Manual Fortinet

FORTINET Seguridad Integral en
Tiempo Real
High Performance Multi-Threat Security Solutions
Seguridad Integral en Tiempo Real
INDICE
1 Introduccin ......................................................................................................................................... 4
1.1 1.2 1.3 1.4
1.4.1 1.4.2
FORTINET ..................................................................................................................................................4 Introduccin a la Seguridad en las Comunicaciones ..................................................................................5 Sistemas de Proteccin ..............................................................................................................................7 Por qu Fortinet? ....................................................................................................................................10
Equipamiento de Alto Redimiento .............................................................................................................................10 Servicios Fortinet .......................................................................................................................................................12
1.5
Reconocimiento de la industria. ................................................................................................................13
Caractersticas tcnicas de los equipos ............................................................................................ 14

2.1 2.2 2.3 2.4
2.4.1 2.4.2 2.4.3
La Arquitectura FortiGate..........................................................................................................................14 Modalidad Router o Transparente ............................................................................................................17 Dominios Virtuales ....................................................................................................................................18 Routing .....................................................................................................................................................18
Enrutamiento Esttico Redundante ...........................................................................................................................18 Policy Routing ............................................................................................................................................................19 Enrutamiento Dinmico .............................................................................................................................................20
2.5 2.6 2.7 2.8

2.8.1 2.8.2 2.8.3 2.8.4 2.8.5
Alta Disponibilidad ....................................................................................................................................21 Optimizacin WAN....................................................................................................................................23 Autenticacin de Usuarios ........................................................................................................................26 Firewall .....................................................................................................................................................27
Definicin de Polticas ...............................................................................................................................................28 Inspeccin SSL ..........................................................................................................................................................29 Balanceo de carga multiplexacin http y aceleracin SSL ........................................................................................29 Calidad de Servicio (QoS) .........................................................................................................................................31 Soporte VoIP..............................................................................................................................................................33
2.9
2.9.1
VPN ..........................................................................................................................................................34
Tipos de VPN soportados ..........................................................................................................................................34
2.10
Antivirus ....................................................................................................................................................37
08/09, FortiOS 4.0
2.10.1 2.10.2 2.10.3 2.10.4 2.10.5
Escaneo de Firmas (Signature Scaning) ...................................................................................................................38 Escaneo Heurstico....................................................................................................................................................39 Actualizaciones de la Base de Datos de Firmas y Motor de Escaneo ......................................................................39 Activacin del Servicio mediante Perfiles de Proteccin ...........................................................................................40 Mensajes de Reemplazo en Ficheros Infectados......................................................................................................41
2.11
2.11.1 2.11.2 2.11.3 2.11.4
Deteccin y Prevencin de Intrusin (IDS/IPS).........................................................................................42

Mtodos de Deteccin ...............................................................................................................................................44 Prevencin de Intrusiones en Tiempo Real...............................................................................................................47 Activacin del Servicio mediante Perfiles de Proteccin ...........................................................................................47 Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo ...................................................48
2.12 2.13
Control de Aplicaciones ............................................................................................................................51 Filtrado de Trfico Web (URL Web Filtering) ............................................................................................53
URL Filtering mediante uso de listas locales .............................................................................................................................53 2.13.1 2.13.2 2.13.3 2.13.4 2.13.5 2.13.6 Filtrado de Contenido mediante listas locales ...........................................................................................................54 Filtrado de Java / Scripts / Cookies ...........................................................................................................................54 Servicio Fortiguard Web Filtering ..............................................................................................................................55 Filtrado de Contenido en Cachs ..............................................................................................................................57 Activacin del Servicio mediante Perfiles de Proteccin ...........................................................................................58 Mensajes de sustitucin.............................................................................................................................................60
2.14
2.14.1
AntiSpam ..................................................................................................................................................61
Servicio Fortiguard AntiSpam ....................................................................................................................................63
2.15
Data Leak Prevention ...............................................................................................................................64
Gestin de los Equipos FortiGate...................................................................................................... 66

3.1 Tipos de gestin........................................................................................................................................66
................................................................................................................................................................................66 3.2 3.3 3.4 Gestin Centralizada con FortiManager ...................................................................................................67 Registro de Logs.......................................................................................................................................68 Registro centralizado y gestin de informes con FortiAnalyzer.................................................................69
08/09, FortiOS 4.0
1 Introduccin
1.1 FORTINET
Fortinet fue fundada en el ao 2000 por Ken Xie, visionario y previo fundador y CEO de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilizacin de un Circuito Integrado de Aplicacin Especfica (ASIC) para acelerar el proceso Firewall. De este modo lanz al mercado un lineal de equipos de alto rendimiento que mediante aceleracin hardware permita realizar un control sobre el trfico de las redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado. Ken Xie, con objeto de seguir avanzando en su visin propia de la seguridad en las comunicaciones, abandon NetScreen y fund Fortinet. Su proyecto consista en dar un enorme paso ms en la seguridad en tiempo real, integrando antivirus, filtrado de contenido, tecnologa IDP (Intrusion Detection and Prevention) y Antispam en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando esta Proteccin Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo real. La compaa est formada en la actualidad por ms de 1100 empleados, y tiene su sede central en Sunny Valley, California. Sus centros de soporte tcnico, desarrollo y delegaciones comerciales estn distribuidos por todo el mundo, estando presentes en Australia, Norte Amrica (US, Canad), Sudamrica, Europa (Austria, Francia, Alemania, UK, Suecia, Italia, Blgica, Holanda, Repblica Checa, Polonia, Suiza y Espaa), Asia (India, Filipinas, China, Japn, Corea, Singapur, Taiwn e Indonesia) y Oriente Medio (UAE/Dubai). El centro de soporte y formacin europeo est situado en el Centro Tecnolgico Sophia-Antipolis, cercano a Niza (Francia). El equipo de direccin de Fortinet (http://www.fortinet.com/aboutus/management.html) est formado por un grupo altamente experimentado en el mundo de la seguridad, con un gran nmero de premios y distinciones que as lo reconocen. El primer equipo FortiGate fue lanzado al mercado en el ao 2002 y hoy en da Fortinet cuenta con una base instalada de ms de 450.000 equipos en todo el mundo. Algunas de las caractersticas ms destacables de Fortinet son las siguientes: Presencia mundial de sus centros de operacin, ventas y soporte Sede central en Sunnyvale, California Ms de 75.000 clientes en todo el mundo con ms de 450.000 equipos instalados Ms de 40 oficinas en Amrica, Asia y EMEA, con sede central europea en SophiaAntipolis (Francia) Pioneros en la utilizacin de Circuitos Integrados de Aplicacin Especfica para acelerar los procesos de seguridad hasta el nivel de aplicacin nico modo de ofrecer Proteccin Completa en Tiempo Real Lderes en el mercado UTM (Unified Threat Management) segn IDC desde el 2003 hasta el 2009
08/09, FortiOS 4.0
Tecnologas certificadas ICSA (6 certificaciones), NSS (UTM), ISO 9001:2000, Common Criteria EAL4+ y FIPS-2. Robusto apoyo financiero
Fortinet es la compaa de seguridad de ms rpido crecimiento en la historia. Desde su entrada en el mercado, anualmente ha duplicado su penetracin en el mismo as como sus beneficios, con una inversin en I+D+I constante.
1.2
Introduccin a la Seguridad en las Comunicaciones
Tanto las amenazas a las que han estado sometidos los sistemas de informacin, as como los diferentes enfoques desde los que se han planteado las soluciones a estas amenazas han ido evolucionando con el paso del tiempo. Primeras amenazas de seguridad: ataques basados en la conexin Inicialmente, con la aparicin de los primeros ordenadores, la seguridad estaba orientada a proteger el acceso fsico a los equipos, y por tanto a la informacin contenida en ellos. No se contemplaba como una amenaza el acceso lgico a la misma, debido al escaso y controlado acceso a las redes de comunicaciones que interconectaban estas mquinas. A medida que las redes de comunicaciones y el acceso compartido a los recursos se han extendido, los intentos de acceso a informacin privada han evolucionado hacia los distintos niveles de protocolo. Las redes se han popularizado, tanto dentro de las organizaciones como entre las mismas, permitiendo a los potenciales atacantes entrar en las redes desde el exterior y, utilizando ataques basados en la conexin, alcanzar y poner en compromiso datos y programas internos, o bien simplemente dejar sin servicio redes enteras. Los mtodos utilizados son diversos, como IP spoofing, arp spoofing, denegacin de servicio (DOS y DDOS) y un sin fin de ataques basados en el nivel de red. Nuevas amenazas: ataques basados en el contenido El mundo de la seguridad asiste desde hace ya algunos aos a lo que podemos considerar como una evolucin en la cantidad y severidad de ataques que van ms all de los ataques de conexin: los ataques basados en contenido. Hoy en da las principales amenazas provienen de este tipo de ataques que no requieren conexiones sostenidas para lograr sus objetivos, y que afectan a todo tipo de compaa por igual, sin importar su tamao o sus infraestructuras. Los ataques de contenido se basan en el uso de software malicioso, o agentes, que actan de forma autnoma una vez introducidos en
08/09, FortiOS 4.0
ordenadores remotos. Cuando un virus, gusano o cualquier ataque de este tipo ha conseguido introducirse en un ordenador que forma parte de una red de datos, ste puede actuar por s mismo y propagarse sin necesitar ningn tipo de conexin con el atacante original. El formato puede ser de virus, gusano, active web content, troyano, etc. El principal desafi ante amenazas basadas en contenido es que en la mayora de los casos utilizan conexiones que son inherentemente confiables (correos electrnicos, conexiones web, etc.). Todo apunta a que la tendencia creciente de este tipo de ataques continuar en la medida en que las organizaciones precisan de comunicaciones en tiempo real, as como de aplicaciones internas basadas en aplicaciones web, mensajera instantnea, etc, como mecanismos competitivos en el mbito empresarial. Ataques combinados Las amenazas actuales ms sofisticadas utilizan combinaciones de ataques de red junto con ataques de contenido para explotar las vulnerabilidades de sistemas operativos y aplicaciones de amplia difusin, comprometiendo las redes en las que residen y sus recursos, con resultados en ocasiones devastadores. Los ataques combinados utilizan las caractersticas de virus, gusanos, troyanos y cdigo maligno contra las vulnerabilidades de servidores e Internet; este tipo de ataques se transmiten y extienden a travs de redes con una velocidad sin precedentes e implican grandes dificultades para una rpida recuperacin. Histricamente, los costosos ataques de Nimda y Red Code fueron de los primeros ataques combinados en tener xito, a partir de los cuales este tipo de ataques han sido ampliamente repetidos. Mientras que las defensas contra amenazas de conexin han dependido tradicionalmente de sistemas desplegados en la red, tales como firewalls o IDS, las primeras respuestas a ataques de contenido se basaron en software de aplicacin instalado en ordenadores, tales como antivirus personales y software de deteccin de intrusiones basados en host. Esto implicaba despliegues muy complicados, compuestos por un gran nmero de dispositivos, con una gestin diferente para cada uno y que planteaban serios problemas de diseo a la hora de su implementacin. El coste de los ataques Los ataques basados en contenido no van dirigidos contra un sector o tipo de compaa en concreto, sino que el tamao de las compaas o el valor de sus datos es indiferente para estos ataques cuya dispersin se realiza de forma masiva: toda compaa es vulnerable a este tipo de ataques, ya sea en forma de virus, gusano, spyware, ataques de Denegacin de Servicio, Spam, etc. Uso inapropiado de recursos Adems de la seguridad, existe otro tipo de situaciones que deben ser contempladas en el entorno profesional: Las organizaciones sufren perdidas importantes derivadas de la utilizacin inadecuada de sus recursos de red. El Spam constituye hoy en da uno de los principales problemas asociados al mal uso de los recursos de la red. El trfico actual de correo electrnico est inundado por mensajes de Spam, llegando a superar en porcentaje al trfico de correo legtimo, saturando las lneas de comunicaciones y los servidores de correo.
08/09, FortiOS 4.0
Tambin el uso inadecuado de los recursos por parte de los propios empleados es un asunto que requiere ser combatido. Actividades no productivas, tales como juegos del Internet, Programas de Mensajera Instantnea, chats, intercambio de msica y navegacin y descarga de contenido inadecuado mediante aplicaciones Peer to Peer, produce el consumo ingente de valiosos recursos de red y de productividad de los empleados. Cada vez ms, las organizaciones pblicas y privadas estn luchando para controlar el acceso al contenido inapropiado sin restringir, por otro lado, el acceso a material y servicios legtimos. El trfico no esencial o no crtico puede interferir con la capacidad de desplegar nuevos servicios que mejoren las comunicaciones: muchas compaas realizan mejoras costosas de la red para desplegar servicios de red muy sensibles al ancho de banda disponible, por ejemplo audio, vdeo, y voz. En muchos casos estos servicios se podran desplegar sin mejoras costosas controlando los recursos utilizados por aplicaciones de consumo intensivo de ancho de banda, como son el correo electrnico, la navegacin web y la transferencia de ficheros.
1.3
Sistemas de Proteccin
Enfoque convencional A lo largo del tiempo las soluciones de seguridad han respondido a las diferentes amenazas desarrollando soluciones parciales que satisfacan lo que en cada momento era requerido. Cortafuegos, VPN e IDSs fueron diseados para ocuparse de ataques basados en la conexin. Estos sistemas trabajan generalmente examinando las cabeceras de los paquetes esto es, direcciones y protocolos - pero no analizan el contenido de nivel de aplicacin de los paquetes. Aunque son efectivos proporcionando proteccin a nivel de red, firewalls, VPNs e IDSs no cubren las necesidades de proteccin actuales en los mbitos telemticos. Un primer enfoque de la seguridad se basaba en la inspeccin de las cabeceras de los paquetes, identificando su origen, destino y servicio al que correspondan. Esta tcnica, denominada Statefull Inspection Packet constituye la base de los Cortafuegos. Pero los equipos basados en esta tecnologa examinan solamente las cabeceras de cada paquete, sin inspeccionar el contenido del mismo. Por este motivo, existen ataques basados en anomalas desarrolladas sobre los diferentes protocolos que no pueden ser detectados por este tipo de sistemas. Un segundo enfoque histrico se corresponde con la tcnica Deep Packet Inspection, a travs de la cual se analiza tanto la cabecera como el contenido de cada paquete. Esta es la base esencial de los Sistemas de Deteccin de Intrusin o IDS, si bien estos sistemas introducan cierto retardo y fueron privados de la capacidad de tomar decisiones, limitndose a analizar el trfico de nuestra red con objeto de poder estudiar a posteriori los ataques recibidos. Adems, este tipo de sistemas presentan la desventaja de que no recomponen el mensaje completo, sino que solamente analizan el contenido de cada paquete de forma independiente, por lo que los ataques distribuidos o bien los ataques a nivel de aplicacin no son detectados; no pueden comprobar el contenido de los mensajes formados por varios paquetes y procesarlo para identificar virus, gusanos u otras amenazas, y por lo tanto son totalmente ineficaces contra ataques basados en el contenido. Consecuentemente, virus, gusanos y troyanos transmitidos por correo electrnico y trfico http pasan fcilmente a travs de
08/09, FortiOS 4.0
cortafuegos y VPN, pasando a menudo desapercibidos por los sistemas de deteccin de intrusiones. La defensa contra ataques combinados est ms all de la capacidad de las soluciones convencionales de seguridad de red. Adems, los mecanismos estudiados hasta ahora no pueden proteger a nuestros sistemas contra el uso indebido de los recursos de la red, ya sea protegindonos de los mensajes de Spam o bien controlando el uso de los recursos por aplicaciones de mensajera instantnea, aplicaciones Peer to Peer, utilizacin improductiva del acceso a Internet, etc. Como resultado de las limitaciones de estos dispositivos, las organizaciones se vean forzadas a implantar una amplia coleccin de soluciones parciales adicionales: Antivirus de pasarela Filtrado URL Filtrado Antispam Adems, el rendimiento de estas soluciones parciales no est dirigido al anlisis en tiempo real del trfico de una organizacin, de modo que permiten escanear el trfico de correo electrnico en bsqueda de virus (el cual admite cierto retardo), pero no el trfico Web en bsqueda de estas amenazas. Dado que ms del 20% de los ataques de hoy en da provienen de trfico Web (HTTP), esto representa un vaco significativo en la seguridad de las empresas. Como resultado obtenemos por lo tanto que para obtener una proteccin casi completa debemos recurrir a la utilizacin de un sistema heterogneo compuesto por un alto nmero de plataformas diferentes, cada una de ellas enfocada a una parte concreta del problema global, y constituyendo una plataforma de seguridad perimetral terriblemente costosa y con una enorme complejidad de gestin, administracin y mantenimiento. El enfoque de Fortinet Fortinet entiende que la seguridad debe ser contemplada de un modo global, protegiendo los sistemas de informacin de los ataques de cualquier tipo, as como del uso indebido o el desaprovechamiento de los recursos. De esta manera, el enfoque de la seguridad de los sistemas de informacin de Fortinet se basa en la Proteccin Completa de Contenidos, o CCP (Complete Content Protection) que permite el anlisis del contenido completo de cada transmisin, realizando el correspondiente reensamblado de todos los paquetes pertenecientes a una misma transmisin y escaneando el contenido a nivel de aplicacin, lo que permite proteger los sistemas de la totalidad de las amenazas existentes.
08/09, FortiOS 4.0
Los requisitos de rendimiento de las tecnologas basadas en Proteccin Completa de Contenidos son dos rdenes de magnitud mayores que los de los sistemas tradicionales. Para poder satisfacer estos requerimientos y ofrecer la seguridad requerida sin introducir ningn retardo en las comunicaciones, Fortinet cuenta con el Circuito Integrado de Aplicacin Especfica FortiASIC que permite acelerar los procesos de anlisis a nivel de red y de aplicacin, siendo el nico equipamiento que goza de dicha funcionalidad y permitiendo disponer de una infraestructura de Proteccin Completa en tiempo real.
Los equipos FortiGate acelerados por FortiASIC son la nueva generacin de la seguridad multinivel de red en tiempo real. Los equipos son capaces de detectar y eliminar los ataques basados en contenido que se transmiten a travs del trfico web, correo electrnico o transmisiones de ficheros, como virus, gusanos, intrusiones, contenido web no apropiado, etc. en tiempo real y sin degradar el rendimiento de los sistemas de informacin.
08/09, FortiOS 4.0
1.4
Por qu Fortinet?
1.4.1 Equipamiento de Alto Redimiento

Los equipos de seguridad Fortinet constituyen una nueva generacin de equipos de seguridad de muy alto rendimiento que garantizan la proteccin completa de nuestros sistemas en tiempo real. Las plataformas de seguridad FortiGate, lderes del mercado UTM, proveen una solucin integrada de seguridad compuesta por las funcionalidades mas necesarias para tener una proteccin completa de nuestras comunicaciones como son: Firewall, VPN (IPSEC y SSL), Antivirus, Sistemas de Deteccin/Prevencin de Intrusiones, Filtrado Web, Antispam, AntiSpyware, Control de Aplicaciones, Inspeccin de Contenido en SSL etc. Adems, todas las funcionalidades de seguridad se integran de forma conjunta con funcionalidades aadidas como Traffic Shaping, Alta Disponibilidad, balanceo de carga, Aceleracin Wan, Enrutamiento dinmico RIP (v1 y v2), OSPF y BGP, etc. El gran abanico de equipos FortiGate existente permite disear soluciones adaptadas a las diferentes necesidades de cada entorno, disponiendo en todos ellos de las mismas funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS, que es similar en todos los equipos FortiGate, independientemente de la gama a la que pertenezcan.
10
08/09, FortiOS 4.0
Los equipos FortiGate pueden considerarse como equipos todo en uno, configurados para proporcionar todo el conjunto de funcionalidades de seguridad disponibles en el mercado de una forma sencilla, pero tambin pueden ser considerados como un appliance de seguridad especializado en una o varias de las funcionalidades de las que dispone, obteniendo un equipo de alto rendimiento y prestaciones sin competencia. La familia de equipos Fortinet se extiende con equipos que complementan las funcionalidades de los equipos FortiGate: La plataforma FortiManager, que permite la gestin, administracin, configuracin y actualizacin de firmas desde un nico punto centralizado de miles de equipos FortiGate que estn distribuidos en nuestro entorno de comunicaciones. Los equipos FortiAnalyzer, que nos proveen de una potente herramienta de gestin y anlisis de logs, generacin peridica y automatizada de informes configurables por el administrador, as como herramientas complementarias de anlisis forense, anlisis de vulnerabilidades, scanning de red y correlacin de eventos. El lineal FortiMail, que proporciona una plataforma de seguridad de correo con equipos que pueden actuar como servidor de correo puro, como MTA (Relay de correo) o en modo transparente (Proxy SMTP transparente). Proporcionando las tcnicas necesarias para garantizar la completa seguridad del correo electrnico. El software FortiClient, como completo agente de seguridad para el puesto de usuario, dotado de las funcionalidades de Firewall, Antivirus, AntiSpam, Web Filter, siendo cliente VPN IPSec para el establecimiento de tneles con los equipos FortiGate, y siendo posible su administracin centralizada desde una plataforma FortiManager.
11
08/09, FortiOS 4.0
1.4.2 Servicios Fortinet

Fortinet ofrece de forma conjunta con su equipamiento servicios profesionales que garantizan el soporte, la actualizacin y el correcto mantenimiento de los niveles de servicio demandados. Gracias a los equipos tcnicos distribuidos a lo largo de todo el mundo, Fortinet es capaz de ofrecer soporte internacional con cobertura 24x7x365, actualizando en tiempo real las bases de datos de firmas de antivirus e IDS/IPS y los motores de estas aplicaciones, as como actualizando de forma continuada las bases de datos en las que se apoyan los servicios Fortiguard Web Filtering y Fortiguard AntiSpam. El Servicio FortiProtect Distribution Network (FDN) se encarga de la distribucin de estas actualizaciones a lo largo de todo el mundo, existiendo el compromiso con aquellos clientes que contratan el servicio FortiProtect Premier Services de disponer de la firma correspondiente a cualquier nuevo ataque en menos de 3 horas. Por otra parte, los equipos de soporte y desarrollo velan de forma continuada para dar respuesta a los servicios FortiCare de mantenimiento hardware, actualizaciones y desarrollo de nuevas versiones de firmware, y soporte va telefnica o e-mail. Los centros de soporte y desarrollo estn distribuidos por todo el mundo, si bien todos cuentan con un servicio 24x7, garantizndose de este modo que el soporte siempre se ofrece a nuestros clientes desde el punto ms cercano regionalmente. Adems, Fortinet cuenta con Ingenieros de Sistemas en cada una de sus ms de 40 oficinas repartidas a lo largo de todo el mundo, lo que le permite ser capaz de prestar asistencia tcnica in situ en los pases ms importantes, apoyndose en sus partners certificados para cubrir el resto del mundo.
Mapa de localizacin de la red Fortiprotect Distribution Network (FDN)
12
08/09, FortiOS 4.0
1.5
Reconocimiento de la industria.
Gracias al constante foco en seguridad, la continua inversin en investigacin y la calidad de los productos, la tecnologa Fortinet es reconocida por los ms altos estndares del mundo de la seguridad y ha sido capaz de conseguir las ms prestigiosas certificaciones independientes del mercado en cada una de las funcionalidades de seguridad que implementa. Entre las certificaciones conseguidas destacan: NSS: Certificacin UTM ICSA: 6 certificaciones ICSA. Para cada funcionalidad y en varios productos Common Criteria EAL-4+: Certificacin como equipo de comunicaciones seguras Virus Bulletin: Certificacin para FortiClient como Antivirus de puesto de trabajo AV comparatives: Calificando el motor de antivirus en la categora Advanced
Destacan tambin la obtencin de varios premios en revistas especializadas de la industria que reconocen la calidad de los productos Fortinet en cada una de sus mltiples funcionalidades de forma independiente.
13
08/09, FortiOS 4.0
2 Caractersticas tcnicas de los equipos

2.1 La Arquitectura FortiGate
La tecnologa Fortinet es una poderosa combinacin de software y hardware basada en el uso de Circuitos Integrados de Aplicacin Especfica, conocidos por sus siglas en ingls como ASIC, a travs de la cual es capaz de ofrecer el procesamiento y anlisis del contenido del trfico de la red sin que ello suponga ningn impacto en el rendimiento de las comunicaciones. La tecnologa incluye el Procesador FortiASIC y el Sistema Operativo FortiOS los cuales forman el ncleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos. El procesador FortiASIC, diseado por Fortinet, posee un motor propietario de anlisis de contenido que acelera los intensivos procesos de anlisis requeridos por la seguridad a nivel de aplicacin (Antivirus, filtrado de contenidos y procesos relacionados), estos procesos tendran un rendimiento mucho ms bajo si fueran llevados a cabo por procesadores de propsito general. FortiASIC tambin contiene un motor de aceleracin para la cifrado que permite realizar filtrado Antivirus en tiempo real del trfico de los tneles VPN. El Sistema Operativo FortiOS es un sistema robusto y eficiente, diseado y dedicado a los procesos propios de una plataforma de seguridad.
FortiASIC La exclusiva arquitectura basada en ASIC empleada por los equipos Fortinet permite el anlisis del contenido del trfico en tiempo real, satisfaciendo todas las necesidades de proteccin a nivel de aplicacin sin impactar en el rendimiento de la red. El procesador FortiASIC posee mltiples caractersticas que hacen posible su alto rendimiento: Contiene un motor hardware que acelera el anlisis de las cabeceras de cada paquete y del contenido ensamblado de los paquetes de una conexin , acelerando de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser capaz de identificar a velocidad de lnea el flujo al que pertenece cada paquete. Posee un potente motor de comparacin de firmas que permite comparar el contenido del trfico de una sesin contra miles de patrones de firmas de virus, ataques de intrusin, u otros patrones sin comprometer el rendimiento de la red. Este motor de anlisis reensambla los paquetes pertenecientes a un mismo mensaje en memoria, carga las firmas necesarias y realiza una bsqueda por comparacin de patrones, todos estos procesos se realizan a nivel de hardware con la ganancia en velocidad que eso supone.
14
08/09, FortiOS 4.0
El chip FortiASIC incluye tambin un motor de aceleracin de cifrado que permite realizar cifrado y descifrado de alto rendimiento para el establecimiento de las Redes Privadas Virtuales o VPN.
Aceleracin hardware para puertos de red: NP2

El trabajo que realiza un firewall "statefull inspection" para procesar el trfico de la red est basado en la inspeccin completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la sustitucin de IP's cuando se habilita NAT, el seguimiento del trfico a travs de las tablas de estado y las decisiones de enrutamiento para que el trfico llegue a su destino, permitiendo slo las conexiones legtimas a nivel de poltica as como todo el trfico que de estas se pueda derivar en protocolos que utilizan varias conexiones como es el caso de FTP o los protocolos de voz. Este trabajo debe ser realizado independientemente del payload del protocolo en cuestin y para cada uno de los paquetes que compongan una sesin a nivel de aplicacin. Cuando los protocolos en uso se basan en una gran cantidad de paquetes con un payload bajo, el trabajo que ha de llevarse acabo en el dispositivo de firewall es mucho mayor, ya que este depende exclusivamente de la cantidad y no del tamao de los paquetes y debido a que en un mismo volumen de datos se han de procesar un nmero mucho mayor de cabeceras y entradas de las tablas de estado as como de decisiones de enrutamiento. Esta circunstancia, provoca que los equipos que slo utilizan CPU's de propsito general para realizar las tareas necesarias puedan verse seriamente afectados ante estos tipos de trfico, llegando a decrementar su rendimiento de tal forma que se introducen retardos en la red e incluso es necesario descartar paquetes debido a la saturacin de la CPU del equipo. Esta saturacin provoca retardos inadmisibles en determinados protocolos y adems afecta al resto del trfico de la red haciendo que la calidad del servicio se vea afectada muy negativamente. Queda entonces patente que el troughput de un equipo est directamente relacionado con el tipo de trfico que se est generando en la red y no slo con su volumen, y que adems, los nmeros comnmente expuestos en las hojas de producto son imposibles de alcanzar en entornos de trfico caracterstico de aplicaciones multimedia y convergencia IP como pueden ser el streaming de video o los protocolos RTP para VoIP.
15
08/09, FortiOS 4.0
La solucin en este tipo de entornos, pasa por el uso de tecnologas de aceleracin hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestin de las cabeceras de forma rpida y sin influir en el trabajo de la CPU principal, liberando a esta de la carga del procesamiento de las cabeceras de los paquetes, el mantenimiento de las tablas de estado o las decisiones de enrutamiento. Para cumplir con este requerimiento, la familia de equipos FortiGate, incluye en su lineal dispositivos equipados con puertos acelerados (FortiAccel) FA2 o NP2 (Network Processor). Mediante el uso de circuitos integrados de aplicacin especfica (ASIC) que dan servicio exclusivo a este tipo de puertos, se acelera la inspeccin de paquetes a nivel del propio puerto, liberando a la CPU e imprimiendo velocidad de lnea a las transmisiones que los atraviesan, sea cual sea el tamao de paquete utilizado. De esta forma, se puede mantener un troughput continuo de forma optimizada en las comunicaciones, de manera que el nivel de servicio de los protocolos ms sensibles, y por extensin el resto de trfico de la red, no se vea afectado Fortinet es el nico fabricante del mercado que integra esta tecnologa diferencial en su lineal, haciendo que las redes puedan seguir funcionando con normalidad ante protocolos que hacen uso extensivo de paquetes pequeos, como los asociados a los protocolos de VoIP, las aplicaciones multimedia o el trfico de sincronizacin de los motores de base de datos. El core de esta tecnologa consiste en el uso de un ASIC, NP2 para dar servicio a varios puertos de red de un equipo, as ser el ASIC (NP2) y no la CPU principal o FortiASIC, propietario tambin de Fortinet, el que lleva a cabo el procesamiento de los paquetes que entran en cada puerto acelerado, haciendo que la transmisin de estos se realice de forma inmediata sin tener que esperar ciclos de liberacin de la CPU principal. Los equipos del lineal FortiGate equipados con puertos acelerados FA2 son: FortiGate1000AFA2, FortiGate5001FA2, FortiGate5005FA2 y FortiGate3810A. Los equipos del lineal FortiGate equipados con puertos acelerados NP2 son: FortiGate310B, FortiGate620B, FortiGate3016B y FortiGate5001A. Adems, existen varios mdulos de expansin con formato AMC que incluyen puertos acelerados, esos mdulos pueden contener 4 (ASM-FB4) u 8 (ASM-FB8) puertos GigabitEthernet con interfaz de cobre o 2 (ADM-XB2) puertos 10GigabitEthernet con interfaz SFP
16
08/09, FortiOS 4.0
FortiOS
El sistema operativo FortiOS fue diseado con objeto de soportar funcionalidades de conmutacin de alto rendimiento. El ncleo de FortiOS es un kernel dedicado, optimizado para procesamiento de paquetes y trabajo en tiempo real. Provee adems de un interfaz homogneo para cada una de las funcionalidades ofrecidas. Este sistema operativo funciona sobre diversos modelos de procesadores de propsito general, contando con biprocesadores en los equipos de gama alta. Esta flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate.
2.2
Modalidad Router o Transparente
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de funcionamiento: modo router/NAT o modo Transparente. Trabajando en modo router el equipo acta como un dispositivo de nivel 3, enrutando los paquetes entre los diferentes interfaces fsicos y/o lgicos del equipo, con la capacidad de realizar NAT. Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar los paquetes a travs el mismo en funcin de las polticas definidas. El equipo FortiGate no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestin del propio equipo y actualizacin de firmas). De este modo, el equipo puede ser introducido en cualquier punto de la red sin necesidad de realizar ninguna modificacin sobre ningn otro dispositivo. El equipo FortiGate soporta las mismas funcionalidades en ambos modos de funcionamiento (firewall, antivirus, IPS, web filtering, antispam), con la nica salvedad de que trabajando en modo transparente no se puede hacer NAT.
17
08/09, FortiOS 4.0
2.3
Dominios Virtuales
Los equipos FortiGate permiten la utilizacin de Dominios Virtuales, de modo que sobre una nica plataforma fsica podemos configurar hasta 500 Equipos virtuales, completamente independientes entre s y con todas las funcionalidades que posee cada plataforma fsica. Todos los equipos FortiGate disponen en su configuracin bsica de la capacidad de definicin de hasta 10 dominios virtuales, siendo posible ampliar el nmero de stos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales. Cada uno de estos dominios virtuales representan de forma lgica una mquina independiente del resto, asignndoles interfaces lgicos (VLANs) o fsicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y polticas sobre cada mquina, etc.
2.4
Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinmico, soportando RIP (v1 y v2), OSPF y BGP, as como con enrutamiento multicast (PIM sparse/dense mode), adems de trabajar con enrutamiento esttico y ofrecer la posibilidad de realizar policy routing.
2.4.1 Enrutamiento Esttico Redundante

Para cada ruta esttica definida en el equipo es posible aadir diferentes gateways. De este modo, cuando la puerta de enlace definida como primaria no est disponible, el equipo FortiGate encaminar los paquetes por el segundo gateway definido Para poder detectar la cada de cualquiera de los elementos que componen el camino de salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping Server que nos permite monitorizar el estado de dicho camino mediante el envo de paquetes ICMP contra cualquier nodo de ese camino.
18
08/09, FortiOS 4.0
Funcionalidad Ping Server
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino no est disponible y comienza a utilizar el siguiente gateway definido. De este modo podemos emplear la plataforma FortiGate para configurar mltiples conexiones a Internet, soportando redundancia entre ellas.
2.4.2 Policy Routing

Utilizando la funcionalidad de Policy Routing la plataforma FortiGate ampla el abanico de posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se realice nicamente en funcin de la red de destino, sino teniendo en cuenta tambin los siguientes parmetros: Interfaz Origen Protocolo, servicio o rango de puertos Interfaz y direccin destino
19
08/09, FortiOS 4.0
Configuracin Policy routing
De este modo se podra, por ejemplo, hacer que el trfico http (usando el puerto 80) fuese redirigido hacia un interfaz, mientras que el resto del trfico es dirigido hacia otro, logrando de este modo balancear la carga entre dos interfaces de conexin a Internet, sin perder la redundancia de los mismos.
2.4.3 Enrutamiento Dinmico

Los equipos FortiGate soportan enrutamiento dinmico mediante los protocolos RIP (v1 y v2), OSPF y BGP, as como enrutamiento Multicast, PIM en sus dos versiones Sparse Mode y Dense Mode, de modo que se permite la integracin de las plataformas en entornos de red avanzados.
20
08/09, FortiOS 4.0
2.5
Alta Disponibilidad
La capacidad de trabajar en cluster de alta disponibilidad (HA) dota a los equipos FortiGate de redundancia ante fallos. Adems el cluster puede configurarse en modo activo-activo haciendo balanceo de carga del trfico o en modo activo/pasivo en la que un nico equipo procesa el trfico de la red y es monitorizado por los dems para sustituirle en caso de cada. Los equipos FortiGate pueden ser configurados en cluster, proporcionando escenarios de alta disponibilidad mediante la utilizacin de varios equipos redundantes entre s, empleando un protocolo especfico para la sincronizacin del cluster. El cluster puede estar formado hasta por 32 equipos La funcionalidad de Alta Disponibilidad est soportada por todas las plataformas FortiGate a partir del equipo FortiGate50B inclusive Cada miembro del cluster debe ser del mismo modelo hardware as como tener instalada la misma versin del Sistema Operativo. La funcionalidad de Alta Disponibilidad est soportada tanto en modo router como en modo transparente.
HA Heartbeat
Los miembros del cluster se comunican entre ellos a travs de un protocolo propietario denominado HA heartbeat. Este protocolo se utiliza para: Sincronizar la configuracin entre los equipos. Sincronizar la tabla de sesiones activas tanto de firewall como de VPN. Informar a los otros miembros del cluster del estado del equipo y sus enlaces. Los interfaces empleados para el intercambio de informacin entre los equipos del cluster son definidos por el administrador del equipo, sin necesidad de que sean enlaces dedicados a esta funcin y permitiendo que dichos enlaces sean empleados para transmitir trfico de produccin. Es recomendable que los interfaces empleados para la transmisin de esta informacin sean configurados en modo redundante, es decir, que el administrador defina varios enlaces para realizar esta funcin, de modo que si alguno fallara la informacin pasara a transmitirse de forma automtica por otro enlace al que se le haya asignado esta tarea. Dado que los equipos que forman parte del cluster se intercambian informacin sobre las sesiones Firewall y VPN activas, la cada de un equipo o un enlace no afecta a estas sesiones, realizndose una proteccin ante fallos completamente transparente. El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con objeto de determinar cuando debe cambiarse el equipo que acta como activo en el cluster.
Modos Activo-Activo y Activo-Pasivo

Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados tanto en modo transparente como en modo router.
21
08/09, FortiOS 4.0
Configuracin de Alta Disponibilidad
Un cluster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el trfico y uno o ms equipos subordinados que estn conectados a la red y al equipo primario, pero no procesan trfico alguno. El modo activo-activo permite balancear la carga de trfico entre las diferentes unidades que componen el cluster. Cada FortiGate procesa activamente las conexiones existentes y monitoriza el estado de los otros nodos del cluster. El nodo primario procesa el trfico y redistribuye el trfico entre los diferentes equipos que forman parte del cluster.
Virtual Clustering
Cuando en equipos configurados en alta disponibilidad existen diferentes Dominios Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los equipos que forman el cluster, configurndolos en modo activo-pasivo pero estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o VDOMs. De este modo, el trfico de un grupo de dominios virtuales ser tramitado por uno de los nodos, mientras que el otro grupo de VDOMs enviar su trfico hacia el otro nodo, establecindose de este modo un balanceo de carga en funcin del dominio virtual.
22
08/09, FortiOS 4.0
CUSTOMER A VDOM
CUSTOMER B VDOM
CUSTOMER C VDOM
CUSTOMER D VDOM
CUSTOMER A VDOM
CUSTOMER B VDOM
CUSTOMER C VDOM
CUSTOMER D VDOM
2.6
Optimizacin WAN
La optimizacin o aceleracin WAN posibilita la mejora y el incremento de rendimiento y seguridad en comunicaciones a travs de redes de rea extensa, como puede ser el caso de Internet o MacroLans. Esta funcin est disponible por VDOM (firewall virtual) configurndose de manera independiente para cada uno de ellos, lo que dota de mucha flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios gestionados. Las plataformas que soportan esta funcionalidad son las siguientes: Fortigate 51B Fortigate 111C Fortigate 310B Fortigate 620B Fortigate 3016B Fortigate 3600A Fortigate 3810A Fortigate 5001A-SW
Los dos primeros modelos al incluir disco lo harn de forma directa. El resto requerirn de un mdulo ASM-S08 que se instala en la baha AMC single para ofrecer soporte a la funcionalidad completa (Cach). En caso de no disponer de disco duro el soporte de Optimizacin WAN ser parcial no pudindose habilitar web caching ni byte caching. La tecnologa de compresin utilizada es propiedad de Fortinet, con lo que no es compatible con aceleradores de terceros, aunque s lo es con el cliente Forticlient WAN Optimization. Las principales funcionalidades aportadas son la optimizacin de la comunicacin, reduccin del ancho de banda consumido, gracias a la optimizacin del protocolo de comunicacin utilizado, byte caching, web caching y la posible securizacin de la comunicacin cliente/servidor a travs de la red WAN gracias al establecimiento de un tnel seguro. Con esto se reducen latencias, se incrementa el rendimiento y se garantiza la privacidad en las transacciones.
23
08/09, FortiOS 4.0
Dicha tecnologa requerir el soporte en ambos extremos remotos de la tecnologa de optimizacin. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o Forticlient WAN Optimization.
Adems de ofrecer un alto grado de privacidad, gracias a la tunelizacin segura, esta tecnologa est incluida en un sistema de Firewall de reconocida reputacin, con lo que se dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos, pudiendo aplicar reglas de Firewall necesarias para cumplir la poltica corporativa.
Tcnicas empleadas
Web Caching Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos servidores y el ancho de banda utilizado, as como la percepcin de latencia por el usuario final. Dicha tcnica se basa en hacer caching de determinados objetos que intervienen usualmente en estas transacciones. Se guardan contenidos como determinadas pginas HTML, imgenes, respuestas de servlets y algunos objetos ms. Para guardar estos objetos (caching) se utilizar el disco duro o mdulo AMC del equipo Fortigate. Al hacer cach de este contenido hay menos peticiones que utilicen el enlace WAN, adems los servidores que sirven estas peticiones debern servir un nmero menor de transacciones gracias a la tcnica de caching de Fortigate y adicionalmente, la latencia percibida por los usuarios se ver drsticamente reducida, ya que parte del contenido se sirve localmente. Para hacer simplemente cach tradicional de trfico Web, no es necesario otro sistema Fortigate en el otro extremo. Optimizacin de Protocolos Esta tcnica mejora el uso del ancho de banda y la eficiencia de la comunicacin. Requiere el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleracin uno de los protocolos soportados como CIFS,FTP,HTTP o MAPI. Un ejemplo tpico y de extendido uso es el protocolo CIFS, que durante su establecimiento y mantenimiento de sesin utiliza gran nmero de comunicaciones por lo que la comparticin de archivos a travs de Internet
24
08/09, FortiOS 4.0
suele ser bastante lenta. Gracias a la funcionalidad Protocol Optimization provista, se reduce en gran medida el tiempo de espera de este tipo de transacciones. Byte caching Consiste en fragmentar paquetes de datos en unidades ms pequeas a las que se les aplica un hash nico. A posteriori, se envan esos elementos hash al extremo remoto y este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este modo la transferencia de un fichero se ve agilizada. Esta tcnica no es especfica de un protocolo, por ejemplo un fichero X enviado va email puede ser acelerado a posteriori en una descarga web si el fichero es el mismo X. Aceleracin SSL Gracias a los circuitos ASIC CP6 de ltima generacin se acelera el cifrado/descifrado de trafico SSL. Tneles seguros entre WAN Peers Empleando tneles SSL se puede garantizar la privacidad de las comunicaciones dentro del tnel WAN.
Estadsticas de Aceleracin WAN
25
08/09, FortiOS 4.0
2.7
Autenticacin de Usuarios
Las plataformas FortiGate soportan la autenticacin de usuarios en diferentes funcionalidades, como son: Autenticacin a travs de polticas de Firewall o Identity based Policy: Cuando un determinado trfico es identificado por una poltica definida en el Firewall que tiene habilitada la opcin de autenticacin, el equipo decide si dicho trfico es permitido o no en funcin del usuario del que se trate, de esta forma la granularidad de las reglas puede llevarse a cabo en funcin del origen del trfico o en funcin del grupo de usuarios que generen el trfico. Esta autenticacin puede realizarse contra una base de datos local creada en el propio equipo, o bien contra servidores externos RADIUS, TACACS +, LDAP o Active Directory, pudiendo realizarse con este ltimo una autenticacin transparente de los usuarios que pertenezcan al Directorio Activo de Microsoft. Autenticacin de usuarios VPN: Cuando un usuario intenta acceder la red interna a travs del servicio de acceso remoto VPN provisto por los equipos FortiGate, ya sea IPSec o SSL la tecnologa empleada, el equipo solicita la autenticacin del usuario de forma previa a establecer la conexin. Esta autenticacin se puede realizar mediante una base de datos local, o bien mediante la utilizacin de servidores externos (RADIUS, LDAP, AD, etc.)
Fortinet dispone de un protocolo propietario denominado FSAE (Fortinet Server Authentication Extension) que interacta con el Servidor de Directorio Activo. El protocolo FSAE se basa en la utilizacin de un agente ligero software que se instala en el servidor AD y que desde ese momento establece un dilogo con el equipo FortiGate. As, cada vez que un usuario se valida en el servidor AD, el agente FSAE informa al equipo FortiGate de qu usuario se ha validado, a qu grupo pertenece y que direccin IP le ha sido asignada. A partir de ese momento, cada vez que el usuario realice alguna operacin que implique validacin por parte del Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la validacin se realiza de forma transparente gracias a la informacin que se han intercambiado el servidor AD y el equipo FortiGate.
26
08/09, FortiOS 4.0
2.8
Firewall
Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnologa Stateful Inspection Packet. Esto le permite hacer un anlisis exhaustivo de la cabecera de cada paquete, identificando la sesin a la que pertenece, chequeando el correcto orden de los paquetes y realizando control sobre el trfico de la red. Las polticas del firewall controlan todo el trfico que atraviesa el equipo FortiGate. Cada vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se trata de una nueva sesin o bien pertenece a una sesin ya establecida y llega en el orden correcto. Este anlisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicacin Especfica FortiASIC, lo que permite a las plataformas FortiGate alcanzar un rendimiento mayor y un nmero de nuevas sesiones por segundo superior al de cualquier solucin basada en la utilizacin de una CPU de propsito general. Las polticas de seguridad son definidas en el firewall en base a los interfaces origen y destino.
Este modo de definicin de las polticas permite optimizar el rendimiento y el procesamiento de cada uno de los flujos, ya que para cada uno de los paquetes es identificado su origen y su destino y enviado entonces al mdulo de routing. Esta organizacin permite que el paquete sea tan solo comparado contra las reglas definidas entre esos interfaces, comenzando por la superior de todas y descendiendo hasta encontrar aquella con que coincida en funcin de los diferentes parmetros configurables para cada poltica (par origen/destino, servicio, calendario, etc.). Si no se encontrara ninguna regla que coincidiera con el paquete analizado, ste sera descartado. Al tener que comparar contra un grupo menor que el total de las reglas definidas, el tiempo requerido disminuye, lo que agregado a la utilizacin de la tecnologa FortiASIC confiere a los equipos FortiGate un rendimiento inigualable como firewall, llegando hasta los 26 Gbps de los equipos FortiGate 3810A. En la ltima versin del sistema FortiOS 4.0, si se desea, es posible definir los interfaces de entrada y salida de trfico como Any para as poder inspeccionar un flujo de trfico concreto independientemente de cuales sean sus interfaces de entrada o salida.
27
08/09, FortiOS 4.0
2.8.1 Definicin de Polticas

Las polticas del firewall se definen en base a los siguientes criterios: Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces Fsicos del equipo como a interfaces lgicos definidos como VLAN Interface, siguiendo el estandar 802.1Q para marcado de tramas de cada VLAN, o pueden establecerse como Any para que se utilice cualquier interfaz de entrada o salida. Direcciones o grupos de direcciones IP origen y destino Protocolo, servicio o puertos TCP/UDP
La poltica define la accin a tomar con aquellos paquetes que cumplan los criterios definidos. Entre las acciones a realizar estn: Permitir la conexin Denegar la conexin Requerir autenticacin antes de permitir la conexin. La validacin de usuario puede realizarse contra usuarios registrados en local, o bien haciendo uso de servidores externos que pueden ser RADIUS, LDAP y/o Directorio Activo. Procesar el paquete como perteneciente a una conexin tunelizada mediante IPSec Realizar traduccin de direcciones Aplicar reglas de gestin de ancho de banda Analizar el trfico mediante funcionalidades adicionales de seguridad, como Antivirus, AntiSpam, Deteccin/Prevencin de Intrusiones, filtrado Web, etc. mediante la definicin de un perfil de proteccin
A cada poltica se le puede definir un horario, tanto nico como recursivo, que permite acotar la aplicacin de la regla a un espacio temporal determinado en funcin de la hora, el da de la semana, mes o ao. Cada poltica permite realizar traduccin de direcciones mediante NAT, permitiendo realizar una traduccin esttica de direcciones, o bien utilizar grupos de direcciones con objeto de realizar NAT dinmico, y as mismo definir traducciones de puertos (PAT). En cada poltica se puede habilitar el seguimiento de aquellas conexiones que atraviesan el firewall de acuerdo a la poltica definida, con objeto de poder hacer un registro de las conexiones establecidas a travs del equipo.
28
08/09, FortiOS 4.0
2.8.2 Inspeccin SSL

Dentro del perfil de proteccin se podr aplicar la configuracin necesaria para poder efectuar inspeccin dentro de protocolos seguros basados en SSL, como HTTPS, SMTPS, POP3S e IMAPS. De esta forma ser posible aplicar dentro de los tneles SSL que atraviesen la plataforma inspeccin de contenidos, as como inspeccin Antivirus, IPS o control de aplicaciones.
Configuracin de inspeccin SSL
2.8.3 Balanceo de carga multiplexacin http y aceleracin SSL

Los dispositivos FortiGate permiten la configuracin de IPs virtuales (VIPs) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribucin del balanceo de carga puede ser configurado a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o http de manera que ente el fallo de un servidor, el servicio contina activo en el resto de equipos, dotando a la plataforma de alta disponibilidad.
29
08/09, FortiOS 4.0
De la misma forma, es posible configurar la IP virtual para que haga multiplexacin del trfico HTTP, de manera que varias conexiones externas se traducen en una nica conexin entre el FortiGate y el servidor, haciendo que este consuma menos recursos al servir las peticiones entrante
Con la misma filosofa, los equipos FortiGate pueden realizar la labor de aceleradores SSL para conexiones HTTPS. La conexin HTTPS es terminada en el equipo FortiGate y este realiza la peticin sin cifrar (o cifrada) al servidor correspondiente. De esta manera se elimina la necesidad de cifrar la sesin en el propio servidor, con lo que los recursos de este son
30
08/09, FortiOS 4.0
optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y descifrado del tnel SSL en manos del FortiGate.
En la ltima versin FortiOS 4.0 es posible adems mantener la persistencia de una sesin si es necesario (tanto en HTTP como en HTTPS).
2.8.4 Calidad de Servicio (QoS)

Mediante la aplicacin de tcnicas de Calidad de Servicio la red provee un servicio prioritario sobre el trfico ms sensible al retardo. Los equipos FortiGate permiten aplicar tcnicas de priorizacin de trfico y Calidad de Servicio (QoS), reservar ancho de banda para aquellas aplicaciones que sean ms sensibles al retardo, o bien limitar el ancho de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red. La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el trfico generado por la transmisin de voz y las aplicaciones multimedia. Estos tipos de trfico son enormemente sensibles al retardo y a la variacin del mismo (jitter). Una adecuada gestin de la calidad de servicio nos permitir la utilizacin de estas aplicaciones sin recurrir a una ampliacin innecesaria del ancho de banda de la red, reservando el ancho de banda necesario y priorizando este tipo de trfico ante otros menos sensibles al retardo como pueda ser el correo o el trfico ftp. Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados, incluyendo H.323, SIP, TCP, UDP, ICMP o ESP. La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo: La gestin de ancho de banda se realiza mediante la utilizacin de buffers que permiten regular los diferentes flujos de trfico en base a la velocidad de transmisin de los
31
08/09, FortiOS 4.0
paquetes. Lo que se consigue de este modo es evitar que los paquetes sean descartados, haciendo que se almacenen en el buffer hasta su transmisin, retrasando su envo hasta que sea posible. Los equipos FortiGate usan la tcnica Token Bucket para garantizar y limitar el ancho de banda. La bufferizacin se realiza en funcin de la prioridad asignada a cada flujo, pudiendo variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el envo de todos los paquetes almacenados, se transmiten en primer lugar los de prioridad alta. La tecnologa DiffServ permite modificar los parmetros DSCP, siguiendo las normas RFC 2474 y 2475. As, aquellos componentes de la red compatibles con DiffServ, son capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los paquetes y clasificando, marcando, y gestionando el trfico en base a esta informacin.
Calidad de Servicio Basada en Polticas

Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una de las polticas definidas en el firewall a travs de perfiles previamente definidos. Una vez que el flujo de trfico ha sido identificado por alguna de las polticas existentes, los parmetros QoS definidos en dicha poltica se aplican sobre ese flujo particular de trfico.
Configuracin de parmetros QOS
Gestin del Ancho de Banda (Traffic Shaping) a nivel de polticas

Los parmetros de configuracin del ancho de banda nos permiten definir un ancho de banda mnimo o un lmite mximo para el trfico identificado con esa poltica. El ancho de banda definido no puede superar el ancho de banda total disponible, pero puede ser empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles al retardo.
32
08/09, FortiOS 4.0
Gestin del Ancho de Banda (Traffic Shaping) a nivel de Interfaces

Igual que a nivel de polticas, los dispositivos FortiGate permiten la gestin de ancho de banda a nivel de interfaz, permitiendo definir un ancho de banda mximo asociado a una interfaz especfica, de esta forma se consigue limitar el trfico entrante a una interfaz determinada pudiendo hacer control del acho de banda disponible por interfaz. Esta tcnica aplica tanto a interfaces fsicas como a interfaces lgicas, tipo VLAN o VPN.
Soporte DiffServ
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar los valores DSCP (Differentiated Services Code Point) para todos los paquetes a los que se aplica una poltica en particular. Cada poltica se puede configurar para aplicar esos valores en cada uno de los sentidos del flujo, siendo independientes ambos parmetros entre s.
2.8.5 Soporte VoIP

Los equipos FortiGate incorporan soporte para los protocolos mas demandados de VoIP (H323, SIP, SCCP, SIMPLE) aplicando sobre estos los mayores controles de seguridad y reporting a travs de los proteccin profiles. Entre las funcionalidades soportadas cabe destacar. Escaneo Antivirus para transferencias de ficheros realizadas sobre IM va protocolos SIP/SIMPLE Application layer gateway para SIP basado en SCTP y TCP Compresin/descompresin de cabeceras SIP Mantenimiento de la informacin IP original incluso cuando est presente NAT Conversin entre SIP basado en TCP y SIP basado en SCTP y viceversa Limitacin del nmero de mensajes SIP Log de comienzo y fin de llamadas
33
08/09, FortiOS 4.0
2.9
VPN
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, adems de PPTP y L2TP. De esta forma, oficinas pequeas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes pblicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. Al estar integrada la funcionalidad VPN en la propia plataforma FortiGate, el trfico VPN puede ser analizado por el mdulo de Firewall as como por las funcionalidades adicionales antivirus, IPS, web filtering, antispam, etc.
2.9.1 Tipos de VPN soportados

Internet Protocol Security (IPSec) Un marco de trabajo para el intercambio seguro de
paquetes a nivel de la capa IP, nivel 3. Las unidades FortiGate implementan el protocolo Encapsulated Security Payload (ESP) en modo tnel. Los paquetes cifrados aparecen como paquetes ordinarios que pueden ser enrutados a travs de cualquier red IP. Para el establecimiento de redes privadas virtuales basadas en IPSec, FortiGate cumple el estndar IPSec y soporta: Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256 NAT Transversal DPD (Dead Peer Deteccin, deteccin de cada del nodo remoto) Autenticacin basada en pre-shared key con usuarios definidos en una base de datos local o en un servidor externo (LDAP, RADIUS, Directorio Activo), certificados X.509, autenticacin extendida XAuth Interoperabilidad con otros fabricantes IPSec Compliant (Cisco, Checkpoint, etc.) Alta disponibilidad de enlaces VPN desde un nico equipo Posibilidad de definir hasta 3 puertas de enlace diferentes para cada tnel para resistencia ante fallos. Soporte de acceso redundante a Internet.
34
08/09, FortiOS 4.0
La utilizacin de IPSec para realizar VPN es utilizado en diversas tipologas de red. Los equipos FortiGate soportan las siguientes topologas de red:
Gateway-to-Gateway. Dos equipos FortiGate crean un tnel VPN entre dos redes
separadas. Todo el trfico entre las dos redes es cifrado y protegido por las polticas de firewall y perfiles de proteccin de FortiGate.
Fully Meshed Network. Todos los equipos que forman la red corporativa estn conectados
con el resto, configurando una malla. Esta topologa presenta la ventaja de su alta tolerancia a fallos (si un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad de escalado y gestin.
Partially Meshed Network. Se establecen tneles entre aquellos nodos que regularmente
mantienen comunicacin.
Hub and Spoke. Configuracin en la que existe un equipo central con el que los equipos remotos establecen los tneles VPN, sin existir comunicacin directa entre los equipos remotos.
35
08/09, FortiOS 4.0
Adems de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser configurados para actuar como servidores de acceso remoto (Dialup Server). Para el acceso remoto mediante IPSec, Fortinet provee un cliente IPSec Software para plataformas MS windows: FortiClient; adems de ser un cliente VPN IPSec, FortiClient incorpora un firewall personal con capacidad de deteccin de intrusin, y opcionalmente funcionalidades de filtro web, antivirus y antispam. Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta funcionalidad los equipos dotados de IP dinmica pueden ser asignados a un dominio. Cada vez que se
conecte a Internet, el ISP le asignar una IP diferente y los dems equipos de la VPN le localizarn mediante la resolucin de su nombre DNS. Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes PPTP Windows o Linux. PPTP utiliza protocolos de autenticacin PPP; de este modo clientes Windows o Linux PPTP pueden establecer un tnel PPTP contra un equipo FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP a un servidor PPTP en la red. Para la autenticacin de los clientes, FortiGate soporta PAP, CHAP y autenticacin de texto plano. Los clientes PPTP son autenticados como miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su integridad no est protegida. Adems, los paquetes encapsulados PPP no son criptogrficamente protegidos y pueden ser ledos o modificados.
VPN SSL
Las Soluciones VPN SSL aportan un sistema de acceso remoto seguro a nuestra red que, garantizando en todo momento la confidencialidad e integridad de la informacin, constituye un sistema con una implantacin, administracin y mantenimiento simplificado. Dado que las VPN SSL usan cifrado SSL, no es necesaria la instalacin de ningn software especfico en los ordenadores remotos, sino que resulta accesible desde cualquier navegador, lo que supone un gran avance frente a las tradicionales VPN basadas en IPSec, en lo que a sistemas de acceso de usuario se refiere. De este modo, se ofrece un mtodo de acceso a los sistemas de
36
08/09, FortiOS 4.0
informacin de cualquier organizacin que no requiere de la implantacin de ninguna aplicacin especfica en los ordenadores remotos con lo que se permite un acceso controlado a los recursos, con total garanta de seguridad. Todas las plataformas FortiGate incorporan la posibilidad de ser utilizadas como servidor de tneles SSL, con una configuracin sencilla que permite la autenticacin de usuarios mediante sistemas de autenticacin robusta y la personalizacin del servicio de acceso remoto. Adicionalmente se cuentan con caractersticas habituales en este tipo de solucin, como posibilidad de establecer conexiones mediante clientes pesados (descargando un ActiveX) o personalizar al completo el portal de acceso SSL que se le presenta a los usuarios.
2.10 Antivirus
FortiGate ofrece el sistema antivirus perimetral de mayor rendimiento gracias a su optimizada arquitectura y configuracin. Los componentes principales del sistema antivirus de FortiGate son: La arquitectura hardware basada en FortiASIC Su optimizado sistema operativo FortiOS La infraestructura FortiProtect, los laboratorios y centros de desarrollo distribuidos a lo largo de todo el mundo. Si el sistema FortiGate detecta la existencia de un archivo infectado en una transmisin, el archivo es eliminado o guardado en cuarentena, y es sustituido por un mensaje de alerta configurable por el administrador. Adems, el equipo FortiGate guarda un registro del ataque detectado, y puede configurarse el envo de un correo de alerta o un trap SNMP. Para una proteccin extra, el motor antivirus es capaz de bloquear ficheros de un tipo especfico (.bat, .exe, etc) que potencialmente sean contenedores de virus, o bien bloquear aquellos archivos adjuntos de correo electrnico que sean de un tamao superior al lmite de filtrado. El filtrado antivirus de FortiGate protege la navegacin web (protocolo http), la transferencia de archivos (protocolo ftp) y los contenidos transmitidos por correo electrnico (protocolos IMAP, POP3 y SMTP), siendo posible escanear estos protocolos en puertos diferentes a los habitualmente empleados, e incluso en mltiples puertos. Los equipos FortiGate analizan tambin las cabeceras MIME de los correos con objeto de encontrar posibles virus transmitidos como ficheros adjuntos con este formato. Adems, es capaz de deshacer hasta 12 niveles de anidamiento en ficheros comprimidos de forma recurrente. Al existir una integracin con la funcionalidad VPN en la plataforma FortiGate, es posible analizar la existencia de virus tambin este tipo de trfico. El servicio de proteccin antivirus provisto por FortiGate es totalmente transparente a los usuarios. El denominado FortiGate content screening permite que clientes y aplicaciones no
37
08/09, FortiOS 4.0
requieran ninguna modificacin en su configuracin especial sin necesidad de definir proxies en los clientes, etc. El hardware dedicado de alto rendimiento basado en FortiASIC asegura que la entrega de los contenidos se realice en tiempo real para los usuarios. El motor de antivirus realiza los siguientes servicios: Proteccin de virus, Servicio de bloqueo de ficheros y Servicio de cuarentena sobre correo electrnico. Para la deteccin de virus las plataformas FortiGate utilizan diferentes mecanismos. El motor de escaneo de virus de FortiGate est diseado para soportar una combinacin de estrategias para buscar virus en archivos, como son escaneo de firmas o patrones y el anlisis heurstico y de simulacin heurstica (dynamic heuristic scanning). El escaneo de firmas es el mtodo que mayor nmero de virus detecta, y que, gracias a la aceleracin mediante FortiASIC, realiza una utilizacin menos intensiva del equipo y obtiene mejor rendimiento. El mtodo de anlisis heurstico requiere progresivamente ms poder de procesador con la simulacin de ejecucin siendo cada vez ms demandada. Para reducir la demanda de procesos, el escaneo de virus siempre comienza con la estrategia de antivirus que menos recursos demanda antes de iniciar procesos de deteccin ms pesados. Tan pronto como un virus es detectado, el anlisis se detiene. Trabajando juntos, las estrategias de escaneo de virus proveen la mejor proteccin disponible.
2.10.1
Escaneo de Firmas (Signature Scaning)
El escaneo de firmas analiza las cadenas de bytes de los ficheros que son conocidas para identificar virus. Si toda la cadena de bytes se identifica con un virus en particular, el archivo se considera infectado. Los sistemas antivirus basados en anlisis de firmas constituyen el mtodo ms efectivo y ms utilizado en la deteccin de virus. El anlisis incluye tambin el escaneo de las macros existentes en los archivos Microsoft Office en busca de cadenas conocidas de virus macro. Los macros son tambin analizados en bsqueda de comportamientos anmalos tales como importar y exportar cdigo, escribir en el registro o intentos de deshabilitar caractersticas de seguridad Para realizar este anlisis de firmas existen dos elementos claves: Una base de datos que contiene las firmas de virus conocidos Un motor de escaneo que compara los archivos analizados con las firmas en la base de datos para detectar una concordancia indicando la presencia de un virus. El rendimiento es la clave para la detencin eficiente de virus que cada vez son ms y ms complejos. La aceleracin del reensamblado de los paquetes y la comparacin con las firmas mediante FortiASIC es un componente clave que permite a FortiGate la realizacin de este anlisis en tiempo real sin introducir ningn retardo sobre el normal funcionamiento de la red y las aplicaciones.
38
08/09, FortiOS 4.0
2.10.2
Escaneo Heurstico
Los creadores de virus llevan a cabo una serie de pasos para complicar ms la deteccin de los mismos. Ejemplos como el cifrado de la pila de cdigo del virus o los llamados virus polimrficos, los cuales se modifican ellos mismos sin levantar sospechas en cada replicacin, complican cada vez ms la deteccin de los virus y hace ineficaz en algunos casos la creacin de firmas de reconocimiento del virus. Con el fin de detectar estos virus, se realizan los denominados anlisis heursticos que buscan comportamientos anmalos conocidos, mediante la identificacin de secuencias de operaciones que constituyen comportamientos propios de estos tipos de virus. Mediante el anlisis heurstico de los contenidos, se llevan a cabo un nmero de cada una de las cuales dan como resultado una clasificacin apropiada. Las clasificaciones de estas pruebas son combinadas para una clasificacin total. Si esta clasificacin se sita sobre un cierto umbral, el mdulo heurstico devuelve un resultado de virus encontrados. Las reglas y clasificaciones (ratings) son actualizables y configurables.
2.10.3 Actualizaciones de la Base de Datos de Firmas y Motor de Escaneo

Las actualizaciones del antivirus contienen la base del conocimiento de virus y el motor de escaneo, los cuales son continuamente actualizados por Fortinet y distribuidos mediante la red FortiProtect tan pronto como nuevos virus y gusanos son encontrados y difundidos.
Actualizacin de las definiciones de virus y motor de escaneo
39
08/09, FortiOS 4.0
Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la red FortiProtect Distribution Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate. Todos los equipos FortiGate estn programados con una lista de servidores FDN ms cercanos de acuerdo a la zona horaria configurada en el equipo. As mismo, las plataformas de gestin FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona. Los dispositivos FortiGate soportan dos modos de actualizacin: Pull updates. Los equipos pueden comprobar automticamente si existen en la red FDN nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e instalarlas automticamente, as como los motores de antivirus actualizados. Estas comprobaciones pueden ser programadas para su realizacin en periodos horarios, diarios o semanales. Push updates. Cada vez que un nuevo motor de antivirus o definiciones son publicadas, los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate configurados para push updates de que una nueva actualizacin est disponible. En 60 segundos desde la recepcin de una notificacin push, el equipo FortiGate se descargar la actualizacin desde la FDN.
Actualizaciones Manuales
Aparte de los mtodos de actualizaciones expuestos anteriormente, los equipos FortiGate poseen la opcin de realizar actualizaciones manuales. El administrador del equipo FortiGate puede iniciar la actualizacin manual simplemente seleccionando la opcin Update now desde la consola de gestin del equipo FortiGate.
2.10.4
Activacin del Servicio mediante Perfiles de Proteccin
Los servicios de proteccin Antivirus son habilitados mediante los perfiles de proteccin aplicados posteriormente en las diferentes polticas del firewall. Dentro del perfil, por ejemplo, ser posible configurar opciones de cuarentena NAC integradas, de forma que se haga cuarentena durante un ataque de virus, al atacante o al objetivo, por un tiempo concreto o ilimitado.
40
08/09, FortiOS 4.0
Configuracin Servicio Antivirus en el Perfil de Proteccin
De este modo, los servicios habilitados pueden variar dependiendo de los flujos de trfico. Esta configuracin basada en polticas provee un control granular de los servicios de proteccin y de la utilizacin de los recursos de FortiGate.
2.10.5
Mensajes de Reemplazo en Ficheros Infectados
Los mensajes de reemplazo son incluidos por el filtro antivirus en los lugares ocupados por ficheros o contenidos eliminados de mensajes de correo, transmisiones http o ftp. Estos mensajes de reemplazo que reciben los usuarios en sustitucin de los ficheros o contenidos infectados son totalmente configurables por el administrador del sistema.
41
08/09, FortiOS 4.0
Configuracin de los Mensajes de Reemplazo
2.11 Deteccin y Prevencin de Intrusin (IDS/IPS)

El Sistema de Deteccin de Intrusin de FortiGate constituye un sensor de red en tiempo real que utiliza definiciones de firmas de ataques y deteccin de comportamientos anmalos para detectar y prevenir trfico sospechoso y ataques de red. El motor IDS provee seguridad hasta la capa de aplicacin, sin mermar por ello el rendimiento de la red. La capacidad de IDS de los equipos FortiGate se basa en el modulo de routing, el modulo de firewall y la capa de aplicacin. De esta forma el sistema de deteccin de intrusiones no se limita nicamente a la deteccin de ataques de nivel de red ni tampoco al anlisis individual de cada paquete. FortiGate reensambla el contenido de los paquetes en lnea y lo procesa para identificar ataques hasta el nivel de aplicacin.
42
08/09, FortiOS 4.0
Cada sensor (Red, IP, Transporte, Aplicacin) es un programa que genera un trfico nfimo. El sensor utiliza el hardware FortiASIC para acelerar la inspeccin del trfico y chequear patrones de trfico que concuerden con las firmas y anomalas especificadas. La arquitectura hardware asistida de deteccin de intrusin provee a los equipos FortiGate de rendimientos excepcionales nicos en el mercado. La funcionalidad IPS de FortiGate detecta y previene los siguientes tipos de ataques: Ataques de Denegacin de Servicio (DoS) Ataques de Reconocimiento Exploits Ataques de Evasin de Sondas IDS
Ataques de denegacin de servicio (DoS Attacks): intentan denegar el acceso a

servicios u ordenadores mediante la sobrecarga del enlace de red, de la CPU u ocupacin de discos duros. El atacante no intenta conseguir informacin, sino interferir los accesos a los recursos de red. El IPS FortiGate detecta los siguientes ataques de DoS comunes: Inundacin de paquetes, incluyendo Smurf flood, TCP SYN flood, UDP flood, y ICMP flood Paquetes formados incorrectamente, incluyendo Ping of Death, Chargen, Tear drop, land, y WinNuke
Ataques de Reconocimiento: son aquellos ataques a travs de los cuales el atacante intenta conseguir informacin sobre un determinado sistema con objeto de preparar un posterior ataque basado en vulnerabilidades especficas. FortiGate IPS detecta los siguientes ataques comunes de reconocimiento:
Fingerprinting Ping sweeps Port scans Buffer overflows, incluyendo SMTP, FTP y POP3
43
08/09, FortiOS 4.0
Account scans OS identification (Identificacin del Sistema Operativo)
Exploits: intentos de aprovecharse de vulnerabilidades o bugs conocidos de aplicaciones o sistemas operativos con el objeto de ganar acceso no autorizado a equipos o redes completas. El IPS de la plataforma FortiGate detecta los siguientes exploits:
Brute Force attack CGI Scripts, incluyendo Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, y FormMail Web Server attacks Web Browser attacks; URL, HTTP, HTML, JavaScript, Frames, Java, y ActiveX SMTP (SendMail) attack IMAP/POP attack Buffer overflow DNS attacks, incluyendo BIND y Cache IP spoofing Trojan Horse attacks, incluyendo BackOrifice 2K, IniKiller, Netbus, NetSpy, Priority, Ripper, Striker, y SubSeven
Ataques de Evasin de NIDS: consisten en tcnicas para evadir sistemas de deteccin de

intrusiones. El IPS de la plataforma FortiGate detecta las siguientes tcnicas de evasin de NIDS: Signature spoofing Signature encoding IP fragmentation TCP/UDP disassembly
2.11.1
Mtodos de Deteccin
Las estrategias mediante las que las que la plataforma FortiGate es capaz de realizar las tareas de deteccin y prevencin de intrusin son dos: deteccin de firmas y seguimiento de comportamientos anmalos.
Deteccin de Firmas
Las firmas de ataques se encuentran en el ncleo del modulo de deteccin de intrusiones FortiGate (ms de 3600 firmas soportadas). Las firmas son los patrones de trfico que indican que un sistema puede estar bajo un ataque. Funcionalmente, las firmas son similares a las definiciones de virus, con cada firma diseada para detectar un tipo de ataque particular. Tanto las firmas predefinidas como el motor IPS, son actualizables a travs de FortiProtect Distribution Network (FDN), de un modo similar al que se actualizan las definiciones de antivirus.
44
08/09, FortiOS 4.0
Firmas de Ataques detectados mediante IDS
Cada una de las firmas puede ser habilitada para su deteccin de modo independiente. Adems existe la posibilidad de definir firmas de ataques personalizadas que pueden ser aadidas para detectar ataques no incluidos en el fichero de definiciones de ataques.
45
08/09, FortiOS 4.0
Deteccin de Anomalas de Trfico

Los equipos FortiGate analizan las secuencias de paquetes y el establecimiento de sesiones de acuerdo a los patrones de trfico definidos en los diferentes protocolos estndar.
Anomalas de Trfico
FortiGate IPS identifica a su vez anomalas estadsticas de trfico TCP, UDP e ICMP, como son: Flooding Si el nmero de sesiones apunta a un solo destino en un segundo est sobre el umbral, el destino est experimentando flooding.
46
08/09, FortiOS 4.0
Scan Si el nmero de sesiones desde un origen nico en un segundo est sobre el umbral, el origen est siendo escaneado. Source Si el nmero de sesiones concurrentes desde un nico destino est sobre los umbrales, el lmite de sesiones por origen est siendo alcanzado. Destination session limit Si el nmero de sesiones concurrentes a un nico destino est sobre el umbral, el lmite de sesiones por destino est siendo alcanzado.
Los umbrales pueden ser configurados por el usuario para tener capacidad de contemplar situaciones excepcionales, como la existencia de un proxy en la red, etc.
2.11.2
Prevencin de Intrusiones en Tiempo Real
Cuando los ataques son detectados, el sistema toma acciones las acciones necesarias para prevenir daos. Cualquier ataque detectado puede ser bloqueado, ya sean ataques basados en firmas, ataques basados en anomalas, o ataques personalizados. Debido a que el mdulo IDS est completamente integrado con el motor de firewall, los equipos FortiGate proveen deteccin y prevencin de intrusiones en tiempo real. El mdulo IDS posee un enlace especfico en el modulo de firewall que permite que una vez el sensor identifica un ataque, el modulo firewall rpidamente toma accin para bloquear el trfico impidiendo que el ataque tenga xito. Los equipos FortiGate permiten definir diferentes acciones a realizar en funcin del ataque detectado: Pass: FortiGate permite que el paquete que activ (triggered) la firma pase a travs del firewall. Drop: El equipo FortiGate descarta el paquete que activ la firma. Reset: El equipo descarta el paquete que activ la firma, enva un reset al cliente y al servidor, y borra la sesin de la tabla de sesiones del equipo FortiGate.
2.11.3
La activacin de la funcionalidad de Deteccin y Prevencin de Intrusiones se realiza mediante la configuracin de sensores, tanto de firmas como de anomalas, asociados a los perfiles de proteccin que son aplicados posteriormente en las diferentes polticas del firewall. Cada una de las firmas de ataques tiene asociada una severidad, un objetivo (target) y un tipo de sistema operativo para el que es especfica. Adems, cada firma va asociada a un protocolo o aplicacin determinados. Para cada una de las firmas y anomalas existentes es posible establecer un nivel de severidad (crtico, alto, medio, bajo o informacin), que posteriormente pueden ser aplicados de forma independiente en el sensor. De este modo, las firmas y anomalas habilitadas en cada sensor pueden variar dependiendo de los flujos de trfico. Esta configuracin provee un control granular de los servicios de proteccin y de la utilizacin de los recursos de FortiGate.
47
08/09, FortiOS 4.0
Los sensores definidos, son posteriormente aplicados a las reglas de firewall a travs de los perfiles de proteccin, de manera que cada regla puede tener configurado un sensor especfico para aquellos protocolos o aplicaciones que son permitidas en su flujo de trfico Dentro de la configuracin del mismo sensor, es posible marcar opciones de cuarentena NAC integradas, de forma que se puede incluir en cuarentena durante un ataque, al atacante y al atacado por un tiempo concreto o ilimitado.
2.11.4 Actualizaciones de la Base de Datos de Firmas de Ataques y Motor de Escaneo

En las actualizaciones del servicio IPS/IDS se actualiza la base de datos de ataques y anomalas reconocidas y el motor de escaneo, los cuales son continuamente renovados por Fortinet y distribuidos mediante la red FortiProtect tan pronto como nuevas formas de ataque son encontradas y difundidas.
48
08/09, FortiOS 4.0
Actualizacin de las definiciones de ataques y motor de escaneo
Actualizaciones automticas
Los equipos FortiGate son dinmicamente actualizados gracias la red FortiProtect Distribution Network (FDN). Los servidores FDN se encuentran distribuidos a lo largo de todo el mundo con disponibilidad 24x7 para entregar nuevas firmas y motores para los dispositivos FortiGate. Todos los equipos FortiGate estn programados con una lista de servidores FDN ms cercanos de acuerdo a la zona horaria configurada en el equipo. As mismo, las plataformas de gestin FortiManager pueden actuar como un nodo de la red FDN para lo equipos que gestiona. Los dispositivos FortiGate soportan dos modos de actualizacin: Pull updates. Los equipos pueden comprobar automticamente si existen en la red FDN nuevas definiciones de virus disponibles y, si encuentran nuevas versiones, descargarlas e instalarlas automticamente, as como los motores de antivirus actualizados. Estas comprobaciones pueden ser programadas para su realizacin en periodos horarios, diarios o semanales. Push updates. Cada vez que un nuevo motor de antivirus o un nuevo fichero de definiciones es publicado, los servidores que forman parte de la red FDN notifican a todos los equipos FortiGate configurados para push updates que una nueva actualizacin est disponible. En 60 segundos desde la recepcin de una notificacin push, el equipo FortiGate se descargar la actualizacin desde la FDN.
49
08/09, FortiOS 4.0
Actualizaciones Manuales
A parte de los mtodos de actualizaciones expuestos anteriormente, los equipos FortiGate poseen la opcin de realizar actualizaciones manuales. El administrador del equipo FortiGate puede iniciar la actualizacin manual simplemente seleccionando la opcin de Update now desde la consola de gestin del equipo FortiGate.
Otras caractersticas
Es posible aplicar polticas DoS por sensor desplegado, de esta forma se tienen las siguientes funcionalidades: - Proteccin ms robusta contra ataques DoS. Al aplicar los sensores a nivel de interface antes de llegar al firewall, se puede detectar y bloquear el ataque antes de que haga match en el firewall. - Posibilidad de filtrar todo tipo de trfico antes de que llegue al firewall aunque este est configurado con una regla drop. Existe tambin la posibilidad de incluir en ciertos appliances mdulos de bypass que permitan que el trfico siga fluyendo aunque haya una cada completa del equipo o del proceso del IPS (en configuraciones donde haya un solo equipo):
Posibilidad de desplegar sensores en modo one-arm o como IDS tradicional habilitando un puerto de escucha o anlisis conectado a un puerto de mirror o SPAN en un switch. Soporte completo de creacin de polticas IPS para IPv6. Posibilidad de guardar a bajo nivel aquellos paquetes que hagan match en una firma, posibilitando su posterior descarga en formato pcap para abrirlos con Ethereal/Whiteshark desde FortiAnalyzer.
50
08/09, FortiOS 4.0
2.12 Control de Aplicaciones

En la actualidad hay infinidad de aplicaciones que fluyen por la red, siendo algunas de ellas productivas y otras no. Con el control de aplicaciones es posible verificar el trfico basndose en las propias aplicaciones que lo generan y no en el puerto utilizado. De esta forma es posible permitir el trfico en el puerto 80, pero controlar programas de mensajera instantnea o P2P que habitualmente hacen uso de este puerto como medida evasiva.
Las principales ventajas que aporta el control de aplicaciones son las siguientes: Ir ms all del control tradicional de nivel 3 de los firewalls convencionales, pudiendo as controlar aplicaciones evasivas o que cambien de puerto con frecuencia Uno de los vectores de infeccin de malware ms habitual es el intercambio de ficheros a travs de uno de los protocolos ms utilizados como es http, por ello surge la necesidad de poder controlar las distintas aplicaciones que hacen uso de este mecanismo comn Obtener una mayor visibilidad de la red, de forma que sea posible conocer en profundidad y con detalle el uso que se hace de este recurso por parte de los usuarios de una organizacin
Anteriormente, mediante el motor IPS de Fortigate, ya se contaba con ciertos controles para algunos protocolos, sobre todo P2P, VoIP e IM, con la inclusin del motor de Control de Aplicaciones se tiene un nmero mucho ms extenso de comprobaciones para ms aplicaciones con independencia del puerto.
51
08/09, FortiOS 4.0
La implementacin de este tipo de control se puede llevar a cabo en 4 simples pasos: 1 Definir la lista de Control de Aplicaciones 2 Aadir a criterio las distintas aplicaciones individuales o por grupos 3 Aplicar el conjunto definido a un perfil de proteccin 4- Aplicar dicho perfil a una regla de cortafuegos para que el control se lleve a cabo nicamente en los flujos de trfico necesarios A travs de FortiAnalyzer ser posible llevar a cabo el reporting necesario para mostrar las estadsticas relevantes del control de aplicaciones, como las principales aplicaciones reconocidas o permitidas.
En la actualidad se cuenta con ms de 1000 aplicaciones soportadas, adicionalmente y apoyndose en el motor IPS, se prev catalogar nuevas aplicaciones que se irn incluyendo. El listado de aplicaciones soportadas puede encontrarse en la siguiente URL: http://www.fortiguard.com/applicationcontrol/ListOfApplications.html Algunos de los ejemplos de grupos de aplicaciones ms comunes son: Mensajera Instantnea Peer-to-peer Voz IP Transferencia de ficheros Video y Audio Streaming Internet Proxy Juegos Toolbars de navegador Bases de datos
52
08/09, FortiOS 4.0
Web- mail Web Servicios de red Aplicaciones Corporativas Actualizaciones de sistema Backup
2.13 Filtrado de Trfico Web (URL Web Filtering)

La distribucin y visualizacin de contenido no autorizado supone un riesgo importante para cualquier organizacin. Para las empresas, la monitorizacin del uso que sus empleados hacen de los accesos a Internet y la prevencin de visualizacin de contenidos web inapropiados o no autorizados se ha convertido en algo necesario, justificado por los costes financieros y las implicaciones legales que conlleva la pasividad en este aspecto. El servicio FortiGate web filtering puede ser configurado para escanear toda la cadena del contenido del protocolo http permitindonos filtrar direcciones URL potencialmente no asociadas al desarrollo de la normal actividad laboral, contenidos embebidos en las propias pginas web o scripts basados en java, activeX o cookies, contenidos potencialmente peligrosos. La funcionalidad de filtrado web puede definirse mediante listas creadas por el propio usuario, o bien mediante la utilizacin del servicio FortiGuard Web Filtering.
URL Filtering mediante uso de listas locales

El filtrado de URL puede implementarse utilizando bases de datos locales con listas black/white list definidas por el usuario que contienen URLs cuyo acceso est permitido o denegado. El acceso a URLs especficas puede ser bloqueado aadindolas a la lista de bloqueo de URLs. El dispositivo FortiGate bloquea cualquier pgina web que coincida con la URLs especificada y muestra un mensaje de sustitucin de la misma al usuario.
53
08/09, FortiOS 4.0
La lista puede incluir direcciones IP, URLs completas o URLs definidas utilizando caracteres comodines o expresiones regulares. Asimismo, la lista puede ser creada manualmente o importada desde listas de URLs elaboradas por terceros. Asimismo, con objeto de prevenir el bloqueo de pginas web legtimas no intencionado, las URLs pueden ser aadidas a una lista de excepcin que sobrescribe la URL bloqueada y listas de bloqueo de contenido. El bloqueo de URL puede ser configurado para bloquear todo o slo algunas de las pginas de un sitio web. Utilizando esta caracterstica es posible denegar el acceso a partes de un sitio web sin denegar el acceso completo al sitio en cuestin.
2.13.1
Filtrado de Contenido mediante listas locales
Los dispositivos FortiGate pueden ser configurados para bloquear aquellas pginas web que contengan palabras o frases clave incluidas en la lista de Banned Words. Cuando una pgina web es bloqueada, un mensaje de alerta que sustituye a la web original generado por FortiGate es mostrado en el navegador del usuario. Las palabras clave pueden ser aadidas una por una, o importadas utilizando un fichero de texto. Estas palabras pueden ser palabras individuales o una cadena de texto de hasta 80 caracteres de longitud. Las palabras pueden estar en varios lenguajes utilizando los sistemas de caracteres Western, Simplified Chinese, Traditional Chinese, Japanese, Tha o Korean. Las palabras y expresiones pueden ser configuradas utilizando comodines o expresiones regulares perl.
2.13.2
Filtrado de Java / Scripts / Cookies
El filtrado de contenido web tambin incluye caractersticas de filtrado de scripts y cdigos maliciosos que puede ser configurado para bloquear contenido web inseguro tal y como Java Applets, Cookies y ActiveX.
54
08/09, FortiOS 4.0
2.13.3
Servicio Fortiguard Web Filtering
Fortiguard Web Filtering es un servicio de filtrado de contenidos web que posee una clasificacin actualizada de forma continua que engloba ms de dos mil millones de URLs distribuidas en un abanico de 77 categoras. El servicio est basado en la peticin de la clasificacin de las diferentes direcciones a la infraestructura de Fortinet. As, mediante la configuracin en las polticas de acceso a Internet, los equipos FortiGate son capaces de permitir o denegar el acceso a los diferentes sitios web en funcin de la categora a la que pertenezcan. El dispositivo FortiGate soporta polticas a nivel de usuarios/grupos y mantiene informacin del usuario/grupo para cada peticin realizada. El servicio Fortiguard Web Filtering tiene categorizados ms de 45 millones de dominios en 77 categoras agrupadas dentro de 8 clases. La base de datos utilizada por el servicio FortiGuard Web Filtering es continuamente actualizada mediante el descubrimiento y categorizacin de nuevos dominios, as como mediante la informacin enviada por los propios equipos FortiGate cuando intentan el acceso a una pgina no categorizada.
Funcionamiento del Servicio Fortiguard Web Filtering

Los dispositivos FortiGate interceptan las solicitudes que los usuarios hacen a las pginas web y utilizan el servicio FortiGuard Web Filtering para determinar la categora a la que pertenece dicho sitio web y si se debe permitir o no la visualizacin de la pgina. Cuando utilizamos un navegador para solicitar una URL, el dispositivo FortiGate enva esa solicitud a la red FortiProtect Network y comienza el siguiente proceso: 1. El equipo FortiGate intercepta una solicitud web desde su red local 2. Si el rating de la URL est ya cacheada en el dispositivo FortiGate, es inmediatamente comparada con la poltica para ese usuario. Si el sitio est permitido, la pgina es solicitada (3) y la respuesta es recuperada (4). 3. Si la URL clasificada no est en la cach del equipo FortiGate, la pgina es solicitada al servidor web (3) y simultneamente una solicitud de categorizacin se enva al servidor FortiGuard Rating Server (3b). 4. Cuando la respuesta de categorizacin es recibida por el dispositivo FortiGate (4), el resultado es comparado con la poltica solicitante (2). La respuesta desde el sitio web (4b) es encolada por el dispositivo FortiGate si fuera necesario hasta que la categorizacin sea recibida. Mientras tanto, la web solicitada devuelve la pgina. Dado
55
08/09, FortiOS 4.0
que la solicitud de categorizacin es similar a una peticin DNS, la respuesta siempre va a ser obtenida de forma previa a la recepcin completa de la pgina. 5. Si la poltica es permitir la pgina, la respuesta del sitio web (4b) es pasada al solicitante (5). En otro caso, un mensaje definible de Bloqueado es enviado al solicitante e incluso el evento es recogido en el log de filtrado de contenidos. La siguiente ilustracin muestra el mecanismo utilizado:
Beneficios del Servicio FortiGuard Web Filtering

Los usuarios del servicio FortiGuard Web Filtering se benefician de una solucin de filtrado de contenido web actualizada permanentemente, as como de otras caractersticas como son: Alta Eficiencia y Fiabilidad, con el modelo de entrega In-the-Cloud segn el cual la base de datos de FortiGuard es mantenida por Fortinet en localizaciones estratgicas geogrficas implementadas alrededor del mundo. De este modo se provee un rendimiento equivalente a soluciones que requieren una base de datos localmente albergada, con la fiabilidad de la red FortiProtect (con un 99,999% de disponibilidad anual) a la disposicin del usuario. Gestin Simplificada, ya que el servicio FortiGuard Web Filtering es un servicio gestionado, actualizado y mantenido 24 horas al da, 365 das al ao por los centros de soporte y desarrollo de Fortinet, liberando al usuario de las tediosas tareas de administracin y actualizacin de bases de datos y servidores. Ahorro de Costes: haciendo uso del servicio FortiGuard Web Filtering, las organizaciones eliminan la necesidad adicional de hardware para soluciones de filtrado de contenidos web. Adicionalmente, el modelo de licenciamiento del servicio, que provee una suscripcin anual para un precio fijo por modelo de FortiGate libera de la necesidad de licencias por nmero de usuarios, permitiendo a los proveedores de servicios de seguridad gestionada y grandes empresas implementar el servicio con unas condiciones altamente asequibles y coste predecible.
56
08/09, FortiOS 4.0
2.13.4
Filtrado de Contenido en Cachs
Los equipos FortiGate no slo se limitan a inspeccionar las URLs o los contenidos de las pginas a las que se acceden, sino que adems permiten prevenir el acceso a contenidos no permitidos haciendo uso de la capacidad de algunos motores de bsqueda de almacenar parte de estas pginas en cach. Habitualmente, cuando utilizamos algn buscador para intentar acceder a la informacin, el buscador no slo nos muestra un link que nos redirige a la URL en cuestin, sino que adems nos permite visualizar esa URL guardada en una cach propia del buscador. Los equipos FortiGate son capaces de analizar la direccin de esa informacin en cach en el motor de bsqueda y la existencia de contenidos no permitidos en la misma, evitando de este modo el acceso a contenidos no permitidos por este medio. Del mismo modo, pueden habilitarse filtros sobre bsquedas de imgenes y contenidos multimedia que actan del mismo modo, no permitiendo que el contenido en cach de las pginas de bsqueda sea mostrado a los usuarios en caso de proceder de un dominio cuyo contenido no est permitido.
57
08/09, FortiOS 4.0
2.13.5
Al igual que el resto de funcionalidades, la activacin de la funcionalidad de Filtrado de Contenidos Web se realiza en cada perfil de proteccin. En este caso los servicios configurados por el usuario se activan de forma independiente del servicio FortiGuard Web Filtering. La funcionalidad Web Filtering en la definicin de perfil de proteccin permite habilitar comprobaciones contra listas blancas o negras de URLs definidas por el usuario, habilitar filtrado de contenido y consultas contra la lista de palabras clave definidas por el usuario y bloquear scripts.
La funcionalidad Web category filtering en la definicin de cada perfil de proteccin permite habilitar el servicio FortiGuard y definir las categoras que son bloqueadas, monitorizadas y/o permitidas.
58
08/09, FortiOS 4.0
La aplicacin de los diferentes perfiles de proteccin puede aplicarse con autenticacin de usuarios, haciendo posible discriminar el acceso a las diferentes categoras segn el grupo al que pertenezca cada usuario.
59
08/09, FortiOS 4.0
2.13.6
Mensajes de sustitucin
Cuando una pgina web es bloqueada, es reemplazada mediante un mensaje personalizable.
60
08/09, FortiOS 4.0
2.14 AntiSpam
La funcionalidad AntiSpam de los equipos FortiGate permite gestionar los correos no solicitados detectando los mensajes de spam e identificando esas transmisiones. Los filtros antispam se configuran de un modo global, si bien son aplicados en base a perfiles de proteccin, al igual que el resto de funcionalidades del equipo. El spam roba tiempo a los empleados, quienes se ven forzados a malgastar su tiempo en limpiar sus buzones de entrada, afectando por lo tanto de forma negativa a la productividad. As mismo, los mensajes de spam hacen crecer los tamaos necesarios de los buzones de correo de los usuarios, haciendo crecer implcitamente el tamao de los servidores necesarios para albergarlos. En resumen, se produce un consumo de recursos innecesario. Segn los ltimos estudios, ms del 60% del trfico de correo electrnico que circula en Internet es spam, y aumenta cada da que pasa. La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicacin de diferentes filtros sobre el trfico de intercambio de correo electrnico (protocolos SMTP, POP3 e IMAP). Aquellos filtros que requieren la conexin con servidores externos (FortiGuard Antispam o los servicios de Listas Negras en tiempo real) se ejecutan de forma simultnea con los otros filtros, optimizando el tiempo de respuesta del anlisis de los mensajes. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la accin definida para cada filtro que podr ser: Marcar el mensaje como Spam (Tagged): El mensaje quedar identificado como Spam, y en el perfil de proteccin podremos decidir si se deja pasar, identificndolo como Spam y pudiendo incluir en la cabecera del mismo o en el encabezamiento MIME un mensaje identificativo, o bien si preferimos descartar el mensaje (solo sobre SMTP). Descartar (Discard): En este caso el mensaje es desechado, en el caso de SMTP es posible sustituirlo con un mensaje predefinido que advierta al usuario del envo de Spam.
Los filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el control por el contenido del mismo.
Control por Origen

IP address BWL, DNSBL & ORDBL check (Listas Blancas/Negras IP, Listas DNS Blackhole y Listas Open Relay Database), HELO DNS lookup: Se chequea el origen del mensaje contra listas de direcciones IP, DNSB y ORDB predefinidas, identificadas como listas blancas (marcaramos el mensaje como clear) o listas negras. Las listas son configurables por el administrador de la plataforma FortiGate
61
08/09, FortiOS 4.0
E-mail address BWL check: Se comprueba si el remitente est incluido en la lista Blanca/Negra de direcciones de correo electrnico identificadas como spam. Existen un amplio nmero de listas negras o blacklists dinmicas disponibles en Internet hoy en da. Muchas de estas listas son gratuitas para uso personal. Las bases de datos de estas blacklists contienen una lista de direcciones IP en tiempo real de spammers conocidos, ISPs spam-friendly, usuarios dial-up, open relays, proxies SMTP abiertos, etc
Control de Contenido
Comprobacin de las cabeceras MIME: Las cabeceras MIME (Multipurpose Internet Mail Extensions) son aadidas al email para describir el tipo de contenido, como puede ser el tipo de texto en el cuerpo del email o el programa que gener el email. Los spammers frecuentemente insertan comentarios en los valores de las cabeceras o las dejan en blanco, por lo que pueden utilizarse como filtros spam y de virus. As mismo, los equipos FortiGate pueden utilizar las cabeceras MIME para marcar aquellos mensajes detectados como spam.
62
08/09, FortiOS 4.0
Banned word check: El equipo FortiGate puede controlar el spam mediante el bloqueo de emails que contienen palabras especficas o patrones reconocidos. Las palabras pueden ser definidas mediante comodines (wildcards) o expresiones regulares. Por ejemplo, la siguiente expresin capturara la palabra viagra deletreada de varias maneras: /[v|\/].?[il;1'!\|].?[a@0].?[gq].?r.?[a@0]/i
2.14.1
Servicio Fortiguard AntiSpam
Fortiguard AntiSpam es un servicio gestionado, administrado y actualizado por Fortinet y soportado por la red FortiProtect Network que dispone de listas propias de direcciones IP, direcciones e-mail, url's, etc. que estn continuamente actualizadas gracias a la deteccin de nuevos mensajes de spam a lo largo de todo el mundo. Mediante la utilizacin de honeypots en los que se detectan nuevos mensajes de spam, y la realimentacin por parte de los equipso FortiGate y los clientes FortiClient existentes en todo el mundo, el servicio FortiGuard Antispam es capaz de actualizar las listas negras de forma casi inmediata ante la aparicin de nuevos mensajes de spam a lo largo de todo el mundo.
63
08/09, FortiOS 4.0
En las versiones ms recientes, el motor AntiSpam es mejorado para que pueda actualizarse a travs del servicio Fortiguard AntiSpam, de esta forma no ser necesario esperar a una actualizacin completa de firmware del equipo Fortigate para actualizar dicho motor. Activacin del Servicio mediante Perfiles de Proteccin Al igual que el resto de funcionalidades, la activacin de la funcionalidad AntiSpam de los equipos FortiGate se realiza en cada perfil de proteccin, aplicado posteriormente en las diferentes polticas definidas en el cortafuegos.
2.15 Data Leak Prevention

Cambiando el enfoque tradicional de las plataformas de seguridad perimetrales cuyo objetivo histrico ha sido evitar que el malware y los intrusos accedan a la red interna o protegida, la caracterstica de Prevencin de Fuga de Informacin o DLP (Data Leak Prevention) ofrece la posibilidad de evitar que la informacin categorizada como sensible o confidencial salga fuera de la organizacin a travs de la plataforma. Es posible llevar a cabo esta proteccin en diferentes protocolos de transferencia de datos utilizados usualmente, como smtp, ftp o http, con reglas o grupos de reglas predefinidas, un buen ejemplo es una de ellas que inspecciona en busca de nmeros de tarjetas de crdito, o reglas totalmente personalizables.
64
08/09, FortiOS 4.0
As mismo las acciones posibles pasan por hacer nicamente log de la fuga de datos hasta bloquear dichas fugas.
65
08/09, FortiOS 4.0
3 Gestin de los Equipos FortiGate

3.1 Tipos de gestin
Cada equipo FortiGate puede ser gestionado localmente mediante acceso http, https, telnet o SSH, siendo estos accesos configurables por interfaz, Adems existe la posibilidad de definir diferentes perfiles de administracin con objeto de limitar las tareas y posibilidades de cada usuario con acceso al equipo. Fortinet cuenta adems con una plataforma de gestin global centralizada para mltiples equipos denominada FortiManager. El sistema FortiManager es una plataforma integrada para la gestin centralizada de equipos FortiGate a travs del cual pueden configurarse mltiples dispositivos FortiGate de forma simultnea, creando grupos de equipos y plantillas de configuracin y permitiendo monitorizar el estado de estos dispositivos.
66
08/09, FortiOS 4.0
3.2
Gestin Centralizada con FortiManager
FortiManager es la plataforma de gestin centralizada de Fortinet. FortiManager permite la centralizacin de las acciones que se han de llevar a cabo en los equipos FortiGate permitiendo un rpido despliegue de los proyectos de seguridad, el mantenimiento y actualizacin de los distintos dispositivos FortiGate y su monitorizacin en tiempo real. Adems, con FortiManager se puede gestionar la suite de PC FortiClient y el gestor de logging y reporting FortiAnalyzer, presentando una nica interfaz de gestin para todos los elementos de seguridad. As mismo, la plataforma FortiManager se puede utilizar como servidor de actualizacin de firmas de los equipos FortiGate, como si fueran un nodo ms de la red FDN, pero que forma parte de la red del usuario, pudiendo de esta manera centralizar la gestin de las descargas de seguridad de los equipos. El lineal de FortiManager se compone de 3 equipos, aportando soluciones de gestin centralizada a todos los entornos de seguridad posibles.
67
08/09, FortiOS 4.0
3.3
Registro de Logs
La capacidad de registro de eventos, trfico y aplicaciones puede ser habilitada tanto a nivel global como en cada una de las polticas definidas a nivel de firewall y en cada protection profile, permitindonos configurar con un elevado nivel de detalle y de forma independiente cada uno de los registros que se requieren.
Estos registros pueden ser almacenados localmente (en memoria o en disco, en aquellas unidades que disponen de l) o bien en un servidor externo como pueden ser un syslog o la plataforma FortiAnalyzer.
68
08/09, FortiOS 4.0
3.4
Registro centralizado y gestin de informes con FortiAnalyzer
FortiAnalyzer es una plataforma dedicada al registro centralizado de logs y la gestin y tratamiento de los mismos. FortiAnalyzer posee la capacidad de generar ms de 350 informes diferentes que nos aportan informacin detallada sobre los eventos registrados a nivel de Firewall, ataques, virus, VPN, utilizacin web, anlisis forense, etc. Entre los posibles informes cabe destacar: Informes de ataques: ataques registrados por cada equipo FortiGate, sealando el momento en el que son registrados, e identificados a las fuentes ms comunes de ataque Informes de virus: top virus detectados, virus detectados por protocolo Informe de Eventos: eventos propios de la mquina, de administracin de la misma, etc. Informe de utilizacin del correo electrnico: usuarios ms activos en envo y recepcin, ficheros adjuntos bloqueados identificados como sospechosos. Informe de utilizacin del trfico web: usuarios web top, sitios bloqueados, usuarios de mayor frecuencia de intento de acceso a sitios bloqueados, etc. Informe de utilizacin de ancho de banda: informes de uso del ancho de banda por usuario, da, hora y protocolo Informes por protocolo: Protocolos ms utilizados, usuarios ftp /telnet top. FortiAnalyzer incluye un registro histrico y en tiempo real del trfico de cada uno de los equipos FortiGate gestionados, as como una herramienta de bsqueda en los logs. FortiAnalyzer presenta un amplio lineal con soluciones para todo tipo de proyectos
69
08/09, FortiOS 4.0
Aparte de la capacidad de generacin de informes y de la gestin de los logs de las distintas plataformas FortiGate, FortiAnalyzer puede actuar como gestor de alertas bajo determinadas condiciones configurables por el administrador de seguridad. De esta forma se centralizan las alertas de seguridad en un nico dispositivo evitando la dispersin y las dificultades de gestin asociadas a esta. Como elementos de anlisis de la red FortiAnalyzer cuenta con un monitor de trfico en tiempo real y un escner de vulnerabilidades que permiten conocer en todo momento el estado de la seguridad en el entorno aportando la capacidad de actuar sobre los puntos dbiles o las vulnerabilidades detectadas. Para facilitar al mximo las tareas de bsqueda de logs, existen mdulos de anlisis forense y de correlacin de eventos que permiten encontrar la informacin necesaria sin la prdida de tiempo tpicamente asociada a la bsqueda en ficheros de log independientes y descentralizados.
70
08/09, FortiOS 4.0

Manual Fortinet

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Fortinet

Uploaded by

Copyright:

Available Formats

FORTINET Seguridad Integral en

High Performance Multi-Threat Security Solutions

Seguridad Integral en Tiempo Real

Reconocimiento de la industria. ................................................................................................................13

Caractersticas tcnicas de los equipos ............................................................................................ 14

2.5 2.6 2.7 2.8

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

2.10.1 2.10.2 2.10.3 2.10.4 2.10.5

Deteccin y Prevencin de Intrusin (IDS/IPS).........................................................................................42

Data Leak Prevention ...............................................................................................................................64

Gestin de los Equipos FortiGate...................................................................................................... 66

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Introduccin a la Seguridad en las Comunicaciones

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

1.4.1 Equipamiento de Alto Redimiento

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

1.4.2 Servicios Fortinet

Mapa de localizacin de la red Fortiprotect Distribution Network (FDN)

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

2 Caractersticas tcnicas de los equipos

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Aceleracin hardware para puertos de red: NP2

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Modalidad Router o Transparente

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

2.4.1 Enrutamiento Esttico Redundante

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Funcionalidad Ping Server

2.4.2 Policy Routing

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Configuracin Policy routing

2.4.3 Enrutamiento Dinmico

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Modos Activo-Activo y Activo-Pasivo

08/09, FortiOS 4.0

Seguridad Integral en Tiempo Real

Configuracin de Alta Disponibilidad