecia. FortiASIC. junto con el firewall y servidor VPN. China. filtrado de contenido.

Los métodos utilizados son diversos. debido al escaso y controlado acceso a las redes de comunicaciones que interconectaban estas máquinas. o bien simplemente dejar sin servicio redes enteras.2 Introducción a la Seguridad en las Comunicaciones Tanto las amenazas a las que han estado sometidos los sistemas de información. Hoy en día las principales amenazas provienen de este tipo de ataques que no requieren conexiones sostenidas para lograr sus objetivos. ISO 9001:2000.0 . Robusto apoyo financiero Fortinet es la compañía de seguridad de más rápido crecimiento en la historia. y que afectan a todo tipo de compañía por igual. Las redes se han popularizado. 1. denegación de servicio (DOS y DDOS) y un sin fin de ataques basados en el nivel de red. como IP spoofing. Nuevas amenazas: ataques basados en el contenido El mundo de la seguridad asiste desde hace ya algunos años a lo que podemos considerar como una evolución en la cantidad y severidad de ataques que van más allá de los ataques de conexión: los ataques basados en contenido. así como los diferentes enfoques desde los que se han planteado las soluciones a estas amenazas han ido evolucionando con el paso del tiempo. No se contemplaba como una amenaza el acceso lógico a la misma. FortiOS 4. con la aparición de los primeros ordenadores.Seguridad Integral en Tiempo Real • • Tecnologías certificadas ICSA (6 certificaciones). anualmente ha duplicado su penetración en el mismo así como sus beneficios. utilizando ataques basados en la conexión. los intentos de acceso a información privada han evolucionado hacia los distintos niveles de protocolo. que actúan de forma autónoma una vez introducidos en 5 08/09. permitiendo a los potenciales atacantes entrar en las redes desde el exterior y. o agentes. sin importar su tamaño o sus infraestructuras. con una inversión en I+D+I constante. arp spoofing. la seguridad estaba orientada a proteger el acceso físico a los equipos. tanto dentro de las organizaciones como entre las mismas. y por tanto a la información contenida en ellos. alcanzar y poner en compromiso datos y programas internos. A medida que las redes de comunicaciones y el acceso compartido a los recursos se han extendido. Los ataques de contenido se basan en el uso de software malicioso. Primeras amenazas de seguridad: ataques basados en la conexión Inicialmente. Common Criteria EAL4+ y FIPS-2. NSS (UTM). Desde su entrada en el mercado.

spyware. etc. 6 08/09. sino que el tamaño de las compañías o el valor de sus datos es indiferente para estos ataques cuya dispersión se realiza de forma masiva: toda compañía es vulnerable a este tipo de ataques. comprometiendo las redes en las que residen y sus recursos. El coste de los ataques Los ataques basados en contenido no van dirigidos contra un sector o tipo de compañía en concreto. ya sea en forma de virus. Los ataques combinados utilizan las características de virus. Históricamente. con una gestión diferente para cada uno y que planteaban serios problemas de diseño a la hora de su implementación. llegando a superar en porcentaje al tráfico de correo legítimo. gusano. con resultados en ocasiones devastadores. El tráfico actual de correo electrónico está inundado por mensajes de Spam. mensajería instantánea. Spam. Cuando un virus. las primeras respuestas a ataques de contenido se basaron en software de aplicación instalado en ordenadores. gusanos. Todo apunta a que la tendencia creciente de este tipo de ataques continuará en la medida en que las organizaciones precisan de comunicaciones en tiempo real. Uso inapropiado de recursos Además de la seguridad. existe otro tipo de situaciones que deben ser contempladas en el entorno profesional: Las organizaciones sufren perdidas importantes derivadas de la utilización inadecuada de sus recursos de red. este tipo de ataques se transmiten y extienden a través de redes con una velocidad sin precedentes e implican grandes dificultades para una rápida recuperación. Ataques combinados Las amenazas actuales más sofisticadas utilizan combinaciones de ataques de red junto con ataques de contenido para explotar las vulnerabilidades de sistemas operativos y aplicaciones de amplia difusión. etc. etc. saturando las líneas de comunicaciones y los servidores de correo. éste puede actuar por sí mismo y propagarse sin necesitar ningún tipo de conexión con el atacante original. Esto implicaba despliegues muy complicados. tales como antivirus personales y software de detección de intrusiones basados en host. así como de aplicaciones internas basadas en aplicaciones web. etc. los costosos ataques de Nimda y Red Code fueron de los primeros ataques combinados en tener éxito. active web content.). compuestos por un gran número de dispositivos. El Spam constituye hoy en día uno de los principales problemas asociados al mal uso de los recursos de la red. El principal desafió ante amenazas basadas en contenido es que en la mayoría de los casos utilizan conexiones que son inherentemente confiables (correos electrónicos. gusano. El formato puede ser de virus. ataques de Denegación de Servicio.Seguridad Integral en Tiempo Real ordenadores remotos. gusano o cualquier ataque de este tipo ha conseguido introducirse en un ordenador que forma parte de una red de datos. troyano. troyanos y código maligno contra las vulnerabilidades de servidores e Internet. a partir de los cuales este tipo de ataques han sido ampliamente repetidos.0 . Mientras que las defensas contra amenazas de conexión han dependido tradicionalmente de sistemas desplegados en la red. tales como firewalls o IDS. conexiones web. FortiOS 4. como mecanismos competitivos en el ámbito empresarial.

Programas de Mensajería Instantánea. y por lo tanto son totalmente ineficaces contra ataques basados en el contenido. limitándose a analizar el tráfico de nuestra red con objeto de poder estudiar a posteriori los ataques recibidos. identificando su origen. como son el correo electrónico. 1. Aunque son efectivos proporcionando protección a nivel de red. virus. Además. sin inspeccionar el contenido del mismo. y voz. En muchos casos estos servicios se podrían desplegar sin mejoras costosas controlando los recursos utilizados por aplicaciones de consumo intensivo de ancho de banda. por ejemplo audio.Seguridad Integral en Tiempo Real También el uso inadecuado de los recursos por parte de los propios empleados es un asunto que requiere ser combatido. FortiOS 4. Cada vez más. tales como juegos del Internet. si bien estos sistemas introducían cierto retardo y fueron privados de la capacidad de tomar decisiones. Consecuentemente. sino que solamente analizan el contenido de cada paquete de forma independiente. Pero los equipos basados en esta tecnología examinan solamente las cabeceras de cada paquete. Un segundo enfoque histórico se corresponde con la técnica Deep Packet Inspection. Cortafuegos.3 Sistemas de Protección Enfoque convencional A lo largo del tiempo las soluciones de seguridad han respondido a las diferentes amenazas desarrollando soluciones parciales que satisfacían lo que en cada momento era requerido. gusanos y troyanos transmitidos por correo electrónico y tráfico http pasan fácilmente a través de • 7 08/09. El tráfico no esencial o no crítico puede interferir con la capacidad de desplegar nuevos servicios que mejoren las comunicaciones: muchas compañías realizan mejoras costosas de la red para desplegar servicios de red muy sensibles al ancho de banda disponible. destino y servicio al que correspondían. a través de la cual se analiza tanto la cabecera como el contenido de cada paquete. • Un primer enfoque de la seguridad se basaba en la inspección de las cabeceras de los paquetes. gusanos u otras amenazas. vídeo. produce el consumo ingente de valiosos recursos de red y de productividad de los empleados. intercambio de música y navegación y descarga de contenido inadecuado mediante aplicaciones Peer to Peer. firewalls. chats. el acceso a material y servicios legítimos. Actividades no productivas. Estos sistemas trabajan generalmente examinando las cabeceras de los paquetes – esto es. VPN e IDS´s fueron diseñados para ocuparse de ataques basados en la conexión.0 . existen ataques basados en anomalías desarrolladas sobre los diferentes protocolos que no pueden ser detectados por este tipo de sistemas. por otro lado. la navegación web y la transferencia de ficheros. por lo que los ataques distribuidos o bien los ataques a nivel de aplicación no son detectados. Esta técnica. no pueden comprobar el contenido de los mensajes formados por varios paquetes y procesarlo para identificar virus. direcciones y protocolos . las organizaciones públicas y privadas están luchando para controlar el acceso al contenido inapropiado sin restringir. Esta es la base esencial de los Sistemas de Detección de Intrusión o IDS. denominada Statefull Inspection Packet constituye la base de los Cortafuegos.pero no analizan el contenido de nivel de aplicación de los paquetes. Por este motivo. este tipo de sistemas presentan la desventaja de que no recomponen el mensaje completo. VPNs e IDSs no cubren las necesidades de protección actuales en los ámbitos telemáticos.

los mecanismos estudiados hasta ahora no pueden proteger a nuestros sistemas contra el uso indebido de los recursos de la red. etc. pero no el tráfico Web en búsqueda de estas amenazas. Dado que más del 20% de los ataques de hoy en día provienen de tráfico Web (HTTP). Además. La defensa contra ataques combinados está más allá de la capacidad de las soluciones convencionales de seguridad de red.0 . Como resultado obtenemos por lo tanto que para obtener una protección casi completa debemos recurrir a la utilización de un sistema heterogéneo compuesto por un alto número de plataformas diferentes. así como del uso indebido o el desaprovechamiento de los recursos. protegiendo los sistemas de información de los ataques de cualquier tipo. el enfoque de la seguridad de los sistemas de información de Fortinet se basa en la Protección Completa de Contenidos. 8 08/09. De esta manera. realizando el correspondiente reensamblado de todos los paquetes pertenecientes a una misma transmisión y escaneando el contenido a nivel de aplicación. FortiOS 4. el rendimiento de estas soluciones parciales no está dirigido al análisis en tiempo real del tráfico de una organización. las organizaciones se veían forzadas a implantar una amplia colección de soluciones parciales adicionales: • Antivirus de pasarela • Filtrado URL • Filtrado Antispam Además. pasando a menudo desapercibidos por los sistemas de detección de intrusiones. y constituyendo una plataforma de seguridad perimetral terriblemente costosa y con una enorme complejidad de gestión. o CCP (Complete Content Protection) que permite el análisis del contenido completo de cada transmisión. esto representa un vacío significativo en la seguridad de las empresas. de modo que permiten escanear el tráfico de correo electrónico en búsqueda de virus (el cual admite cierto retardo). cada una de ellas enfocada a una parte concreta del problema global. El enfoque de Fortinet Fortinet entiende que la seguridad debe ser contemplada de un modo global. administración y mantenimiento.Seguridad Integral en Tiempo Real cortafuegos y VPN. aplicaciones Peer to Peer. ya sea protegiéndonos de los mensajes de Spam o bien controlando el uso de los recursos por aplicaciones de mensajería instantánea. lo que permite proteger los sistemas de la totalidad de las amenazas existentes. Como resultado de las limitaciones de estos dispositivos. utilización improductiva del acceso a Internet.

Los equipos son capaces de detectar y eliminar los ataques basados en contenido que se transmiten a través del tráfico web. Los equipos FortiGate acelerados por FortiASIC son la nueva generación de la seguridad multinivel de red en tiempo real. como virus. FortiOS 4. Fortinet cuenta con el Circuito Integrado de Aplicación Específica FortiASIC que permite acelerar los procesos de análisis a nivel de red y de aplicación. en tiempo real y sin degradar el rendimiento de los sistemas de información. etc. gusanos.Seguridad Integral en Tiempo Real Los requisitos de rendimiento de las tecnologías basadas en Protección Completa de Contenidos son dos órdenes de magnitud mayores que los de los sistemas tradicionales. correo electrónico o transmisiones de ficheros. contenido web no apropiado. Para poder satisfacer estos requerimientos y ofrecer la seguridad requerida sin introducir ningún retardo en las comunicaciones. 9 08/09. siendo el único equipamiento que goza de dicha funcionalidad y permitiendo disponer de una infraestructura de Protección Completa en tiempo real.0 . intrusiones.

balanceo de carga. Antivirus. Enrutamiento dinámico RIP (v1 y v2). OSPF y BGP. Además.4 ¿Por qué Fortinet? 1. FortiOS 4. Alta Disponibilidad. Filtrado Web.0 . Sistemas de Detección/Prevención de Intrusiones. proveen una solución integrada de seguridad compuesta por las funcionalidades mas necesarias para tener una protección completa de nuestras comunicaciones como son: Firewall. Inspección de Contenido en SSL etc. 10 08/09.4. El gran abanico de equipos FortiGate existente permite diseñar soluciones adaptadas a las diferentes necesidades de cada entorno. Las plataformas de seguridad FortiGate. AntiSpyware. Aceleración Wan. VPN (IPSEC y SSL). Antispam. independientemente de la gama a la que pertenezcan. líderes del mercado UTM. etc. disponiendo en todos ellos de las mismas funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS. todas las funcionalidades de seguridad se integran de forma conjunta con funcionalidades añadidas como Traffic Shaping.1 Equipamiento de Alto Redimiento Los equipos de seguridad Fortinet constituyen una nueva generación de equipos de seguridad de muy alto rendimiento que garantizan la protección completa de nuestros sistemas en tiempo real. Control de Aplicaciones. que es similar en todos los equipos FortiGate.Seguridad Integral en Tiempo Real 1.

FortiOS 4. así como herramientas complementarias de análisis forense. que proporciona una plataforma de seguridad de correo con equipos que pueden actuar como servidor de correo puro. AntiSpam.Seguridad Integral en Tiempo Real Los equipos FortiGate pueden considerarse como equipos “todo en uno”. Los equipos FortiAnalyzer. configuración y actualización de firmas desde un único punto centralizado de miles de equipos FortiGate que estén distribuidos en nuestro entorno de comunicaciones. y siendo posible su administración centralizada desde una plataforma FortiManager. Proporcionando las técnicas necesarias para garantizar la completa seguridad del correo electrónico. que permite la gestión. dotado de las funcionalidades de Firewall. scanning de red y correlación de eventos. • • 11 08/09. como MTA (Relay de correo) o en modo transparente (Proxy SMTP transparente). El software FortiClient. generación periódica y automatizada de informes configurables por el administrador. pero también pueden ser considerados como un appliance de seguridad especializado en una o varias de las funcionalidades de las que dispone. que nos proveen de una potente herramienta de gestión y análisis de logs. administración. El lineal FortiMail. siendo cliente VPN IPSec para el establecimiento de túneles con los equipos FortiGate.0 . obteniendo un equipo de alto rendimiento y prestaciones sin competencia. La familia de equipos Fortinet se extiende con equipos que complementan las funcionalidades de los equipos FortiGate: • • La plataforma FortiManager. Antivirus. análisis de vulnerabilidades. Web Filter. como completo agente de seguridad para el puesto de usuario. configurados para proporcionar todo el conjunto de funcionalidades de seguridad disponibles en el mercado de una forma sencilla.

Los centros de soporte y desarrollo están distribuidos por todo el mundo. Por otra parte. actualizando en tiempo real las bases de datos de firmas de antivirus e IDS/IPS y los motores de estas aplicaciones. si bien todos cuentan con un servicio 24x7. El Servicio FortiProtect Distribution Network (FDN) se encarga de la distribución de estas actualizaciones a lo largo de todo el mundo.2 Servicios Fortinet Fortinet ofrece de forma conjunta con su equipamiento servicios profesionales que garantizan el soporte. Fortinet cuenta con Ingenieros de Sistemas en cada una de sus más de 40 oficinas repartidas a lo largo de todo el mundo. Además.Seguridad Integral en Tiempo Real 1. así como actualizando de forma continuada las bases de datos en las que se apoyan los servicios Fortiguard Web Filtering y Fortiguard AntiSpam.4. Gracias a los equipos técnicos distribuidos a lo largo de todo el mundo. garantizándose de este modo que el soporte siempre se ofrece a nuestros clientes desde el punto más cercano regionalmente. la actualización y el correcto mantenimiento de los niveles de servicio demandados. existiendo el compromiso con aquellos clientes que contratan el servicio FortiProtect Premier Services de disponer de la firma correspondiente a cualquier nuevo ataque en menos de 3 horas. actualizaciones y desarrollo de nuevas versiones de firmware. apoyándose en sus partners certificados para cubrir el resto del mundo. los equipos de soporte y desarrollo velan de forma continuada para dar respuesta a los servicios FortiCare de mantenimiento hardware. lo que le permite ser capaz de prestar asistencia técnica in situ en los países más importantes. Mapa de localización de la red Fortiprotect Distribution Network (FDN) 12 08/09. y soporte vía telefónica o e-mail. FortiOS 4. Fortinet es capaz de ofrecer soporte internacional con cobertura 24x7x365.0 .

0 . FortiOS 4. la continua inversión en investigación y la calidad de los productos. la tecnología Fortinet es reconocida por los más altos estándares del mundo de la seguridad y ha sido capaz de conseguir las más prestigiosas certificaciones independientes del mercado en cada una de las funcionalidades de seguridad que implementa.5 Reconocimiento de la industria. Entre las certificaciones conseguidas destacan: • • • • NSS: Certificación UTM ICSA: 6 certificaciones ICSA. Gracias al constante foco en seguridad. 13 08/09.Seguridad Integral en Tiempo Real 1. Para cada funcionalidad y en varios productos Common Criteria EAL-4+: Certificación como equipo de comunicaciones seguras Virus Bulletin: Certificación para FortiClient como Antivirus de puesto de trabajo AV comparatives: Calificando el motor de antivirus en la categoría “Advanced” • Destacan también la obtención de varios premios en revistas especializadas de la industria que reconocen la calidad de los productos Fortinet en cada una de sus múltiples funcionalidades de forma independiente.

u otros patrones sin comprometer el rendimiento de la red. todos estos procesos se realizan a nivel de hardware con la ganancia en velocidad que eso supone. satisfaciendo todas las necesidades de protección a nivel de aplicación sin impactar en el rendimiento de la red. La tecnología incluye el Procesador FortiASIC™ y el Sistema Operativo FortiOS™ los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos. posee un motor propietario de análisis de contenido que acelera los intensivos procesos de análisis requeridos por la seguridad a nivel de aplicación (Antivirus. ataques de intrusión.0 . carga las firmas necesarias y realiza una búsqueda por comparación de patrones. diseñado y dedicado a los procesos propios de una plataforma de seguridad. filtrado de contenidos y procesos relacionados). • 14 08/09. Este motor de análisis reensambla los paquetes pertenecientes a un mismo mensaje en memoria. • FortiASIC™ La exclusiva arquitectura basada en ASIC empleada por los equipos Fortinet permite el análisis del contenido del tráfico en tiempo real.1 La Arquitectura FortiGate La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”. FortiOS 4. conocidos por sus siglas en inglés como ASIC. FortiASIC™ también contiene un motor de aceleración para la cifrado que permite realizar filtrado Antivirus en tiempo real del tráfico de los túneles VPN. acelerando de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser capaz de identificar a velocidad de línea el flujo al que pertenece cada paquete. a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones. • El procesador FortiASIC™. Posee un potente motor de comparación de firmas que permite comparar el contenido del tráfico de una sesión contra miles de patrones de firmas de virus. diseñado por Fortinet.Seguridad Integral en Tiempo Real 2 Características técnicas de los equipos 2. El procesador FortiASIC™ posee múltiples características que hacen posible su alto rendimiento: • Contiene un motor hardware que acelera el análisis de las cabeceras de cada paquete y del contenido ensamblado de los paquetes de una conexión . estos procesos tendrían un rendimiento mucho más bajo si fueran llevados a cabo por procesadores de propósito general. El Sistema Operativo FortiOS™ es un sistema robusto y eficiente.

Esta circunstancia.Seguridad Integral en Tiempo Real • El chip FortiASIC™ incluye también un motor de aceleración de cifrado que permite realizar cifrado y descifrado de alto rendimiento para el establecimiento de las Redes Privadas Virtuales o VPN. Esta saturación provoca retardos inadmisibles en determinados protocolos y además afecta al resto del tráfico de la red haciendo que la calidad del servicio se vea afectada muy negativamente. TCP/UDP). el trabajo que ha de llevarse acabo en el dispositivo de firewall es mucho mayor. Queda entonces patente que el troughput de un equipo está directamente relacionado con el tipo de tráfico que se está generando en la red y no sólo con su volumen. Este trabajo debe ser realizado independientemente del payload del protocolo en cuestión y para cada uno de los paquetes que compongan una sesión a nivel de aplicación. permitiendo sólo las conexiones legítimas a nivel de política así como todo el tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones como es el caso de FTP o los protocolos de voz. llegando a decrementar su rendimiento de tal forma que se introducen retardos en la red e incluso es necesario descartar paquetes debido a la saturación de la CPU del equipo. la sustitución de IP's cuando se habilita NAT. ya que este depende exclusivamente de la cantidad y no del tamaño de los paquetes y debido a que en un mismo volumen de datos se han de procesar un número mucho mayor de cabeceras y entradas de las tablas de estado así como de decisiones de enrutamiento. los números comúnmente expuestos en las hojas de producto son imposibles de alcanzar en entornos de tráfico característico de aplicaciones multimedia y convergencia IP como pueden ser el streaming de video o los protocolos RTP para VoIP. FortiOS 4.0 . y que además. el seguimiento del tráfico a través de las tablas de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino. Aceleración hardware para puertos de red: NP2 El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP. 15 08/09. Cuando los protocolos en uso se basan en una gran cantidad de paquetes con un payload bajo. provoca que los equipos que sólo utilizan CPU's de propósito general para realizar las tareas necesarias puedan verse seriamente afectados ante estos tipos de tráfico.

Además. Mediante el uso de circuitos integrados de aplicación específica (ASIC) que dan servicio exclusivo a este tipo de puertos. sea cual sea el tamaño de paquete utilizado.Seguridad Integral en Tiempo Real La solución en este tipo de entornos. esos módulos pueden contener 4 (ASM-FB4) u 8 (ASM-FB8) puertos GigabitEthernet con interfaz de cobre o 2 (ADM-XB2) puertos 10GigabitEthernet con interfaz SFP 16 08/09. el mantenimiento de las tablas de estado o las decisiones de enrutamiento. pasa por el uso de tecnologías de aceleración hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestión de las cabeceras de forma rápida y sin influir en el trabajo de la CPU principal. la familia de equipos FortiGate. y por extensión el resto de tráfico de la red. así será el ASIC (NP2) y no la CPU principal o FortiASIC.0 . Para cumplir con este requerimiento. FortiOS 4. de manera que el nivel de servicio de los protocolos más sensibles. El core de esta tecnología consiste en el uso de un ASIC. NP2 para dar servicio a varios puertos de red de un equipo. Los equipos del lineal FortiGate equipados con puertos acelerados NP2 son: FortiGate310B. se acelera la inspección de paquetes a nivel del propio puerto. FortiGate5005FA2 y FortiGate3810A. no se vea afectado Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su lineal. como los asociados a los protocolos de VoIP. FortiGate3016B y FortiGate5001A. De esta forma. liberando a la CPU e imprimiendo velocidad de línea a las transmisiones que los atraviesan. las aplicaciones multimedia o el tráfico de sincronización de los motores de base de datos. haciendo que las redes puedan seguir funcionando con normalidad ante protocolos que hacen uso extensivo de paquetes pequeños. propietario también de Fortinet. incluye en su lineal dispositivos equipados con puertos acelerados (FortiAccel) FA2 o NP2 (Network Processor). haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar ciclos de liberación de la CPU principal. liberando a esta de la carga del procesamiento de las cabeceras de los paquetes. FortiGate5001FA2. existen varios módulos de expansión con formato AMC que incluyen puertos acelerados. FortiGate620B. el que lleva a cabo el procesamiento de los paquetes que entran en cada puerto acelerado. • • • Los equipos del lineal FortiGate equipados con puertos acelerados FA2 son: FortiGate1000AFA2. se puede mantener un troughput continuo de forma optimizada en las comunicaciones.

contando con biprocesadores en los equipos de gama alta. Trabajando en modo router el equipo actúa como un dispositivo de nivel 3. El equipo FortiGate soporta las mismas funcionalidades en ambos modos de funcionamiento (firewall. optimizado para procesamiento de paquetes y trabajo en tiempo real. FortiOS 4. con la única salvedad de que trabajando en modo transparente no se puede hacer NAT. Este sistema operativo funciona sobre diversos modelos de procesadores de propósito general. El núcleo de FortiOS™ es un kernel dedicado. De este modo. IPS. el equipo puede ser introducido en cualquier punto de la red sin necesidad de realizar ninguna modificación sobre ningún otro dispositivo.2 Modalidad Router o Transparente Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de funcionamiento: modo router/NAT o modo Transparente. antispam). web filtering. Esta flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate. enrutando los paquetes entre los diferentes interfaces físicos y/o lógicos del equipo.0 . antivirus. Provee además de un interfaz homogéneo para cada una de las funcionalidades ofrecidas.Seguridad Integral en Tiempo Real FortiOS™ El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de conmutación de alto rendimiento. dejando pasar los paquetes a través el mismo en función de las políticas definidas. con la capacidad de realizar NAT. 17 08/09. El equipo FortiGate no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestión del propio equipo y actualización de firmas). Trabajando en modo Transparente el equipo se comporta como un bridge. 2.

Seguridad Integral en Tiempo Real

2.3

Dominios Virtuales

Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única plataforma física podemos configurar hasta 500 Equipos virtuales, completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de hasta 10 dominios virtuales, siendo posible ampliar el número de éstos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales. Cada uno de estos dominios virtuales representan de forma lógica una máquina independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc.

2.4

Routing

Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1 y v2), OSPF y BGP, así como con enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento estático y ofrecer la posibilidad de realizar policy routing.

2.4.1 Enrutamiento Estático Redundante
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De este modo, cuando la puerta de enlace definida como primaria no esté disponible, el equipo FortiGate encaminará los paquetes por el segundo gateway definido Para poder detectar la caída de cualquiera de los elementos que componen el camino de salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping Server que nos permite monitorizar el estado de dicho camino mediante el envío de paquetes ICMP contra cualquier nodo de ese camino.

18

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Funcionalidad Ping Server

Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino no está disponible y comienza a utilizar el siguiente gateway definido. De este modo podemos emplear la plataforma FortiGate para configurar múltiples conexiones a Internet, soportando redundancia entre ellas.

2.4.2 Policy Routing
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se realice únicamente en función de la red de destino, sino teniendo en cuenta también los siguientes parámetros: • Interfaz Origen • Protocolo, servicio o rango de puertos • Interfaz y dirección destino

19

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Configuración Policy routing

De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80) fuese redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro, logrando de este modo balancear la carga entre dos interfaces de conexión a Internet, sin perder la redundancia de los mismos.

2.4.3 Enrutamiento Dinámico
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1 y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse Mode y Dense Mode, de modo que se permite la integración de las plataformas en entornos de red avanzados.

20

08/09, FortiOS 4.0

• El cluster puede estar formado hasta por 32 equipos • La funcionalidad de Alta Disponibilidad está soportada por todas las plataformas FortiGate a partir del equipo FortiGate50B inclusive • Cada miembro del cluster debe ser del mismo modelo hardware así como tener instalada la misma versión del Sistema Operativo. HA Heartbeat Los miembros del cluster se comunican entre ellos a través de un protocolo propietario denominado HA heartbeat. FortiOS 4. Modos Activo-Activo y Activo-Pasivo Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o en modo activo-pasivo. Es recomendable que los interfaces empleados para la transmisión de esta información sean configurados en modo redundante. que el administrador defina varios enlaces para realizar esta función. Los interfaces empleados para el intercambio de información entre los equipos del cluster son definidos por el administrador del equipo. Además el cluster puede configurarse en modo activo-activo haciendo balanceo de carga del tráfico o en modo activo/pasivo en la que un único equipo procesa el tráfico de la red y es monitorizado por los demás para sustituirle en caso de caída. • La funcionalidad de Alta Disponibilidad está soportada tanto en modo router como en modo transparente. El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con objeto de determinar cuando debe cambiarse el equipo que actúa como activo en el cluster. proporcionando escenarios de alta disponibilidad mediante la utilización de varios equipos redundantes entre sí.Seguridad Integral en Tiempo Real 2. realizándose una protección ante fallos completamente transparente. sin necesidad de que sean enlaces dedicados a esta función y permitiendo que dichos enlaces sean empleados para transmitir tráfico de producción. es decir.5 Alta Disponibilidad La capacidad de trabajar en cluster de alta disponibilidad (HA) dota a los equipos FortiGate de redundancia ante fallos. • Los equipos FortiGate pueden ser configurados en cluster. • Sincronizar la tabla de sesiones activas tanto de firewall como de VPN. Este protocolo se utiliza para: • Sincronizar la configuración entre los equipos.0 . • Informar a los otros miembros del cluster del estado del equipo y sus enlaces. Dado que los equipos que forman parte del cluster se intercambian información sobre las sesiones Firewall y VPN activas. de modo que si alguno fallara la información pasaría a transmitirse de forma automática por otro enlace al que se le haya asignado esta tarea. 21 08/09. la caída de un equipo o un enlace no afecta a estas sesiones. empleando un protocolo específico para la sincronización del cluster. Ambos modos de funcionamiento son soportados tanto en modo transparente como en modo router.

Cada FortiGate procesa activamente las conexiones existentes y monitoriza el estado de los otros nodos del cluster. pero no procesan tráfico alguno. El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades que componen el cluster. mientras que el otro grupo de VDOMs enviará su tráfico hacia el otro nodo.Seguridad Integral en Tiempo Real Configuración de Alta Disponibilidad • • Un cluster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el tráfico y uno o más equipos subordinados que están conectados a la red y al equipo primario. De este modo. el tráfico de un grupo de dominios virtuales será tramitado por uno de los nodos.0 . estableciéndose de este modo un balanceo de carga en función del dominio virtual. existe la posibilidad de establecer un balanceo de carga entre los equipos que forman el cluster. FortiOS 4. Virtual Clustering Cuando en equipos configurados en alta disponibilidad existen diferentes Dominios Virtuales definidos. 22 08/09. El nodo primario procesa el tráfico y redistribuye el tráfico entre los diferentes equipos que forman parte del cluster. configurándolos en modo activo-pasivo pero estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o VDOMs.

23 08/09.6 Optimización WAN La optimización o aceleración WAN posibilita la mejora y el incremento de rendimiento y seguridad en comunicaciones a través de redes de área extensa. El resto requerirán de un módulo ASM-S08 que se instala en la bahía AMC single para ofrecer soporte a la funcionalidad completa (Caché).0 . aunque sí lo es con el cliente Forticlient WAN Optimization. Las principales funcionalidades aportadas son la optimización de la comunicación. lo que dota de mucha flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios gestionados. En caso de no disponer de disco duro el soporte de Optimización WAN será parcial no pudiéndose habilitar web caching ni byte caching. Esta función está disponible por VDOM (firewall virtual) configurándose de manera independiente para cada uno de ellos. Con esto se reducen latencias. se incrementa el rendimiento y se garantiza la privacidad en las transacciones. con lo que no es compatible con aceleradores de terceros. web caching y la posible securización de la comunicación cliente/servidor a través de la red WAN gracias al establecimiento de un túnel seguro. Las plataformas que soportan esta funcionalidad son las siguientes: • • • • • • • • Fortigate 51B Fortigate 111C Fortigate 310B Fortigate 620B Fortigate 3016B Fortigate 3600A Fortigate 3810A Fortigate 5001A-SW Los dos primeros modelos al incluir disco lo harán de forma directa. gracias a la optimización del protocolo de comunicación utilizado.Seguridad Integral en Tiempo Real CUSTOMER A VDOM CUSTOMER B VDOM CUSTOMER C VDOM CUSTOMER D VDOM CUSTOMER A VDOM CUSTOMER B VDOM CUSTOMER C VDOM CUSTOMER D VDOM 2. reducción del ancho de banda consumido. La tecnología de compresión utilizada es propiedad de Fortinet. byte caching. FortiOS 4. como puede ser el caso de Internet o MacroLans.

Seguridad Integral en Tiempo Real Dicha tecnología requerirá el soporte en ambos extremos remotos de la tecnología de optimización. además los servidores que sirven estas peticiones deberán servir un número menor de transacciones gracias a la técnica de caching de Fortigate y adicionalmente. Requiere el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleración uno de los protocolos soportados como CIFS. Optimización de Protocolos Esta técnica mejora el uso del ancho de banda y la eficiencia de la comunicación. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o Forticlient WAN Optimization. Dicha técnica se basa en hacer caching de determinados objetos que intervienen usualmente en estas transacciones. Técnicas empleadas Web Caching Se aceleran las transacciones con aplicaciones WEB. Para hacer simplemente caché tradicional de tráfico Web. Además de ofrecer un alto grado de privacidad. esta tecnología está incluida en un sistema de Firewall de reconocida reputación. reduciendo la carga de dichos servidores y el ancho de banda utilizado. la latencia percibida por los usuarios se verá drásticamente reducida.0 . imágenes.FTP. FortiOS 4. ya que parte del contenido se sirve localmente. así como la percepción de latencia por el usuario final. con lo que se dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos. pudiendo aplicar reglas de Firewall necesarias para cumplir la política corporativa. respuestas de servlets y algunos objetos más. que durante su establecimiento y mantenimiento de sesión utiliza gran número de comunicaciones por lo que la compartición de archivos a través de Internet 24 08/09. Un ejemplo típico y de extendido uso es el protocolo CIFS. gracias a la tunelización segura. Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN.HTTP o MAPI. Se guardan contenidos como determinadas páginas HTML. no es necesario otro sistema Fortigate en el otro extremo. Para guardar estos objetos (caching) se utilizará el disco duro o módulo AMC del equipo Fortigate.

A posteriori. Esta técnica no es específica de un protocolo. Gracias a la funcionalidad Protocol Optimization provista. FortiOS 4.0 . Estadísticas de Aceleración WAN 25 08/09. se envían esos elementos hash al extremo remoto y este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este modo la transferencia de un fichero se ve agilizada. por ejemplo un fichero X enviado vía email puede ser acelerado a posteriori en una descarga web si el fichero es el mismo X. Aceleración SSL Gracias a los circuitos ASIC CP6 de última generación se acelera el cifrado/descifrado de trafico SSL. Túneles seguros entre WAN Peers Empleando túneles SSL se puede garantizar la privacidad de las comunicaciones dentro del túnel WAN. Byte caching Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les aplica un hash único.Seguridad Integral en Tiempo Real suele ser bastante lenta. se reduce en gran medida el tiempo de espera de este tipo de transacciones.

LDAP. a qué grupo pertenece y que dirección IP le ha sido asignada. como puede ser el acceso a Internet. AD. Autenticación de usuarios VPN: Cuando un usuario intenta acceder la red interna a través del servicio de acceso remoto VPN provisto por los equipos FortiGate. el equipo solicita la autenticación del usuario de forma previa a establecer la conexión. cada vez que el usuario realice alguna operación que implique validación por parte del Firewall contra el Directorio Activo. etc. la validación se realiza de forma transparente gracias a la información que se han intercambiado el servidor AD y el equipo FortiGate.Seguridad Integral en Tiempo Real 2. el agente FSAE informa al equipo FortiGate de qué usuario se ha validado. 26 08/09. o bien contra servidores externos RADIUS. o bien mediante la utilización de servidores externos (RADIUS. A partir de ese momento. pudiendo realizarse con este último una autenticación transparente de los usuarios que pertenezcan al Directorio Activo de Microsoft. El protocolo FSAE se basa en la utilización de un agente ligero software que se instala en el servidor AD y que desde ese momento establece un diálogo con el equipo FortiGate. Esta autenticación puede realizarse contra una base de datos local creada en el propio equipo. ya sea IPSec o SSL la tecnología empleada. el equipo decide si dicho tráfico es permitido o no en función del usuario del que se trate. FortiOS 4.0 . Esta autenticación se puede realizar mediante una base de datos local. cada vez que un usuario se valida en el servidor AD. como son: • Autenticación a través de políticas de Firewall o Identity based Policy: Cuando un determinado tráfico es identificado por una política definida en el Firewall que tiene habilitada la opción de autenticación. TACACS +. Así. LDAP o Active Directory.7 Autenticación de Usuarios Las plataformas FortiGate soportan la autenticación de usuarios en diferentes funcionalidades.) • Fortinet dispone de un protocolo propietario denominado FSAE (Fortinet Server Authentication Extension) que interactúa con el Servidor de Directorio Activo. de esta forma la granularidad de las reglas puede llevarse a cabo en función del origen del tráfico o en función del grupo de usuarios que generen el tráfico.

el tiempo requerido disminuye. etc. y determina si se trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden correcto.8 Firewall Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnología Stateful Inspection Packet. el servicio al que corresponde ese paquete. es posible definir los interfaces de entrada y salida de tráfico como Any para así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean sus interfaces de entrada o salida. chequeando el correcto orden de los paquetes y realizando control sobre el tráfico de la red.). Esta organización permite que el paquete sea tan solo comparado contra las reglas definidas entre esos interfaces. 27 08/09. lo que agregado a la utilización de la tecnología FortiASIC confiere a los equipos FortiGate un rendimiento inigualable como firewall. servicio.Seguridad Integral en Tiempo Real 2. lo que permite a las plataformas FortiGate alcanzar un rendimiento mayor y un número de nuevas sesiones por segundo superior al de cualquier solución basada en la utilización de una CPU de propósito general. Este análisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicación Específica FortiASIC. si se desea.0. Si no se encontrara ninguna regla que coincidiera con el paquete analizado. Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. comenzando por la superior de todas y descendiendo hasta encontrar aquella con que coincida en función de los diferentes parámetros configurables para cada política (par origen/destino. identificando la sesión a la que pertenece.0 . Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y destino. Cada vez que el Firewall recibe un nuevo paquete. llegando hasta los 26 Gbps de los equipos FortiGate 3810A. ya que para cada uno de los paquetes es identificado su origen y su destino y enviado entonces al módulo de routing. FortiOS 4. En la última versión del sistema FortiOS 4. éste sería descartado. Este modo de definición de las políticas permite optimizar el rendimiento y el procesamiento de cada uno de los flujos. Esto le permite hacer un análisis exhaustivo de la cabecera de cada paquete. Al tener que comparar contra un grupo menor que el total de las reglas definidas. analiza la cabecera de este para conocer las direcciones origen y destino. calendario.

Entre las acciones a realizar están: • • • • • • • Permitir la conexión Denegar la conexión Requerir autenticación antes de permitir la conexión. como Antivirus. etc. Procesar el paquete como perteneciente a una conexión tunelizada mediante IPSec Realizar traducción de direcciones Aplicar reglas de gestión de ancho de banda Analizar el tráfico mediante funcionalidades adicionales de seguridad. tanto único como recursivo. LDAP y/o Directorio Activo. 28 08/09. servicio o puertos TCP/UDP • • La política define la acción a tomar con aquellos paquetes que cumplan los criterios definidos. y así mismo definir traducciones de puertos (PAT). En cada política se puede habilitar el seguimiento de aquellas conexiones que atraviesan el firewall de acuerdo a la política definida. Direcciones o grupos de direcciones IP origen y destino Protocolo. mediante la definición de un perfil de protección A cada política se le puede definir un horario. o bien haciendo uso de servidores externos que pueden ser RADIUS. mes o año. Detección/Prevención de Intrusiones. o bien utilizar grupos de direcciones con objeto de realizar NAT dinámico. La validación de usuario puede realizarse contra usuarios registrados en local. permitiendo realizar una traducción estática de direcciones. AntiSpam. que permite acotar la aplicación de la regla a un espacio temporal determinado en función de la hora. el día de la semana.0 . siguiendo el estandar 802.Seguridad Integral en Tiempo Real 2. con objeto de poder hacer un registro de las conexiones establecidas a través del equipo. Cada política permite realizar traducción de direcciones mediante NAT.1 Definición de Políticas Las políticas del firewall se definen en base a los siguientes criterios: • Interfaces de entrada y salida del flujo.1Q para marcado de tramas de cada VLAN. filtrado Web. o pueden establecerse como Any para que se utilice cualquier interfaz de entrada o salida. FortiOS 4. Puede referirse tanto a Interfaces Físicos del equipo como a interfaces lógicos definidos como VLAN Interface.8.

2 Inspección SSL Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder efectuar inspección dentro de protocolos seguros basados en SSL. La distribución del balanceo de carga puede ser configurado a nivel de puertos TCP o UDP. teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma inspección de contenidos.Seguridad Integral en Tiempo Real 2. 29 08/09. con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos.8.0 .8. SMTPS. puede ser monitorizado a nivel ICMP. el servicio continúa activo en el resto de equipos. POP3S e IMAPS. dotando a la plataforma de alta disponibilidad.3 Balanceo de carga multiplexación http y aceleración SSL Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores. FortiOS 4. Configuración de inspección SSL 2. IPS o control de aplicaciones. como HTTPS. así como inspección Antivirus. Cada uno de los servidores que componen grupo de balanceo. TCP o http de manera que ente el fallo de un servidor.

De esta manera se elimina la necesidad de cifrar la sesión en el propio servidor.Seguridad Integral en Tiempo Real De la misma forma. los equipos FortiGate pueden realizar la labor de aceleradores SSL para conexiones HTTPS. haciendo que este consuma menos recursos al servir las peticiones entrante Con la misma filosofía. de manera que varias conexiones externas se traducen en una única conexión entre el FortiGate y el servidor. con lo que los recursos de este son 30 08/09. La conexión HTTPS es terminada en el equipo FortiGate y este realiza la petición sin cifrar (o cifrada) al servidor correspondiente. FortiOS 4.0 . es posible configurar la IP virtual para que haga multiplexación del tráfico HTTP.

o bien limitar el ancho de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red. La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico generado por la transmisión de voz y las aplicaciones multimedia. dejando la cifrado y descifrado del túnel SSL en manos del FortiGate. reservando el ancho de banda necesario y priorizando este tipo de tráfico ante otros menos sensibles al retardo como pueda ser el correo o el tráfico ftp.0 es posible además mantener la persistencia de una sesión si es necesario (tanto en HTTP como en HTTPS). UDP. TCP.Seguridad Integral en Tiempo Real optimizados para llevar a cabo las tareas del servicio. Una adecuada gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin recurrir a una ampliación innecesaria del ancho de banda de la red. Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados. reservar ancho de banda para aquellas aplicaciones que sean más sensibles al retardo. Estos tipos de tráfico son enormemente sensibles al retardo y a la variación del mismo (jitter).0 .4 Calidad de Servicio (QoS) Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio prioritario sobre el tráfico más sensible al retardo. 2. La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo: • La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los 31 08/09.8.323. ICMP o ESP. SIP. incluyendo H. FortiOS 4. Los equipos FortiGate permiten aplicar técnicas de priorización de tráfico y Calidad de Servicio (QoS). En la última versión FortiOS 4.

son capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los paquetes y clasificando. retrasando su envío hasta que sea posible. siguiendo las normas RFC 2474 y 2475. pudiendo variar entre prioridad alta. pero puede ser empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones que hagan un uso intensivo del mismo. haciendo que se almacenen en el buffer hasta su transmisión. Calidad de Servicio Basada en Políticas Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una de las políticas definidas en el firewall a través de perfiles previamente definidos. los parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de tráfico. 32 08/09. Así. o bien aquellas aplicaciones sensibles al retardo. La tecnología DiffServ permite modificar los parámetros DSCP.0 . Una vez que el flujo de tráfico ha sido identificado por alguna de las políticas existentes. marcando. se transmiten en primer lugar los de prioridad alta. media o baja. La bufferización se realiza en función de la prioridad asignada a cada flujo. Si el ancho de banda no es suficiente para el envío de todos los paquetes almacenados. y gestionando el tráfico en base a esta información. El ancho de banda definido no puede superar el ancho de banda total disponible. FortiOS 4. Los equipos FortiGate usan la técnica Token Bucket para garantizar y limitar el ancho de banda. Lo que se consigue de este modo es evitar que los paquetes sean descartados.Seguridad Integral en Tiempo Real • • paquetes. aquellos componentes de la red compatibles con DiffServ. Configuración de parámetros QOS Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas Los parámetros de configuración del ancho de banda nos permiten definir un ancho de banda mínimo o un límite máximo para el tráfico identificado con esa política.

Soporte DiffServ La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los que se aplica una política en particular.5 Soporte VoIP Los equipos FortiGate incorporan soporte para los protocolos mas demandados de VoIP (H323. Cada política se puede configurar para aplicar esos valores en cada uno de los sentidos del flujo. tipo VLAN o VPN. FortiOS 4. permitiendo definir un ancho de banda máximo asociado a una interfaz específica. Entre las funcionalidades soportadas cabe destacar. Esta técnica aplica tanto a interfaces físicas como a interfaces lógicas.Seguridad Integral en Tiempo Real Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces Igual que a nivel de políticas. siendo independientes ambos parámetros entre sí. de esta forma se consigue limitar el tráfico entrante a una interfaz determinada pudiendo hacer control del acho de banda disponible por interfaz.8. • • • • • • • Escaneo Antivirus para transferencias de ficheros realizadas sobre IM vía protocolos SIP/SIMPLE Application layer gateway para SIP basado en SCTP y TCP Compresión/descompresión de cabeceras SIP Mantenimiento de la información IP original incluso cuando está presente NAT Conversión entre SIP basado en TCP y SIP basado en SCTP y viceversa Limitación del número de mensajes SIP Log de comienzo y fin de llamadas 33 08/09. 2.0 . SCCP. los dispositivos FortiGate permiten la gestión de ancho de banda a nivel de interfaz. SIP. SIMPLE) aplicando sobre estos los mayores controles de seguridad y reporting a través de los protección profiles.

etc. Para el establecimiento de redes privadas virtuales basadas en IPSec. web filtering. oficinas pequeñas. antispam.9. Al estar integrada la funcionalidad VPN en la propia plataforma FortiGate. 2. FortiGate cumple el estándar IPSec y soporta: • • • • • • • • Algoritmos de cifrado: DES.1 Tipos de VPN soportados Internet Protocol Security (IPSec) Un marco de trabajo para el intercambio seguro de paquetes a nivel de la capa IP. corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. Checkpoint. Soporte de acceso redundante a Internet. Las unidades FortiGate implementan el protocolo Encapsulated Security Payload (ESP) en modo túnel. detección de caída del nodo remoto) Autenticación basada en pre-shared key con usuarios definidos en una base de datos local o en un servidor externo (LDAP. De esta forma.Seguridad Integral en Tiempo Real 2. etc. además de PPTP y L2TP. Los paquetes cifrados aparecen como paquetes ordinarios que pueden ser enrutados a través de cualquier red IP.0 . certificados X. IPS. 34 08/09. 3DES y AES 128.9 VPN Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL. RADIUS.509. FortiOS 4. el tráfico VPN puede ser analizado por el módulo de Firewall así como por las funcionalidades adicionales antivirus. 192 y 256 NAT Transversal DPD (Dead Peer Detección. Directorio Activo). medias.) Alta disponibilidad de enlaces VPN desde un único equipo Posibilidad de definir hasta 3 puertas de enlace diferentes para cada túnel para resistencia ante fallos. autenticación extendida XAuth Interoperabilidad con otros fabricantes IPSec Compliant (Cisco. nivel 3.

Fully Meshed Network. sin existir comunicación directa entre los equipos remotos. Todo el tráfico entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de protección de FortiGate. Partially Meshed Network. Hub and Spoke. FortiOS 4. Todos los equipos que forman la red corporativa están conectados con el resto.Seguridad Integral en Tiempo Real La utilización de IPSec para realizar VPN es utilizado en diversas tipologías de red.0 . si bien tiene como inconveniente su dificultad de escalado y gestión. Los equipos FortiGate soportan las siguientes topologías de red: Gateway-to-Gateway. Esta topología presenta la ventaja de su alta tolerancia a fallos (si un nodo cae el resto no se ven afectados). Configuración en la que existe un equipo central con el que los equipos remotos establecen los túneles VPN. Se establecen túneles entre aquellos nodos que regularmente mantienen comunicación. 35 08/09. Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. configurando una malla.

constituye un sistema con una implantación. El protocolo PPTP ofrece un grado menor de seguridad que IPSec. antivirus y antispam. sino que resulta accesible desde cualquier navegador.Seguridad Integral en Tiempo Real Además de los escenarios mostrados anteriormente. el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP a un servidor PPTP en la red. administración y mantenimiento simplificado. los equipos FortiGate pueden ser configurados para actuar como servidores de acceso remoto (Dialup Server). garantizando en todo momento la confidencialidad e integridad de la información. de este modo clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo FortiGate que ha sido configurado para trabajar como un servidor PPTP.0 . Haciendo uso de esta funcionalidad los equipos dotados de IP dinámica pueden ser asignados a un dominio. FortiGate soporta PAP. Además. Como alternativa. FortiOS 4. los paquetes encapsulados PPP no son criptográficamente protegidos y pueden ser leídos o modificados. lo que supone un gran avance frente a las tradicionales VPN basadas en IPSec. y opcionalmente funcionalidades de filtro web. Dado que las VPN SSL usan cifrado SSL. Point-to-Point Tunneling Protocol (PPTP) Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes PPTP Windows o Linux. Para el acceso remoto mediante IPSec. además de ser un cliente VPN IPSec. Fortinet provee un cliente IPSec Software para plataformas MS windows: FortiClient. se ofrece un método de acceso a los sistemas de 36 08/09. Los clientes PPTP son autenticados como miembros de un grupo de usuarios. Para la autenticación de los clientes. no es necesaria la instalación de ningún software específico en los ordenadores remotos. CHAP y autenticación de texto plano. en lo que a sistemas de acceso de usuario se refiere. Cada vez que se conecte a Internet. ya que el canal de control de mensajes PPTP no es autenticado y su integridad no está protegida. FortiClient incorpora un firewall personal con capacidad de detección de intrusión. Los equipos soportan la funcionalidad Dynamic DNS. VPN SSL Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que. De este modo. PPTP utiliza protocolos de autenticación PPP. el ISP le asignará una IP diferente y los demás equipos de la VPN le localizarán mediante la resolución de su nombre DNS.

Además. es posible analizar la existencia de virus también este tipo de tráfico. . y puede configurarse el envío de un correo de alerta o un trap SNMP. Los componentes principales del sistema antivirus de FortiGate son: • La arquitectura hardware basada en FortiASIC • Su optimizado sistema operativo FortiOS • La infraestructura FortiProtect. el equipo FortiGate guarda un registro del ataque detectado. Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor de túneles SSL. siendo posible escanear estos protocolos en puertos diferentes a los habitualmente empleados. El servicio de protección antivirus provisto por FortiGate es totalmente transparente a los usuarios. es capaz de deshacer hasta 12 niveles de anidamiento en ficheros comprimidos de forma recurrente. 2. o bien bloquear aquellos archivos adjuntos de correo electrónico que sean de un tamaño superior al límite de filtrado. FortiOS 4. POP3 y SMTP). El filtrado antivirus de FortiGate protege la navegación web (protocolo http). El denominado “FortiGate content screening” permite que clientes y aplicaciones no 37 08/09. como posibilidad de establecer conexiones mediante clientes pesados (descargando un ActiveX) o personalizar al completo el portal de acceso SSL que se le presenta a los usuarios.exe.0 .10 Antivirus FortiGate ofrece el sistema antivirus perimetral de mayor rendimiento gracias a su optimizada arquitectura y configuración. e incluso en múltiples puertos. con una configuración sencilla que permite la autenticación de usuarios mediante sistemas de autenticación robusta y la personalización del servicio de acceso remoto. Al existir una integración con la funcionalidad VPN en la plataforma FortiGate.bat. el archivo es eliminado o guardado en cuarentena. Para una protección extra. Adicionalmente se cuentan con características habituales en este tipo de solución.Seguridad Integral en Tiempo Real información de cualquier organización que no requiere de la implantación de ninguna aplicación específica en los ordenadores remotos con lo que se permite un acceso controlado a los recursos. con total garantía de seguridad. los laboratorios y centros de desarrollo distribuidos a lo largo de todo el mundo. la transferencia de archivos (protocolo ftp) y los contenidos transmitidos por correo electrónico (protocolos IMAP. Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisión. el motor antivirus es capaz de bloquear ficheros de un tipo específico (. Los equipos FortiGate analizan también las cabeceras MIME de los correos con objeto de encontrar posibles virus transmitidos como ficheros adjuntos con este formato. Además. etc) que potencialmente sean contenedores de virus. y es sustituido por un mensaje de alerta configurable por el administrador.

y que. FortiOS 4. Trabajando juntos. 2. realiza una utilización menos intensiva del equipo y obtiene mejor rendimiento. el archivo se considera infectado.0 . Los sistemas antivirus basados en análisis de firmas constituyen el método más efectivo y más utilizado en la detección de virus. El método de análisis heurístico requiere progresivamente más poder de procesador con la simulación de ejecución siendo cada vez más demandada. Si toda la cadena de bytes se identifica con un virus en particular.10. Tan pronto como un virus es detectado. El rendimiento es la clave para la detención eficiente de virus que cada vez son más y más complejos. las estrategias de escaneo de virus proveen la mejor protección disponible. El escaneo de firmas es el método que mayor número de virus detecta. Para reducir la demanda de procesos. Servicio de bloqueo de ficheros y Servicio de cuarentena sobre correo electrónico. escribir en el registro o intentos de deshabilitar características de seguridad Para realizar este análisis de firmas existen dos elementos claves: • Una base de datos que contiene las firmas de virus conocidos • Un motor de escaneo que compara los archivos analizados con las firmas en la base de datos para detectar una concordancia indicando la presencia de un virus. La aceleración del reensamblado de los paquetes y la comparación con las firmas mediante FortiASIC es un componente clave que permite a FortiGate la realización de este análisis en tiempo real sin introducir ningún retardo sobre el normal funcionamiento de la red y las aplicaciones. el análisis se detiene. Para la detección de virus las plataformas FortiGate utilizan diferentes mecanismos. el escaneo de virus siempre comienza con la estrategia de antivirus que menos recursos demanda antes de iniciar procesos de detección más pesados. 38 08/09. El análisis incluye también el escaneo de las macros existentes en los archivos Microsoft Office en busca de cadenas conocidas de virus macro. El hardware dedicado de alto rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice en tiempo real para los usuarios. gracias a la aceleración mediante FortiASIC.Seguridad Integral en Tiempo Real requieran ninguna modificación en su configuración especial sin necesidad de definir proxies en los clientes. Los macros son también analizados en búsqueda de comportamientos anómalos tales como importar y exportar código. etc.1 Escaneo de Firmas (Signature Scaning) El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para identificar virus. El motor de escaneo de virus de FortiGate está diseñado para soportar una combinación de estrategias para buscar virus en archivos. El motor de antivirus realiza los siguientes servicios: Protección de virus. como son escaneo de firmas o patrones y el análisis heurístico y de simulación heurística (dynamic heuristic scanning).

Mediante el análisis heurístico de los contenidos. Las clasificaciones de estas pruebas son combinadas para una clasificación total. el módulo heurístico devuelve un resultado de virus encontrados. Ejemplos como el cifrado de la pila de código del virus o los llamados virus polimórficos.10. se llevan a cabo un número de cada una de las cuales dan como resultado una clasificación apropiada.2 Escaneo Heurístico Los creadores de virus llevan a cabo una serie de pasos para complicar más la detección de los mismos. Si esta clasificación se sitúa sobre un cierto umbral.Seguridad Integral en Tiempo Real 2. Actualización de las definiciones de virus y motor de escaneo 39 08/09. los cuales son continuamente actualizados por Fortinet y distribuidos mediante la red FortiProtect tan pronto como nuevos virus y gusanos son encontrados y difundidos. Las reglas y clasificaciones (ratings) son actualizables y configurables.0 . se realizan los denominados análisis “heurísticos” que buscan “comportamientos anómalos conocidos”. FortiOS 4. Con el fin de detectar estos virus.10. los cuales se modifican ellos mismos sin levantar sospechas en cada replicación. 2.3 Actualizaciones de la Base de Datos de Firmas y Motor de Escaneo Las actualizaciones del antivirus contienen la base del conocimiento de virus y el motor de escaneo. complican cada vez más la detección de los virus y hace ineficaz en algunos casos la creación de firmas de reconocimiento del virus. mediante la identificación de secuencias de operaciones que constituyen comportamientos propios de estos tipos de virus.

El administrador del equipo FortiGate puede iniciar la actualización manual simplemente seleccionando la opción “Update now” desde la consola de gestión del equipo FortiGate. Los dispositivos FortiGate soportan dos modos de actualización: • Pull updates. diarios o semanales. de forma que se haga cuarentena durante un ataque de virus. Estas comprobaciones pueden ser programadas para su realización en periodos horarios. Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate. los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate configurados para push updates de que una nueva actualización está disponible. • Actualizaciones Manuales Aparte de los métodos de actualizaciones expuestos anteriormente. En 60 segundos desde la recepción de una notificación push. las plataformas de gestión FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona. Todos los equipos FortiGate están programados con una lista de servidores FDN más cercanos de acuerdo a la zona horaria configurada en el equipo. 2. Cada vez que un nuevo motor de antivirus o definiciones son publicadas. Los equipos pueden comprobar automáticamente si existen en la red FDN nuevas definiciones de virus disponibles y. 40 08/09. será posible configurar opciones de cuarentena NAC integradas.Seguridad Integral en Tiempo Real Actualizaciones automáticas Los equipos FortiGate son dinámicamente actualizados gracias la red FortiProtect Distribution Network (FDN). si encuentran nuevas versiones. por ejemplo. así como los motores de antivirus actualizados. por un tiempo concreto o ilimitado. los equipos FortiGate poseen la opción de realizar actualizaciones manuales. Dentro del perfil. FortiOS 4.0 . Push updates. al atacante o al objetivo. Así mismo.10. descargarlas e instalarlas automáticamente. el equipo FortiGate se descargará la actualización desde la FDN.4 Activación del Servicio mediante Perfiles de Protección Los servicios de protección Antivirus son habilitados mediante los perfiles de protección aplicados posteriormente en las diferentes políticas del firewall.

Estos mensajes de reemplazo que reciben los usuarios en sustitución de los ficheros o contenidos infectados son totalmente configurables por el administrador del sistema. 2.10. transmisiones http o ftp. Esta configuración basada en políticas provee un control granular de los servicios de protección y de la utilización de los recursos de FortiGate. FortiOS 4. los servicios habilitados pueden variar dependiendo de los flujos de tráfico.0 .5 Mensajes de Reemplazo en Ficheros Infectados Los mensajes de reemplazo son incluidos por el filtro antivirus en los lugares ocupados por ficheros o contenidos eliminados de mensajes de correo.Seguridad Integral en Tiempo Real Configuración Servicio Antivirus en el Perfil de Protección De este modo. 41 08/09.

sin mermar por ello el rendimiento de la red. el modulo de firewall y la capa de aplicación. FortiGate reensambla el contenido de los paquetes en línea y lo procesa para identificar ataques hasta el nivel de aplicación. 42 08/09.Seguridad Integral en Tiempo Real Configuración de los Mensajes de Reemplazo 2. El motor IDS provee seguridad hasta la capa de aplicación. FortiOS 4.11 Detección y Prevención de Intrusión (IDS/IPS) El Sistema de Detección de Intrusión de FortiGate constituye un sensor de red en tiempo real que utiliza definiciones de firmas de ataques y detección de comportamientos anómalos para detectar y prevenir tráfico sospechoso y ataques de red.0 . De esta forma el sistema de detección de intrusiones no se limita únicamente a la detección de ataques de nivel de red ni tampoco al análisis individual de cada paquete. La capacidad de IDS de los equipos FortiGate se basa en el modulo de routing.

y ICMP flood Paquetes formados incorrectamente. La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques: • • • • Ataques de Denegación de Servicio (DoS) Ataques de Reconocimiento Exploits Ataques de Evasión de Sondas IDS Ataques de denegación de servicio (DoS Attacks): intentan denegar el acceso a servicios u ordenadores mediante la sobrecarga del enlace de red. FortiGate IPS detecta los siguientes ataques comunes de reconocimiento: • • • • Fingerprinting Ping sweeps Port scans Buffer overflows. El atacante no intenta conseguir información. Transporte. Chargen. land. La arquitectura hardware asistida de detección de intrusión provee a los equipos FortiGate de rendimientos excepcionales únicos en el mercado.Seguridad Integral en Tiempo Real Cada sensor (Red. incluyendo Ping of Death. El IPS FortiGate detecta los siguientes ataques de DoS comunes: • • Inundación de paquetes. FTP y POP3 43 08/09. UDP flood. de la CPU u ocupación de discos duros. El sensor utiliza el hardware FortiASIC para acelerar la inspección del tráfico y chequear patrones de tráfico que concuerden con las firmas y anomalías especificadas. incluyendo Smurf flood. Tear drop. FortiOS 4. y WinNuke Ataques de Reconocimiento: son aquellos ataques a través de los cuales el atacante intenta conseguir información sobre un determinado sistema con objeto de preparar un posterior ataque basado en vulnerabilidades específicas. TCP SYN flood.0 . sino interferir los accesos a los recursos de red. IP. incluyendo SMTP. Aplicación) es un programa que genera un tráfico ínfimo.

NetSpy.cgi. las firmas son similares a las definiciones de virus. Striker. Detección de Firmas Las firmas de ataques se encuentran en el núcleo del modulo de detección de intrusiones FortiGate (más de 3600 firmas soportadas). HTTP. Las firmas son los patrones de tráfico que indican que un sistema puede estar bajo un ataque. webdist.1 Métodos de Detección Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las tareas de detección y prevención de intrusión son dos: detección de firmas y seguimiento de comportamientos anómalos. HTML. y FormMail Web Server attacks Web Browser attacks.cgi. info2www. con cada firma diseñada para detectar un tipo de ataque particular.php. Netbus.pl. URL. JavaScript.0 .11. El IPS de la plataforma FortiGate detecta las siguientes técnicas de evasión de NIDS: • • • • Signature spoofing Signature encoding IP fragmentation TCP/UDP disassembly 2. Funcionalmente. 44 08/09. nph-test-cgi. incluyendo BIND y Cache IP spoofing Trojan Horse attacks. Tanto las firmas predefinidas como el motor IPS. incluyendo Phf. y ActiveX SMTP (SendMail) attack IMAP/POP attack Buffer overflow DNS attacks. files. handler. son actualizables a través de FortiProtect Distribution Network (FDN). incluyendo BackOrifice 2K. GuestBook. Ripper. FortiOS 4. Frames. Priority. y SubSeven Ataques de Evasión de NIDS: consisten en técnicas para evadir sistemas de detección de intrusiones. nph-publish. El IPS de la plataforma FortiGate detecta los siguientes exploits: • • • • • • • • • • Brute Force attack CGI Scripts. Java. de un modo similar al que se actualizan las definiciones de antivirus.Seguridad Integral en Tiempo Real • • Account scans OS identification (Identificación del Sistema Operativo) Exploits: intentos de aprovecharse de vulnerabilidades o bugs conocidos de aplicaciones o sistemas operativos con el objeto de ganar acceso no autorizado a equipos o redes completas. EWS. AnyForm. IniKiller. TextCounter. Count.cgi.

Seguridad Integral en Tiempo Real Firmas de Ataques detectados mediante IDS Cada una de las firmas puede ser habilitada para su detección de modo independiente. Además existe la posibilidad de definir firmas de ataques personalizadas que pueden ser añadidas para detectar ataques no incluidos en el fichero de definiciones de ataques.0 . 45 08/09. FortiOS 4.

el destino está experimentando flooding.0 . FortiOS 4. como son: • Flooding – Si el número de sesiones apunta a un solo destino en un segundo está sobre el umbral. UDP e ICMP. 46 08/09.Seguridad Integral en Tiempo Real Detección de Anomalías de Tráfico Los equipos FortiGate analizan las secuencias de paquetes y el establecimiento de sesiones de acuerdo a los patrones de tráfico definidos en los diferentes protocolos estándar. Anomalías de Tráfico FortiGate IPS identifica a su vez anomalías estadísticas de tráfico TCP.

Debido a que el módulo IDS está completamente integrado con el motor de firewall.11. Cualquier ataque detectado puede ser bloqueado. el sistema toma acciones las acciones necesarias para prevenir daños. el límite de sesiones por origen está siendo alcanzado. Los equipos FortiGate permiten definir diferentes acciones a realizar en función del ataque detectado: • • • Pass: FortiGate permite que el paquete que activó (triggered) la firma pase a través del firewall.3 Activación del Servicio mediante Perfiles de Protección La activación de la funcionalidad de Detección y Prevención de Intrusiones se realiza mediante la configuración de sensores. el origen está siendo escaneado. que posteriormente pueden ser aplicados de forma independiente en el sensor. un objetivo (target) y un tipo de sistema operativo para el que es específica. bajo o información). medio.11. los equipos FortiGate proveen detección y prevención de intrusiones en tiempo real. alto. ataques basados en anomalías. tanto de firmas como de anomalías. o ataques personalizados. FortiOS 4. Destination session limit – Si el número de sesiones concurrentes a un único destino está sobre el umbral. asociados a los perfiles de protección que son aplicados posteriormente en las diferentes políticas del firewall. Cada una de las firmas de ataques tiene asociada una severidad. el modulo firewall rápidamente toma acción para bloquear el tráfico impidiendo que el ataque tenga éxito. 2. De este modo. Además. Drop: El equipo FortiGate descarta el paquete que activó la firma. como la existencia de un proxy en la red. 47 08/09. envía un reset al cliente y al servidor. cada firma va asociada a un protocolo o aplicación determinados. y borra la sesión de la tabla de sesiones del equipo FortiGate. Esta configuración provee un control granular de los servicios de protección y de la utilización de los recursos de FortiGate. Para cada una de las firmas y anomalías existentes es posible establecer un nivel de severidad (crítico. ya sean ataques basados en firmas. el límite de sesiones por destino está siendo alcanzado. Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar situaciones excepcionales.0 . Source – Si el número de sesiones concurrentes desde un único destino está sobre los umbrales.Seguridad Integral en Tiempo Real • • • Scan – Si el número de sesiones desde un origen único en un segundo está sobre el umbral. las firmas y anomalías habilitadas en cada sensor pueden variar dependiendo de los flujos de tráfico. Reset: El equipo descarta el paquete que activó la firma. 2.2 Prevención de Intrusiones en Tiempo Real Cuando los ataques son detectados. etc. El módulo IDS posee un enlace específico en el modulo de firewall que permite que una vez el sensor identifica un ataque.

los cuales son continuamente renovados por Fortinet y distribuidos mediante la red FortiProtect tan pronto como nuevas formas de ataque son encontradas y difundidas. FortiOS 4. 48 08/09. al atacante y al atacado por un tiempo concreto o ilimitado. de manera que cada regla puede tener configurado un sensor específico para aquellos protocolos o aplicaciones que son permitidas en su flujo de tráfico Dentro de la configuración del mismo sensor.11.4 Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo En las actualizaciones del servicio IPS/IDS se actualiza la base de datos de ataques y anomalías reconocidas y el motor de escaneo. es posible marcar opciones de cuarentena NAC integradas. 2.Seguridad Integral en Tiempo Real Los sensores definidos. de forma que se puede incluir en cuarentena durante un ataque. son posteriormente aplicados a las reglas de firewall a través de los perfiles de protección.0 .

• 49 08/09. Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate.0 . el equipo FortiGate se descargará la actualización desde la FDN.Seguridad Integral en Tiempo Real Actualización de las definiciones de ataques y motor de escaneo Actualizaciones automáticas Los equipos FortiGate son dinámicamente actualizados gracias la red FortiProtect Distribution Network (FDN). Así mismo. Los equipos pueden comprobar automáticamente si existen en la red FDN nuevas definiciones de virus disponibles y. descargarlas e instalarlas automáticamente. Todos los equipos FortiGate están programados con una lista de servidores FDN más cercanos de acuerdo a la zona horaria configurada en el equipo. En 60 segundos desde la recepción de una notificación push. si encuentran nuevas versiones. Push updates. Cada vez que un nuevo motor de antivirus o un nuevo fichero de definiciones es publicado. los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate configurados para push updates que una nueva actualización está disponible. así como los motores de antivirus actualizados. diarios o semanales. Estas comprobaciones pueden ser programadas para su realización en periodos horarios. las plataformas de gestión FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona. FortiOS 4. Los dispositivos FortiGate soportan dos modos de actualización: • Pull updates.

Existe también la posibilidad de incluir en ciertos appliances módulos de bypass que permitan que el tráfico siga fluyendo aunque haya una caída completa del equipo o del proceso del IPS (en configuraciones donde haya un solo equipo): Posibilidad de desplegar sensores en modo one-arm o como IDS tradicional habilitando un puerto de escucha o análisis conectado a un puerto de mirror o SPAN en un switch. se puede detectar y bloquear el ataque antes de que haga “match” en el firewall. El administrador del equipo FortiGate puede iniciar la actualización manual simplemente seleccionando la opción de “Update now” desde la consola de gestión del equipo FortiGate.Protección más robusta contra ataques DoS. Al aplicar los sensores a nivel de interface antes de llegar al firewall. posibilitando su posterior descarga en formato pcap para abrirlos con Ethereal/Whiteshark desde FortiAnalyzer. de esta forma se tienen las siguientes funcionalidades: .Posibilidad de filtrar todo tipo de tráfico antes de que llegue al firewall aunque este esté configurado con una regla “drop”. Posibilidad de guardar a bajo nivel aquellos paquetes que hagan “match” en una firma. los equipos FortiGate poseen la opción de realizar actualizaciones manuales. . FortiOS 4. Soporte completo de creación de políticas IPS para IPv6.Seguridad Integral en Tiempo Real Actualizaciones Manuales A parte de los métodos de actualizaciones expuestos anteriormente. Otras características Es posible aplicar políticas DoS por sensor desplegado.0 . 50 08/09.

pero controlar programas de mensajería instantánea o P2P que habitualmente hacen uso de este puerto como medida evasiva. mediante el motor IPS de Fortigate. De esta forma es posible permitir el tráfico en el puerto 80.12 Control de Aplicaciones En la actualidad hay infinidad de aplicaciones que fluyen por la red. con la inclusión del motor de Control de Aplicaciones se tiene un número mucho más extenso de comprobaciones para más aplicaciones con independencia del puerto. FortiOS 4. 51 08/09.0 . ya se contaba con ciertos controles para algunos protocolos. siendo algunas de ellas productivas y otras no. Con el control de aplicaciones es posible verificar el tráfico basándose en las propias aplicaciones que lo generan y no en el puerto utilizado. Las principales ventajas que aporta el control de aplicaciones son las siguientes: • • Ir más allá del control tradicional de nivel 3 de los firewalls convencionales. por ello surge la necesidad de poder controlar las distintas aplicaciones que hacen uso de este mecanismo común Obtener una mayor visibilidad de la red. pudiendo así controlar aplicaciones evasivas o que cambien de puerto con frecuencia Uno de los vectores de infección de malware más habitual es el intercambio de ficheros a través de uno de los protocolos más utilizados como es http.Seguridad Integral en Tiempo Real 2. sobre todo P2P. VoIP e IM. de forma que sea posible conocer en profundidad y con detalle el uso que se hace de este recurso por parte de los usuarios de una organización • Anteriormente.

En la actualidad se cuenta con más de 1000 aplicaciones soportadas. como las principales aplicaciones reconocidas o permitidas. se prevé catalogar nuevas aplicaciones que se irán incluyendo. adicionalmente y apoyándose en el motor IPS.0 .fortiguard.html Algunos de los ejemplos de grupos de aplicaciones más comunes son: • • • • • • • • • Mensajería Instantánea Peer-to-peer Voz IP Transferencia de ficheros Video y Audio Streaming Internet Proxy Juegos Toolbars de navegador Bases de datos 52 08/09. FortiOS 4. El listado de aplicaciones soportadas puede encontrarse en la siguiente URL: http://www.Aplicar dicho perfil a una regla de cortafuegos para que el control se lleve a cabo únicamente en los flujos de tráfico necesarios A través de FortiAnalyzer será posible llevar a cabo el reporting necesario para mostrar las estadísticas relevantes del control de aplicaciones.Seguridad Integral en Tiempo Real La implementación de este tipo de control se puede llevar a cabo en 4 simples pasos: 1 – Definir la lista de Control de Aplicaciones 2 – Añadir a criterio las distintas aplicaciones individuales o por grupos 3 – Aplicar el conjunto definido a un perfil de protección 4.com/applicationcontrol/ListOfApplications.

URL Filtering mediante uso de listas locales El filtrado de URL puede implementarse utilizando bases de datos locales con listas black/white list definidas por el usuario que contienen URLs cuyo acceso está permitido o denegado.mail Web Servicios de red Aplicaciones Corporativas Actualizaciones de sistema Backup 2. justificado por los costes financieros y las implicaciones legales que conlleva la pasividad en este aspecto. FortiOS 4. 53 08/09. la monitorización del uso que sus empleados hacen de los accesos a Internet y la prevención de visualización de contenidos web inapropiados o no autorizados se ha convertido en algo necesario.0 . activeX o cookies. Para las empresas.13 Filtrado de Tráfico Web (URL Web Filtering) La distribución y visualización de contenido no autorizado supone un riesgo importante para cualquier organización.Seguridad Integral en Tiempo Real • • • • • • Web. El acceso a URLs específicas puede ser bloqueado añadiéndolas a la lista de bloqueo de URLs. contenidos potencialmente peligrosos. El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena del contenido del protocolo http permitiéndonos filtrar direcciones URL potencialmente no asociadas al desarrollo de la normal actividad laboral. contenidos embebidos en las propias páginas web o scripts basados en java. El dispositivo FortiGate bloquea cualquier página web que coincida con la URLs especificada y muestra un mensaje de sustitución de la misma al usuario. La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio usuario. o bien mediante la utilización del servicio FortiGuard Web Filtering.

FortiOS 4.1 Filtrado de Contenido mediante listas locales Los dispositivos FortiGate pueden ser configurados para bloquear aquellas páginas web que contengan palabras o frases clave incluidas en la lista de Banned Words. un mensaje de alerta que sustituye a la web original generado por FortiGate es mostrado en el navegador del usuario. Las palabras clave pueden ser añadidas una por una. Traditional Chinese. 54 08/09. Utilizando esta característica es posible denegar el acceso a partes de un sitio web sin denegar el acceso completo al sitio en cuestión. con objeto de prevenir el bloqueo de páginas web legítimas no intencionado. las URLs pueden ser añadidas a una lista de excepción que sobrescribe la URL bloqueada y listas de bloqueo de contenido.2 Filtrado de Java / Scripts / Cookies El filtrado de contenido web también incluye características de filtrado de scripts y códigos maliciosos que puede ser configurado para bloquear contenido web inseguro tal y como Java Applets.Seguridad Integral en Tiempo Real La lista puede incluir direcciones IP. o importadas utilizando un fichero de texto. Las palabras y expresiones pueden ser configuradas utilizando comodines o expresiones regulares perl.0 . 2.13. URLs completas o URLs definidas utilizando caracteres comodines o expresiones regulares. Cuando una página web es bloqueada.13. El bloqueo de URL puede ser configurado para bloquear todo o sólo algunas de las páginas de un sitio web. Simplified Chinese. Asimismo. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta 80 caracteres de longitud. Japanese. Asimismo. 2. Las palabras pueden estar en varios lenguajes utilizando los sistemas de caracteres Western. Cookies y ActiveX. la lista puede ser creada manualmente o importada desde listas de URLs elaboradas por terceros. Thaï o Korean.

El servicio Fortiguard Web Filtering tiene categorizados más de 45 millones de dominios en 77 categorías agrupadas dentro de 8 clases.Seguridad Integral en Tiempo Real 2. Si la URL clasificada no está en la caché del equipo FortiGate. Cuando la respuesta de categorización es recibida por el dispositivo FortiGate (4ª). El dispositivo FortiGate soporta políticas a nivel de usuarios/grupos y mantiene información del usuario/grupo para cada petición realizada. mediante la configuración en las políticas de acceso a Internet. Funcionamiento del Servicio Fortiguard Web Filtering Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las páginas web y utilizan el servicio FortiGuard Web Filtering para determinar la categoría a la que pertenece dicho sitio web y si se debe permitir o no la visualización de la página. La respuesta desde el sitio web (4b) es encolada por el dispositivo FortiGate si fuera necesario hasta que la categorización sea recibida. la página es solicitada (3ª) y la respuesta es recuperada (4ª). el resultado es comparado con la política solicitante (2).3 Servicio Fortiguard Web Filtering Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una clasificación actualizada de forma continua que engloba más de dos mil millones de URL´s distribuidas en un abanico de 77 categorías. los equipos FortiGate son capaces de permitir o denegar el acceso a los diferentes sitios web en función de la categoría a la que pertenezcan.13. Si el sitio está permitido. Si el rating de la URL está ya cacheada en el dispositivo FortiGate. Dado 55 08/09. es inmediatamente comparada con la política para ese usuario. la web solicitada devuelve la página. Cuando utilizamos un navegador para solicitar una URL. FortiOS 4. El equipo FortiGate intercepta una solicitud web desde su red local 2. Así. así como mediante la información enviada por los propios equipos FortiGate cuando intentan el acceso a una página no categorizada. la página es solicitada al servidor web (3ª) y simultáneamente una solicitud de categorización se envía al servidor FortiGuard Rating Server (3b).0 . 4. Mientras tanto. La base de datos utilizada por el servicio FortiGuard Web Filtering es continuamente actualizada mediante el descubrimiento y categorización de nuevos dominios. 3. el dispositivo FortiGate envía esa solicitud a la red FortiProtect Network y comienza el siguiente proceso: 1. El servicio está basado en la petición de la clasificación de las diferentes direcciones a la infraestructura de Fortinet.

FortiOS 4. el modelo de licenciamiento del servicio. En otro caso.999% de disponibilidad anual) a la disposición del usuario. la respuesta del sitio web (4b) es pasada al solicitante (5). liberando al usuario de las tediosas tareas de administración y actualización de bases de datos y servidores. Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering. así como de otras características como son: • Alta Eficiencia y Fiabilidad. actualizado y mantenido 24 horas al día. De este modo se provee un rendimiento equivalente a soluciones que requieren una base de datos localmente albergada.Seguridad Integral en Tiempo Real que la solicitud de categorización es similar a una petición DNS. • • 56 08/09. 365 días al año por los centros de soporte y desarrollo de Fortinet. La siguiente ilustración muestra el mecanismo utilizado: Beneficios del Servicio FortiGuard Web Filtering Los usuarios del servicio FortiGuard Web Filtering se benefician de una solución de filtrado de contenido web actualizada permanentemente.0 . que provee una suscripción anual para un precio fijo por modelo de FortiGate libera de la necesidad de licencias por número de usuarios. Si la política es permitir la página. un mensaje definible de “Bloqueado” es enviado al solicitante e incluso el evento es recogido en el log de filtrado de contenidos. ya que el servicio FortiGuard Web Filtering es un servicio gestionado. la respuesta siempre va a ser obtenida de forma previa a la recepción completa de la página. permitiendo a los proveedores de servicios de seguridad gestionada y grandes empresas implementar el servicio con unas condiciones altamente asequibles y coste predecible. las organizaciones eliminan la necesidad adicional de hardware para soluciones de filtrado de contenidos web. con el modelo de entrega “In-the-Cloud” según el cual la base de datos de FortiGuard es mantenida por Fortinet en localizaciones estratégicas geográficas implementadas alrededor del mundo. Gestión Simplificada. con la fiabilidad de la red FortiProtect (con un 99. Adicionalmente. 5.

4 Filtrado de Contenido en Cachés Los equipos FortiGate no sólo se limitan a inspeccionar las URL’s o los contenidos de las páginas a las que se acceden. sino que además nos permite visualizar esa URL guardada en una caché propia del buscador. 57 08/09. cuando utilizamos algún buscador para intentar acceder a la información. Del mismo modo. FortiOS 4. Habitualmente. el buscador no sólo nos muestra un link que nos redirige a la URL en cuestión.0 . evitando de este modo el acceso a contenidos no permitidos por este medio. no permitiendo que el contenido en caché de las páginas de búsqueda sea mostrado a los usuarios en caso de proceder de un dominio cuyo contenido no está permitido. Los equipos FortiGate son capaces de analizar la dirección de esa información en caché en el motor de búsqueda y la existencia de contenidos no permitidos en la misma. sino que además permiten prevenir el acceso a contenidos no permitidos haciendo uso de la capacidad de algunos motores de búsqueda de almacenar parte de estas páginas en caché.13.Seguridad Integral en Tiempo Real 2. pueden habilitarse filtros sobre búsquedas de imágenes y contenidos multimedia que actúan del mismo modo.

Seguridad Integral en Tiempo Real 2. La funcionalidad “Web Filtering” en la definición de perfil de protección permite habilitar comprobaciones contra listas blancas o negras de URLs definidas por el usuario. monitorizadas y/o permitidas. En este caso los servicios configurados por el usuario se activan de forma independiente del servicio FortiGuard Web Filtering.0 .5 Activación del Servicio mediante Perfiles de Protección Al igual que el resto de funcionalidades. La funcionalidad “Web category filtering” en la definición de cada perfil de protección permite habilitar el servicio FortiGuard y definir las categorías que son bloqueadas. FortiOS 4. habilitar filtrado de contenido y consultas contra la lista de palabras clave definidas por el usuario y bloquear scripts.13. 58 08/09. la activación de la funcionalidad de Filtrado de Contenidos Web se realiza en cada perfil de protección.

59 08/09. haciendo posible discriminar el acceso a las diferentes categorías según el grupo al que pertenezca cada usuario. FortiOS 4.Seguridad Integral en Tiempo Real La aplicación de los diferentes perfiles de protección puede aplicarse con autenticación de usuarios.0 .

13.6 Mensajes de sustitución Cuando una página web es bloqueada.0 .Seguridad Integral en Tiempo Real 2. 60 08/09. es reemplazada mediante un mensaje personalizable. FortiOS 4.

Así mismo. DNSBL & ORDBL check (Listas Blancas/Negras IP. En resumen.14 AntiSpam La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no solicitados detectando los mensajes de spam e identificando esas transmisiones. Según los últimos estudios. El spam roba tiempo a los empleados. más del 60% del tráfico de correo electrónico que circula en Internet es spam. Descartar (Discard): En este caso el mensaje es desechado. La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación de diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos SMTP. DNSB y ORDB predefinidas. optimizando el tiempo de respuesta del análisis de los mensajes. • Los filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el control por el contenido del mismo.0 . Los filtros antispam se configuran de un modo global. FortiOS 4. identificándolo como Spam y pudiendo incluir en la cabecera del mismo o en el encabezamiento MIME un mensaje identificativo.Seguridad Integral en Tiempo Real 2. afectando por lo tanto de forma negativa a la productividad. POP3 e IMAP). al igual que el resto de funcionalidades del equipo. si bien son aplicados en base a perfiles de protección. Las listas son configurables por el administrador de la plataforma FortiGate 61 08/09. haciendo crecer implícitamente el tamaño de los servidores necesarios para albergarlos. Control por Origen • IP address BWL. en el caso de SMTP es posible sustituirlo con un mensaje predefinido que advierta al usuario del envío de Spam. o bien si preferimos descartar el mensaje (solo sobre SMTP). quienes se ven forzados a malgastar su tiempo en limpiar sus buzones de entrada. HELO DNS lookup: Se chequea el origen del mensaje contra listas de direcciones IP. Listas DNS Blackhole y Listas Open Relay Database). y aumenta cada día que pasa. y en el perfil de protección podremos decidir si se deja pasar. los mensajes de spam hacen crecer los tamaños necesarios de los buzones de correo de los usuarios. Aquellos filtros que requieren la conexión con servidores externos (FortiGuard Antispam o los servicios de Listas Negras en tiempo real) se ejecutan de forma simultánea con los otros filtros. identificadas como listas blancas (marcaríamos el mensaje como clear) o listas negras. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la acción definida para cada filtro que podrá ser: • Marcar el mensaje como Spam (Tagged): El mensaje quedará identificado como Spam. se produce un consumo de recursos innecesario.

FortiOS 4. Muchas de estas listas son gratuitas para uso personal.Seguridad Integral en Tiempo Real • E-mail address BWL check: Se comprueba si el remitente está incluido en la lista Blanca/Negra de direcciones de correo electrónico identificadas como spam. 62 08/09. etc Control de Contenido • Comprobación de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet Mail Extensions) son añadidas al email para describir el tipo de contenido. por lo que pueden utilizarse como filtros spam y de virus. open relays.0 . proxies SMTP abiertos. Las bases de datos de estas blacklists contienen una lista de direcciones IP en tiempo real de spammers conocidos. Así mismo. como puede ser el tipo de texto en el cuerpo del email o el programa que generó el email. Los spammers frecuentemente insertan comentarios en los valores de las cabeceras o las dejan en blanco. usuarios dial-up. Existen un amplio número de listas negras o blacklists dinámicas disponibles en Internet hoy en día. los equipos FortiGate pueden utilizar las cabeceras MIME para marcar aquellos mensajes detectados como spam. ISPs spam-friendly.

etc. que están continuamente actualizadas gracias a la detección de nuevos mensajes de spam a lo largo de todo el mundo. Mediante la utilización de honeypots en los que se detectan nuevos mensajes de spam. Por ejemplo. la siguiente expresión capturaría la palabra “viagra” deletreada de varias maneras: /[v|\/].?[a@àâäå0].?[a@àâäå0]/i 2.0 .Seguridad Integral en Tiempo Real • Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo de emails que contienen palabras específicas o patrones reconocidos. administrado y actualizado por Fortinet y soportado por la red FortiProtect Network que dispone de listas propias de direcciones IP.?[gq]. el servicio FortiGuard Antispam es capaz de actualizar las listas negras de forma casi inmediata ante la aparición de nuevos mensajes de spam a lo largo de todo el mundo.1 Servicio Fortiguard AntiSpam Fortiguard AntiSpam es un servicio gestionado.?[iíl. Las palabras pueden ser definidas mediante comodines (wildcards) o expresiones regulares.1'!\|]. direcciones e-mail. FortiOS 4. 63 08/09.?r. url's. y la realimentación por parte de los equipso FortiGate y los clientes FortiClient existentes en todo el mundo.14.

Activación del Servicio mediante Perfiles de Protección Al igual que el resto de funcionalidades. aplicado posteriormente en las diferentes políticas definidas en el cortafuegos. 64 08/09. o reglas totalmente personalizables. Es posible llevar a cabo esta protección en diferentes protocolos de transferencia de datos utilizados usualmente.0 . FortiOS 4. el motor AntiSpam es mejorado para que pueda actualizarse a través del servicio Fortiguard AntiSpam. la activación de la funcionalidad AntiSpam de los equipos FortiGate se realiza en cada perfil de protección. la característica de Prevención de Fuga de Información o DLP (Data Leak Prevention) ofrece la posibilidad de evitar que la información categorizada como sensible o confidencial salga fuera de la organización a través de la plataforma. como smtp.Seguridad Integral en Tiempo Real En las versiones más recientes. un buen ejemplo es una de ellas que inspecciona en busca de números de tarjetas de crédito. de esta forma no será necesario esperar a una actualización completa de firmware del equipo Fortigate para actualizar dicho motor. ftp o http. con reglas o grupos de reglas predefinidas. 2.15 Data Leak Prevention Cambiando el enfoque tradicional de las plataformas de seguridad perimetrales cuyo objetivo histórico ha sido evitar que el malware y los intrusos accedan a la red interna o protegida.

0 . FortiOS 4. 65 08/09.Seguridad Integral en Tiempo Real Así mismo las acciones posibles pasan por hacer únicamente log de la fuga de datos hasta bloquear dichas fugas.

https. FortiOS 4.0 . Fortinet cuenta además con una plataforma de gestión global centralizada para múltiples equipos denominada FortiManager™. Además existe la posibilidad de definir diferentes perfiles de administración con objeto de limitar las tareas y posibilidades de cada usuario con acceso al equipo. 66 08/09. telnet o SSH. creando grupos de equipos y plantillas de configuración y permitiendo monitorizar el estado de estos dispositivos. siendo estos accesos configurables por interfaz.1 Tipos de gestión Cada equipo FortiGate puede ser gestionado localmente mediante acceso http. El sistema FortiManager™ es una plataforma integrada para la gestión centralizada de equipos FortiGate a través del cual pueden configurarse múltiples dispositivos FortiGate de forma simultánea.Seguridad Integral en Tiempo Real 3 Gestión de los Equipos FortiGate 3.

pudiendo de esta manera centralizar la gestión de las descargas de seguridad de los equipos. aportando soluciones de gestión centralizada a todos los entornos de seguridad posibles. el mantenimiento y actualización de los distintos dispositivos FortiGate y su monitorización en tiempo real. pero que forma parte de la red del usuario.Seguridad Integral en Tiempo Real 3. FortiOS 4. 67 08/09.2 Gestión Centralizada con FortiManager FortiManager es la plataforma de gestión centralizada de Fortinet. la plataforma FortiManager se puede utilizar como servidor de actualización de firmas de los equipos FortiGate. presentando una única interfaz de gestión para todos los elementos de seguridad.0 . como si fueran un nodo más de la red FDN. FortiManager permite la centralización de las acciones que se han de llevar a cabo en los equipos FortiGate permitiendo un rápido despliegue de los proyectos de seguridad. Además. Así mismo. con FortiManager se puede gestionar la suite de PC FortiClient y el gestor de logging y reporting FortiAnalyzer. El lineal de FortiManager se compone de 3 equipos.

en aquellas unidades que disponen de él) o bien en un servidor externo como pueden ser un syslog o la plataforma FortiAnalyzer. Estos registros pueden ser almacenados localmente (en memoria o en disco. permitiéndonos configurar con un elevado nivel de detalle y de forma independiente cada uno de los registros que se requieren.0 . FortiOS 4.3 Registro de Logs La capacidad de registro de eventos.Seguridad Integral en Tiempo Real 3. 68 08/09. tráfico y aplicaciones puede ser habilitada tanto a nivel global como en cada una de las políticas definidas a nivel de firewall y en cada “protection profile”.

0 . ataques. Entre los posibles informes cabe destacar: • Informes de ataques: ataques registrados por cada equipo FortiGate. • FortiAnalyzer incluye un registro histórico y en tiempo real del tráfico de cada uno de los equipos FortiGate gestionados. • Informe de utilización de ancho de banda: informes de uso del ancho de banda por usuario. usuarios ftp /telnet top. sitios bloqueados. día. virus detectados por protocolo • Informe de Eventos: eventos propios de la máquina. FortiAnalyzer posee la capacidad de generar más de 350 informes diferentes que nos aportan información detallada sobre los eventos registrados a nivel de Firewall.4 Registro centralizado y gestión de informes con FortiAnalyzer FortiAnalyzer es una plataforma dedicada al registro centralizado de logs y la gestión y tratamiento de los mismos. • Informe de utilización del tráfico web: usuarios web top. de administración de la misma. señalando el momento en el que son registrados. FortiOS 4. FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos 69 08/09. e identificados a las fuentes más comunes de ataque • Informes de virus: top virus detectados.Seguridad Integral en Tiempo Real 3. utilización web. hora y protocolo • Informes por protocolo: Protocolos más utilizados. ficheros adjuntos bloqueados identificados como sospechosos. análisis forense. VPN. etc. etc. así como una herramienta de búsqueda en los logs. virus. usuarios de mayor frecuencia de intento de acceso a sitios bloqueados. etc. • Informe de utilización del correo electrónico: usuarios más activos en envío y recepción.

70 08/09. De esta forma se centralizan las alertas de seguridad en un único dispositivo evitando la dispersión y las dificultades de gestión asociadas a esta. Para facilitar al máximo las tareas de búsqueda de logs. existen módulos de análisis forense y de correlación de eventos que permiten encontrar la información necesaria sin la pérdida de tiempo típicamente asociada a la búsqueda en ficheros de log independientes y descentralizados.0 .Seguridad Integral en Tiempo Real Aparte de la capacidad de generación de informes y de la gestión de los logs de las distintas plataformas FortiGate. FortiOS 4. FortiAnalyzer puede actuar como gestor de alertas bajo determinadas condiciones configurables por el administrador de seguridad. Como elementos de análisis de la red FortiAnalyzer cuenta con un monitor de tráfico en tiempo real y un escáner de vulnerabilidades que permiten conocer en todo momento el estado de la seguridad en el entorno aportando la capacidad de actuar sobre los puntos débiles o las vulnerabilidades detectadas.

Sign up to vote on this title
UsefulNot useful