DOCUMENTO DESCRIPTIVO
FORTIGATE
ÍNDICE
1. INTRODUCCIÓN...
1.1. Acerca de FortiGate...4
2. CARACTERÍSTICAS TÉCNICAS DE LOS EQUIPOS... 2.1. La Arquitectura FortiGate...5
2.2. IPv6...8
2.3. Modalidad NAT o Transparente...9
2.4. Inspección en modo Proxy o Flow...10
2.5. Proxy Explícito...10
2.6. Dominios Virtuales (VDOM)...11
2.7. Fortiview...12
2.8. Routing...14
2.8.1. Enrutamiento Estático Redundante...14
2.8.2. Policy Routing...15 2.8.3. Enrutamiento Dinámico...16 2.9. Alta Disponibilidad...17 2.10. Optimización WAN...19 2.11. Autenticación de Usuarios...21 2.12. Firewall...23 2.12.1. Definición de Políticas...25 2.12.2. Inspección SSL y SSH...26
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL 28 2.12.4. Calidad de Servicio (QoS)...30
2.12.5. Soporte VoIP...32
2.13. Redes Privadas Virtuales (VPN)...33
2.13.1. Internet Protocol Security (IPSec)...33
2.13.2. Point-to-Point Tunneling Protocol (PPTP)...36
2.13.3. L2TP over IPSEC (Microsoft VPN)...37
2.13.4. GRE over IPSEC (Cisco VPN)...37
2.13.5. Wizard...38
2.13.6. VPN SSL...38
2.14. AntiMalware...40
2.14.1. Escaneo de Firmas (Signature Scaning)...43
2.14.2. Escaneo Heurístico...43
2.14.3. Escaneo basado en CPRL...44
2.14.4. Advanced Threat Protection (ATP)...44
2.14.5. Actualización de la Base de Firmas y Motor de Escaneo 46 2.14.6. Activación del Servicio mediante Perfiles de Protección 47 2.14.7. Mensajes de Reemplazo en Ficheros Infectados...48
2.15. Detección y Prevención de Intrusión (IDS/IPS)...48
2.15.1. Métodos de Detección...51
2.15.2. Prevención de Intrusiones en Tiempo Real...52
2.16. Control de Aplicaciones...55
2.17. Filtrado de Tráfico Web (URL Web Filtering)...58
2.17.1. URL Filtering mediante uso de listas locales...58
2.17.2. Filtrado de Contenido mediante listas locales...59
2.17.3. Filtrado de Java / Scripts / Cookies...59
2.17.4. Servicio Fortiguard Web Filtering...60
2.17.5. Filtrado basado en cuotas...62
2.17.6. Filtrado de Contenido en Cachés...62
2.17.7. Activación del Servicio mediante Perfiles de Protección 63 2.17.8. Mensajes de sustitución en web filter...65
2.18. AntiSpam...65
2.18.1. Servicio Fortiguard AntiSpam...68
2.18.2. Más características FortiGuard...69
2.19. Data Leak Prevention (Prevención de Fuga de Datos)...69
2.20. WAF (Web application firewall)...71
2.21. CASI (Cloud Access Security Inspection)...72
2.22. DNS Filter...73
2.22.1. Bloquear consultas DNS a direcciones conocidas de servidores C&C...73
2.22.2. Filtro de URLs estático...73
2.23. External security devices...74
2.1. Controlador Switches - FortiLink...74
2.2. Controlador Wifi...74
2.3. Identificación de Dispositivos - BYOD...76
2.4. Seguimiento de amenazas (Reputación de clientes)...77
2.5. FortiGate Virtual Appliance...78
2.6. Wan link load balance...80
2.6.1. Algoritmos de balanceo...81
2.6.2. Wan Links...81
2.6.3. Reglas de prioridad...82
2.7. Control del EndPoint...82
2.8. Virtual wire pair...83
2.9. FortiExtender...85
3. GESTIÓN DE LOS EQUIPOS FORTIGATE... 3.1. Tipo de gestión...85
3.2. Gestión Centralizada con FortiManager...86
3.3. FortiManager Virtual Appliance...87
3.4. Registro de Logs...88
3.5. Registro centralizado y gestión de informes con FortiAnalyzer...89
1.INTRODUCCIÓN
1.1. Acerca de FortiGate
Las plataformas de seguridad FortiGate constituyen una nueva generación de equipos de seguridad de muy alto rendimiento que garantizan la protección completa de los Sistemas de empresas de cualquier tamaño tiempo real.
FortiGate, líder del mercado, proporciona una solución integrada de seguridad compuesta por las funcionalidades más eficaces que proporcionan una protección completa de las comunicaciones, como son: Firewall, VPN (IPSEC y SSL), Antimalware, Anti-Botnet, Anti-DOS, Sistemas de Detección/Prevención de Intrusiones, Filtrado Web, Antispam, Control de Aplicaciones, Inspección de Contenido en SSL, firewall de aplicaciones WEB e inspección del acceso a aplicaciones cloud (CASI). Además, todas las funcionalidades de seguridad se integran de forma conjunta con funcionalidades añadidas como Traffic Shaping, Alta Disponibilidad, balanceo de carga, Aceleración y balanceo Wan, Soporte a VoIP, Controlador Wireless, Enrutamiento dinámico RIP, OSPF y BGP, etc.
El gran abanico de equipos FortiGate existente permite diseñar soluciones adaptadas a las diferentes necesidades de cada entorno, disponiendo en todos ellos de las mismas funcionalidades gracias a la homogeneidad del Sistema Operativo FortiOS, que es similar en todos los equipos FortiGate, independientemente de la gama a la que pertenezcan.
Los equipos FortiGate pueden considerarse como equipos “todo en
uno”, configurados para proporcionar todo el conjunto de
funcionalidades de seguridad más importantes en el mercado de una forma sencilla, pero también pueden ser considerados como un appliance de seguridad especializado en una o varias de las funcionalidades de las que dispone, obteniendo un equipo de alto rendimiento y prestaciones sin competencia.
La familia de dispositivos Fortinet se extiende con equipos que complementan las funcionalidades de los propios FortiGate:
La plataforma FortiManager, que permite la gestión, administración y configuración desde un único punto centralizado de miles de equipos FortiGate que estén distribuidos en nuestro entorno de comunicaciones.
Los equipos FortiAnalyzer, que proveen de una potente herramienta de gestión y análisis de logs, generación
periódica y automatizada de informes configurables por el administrador, así como herramientas complementarias de análisis forense, análisis de vulnerabilidades o scanning de red.
Los puntos de acceso Wireless, FortiAP, que junto con la funcionalidad de controlador Wifi de los equipos Fortigate, permiten aplicar políticas de seguridad al tráfico Wifi de la misma manera que al tráfico LAN, garantizando una gestión simple y centralizada de la seguridad de una compañía independientemente de que los usuarios accedan por LAN, Wifi o VPN.
Las plataformas de protección ante amenazas Avanzadas FortiSandbox, que permiten elevar el nivel de protección, al ser capaces de analizar el comportamiento del malware desconocido, evitando que infecte las redes y sistemas protegidas por este dispositivo
El software FortiClient, como completo agente de seguridad para el puesto de usuario, dotado de las funcionalidades de Firewall, Antimalware, AntiSpam, Web Filter, Control de Aplicaciones e integración con FortiSandbox, siendo también cliente VPN IPSec para el establecimiento de túneles con los equipos FortiGate. Permite que se apliquen políticas en el firewall en función del cumplimiento de las políticas de seguridad en el puesto de usuario, así como seguir manteniendo las políticas de seguridad corporativas una vez el equipo ha salido del entorno corporativo
FortiGate, FortiManager, FortiAnalyzer y FortiSandbox, no solo están disponible en formato appliance físico, también existen versiones de tipo appliance virtual homólogo, que puede ser desplegado en las principales plataformas de virtualización del mercado.
2.CARACTERÍSTICAS TÉCNICAS DE LOS
EQUIPOS
2.1. La Arquitectura FortiGate
La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones.
La tecnología incluye los Procesadores FortiASIC™ y el Sistema Operativo FortiOS™ los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos.
Los procesadores FortiASIC™, diseñados por Fortinet, poseen un motor propietario de análisis de contenido que acelera los intensivos procesos de análisis requeridos por la seguridad a nivel de aplicación (Antimalware, filtrado de contenidos y procesos relacionados), estos procesos tendrían un rendimiento mucho más bajo y una mayor latencia si fueran llevados a cabo por procesadores de propósito general.
El Sistema Operativo FortiOS™ es un sistema robusto y eficiente, diseñado y dedicado a los procesos propios de una plataforma de seguridad.
FortiASIC™
La exclusiva arquitectura basada en ASIC empleada por los equipos Fortinet permite el análisis del contenido del tráfico en tiempo real, satisfaciendo todas las necesidades de protección a nivel de aplicación sin impactar en el rendimiento de la red.
El procesador FortiASIC™ posee múltiples características que hacen posible su alto rendimiento:
Contiene un motor hardware que acelera el análisis de las cabeceras de cada paquete y del contenido ensamblado de los paquetes de una conexión, acelerando de este modo los procesos del motor del Firewall y del motor de IDS/IPS al ser
capaz de identificar a velocidad de línea el flujo al que pertenece cada paquete.
Posee un potente motor de comparación de firmas que permite contrastar el contenido del tráfico de una sesión contra miles de patrones de firmas de virus, ataques de intrusión, reconocimiento de aplicaciones u otros patrones sin comprometer el rendimiento de la red. Este motor de análisis re-ensambla los paquetes pertenecientes a un mismo mensaje en memoria, carga las firmas necesarias y realiza una búsqueda por comparación de patrones, todos estos procesos se realizan a nivel de hardware con la ganancia en velocidad que eso supone.
FortiASIC™ incluye también un motor de aceleración de cifrado que permite realizar cifrado y descifrado de alto rendimiento para el establecimiento de las Redes Privadas Virtuales o VPN.
Diferentes flujos, diferentes velocidades: Gracias a los
procesadores FortiASIC el flujo de tráfico que atraviesa un dispositivo FortiGate, se trata a diferentes velocidades en función de que los paquetes se inspeccionen o no por los diferentes motores de filtrado. Así un paquete que solo se inspecciona a nivel de Firewall, se procesará a la velocidad máxima que puede proporcionar el hardware para este flujo y solo el tráfico que se inspeccione a través del motor de IPS, Antimalware, etc. (por ejemplo), permitirá el caudal máximo según las especificaciones hardware de cada equipo para dicho motor de inspección.
Aceleración hardware para puertos de red: NP6 (Network Processor v6)
El trabajo que realiza un firewall "statefull inspection" para procesar el tráfico de la red está basado en la inspección completa de las cabeceras a nivel 3 y 4 (IP, TCP/UDP), la sustitución de IP's cuando se habilita NAT, el seguimiento del tráfico a través de las tablas de estado y las decisiones de enrutamiento para que el tráfico llegue a su destino, permitiendo sólo las conexiones legítimas a nivel de política de seguridad así como todo el tráfico que de estas se pueda derivar en protocolos que utilizan varias conexiones como es el caso de FTP o los protocolos de voz, por ejemplo. Este trabajo debe ser realizado independientemente del payload del protocolo en cuestión y para cada uno de los paquetes que compongan una sesión a nivel de aplicación.
Cuando los protocolos en uso se basan en una gran cantidad de paquetes con un payload bajo, el trabajo que ha de llevarse a cabo
en el firewall es mucho mayor, ya que este depende exclusivamente de la cantidad y no del tamaño de los paquetes y debido a que en un mismo volumen de datos se han de procesar un número mucho mayor de cabeceras y entradas de las tablas de estado así como de decisiones de enrutamiento. Esta
circunstancia,
provoca que los equipos que sólo
utilizan CPU's de propósito
general para realizar las
tareas necesarias puedan verse seriamente afectados ante estos tipos de tráfico, llegando a decrementar su rendimiento de tal forma que se introducen retardos en la red e incluso es necesario descartar paquetes debido a la saturación de la CPU del equipo. Esta saturación provoca retardos inadmisibles en determinados protocolos y además afecta al resto del tráfico de la red haciendo que la calidad del servicio se vea afectada muy negativamente. Queda entonces patente que el troughput de un equipo está directamente relacionado con el tipo de tráfico que se está generando en la red y no sólo con su volumen, y que además, los números comúnmente expuestos en las hojas de producto son imposibles de alcanzar en entornos de tráfico característico de aplicaciones multimedia y convergencia IP como pueden ser el streaming de video o los protocolos RTP para VoIP.
La solución en este tipo de entornos, pasa por el uso de tecnologías de aceleración hardware que doten a los equipos de la capacidad necesaria para llevar a cabo la gestión de las cabeceras de forma rápida y sin influir en el trabajo de la CPU principal, liberando a esta de la carga del procesamiento de las cabeceras de los paquetes, el mantenimiento de las tablas de estado o las decisiones de enrutamiento.
Para cumplir con este requerimiento, la familia de equipos físicos FortiGate, incluye en su lineal dispositivos equipados con puertos acelerados (Network Processor) NP6. Mediante el uso de circuitos integrados de aplicación específica (ASIC) que dan servicio exclusivo a este tipo de puertos, se acelera la inspección de paquetes a nivel del propio puerto, liberando a la CPU e imprimiendo velocidad de línea a las transmisiones que los atraviesan, sea cual sea el tamaño de paquete utilizado. De esta forma, se puede mantener un troughput continuo de forma optimizada en las comunicaciones, de manera que el nivel de servicio de los protocolos más sensibles, y por extensión el resto de tráfico de la red, no se vea afectado, ya sea en entorno
multi-gigabit, 10G, 40G o 100G, pues existen dispositivos FortiGate con diferentes combinaciones puertos de 1G (fibra y/o cobre) , 10G (fibra y/o cobre), 40G, 100G, PoE, etc.
Algunos modelos de FortiGate (revisar hoja de datos) disponen de un Switch hardware en su interior con soporte STP (Spaning Tree Protocol).
Fortinet es el único fabricante del mercado que integra esta tecnología diferencial en su portfolio de productos, haciendo que las redes puedan seguir funcionando con normalidad ante protocolos que hacen uso extensivo de paquetes pequeños, como los asociados a los protocolos de VoIP, las aplicaciones multimedia o el tráfico de sincronización de los motores de base de datos.
El core de esta tecnología consiste en el uso de FortiASIC NP6 para dar servicio a varios puertos de red de un equipo, así será el FortiASIC y no la CPU principal, el que lleva a cabo el procesamiento de los paquetes que entran en cada puerto físico del appliance, haciendo que la transmisión de estos se realice de forma inmediata sin tener que esperar ciclos de liberación de la CPU principal.
Aceleración hardware FortiASIC CP8/9 (Content Processor v8/9)
Del mismo modo que NP6 acelera el rendimiento y disminuyen la latencia al inspeccionar el tráfico de red, los procesadores FortiASIC CP 8/9 son capaces de acelerar las tareas intensivas de computación, como la inspección de contenido en capa 7.
Aceleración hardware FortiSoC2
La gama “entry level” de equipos FortiGate dispone de un procesador específico desarrollado por Fortinet que proporciona un rendimiento óptimo a un coste adaptado al presupuesto de los clientes a los que van dirigidos estos equipos, generalmente pequeñas y medianas empresas o también oficinas remotas con pocos usuarios y líneas de comunicaciones de bajo caudal.
FortiOS™
El sistema operativo FortiOS™ fue diseñado con objeto de soportar funcionalidades de conmutación de alto rendimiento. El núcleo de
FortiOS™ es un kernel dedicado, optimizado para procesamiento de paquetes y trabajo en tiempo real. Provee además de un interfaz homogéneo para cada una de las funcionalidades ofrecidas. Este sistema operativo funciona sobre diversos modelos de procesadores de propósito general. Esta flexibilidad permite emplear el mismo sistema operativo en todos los equipos FortiGate.
2.2. IPv6
Fortinet incorpora nuevas funcionalidades IPv6 con cada nueva versión de firmware. En la siguiente tabla, se pueden ver las funcionalidades soportadas más destacables, relativas a IPv6:
Políticas IPS por interface IPv6
Rutas estáticas IPv6
Objetos y grupos IPv6
Políticas IPv6
VPN IPSEC con direccionamiento IPV6
Túneles IPv6 sobre IPv4
DNS IPv6
IPv6 en modo transparente
Acceso administrativo IPv6
Routing dinámico IPv6: RIP, BGP, OSPF
Soporte UTM para tráfico IPv6: AV, Web filtering
SSL VPN IPv6
Monitor de sesiones IPv6
Autenticación Firewall IPv6
DHCP6
Aceleración FW IPv6
Soporte SNMP IPv6
DLP para IPv6.
VoIP, ICAP, y UTM IPv6
NAT 64, NAT 66, DNS 64
Política IPS forwarding IPv6
HA sesión pick-up IPv6
Sensor DOS IPv6
Traffic shaping por IP para IPv6
Policy routing IPv6
Proxy explícito IPv6
MIBS IPv6
IPSec fase 2
Configuracion de valores TCP MSS
Soporte RSSO
Base de datos de geolocalización
Blackhole routing.
TFTP session helper
Mejoras en session helper de FTP, PPTP y RTSP.
Routing asimétrico para ICMP.
2.3. Modalidad NAT o Transparente
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes de funcionamiento: modo router/NAT o modo Transparente.
Trabajando en modo NAT el equipo actúa como un router, enrutando los paquetes entre los diferentes interfaces físicos y/o lógicos del equipo, con la capacidad de realizar NAT.
Trabajando en modo Transparente el equipo se comporta como un bridge, dejando pasar los paquetes a través del mismo en función de las políticas definidas. El equipo FortiGate no tiene direcciones IP en sus interfaces (solamente posee una IP para la gestión del propio equipo y actualización de firmas, a la que atiende por cualquiera de los interfaces). De este modo, el equipo puede ser introducido en cualquier punto de la red sin necesidad de realizar ninguna modificación sobre ningún otro dispositivo. El equipo FortiGate soporta las mismas funcionalidades en ambos modos de funcionamiento (firewall, antimalware, IPS, control de aplicaciones, web filtering, antispam).
También es posible combinar las dos funcionalidades y configurar en un mismo dispositivo FortiGate.
2.4. Inspección en modo Proxy o Flow
El modo de inspección controla la forma que tiene FortiGate de aplicar y controlar los perfiles de seguridad. Una vez configurado el modo de inspección, aplica de forma global a todos los perfiles de seguridad, por lo que no es posible configurar una política con un perfil de seguridad en modo proxy y otra regla con otro perfil en modo flow.
FortiGate puede configurarse como un servidor Proxy (HTTP y FTP), de forma que los navegadores de los equipos cliente lo utilicen de forma explícita para permitir la salida a internet. El acceso a internet lo puede realizar el propio equipo FortiGate de forma directa o bien utilizando otro proxy externo, configurando un proxy encadenado (chaining/forwarding).
Es también posible establecer mensajes de aviso (tipo disclaimer) a nivel de usuario, dominio o política, al utilizar el proxy explícito de FortiGate.
Distintos tipos de objetos se pueden utilizar en las polícitas de proxy explícito, como son:
Objetos tipo VIP
Patrón URL Host Regex Categoría URL Método HTTP Agente Usuario Cabecera HTTP
Origen avanzado (combinación de Agente usuario, Método HTTP y cabecera HTTP)
Destino avanzado (combinación de Categoría URL y Host Regex)
Así mismo se implementan funcionalidades anti-botnet en el Proxy Explícito.
2.6. Dominios Virtuales (VDOM)
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única plataforma física sea posible configurar hasta 500 Equipos virtuales (dependendiendo del modelo de dispositivo), completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de dominios virtuales. Se recomienda consultar la hoja de características de cada modelo donde se indica el número de VDOM incluidos sin licencia adicional y las capacidades de ampliar este número para los modelos de gama media o alta, en los que es posible ampliar el número a 250 VDOM o incluso 500 Dominios Virtuales en los equipos más altos de gama.
Cada uno de estos dominios virtuales representa de forma lógica una instancia independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc.
2.7. Fortiview
FortiView es una consola incluida en el propio interface gráfico de FortiGate, que no requiere licencia y que mejora la visibilidad de las aplicaciones, amenazas, sitios web, etc. que se están utilizando en la red. La visualización se puede realizar en tiempo real o basada en datos históricos.
Cada ventana de FortiView muestra inicialmente las 100 sesiones top, aunque cuando se filtran los resultados, se pueden mostrar más sesiones. El filtrado se puede realizar por diferentes atributos, estos atributos se pueden seleccionar desde un menú localizado al principio de cada widget, que muestra solo las opciones que contienen información, por ejemplo, si las únicas aplicaciones utilizadas son Dropbox, SSL y Skype, estas serán las únicas opciones que aparecerán en el menú desplegable para filtrar por aplicaciones.
A continuación se indica la información disponible en los diferentes widget de FortiView:
Orígenes
Este widget muestra información sobre los orígenes del tráfico que llega al Fortigate, incluyendo información del usuario y del dispositivo. Se pueden añadir columnas adicionales con información sobre sesiones, bytes enviados o recibidos.
Además se puede filtrar por IP de origen, dispositivo de origen, interface de origen o destino e identificador de política.
Aplicaciones
Para obtener información de Aplicaciones, es necesario que al menos una política de seguridad tenga aplicado el control de aplicaciones.
Este widget muestra información sobre las aplicaciones que se están utilizando en la red, incluyendo el nombre, categoría y nivel de riesgo de la misma. Se pueden añadir columnas adicionales con información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origen o destino e identificador de política.
Aplicaciones Cloud
Este widget requiere al menos una política con la inspección SSL además del control de aplicaciones
Contiene información acerca de las aplicaciones en la nube que se han usado en la red: nombre, categoría, nivel de riesgo, identificador de login y el número de videos visualizados (si aplica). Si se deja el cursor sobre la columna que muestra el número de videos, se podrá ver el título de los mismos. Se pueden también añadir columnas adicionales con las sesiones, bytes enviados o recibidos.
Existen dos posibles formas de ver las aplicaciones Cloud: Aplicaciones y Usuarios. Aplicaciones muestra una lista de los programas utilizados, mientras que Usuarios, muestra información de usuarios individuales que utilizan aplicaciones Cloud, incluyendo el nombre del usuario si el FortiGate ha podido obtener esta información en el momento del login. También permite filtrar por aplicación, interface de origen o destino e identificador de política.
Destinos
Se muestra información sobre la IP de destino del tráfico del Fortigate, así como la aplicación que se ha utilizado. Se pueden añadir columnas adicionales con información sobre sesiones y bytes enviados o recibidos. Al mismo tiempo permite filtrar por aplicación, interface de origeno destino e identificador de política.
Sitios Web
Este widget requiere al menos una política con Web Filtering habilitado. Muestra una lista de los sitios web más visitados y de los más bloqueados. Se puede ver la información por dominio o por categoría, utilizando las opciones disponibles en la esquina superior derecha. Cada categoría puede ser pulsada para ver una descripción de la misma, así como sitios web de ejemplo. Se han añadido iconos a los grupos de categorías y se muestra además información sobre el
dominio, el tiempo de uso, el nivel de amenaza, orígenes y bytes enviados o recibidos.
También permite filtrar por aplicación, interface de origen o destino e identificador de política.
Amenazas
Para que este widget pueda mostrar información, se debe habilitar la opción de tracking de amenazas.
Se muestra un listado de los usuarios top involucrados en incidentes, así como información del top de amenazas en la red. Se puede mostrar información adicional acerca de la amenaza, la categoría, el nivel de amenaza, el peso y el número de incidentes detectados. También puede ser filtrado por interface de origen o destino, tipo de amenaza, amenaza e identificador de la política.
Todas las sesiones
Muestra información relativa a todo el tráfico del Fortigate. Se pueden elegir las columnas a visualizar en la opción “Column Settings” y colocarlas en el orden deseado a través del menú contextual que aparece al pulsar el botón derecho del ratón.
Se puede filtrar por IP de origen o destino, aplicación, dispositivo de origen, interface de origen o destino e identificador de política. En caso de haber aplicado un filtro en algún widget anterior antes de visualizar el widget de todas las sesiones, dicho filtro permanecerá activo hasta que se limpie de forma manual.
La información histórica que muestra FortiView se obtiene a partir de los logs almacenados en el propio FortiGate, por este motivo los dispositivos más pequeños que constan únicamente de un disco flash, en lugar de SSD, no podrán obtener información histórica.
2.8. Routing
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando RIP (v1 y v2), OSPF (IPv4 ó IPv6) y BGP v4 (mediante BGP4+ soportado IPv6), así como con enrutamiento multicast (PIM sparse/dense mode), además de trabajar con enrutamiento estático (IPv4 ó IPv6) y ofrecer la posibilidad de realizar policy routing y balanceo de líneas WAN, permitiendo incluso la utilización de distinta línea en función del tráfico de las distintas aplicaciones.
2.8.1. Enrutamiento Estático Redundante
Para cada ruta estática definida en el equipo es posible añadir diferentes gateways. De este modo, cuando la puerta de enlace definida como primaria no esté disponible, el equipo FortiGate encaminará los paquetes por el segundo gateway definido.
Para poder detectar la caída de cualquiera de los elementos que componen el camino de salida definido con el gateway principal, cada interfaz posee la funcionalidad llamada Ping Server que permite monitorizar el estado de dicho camino mediante el envío de paquetes ICMP contra cualquier nodo de ese camino.
Un ejemplo de configuración seria este: config system link-monitor
edit "link1"
set srcintf "wan1" set server "8.8.8.8"
set gateway-ip 192.168.36.254 next
end
Además se puede ver el estado de cada link monitor en Monitor -> WAN Link Monitor
Si el equipo FortiGate no recibe respuesta al ping definido, considera que dicho camino no está disponible y comienza a utilizar el siguiente gateway definido.
De este modo se puede emplear la plataforma FortiGate para configurar múltiples conexiones a Internet, soportando redundancia entre ellas mediante ECMP (Equal Cost Multi-path). Se puede implementar ECMP en 3 modos distintos:
source-ip-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en función de las direcciones IP origen.
weight-based: Se balancea el tráfico entre las distintas rutas de salida ECMP en función de los pesos establecidos en cada ruta estática de igual coste.
usage-based: Se balancea el tráfico entre las distintas rutas de salida en función del porcentaje de uso de un interfaz. Una vez superado el porcentaje predefinido para un interfaz, comenzarán a utilizarse la ruta de salida ligada a otro interfaz.
2.8.2. Policy Routing
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el abanico de posibilidades de enrutamiento, permitiendo que el encaminamiento de los paquetes no se realice únicamente en función de la red de destino, sino teniendo en cuenta también los siguientes parámetros:
Interfaz Origen y red de origen
Protocolo, servicio o rango de puertos tanto de origen como de destino y ToS.
Configuración Policy routing
De este modo se podría, por ejemplo, hacer que el tráfico http (usando el puerto 80) fuese redirigido hacia un interfaz, mientras que el resto del tráfico es dirigido hacia otro, logrando de este modo balancear la carga entre dos interfaces de conexión a Internet, sin perder la redundancia de los mismos.
2.8.3. Enrutamiento Dinámico
Los equipos FortiGate soportan enrutamiento dinámico mediante los protocolos RIP (v1 y v2), OSPF y BGP, así como enrutamiento Multicast, PIM en sus dos versiones Sparse Mode y Dense Mode, de modo que se permite la integración de las plataformas en entornos de red más complejos.
2.9. Alta Disponibilidad
La capacidad de trabajar en clúster de alta disponibilidad (HA) dota a los equipos FortiGate de redundancia ante fallos. Además el clúster puede configurarse en modo activo-activo haciendo balanceo de carga del tráfico, en modo activo/pasivo en la que un único equipo procesa el tráfico de la red y es monitorizado por los demás para sustituirle en caso de caída, o en modo Virtual Cluster (solo para 2 nodos), que permite establecer diferentes clusters activo/pasivo a nivel de VDOM.
Todos los modelos de FortiGate pueden ser configurados en clúster, proporcionando escenarios de alta disponibilidad mediante la utilización de varios equipos redundantes entre sí, empleando un protocolo específico para la sincronización del clúster (Fortigate Cluster Protocol / FGCP)
FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así como tener instalada la misma versión del Sistema Operativo FortiOS (firmware)
Otras características del HA en FortiGate:
Modo NAT y modo transparente
Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate 100D
Soporte de sincronización de la configuración en modo standalone (sincronizacion sin clúster)
Soporte HA para autenticación VPN SSL
HA Heartbeat
Los miembros del clúster se comunican entre ellos a través de un protocolo propietario denominado HA Heartbeat. Este protocolo se utiliza para:
Sincronizar la configuración entre los equipos
Sincronizar la tabla de sesiones activas tanto de firewall como de VPN
Informar a los otros miembros del clúster del estado del equipo y sus enlaces
Los interfaces empleados para el intercambio de información entre los equipos del clúster son definidos por el administrador del equipo, si bien no existe la necesidad de que sean enlaces dedicados a esta función y permiten que dichos enlaces sean empleados para transmitir tráfico de producción, es recomendable establecer interfaces dedicados siempre que sea posible.
Igualmente es recomendable que los interfaces empleados para la transmisión de esta información sean configurados en modo redundante, es decir, que el administrador defina varios enlaces para realizar esta función, de modo que si alguno fallara la información pasaría a transmitirse de forma automática por otro enlace al que se le haya asignado esta tarea.
Dado que los equipos que forman parte del clúster se intercambian información sobre las sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a estas sesiones, realizándose una protección ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en el cluster, en el supuesto caso de una caída de alguno de los interfaces monitorizados.
Modos Activo-Activo y Activo-Pasivo
Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-activo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados tanto en modo transparente como en modo NAT (router).
Configuración de Alta Disponibilidad
Un clúster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el tráfico y uno o más equipos subordinados que están conectados a la red y al equipo primario, pero no procesan tráfico alguno. No obstante los nodos secundarios pueden tener una copia de la tabla de sesiones si se habilita la opción “Enable Session Pick-up”
El modo activo-activo permite balancear la carga de tráfico entre las diferentes unidades que componen el clúster. Cada FortiGate procesa activamente las conexiones existentes y monitoriza el estado de los otros nodos del clúster. El nodo primario procesa el tráfico y redistribuye el tráfico entre los diferentes equipos que forman parte del clúster.
Virtual Clustering
Cuando 2 equipos configurados en alta disponibilidad existen diferentes Dominios Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los equipos que forman el clúster, configurándolos en modo activo-pasivo pero estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o VDOMs. De este modo, el tráfico de un grupo de dominios virtuales será procesado por uno de los nodos, mientras que el otro grupo de VDOMs enviará su tráfico hacia el otro nodo,
estableciéndose de este modo un balanceo de carga en función del dominio virtual.
Compartir solo la tabla de sesiones
Este modo de configuración especial permite compartir la tabla de sesiones entre dos equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es posible configurar este modo de manera que los equipos FortiGate compartan un único fichero de configuración, aportando al administrador la posibilidad de realizar los cambios de forma centralizada, como si de un clúster se tratara, pero sin existir mecanismos de monitorización entre los nodos, como si ocurre en un clúster tradicional FGCP.
VRRP (Virtual Router Redundancy Protocol)
Es posible configurar el protocolo VRRP entre equipos FortiGate e incluso entre equipos de otro fabricante y un dispositivo FortiGate. Este protocolo solo trabaja a nivel de routing, por lo que no es posible compartir la tabla de sesiones cuando se hace uso del mismo.
2.10. Optimización WAN
La optimización o aceleración WAN posibilita la mejora y el incremento de rendimiento y seguridad en comunicaciones a través de redes de área extensa, como puede ser el caso de Internet o MPLS. Esta función está disponible por VDOM (firewall virtual) configurándose de manera independiente para cada uno de ellos, lo que dota de mucha flexibilidad sobre todo en entornos con varias localizaciones dispersas o servicios gestionados.
Los FortiGate que soportan esta funcionalidad son aquellos que constan de almacenamiento interno.
La tecnología de compresión utilizada es propietaria de Fortinet, no compatible con aceleradores de terceros, pero sí lo es con el cliente Forticlient.
Las principales funcionalidades aportadas son la optimización de la comunicación, reducción del ancho de banda consumido, gracias a
CUSTOMER A
VDOM CUSTOMER BVDOM CUSTOMER CVDOM CUSTOMER DVDOM
CUSTOMER A
VDOM CUSTOMER BVDOM CUSTOMER CVDOM CUSTOMER DVDOM
CUSTOMER A
VDOM CUSTOMER BVDOM CUSTOMER CVDOM CUSTOMER DVDOM
CUSTOMER A
la optimización del protocolo de comunicación utilizado, byte caching, web caching y la posible securización de la comunicación cliente/servidor a través de la red WAN gracias al establecimiento de un túnel seguro. Con esto se reducen latencias, se incrementa el rendimiento y se garantiza la privacidad en las transacciones.
Dicha tecnología requerirá el soporte en ambos extremos remotos de la tecnología de optimización. Es decir un sistema Fortigate (en modo NAT/Route o Transparent) o Forticlient WAN Optimization.
Además de ofrecer un alto grado de privacidad, gracias a la tunelización segura, esta tecnología está incluida en un sistema de Firewall de reconocida reputación, con lo que se dota de extrema seguridad a las comunicaciones con sedes remotas o clientes remotos, pudiendo aplicar reglas de Firewall necesarias para cumplir la política corporativa.
Técnica Web Caching
Se aceleran las transacciones con aplicaciones WEB, reduciendo la carga de dichos servidores y el ancho de banda utilizado, así como la percepción de latencia por el usuario final.
Dicha técnica se basa en hacer caching de determinados objetos que intervienen usualmente en estas transacciones. Se guardan contenidos como determinadas páginas HTML, imágenes, respuestas de servlets y algunos objetos más. Para guardar estos objetos (caching) se utilizará el disco duro o módulos opcionales con disco (ASM o FSM) del equipo Fortigate.
Al hacer caché de este contenido hay menos peticiones que utilicen el enlace WAN, además los servidores que sirven estas peticiones deberán servir un número menor de transacciones gracias a la técnica de caching de Fortigate y adicionalmente, la latencia percibida por los usuarios se verá drásticamente reducida, ya que parte del contenido se sirve localmente.
Para hacer simplemente caché tradicional de tráfico Web, no es necesario otro sistema Fortigate en el otro extremo.
Esta técnica mejora el uso del ancho de banda y la eficiencia de la comunicación. Requiere el uso de dos dispositivos aceleradores e interviene al encontrar en una regla de aceleración uno de los protocolos soportados como CIFS, FTP, HTTP o MAPI. Un ejemplo típico y de extendido uso es el protocolo CIFS, que durante su establecimiento y mantenimiento de sesión utiliza gran número de comunicaciones por lo que la compartición de archivos a través de Internet suele ser bastante lenta. Gracias a la funcionalidad
Protocol Optimization provista, se reduce en gran medida el tiempo
de espera de este tipo de transacciones.
Byte caching
Consiste en fragmentar paquetes de datos en unidades más pequeñas a las que se les aplica un hash único. A posteriori, se envían esos elementos hash al extremo remoto y este busca coincidencias de los mismos y solicita los fragmentos de los que no tiene hash. De este modo la transferencia de un fichero se ve agilizada. Esta técnica no es específica de un protocolo, por ejemplo un fichero X enviado vía email puede ser acelerado a posteriori en una descarga web si el fichero es el mismo X.
Aceleración SSL
Gracias a los circuitos ASIC CP8/9 se acelera el cifrado/descifrado de trafico SSL.
Túneles seguros entre WAN Peers
Empleando túneles SSL se puede garantizar la privacidad de las comunicaciones dentro del túnel WAN.
2.11. Autenticación de Usuarios
Las plataformas FortiGate soportan la autenticación de usuarios en diferentes funcionalidades, como son:
Autenticación a través de políticas de Firewall. Cuando un determinado tráfico es identificado por una política definida en el Firewall que tiene un objeto de tipo usuario o grupo en el campo “origen”, el equipo decide si dicho tráfico es permitido o no en función del usuario del que se trate, de esta forma la granularidad de las reglas puede llevarse a cabo en función del origen del tráfico o en función del grupo de usuarios que generen el tráfico. Esta autenticación puede realizarse contra una base de datos local creada en el propio equipo, o bien contra servidores externos RADIUS, TACACS +, LDAP, Novel eDirectory o Active Directory, pudiendo realizarse con estos 2 últimos una autenticación transparente de los usuarios que pertenezcan al Directorio Activo de Microsoft o de Novel eDirectory.
Autenticación de usuarios VPN: Cuando un usuario intenta acceder la red interna a través del servicio de acceso remoto VPN provisto por los equipos FortiGate, ya sea IPSec o SSL la tecnología empleada, el equipo solicita la autenticación del usuario de forma previa a establecer la conexión. Esta autenticación se puede realizar mediante una base de datos local, o bien mediante la utilización de servidores externos (RADIUS, LDAP, AD, etc.).
FortiGate permite la utilización de un segundo factor de autenticación, ya sea a través del envío de una password de un solo uso por correo electrónico o mediante SMS, así como mediante la utilización de FortiToken, un generador de contraseñas de un solo disponible en formato físico o software para Smart Phone.
Fortinet dispone de un protocolo propietario denominado FSSO (Fortinet Single Sign On) que interactúa con el Servidor de Directorio Activo o Novel eDirectory. El protocolo FSSO se basa en la utilización de un agente ligero software que se instala en un servidor miembro del Directorio Activo y que desde ese momento establece un diálogo con el equipo FortiGate. También es posible mediante polling desde el equipo FortiGate, realizar consultas a los servidores del directorio, de modo que no se requiera la instalación del agente ligero.
El modo de funcionamiento de FSSO consiste en que cada vez que un usuario se valida en el servidor AD, el agente informa al equipo FortiGate de qué usuario se ha validado, a qué grupo pertenece y qué dirección IP le ha sido asignada. En caso de haberlo configurado con polling desde el propio FortiGate, este extrae dicha información del log de eventos del Controlador/es de Dominio
(DC) del Directorio Activo. A partir de ese momento, cada vez que el usuario realice alguna operación que implique validación por parte del Firewall contra el Directorio Activo, como puede ser el acceso a Internet, la validación se realiza de forma transparente gracias a la información que se han intercambiado el servidor AD y el equipo FortiGate.
Otras funcionalidades relacionadas con la identificación de usuarios son:
Acceso basado en SSO usando 802.1x, portal cautivo y FortiClient VPN
Agente SSO para Citrix y Microsoft Terminal Services
RSSO: SSO basado en Radius (Perfiles dinámicos)
Soporte para servidores secundarios/backup de autenticación remota
Pooling FSSO directamente desde el FortiGate
Soporte de perfiles dinámicos para Proxy SSH
Provisión de acceso a usuarios invitados
Importación segura de semillas OTP
Activación y gestión de soft Token (FortiToken Mobile para Android e IOS)
API Json para soporte de Token
Monitorización de servidor Microsoft Exchange para FSSO
2.12. Firewall
Los equipos FortiGate poseen la funcionalidad de firewall basada en tecnología Stateful Inspection Packet. Esto le permite hacer un análisis exhaustivo de la cabecera de cada paquete, identificando la sesión a la que pertenece, chequeando el correcto orden de los paquetes y realizando control sobre el tráfico de la red.
Las políticas del firewall controlan todo el tráfico que atraviesa el equipo FortiGate. Cada vez que el Firewall recibe un nuevo paquete, analiza la cabecera de este para conocer las direcciones origen y destino, el servicio al que corresponde ese paquete, y determina si se trata de una nueva sesión o bien pertenece a una sesión ya establecida y llega en el orden correcto.
Este análisis de la cabecera es acelerado mediante el Circuito Integrado de Aplicación Específica FortiASIC, lo que permite a las plataformas FortiGate alcanzar un rendimiento mayor y un número de nuevas sesiones por segundo superior al de cualquier solución basada en la utilización de una CPU de propósito general.
Las políticas de seguridad son definidas en el firewall en base a los interfaces origen y destino.
Este modo de definición de las políticas permite optimizar el rendimiento y el procesamiento de cada uno de los flujos, ya que para cada uno de los paquetes es identificado su origen y su destino y enviado entonces al módulo de routing. Esta organización permite que el paquete sea tan solo comparado contra las reglas definidas entre esos interfaces, comenzando por la superior de todas y descendiendo hasta encontrar aquella con que coincida en función de los diferentes parámetros configurables para cada política (par origen/destino, usuario, servicio, calendario, etc.). Si no se encontrara ninguna regla que coincidiera con el paquete analizado, éste sería descartado. Al tener que comparar contra un grupo menor que el total de las reglas definidas, el tiempo requerido disminuye, lo que agregado a la utilización de la tecnología FortiASIC confiere a los equipos FortiGate un rendimiento inigualable como firewall, llegando hasta 1 Terabps en un chasis de la serie 5000.
Si se desea, es posible definir los interfaces de entrada y salida de tráfico como Any para así poder inspeccionar un flujo de tráfico concreto independientemente de cuales sean sus interfaces de entrada o salida.
Así mismo es posible establecer reglas definiendo más de un interface de entrada y/o salida:
2.12.1. Definición de Políticas
Las políticas del firewall se definen en base a los siguientes criterios:
Interfaces de entrada y salida del flujo. Puede referirse tanto a Interfaces físicos del equipo como a interfaces lógicos definidos como VLAN Interface, siguiendo el estándar 802.1Q para marcado de tramas de cada VLAN. En caso de que se
requieran interfaces agregados (LACP/802.3ad*), es posible que más de un interfaz físico pueda comportarse como uno único, o pueden establecerse como Any para que se utilice cualquier interfaz de entrada o salida, así como seleccionar más de un interface como origen o destino del tráfico. Igualmente si es necesario implementar Proxy Explícito en el equipo, este también puede ser seleccionado como interfaz para aplicar los perfiles de protección necesarios. Los interfaces virtuales para definir VPN IPSEC o SSL, también se podrán seleccionar como entrada o salida del tráfico. Por último la interfaz virtual wan-load-balance que se crea cuando habilitamos la funcionalidad de balanceo de líneas, es otra interfaz que se puede utilizar como destino del tráfico.
* Nota: Consultar la matriz de características de FortiOS 5.4
para identificar los modelos de FortiGate que soportan esta funcionalidad.
Programación: A cada política se le puede definir un horario tanto único como recursivo, que permite acotar la aplicación de la regla a un espacio temporal determinado en función de la hora, el día de la semana, mes o año. También es posible establecer una programación con fecha de caducidad, de modo que la política se procesará solo hasta la fecha/hora especificada.
Direcciones o grupos de direcciones IP origen y destino y usuarios o grupos de usuarios. En concreto en el campo de origen se puede especificar, aparte de IPs o grupos de IPs, también usuarios y/o grupos de usuarios para proporcionar autenticación a la regla.
Tipo de dispositivo de origen. Para poder utilizar esta opción en la regla es necesario tener habilitada la detección de dispositivos en la interfaz de origen.
Protocolo, servicio o puertos TCP/UDP
La política define la acción a tomar con aquellos paquetes que cumplan los criterios definidos. Entre las acciones a realizar están:
o Permitir la conexión o Denegar la conexión
Realizar traducción de direcciones (NAT). Permitiendo realizar una traducción estática de direcciones, o bien utilizar grupos de direcciones con objeto de realizar NAT dinámico, y así mismo definir traducciones de puertos (PAT).
Aplicar reglas de gestión de ancho de banda (Traffic Shaping). Este ancho de banda puede ser especificado para toda la política, para cada IP, para todas las políticas del firewall que utilicen un mismo perfil de Traffic Shapping. Es posible también utilizar Traffic Shaping en un sensor de aplicaciones, de forma que se establezcan límites de caudal al utilizar una determinada aplicación.
Analizar el tráfico mediante perfiles adicionales de seguridad, como Antimalware, AntiSpam, Detección/Prevención de Intrusiones, filtrado Web, DLP, funcionalidades WAF o Control de Aplicaciones, mediante la definición de un perfil de protección
En cada política se puede habilitar el seguimiento de aquellas conexiones que atraviesan el firewall de acuerdo a la política definida, con objeto de poder hacer un registro de las conexiones establecidas a través del equipo.
La columna “Contador” que figura en las políticas de seguridad permite conocer el número de veces que una política ha procesado tráfico, así como la cantidad de tráfico acumulado que ha permitido o denegado una política (incluida la política implícita final para denegación de todo el tráfico no permitido en políticas anteriores). Es posible establecer una política que descifre el tráfico SSL y lo envíe a un dispositivo externo.
También se puede añadir un nombre a cada política de seguridad, al igual que un comentario, de forma que permita identificar mejor para que se utiliza cada política. Por defecto será necesario establecer el nombre a la política, pero esto se puede modificar desde el CLI con los siguientes comando:
config system settings
set gui-allow-unamed-policy [enable | disable] end
Una nueva funcionalidad permite localizar políticas y rutas
establecidas en el dispositivo, de forma que se pueda consultar qué ruta o política coincidirá con un determinado tráfico que se
especifique en la propia consulta, incluyendo:
Interface de origen
Protocolo: IP, TCP, UDP, SCP, ICMP
Puerto origen o destino
Número de protocolo
Etc.
2.12.2. Inspección SSL y SSH
Dentro del perfil de protección se podrá aplicar la configuración necesaria para poder efectuar inspección dentro de protocolos seguros basados en SSL, como HTTPS, SMTPS, POP3S, FTPS e IMAPS.
De esta forma será posible aplicar dentro de los túneles SSL que atraviesen la plataforma inspección de contenidos, así como inspección Antimalware, DLP o Control de aplicaciones. Además existe la posibilidad de definir las excepciones del descifrado dentro del propio perfil, para evitar descifrar información
Al mismo tiempo es posible inspeccionar el tráfico en un túnel SSH.
Además existe otro método de inspección SSL que no implica la rotura del túnel. Esto evita los inconvenientes derivados de esta técnica como por ejemplo los avisos de certificados inválidos en los navegadores, problemas con HSTS, etc…
Este método es SSL Certificate inspection. Únicamente inspecciona el certificado para comprobar que es válido y que ha sido emitido por una entidad certificadora para el sitio web correspondiente. Se configura marcando la opción “SSL Certificate inspection” dentro del perfil de inspección SSL:
2.12.3. Balanceo de carga multiplexación HTTP y aceleración SSL
Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurada a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o HTTP de manera que ante el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad.
De la misma forma, es posible configurar la IP virtual para que haga multiplexación del tráfico HTTP, de manera que varias conexiones externas se traducen en una única conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al servir las peticiones entrantes.
Con la misma filosofía, los equipos FortiGate pueden realizar la labor de aceleradores SSL para conexiones HTTPS. La conexión HTTPS es terminada en el equipo FortiGate y este realiza la petición sin cifrar (o cifrada) al servidor correspondiente. De esta manera se elimina la necesidad de cifrar la sesión en el propio servidor, con lo que los recursos de este son optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y descifrado del túnel SSL en manos del FortiGate.
Es también posible además mantener la persistencia de una sesión si es necesario (tanto en HTTP como en HTTPS).
2.12.4. Calidad de Servicio (QoS)
Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio prioritario sobre el tráfico más sensible al retardo. Los equipos FortiGate permiten aplicar técnicas de priorización de tráfico y Calidad de Servicio (QoS), reservar ancho de banda para aquellas aplicaciones que sean más sensibles al retardo, o bien limitar el ancho de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red.
La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico generado por la transmisión de voz y las aplicaciones multimedia. Estos tipos de tráfico son enormemente sensibles al retardo y a la variación del mismo (jitter). Una adecuada gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin recurrir a una ampliación innecesaria del ancho de banda de la red, reservando el ancho de banda necesario y priorizando este tipo de tráfico ante otros menos sensibles al retardo como pueda ser el correo o el tráfico ftp.
Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados, incluyendo H.323, SIP, TCP, UDP, ICMP o ESP. La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo:
La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los paquetes. Lo que se consigue de este modo es evitar que los paquetes sean descartados, haciendo que se almacenen en el buffer hasta su transmisión, retrasando su envío hasta que sea posible. Los equipos FortiGate usan la técnica Token Bucket para garantizar y limitar el ancho de banda.
La bufferización se realiza en función de la prioridad asignada a cada flujo, pudiendo variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el envío de todos los paquetes almacenados, se transmiten en primer lugar los de prioridad alta. La tecnología DiffServ permite modificar los parámetros DSCP, siguiendo las normas RFC 2474 y 2475. Así, aquellos componentes de la red compatibles con DiffServ, son capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los paquetes y clasificando, marcando, y gestionando el tráfico en base a esta información.
Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de tráfico.
Configuración de parámetros QOS
Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas
Los parámetros de configuración del ancho de banda nos permiten definir un ancho de banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho de banda definido no puede superar el ancho de banda total disponible, pero puede ser empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles al retardo.
Gestión del Ancho de Banda (Traffic Shaping) por dirección IP
Así mismo, también es posible establecer traffic shaping por IP, de forma que sea aplicado por cada dirección IP, en lugar de por política.
Soporte DiffServ en GUI
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar los valores DSCP (Differentiated
Services Code Point) para todos los paquetes a los que se aplica
una política en particular. Hasta la versión 5.4.0 la única forma de configurar DSCP era por CLI. Ahora es posible configurarlo también en GUI.
Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces
Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN.
Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI):
(internal) # set inbandwidth
bandwidth-limit <integer> in KB/s (0-2097000; 0 for unlimited)
2.12.5. Soporte VoIP
Los equipos FortiGate incorporan soporte para los protocolos más demandados de VoIP (H323, SIP, SCCP) aplicando sobre estos los mayores controles de seguridad y reporting a través de los perfiles de protección. Entre las funcionalidades soportadas cabe destacar.
Application layer gateway para SIP basado en SCTP y TCP
Mantenimiento de la información IP original incluso cuando está presente NAT
Conversión entre SIP basado en TCP y SIP basado en SCTP y viceversa
Limitación del número de mensajes SIP
Log de comienzo y fin de llamadas
2.13. Redes Privadas Virtuales (VPN)
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, además de PPTP, L2TP over IPSEC (Microsoft VPN) y GRE over IPSEC (Cisco VPN). De esta forma, oficinas pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet.
La funcionalidad VPN está integrada en la propia plataforma FortiGate sin necesidad de licencia, así como también se puede utilizar mediante la instalación de la suite de aplicaciones Forticlient Endpoint Security, que permite el establecimiento de VPNs desde un equipo cliente. También es posible integrarlo a través de software VPN de terceros (solo para IPSEC). El tráfico VPN puede ser analizado por el módulo de Firewall así como por múltiples funcionalidades UTM que ofrece FortiGate: antimalware, IPS, web filtering, antispam, etc.
Además, los equipos FortiGate soportan VPNs con IPv6, con o sin certificados, ya sean site-to-site IPv6 sobre IPv6, IPv4 sobre IPv6 o IPv6 sobre IPv4.
2.13.1. Internet Protocol Security (IPSec)
IPSec establece un marco de trabajo para el intercambio seguro de paquetes a nivel de la capa 3 OSI, o capa IP. Las unidades FortiGate implementan el protocolo Encapsulated Security Payload
(ESP) en modo túnel. Los paquetes cifrados aparecen como paquetes ordinarios que pueden ser enrutados a través de cualquier red IP.
Para el establecimiento de redes privadas virtuales basadas en IPSec, FortiGate cumple el estándar IPSec y soporta:
Algoritmos de cifrado: DES, 3DES y AES 128, 192 y 256
Algoritmos de hashing o digest: MD5, SHA1, SHA256, SHA384, SHA512
NAT Transversal
DH Group 1, 2, 5 y 14
DPD (Dead Peer Detección, detección de caída del nodo remoto)
Replay Detection (Detección de ataques de respuesta)
PFS (Perfect Forward Secrecy, obliga a generar nuevas claves independientes de las anteriores, lo cual aumenta la seguridad)
Autenticación basada en pre-shared key con usuarios definidos en una base de datos local o en un servidor externo (LDAP, RADIUS, Directorio Activo), certificados X.509, autenticación extendida XAuth
Interoperabilidad con otros fabricantes IPSec Compliant (Cisco, Checkpoint, etc.)
Alta disponibilidad de enlaces VPN desde un único equipo La utilización de IPSec para realizar VPN es habitual en diversas tipologías de red. Los equipos FortiGate soportan las siguientes topologías de red:
Gateway-to-Gateway.
Dos equipos FortiGate crean un túnel VPN entre dos redes separadas. Todo el tráfico entre las dos redes es cifrado y protegido por las políticas de firewall y perfiles de protección de FortiGate.
Fully Meshed Network
Todos los equipos que forman la red corporativa están conectados con el resto, configurando una malla. Esta topología presenta la ventaja de su alta tolerancia a fallos (si un nodo cae el resto no se ven afectados), si bien tiene como inconveniente su dificultad de escalado y gestión.
Partially Meshed Network
Se establecen túneles entre aquellos nodos que regularmente mantienen comunicación.
Hub and Spoke
Configuración en la que existe un equipo central con el que los equipos remotos establecen los túneles VPN, sin existir comunicación directa entre los equipos remotos.
Un caso particular de Hub and spoke es aquel en el que los equipos remotos puedan requerir comunicación entre sí en algún momento particular. Para solucionar esta situación, existe la funcionalidad ADVPN (Auto Discovery VPN), la cual permite establecer túneles de
forma dinámica entre los equipos remotos sin necesidad de configurar manualmente todos los enlaces.
Además de los escenarios mostrados anteriormente, los equipos FortiGate pueden ser configurados para actuar como servidores de acceso remoto (Dialup Server). Para el acceso remoto mediante IPSec, Fortinet proporciona un cliente IPSec Software para plataformas MS Windows, Mac OSX y Android: FortiClient.
Aparte de ser un cliente VPN IPSec (Windows, Mac OSX & Android) y VPN SSL (Windows, Mac OSX, IOS & Android), FortiClient incorpora capacidad de detección de intrusión (Windows & Mac), filtrado web (Windows, Mac & IOS), antimalware (Windows & Mac), control de aplicaciones (Windows & Mac), doble factor de autenticación (Windows, Mac & Android), escaneo de vulnerabilidades (Windows & Mac) y optimización wan (Windows).
Además, FortiClient se puede registrar en FortiGate como parte de la funcionalidad de Endpoint Control. Esta funcionalidad permite gestionar y controlar la seguridad de aquellos usuarios que tengan instalado el FortiClient en sus dispositivos y se hayan registrado contra un FortiGate para así poder establecer una gestión centralizada de estos equipos, centralizar los logs contra un FortiAnalyzer, centralizar la gestión, provisionarlos con la configuración deseada por el administrador, forzarles a usar una cierta política de seguridad (ya sea online u offline, o sea, en una red accesible por el controlador FortiGate o fuera de ella), gestionar su acceso a la red a través del Directorio Activo (FSSO), personalizarles la interfaz gráfica GUI…etc.
Los equipos soportan la funcionalidad Dynamic DNS. Haciendo uso de esta funcionalidad los equipos dotados de IP dinámica pueden ser asignados a un nombre DNS. Cada vez que se conecte a Internet, el ISP le asignará una IP diferente y los demás equipos de la VPN le localizarán mediante la resolución de su nombre DNS.
2.13.2. Point-to-Point Tunneling Protocol (PPTP)
Este protocolo habilita la interoperabilidad entre las unidades FortiGate y los clientes PPTP Windows o Linux. PPTP utiliza protocolos de autenticación PPP; de este modo clientes Windows o Linux PPTP pueden establecer un túnel PPTP contra un equipo FortiGate que ha sido configurado para trabajar como un servidor PPTP. Como alternativa, el equipo FortiGate puede ser configurado para reencaminar paquetes PPTP a un servidor PPTP en la red. Para la autenticación de los clientes, FortiGate soporta PAP, CHAP y autenticación de texto plano. Los clientes PPTP son autenticados como miembros de un grupo de usuarios. El protocolo PPTP ofrece un grado menor de seguridad que IPSec, ya que el canal de control de mensajes PPTP no es autenticado y su integridad no está protegida. Además, los paquetes encapsulados PPP no son criptográficamente protegidos y pueden ser leídos o modificados. (Configurable desde línea de comandos o CLI de Fortigate).
