FortiGate Security 6.0 Study Guide Español PDF

• Introducción a FortiGate y la tela de Seguridad
No puede ser reproducido ©

FORTINET
En esta lección, usted aprenderá acerca de conceptos básicos de administración FortiGate y los componentes dentro de FortiGate que se pueden habilitar
para ampliar la funcionalidad. Esta lección también incluye cómo y dónde FortiGate encaja en la arquitectura de red existente y la tela de Seguridad.
FortiGate Seguridad 6.0 Guía de estudio 5


FORTINET
En esta lección usted explorará los siguientes temas:

• Características de alto nivel
• Las decisiones de configuración
• Administración básica
• Servidores Built-in
• Mantenimiento fundamental
• FortiGate dentro de la trama de Seguridad


FORTINET
Al completar esta sección, debe ser capaz de:

• Identificar las características de diseño de la plataforma FortiGate
• Identificar características de FortiGate en redes virtualizados y la nube
Demostrando competencia en la identificación de las características de diseño de la plataforma FortiGate, así como la función de FortiGate en las
redes virtuales y la nube, usted será capaz de describir los componentes fundamentales de FortiGate y explicar los tipos de tareas que FortiGate
puede hacer.


FORTINET
En el pasado, la forma común de proteger una red era asegurar el perímetro y la instalación de un servidor de seguridad en el punto de entrada. Los
administradores de red utilizan para confiar en todo y todos en el interior del perímetro. Ahora, el malware puede pasar por alto fácilmente cualquier servidor de
seguridad de punto de entrada y entrar en la red. Esto podría ocurrir a través de una memoria USB infectada o dispositivo personal comprometida de un
empleado que está conectado a la red corporativa. Además, dado que los ataques pueden venir de dentro de la red, los administradores de red ya no pueden
confiar inherentemente usuarios y dispositivos internos.
Lo que es más, las redes de hoy en día son entornos altamente complejas cuyas fronteras están cambiando constantemente. Redes corren en forma vertical
desde la red local a Internet, y horizontalmente desde la red física a una red virtual privada y a la nube. Una fuerza de trabajo móvil y diversa (empleados,
socios y clientes) para acceder a recursos de red, las nubes públicas y privadas, la Internet de los objetos (IO), y traiga su dispositivo de propia programas de
todos conspiran para aumentar el número de vectores de ataque en contra de su red. En respuesta a este entorno tan complejo, se han convertido en los
cortafuegos robustos dispositivos multifuncionales que contrarrestan una serie de amenazas a la red. Por lo tanto, FortiGate puede actuar en diferentes
modos o roles para abordar diferentes requisitos. Por ejemplo, FortiGate se puede implementar como un servidor de seguridad del centro de datos cuya
función es supervisar las solicitudes entrantes a los servidores y para protegerlos sin aumentar la latencia para el solicitante. O, FortiGate se puede
implementar como un cortafuegos de segmentación interna como medio para contener una violación a la red. FortiGate también puede funcionar como
servidores DNS y DHCP, y ser configurado para proporcionar filtro web, antivirus y servicios de IPS.


FORTINET
En el diagrama de la arquitectura se muestra en esta diapositiva, se puede ver cómo las plataformas FortiGate añadir fuerza, sin comprometer la flexibilidad. Al igual que
los dispositivos de seguridad, dedicado separado, FortiGate es todavía internamente modular. Más:
• Dispositivos complementarios duplicación. A veces, la dedicación no hace significa eficiencia. Si está sobrecargado, puede tomar prestado un dispositivo de
memoria RAM libre de otros nueve? ¿Quieres configurar políticas, registro y enrutamiento de 10 dispositivos por separado? Hace 10 de la duplicación que Lleva
10 veces el beneficio, o se trata de una molestia? Para los más pequeños y medianas empresas o sucursales de la empresa, la gestión unificada de amenazas
(UTM) es a menudo una solución superior, en comparación con los aparatos dedicados separados.
• FortiGate de hardware no está justo al lado de la plataforma. Es a nivel de operador. La mayoría de los modelos FortiGate tienen uno o más circuitos
especializados, llamados ASIC, que se han diseñado por Fortinet. Por ejemplo, un CP o chip NP maneja la criptografía y el reenvío de paquetes más eficiente. En
comparación con un dispositivo de un solo objetivo con sólo una CPU, FortiGate puede tener un mejor rendimiento de forma espectacular. Esto es especialmente
crítico para los centros de datos y portadoras en las que el rendimiento es crítica para el negocio.
(La excepción? Virtualización de plataformas de VMware, Citrix Xen, Microsoft u Oracle Virtual Box-tiene de propósito general vCPU.
Pero, la virtualización podría ser útil debido a otros beneficios, tales como la computación distribuida y la seguridad basada en la nube).
• FortiGate es flexible. Si todo lo que necesita es un cortafuegos rápido y antivirus, FortiGate no requieren que se pierda la CPU, RAM, y la electricidad en otras
características. En cada política de firewall, módulos UTM y firewall de próxima generación pueden ser activadas o desactivadas. Además, no tendrá que pagar
más para agregar licencias de uso de VPN más tarde.
• coopera FortiGate. La preferencia por los estándares abiertos en lugar de protocolos propietarios significa menos dependencia de un proveedor y
más opciones para los integradores de sistemas. Y, como su red crece, FortiGate pueden aprovechar otros productos Fortinet como FortiSandbox y
FortiWeb a distribuir el procesamiento de más profunda seguridad y rendimiento total de un enfoque de seguridad óptimo de las telas.


FORTINET
máquinas virtuales FortiGate (VM) tienen las mismas características que FortiGates físicas, excepto para la aceleración de hardware. ¿Por qué? En primer
lugar, el software de la capa de abstracción de hardware para hipervisores se hace por VMware, Xen, y otros fabricantes de hipervisor, no por Fortinet. Esos
otros fabricantes no hacen fichas FortiASIC propiedad de Fortinet. Pero hay otra razón, también. El propósito de las CPU virtuales genéricas y otras fichas
virtuales para hipervisores es abstraer los detalles de hardware. De esta manera, todos los huéspedes VM sistemas operativos se puede ejecutar en una
plataforma común, sin importar los diferentes hardware en el que se instalan los hipervisores. A diferencia de vCPU o vGPUs que utilizan genérico, no óptima RAM
y CPU virtuales para la abstracción, los chips son especializados FortiASIC
optimizado circuitos. Por lo tanto, un chip ASIC virtualizado no tendría las mismas ventajas de rendimiento como un chip ASIC física.
Si el rendimiento en el hardware equivalente es menor, usted puede preguntarse, ¿por qué alguien usar un FortiGate VM? En las redes a gran escala que cambian
rápidamente y pueden tener muchos arrendatarios, potencia de procesamiento equivalente y distribución pueden ser alcanzable usando cantidades más grandes de
hardware de propósito más barato, general. Además, el comercio de algo de rendimiento para otros beneficios puede valer la pena. Usted puede beneficiarse de una
implementación más rápida de la red y del aparato y desmontaje.
FortiGate VMX y el conector FortiGate para Cisco ACI son versiones especializadas de FortiOS y una API que le permite orquestar cambios en
la red rápidas a través de normas, como OpenStack para redes definidas por software (SDN).
• FortiGate VM se implementa como un invitado VM en el hipervisor.

• FortiGate VMX se despliega dentro de las redes virtuales de un hipervisor, Entre VM invitadas.
• Conector FortiGate para Cisco ACI ACI permite desplegar física o virtuales FortiGate máquinas virtuales para el tráfico norte-sur.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo algunas de las características de alto nivel de FortiGate.
A continuación, usted se inclina cómo realizar la configuración inicial de FortiGate y aprender acerca de por qué es posible que decida usar una configuración sobre otra.


FORTINET

• Identificar los valores predeterminados de fábrica
• Seleccionar un modo de operación
• Comprender la relación de FortiGate con FortiGuard y distinguir entre consultas en directo y actualizaciones de paquetes
Demostrando competencia en la creación de FortiGate, usted será capaz de utilizar el dispositivo de manera efectiva en su propia red.


FORTINET
¿Qué pasa con la arquitectura de red? Cuando hace FortiGate encajar?
Al implementar FortiGate, se puede elegir entre dos modos de funcionamiento: el modo NAT o en modo transparente.
• En el modo NAT, de las rutas de FortiGate paquetes basados en la capa 3, como un router. Cada una de sus interfaces de red lógicas tiene una
dirección IP y FortiGate determina la interfaz de salida o salida basándose en la dirección IP de destino y entradas en sus tablas de enrutamiento.
• En el modo transparente, FortiGate reenvía los paquetes en la capa 2, como un interruptor. Sus interfaces no tienen direcciones IP y FortiGate
determina la interfaz de salida o salida en base a la dirección MAC de destino. El dispositivo en modo transparente tiene una dirección IP que se
utiliza para el tráfico de administración. Interfaces puede haber excepciones a la enrutador modo versus el funcionamiento del interruptor, sobre una
base individual.


FORTINET
modo de traducción de direcciones de red (NAT) es el modo de funcionamiento por defecto. ¿Cuáles son los otros valores predeterminados de fábrica? Después de
haber eliminado FortiGate de su caja, ¿qué hacer a continuación? Ahora vamos a echar un vistazo a la forma de configurar FortiGate.
Conectar el cable de red de su ordenador para Port1 o los puertos de conmutación internos (dependiendo del modelo). En la mayoría de los modelos de entrada, hay un
servidor DHCP en la interfaz, por lo que, si la configuración de red de su ordenador tienen DHCP activado, el equipo debe recibir automáticamente una dirección IP, y se
puede iniciar la configuración. Para acceder a la interfaz gráfica de usuario de FortiGate o FortiWifi, abra un navegador Web y vaya a http://192.168.1.99.
La información de acceso por defecto es de conocimiento público. Nunca deje en blanco la contraseña por defecto. Su red es tan segura como su
FortiGate de administración cuenta. Antes de conectarse a la red FortiGate, debe establecer una contraseña compleja.
Todos los modelos FortiGate tienen un puerto de consola y / o puerto USB gestión. El puerto proporciona acceso CLI sin una red. El CLI puede accederse
por el widget CLI consola en la interfaz gráfica de usuario o desde un emulador de terminal, tal como masilla o Tera Term.


FORTINET
Algunos servicios FortiGate se conectan a otros servidores, como FortiGuard, con el fin de trabajar. Servicios de suscripción FortiGuard ofrecen
FortiGate con la inteligencia de amenazas actualizada. FortiGate utiliza FortiGuard por:
• solicitando periódicamente paquetes que contienen un nuevo motor y firmas

• Consulta de la FDN de una URL o host nombre individual
Las consultas son en tiempo real; es decir, FortiGate pide al FDN cada vez que se analiza en busca de spam o sitios web filtrados. FortiGate consultas en lugar
de descargar la base de datos debido al tamaño y la frecuencia de los cambios que se producen en la base de datos. Además, consultas utilizan UDP para el
transporte; que son sin conexión y el protocolo no está diseñado para la tolerancia a fallos, pero para la velocidad. Por lo tanto, las consultas de requerir que su
FortiGate tiene una conexión a Internet fiable.
Paquetes, como antivirus e IPS, son más pequeñas y no cambian con tanta frecuencia, por lo que se descargan (en muchos casos) sólo una vez al día.
Que se descargan a través de TCP para el transporte fiable. Después de descargar la base de datos, sus características FortiGate asociados continúan
funcionando incluso si FortiGate no tiene conectividad a Internet fiable. Sin embargo, aún debe tratar de evitar interrupciones durante las descargas-si su
FortiGate debe intentar varias veces para descargar actualizaciones, puede no detectar nuevas amenazas durante ese tiempo.
FortiGate Seguridad 6.0 Guía de estudio dieciséis


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo realizar la configuración inicial de FortiGate y por las que puede optar por utilizar una configuración sobre otra. A
continuación, usted aprenderá acerca de la administración básica.


FORTINET
Después de completar esta lección, usted debe ser capaz de:

• Administrar los perfiles de administrador
• Administrar los usuarios administrativos
• Definir el método de configuración para los usuarios administrativos

• Controlar el acceso administrativo a la GUI y CLI FortiGate
• Manejo de aspectos específicos de las interfaces de red
Demostrando competencia en la administración básica, usted será capaz de gestionar mejor a los usuarios administrativos e implementar prácticas de
seguridad más fuertes de todo el acceso administrativo.


FORTINET
La mayoría de las funciones están disponibles tanto en la GUI y CLI, pero hay algunas excepciones. Los informes no se pueden ver en la CLI. Además, la configuración
avanzada y comandos de diagnóstico para superusuarios por lo general no están disponibles en la interfaz gráfica de usuario.
A medida que se familiarice con el FortiGate, y especialmente si quieres la escritura de su configuración, es posible que desee utilizar la CLI, además de la
interfaz gráfica de usuario. Puede acceder a la CLI a través de ya sea el widget JavaScript en la interfaz gráfica de usuario llamado CLI consola, o a través
de un emulador de terminal tal como Tera Term ( http://ttssh2.sourceforge.jp/index.html.en ) O masilla ( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
). El emulador de terminal puede conectarse a través de la red-SSH o telnet o el puerto de consola local.
SNMP y otros protocolos administrativos también son compatibles, sino que son de sólo lectura. No pueden ser utilizados para la configuración básica.


FORTINET
Esta diapositiva muestra algunos comandos CLI básico que se puede utilizar para ver los comandos bajo un conjunto de comandos, compruebe el estado del sistema, y
la lista de atributos y sus valores para una interfaz.


FORTINET
Sea cual sea el método que utilice, de empezar una sesión como administrador. Comience por la creación de cuentas separadas para otros administradores. Por
razones de seguridad y de seguimiento, es una buena práctica para cada administrador a tener su propia cuenta. En el Crear nuevo En la lista desplegable, puede
seleccionar Administrador o Permite administrar la API REST. Por lo general, tendrá que elegir Administrador y luego asignar una Un perfil de administración, que
especifica permisos administrativos de ese usuario. Usted puede seleccionar REST API de administración Para añadir un usuario administrativo que utilizaría una
aplicación personalizada para acceder FortiGate con un API REST. La aplicación le permitirá iniciar sesión en FortiGate y llevar a cabo cualquier tarea que le asigna
su Un perfil de administración permisos. Otras opciones no se muestran aquí:
• En lugar de crear cuentas en FortiGate sí, podría configurar FortiGate para consultar un servidor de autenticación remota.
• En lugar de las contraseñas, los administradores pueden autenticarse utilizando certificados digitales emitidos por el servidor de la autoridad de
certificación interna.
Si usted hace uso de contraseñas, asegúrese de que son fuertes y complejos. Por ejemplo, podría utilizar varias palabras intercaladas con una
capitalización variable, y al azar los números y puntuacion insertar. No utilice contraseñas cortas, o contraseñas que contienen los nombres, fechas o
palabras que existen en cualquier diccionario. Estos son susceptibles al ataque de fuerza bruta. Para auditar la fuerza de sus contraseñas, utilizar
herramientas tales como L0phtcrack (http://www.l0phtcrack.com/) o John the Ripper (http://www.openwall.com/john/). El riesgo de un ataque de fuerza
bruta se incrementa si se conecta el puerto de administración de Internet. Con el fin de restringir el acceso a características específicas, puede asignar
permisos.


FORTINET
Al asignar permisos a un perfil de administrador, puede especificar lectura y escritura, de sólo lectura, o ninguno a cada área.
Por defecto, no es un perfil especial llamado super_admin, que es utilizado por la cuenta llamada administración. No se puede cambiar. Proporciona
acceso completo a todo, haciendo que la administración cuenta similar a una raíz
superusuario cuenta. los prof_admin es otro perfil predeterminado. También proporciona acceso completo, pero a diferencia de super_admin, sólo se aplica a su
dominio, no la configuración global virtuales de FortiGate. También, sus permisos se pueden cambiar. Usted no está obligado a utilizar un perfil predeterminado.
Podría, por ejemplo, crear un perfil denominado auditor_access
con permisos de sólo lectura. La restricción de los permisos de una persona a las necesarias para su puesto de trabajo es una buena práctica, porque incluso si
se ve comprometida esa cuenta, el compromiso de su FortiGate (o red) no es total. Para ello, crear perfiles de administrador, a continuación, seleccione el perfil
adecuado al configurar una cuenta. los Anular de espera en inactividad característica permite que el valor admintimeout, bajo sistema de configuración
accprofile, a ser anulado por el perfil de acceso. Perfiles de administración se pueden configurar para aumentar el tiempo de espera de inactividad y facilitar el uso
de la interfaz gráfica de usuario para el control central.
Tenga en cuenta que esto puede lograrse en función de cada perfil, para evitar que la opción de estar ajustado involuntariamente a nivel mundial.


FORTINET
¿Cuáles son los efectos de los perfiles de administración? En realidad
es más que sólo de lectura o escritura.
Dependiendo del tipo de perfil de administrador que asigne, un administrador puede no ser capaz de acceder a todo el FortiGate. Por ejemplo, podría
configurar una cuenta que puede ver sólo los mensajes de registro. Los administradores pueden no ser capaces de acceder a la configuración global, ya
sea fuera de su dominio virtual asignado. dominios virtuales (VDOMs) son una forma de subdividir los recursos y configuraciones en una sola FortiGate.
Los administradores con un alcance más pequeño de permisos no puede crear, o incluso ver, las cuentas con más permisos. Así, por ejemplo, un
administrador mediante el prof_admin o un perfil personalizado no puede ver, o restablecer la contraseña de, cuentas que utilizan el super_admin perfil.


FORTINET
Para aún más el acceso seguro a la seguridad de la red, utilizar la autenticación de dos factores.
autenticación de dos factores significa que en lugar de utilizar un método para verificar su identidad, por lo general una contraseña o un certificado digital-su
identidad se verificó mediante dos métodos. En el ejemplo mostrado en esta diapositiva, la autenticación de dos factores incluye una contraseña además de un
número generado aleatoriamente RSA de un FortiToken que se sincroniza con FortiGate.


FORTINET
¿Qué pasa si se olvida la contraseña de su administración cuenta o un empleado malicioso cambia?
Este método de recuperación está disponible en todos los dispositivos FortiGate e incluso algunos dispositivos no FortiGate como FortiMail. Es un temporal cuenta, sólo está
disponible a través del puerto de consola local, y sólo después de un reinicio de energía que alteran duro desconectando o apagar la alimentación, y luego restaurarlo.
FortiGate se debe desconectar físicamente fuera, luego se volvió de nuevo, no simplemente reiniciado a través de la CLI. los mantenedor inicio de sesión sólo estará disponible
para inicio de sesión durante unos 60 segundos después de la ultima de arranque (o menos tiempo en los modelos más antiguos).
Si no se puede garantizar la seguridad física, o tienen requisitos de cumplimiento, puede desactivar la mantenedor
cuenta. Con precaución; si se desactiva mantenedor y luego perder su administración contraseña, no puede recuperar el acceso a tu FortiGate. Con el fin de
recuperar el acceso en este escenario, tendrá que volver a cargar el dispositivo. Esto restablecerá a los valores de fábrica.


FORTINET
Otra manera de asegurar su FortiGate es definir los hosts o subredes que son de confianza fuentes de las que identificarse.
En este ejemplo, hemos configurado 10.0.1.10 como la única IP fiables para admin1 a partir del cual admin1 iniciar sesión. Si admin1 los intentos de iniciar
sesión desde una máquina con cualquier otra IP, recibirán un mensaje de error de autenticación.
Nota: Si el host de confianza se configura en todos los administradores y un administrador está tratando de iniciar sesión desde una dirección IP que no se
encuentra en cualquiera de los host de confianza para cualquier administrador, el administrador no obtendrá la página de inicio de sesión, sino que recibirá un
mensaje “ Incapaz de contactar con el servidor". Si deja ninguna dirección IPv4 como 0.0.0.0/0, esto significa que se permitirá conexiones desde cualquier dirección
IP de origen. Por defecto, 0.0.0.0/0 es la configuración de administrador, aunque es posible que desee cambiar esto.
Observe que cada cuenta puede definir su host de administración o subred diferente. Esto es especialmente útil si va a configurar VDOMs en su
FortiGate, donde los administradores de la VDOM pueden ni siquiera pertenecen a la misma organización. Estar al tanto de cualquier NAT que se
produce entre el dispositivo y FortiGate deseada. Se puede evitar fácilmente que un administrador de iniciar sesión desde la dirección IP deseada, si
es posterior NAT'd a otra dirección antes de llegar a FortiGate, anulando así el propósito de los hosts de confianza.


FORTINET
También es posible que desee personalizar los números de puerto protocolos administrativos.
Puede elegir si desea permitir sesiones concurrentes. Esto se puede utilizar para evitar los ajustes de la sobrescritura, si suele mantener varias pestañas abiertas del
navegador, o lo deja accidentalmente una sesión CLI abiertos sin guardar los ajustes, a continuación, iniciar una sesión de interfaz gráfica de usuario, y sin querer editar la
misma configuración diferente. Para mayor seguridad, utilice únicamente los protocolos seguros, y hacer cumplir complejidad de la contraseña y cambios. los Tiempo de
inactividad es el número de minutos antes de que un administrador de tiempos de la sesión inactiva fuera (por defecto es de 5 minutos). Un tiempo de espera más corto
es más seguro, pero aumentando el contador de tiempo puede ayudar a reducir la probabilidad de que los administradores se registra mientras se prueba los cambios.
Puede anular este tiempo de inactividad por perfiles de administración, por favor refiérase a la nueva función de Anulación de espera en inactividad en Perfiles de administración.
Anular de espera en inactividad - Perfiles de administración se pueden configurar para aumentar el tiempo de espera de inactividad y facilitar el uso de la interfaz gráfica de
usuario para el control central. Esta nueva característica permite que el valor admintimeout, bajo accprofile sistema de configuración, a ser anulado por el perfil de acceso.
Tenga en cuenta que esto puede lograrse en función de cada perfil, para evitar la opción de estar ajustado involuntariamente a nivel mundial.


FORTINET
Que haya definido la subred-que la administración es, los anfitriones-confianza para cada cuenta de administrador. ¿Cómo se puede activar o desactivar los
protocolos de gestión?
Esto es específico para cada interfaz. Por ejemplo, si los administradores se conectan a FortiGate sólo de port3, a continuación, debe deshabilitar el acceso
administrativo en todos los demás puertos. Esto evita los intentos de fuerza bruta y también el acceso inseguro. Sus protocolos de gestión son HTTPS, HTTP,
PING, SSH. Por defecto, la opción TELNET no es visible en la interfaz gráfica de usuario.
Tenga en cuenta la ubicación de la interfaz de la red. Activación de PING en una interfaz interna es útil para la resolución de problemas. Sin embargo, si se
trata de una interfaz externa (en otras palabras expuestas a Internet), es que el protocolo PING podría exponer FortiGate a un ataque de denegación de
servicio. Los protocolos que no cifran el flujo de datos, tales como HTTP y Telnet, deben ser desactivados. protocolos IPv4 e IPv6 están separados. Es
posible tener ambas direcciones IPv4 e IPv6 en una interfaz, pero sólo responderá a los pings en IPv6. Tenga en cuenta que algunos protocolos como son
FortiTelemetry no para el acceso administrativo, pero, al igual que el acceso GUI y CLI, que son protocolos, donde los paquetes tendrán FortiGate como un
destino de IP-FortiGate y no usar sólo como el siguiente salto o un puente. El protocolo FortiTelemetry se utiliza específicamente para la gestión de
FortiClients y Tela de Seguridad. protocolo FMG-Access se utiliza específicamente para la comunicación con FortiManager cuando ese servidor es la gestión
de múltiples dispositivos FortiGate. El protocolo CAPWAP se utiliza para FortiAP, FortiSwitch y FortiExtender cuando son administrados por FortiGate.
protocolo de contabilidad RADIUS se utiliza cuando FortiGate necesita para escuchar y procesar los paquetes RADIUS de contabilidad para inicio de sesión
único de autenticación. FTM, o empujar FortiToken móvil, apoya las solicitudes de autenticación de factor de segundo de una aplicación móvil FortiToken. El
servicio Push es proporcionado por Apple (APN) y Google (GCM) para iPhone y teléfonos inteligentes Android, respectivamente. Además, FortiOS soporta
push FTM cuando FortiAuthenticator es el servidor de autenticación.


FORTINET
FortiGate tiene cientos de características. Si usted no utiliza todos ellos, ocultando las características que usted no utiliza hace que sea más fácil centrarse en su
trabajo.
Ocultación de una característica en el GUI no deshabilitarlo. Todavía es funcional, y todavía se puede configurar mediante la CLI. Algunas funciones avanzadas o
menos de uso común, tales como IPv6, están ocultas por defecto. Para mostrar las características ocultas, haga clic sistema> Visibilidad función.


FORTINET
Recuerde, cuando FortiGate es en modo NAT, cada interfaz que maneja el tráfico debe tener una dirección IP. Cuando está en modo NAT, la dirección IP puede ser
utilizado por FortiGate a la fuente el tráfico, si es que necesita para iniciar o responder a una sesión, y se puede utilizar como una dirección de destino para los dispositivos
que tratan de ponerse en contacto con FortiGate o enrutar el tráfico a través de él. Hay varias maneras de obtener una dirección IP:
• manual
• automático, usando DHCP o PPPoE
Hay dos excepciones al requisito de dirección IP: la Uno-Brazo Sniffer y Dedicado a FortiSwitch
tipos de interfaz. Estas interfaces son no asignado una dirección.
• Cuando Uno-Brazo Sniffer se selecciona como el modo de direccionamiento, la interfaz no está en línea con el flujo de tráfico, sino que está
recibiendo una copia del tráfico de un puerto duplicado en un interruptor. La interfaz opera en el tráfico de exploración modo promiscuo que ve, pero es
incapaz de hacer cambios como el paquete original ya ha sido procesado por el conmutador. Como resultado, Uno-Brazo Sniffer se utiliza sobre todo
en la prueba de concepto (POC) o en entornos en los requisitos de las empresas afirman que el tráfico no debe ser cambiado, sólo se registran.
• Cuando Dedicado a FortiSwitch se selecciona como el modo de direccionamiento, FortiGate asigna automáticamente una dirección IP a esta
interfaz. Dedicado a FortiSwitch es una opción de la interfaz que se utiliza para gestionar FortiSwitch de FortiGate.


FORTINET
¿Cuántas veces usted ha visto los problemas de red causados por un servidor DHCP-cliente-no está activado en la interfaz WAN?
Se puede configurar la función de la interfaz. Las funciones que se muestran en la GUI son los valores de la interfaz habituales para esa parte de una topología. Ajustes
que no se aplican a la función actual están ocultas en la interfaz gráfica de usuario (todos los valores están siempre disponibles en la línea de comandos sin tener en
cuenta el papel). Esto evita una mala configuración accidental. Por ejemplo, cuando el papel está configurado como WAN, no hay ninguna configuración de detección de
servidor DHCP y el dispositivo disponible. detección de dispositivos se utiliza generalmente para detectar los dispositivos internos de la LAN. Si hay un caso inusual, y hay
que utilizar una opción que está oculto por el papel actual, siempre se puede cambiar el papel de Indefinido. Esta muestra todas las opciones.
Para ayudarle a recordar el uso de cada interfaz, se les puede dar alias. Por ejemplo, se podría llamar como port3 red interna. Esto puede
ayudar a hacer su lista de políticas más fácil de comprender.


FORTINET
Antes de integrar FortiGate en su red, debe configurar una puerta de enlace predeterminada. Si FortiGate obtiene su dirección IP a través de un
método dinámico como DHCP o PPPoE, entonces también debe recuperar la puerta de enlace predeterminada.
De lo contrario, debe configurar una ruta estática. Sin esto, FortiGate no será capaz de responder a los paquetes fuera de las subredes conectadas
directamente a sus propias interfaces. Es probable que también no será capaz de conectarse a FortiGuard de actualizaciones y no puede enrutar el tráfico
correctamente.
detalles de una ruta están cubiertos en otra lección. Por ahora, usted debe asegurarse de que FortiGate tiene una ruta que coincida con todos los
paquetes (destino es 0.0.0.0/0), conocida como una ruta por defecto, y las envía a través de la interfaz de red que está conectado a Internet, a la
dirección IP del router siguiente. Enrutamiento completa los ajustes de red básicos que se requieren para poder configurar las directivas de
cortafuegos.


FORTINET
La agregación de enlaces se une lógicamente múltiples interfaces físicas en un solo canal. La agregación de enlaces aumenta el ancho de banda y
proporciona redundancia entre dos dispositivos de red.


FORTINET


FORTINET
¡Buen trabajo! Ahora tiene los conocimientos necesarios para llevar a cabo algunas tareas básicas de administración. A continuación, usted aprenderá acerca de los servidores
incorporados.


FORTINET
• Habilitar el servicio DHCP en FortiGate
• Habilitar el servicio DNS en FortiGate
• Entender las posibilidades de configuración y algunas de sus implicaciones
Demostrando competencia en la aplicación del DHCP y DNS servidores integrados que sabrá cómo proporcionar estos servicios a
través de FortiGate.


FORTINET
Los clientes inalámbricos no son los únicos que pueden utilizar FortiGate como su servidor DHCP. Para una interfaz (tal como port3), seleccione el Manual opción,
introduzca una dirección IP estática, y luego permitir que el servidor DHCP opción. Las opciones para la incorporada en el servidor DHCP aparecerá, incluyendo
funciones de aprovisionamiento, como las opciones de DHCP y reservas MAC. También puede bloquear direcciones MAC específicas de recibir una dirección IP.
Obsérvese que en la pantalla en el lado derecho de la corredera, en el Reserva MAC + Control de Acceso
sección, en el Acción o IP columna, que la lista desplegable ofrece tres opciones:

• IP de reserva: permita enlazar una dirección IP específica a una dirección MAC.
• Asignar IP: permite que el servidor DHCP para asignar de su conjunto de direcciones a la dirección MAC identificada. Un dispositivo que recibe una
dirección IP siempre recibirá la misma dirección siempre que su concesión no ha expirado.
• Bloquear: el equipo con la dirección MAC y la identificada Bloquear opción no recibirá una dirección IP.


FORTINET
Para que el servidor DHCP incorporado, se puede reservar direcciones IP específicas para los dispositivos con direcciones MAC específicas. La acción de Las direcciones
MAC desconocidas define lo que el servidor DHCP del FortiGate hará cuando se hace una petición de un MAC no dirección que aparece de forma explícita.


FORTINET
Al igual que con DHCP, también puede configurar FortiGate para actuar como su servidor DNS local. Puede activar y configurar el DNS por
separado en cada interfaz.
Un servidor DNS local puede mejorar el rendimiento de su FortiMail u otros dispositivos que utilizan con frecuencia las consultas DNS. Si su FortiGate ofrece
DHCP para su red local, DHCP se puede utilizar para configurar los hosts para utilizar FortiGate como la puerta de enlace y el servidor DNS. FortiGate puede
responder a las consultas de DNS en una de tres maneras:
• Adelante: retransmite todas las consultas a un servidor DNS independiente (que ha configurado en Red> DNS); es decir, que actúa como un relé DNS en
lugar de un servidor DNS.
• No recursivo: las respuestas a las consultas de bases de datos de artículos en DNS de FortiGate; no reenviar las consultas que no tienen solución.
• Recursiva: las respuestas a las consultas de bases de datos de artículos en DNS de FortiGate; reenvía todas las otras consultas a un servidor DNS
independiente para su resolución. Puede configurar todos los modos en la GUI o CLI.


FORTINET
Si elige recursiva, FortiGate consulta su propia base de datos antes de reenviar las solicitudes no resueltas a los servidores DNS externos.
Si elige la opción de reenvío de DNS, puede controlar las consultas DNS dentro de su propia red, sin tener que introducir ningún nombre
DNS en el servidor DNS de FortiGate.


FORTINET
Si usted elige tener sus consultas resolver el servidor de DNS, o elegir un DNS dividido, debe configurar una base de datos DNS en su
FortiGate.
Esto define los nombres de host que se FortiGate para resolver consultas. Tenga en cuenta que FortiGate soporta actualmente sólo los tipos de registros DNS que figuran en
esta diapositiva.


FORTINET


FORTINET
¡Buen trabajo! Ahora ya sabe cómo habilitar servicios DHCP y DNS en FortiGate, y tienen una cierta comprensión de posibilidades de configuración. A
continuación, usted aprenderá sobre el mantenimiento fundamental.


FORTINET
• Una copia de seguridad y restaurar los archivos de configuración del sistema
• Comprender los requisitos para restaurar texto y archivos de configuración encriptados
• Identificar la versión actual del firmware
• Actualización de firmware
• firmware rebaja
Demostrando competencia en la ejecución de tareas básicas de mantenimiento de FortiGate, usted será capaz de realizar las actividades vitales de copia de
seguridad y restaurar y actualizar o degradar el firmware, y asegurarse de que FortiGate sigue siendo fiable en servicio durante todo su ciclo de vida.


FORTINET
Ahora que tiene la configuración de red FortiGate básicas y las cuentas administrativas, podrás buscar la forma de copia de seguridad de la adición configuration.In
de seleccionar el destino del archivo de copia de seguridad, puede elegir para cifrar o no para cifrar el archivo de copia de seguridad. Incluso si decide no cifrar el
archivo, que es el valor por defecto, las contraseñas almacenadas en el archivo son ordenadas, y, por lo tanto, ofuscado. Las contraseñas que se almacenan en el
fichero de configuración incluirían las contraseñas de los usuarios administrativos y usuarios locales, y las claves previamente compartidas para su IPSec VPN.
También puede incluir contraseñas para los servidores FSSO y LDAP.
La otra opción es para cifrar el archivo de configuración con una contraseña. Además de asegurar la privacidad de su configuración, sino que también
tiene algunos efectos que no se pueden esperar. Después de cifrado, el archivo de configuración no puede ser descifrado sin la contraseña y una
FortiGate del mismo modelo y firmware. Esto significa que si se envía un archivo de configuración de cifrado al soporte técnico de Fortinet, incluso si se
les da la contraseña, no pueden cargar su configuración hasta que consiguen el acceso al mismo modelo de FortiGate. Esto puede causar demoras
innecesarias en la resolución de su billete.
Si habilita dominios virtuales (VDOMs), que subdividen los recursos y la configuración de su FortiGate, cada administrador VDOM puede realizar copias de
seguridad y restaurar sus propias configuraciones. Usted no tiene que realizar copias de seguridad de toda la configuración FortiGate, sin embargo, todavía se
recomienda.
Se necesitan copias de seguridad para ayudar a acelerar el retorno a la producción en el caso de un desastre imprevisto que dañe FortiGate. Tener que
volver a crear cientos de políticas y objetos desde cero toma una cantidad significativa de tiempo, durante la carga de un archivo de configuración en un
nuevo dispositivo tarda mucho menos. Restauración de un archivo de configuración es muy similar a la copia de uno y reinicia el FortiGate.


FORTINET
Si abre el archivo de configuración en un editor de texto, verá que los dos archivos de configuración codificado o abierto contienen una cabecera de
texto claro que contiene información básica sobre el dispositivo. El ejemplo de esta diapositiva muestra qué información es included.To restaurar una
configuración de cifrado, debe cargarlo en un FortiGate del mismo modelo y firmware, a continuación, proporcionar la contraseña.
Para restaurar un archivo de configuración no cifrado, se le requiere para que coincida con sólo el modelo FortiGate. Si el firmware es diferente, FortiGate
intentará actualizar la configuración. Esto es similar a la forma en que utiliza scripts de actualización de la configuración existente al actualizar el firmware. Sin
embargo, todavía se recomienda para que coincida con el firmware de FortiGate al firmware que aparece en el archivo de configuración.
Por lo general, el archivo de configuración sólo contiene la configuración no predeterminada, además de unos pocos por defecto, pero crucial, ajustes. Esto reduce al mínimo el tamaño
de la copia de seguridad, que de otro modo podrían haber varios MB de tamaño.


FORTINET
Puede ver la versión actual del firmware en varios lugares de la interfaz gráfica de usuario FortiGate. La primera vez que inicie sesión en FortiGate, la
página de destino es la Tablero. Verá la versión del firmware en el Sistema Widget. Esta información también se encuentra en Sistema> Firmware. Y, por
supuesto, se puede recuperar la información de la CLI mediante el comando obtener el estado del sistema.
Si hay una nueva versión del firmware disponible, se le notificará en el Tablero y en el firmware
página.
Recuerde leer el Notas de lanzamiento para asegurarse de que usted entiende la ruta de actualización. los
Notas de lanzamiento también proporcionar información pertinente que pueda afectar a la actualización.


FORTINET
La actualización del firmware de FortiGate es simple. Hacer clic Sistema> Firmware, y luego buscar el archivo de firmware que ha
descargado de support.fortinet.com o optar por actualizar en línea.
Si desea realizar una instalación limpia al sobrescribir tanto el firmware existente y su configuración actual, puede hacerlo utilizando la CLI consola local,
dentro del menú del gestor de arranque, mientras que FortiGate se está reiniciando. Sin embargo, este no es el método habitual.


FORTINET
También puede degradar el firmware. Dado que la configuración cambian en cada versión del firmware, usted debe tener un archivo de
configuración en la sintaxis que es compatible con el firmware. Recuerde leer el Notas de lanzamiento. A veces una rebaja entre versiones de
firmware que conserva la configuración no es posible, tal como cuando el OS cambió de 32 bits a 64 bits. En esa situación, la única manera de
degradar es formatear el disco, vuelva a instalar.
Después de confirmar que la rebaja es posible, verificar todo de nuevo, a continuación, iniciar la rebaja. Una vez finalizada la rebaja, restaurar una
copia de seguridad de configuración que es compatible con esa versión. ¿Por qué debe mantener el firmware de emergencia y el acceso físico?
Las versiones anteriores de firmware no saben cómo convertir configuraciones posteriores. También, cuando se actualiza a través de un camino que no es
compatible con los scripts de traducción configuración, podría perderá todos los ajustes excepto los ajustes de acceso básicos, tales como cuentas de
administrador y las direcciones IP de las interfaces de red. Otra rara, pero posible, escenario es que el firmware podría estar dañado cuando se está cargando la
misma. Por todas estas razones, siempre se debe tener acceso a la consola local durante una actualización. Sin embargo, en la práctica, si usted lee el
Notas de lanzamiento y tener una conexión fiable a la GUI o CLI, no debería ser necesario.


FORTINET


FORTINET
¡Buen trabajo! Ahora ya sabe cómo mantener FortiGate en un nivel fundamental. A continuación, usted aprenderá acerca de FortiGate dentro de la tela de Seguridad.


FORTINET

• Definir la seguridad Fortinet Tela
• Identificar por qué se requiere la tela de Seguridad
• Identificar los dispositivos de Fortinet que participan en el tejido, especialmente los esenciales
• Comprender la forma de configurar la Tela de seguridad en un nivel alto
Demostrando competencia en los conceptos de alto nivel de la Tela de Seguridad Fortinet va a entender mejor el valor de los tejidos de
seguridad, los servidores que lo componen, y la forma de implementarlo.


FORTINET
¿Cuál es la tela de Seguridad Fortinet?
Se trata de una solución empresarial de Fortinet que permite un enfoque holístico de la seguridad de la red, por lo que el panorama de las redes es visible a través
de una única consola y todos los dispositivos de red están integrados en una defensa gestionada centralmente y automatizada.
Los dispositivos de red incluyen todos los componentes, a partir de puntos final físico a los dispositivos virtuales en la nube. Dado que los dispositivos son gestionados
de forma centralizada y están compartiendo inteligencia de amenazas entre sí en tiempo real, y está recibiendo actualizaciones de Fortinet en el nivel macro, la red
puede identificar rápidamente, aislar y neutralizar amenazas a medida que aparecen.
La Tela seguridad tiene los siguientes atributos:

• Ancho: Se cubre toda la superficie de ataque de la IO a la nube.
• powerfu l: procesadores de seguridad se han desplegado para garantizar un alto rendimiento de la red al tiempo que ofrece una seguridad integral.
• automatizado: inteligencia de amenazas se intercambia entre los componentes de red en tiempo real permite la respuesta automática a las
amenazas.
Podríamos añadir un cuarto atributo de la Fábrica de Seguridad, lo que sería abierto. El API y el protocolo están disponibles para otros proveedores a
unirse y para la integración socio. Esto permite la comunicación entre dispositivos Fortinet y de terceros.


FORTINET
¿Por Fortinet ha considerado la tela de Seguridad una solución esencial para una sólida defensa de la red? A medida que las redes han evolucionado y varios nuevos
tipos de amenazas a la superficie, productos de seguridad de punto fueron desplegados para hacer frente a estas nuevas amenazas. A menudo, estas soluciones
parciales fueron efectivos, pero los productos que implementan utilizando diferentes normas y protocolos a menudo significa que los recursos de defensa no se podrían
coordinar de manera efectiva. La ilustración en la parte derecha de la diapositiva cuenta una historia de una red que ha desplegado las soluciones de seguridad de
cuatro proveedores diferentes. El administrador en el centro, trabajando desde la consola de seguridad, tiene visibilidad en sólo algunas de las soluciones de seguridad.
Esta falta de visibilidad de toda la defensa de la red es un defecto grave, y podría permitir a un infiltrado ajeno a penetrar las defensas de la red sin ser detectados.
La enorme complejidad de las redes actuales agrava este problema. Además, el malware cada vez más sofisticado tiene una superficie de ataque en el
que la expansión de explotar, ya que las redes han escapado de los confines de un perímetro de la red tradicional y se han extendido a las redes
virtuales y las nubes públicas. Añadir a esta mezcla, el número cada vez mayor de dispositivos no administrados como resultado de los programas
traiga su propio dispositivo, y usted tiene la tormenta perfecta seguridad.
La solución más viable es la construcción de un enfoque de gestión centralizada, holístico a la seguridad, el cual tiene una línea de visión clara a todos los
puntos de infiltración potencial y puede coordinar las defensas para contener y neutralizar las violaciones de la red.


FORTINET
Dos o más dispositivos FortiGate y FortiAnalyzer son los productos requeridos en el núcleo de la solución. Para añadir una mayor visibilidad y control,
Fortinet recomienda agregar FortiManager, FortiAP, FortiClient, FortiSandbox, FortiMail y FortiSwitch. La solución se puede ampliar mediante la adición
de otros dispositivos de seguridad de la red.


FORTINET
La configuración de FortiManager y FortiCloud administración central se puede realizar en la configuración de seguridad de la tela.
FortiMail se puede añadir en la configuración de seguridad de la tela. FortiMail estadísticas se muestran en el widget de panel FortiOS mediante la
API de descanso.
Puntos de acceso inalámbricos se pueden añadir en la configuración de seguridad de la tela. punto final y la visibilidad SSID se pueden establecer utilizando la API de descanso.
FortiCache y FortiWeb se pueden añadir en la configuración de seguridad de la tela, lo que permite utilizar FortiGate disco de FortiCache como almacenamiento local
para el almacenamiento en caché en lugar de la WCCP.
FortiClient configuración de EMS ha sido incorporado en la configuración de seguridad de la tela. Un cliente se considera compatible si es dirigido por
uno de los servidores de EMS indicados. Puede añadir hasta tres servidores de EMS.


FORTINET
flujos de trabajo automatizados definidos por el administrador (llamados puntos) utilizan if / then para causar FortiOS para responder automáticamente a un evento de
una manera preprogramada. Debido a este flujo de trabajo es parte de la estructura de seguridad se puede configurar si / entonces declaraciones para cualquier
dispositivo en el tejido de Seguridad.
Desencadenar:
El atributo de activación define el tipo de evento. Indicador de compromiso (COI) se activa si FortiAnalyzer ofrece un mensaje de COI a
FortiGate. Este mensaje será recibido por el nodo raíz en el tejido de la seguridad.
Acción:
Si configura un disparador COI, se puede elegir entre varias opciones en el Acción sección, como
Cuarentena y Ban IP. Ambas opciones bloquean todo el tráfico de las direcciones de origen señalados por el COI. dispositivos en cuarentena se marcan
en las topologías de tela seguridad. También puede hacer clic monitorear> monitor de cuarentena para ver las direcciones IP en cuarentena y
prohibidas. direcciones en cuarentena se eliminan automáticamente de la cuarentena después de un período de tiempo configurable. direcciones IP no
permitidas pueden ser removidos de la lista sólo por la intervención del administrador.
Registro de eventos proporciona al usuario la flexibilidad de definir un disparador basado en un identificador de registro específico.


FORTINET
Tela conector le permite integrar el apoyo de nubes múltiples, tales como ACI, AWS, por nombrar algunos. Aplicación Centric Infraestructura (ACI): El
conector de SDN sirve como una puerta de enlace de puente controladores SDN y dispositivos FortiGate. El conector SDN registra a sí mismo a la
APIC en el tejido de Cisco ACI, las encuestas objetos interesados, y las traduce en objetos de dirección. Los objetos de dirección traducidos y los
puntos finales asociados pueblan el FortiGate.
FortiGate VM para Microsoft Azure también es compatible con la nube-init y bootstrapping.


FORTINET
En este sencillo red que comprende sólo los dispositivos básicos de una tela de Seguridad, tenemos una FortiAnalyzer y un firewall de próxima generación
(NGFW) FortiGate. Este ejemplo de aplicación está pensado para ser sólo una visión de alto nivel. Para más detalles, véase docs.fortinet.com. El FortiGate
llamado “externo” está actuando como el firewall perimetral y también se configura como el raíz cortafuegos de seguridad dentro de la tela. Aguas abajo de
la raíz cortafuegos tenemos tres servidores de seguridad segmentación interna que compartimentan la WAN con el fin de contener una violación, así como
el control de acceso a varias redes de área local. En este ejemplo, tenemos Contabilidad, Marketing y redes de área local de venta.


FORTINET
En primer lugar, en el FortiGate raíz, debe habilitar FortiTelemetry en las interfaces frente a cualquier FortiGate aguas abajo. Entonces, es necesario
configurar un nombre de grupo y una contraseña para la Seguridad de la tela. También es necesario configurar la dirección IP FortiAnalyzer. Esta
configuración FortiAnalyzer será empujado a todos los dispositivos FortiGate aguas abajo.
En segundo lugar, en los dispositivos FortiGate aguas abajo, debe habilitar FortiTelemetry y Detección de dispositivos en las interfaces que enfrenta
dispositivos FortiGate aguas abajo. Entonces, es necesario configurar el mismo nombre del grupo, contraseña y dirección IP del FortiGate aguas arriba en
el Tejido de seguridad> Ajustes sección.


FORTINET
Evaluación de seguridad es un servicio de suscripción que requiere licencia de evaluación de seguridad. Este servicio le permite:
• Dinámicamente recibir actualizaciones de FortiGuard.
• Ejecutar Clasificación de seguridad comprueba para cada dispositivo con licencia en una tela de Seguridad.
• Ejecutar Clasificación de seguridad comprueba en el fondo o en la demanda.

• Presentar los resultados de calificación a FortiGuard y recibir las puntuaciones de evaluación de FortiGuard, para clasificar los clientes por percentil.
Tela Clasificación Servicio de Seguridad ahora se expande y se corre mejores artículos prácticas para auditar a través de toda su red
- comprobación de contraseña, mejores prácticas y más para fortalecer aún más la seguridad de la red.
• Ocupa el lugar percentil clientes utilizando auditoría de seguridad (datos FortiGuard): Clasificación de seguridad ahora es compatible con el envío de los resultados a
FortiGuard, y la recepción de las estadísticas de FortiGuard. Se muestra a los clientes en forma de porcentaje.
• Las auditorías de seguridad ahora se ejecutan en segundo plano, no sólo en la demanda cuando un administrador inicia sesión en la interfaz gráfica de usuario. Al ver la página de
Auditoría de Seguridad los últimos datos de auditoría de seguridad ahorrado es cargado. Desde la interfaz gráfica de usuario puede ejecutar las auditorías sobre la demanda y ver
los resultados para los diferentes dispositivos de la Tela de Seguridad. También puede ver todos los resultados o los resultados de las pruebas solo fallidos.
• Clasificación de seguridad (anteriormente denominado Seguridad Tela Auditoría) incluye nuevos controles de seguridad que pueden ayudar a realizar
mejoras en la red de la organización, tales como reforzar la seguridad de contraseña, aplicar umbrales intento de conexión recomendadas, fomentar
autenticación de dos factores, y más.


FORTINET


FORTINET
¡Felicidades! Ha completado esta lección.
Ahora, va a revisar los objetivos que están cubiertos en la lección.


FORTINET
Esta lección cubre los siguientes objetivos:

• Identificar las principales características de FortiGate, servicios y servidores incorporados
• Identificar las diferencias entre los dos modos de funcionamiento, y la relación entre FortiGate y FortiGuard
• Identificar los valores predeterminados de fábrica, ajustes básicos de red y puertos de la consola
• Ejecutar tareas básicas de administración, tales como la creación de usuarios administrativos y perfiles de administrador
• Ejecutar copia de seguridad y restauración de la configuración, y discutir los requisitos para la restauración de un archivo de configuración de cifrado
• Iniciar una actualización y degradación del firmware

• Identificar las características de la tela de Seguridad de Fortinet, el papel de FortiGate en ella, y la instalación de alto nivel
FortiGate Seguridad 6.0 Guía de estudio sesenta y cinco

• Las políticas de firewall

FORTINET
En esta lección, aprenderá a comprender y aplicar políticas de cortafuegos para permitir y denegar el tráfico que pasa a través de FortiGate. En su
esencia, FortiGate es un servidor de seguridad, por lo que casi todo lo que hace a su tráfico está vinculado a sus políticas de firewall.


FORTINET
En esta lección, explorará los siguientes temas:

• políticas de cortafuegos
• Configuración de las directivas de cortafuegos
• La gestión de las políticas de firewall
• Las mejores prácticas y resolución de problemas


FORTINET

• Identificar los componentes de las políticas de firewall
• Comprender cómo FortiGate coincide con el tráfico a las políticas de firewall de interfaz o zona, origen, destino, servicio o programa de
Demostrando competencia en la identificación de los diferentes componentes de las políticas de firewall, y reconocer cómo FortiGate coincide con el
tráfico con las directivas de cortafuegos y toma la acción apropiada, usted tendrá una mejor comprensión de cómo las políticas de firewall interactúan con
el tráfico de red.


FORTINET
Para empezar, vamos a hablar de lo que son las políticas de firewall.
políticas de cortafuegos definen la que el tráfico que coincide y lo que va a hacer FortiGate si coincide. Se debe permitir el tráfico? Inicialmente, las
bases FortiGate esta decisión en criterios simples, tales como el origen del tráfico. Entonces, si la política no bloquea el tráfico, FortiGate comienza un
perfil de seguridad más costoso computacionalmente inspección, a menudo conocida como la gestión unificada de amenazas (UTM) -tales como
antivirus, control de aplicaciones y filtrado web, si usted ha elegido en el política. Esas exploraciones podrían bloquear el tráfico si, por ejemplo,
contiene un virus. De lo contrario, se permite el tráfico. Será la traducción de direcciones de red (NAT) se aplicará? ¿Autenticacion requerida?
políticas de cortafuegos también determinan las respuestas a estas preguntas. Después del procesamiento está terminado, FortiGate reenvía el
paquete hacia su destino.
FortiGate busca la política de cortafuegos de juego de arriba hacia abajo y, si se encuentra una coincidencia, el tráfico se procesa en base a la política de
cortafuegos. Si no se encuentra ninguna coincidencia, el tráfico se redujo en el valor por defecto implícita Deny política de firewall.


FORTINET
Cada política coincide con el tráfico y la seguridad se aplica al referirse a los objetos que ha definido, como las direcciones y perfiles.
¿Qué pasa con otros tipos de políticas de firewall? ¿Existen políticas de alambre virtuales IPv6 o? Sí. Estas políticas utilizan ligeramente diferentes
objetos que son relevantes para su tipo. En esta lección, estamos hablando de políticas de cortafuegos de IPv4, ya que son el caso de uso más
común.


FORTINET
Cuando llega un paquete, ¿cómo FortiGate encontrar una que cumpla la directiva? Cada política tiene criterios de coincidencia, que se puede definir mediante los
siguientes objetos:
• Ingress y interfaces de salida

• Fuente: Dirección IP, usuario, ID de dispositivo
• Destino: dirección IP o servicios de Internet
• servicio de red (s): protocolo IP y número de puerto
• Horario: se aplica durante los tiempos configurados
Cuando el tráfico coincide con una política de cortafuegos, FortiGate se aplica la acción configurada en la política del cortafuegos.
• Si el Acción se establece en NEGAR, FortiGate bajará la sesión.
• Si el Acción se establece en ACEPTAR, FortiGate se aplicará otras opciones configuradas para el procesamiento de paquetes, tales como la exploración
antivirus, filtrado web, o la fuente de NAT.
Por ejemplo, si desea bloquear FTP entrante a casi todos los servidores FTP, debe definir las direcciones de los servidores FTP, seleccionar aquellos
como el destino, y seleccione FTP como el servicio. Probablemente no lo haría especificar una fuente (a menudo se permite cualquier ubicación en
Internet) o programa (por lo general los servidores FTP están siempre disponibles, de día o de noche). Por último, se debe establecer la Acción el
establecimiento de ACEPTAR.
Esta podría ser suficiente, pero a menudo querrá seguridad más completa. Aquí, la política también autentica al usuario, explora en busca de virus, y
los registros bloqueado intentos de conexión.
Nota: Vamos a discutir la Acción de APRENDER más adelante en la lección.


FORTINET
Para empezar describiendo cómo FortiGate encuentra una directiva para cada paquete, vamos a empezar con la interfaz (s). Los paquetes llegan en un
entrante o entrada, interfaz. Enrutamiento determina el saliente, o de salida, interfaz. En cada póliza, debe establecer una fuente y la interfaz de destino;
incluso si uno o ambos están establecidos a

alguna. Ambas interfaces deben coincidir con los criterios de la interfaz de la política con el fin de ser una persona compatible. Por ejemplo, si configura
políticas entre port3 (LAN) de ingreso y egreso port1 (WAN) y un paquete llega en el puerto 2, el paquete sería no coincida con sus políticas y por lo tanto
debería ser eliminado debido a la política de negar implícita al final de la lista. Incluso si la política es de port3 entrada (LAN) a cualquier salida, el
paquete todavía se cayó porque no coincide con la interfaz de entrada. Para simplificar la configuración de directiva, puede interfaces de grupo en las
zonas lógicas. Por ejemplo, usted podría grupo PORT4 a port7 como zona DMZ. Las zonas se pueden crear a partir de la Interfaces página. Sin
embargo, debe tener en cuenta que una interfaz en una zona que no se puede hacer referencia de forma individual, y si es necesario agregar la interfaz a
la zona, debe quitar todas las referencias a esa interfaz (por ejemplo, políticas de firewall, direcciones de servidor de seguridad, y así sucesivamente) . Si
usted piensa que puede que tenga que hacer referencia a las interfaces de forma individual, se debe configurar múltiples interfaces de origen y destino en
la política del cortafuegos, en lugar de utilizar zonas.


FORTINET
Por defecto, sólo se puede seleccionar una única interfaz como el interfaz de entrada y una única interfaz como interfaz de salida. Esto se debe a que la
opción para seleccionar múltiples interfaces, o cualquier interfaz en una política de cortafuegos, está desactivada en la interfaz gráfica de usuario. Sin
embargo, puede activar la Políticas de interfaz de múltiples opción en el
característica Visibilidad página para deshabilitar la restricción única interfaz. También puede seleccionar múltiples interfaces, o seleccione el alguna opción,
si configura un directivo de seguridad en el

CLI, independientemente del ajuste de interfaz gráfica de usuario por defecto. También vale la pena mencionar que cuando se elige el alguna opción de
interfaz, no se puede seleccionar varias interfaces para esa interfaz. En este ejemplo, porque alguna se selecciona como la interfaz de salida, no se
puede agregar interfaces adicionales, como alguna Interfaz implica que todas las interfaces ya han sido seleccionados.


FORTINET
Los siguientes criterios de coincidencia que FortiGate considera es la fuente del paquete. En cada política de cortafuegos, debe seleccionar un objeto de dirección
de origen. Opcionalmente, se puede afinar la definición de la dirección de origen de además la selección de un usuario, un grupo, o un dispositivo específico. Si su
organización permite traer su propio dispositivo (BYOD), a continuación, una combinación de las tres proporciona un partido mucho más granular, para mayor
seguridad. También puede seleccionar objetos ISDB como fuente en la política del cortafuegos del que hablaremos más adelante en la lección.
Al seleccionar un nombre de dominio completo (FQDN) como la dirección de origen, que debe ser resuelto por el DNS y se almacena en FortiGate. Asegúrese de
FortiGate está configurado correctamente para la configuración de DNS. Si FortiGate no es capaz de resolver una dirección FQDN, se presentará un mensaje de
advertencia, y una política de cortafuegos configurado con ese nombre de dominio completo puede no funcionar correctamente.


FORTINET
Si un usuario se agrega como parte de la fuente, FortiGate debe verificar que el usuario antes de permitir o denegar el acceso sobre la base de la política de
firewall. Hay diferentes maneras en que un usuario puede autenticar. Para los usuarios locales, el nombre de usuario y la contraseña se configura en la zona en
FortiGate. Cuando un usuario local autentica, las credenciales que introduzca debe coincidir con el nombre de usuario y la contraseña configurados localmente
en FortiGate.
Para un usuario remoto (por ejemplo, LDAP o RADIUS), FortiGate recibe el nombre de usuario y contraseña del usuario remoto y pasa esta
información al servidor de autenticación. El servidor de autenticación comprueba las credenciales de inicio de sesión de usuario y actualizaciones
FortiGate. Después de FortiGate recibe esa información, que permite el acceso a la red en función de la política de firewall.
Un único de información del usuario (FSSO) de sesión Fortinet se recupera desde el controlador de dominio. El acceso se concede en base a la
información del grupo en FortiGate.


FORTINET
Hay dos técnicas de identificación de dispositivo: con un agente y sin un agente (sin agente). Sin agentes utiliza el tráfico desde el dispositivo. Los
dispositivos son indexados por su dirección MAC y hay varias maneras de identificar dispositivos, como cabecera HTTP User-Agent, huella digital
TCP, dirección MAC OUI, los métodos de detección FortiOS- VM para nombrar unos pocos. La identificación de dispositivo sin agente sólo es eficaz
si FortiGate y las estaciones de trabajo están en conectados directamente segmentos de red, donde el tráfico se envía directamente a la FortiGate y
no hay encaminador intermedio o dispositivo de capa 3 entre FortiGate y estaciones de trabajo.
Nota: FortiGate utiliza una primero en llegar, primero en ser servido acercarse a determinar la identidad del dispositivo. Por ejemplo, si un dispositivo es
detectado por el agente de usuario HTTP, FortiGate actualiza su tabla de dispositivo con la dirección MAC detectada y el escaneo se detiene tan pronto
como el tipo ha sido determinada para que la dirección MAC. basado en el agente utiliza FortiClient. FortiClient envía información a FortiGate, y el
dispositivo es seguido por su ID de usuario FortiClient único (UID).


FORTINET
Si habilita dispositivo de origen Tipo en la política de cortafuegos, FortiGate permite Detección de dispositivos en la interfaz (s) fuente de la política. Por defecto,
utiliza FortiGate Detección de dispositivos ( exploración pasiva) que se ejecuta las exploraciones en base a la llegada de tráfico. ¿Y si el FortiGate es incapaz de
detectar el dispositivo? Puede activar Exploración activa. Si la detección pasiva no puede detectar el tipo de dispositivo durante más de cinco minutos, exploración
activa se desencadena y escanea cada tres minutos. Si la exploración activa no puede detectar el tipo de dispositivo, la siguiente exploración se produce 10 minutos
más tarde. Si eso falla exploración, el siguiente tiene lugar 15 minutos más tarde. FortiGate utiliza un (N + 1) * algoritmo de 5 minutos para el escaneo, donde N es el
número de exploraciones que se han hecho. exploraciones exploración activa para el tipo de dispositivo, sistema operativo y la versión del sistema operativo.


FORTINET
FortiGate puede controlar la configuración de FortiClient FortiClient a través del perfil y registro. Con el fin de FortiClient que se registra
en el FortiGate, FortiTelemetry debe estar activada en la interfaz (s) frente a los puntos finales de la red, ya que la escucha de la
conexión de los dispositivos que han FortiClient instalados. FortiTelemetry es un protocolo TCP utilizado para la comunicación entre
FortiClient y FortiGate, que opera en el puerto TCP 8013. Hay otras opciones de configuración vale la pena mencionar:
• Comprobación de compatibilidad de hacer cumplir FortiClient: Si se activa, sino que también permite Detección de dispositivos. dispositivos no
compatibles se bloquean y redirigidos a un portal web que explica la falta de cumplimiento y proporciona un enlace para descargar FortiClient. Se puede
eximir de la aplicación de los dispositivos que utilizan FortiClient origen, destino o servicios.
Después se ha registrado FortiClient, se añade a la lista de dispositivos. FortiGate también empuja el perfil FortiClient FortiClient a la (s) registrada.
Se puede configurar el perfil FortiClient por defecto o añadir perfiles. También puede ver la información en el punto final FortiClient FortiClient
monitor página en FortiGate. Puede ejecutar los comandos de la CLI para ver el UID único FortiClient. dispositivos FortiClient tienen un UID único
que puede ser utilizado como un índice para el dispositivo. Se utiliza el UID único en lugar de la dirección de MAC porque el uso de direcciones
MAC puede ser problemático cuando un dispositivo tiene múltiples direcciones MAC (tales como servidores o máquinas virtuales), o cuando no hay
una capa 2 visibilidad del dispositivo. los licencias widget en el tablero de instrumentos GUI FortiGate muestra el número total de dispositivos
registrados y el número total de dispositivos disponibles para su registro. instaladores de Windows y Mac OS X FortiClient también están
disponibles a partir de este widget salpicadero.


FORTINET
los Inventario de dispositivos muestra la lista de los dispositivos detectados. Puede hacer clic en cualquier dispositivo detectado de editar, eliminar o ver los
detalles en FortiView. Los detalles incluyen sesión, el destino, las políticas, y más. Los dispositivos son indexados por MAC e identificaron a partir de múltiples
fuentes. El comando CLI muestra una lista más detallada que la Inventario de dispositivos página, incluyendo el método de detección. En el ejemplo
mostrado en esta diapositiva, los dispositivos se detectan por fuente como agente de usuario HTTP y FortiClient. dispositivos detectados se guardan en una
unidad flash de FortiGate durante 28 días. Por lo tanto, en el reinicio, FortiGate sabe que los dispositivos ya han sido identificados, y no tener que reorientar
hacia cada dispositivo. Sin embargo, la información del dispositivo expirará y será retirado de la tabla de inventario del dispositivo si no hay tráfico se ve desde
ese dispositivo durante 28 días. Esta acción puede ser alterado en función de cada VDOM mediante los comandos de la CLI FortiGate. El usuario que aparece
en la información del dispositivo es sólo una etiqueta; no se puede utilizar como un medio de identificación para una política de autenticación.


FORTINET
En este ejemplo, los tres selectores de fuente identifican la subred específica, grupo de usuarios, y el tipo de dispositivo. Recuerde, el usuario y el dispositivo
objetos son opcionales. Se utilizan aquí para hacer la política más específica. Si quería la política para que coincida con más tráfico, se iría de los usuario, y dispositivo
objetos indefinido. También puede utilizar el servicio de Internet (ISDB) objetos como una fuente en la política del cortafuegos. Hay un bien / o la relación
entre los objetos y los objetos de servicio de Internet dirección de origen en las políticas de firewall. Esto significa que cualquiera puede seleccionar la
dirección de origen o de un servicio de Internet, pero no ambos.


FORTINET
Al igual que la fuente del paquete, FortiGate también comprueba la dirección de destino para un partido. Puede utilizar objetos de dirección u objetos
ISDB como destinos en la política del cortafuegos. El objeto de dirección puede ser un nombre de host, subred IP o el intervalo. Si introduce un nombre de
dominio completo como el objeto de dirección, asegúrese de que ha configurado su FortiGate con los servidores DNS. FortiGate utiliza DNS para resolver
los nombres de host FQDN a direcciones IP, que son lo que realmente aparece en la cabecera IP.
direcciones geográficas, que son grupos o rangos de direcciones asignadas a un país, se pueden seleccionar en su lugar. Estos objetos se
actualizan a través de FortiGuard.
¿Por qué no hay ninguna opción para seleccionar usuarios o dispositivos? La identificación de identificación de usuario o dispositivo se determina en la interfaz
de entrada, y los paquetes se reenvían únicamente a la interfaz de salida después de la autenticación de usuario o dispositivo tiene éxito.


FORTINET
Servicio de Internet es una base de datos que contiene una lista de direcciones IP, protocolos IP y números de puerto utilizado por los servicios de
Internet más comunes. FortiGate descarga periódicamente la versión más reciente de esta base de datos a partir de FortiGuard. Estos pueden ser
seleccionados como Fuente o Destino en la política de firewall. ¿Qué pasa si es necesario para permitir el tráfico a sólo unos pocos destinos de Internet
públicos muy conocidos, tales como Dropbox o Facebook?
Puede utilizar servicios de Internet como destino en una política de cortafuegos, que contiene todas las direcciones IP, puertos y protocolos utilizados por
ese servicio. Por la misma razón, no se pueden mezclar objetos regulares de dirección con la base de datos de servicios de Internet objetos (ISDB), y no
puede seleccionar los servicios en una política de firewall. Los objetos ISDB ya tienen información de los servicios, que no es modificable.
En comparación con los objetos de dirección, que es necesario comprobar con frecuencia para asegurarse de que ninguna de las direcciones IP han
cambiado o están permitidos los puertos apropiados, servicios de Internet ayuda a hacer este tipo de instalación más fácil y más simple.


FORTINET
Horarios añaden un elemento de tiempo a la política. Por ejemplo, una política que permite el software de copia de seguridad puede activar por la noche, o una
dirección remota puede ser permitido para fines de prueba, y un horario proporciona una ventana de prueba.
Los horarios se pueden configurar y utilizar un reloj de tiempo de 24 horas. Hay unos pocos parámetros de configuración vale la pena mencionar:
• Periódico: Si Todo el dia está activada, no se permitirá el tráfico durante 24 horas para los días seleccionados. Al configurar los horarios recurrentes, si el
tiempo de parada se establece antes de la hora de inicio, la hora de finalización se producirá al día siguiente. Por ejemplo, si selecciona el domingo como el
día, a las 10:00 como hora de inicio, y las 09:00 ya que el tiempo de parada, el programa se detendrá el lunes a las 09:00. Si la hora de inicio y parada son
idénticos, el programa tendrá una duración de 24 horas.
• Una vez: La fecha y la hora de inicio debe ser anterior a la fecha y la hora de finalización. También puede activar la registro de eventos de
Pre-caducidad, que generará un número N de registro de eventos de días antes de la programación expira, donde N puede ser de 1 a 100 días.


FORTINET
Otro criterio que utiliza FortiGate para que coincida con las políticas es el servicio del paquete.
En la capa IP, números de protocolo (por ejemplo, TCP, UDP, SCTP, etc.) junto con los puertos de origen y de destino, definir cada servicio de red. En
general, sólo se define un puerto de destino (es decir, el puerto de escucha del servidor). Algunas aplicaciones heredadas pueden utilizar un puerto de
origen específico, pero en la mayoría de las aplicaciones modernas, el puerto de origen se identifica de forma aleatoria en el tiempo de transmisión, y
por lo tanto no es un método fiable para definir el servicio.
Por ejemplo, el objeto de servicio predefinido llamado HTTP es el puerto de destino TCP 80 y el objeto de servicio predefinido llamado HTTPS es el
puerto de destino TCP 443. Sin embargo, los puertos de origen son efímeros y, por lo tanto, no están definidos.
Por defecto, los servicios se agrupan para simplificar la administración, para que pueda ver los servicios Por categoria o Alfabéticamente. Si
los servicios predefinidos no satisfacen sus necesidades de organización, puede crear uno o más nuevos servicios, grupos de servicio, y las
categorías.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo los componentes utilizados en las directivas de cortafuegos y coinciden con los criterios utilizados por FortiGate.
A continuación, usted aprenderá cómo configurar las directivas de cortafuegos.


FORTINET

• Restringir el acceso y hacer que su red sea más segura utilizando perfiles de seguridad
• configurar el registro
• Configurar el modo de aprendizaje para evaluar y analizar el tráfico
Demostrando competencia en la configuración de las directivas de cortafuegos, usted será capaz de aplicar los ajustes correctos, tales como perfiles de
seguridad, registro y catalogación de tráfico, a las políticas de firewall en FortiGate, y hacer que su red sea más segura.


FORTINET
Cuando se configura una nueva política de cortafuegos en la GUI, debe especificar un nombre exclusivo para la directiva de firewall, ya que está
activado por defecto, pero es opcional en el CLI. Esto ayuda al administrador a identificar rápidamente la política que ellos están buscando. Sin
embargo, puede que esta característica opcional en la interfaz gráfica de usuario en el característica Visibilidad página habilitando Permiten un
manejo sin nombre. Nota: Si una política no está configurado con un nombre de política en la CLI y se modifica dicha política existente en la GUI, debe
especificar un nombre único. La vista GUI plana FortiGate permite seleccionar las interfaces y otros objetos haciendo clic o arrastrar y soltar en la lista
poblada en el lado derecho. Ahora se puede seleccionar Servicios de Internet como servicio de Internet Fuente- es una combinación de una o más
direcciones y uno o más servicios asociados a un servicio que se encuentra en Internet como un servicio de actualización de software.
Hay muchas otras opciones que se pueden configurar en la directiva de firewall, como cortafuegos y de red, opciones de perfiles de seguridad,
opciones de registro y activación o desactivación de una política.
Al crear objetos o las políticas de firewall, se añade un (UUID) atributo único universal identificado de manera que los registros se pueden grabar
estos UUID y mejorar la funcionalidad cuando se integra con FortiManager o FortiAnalyzer.
Al crear políticas de firewall, recuerda que FortiGate es un cortafuegos de estado. Como resultado de ello, es necesario crear una sola
política de cortafuegos que coincide con la dirección del tráfico que inicia la sesión. FortiGate retendrá automáticamente el par
origen-destino y permitir respuestas.


FORTINET
Una de las características más importantes que se puede aplicar una política de cortafuegos es perfiles de seguridad, tales como IPS y antivirus. Un perfil
de seguridad inspecciona cada paquete en el flujo de tráfico, donde la sesión ya ha sido aceptado condicionalmente por la política del cortafuegos.
Cuando la inspección del tráfico, FortiGate puede utilizar uno de dos métodos: basado en flujo o basados en proxy. Las diferentes características de seguridad son
compatibles con cada tipo.


FORTINET
Si ha habilitado el registro en la política, FortiGate generará registros de tráfico después de una política de firewall cierra una sesión IP. Por defecto, Registro
de tráfico mascotas se establece en Eventos de seguridad y genera registros de sólo los perfiles de seguridad aplicadas en la política del cortafuegos. Sin
embargo, puede cambiar la configuración de Todas las sesiones, que genera registros para todas las sesiones. Si habilita Generar registros de sesión se
inicia cuando, FortiGate crea un registro de tráfico cuando comienza la sesión. FortiGate también genera un segundo registro para la misma sesión cuando
está cerrado. Pero recuerda que el aumento de la tala disminuye el rendimiento, a fin de utilizarlo sólo cuando sea necesario.
Durante la sesión, si un perfil de seguridad detecta una violación, FortiGate registra el registro de ataque de inmediato. Para reducir la cantidad de
mensajes de registro generados y mejorar el rendimiento, se puede habilitar una entrada de la tabla de sesión de tráfico reducido. Esto crea la sesión
negado en la tabla de sesión y, si se deniega la sesión, también se les niega todos los paquetes de esa sesión. Esto asegura que FortiGate no tiene
que hacer una consulta de directivas para cada nuevo paquete coincidiendo negado la sesión, lo que reduce el uso de la CPU y la generación de
registros.
Esta opción se encuentra en la línea de comandos, y se llama ses-negada-tráfico. También puede establecer la duración de las sesiones de bloque. Esto determina el
tiempo que una sesión se mantendrá en la tabla de sesión mediante el establecimiento bloque- sesión de temporizador en el CLI. De manera predeterminada, se establece
en 30 segundos. Si la opción de interfaz gráfica de usuario Generar registros de sesión se inicia cuando No se muestra, esto significa que el dispositivo FortiGate no
tiene almacenamiento interno. Esta opción se encuentra en la CLI, independientemente de almacenamiento interno, y se llama establece logtraffic-permiso de inicio.


FORTINET
También puede activar el modo de aprendizaje en una política de firewall. Cuando se establece Acción a APRENDER, permite
Detección de dispositivos en la interfaz (s) fuente de la política. La política de cortafuegos aplica automáticamente los perfiles predeterminados estáticos y pasa el
tráfico a los perfiles de seguridad para la vigilancia. También permite registrar con plena capacidad, que están etiquetados como Aprender en los registros.
Puede ver el informe completo que resulta del modo de aprendizaje en el Informes de aprendizaje página. Este informe utiliza todos los diarios de
aprendizaje, a través de todos los vectores de tráfico y de seguridad, para generar un informe resumen completo para fines de recomendación. Esto permite
a los usuarios implementar fácilmente un supervisar entonces hacer cumplir proceso.


FORTINET
Hay dos tipos de formadores de tráfico se pueden configurar: compartidas y por IP.
Una talladora compartida se aplica un ancho de banda total para todo el tráfico que utiliza la talladora. El alcance puede ser por la política o para todas las políticas que hacen
referencia a que la talladora. FortiGate puede contar las tasas de paquetes de entrada y salida a la policía de tráfico.
FortiGate permite crear tres tipos de políticas para la conformación de tráfico:
• conformación política compartida: la gestión de ancho de banda de las políticas de seguridad
• gestión de ancho de banda de las direcciones IP de los usuarios: Per-IP conformación
• El control de aplicaciones de conformación: la gestión de ancho de banda mediante la aplicación
Al crear políticas de limitación de tráfico, debe asegurarse de que los criterios de coincidencia es la misma que las políticas de cortafuegos que desea
aplicar la configuración a. Tenga en cuenta que éstas se aplican por igual a TCP y UDP, UDP y no pueden recuperarse con la gracia de la pérdida de
paquetes.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo configurar las directivas de cortafuegos en FortiGate. A continuación, usted aprenderá
cómo gestionar y realizar ajustes precisos para las políticas de firewall.


FORTINET

• Identificar las vistas de lista de políticas
• Comprender el uso de ID de política

• Identificar donde se hace referencia a un objeto
Demostrando competencia en la gestión de las políticas de firewall, usted será capaz de entender el uso de ID de política de una política de cortafuegos.
Además, usted será capaz de determinar la utilización de objetos, y simplificar las políticas de uso de grupos de objetos.


FORTINET
políticas de cortafuegos aparecen en una lista organizada. La lista está organizada, ya sea en Interfaz Par View, o Por la Secuencia.
Por lo general, la lista aparecerá en Interfaz Par Vista. Cada sección contiene políticas para ese par de entrada-salida. Alternativamente, usted
puede ver sus políticas como una lista única, integral, seleccionando por la Secuencia
en la parte superior de la página.
En algunos casos, usted no tendrá una opción de la que se utiliza la vista. Si utiliza varias interfaces de origen o de destino, o la alguna interfaz en una
política de cortafuegos, las políticas no se puede separar en secciones por la interfaz de pares-algunos serían trillizos o más. Así que en lugar, las
políticas se muestran a continuación, siempre en una sola lista ( Por Secuencia).
Para ayudarle a recordar el uso de cada interfaz, se les puede dar alias mediante la edición de la interfaz en el Red página. Por ejemplo,
se podría llamar port2 ISP1. Esto puede ayudar a hacer su lista de políticas más fácil de entender.


FORTINET
En FortiOS versión 6.0 cuando se edita la política, la política de información será visible. Esta característica es muy útil si administrador quería comprobar el uso de la
política como el utilizado por última vez, utilizó por primera vez, recuento de visitas, sesiones activas, y así sucesivamente.


FORTINET
Un factor importante en cómo las políticas de firewall trabajar es el concepto de precedencia de orden, o, si se prefiere un término más reconocible, “primero en llegar,
primero en ser servido”. ID de política son identificadores y se muestran en la interfaz gráfica de usuario.
FortiGate asigna automáticamente un ID de política cuando una nueva política de firewall se crea en la interfaz gráfica de usuario. El ID de política nunca
cambia, incluso si la regla se mueve arriba o abajo en la secuencia.


FORTINET
Para simplificar la administración, puede objetos de servicio de grupo y de dirección. A continuación, se puede hacer referencia al mismo en la política del
cortafuegos, en lugar de seleccionar varios objetos cada vez o realizar varias políticas. En esta diapositiva, cuatro servicios se utilizan para configurar la política:
HTTP, HTTPS, FTP y DNS. DNS es utilizado por los navegadores para resolver las direcciones URL a direcciones IP, porque la gente recuerda los nombres de
dominio para los sitios web en lugar de direcciones IP. Si usted necesita para hacer muchas de las políticas para la web y el tráfico FTP, entonces tiene sentido para
crear un objeto de servicio denominado Web-FTP. De esta manera, usted no tiene que seleccionar manualmente los cuatro servicios cada vez que realice una
política. Las políticas pueden hacer referencia a la Web-FTP grupo de servicio en su lugar. También, puede consolidar las direcciones de origen en grupos de
fuentes.


FORTINET
Sólo hemos mostrado varios objetos componentes que pueden ser reutilizados como hacer políticas. ¿Qué pasa si desea eliminar un objeto?
Si se utiliza un objeto, no puede eliminarlo. Primero tú debe reconfigurar los objetos que actualmente lo utilizan. La interfaz gráfica de usuario ofrece una
forma sencilla de averiguar dónde en la configuración del FortiGate está haciendo referencia a un objeto. Ver los números de la Árbitro. ¿columna? Ellos son
el número de lugares donde se está utilizando ese objeto. El número es en realidad un enlace, por lo que si hace clic en él, se puede ver que los objetos
están usando. En este ejemplo, la todos objeto de dirección está siendo utilizado por el Formación grupo de direcciones y tres políticas de firewall. Si
selecciona una política de cortafuegos, puede utilizar la Editar, Ver Lista, y Ver propiedades pestañas.
• Editar: Le permite editar el objeto seleccionado. En este ejemplo, se muestra la página de edición para el ID de política de firewall 4.
• Ver lista: Le permite ver los objetos seleccionados en su categoría. En este ejemplo, se le mostrará la lista de todas las políticas de firewall.
• Ver propiedades: Muestra donde se utiliza el objeto en esa configuración. En este ejemplo, objeto de dirección todos se está utilizando en la
dirección de destino y origen de la dirección de que la política de cortafuegos.


FORTINET
Puede hacer clic en cualquier política de firewall para ver las diferentes opciones de menú para editar o modificar la política. Las opciones incluyen la activación o
desactivación de una política de cortafuegos, la inserción de las directivas de cortafuegos (arriba o abajo), las políticas de copiar y pegar, y la clonación inversa (sólo si NAT
está deshabilitado en que la política). Al hacer clic Editar en la CLI se abre la consola CLI para la política de cortafuegos u objeto seleccionado. Muestra los parámetros
configurados en la línea de comandos y se puede modificar la política de cortafuegos u objeto seleccionado directamente en el CLI consola.
Haga clic en el objeto le proporciona opciones para modificar un objeto, y mostrar una referencia para ese objeto.


FORTINET
En FortiOS versión 6.0, puede filtrar las políticas de firewall a través de interfaz gráfica de usuario utilizando filtros en cada columna. Puede hacer clic en Política CARNÉ DE
IDENTIDAD icono de filtro de columna para buscar políticas basadas en la política CARNÉ DE IDENTIDAD números o puede hacer clic en
Nombre icono de filtro para buscar políticas basadas en nombre de la política, y así sucesivamente.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo gestionar las políticas de firewall en FortiGate. A continuación, usted aprenderá acerca de las mejores
prácticas y resolución de problemas relacionados con las políticas de firewall.


FORTINET
• Identificar las restricciones de nomenclatura para las políticas y los objetos del cortafuegos
• Reordenar las políticas de firewall para coincidencia correcta
• Demostrar cómo encontrar las políticas de coincidencia para los tipos de tráfico
Demostrando competencia en conocer las restricciones de política de firewall y el uso de técnicas de correspondencia de la política, usted será capaz de aplicar las
mejores prácticas y técnicas de solución de problemas básicos cuando se trabaja con las directivas de cortafuegos.


FORTINET
Al configurar los nombres de los objetos del cortafuegos, sólo ciertos caracteres son compatibles. Por ejemplo, la formación (Lan) no es un nombre válido
para un objeto de dirección, ya que incluye caracteres especiales que no son compatibles. A pesar de que los espacios son compatibles con los nombres,
como una buena práctica, evitar el uso de espacios de nombres. En su lugar, utilice un guión o un guión. El uso de espacios puede causar problemas al
intentar modificar la CLI o la resolución de problemas.
Sin embargo, muchos caracteres especiales son compatibles con las contraseñas, comentarios, mensajes de sustitución, y así sucesivamente.


FORTINET
Siempre planee una ventana de mantenimiento y crear un caso de prueba para unos pocos direcciones IP, usuarios o dispositivos antes de implementar los
cambios de configuración en la red de producción. Cualquier cambio de configuración realizados utilizando la GUI o CLI en vigor inmediatamente, y pueden
interrumpir el servicio.
Como práctica recomendada, intente configurar las directivas de cortafuegos manera más específica posible. Esto ayuda a restringir el acceso sólo a
los recursos. Por ejemplo, usar subredes adecuadas al configurar los objetos de dirección. Otra configuración de la pena mencionar es perfiles de
seguridad, que ayudan a proporcionar seguridad adecuada para su red. La correcta configuración de registro también puede ayudar a analizar,
diagnosticar y resolver problemas de red comunes.


FORTINET
Recuerde que usted aprendió que sólo se aplica la primera política a juego? La organización de sus políticas en el posicion correcta es importante. Afecta a la que
el tráfico está bloqueado o permitido. En la sección de la interfaz de par aplicable, FortiGate busca una política de igualación, comenzando en la parte superior. Por
lo tanto, se debería poner políticas más específicas en la parte superior; de lo contrario, las políticas más generales coincidirán con el tráfico en primer lugar, y
nunca serán aplicado políticas más granulares.
En el ejemplo que se muestra en esta diapositiva, se está moviendo el Block_FTP política (ID 2) que coincide con sólo el tráfico FTP, a una posición por
encima de un más general Acceso completo ( aceptar todo, desde la política en todas partes). De lo contrario, siempre FortiGate se aplicaría la primera
política coincidente en la interfaz de aplicación pares-
Acceso completo -y nunca llegan a la Block_FTP política.
Al mover las políticas a través de la lista de la política, la política de los ID se mantiene sin cambios.
Nota: FortiGate asigna el siguiente número más alto de identificación disponibles como se crean las políticas.


FORTINET
Con el fin de optimizar y consolidar las políticas de firewall, compruebe siempre todos los parámetros configurados. En este ejemplo, las dos directivas de cortafuegos
tienen diferencias en cuanto a los servicios, los perfiles de seguridad y configuración de registro. Puede consolidar estas dos políticas de firewall mediante la
combinación de los servicios y la elección de la configuración de registro correspondientes. Si selecciona Eventos de seguridad ( UTM) para la configuración de registro,
los registros de tráfico no se generará para el tráfico ALL_ICMP.
Nota: los ALL_ICMP servicio no está sujeto al filtro web y los análisis antivirus, lo que significa que la aplicación de estos perfiles de seguridad
para el tráfico ICMP se traducirá en el tráfico que pasa a través sin ser inspeccionado.


FORTINET
Puede encontrar una política correspondiente cortafuegos basado en los criterios de entrada consulta de directivas. consulta de directivas crea un flujo de paquetes a través de
FortiGate sin tráfico real. A partir de esto, la consulta de directivas puede extraer un ID de política de la traza del flujo y resaltarlo en la página de configuración de la política de interfaz
gráfica de usuario.
Dependiendo del protocolo que seleccione (por ejemplo, TCP, UDP, IP, ICMP, etc.), es necesario definir otros criterios de entrada. Por ejemplo,
cuando se selecciona TCP como el protocolo, es necesario definir la dirección de origen, puerto de origen (opcional), puerto de destino, y la
dirección de destino. Cuando se selecciona ICMP como protocolo, es necesario definir el tipo de ICMP / código, dirección de origen y dirección de
destino. Cuando FortiGate está realizando consulta de directivas, se realiza una serie de controles sobre la entrada, la inspección de estado, y la
salida, para la política de cortafuegos a juego, de arriba a abajo, antes de proporcionar resultados para la política a juego.
Nota: Si el estado de la política de cortafuegos se establece en inhabilitar, la consulta de directivas se salta la política de personas con discapacidad y los cheques para la próxima
política coincidente en la lista.


FORTINET
Sobre la base de los criterios de entrada, después de hacer clic Buscar, el resultado de traza será seleccionado y resaltado en la
política de IPv4 página. ¿Por qué no lo hizo la política ID # 1 o ID # 2 coincidir con los criterios de entrada? debido a la política ID # 1 estado se establece en inhabilitar, consulta de
directivas se salta la política de personas con discapacidad. Para la política de cortafuegos
ID nº 2, que no coincide con el puerto de destino especificado en los criterios de coincidencia consulta de directivas.


FORTINET


FORTINET


FORTINET

• Reconocer como un paquete cumple una política de cortafuegos basado en:
• Interfaces y zonas
• Origen y el destino
• Servicios de red
• horarios
• Configurar las directivas de cortafuegos
• Entender cómo se utilizan los ID de política

• Identificar el uso objeto
• Reordenar las políticas para que coincida con las políticas más granulares primero
• Utilice una consulta de directivas para encontrar políticas que emparejan

• La traducción de direcciones de red (NAT)

FORTINET
En esta lección, aprenderá cómo configurar la traducción de direcciones de red (NAT) y lo utilizan para aplicar NAT de origen y destino
NAT para el tráfico que pasa a través de FortiGate.


FORTINET
• Introducción a NAT
• política de cortafuegos NAT
• NAT central
• ayudantes de sesión
• sesiones


FORTINET
• Comprender traducción NAT y dirección de puerto (PAT)

• Entender los diferentes modos de configuración disponibles para NAT
Al entender cómo los modos de configuración NAT disponibles NAT y PAT trabajo, y que tendrán un buen comienzo para la planificación de la
implementación de NAT de la red.


FORTINET
NAT es el proceso que permite a un solo dispositivo, como un firewall o router, para actuar como un agente entre Internet o una red pública
y un local, o privada, a la red.
NAT se implementa normalmente para uno, o una combinación, de las siguientes razones:
• Seguridad mejorada: Las direcciones detrás del dispositivo NAT son prácticamente oculto.
• La amplificación de direcciones: Cientos de computadoras puede utilizar tan sólo una dirección IP pública.
• la estabilidad de dirección interna: Las direcciones pueden permanecer igual, incluso si los proveedores de servicios de Internet (ISP) cambio.
NAT y PAT, también conocido como NAPT, traducen las direcciones internas, por lo general privadas, IP a direcciones IP externas, típicamente públicas o de
Internet,. En FortiOS, NAT y el reenvío de tráfico se aplican a la misma política de firewall. Sin embargo, el diagnóstico muestran claramente NAT y expedición
como acciones separadas.
• Para las conexiones salientes: La opción NAT en un SNAT central, IP piscina y mesa central SNAT se puede utilizar y se conoce como NAT
de origen.
• Para las conexiones entrantes: direcciones IP virtuales (VIP) y DNAT se pueden utilizar y son conocidos como NAT destino.
NAT64 y NAT46 son los términos utilizados para referirse al mecanismo que permite IPv6 dirigida anfitriones para comunicarse con IPv4
dirigida anfitriones y al revés. Sin este mecanismo, un nodo IPv6 en una red, tal como una LAN corporativa, no sería capaz de comunicarse
con un sitio web que estaba en un sólo IPv4 medio ambiente y los entornos IPv4 no sería capaz de conectarse a redes IPv6. NAT66 es NAT
entre dos redes IPv6.


FORTINET
Cuando se utiliza el modo NAT política de cortafuegos, debe configurar SNAT y DNAT para cada política de firewall. configuraciones NAT centrales
se realizan por dominio virtual, lo que significa configuraciones SNAT y DNAT se aplican automáticamente a varias políticas de firewall. Esto es de
acuerdo a las reglas de SNAT y DNAT que especifique, en contraposición a cada política de firewall en la política de cortafuegos NAT.
Como práctica recomendada, cuando se utiliza el centro de NAT, debe configurar las reglas de SNAT y DNAT específicos, de modo que coincidan sólo las
políticas de firewall deseados en su configuración.
Tanto la política de cortafuegos NAT y el centro de NAT producen los mismos resultados; Sin embargo, algunos escenarios de implementación son los más adecuados a la política de
cortafuegos NAT y algunos son más adecuados para NAT central.
política de cortafuegos NAT se sugiere para las implementaciones que incluyen relativamente pocas direcciones IP NAT y donde cada dirección IP NAT
tendría políticas separadas y perfiles de seguridad. El centro de NAT se sugiere para los escenarios más complejos en los que varias direcciones IP NAT
tienen idénticas políticas y perfiles de seguridad, o en el modo siguiente política de cortafuegos generación (NGFW), donde la política apropiada no puede
determinarse en el primer paquete.


FORTINET


FORTINET
¡Buen trabajo! Usted ha sido introducido a NAT. A continuación, usted
aprenderá acerca de la política de cortafuegos NAT.


FORTINET

• Configurar una política de cortafuegos para realizar SNAT y DNAT
• Aplicar SNAT con piscinas IP
• Configurar DNAT con VIP o un servidor virtual
Demostrando competencia en estas áreas, usted será capaz de configurar las políticas de cortafuegos y aplicar SNAT y DNAT
apropiada, y entender cómo se aplica al tráfico que pasa a través FortiGate.


FORTINET
Hay dos maneras de configurar el firewall y NAT fuente de la política:

• Utilice la dirección de interfaz de salida
• Uso de la piscina de IP dinámica


FORTINET
La opción NAT de origen utiliza la dirección de interfaz de salida cuando NAT está habilitada en la directiva de firewall. Se trata de muchos-a-uno NAT. En otras
palabras, PAT se utiliza, y las conexiones se realiza un seguimiento mediante la dirección de origen y puerto de origen combinaciones originales, así como el puerto
de origen asignado. Este es el mismo comportamiento que la sobrecarga de IP tipo de piscina, que usted aprenderá más adelante.
Opcionalmente, se puede seleccionar un puerto fijo, en cuyo caso se desactiva la traducción de puerto de origen. Con un puerto fijo, si dos o más conexiones
requieren el mismo puerto de origen para una única dirección IP, sólo una conexión se puede establecer.
En el ejemplo mostrado en esta diapositiva, una política de cortafuegos de interna a WAN1 (dirección IP 203.0.113.10) se crea, y el usuario
inicia el tráfico de la fuente 10.10.10.10:1025 destinado para 192.168.10.10:80.
Dado que la NAT está habilitada en la directiva de firewall, la dirección IP de origen se traduce a la IP de la interfaz de salida con la traducción del puerto.


FORTINET
IP piscinas son un mecanismo que permite a las sesiones que salen del cortafuegos FortiGate para utilizar NAT. Piscina IP define una única dirección IP o
un rango de direcciones IP para ser utilizado como dirección de origen por la duración de la sesión. Estas direcciones asignadas serán utilizados en lugar de
la dirección IP asignada a la interfaz de FortiGate. piscinas IP se configuran por lo general en el mismo rango que la dirección IP de la interfaz.
Al configurar las piscinas IP que se utilizarán para NAT, hay una limitación que se debe tener en cuenta. Si las direcciones IP en el grupo IP
son diferentes de las direcciones IP que se asignan a la interfaz (s), comunicaciones basadas en esas direcciones IP mayo fallar si el
enrutamiento no está configurado correctamente.
Por ejemplo, si la dirección IP asignada a una interfaz es 172.16.100.1/24, no se puede elegir
10.10.10.1 a 10.10.10.50 para el conjunto de IP a no ser que se configura el enrutamiento adecuado.
Hay cuatro tipos de piscinas IP que se pueden configurar en el servidor de seguridad FortiGate:
• Sobrecarga
• Doce y cincuenta y nueve de la noche
• rango de puerto fijo

• asignación de bloque de puertos


FORTINET
Si se utiliza un conjunto de IP, la dirección de origen se traduce en una dirección de ese grupo, en lugar de la dirección de interfaz de salida. Cuanto
mayor sea el número de direcciones en el grupo, mayor es el número de conexiones que puede ser apoyado. Por ejemplo, en una red empresarial,
donde se requiere un mayor número de conexiones, o en una red en la que desea una subred a utilizar una dirección IP pública específica sobre otro
para restringir el acceso basándose en la dirección IP de origen.
El valor por defecto es el tipo de IPs sobrecarga. En la sobrecarga IP tipo de piscina, se utiliza una relación y el puerto de muchos a uno o de muchos a
pocos traducción. En este ejemplo, la fuente de IP 10.10.10.10 será traducido a una dirección IP del conjunto de IP ( 203.0.113.2
- 203.0.113.5).


FORTINET
En el tipo de piscina uno-a-uno, una dirección IP interna se mapea con una dirección externa en un orden de llegada, de primer servido.
Hay una sola asignación de una dirección interna a una dirección externa. Asignaciones no son fijos y, si no hay más direcciones
disponibles, una conexión será rechazada.
Además, en uno-a-uno, PAT no se requiere. En el ejemplo en esta diapositiva, se puede ver el mismo puerto de origen se muestra tanto para la entrada
y la dirección de salida.


FORTINET
El intervalo de puertos IP fija tipo de piscina asociados rangos internos de direcciones IP e intervalos de direcciones IP externas, y desactiva PAT. Permite
asignación fija de la IP de inicio interno o rango de IP extremo interno a la IP de arranque externo o rango IP extremo externo.
El ejemplo de esta diapositiva se muestra un conjunto de IP fija rango de puertos. El rango de direcciones interna 10.0.1.10 a
10.0.1.11 mapas para el rango de direcciones externa 10.200.1.7 a 10.200.1.8.


FORTINET
Las dos salidas de la CLI que se muestran en esta diapositiva ilustran la diferencia de comportamiento entre el bloque de puertos tipo de piscina asignación de IP por
defecto y la sobrecarga de IP tipo de piscina. Utilizando hping, un cliente pícaro genera muchos paquetes SYN por segundo. En el primer ejemplo, el puerto tipo de
asignación de bloque limita el cliente 64 conexiones para que de IPs. Los demás usuarios no se verán afectados por el cliente sin escrúpulos.
En el segundo ejemplo, el tipo de sobrecarga no impone límites, y el cliente pícaro utiliza muchas más conexiones en la tabla de
sesiones. Otros usuarios no se verán afectados.


FORTINET
Los VIP son objetos DNAT. Para las sesiones que coinciden con un VIP, la dirección de destino se traduce: por lo general una dirección de Internet pública se traduce
a la dirección de la red privada de un servidor. VIPs se seleccionan en la política del cortafuegos de
Destino campo.
El tipo VIP por defecto es NAT estática. Esta es una asignación uno a uno, que se aplica para las conexiones entrantes y salientes; es decir, una directiva de
salida con NAT habilitado utilizaría la dirección VIP en lugar de la dirección de interfaz de salida. Sin embargo, este comportamiento se puede anular mediante
un conjunto de direcciones IP.
El VIP NAT estática puede ser restringido para reenviar sólo ciertos puertos. Por ejemplo, las conexiones a la IP externa en el puerto 8080 mapa a la IP interna
en el puerto 80. En la CLI, se puede seleccionar el tipo de NAT como equilibrio de carga y servidor de equilibrio de carga. balanceo de carga distribuye llanura
conexiones desde una dirección IP externa a varias direcciones internas. balanceo de carga se apoya en ese mecanismo, el uso de un servidor virtual y
servidores reales, y proporciona la persistencia de sesión y la disponibilidad de mecanismos de comprobación del servidor.
VIPs deben ser enrutable a la interfaz externa de revestimiento (entrada). FortiOS responde a peticiones de ARP para VIP y objetos de IPs.
respuestas ARP son configurables.


FORTINET
En este ejemplo, la dirección IP de origen 192.168.10.10 está tratando de acceder a la dirección IP de destino
203.0.113.22 a través del puerto TCP 80. Las conexiones a la VIP 203.0.113.22 se NATed al host interno 10.10.10.10.
Debido a que este es NAT estática, todas las conexiones salientes de NAT-eadas 10.10.10.10 utilizará la dirección VIP en el campo de destino del
paquete, no la dirección de la interfaz de salida.


FORTINET
En FortiOS, VIPs y objetos de dirección firewall son completamente diferentes, que se almacenan por separado sin que se solapen. Por defecto, los objetos de
dirección firewall no coinciden con los VIPs. En el ejemplo mostrado en esta diapositiva, la todos
abordar objeto como un destino en la primera política no incluye los VIPs, por lo que el tráfico destinado al servidor web de VIP se saltará la primera política y
coincidir con la segunda Permitir el acceso. Para que la primera política para que coincida con el VIP, que sea necesario modificar la directiva de la CLI y establece
partido-vip habilitar, que permite a los objetos de dirección para que coincida con la dirección VIP, o cambiar la dirección de destino de la primera política para
ser el VIP en cuestión.
Se permite el tráfico a través de caer a la siguiente política; Sin embargo, cuando se utiliza políticas de cortafuegos VIP, no puede haber algunas excepciones.
Cuando se configuran VIP (s), para el entrante (WAN a LAN), que será igualada por primera vez contra la mesa VIP.
En el ejemplo mostrado en esta diapositiva, una política de cortafuegos de WAN a LAN está configurado con una fuente específica y la acción es Negar. Existe segunda
directiva de firewall que está permitiendo el acceso al VIP (la dirección de destino). A pesar de que la política de negar el servidor de seguridad se encuentra en la parte
superior de la lista, la fuente negado todavía están permitidos por la segunda directiva de cortafuegos para acceder al VIP.
Con el fin de bloquear el tráfico desde el origen negado, debe habilitar establece partido-vip permiten en la política de denegación de cortafuegos, que se salta la comprobación de
Identificación del VIP. Alternativamente, se puede configurar la dirección de destino como la dirección IP virtual en la política en lugar de negar todos.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo la política de cortafuegos NAT. A continuación, usted
aprenderá acerca de NAT central.


FORTINET
Al completar esta sección, usted debe saber cómo configurar NAT central.
Demostrando competencia en la configuración de NAT central para realizar SNAT y DNAT, usted será capaz de utilizar NAT en un nivel más granular para
controlar la dirección IP, el protocolo y la traducción del puerto.


FORTINET
Por defecto, el centro de NAT está desactivada y sólo se puede habilitar en la CLI. Después de NAT central está activada, estas dos opciones están disponibles para ser
configurado en la interfaz gráfica de usuario:
• SNAT central
• DNAT y direcciones IP virtuales
¿Qué ocurre si se intenta activar NAT central, pero todavía hay un conjunto de IP o VIPs configurados en las directivas de firewall?
La CLI no permitirá esto y presentará un mensaje haciendo referencia a la ID de política de firewall con el VIP o de IPs. Tú debe eliminar VIP oa la piscina IP
referencias de las directivas de cortafuegos existentes con el fin de activar NAT central. SNAT central es obligatorio para el nuevo modo en NGFW basada en
políticas. Esto significa SNAT se comporta sólo en función de la configuración de NAT menores Política & Objects> SNAT central ajustes.


FORTINET
Usted puede tener un control más detallado, basado en interfaces de origen y destino en la política central SNAT, sobre el tráfico que pasa a través de
políticas de firewall.
Ahora puede definir criterios de coincidencia de la política central SNAT, basado en:
• interfaz de origen
• interfaz de destino
• Dirección de la fuente
• Dirección de destino
• Protocolo
• Puerto de origen
A partir de FortiOS versión 6.0, una política SNAT central de juego es obligatorio para todas las políticas de firewall. Si no existe una política SNAT juego, será
dado de baja del tráfico.
Si los criterios de política centrales SNAT coincide con el tráfico en función de múltiples políticas de cortafuegos, la política central SNAT se aplicará a
las políticas de firewall.
Al igual que en las directivas de cortafuegos, una política central SNAT se procesa a partir de arriba hacia abajo y si se encuentra una coincidencia, la dirección de origen y
puerto de origen se traducen en base a que la política central de SNAT.


FORTINET
En el ejemplo mostrado en esta diapositiva, la política central SNAT traduce la dirección IP de origen a la dirección de piscina IP definida ( 203.0.113.5).
Sin embargo, la traducción se lleva a cabo sólo si el tráfico coincide con todas las variables definidas en la política central SNAT, es decir, el tráfico
desde la dirección IP de origen a través de la interfaz de origen interno para FortiGate debe ser destinado a la dirección IP de destino ( 192.168.10.10)
a través de destino WAN1 interfaz y el protocolo debe ser TCP. Con fines ilustrativos, sólo una única dirección IP se utiliza para el destino, y el tipo
de IPs se ajusta a la sobrecarga con una única dirección IP.
El directivo de seguridad se crea a partir interno para WAN1. No hay ninguna opción NAT disponible en la versión 6.0 FortiOS directivo de seguridad ya la
política de ajuste SNAT es obligatoria para pasar el tráfico. Si no hay una política de ajuste central SNAT, será dado de baja del tráfico.
Si el usuario intenta cualquier sesiones basadas en TCP (por ejemplo, http, https) a la dirección IP de destino
192.168.10.10, la dirección IP de origen se traduce en una dirección IP o direcciones de la piscina se define en la política central NAT.
¿Y si el usuario intenta enviar cualquier ICMP o el tráfico basado en UDP a 192.168.10.10? Será la dirección de origen puede traducir a la piscina IP
definida en la política central NAT?
A medida que la política central SNAT no coincide, FortiGate se reducirá automáticamente el tráfico. ¿Qué pasa si el usuario intenta tráfico basado
en TCP a otra dirección IP de destino, 192.168.10.20? Será la dirección de origen puede traducir a la piscina IP definida en la política central SNAT?
Una vez más, la dirección IP de destino 192.168.10.20 no coincide con la política central NAT, por lo FortiGate se reducirá el tráfico.


FORTINET
Tradicionalmente el FortiGate, VIPs se seleccionan en la política del cortafuegos como dirección de destino. En FortiGate, puede configurar DNAT y VIPs
para DNAT. Tan pronto como un VIP está configurado, FortiGate crea automáticamente una regla en el núcleo para permitir que se produzca la DNAT. No
se requiere ninguna configuración adicional. ¿Se pierde la granularidad de ser capaz de definir una política de firewall para un VIP y servicios específicos?
No, no lo hace. Si tiene varias políticas-WAN-a internos y múltiples personalidades, y desea permitir servicios específicos para VIPs específicos, puede
definir cada política de firewall con la dirección de destino de la dirección IP asignada del VIP, y seleccionar los servicios apropiados para permitir o negar.
Tenga en cuenta que si ambos SNAT central y DNAT central (VIP) están configurados, el tráfico de salida (interno a WAN) se usa como fuente NAT
para la dirección de DNAT o VIP, basado en el SNAT central y configuraciones DNAT (VIP).


FORTINET
En el ejemplo que se muestra en esta diapositiva, se crea una regla DNAT y VIP para asignar la dirección IP externa a 203.0.113.22 10.10.10.10 dirección IP
interna. Recuerde, tan pronto como se crea un VIP, se crea una regla en el kernel para permitir que se produzca la DNAT.
El directivo de seguridad de WAN1 al interior se crea con la dirección de destino todos o Dirección IP asignada / Cocina ( 10.10.10.10)
del VIP.
La dirección IP de origen 192.168.10.10 está tratando de acceder a la dirección IP de destino 203.0.113.22 través del puerto TCP 80.
Conexiones al VIP 203.0.113.22 son NATeado al host interno 10.10.10.10, sin ninguna configuración adicional.


FORTINET
El centro de NAT se puede desactivar en la CLI mediante la ejecución establecer disable centro-nat bajo la Ajuste del sistema de configuración. ¿Qué ocurre con
las directivas de cortafuegos que utilizan reglas centrales SNAT y DNAT, NAT si el centro está desactivada?
Para las nuevas sesiones de firewall, la entrada a las directivas de cortafuegos salientes todavía puede trabajar utilizando la dirección IP de la interfaz de salida. Sin embargo, la
entrada a las políticas de firewall de salida no va a utilizar las direcciones IP de la piscina, que anteriormente estaban ligados a la política central SNAT. Si es necesario utilizar la
piscina de IP, es necesario modificar la directiva de servidor de seguridad para utilizar la piscina IP.
Egreso a las políticas de ingreso de cortafuegos que utilizan DNAT y VIP dejarán de funcionar debido a que, en el centro de NAT, la dirección de destino en la
política de firewall es simplemente un objeto de dirección, no un VIP real. Sin el gancho de centro-nat en la tabla DNAT, el objeto de dirección hará que un
delantero cheque política de fracaso del tráfico será negado por el ID de política 0.
Hay que editar las políticas de firewall-salida-entrada a VIP y seleccione como la dirección de destino.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo NAT central. A continuación, usted
aprenderá acerca de los ayudantes de sesión.


FORTINET

• Entender cómo funcionan los ayudantes de sesión
• Use un ayudante sesión para VoIP
Demostrando competencia en la comprensión de cómo funcionan los ayudantes de sesión, usted será capaz de utilizar ayudantes de sesión para analizar datos en
los paquetes de algunos protocolos y permitir que esos protocolos para pasar el tráfico a través de FortiGate.


FORTINET
Algunos protocolos de capa de aplicación no son totalmente independientes de las capas inferiores, tales como las capas de red o de transporte. Las
direcciones se pueden repetir en la capa de aplicación, por ejemplo. Si el ayudante de sesión detecta un patrón de esta manera, puede cambiar los
encabezados de solicitud, o crear las conexiones secundarias requeridas.
Un buen ejemplo de esto es una aplicación que tiene tanto un canal de control y un canal de datos o medios de comunicación, tales como FTP. Los cortafuegos normalmente
permitirán que el canal de control y depender de los ayudantes de sesión para manejar los datos dinámicos o conexiones de transmisión de los medios de comunicación.
Cuando se requiere el seguimiento de aplicación más avanzada y control, una puerta de enlace de capa de aplicación (ALG) se puede utilizar. El perfil VoIP
es un ejemplo de un ALG.


FORTINET
En los ejemplos mostrados en esta diapositiva, la dirección del destinatario medios de comunicación en la carga útil de SIP SDP se modifica para reflejar la dirección IP traducida.
Observe cómo, porque las políticas de firewall stateful son, un agujero se abre para permitir tráfico de respuesta, a pesar de que no se ha creado
explícitamente una política de firewall para permitir el tráfico entrante. Este concepto se utiliza con otros protocolos, como NAT-T para IPsec.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo ayudantes de sesión. A continuación, usted
aprenderá acerca de las sesiones.


FORTINET

• Comprender la tabla de sesiones de FortiGate
• Comprender la sesión de TTL
• Analizar sesión de diagnóstico salida del comando
• Entender los estados TCP UDP e ICMP en FortiGate
Demostrando competencia en la comprensión de cómo una tabla de sesiones realiza un seguimiento de la información de la sesión, usted será más capaz de
utilizar esa información para comprender las acciones aplicadas al tráfico, como SNAT, DNAT, y el enrutamiento.


FORTINET
Puede ver el todas las sesiones página en la interfaz gráfica de usuario, pero la CLI proporciona más información sobre las sesiones en la tabla de sesiones.
rendimiento de firewall de conexiones para cada sesión, y el número máximo de conexiones, se indican mediante la tabla de sesiones. Sin
embargo, si su FortiGate contiene fichas FortiASIC NP diseñadas para acelerar el procesamiento sin cargar la CPU, la información de tabla de
sesión puede no ser completamente exacto, debido a que la tabla de sesiones refleja lo que se conoce a, y procesada por la CPU.


FORTINET
Cada sesión de FortiGate puede estar inactiva durante un tiempo finito, que se define por el tiempo de vida (TTL). Cuando el FortiGate detecta la sesión está
inactiva después de algún tiempo de inactividad, y se llega a TTL, la sesión se elimina de la tabla de sesiones.
Debido a que la tabla de sesiones tiene una cantidad finita de memoria RAM que se puede utilizar en FortiGate, el ajuste de la TTL sesión puede mejorar el rendimiento. Hay
temporizadores globales por defecto, temporizadores de estado de sesión, y temporizadores configurables en los objetos del cortafuegos.


FORTINET
los diagnosticar sesión sys árbol de comandos proporciona opciones para filtrar, claras, o mostrar la lista de sesiones. También puede enumerar una breve
información acerca de las sesiones mediante la ejecución del obtener sistema de lista de sesiones mando. Antes de mirar la tabla de sesiones, primero construir
un filtro. Para mirar nuestra conexión de prueba, puede filtrar DST

10.200.1.254 y dport 80.


FORTINET
En el ejemplo que se muestra en esta diapositiva, se puede ver el TTL sesión, lo que refleja el tiempo FortiGate puede ir sin recibir ningún paquete para esta
sesión, hasta que se retire la sesión de su tabla. Aquí se puede ver el enrutamiento NAT y las acciones que se aplican al tráfico. El ID de política de servidor
de seguridad también se hace un seguimiento. los proto_state para TCP se ha tomado de su máquina de estados, que usted aprenderá acerca de esta
lección.


FORTINET
Anteriormente en esta lección ha aprendido que la tabla de sesión contiene un número que indica el estado actual TCP de la conexión. Estos son
los estados de la máquina de estado TCP. Son los valores de un solo dígito, pero
proto_state siempre se muestra como dos dígitos. Esto se debe a FortiGate es un cortafuegos de estado y realiza un seguimiento de la dirección original (estado del lado
del cliente) y la dirección de respuesta (estado del lado del servidor). Si hay demasiadas conexiones en el estado SYN durante largos períodos de tiempo, esto indica una
inundación SYN, que se puede mitigar con las políticas de denegación de servicio.
Esta tabla y el gráfico de flujo de correlacionar el segundo valor del dígito con los diferentes estados de la sesión TCP. Por ejemplo, cuando el FortiGate
recibe el paquete SYN, el segundo dígito es 2. Se va a 3 una vez que el SYN / ACK se recibe. Después de que el enlace de tres vías, el valor de estado
cambia a 1.
Cuando una sesión se cierra por ambos lados, FortiGate lo mantiene en la tabla de la sesión durante unos segundos más, para permitir que los paquetes fuera de
orden que podría llegar después de que el paquete FIN / ACK. Este es el valor de estado 5.


FORTINET
Aunque UDP es un protocolo sin estado orientado a mensajes, no se requieren inherentemente confirmó conexiones bidireccionales como TCP, por lo que no
existe un estado de conexión. Sin embargo, la tabla de sesiones de FortiGate hace uso de la
proto_state = campo para realizar un seguimiento de la UDP unidireccional como el estado 0, y el bidireccional UDP como el estado 1.
Cuando FortiGate recibe el primer paquete, se crea la entrada y establece el estado de 0. Si el destino responde, FortiGate actualiza la bandera
del estado de 1 para el resto de la conversación.
En particular, ICMP, como ping y traceroute, no tienen ningún estado del protocolo y se mostrará siempre
proto_state = 00.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo sesiones.
A continuación, usted aprenderá acerca de las mejores prácticas y resolución de problemas de NAT.


FORTINET

• Identificar los problemas comunes NAT mediante la revisión de los registros de tráfico
• Monitorear las sesiones NAT usando comandos de diagnóstico

• Utilizar filtros VIP para el centro de NAT
• Utilizar NAT mejores prácticas de implementación
Demostrando competencia en el uso de los registros de tráfico, diagnosticar comandos, filtros VIP, y las mejores prácticas para la
implementación de NAT, debe ser capaz de controlar y solucionar los problemas de NAT comunes y aplicar con éxito NAT de la red.


FORTINET
puertos NAT agotamiento se produce cuando hay tanto tráfico que cruza la frontera y que se traduce, que se están utilizando todos los puertos. Cuando se produce el
agotamiento de puertos NAT, FortiGate informa al administrador mediante la visualización del registro se muestra en esta diapositiva, con un nivel de gravedad crítico.
Para abordar el agotamiento de puertos NAT, es necesario tomar una de las siguientes acciones:
• Crear un conjunto de direcciones IP que tiene más de una dirección IP externa atada a ella (por lo que equilibra la carga a través de ellos).
• Reducir el tráfico que cruza la frontera.
Para recibir los registros importantes como éste, debe asegurarse de que el registro está habilitado necesaria. En la interfaz gráfica de usuario FortiGate, haga clic Log &
Report> Ajustes de registro, para comprobar que la configuración predeterminada, el registro en disco o memoria, se activa.


FORTINET
agotamiento puerto NAT también se pone de relieve por un aumento en el contador de choque de la diagnosticar la sesión del sistema de estadísticas mando.


FORTINET
Puedes usar diagnosticar ippool todo cortafuegos lista comando que examinará todas las piscinas NAT IP configuradas con su rango de IP
NAT y el tipo de listas.


FORTINET
los diagnosticar ippool-firewall todas las estadísticas muestra el estadísticas para todas las piscinas IP. los estadísticas comando de
proporcionar los siguientes datos e información:

• sesiones NAT por grupo IP
• Total sesiones TCP por IPs
• Total de sesiones UDP por IPs
• Otros Total (no-TCP y no UDP) sesiones por IPs
Opcionalmente, se puede filtrar la salida de la piscina IP específica utilizando el nombre del conjunto de IP.


FORTINET
los Servicios opción se ha añadido a los objetos VIP. Cuando los servicios y PortForward están configurados, sólo un único puerto asignado se puede
configurar. Sin embargo, múltiples puertos externos se pueden asignar a ese puerto interior único.
Esta configuración fue posible para permitir escenarios complejos en múltiples fuentes de tráfico están utilizando múltiples servicios para
conectarse a un único equipo, mientras que requieren una combinación de fuente y el destino NAT, y que no requieren numerosas
personalidades ser agrupadas en grupos VIP. VIPs con diferentes servicios se consideran no se solapan.


FORTINET
Utilice los siguientes mejores prácticas de aplicación cuando NAT:
• Evitar la mala configuración de un rango de IPs:

• Compruebe las direcciones IP inicial y final de cada uno de IPs.
• Asegúrese de que el conjunto de IP no se solapa con las direcciones asignadas a las interfaces FortiGate o para cualquier hosts en redes
conectadas directamente.
• Si tiene usuarios internos y externos que acceden a los mismos servidores, dividir el DNS para ofrecer una IP interna a los usuarios
internos para que no tengan que utilizar el VIP-recubrimiento exterior.
• No configure la regla de NAT para el tráfico entrante a menos que sea requerido por una aplicación. Si, por ejemplo, si hay una regla NAT juego para el tráfico
SMTP entrante, el servidor SMTP podría actuar como una retransmisión abierta.


FORTINET


FORTINET
Ahora, va a revisar los objetivos que están cubiertos en esta lección.


FORTINET
• Comprender NAT y PAT.

• Entender los diferentes modos de configuración de NAT.
• Configurar una política de cortafuegos para realizar SNAT y DNAT (VIP).
• Configurar NAT central.
• Comprender ayudantes de sesión y utilizar un ayudante de sesiones SIP para VoIP.
• Entender e interpretar la tabla de sesiones.
• Analizar sesión de salida de comando de diagnóstico.
• Entender los estados TCP, UDP, e ICMP.
• Utilizar los registros de tráfico para identificar problemas comunes NAT y controlar sesiones NAT usando diagnosticar sesión de comandos.
• Utilizar NAT mejores prácticas de implementación.

• autenticación de servidor de seguridad

FORTINET
En esta lección, aprenderá sobre el uso de la autenticación en las políticas de cortafuegos de un FortiGate.


FORTINET

• Métodos de autenticación de servidor de seguridad
• Servidores de autenticación remota

• Grupos de Usuarios
• El uso de políticas de firewall para la autenticación

• La autenticación a través de portal cautivo
• Monitoreo y solución de problemas


FORTINET

• Describir la autenticación de servidor de seguridad
• Identificar los diferentes métodos de autenticación de servidor de seguridad disponibles en los dispositivos FortiGate
• Identificar los servidores de autenticación soportados remotas

• Describir la autenticación activa y pasiva y el orden de las operaciones
Demostrando competencia en los métodos de autenticación de servidor de seguridad, usted será capaz de describir e identificar los métodos admitidos de
autenticación de servidor de seguridad disponibles en FortiGate.


FORTINET
cortafuegos tradicional concede acceso a la red mediante la verificación de la dirección IP de origen y el dispositivo. Esto es inadecuado y puede suponer un riesgo para la
seguridad, debido a que el cortafuegos no puede determinar quién está utilizando el dispositivo para el que se concede el acceso.
FortiGate incluye la autenticación de usuarios y grupos de usuarios. Como resultado, puede seguir los individuos a través de múltiples dispositivos.
Donde el acceso es controlado por usuario o grupo de usuarios, los usuarios deben autenticarse mediante la introducción de credenciales válidas (como el nombre de usuario y
contraseña). Después de FortiGate valida al usuario, FortiGate aplica las políticas y los perfiles del cortafuegos para permitir o denegar el acceso a los recursos de red
específicos.


FORTINET
FortiGate soporta múltiples métodos de autenticación de servidor de seguridad:
• autenticación de contraseña local

• autenticación de contraseña basada en servidor (también denominada autenticación de contraseña remota)
• Autenticación de dos factores
Este es un sistema de autenticación que se habilita en la parte superior de un método existente - no se puede activar sin primero la
configuración de uno de los otros métodos. Requiere algo que sabes, como una contraseña, y algo que tienes, como un token o
certificado.
Durante esta lección, aprenderá acerca de cada método de autenticación de servidor de seguridad en detalle.


FORTINET
El método más simple de autenticación es la autenticación de contraseña local. información de cuentas de usuario (nombre de usuario y contraseña) se almacena
localmente en el dispositivo FortiGate. Este método funciona bien para una sola instalación FortiGate.
Las cuentas locales se crean en el Definición de usuario Página donde un asistente le guiará a través del proceso. Para la autenticación de contraseña local,
seleccione usuario local como el tipo de usuario y crear un nombre de usuario y contraseña. Si lo desea, también puede agregar la información de correo
electrónico y SMS a la cuenta, activar la autenticación de dos factores, y añadir el usuario a un grupo de usuarios preconfigurado.
Después de crear el usuario, se puede añadir el usuario a cualquier grupo preconfigurado en el que el usuario es un miembro de una política de cortafuegos, con el fin de
autenticar el usuario o. Usted aprenderá acerca de los grupos de usuarios y políticas de cortafuegos en esta lección.


FORTINET
Cuando se utiliza la autenticación de contraseña basada en servidor, un servidor de autenticación remota autentifica a los usuarios. Este método es
deseable cuando varios dispositivos FortiGate necesitan para autenticar los mismos usuarios o grupos de usuarios, o cuando se añade un FortiGate a
una red que ya contiene un servidor de autenticación. Cuando se utiliza un servidor de autenticación remota para autenticar usuarios, FortiGate envía
credenciales introducidas por el usuario al servidor de autenticación remota. El servidor de autenticación remota responde indicando si las
credenciales son válidas o no. Si es válido, FortiGate consulta su configuración para lidiar con el tráfico. Tenga en cuenta que es el servidor de
autenticación remota, no FortiGate-que evalúa las credenciales de usuario. Cuando se utiliza el método de autenticación de contraseña basada en
servidor, FortiGate no almacena todos (o, en el caso de algunas configuraciones,


FORTINET
FortiGate proporciona soporte para muchos servidores de autenticación remotas, incluyendo POP3, RADIUS, LDAP, y TACACS +.
POP3 es el único servidor que requiere una dirección de correo electrónico como la credencial de inicio de sesión. Todos los demás servidores de autenticación remotas
utilizan el nombre de usuario. Algunos servidores POP3 requieren el correo electrónico completa con el dominio ([email protected]), otros requieren el sufijo solamente,
mientras que otros aceptan ambos formatos. Este requisito se determina por la configuración del servidor y no es un ajuste en FortiGate. Puede configurar la autenticación
POP3 solamente a través de la CLI. Tenga en cuenta que LDAP se puede configurar para validar con el correo electrónico, en lugar del nombre de usuario.


FORTINET
Puede configurar FortiGate para utilizar servidores de autenticación externos de las dos formas siguientes:
• Crear cuentas de usuario en FortiGate. Con este método, se debe seleccionar el tipo de servidor de autenticación remota (RADIUS, TACACS +,
LDAP), punto de FortiGate a su servidor de autenticación remota preconfigurado, y añadir el usuario a un grupo apropiado. Esto se hace
generalmente cuando se desea añadir la autenticación de dos factores para los usuarios remotos. Recuerde, POP3 sólo se puede configurar a través
de la CLI.
• Añadir el servidor de autenticación remota a grupos de usuarios. Con este método, se debe crear un grupo de usuarios y añadir el servidor remoto
preconfigurado para el grupo. En consecuencia, cualquier usuario que tenga una cuenta en el servidor de autenticación remota puede autenticar. Si está
utilizando otro tipo de servidor remoto, como por ejemplo un servidor LDAP, como el servidor de autenticación remota, puede controlar el acceso a los
grupos LDAP específicos, tal como se define en el servidor LDAP.
Similar a la autenticación de contraseña local, a continuación, debe agregar el grupo de usuario preconfigurado (en la que el usuario es miembro) a una política de
cortafuegos con el fin de autenticar. Vamos a discutir los grupos de usuarios y políticas de firewall más adelante en esta lección.


FORTINET
autenticación de usuario tradicional requiere su nombre de usuario y algo que sabes, como una contraseña. La debilidad de este método tradicional de
autenticación es que si alguien obtiene su nombre de usuario, que sólo necesita su contraseña para comprometer su cuenta. Por otra parte, ya que las
personas tienden a utilizar la misma contraseña en varias cuentas (algunos sitios con más vulnerabilidades de seguridad que otros), las cuentas son
vulnerables a los ataques, independientemente de seguridad de la contraseña.
autenticación de dos factores, por el contrario, requiere algo que sabes, como una contraseña, y algo que tienes, como un token o certificado. Debido a
que este método coloca menos importancia a, a menudo vulnerables, contraseñas, hace que comprende la cuenta más compleja para un atacante. Se
puede utilizar autenticación de dos factores en FortiGate con ambas cuentas de usuario y administrador. Se añade el usuario (o grupo de usuarios al que
pertenece el usuario) a una política de cortafuegos con el fin de autenticar. Tenga en cuenta que no se puede utilizar la autenticación de dos factores con
poderes explícitos.
Se puede utilizar una sola vez (OTP contraseñas) como su segundo factor. OTP son más seguras que las contraseñas estáticas debido a que el código de acceso
cambia a intervalos regulares y sólo es válido durante un corto periodo de tiempo. Una vez que utilice la OTP, no puede ser utilizado de nuevo. Por lo tanto,
incluso si es interceptada, es inútil. FortiGate puede entregar OTP a través de fichas, como FortiToken 200 (token de hardware) y FortiToken móvil (identificador
de software), así como a través de correo electrónico o SMS. Para ofrecer una OTP por correo electrónico o SMS, la cuenta de usuario debe contener la
información de contacto del usuario.
FortiTokens y OTP entregados a través de correo electrónico y SMS se basan tiempo. FortiTokens, por ejemplo, generar una nueva contraseña de seis dígitos
cada 60 segundos (por defecto). Un servidor NTP es muy recomendable para asegurar las OTP permanecen sincronizados. FortiToken empuje móvil permite
a los usuarios se limitan a aceptar la solicitud de autorización de su aplicación móvil FortiToken, sin la necesidad de introducir un código adicional.


FORTINET
Tokens utilizan un algoritmo específico para generar una OTP. El algoritmo consiste en:
• Una semilla: un número único, generado de forma aleatoria que no cambia en el tiempo
• El tiempo: obtenido a partir de un reloj interno preciso
Tanto las semillas y el tiempo pasan a través de un algoritmo que genera una OTP (o código de acceso) en el token. El código de acceso tiene una vida útil
corta, por lo general se mide en segundos (60 segundos para una FortiToken 200, posiblemente, más o menos por otros generadores de claves RSA). Una vez
que el período de vida termina, un nuevo código de acceso genera. Al utilizar la autenticación de dos factores mediante un token, el usuario debe iniciar sesión
primero con una contraseña estática seguido de la contraseña generada por el token. Un servidor de validación (FortiGate) recibe las credenciales del usuario y
valida la contraseña estática en primer lugar. El servidor de validación luego procede a validar el código de acceso. Lo hace mediante la regeneración de la
misma contraseña utilizando el tiempo de la semilla y el sistema (que está sincronizado con el de la token) y comparándola con la recibida desde el usuario. Si
la contraseña estática es válida, y el OTP coincide, el usuario se autentica correctamente. Una vez más, tanto la señal y el servidor de validación deben usar la
misma semilla y se han sincronizado los relojes del sistema. Como tal, es crucial que configure la fecha y la hora correctamente en su FortiGate, o un enlace a
un servidor NTP (recomendado).


FORTINET
Se puede añadir un FortiToken 200 o FortiToken móvil a fortigate en el FortiTokens página. Para el token duro, un número de serie se utiliza para
proporcionar FortiGate con detalles sobre el valor inicial de semilla. Si usted tiene varias fichas duros para agregar, puede importar un archivo de texto,
donde un número de serie aparece en cada línea. Para el token blando, se requiere un código de activación. Tenga en cuenta que cada FortiGate (y
FortiGate VM) proporciona dos activaciones gratuitas FortiToken móviles. Cualquier fichas adicionales deben ser comprados en Fortinet. No se puede
registrar el mismo FortiToken en más de una FortiGate. Si desea utilizar la misma FortiToken para la autenticación en múltiples dispositivos FortiGate,
debe utilizar un servidor de validación central, como FortiAuthenticator. En ese caso, FortiTokens se registran y se asignan a los usuarios en
FortiAuthenticator y FortiGate utiliza FortiAuthenticator como su servidor de validación.
Una vez que se haya registrado con los FortiTokens FortiGate, puede asignarlos a los usuarios a utilizar como su método de autenticación de dos factores.
Para asignar una ficha, editar (o crear) la cuenta de usuario y seleccione Habilitar la autenticación de dos factores. Desde el Simbólico En la lista
desplegable, seleccione el símbolo de registrado que desea asignar.


FORTINET
Todos los métodos de autenticación que ha aprendido sobre-local de autenticación de contraseña, la autenticación basada en servidor y autenticación de dos
factores de usar la autenticación activa. autentificación activa significa que los usuarios deberán introducir manualmente sus credenciales de inicio de sesión antes de
ser concedido el acceso. Pero no todos los usuarios se autentican la misma manera. Algunos usuarios pueden tener acceso de forma transparente, ya que la
información de usuario se determina sin pedir al usuario que introduzca sus credenciales de inicio de sesión. Esto se conoce como la autenticación pasiva. La
autenticación pasiva se produce con el método de inicio de sesión único para la autenticación de contraseña basada en servidor: FSSO, RSSO y NTLM.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de la autenticación de servidor de seguridad. A continuación, usted
aprenderá acerca de los servidores de autenticación remota.


FORTINET

• Configurar servidores de autenticación remota
• Configurar la autenticación de usuarios
• Comprender el papel de LDAP y RADIUS
Demostrando competencia en los servidores de autenticación remota, usted será capaz de configurar la autenticación de servidor de seguridad mediante
cuentas de usuario remotas definidas en el servidor de autenticación remota.


FORTINET
Lightweight Directory Access Protocol (LDAP) es un protocolo de aplicación que se utiliza para el acceso y el mantenimiento de los servicios de información de
directorio distribuido.
El protocolo LDAP se utiliza para mantener los datos de autenticación que puede incluir departamentos, personas, grupos de personas, contraseñas, direcciones de
correo electrónico, e impresoras. LDAP consiste en un esquema de representación de datos, un conjunto de operaciones definidas, y una red de petición y
respuesta.
El protocolo LDAP incluye una serie de operaciones que un cliente puede solicitar, como la búsqueda, comparar y agregar o eliminar una
entrada. La unión es la operación en la que el servidor LDAP autentica al usuario. Si el usuario se autentica correctamente, unión permite al
usuario acceder al servidor LDAP, basado en permisos de ese usuario.


FORTINET
La raíz del árbol de directorios LDAP representa a la organización en sí, y se define como un componente de dominio (DC). La DC es por lo general un dominio
DNS, como example.com. (Debido a que el nombre contiene un punto, que se escribe como dos partes separadas por una coma:. Dc = ejemplo, dc = com)
entradas adicionales, conocidos como objetos, se pueden añadir a la jerarquía según sea necesario. En general, dos tipos de objetos constituyen la mayoría de las
entradas: Envases y hojas. Los contenedores son objetos que pueden incluir otros objetos, similar a una carpeta en un sistema de archivos. Ejemplo recipientes
incluyen:
• País (representado como c)

• Unidad de organización (representado como ou)
• Organización (representado como O)
Hojas son objetos al final de una rama y no tienen objetos subordinados. Ejemplo hojas incluyen:
• ID de usuario (representado como uid)
• Nombre común (representado como cn)


FORTINET
Esta diapositiva muestra un ejemplo de una jerarquía LDAP simple.
El dispositivo FortiGate (que actúa como un cliente LDAP) que solicita la autenticación debe estar configurado para dirigir su solicitud a la parte de la
jerarquía donde existen registros de usuarios: o bien el componente de dominio o de un contenedor específico donde existe el registro. Similar a los
usuarios, los contenedores tienen DN, y en este ejemplo, es el DN
ou = usuarios, dc = ejemplo, dc = com.
La solicitud de autenticación también debe especificar la entrada de cuenta de usuario. Esta puede ser una de las muchas opciones que incluyen el nombre
común (CN), o en una red informática, el ID de usuario (UID), que es la información que los usuarios utilizan para iniciar sesión. Tenga en cuenta que si el nombre
de objeto incluye un espacio, como John Smith, debe encerrar el texto entre comillas dobles cuando se prueba en el CLI. Por ejemplo: cn = “John Smith”.


FORTINET
Puede configurar FortiGate a punto a un servidor LDAP para la autenticación de contraseña basada en el servidor a través de la
servidores LDAP página. La configuración depende en gran medida de la configuración de esquema y de seguridad del servidor. Windows Active Directory
es muy común. los Nombre del identificador común ajuste es el nombre del atributo se usa para encontrar el nombre de usuario. Algunos esquemas
permiten utilizar el uid atributo. Active Directory utiliza más comúnmente sAMAccountName o CN, pero puede utilizar otros también. los Nombre distinguido valor
identifica la parte superior del árbol donde se encuentran los usuarios, que generalmente es el valor de corriente continua; sin embargo, puede ser un
contenedor o unidad organizativa específica. Debe utilizar el formato X.500 o LDAP correcta. los Tipo de enlace ajuste depende de la configuración de
seguridad del servidor LDAP. El ajuste Regular ( para especificar un aprieto regular) se requiere si usted está buscando a través de múltiples dominios y
requiere las credenciales de un usuario que está autorizado para realizar consultas LDAP (por ejemplo, un administrador de LDAP). Si usted quiere tener una
conexión segura entre FortiGate y el servidor LDAP remoto, permitirá Conexión segura e incluir el protocolo de servidor LDAP (LDAPS o STARTTLS), así
como el certificado CA que verifica el certificado del servidor. Tenga en cuenta que la Probar la conectividad botón sólo comprueba si la conexión con el
servidor LDAP es correcta o no. Para probar si las credenciales de un usuario pueden autenticarse correctamente, debe utilizar la CLI.


FORTINET
Utilizar el diagnosticar AuthServer prueba comando de la CLI para probar si las credenciales de un usuario pueden autenticarse correctamente. Usted quiere
asegurarse de que la autenticación se realiza correctamente antes de implementar en cualquiera de sus políticas de firewall.
La respuesta del servidor de informes de éxito, el fracaso, y los detalles de pertenencia al grupo.


FORTINET
RADIUS es muy diferente de LDAP, porque no hay una estructura de árbol de directorios a considerar. RADIUS es un protocolo estándar
que proporciona autenticación, autorización y contabilidad (AAA). Cuando un usuario se autentica, el cliente (FortiGate) envía una ACCESO
REQUERIDO paquete al servidor RADIUS. La respuesta del servidor será uno de los siguientes:
• De aceptación de acceso, lo que significa que las credenciales de usuario están bien
• De rechazo de acceso, lo que significa que las credenciales son incorrectas

• ACCESO-RETO, lo que significa que el servidor está solicitando un secundario contraseña ID, ficha, o certificado. Esta suele ser la
respuesta desde el servidor al utilizar la autenticación de dos factores. No todos los clientes RADIUS soportan el método de desafío
RADIUS.


FORTINET
Puede configurar FortiGate para que apunte a un servidor RADIUS para la autenticación de contraseña basada en el servidor a través de la servidores RADIUS página.
los Servidor primario IP / Nombre ajuste es la dirección IP o FQDN del servidor RADIUS. los Secret Server primaria ajuste es el secreto que se creó en el
servidor RADIUS con el fin de permitir consultas remotas desde este cliente. servidores de copia de seguridad (con secretos separadas) se pueden definir en caso
de que el servidor principal falla. Tenga en cuenta que FortiGate debe estar incluido en el servidor RADIUS como un cliente de ese servidor RADIUS o de lo
contrario el servidor no va a responder a las preguntas hechas por FortiGate. los método de autentificación configuración se refiere al protocolo de autenticación
que soporta el servidor RADIUS. Las opciones incluyen cap, pap, mschap y MSCHAP2. Si selecciona Defecto el FortiGate utilizará pap, MSCHAP2, y cap (en ese
orden). A diferencia de las configuraciones de LDAP, la Probar la conectividad botón que se usa aquí puede comprobar las credenciales de usuario en sí, sino
que, como LDAP, también se puede probar mediante CLI. los Incluir en cada grupo de usuarios opción agrega el servidor Radius y todos los usuarios que pueden
autenticar en contra de ella, a cada grupo de usuarios creada en el FortiGate. Por lo tanto, esta opción sólo debe activarse en escenarios muy específicos (por
ejemplo, cuando sólo los administradores pueden autenticarse en el servidor RADIUS y políticas están ordenados de menos restrictivo a más restrictivo).


FORTINET
Prueba de RADIUS es lo mismo que la prueba LDAP. Utilizar el diagnosticar AuthServer prueba comando de la CLI para probar si las credenciales de un usuario
pueden autenticarse correctamente. Una vez más, usted debe hacer esto para garantizar la autenticación es satisfactoria antes de implementar en cualquiera de sus
políticas de firewall. Como LDAP, se informa de éxito, el fracaso, y los detalles de miembros del grupo, dependiendo de la respuesta del servidor. solución de
problemas más profundos por lo general requiere el acceso al servidor RADIUS.
Tenga en cuenta que Fortinet tiene un diccionario de atributos específicos del proveedor (VSA) para identificar los atributos de RADIUS
Fortinet-propietarias. Esta capacidad le permite extender la funcionalidad básica de RADIUS. Puede obtener el diccionario Fortinet VSA de la base de
conocimientos Fortinet ( kb.fortinet.com).


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de servidores de autenticación remota. A continuación, usted aprenderá acerca de
los grupos de usuarios.


FORTINET
Al completar esta sección, debe ser capaz de configurar grupos de usuarios.
Demostrando competencia con grupos de usuarios, usted será capaz de configurar grupos de usuarios para gestionar de forma eficaz las políticas de firewall.


FORTINET
FortiGate permite a los administradores asignar usuarios a los grupos. En general, los grupos se utilizan para gestionar de manera más eficaz las personas que
tienen algún tipo de relación compartida. Es posible que desee empleados del grupo por áreas de negocio, como las finanzas o recursos humanos, o por el tipo
de los empleados, como contratistas o invitados. Después de crear grupos de usuarios, puedes agregarlos a las directivas de cortafuegos. Esto le permite
controlar el acceso a los recursos de la red, ya que las decisiones políticas se hacen en el grupo en su conjunto. Se pueden definir dos grupos de usuarios locales
y remotos en un dispositivo FortiGate. Hay cuatro tipos de grupos de usuarios:
• firewall
• Huésped
• Fortinet inicio de sesión único (FSSO)

• RADIUS inicio de sesión único (RSSO)
Los grupos de usuarios de firewall en FortiGate no es necesario para adaptarse a cualquier tipo de grupo que ya puedan existir en un servidor externo, como un servidor
LDAP. Los grupos de usuarios firewall existen solamente para hacer la configuración de las políticas de firewall más fácil.
La mayoría de los tipos de autenticación tienen la opción de tomar decisiones basadas en el usuario individual, en lugar de sólo los grupos de usuarios.


FORTINET
grupos de usuarios invitados son diferentes de los grupos de usuarios de cortafuegos, ya que contienen las cuentas de usuario invitado (el todo cuenta, no sólo la
contraseña) exclusivamente temporal. grupos de usuarios invitados son los más utilizados en las redes inalámbricas. Las cuentas de invitado expiran después de un
periodo de tiempo predeterminado.
Los administradores pueden crear manualmente las cuentas de invitados o crear muchas cuentas de invitados a la vez utilizando los ID de usuario generados
aleatoriamente que y contraseñas. Esto reduce la carga de trabajo del administrador para grandes eventos. Una vez creado, puede agregar cuentas al grupo de
usuarios invitados y asociar al grupo a una política de firewall. Puede crear administradores de gestión de clientes que sólo tienen acceso a crear y administrar
cuentas de usuario invitado.


FORTINET
Puede configurar grupos de usuarios en el Grupo de usuario página. Debe especificar el tipo de grupo de usuario y añadir usuarios al grupo. Dependiendo del grupo
se crea, se requieren diferentes configuraciones. Para el grupo de usuarios de servidor de seguridad, por ejemplo, los miembros pueden consistir de los usuarios
locales, usuarios PKI de pares, y los usuarios de uno o más servidores de autenticación remotas. Si el servidor de autenticación remota es un servidor LDAP, puede
seleccionar grupos LDAP específicos para agregar a su grupo de usuarios, como se define en el servidor LDAP. Observe que también puede seleccionar grupos de
RADIUS, pero esto requiere una configuración adicional en el servidor RADIUS y FortiGate (consulte la base de conocimiento kb.fortinet.com).
Los grupos de usuarios simplificar su configuración si quiere tratar a los usuarios específicos de la misma manera, por ejemplo, si desea proporcionar a todo el departamento
de formación con el acceso a los mismos recursos de red. Si usted quiere tratar de manera diferente a todos los usuarios, es necesario agregar todos los usuarios de
cortafuegos políticas por separado.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de los grupos de usuarios. A continuación, usted se inclina
sobre el uso de políticas de firewall para la autenticación.


FORTINET
Al completar esta sección, debe ser capaz de configurar las directivas de cortafuegos
Demostrando competencia con las políticas de firewall, usted será capaz de configurar las directivas de cortafuegos aplicar la autenticación de usuarios y
grupos de usuarios específicos.


FORTINET
Un directivo de seguridad consiste en reglas de acceso e inspección (conjuntos de instrucciones) compartimentadas que cuentan FortiGate cómo manejar el tráfico
en la interfaz cuyo tráfico se filtran. Después de que el usuario hace un intento de conexión inicial, FortiGate comprueba las políticas de firewall para determinar si
acepta o no la sesión de comunicación. Sin embargo, una política de cortafuegos también incluye una serie de otras instrucciones, tales como los relacionados con
la autenticación. Se puede utilizar la fuente de una política de firewall para este propósito. La fuente de una política de cortafuegos debe incluir la dirección de
origen (dirección IP), pero también se puede incluir el usuario, grupo de usuarios, y el tipo de dispositivo. De esta manera, cualquier usuario, grupo de usuarios, o
dispositivo que se incluye en la definición del origen de la política de firewall puede autenticarse correctamente.
De usuarios y grupos de usuarios objetos pueden consistir en cuentas locales de firewall, cuentas de servidor externo, los usuarios PKI, y los usuarios FSSO.


FORTINET
Una política de cortafuegos también comprueba el servicio con el fin de transportar los protocolos con nombre o grupo de protocolos. No hay servicio (con la
excepción de DNS) se permite a través de la política de cortafuegos antes de la autenticación de usuario con éxito. DNS es utilizado generalmente por HTTP para
que las personas pueden utilizar nombres de dominio para los sitios web, en lugar de su dirección IP. DNS se permite porque es un protocolo de base y es muy
probable que se requerirá para ver inicialmente tráfico de protocolo de autenticación adecuado. resolución de nombres es casi siempre un requisito para cualquier
protocolo. Sin embargo, el servicio DNS todavía debe definirse en la política como lo permita, con el fin de que se cumpla. En el ejemplo mostrado en esta
diapositiva, secuencia política 1 (Full_Access) permite a los usuarios utilizar servidores DNS externos con el fin de resolver nombres de host, antes de la
autenticación exitosa. DNS también se permite si la autenticación tiene éxito, ya que los usuarios tienen que ser capaces de tratar de autenticarse de nuevo.
Cualquier servicio que incluye DNS funcionaría de la misma manera, al igual que el servicio predeterminado TODO. servicio HTTP es el puerto TCP 80 y no incluye
DNS (puerto UDP 53).


FORTINET
Así como el servicio de DNS, el directivo de seguridad debe especificar los protocolos permitidos, tales como HTTP, HTTPS, FTP y Telnet. Si la política del
cortafuegos que se ha habilitado la autenticación no permite que al menos uno de los protocolos soportados utilizados para la obtención de las credenciales de
usuario, el usuario no será capaz de autenticar. Se requieren protocolos para todos los métodos de autenticación que utilizan la autenticación activa
(autenticación de contraseña local, la autenticación de contraseña basada en el servidor, y la autenticación de dos factores). la autenticación de Active solicita al
usuario las credenciales de usuario en base a lo siguiente:
• El protocolo del tráfico

• La política de cortafuegos
La autenticación pasiva, por otro lado, determina la identidad del usuario detrás de las escenas, y no requiere de ningún servicios específicos
que se permita dentro de la política.


FORTINET
En el ejemplo mostrado en esta diapositiva, suponiendo autenticación activo se utiliza, cualquier tráfico inicial de LOCAL_SUBNET no coincidirá secuencia
política 1 (Full_Access). secuencia de la política 1 busca la IP y el usuario, y la información de usuarios (LOCAL_SUBNET y HR-grupos, respectivamente),
y puesto que el usuario aún no ha autenticado, el aspecto grupo de usuarios del tráfico no coincide. Desde el partido de la política no es completa,
FortiGate continúa su búsqueda por la lista de secuencias, para ver si hay una coincidencia completa. A continuación, FortiGate evalúa secuencia de la
política 2 para ver si el tráfico coincide. Coincide con todos los criterios, por lo que se permite el tráfico sin necesidad de autenticarse.
Cuando se utiliza sólo la autenticación activa, si todas las políticas posibles que podría coincidir con la IP de origen han habilitado la autenticación, el usuario recibirá un
aviso de la conexión (suponiendo que utilizan un protocolo de inicio de sesión aceptable). En otras palabras, si la secuencia de la política 2 también ha habilitado la
autenticación, los usuarios recibirían instrucciones de inicio de sesión.
Si se utiliza la autenticación pasiva y puede recabar datos de los usuarios, el tráfico de LOCAL_SUBNET con los usuarios que pertenecen al grupo de recursos
humanos se aplicará a la política secuencia 1, a pesar de que la secuencia de la política 2 no tiene habilitado la autenticación.
Si está utilizando la autenticación activa y pasiva, y las credenciales de un usuario se puede determinar mediante autenticación pasiva, el usuario nunca recibirá
un aviso de la conexión, sin tener en cuenta el orden de las directivas de cortafuegos. Esto se debe a que no hay necesidad de FortiGate para solicitar al usuario
las credenciales de acceso cuando se puede determinar quién es el usuario de forma pasiva. Cuando se combinan los métodos de autenticación activa y pasiva,
la autenticación activo esté destinado a ser utilizado como una copia de seguridad, para ser utilizado sólo cuando la autenticación pasiva falla.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende cómo utilizar las directivas de cortafuegos para la autenticación. A continuación, usted
aprenderá acerca de la autenticación a pesar de portal cautivo.


FORTINET
Al completar esta sección, debe ser capaz de configurar portal cautivo y renuncias. Demostrando competencia en el portal cautivo, usted será
capaz de configurar la autenticación a través de un portal cautivo.


FORTINET
Si desea que todos los usuarios que se conectan a la red que se le pregunte por sus credenciales de inicio de sesión (autenticación activa), puede activar
portal cautivo. portal cautivo es una manera conveniente para autenticar usuarios de Internet en redes de cable o Wi-Fi a través de un formulario HTML que
solicita un nombre de usuario y contraseña. Puede alojar un portal cautivo en un dispositivo FortiGate o un servidor de autenticación externo, como un
FortiAuthenticator.


FORTINET
portal cautivo, tanto para redes cableadas e WiFi, está habilitada en la interfaz de nivel, independientemente de la política de cortafuegos que permite o el
puerto que finalmente sale por (autenticación de ser activado o desactivado en la política no es un factor). Esto es cierto para cualquier interfaz de red,
incluyendo interfaces WiFi y VLAN. En la red local, la opción portal cautivo debe estar habilitado en el puerto de entrada. Puede configurar portal cautivo
de la Interfaces página. Seleccione la interfaz necesaria. Sobre el Control de admisión página, desde el modo de seguridad en el menú desplegable,
seleccione Portal cautivo. Tenga en cuenta que si está configurando portal cautivo para una red Wi-Fi, primero debe existir la conexión Wi-Fi SSID. Los
portales cautivos no son compatibles con las interfaces en modo DHCP.


FORTINET
Sobre el Control de admisión página, también restringir el acceso de los usuarios de portal cautivo. Seleccionar Restringir a Grupos para
controlar el acceso desde la configuración de portal cautivo. Seleccionar Permitir todo para controlar el acceso en la configuración de la
política de cortafuegos.


FORTINET
También puede configurar una directiva de servidor de seguridad para suprimir portal cautivo para dispositivos específicos, direcciones o servicios. Esto es útil para
dispositivos que no son capaces de autenticar de forma activa, como impresoras y máquinas de fax, pero todavía necesitan ser permitida por la política de firewall.
Cuando suprimida, el tráfico que coincide con el origen o el destino no se presenta con la página de inicio de sesión de portal cautivo. Hay dos formas en las que pueden
pasar por alto portal cautivo:
• A través de una lista de exención de la seguridad en la interfaz gráfica de usuario (bajo Network> Interface) o la CLI bajo de usuario de configuración de seguridad exentos lista
• A través de la política de cortafuegos. En la CLI, editar la política y establecer cautivo-portal-exentos de habilitación. Todo el tráfico que coincide con esta
política es ahora exento de tener que autenticarse a través de portal cautivo.


FORTINET
A través del comando de la CLI config política de cortafuegos, Puede activar un descargo de responsabilidad términos de servicio para ser utilizado en combinación con la
autenticación de portal cautivo, si se desea. Un descargo de responsabilidad es una declaración de las responsabilidades legales del usuario y la organización de acogida que el
usuario debe aceptar antes de continuar. Con esta configuración (+ descargo de responsabilidad de autenticación), el portal presenta la página de descargo de responsabilidad
inmediatamente después de la autenticación exitosa. El usuario debe aceptar los términos descritos en el descargo de responsabilidad, con el fin de proceder a la dirección URL
solicitada.
Ni una lista de exención de seguridad, ni una exención portal cautivo en un servidor de seguridad, puede pasar por alto un descargo de responsabilidad.


FORTINET
FortiGate permite personalizar los mensajes de portal, que incluyen la página de inicio de sesión y la página de exención de responsabilidad. Puede personalizar los
mensajes en el Mensajes de sustitución página.
La página de descargo de responsabilidad es en HTML, por lo que debe tener conocimientos de HTML con el fin de personalizar el mensaje. El diseño por defecto es Ver
simple, que oculta la mayor parte de los mensajes de sustitución. Utilizar Vista ampliada para mostrar todos los mensajes de sustitución editables.


FORTINET
Un tiempo de espera de autenticación es útil para fines de seguridad. Reduce al mínimo el riesgo de que alguien utilizando la IP del usuario autenticado legítimo. También asegura
que los usuarios no se autentican y luego se quedan en la memoria de forma indefinida. Si los usuarios se quedaron en la memoria para siempre, lo que finalmente conduciría al
agotamiento de memoria. Hay tres opciones para el comportamiento de tiempo de espera:
• Ocioso: Mira a los paquetes de IP de la máquina. Si no hay paquetes generados por el dispositivo de acogida en el marco de tiempo configurado, el
usuario está conectado a cabo.
• Difícil: El tiempo es un valor absoluto. Independientemente del comportamiento del usuario, el temporizador se inicia tan pronto como el usuario se autentica y expira
después de que el valor configurado.
• Nueva sesión: Incluso si se está generando tráfico en los canales de comunicación existentes, la autenticación se extingue si no hay nuevas
sesiones se crean a través del firewall del dispositivo host dentro del valor de tiempo de espera configurado.
Elegir el tipo de tiempo de espera que mejor se adapte a las necesidades de autenticación de su entorno.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo la autenticación aunque los portales cautivos. A continuación, usted aprenderá
acerca de la supervisión y resolución de problemas.


FORTINET

• Supervisar a los usuarios de cortafuegos
• Utilice las herramientas de solución de problemas
• Utilizar las mejores prácticas
Demostrando competencia en el seguimiento y la resolución de problemas, usted será capaz de supervisar a los usuarios autenticados y solucionar cualquier
problema que pueda ocurrir.


FORTINET
Puede supervisar a los usuarios que se autentican a través de sus políticas de cortafuegos utilizando el Firewall usuario del monitor página. Se muestra al
usuario, grupo de usuarios, la duración, la dirección IP, el volumen de tráfico, y el método de autenticación. No se incluyen los administradores, ya que no se
autentican a través de políticas de firewall para permitir al tráfico, que están registrando directamente en el FortiGate.
Esta página también le permite desconectar a un usuario o varios usuarios, de forma simultánea.


FORTINET
En el gestor basado en web, una buena herramienta para la resolución de problemas es la bytes columna en la página política de seguridad, que se
abre haciendo clic Política y objetos> Política IPv4. Esta columna muestra el número de bytes que han pasado por esta política. Esta es información
valiosa para tener cuando se está solucionando. Al probar la configuración (conectividad de extremo a extremo, autenticación de usuarios, el uso de
políticas) de ver el número de bytes para un aumento puede ayudar a solucionar problemas. Un aumento indica si la política en cuestión es ver todo el
tráfico, que es información útil si usted espera que un usuario requiere autenticación, pero nunca se le solicita.
Utilice los siguientes comandos de la CLI para reunir más información sobre los usuarios y los intentos de autenticación de usuario para ayudar a solucionar los intentos
fallidos de autenticación:
• diagnosticar la lista de autenticación servidor de seguridad: Muestra los usuarios autenticados y su dirección IP.
• diagnosticar auth cortafuegos claro: Borra todos los usuarios autorizados de la lista actual. Esto es útil cuando se necesita para obligar a los usuarios a
autenticar después de sistema o grupo cambios. Sin embargo, este comando puede dar lugar fácilmente a muchos usuarios que tienen que volver a
autenticar, a fin de utilizarlo con cuidado.
• el diagnóstico de depuración de aplicaciones fnbamd -1: Se utiliza para solucionar problemas de autenticación activa (se debe utilizar en conjunción con el diagnóstico de depuración
habilitar).
• diagnosticar AuthServer prueba de radio-directa <IP> <puerto> <secreto>: Las pruebas clave entre FortiGate y el servidor RADIUS
previamente compartida.


FORTINET
Utilizar las mejores prácticas que figuran en esta diapositiva para evitar problemas innecesarios al configurar la autenticación de servidor de seguridad.
Si configura una IP de origen en virtud de las interfaces de VPN, de modo rápido y selectores apropiados bajo VPN fase 2, se puede permitir sólo direcciones IP
específicas para comunicarse a través de VPN, lo que aumenta la seguridad. selectores de modo rápido a determinar qué direcciones IP pueden realizar las
negociaciones IKE para establecer un túnel. Al permitir que las direcciones IP sólo las personas autorizadas tengan acceso a un túnel VPN, la red es más seguro.


FORTINET


FORTINET
¡Felicidades! Ha completado la lección.
Ahora, va a revisar los objetivos que están cubiertos en esta lección.


FORTINET

• Describir la autenticación de servidor de seguridad
• Identificar los diferentes métodos de autenticación de servidor de seguridad disponibles en los dispositivos FortiGate
• Identificar los servidores de autenticación soportados remotas

• Describir la autenticación activa y pasiva y el orden de las operaciones
• Configurar usuarios para la autenticación local contraseña, la contraseña de autenticación basada en servidor y autenticación de dos factores
• Configurar servidores de autenticación remota

• Configurar la autenticación de usuarios
• Comprender el papel de LDAP y RADIUS
• Configurar grupos de usuarios
• Configurar las directivas de cortafuegos
• Configurar portal cautivo y renuncias

• Supervisar a los usuarios de cortafuegos
• Utilice las herramientas de solución de problemas
• Utilizar las mejores prácticas

• Registro y supervisión

FORTINET
En esta lección, aprenderá cómo configurar el registro local y remoto en FortiGate; Ver los registros, de búsqueda, y monitor; y proteger sus
datos de registro.


FORTINET
• conceptos básicos de registro
• registro local
• el registro remoto
• ajustes del registro
• Ver los registros, búsqueda y monitor

• La protección de los datos de registro


FORTINET
• Describir el flujo de trabajo de registro
• Identificar los tipos y subtipos de registro

• Describir niveles de gravedad de registro
• Describa el diseño de un mensaje de registro

• Describir el efecto de la tala en el rendimiento
Demostrando competencia en aspectos básicos de registro, usted será capaz de analizar de manera más eficaz los datos de registro de su base de datos.


FORTINET
Cuando el tráfico pasa a través de FortiGate a la red, FortiGate analiza el tráfico, y luego toma medidas en función de las políticas de firewall en su lugar. Esta actividad se
registra, y la información está contenida en un mensaje de registro. El mensaje de registro se almacena en un archivo de registro, que se almacena entonces en un dispositivo
capaz de almacenar registros. FortiGate puede almacenar los registros de forma local en su propio espacio en el disco, o puede enviar los registros a un dispositivo de
almacenamiento externo, como FortiAnalyzer.
El propósito de los registros es para ayudarle a controlar su tráfico de red, localizar problemas, establecer las líneas de base, y mucho más. Registros que
proporcionan una mayor perspectiva de su red, lo que le permite realizar ajustes en su seguridad de la red, si es necesario.
Algunas organizaciones tienen requisitos legales cuando se trata de registro, por lo que es importante estar al tanto de las políticas de su organización
durante la configuración.
Para el registro eficaz, su FortiGate fecha y hora del sistema deben ser precisos. O se puede configurar manualmente la fecha y hora del sistema, o
configurar FortiGate para mantener su hora correcta automáticamente mediante la sincronización con un servidor Network Time Protocol (NTP). Un
servidor NTP es muy recomendable.


FORTINET
Para FortiGate, hay tres diferentes tipos de registros: los registros de tráfico, registros de eventos y registros de seguridad. Cada tipo se divide en
subtipos.
Tráfico registra registro de información de flujo de tráfico, tales como una petición HTTP / HTTPS y su respuesta, si la hay. Contiene subtipos
denominados hacia adelante, local y sniffer.
• registros de tráfico directo contienen información sobre el tráfico que fortigate aceptado o rechazado de acuerdo con una política de cortafuegos.
• los registros de tráfico locales contienen información sobre el tráfico directamente hacia y desde las direcciones IP de administración del FortiGate. También se incluyen
las conexiones a la interfaz gráfica de usuario y consultas FortiGuard.
• Sniffer registros contienen información relacionada con el tráfico visto por el succionador de un solo brazo.
Evento registros del sistema de registro y eventos administrativos, como la adición o modificación de una configuración o actividades demonio. Contiene subtipos
denominados de control de punto final, de alta disponibilidad, el sistema, el usuario, routers, VPN, taco, e inalámbricas.
• registros de eventos del sistema contienen la información relacionada con las operaciones, tales como actualizaciones automáticas FortiGuard e inicios de sesión GUI.
• El usuario inicia sesión contienen sucesos de inicio y cierre de sesión para las políticas de firewall con autenticación de usuario.
• Router, VPN, WAD, y subtipos inalámbricos incluyen los registros de esas características. Por ejemplo, VPN contiene entradas de registro de IPSec y
SSL VPN.
Por último, la seguridad registra los eventos de seguridad de discos, tales como ataques de virus e intentos de intrusión. Contienen entradas basadas en el tipo de perfil de
seguridad (log type = UTM), incluyendo control de aplicaciones, antivirus, DLP, antispam (filtro de correo electrónico), filtro web, protección contra intrusos, anomalía
(DoS-política), y WAF conectarse. los registros de seguridad y subtipos sólo son visibles en la interfaz gráfica de usuario si se crean registros dentro de ella, si no existe
registros de seguridad, no aparece la opción de menú.


FORTINET
Cada entrada de registro incluye un nivel de registro (o nivel de prioridad) que se extiende en orden de importancia de la emergencia a la información.
También hay un nivel de depuración. Se pone la información de diagnóstico en el registro de eventos. El nivel de depuración se utiliza muy poco, a no ser que se está
investigando activamente un problema con la ayuda de Fortinet. En general, el nivel más bajo que desea utilizar es información, pero incluso este nivel genera muchos
registros y puede causar la falla prematura del disco duro. Dependiendo del tipo de registro y las necesidades de su organización, es posible que desee registrar sólo
los niveles de notificación o superior.
Usted y políticas de la organización dicta lo que debe estar conectado.


FORTINET
Cada mensaje de registro tiene un diseño estándar que comprende dos secciones: una cabecera y un cuerpo. La cabecera contiene campos que son comunes a todos los
tipos de registro, como la fecha de origen y de tiempo, identificador de registro, categoría de registro, nivel de gravedad, y el dominio virtual (VDOM). El valor de cada campo,
sin embargo, es específico para el mensaje de registro. En el ejemplo de entrada de registro en bruto se muestra en esta diapositiva, el tipo de registro es UTM, es el subtipo
webfilter, y el nivel es advertencia. El tipo y subtipo de registros determinan qué campos aparecen en el cuerpo de registro.
El cuerpo, por lo tanto, se describe la razón por la cual se creó el registro y medidas adoptadas por FortiGate. Estos campos pueden variar según el tipo de registro.
En el ejemplo anterior,
• la policyId campo indica qué regla de cortafuegos se correspondía con el tráfico

• la srcip campo indica la dirección IP de origen
• la dstip campo indica la dirección IP de destino
• la nombre de host campo indica la dirección URL o IP del host
• la acción campo indica lo FortiGate hizo cuando se encuentra una política que hacía juego con el tráfico
• la msg campo indica la razón de la acción tomada. En este ejemplo, la acción es obstruido, lo que significa que FortiGate impidió este
paquete IP desde la que pasa, y la razón es porque pertenecía a una categoría negado en la política del cortafuegos.
Si inicia sesión en un dispositivo de terceros, como por ejemplo un servidor syslog, conocer la estructura de registro es crucial para la integración. Para obtener información
sobre la estructura de tronco y significados asociados, visita http://docs.fortinet.com .


FORTINET
Que recogen registros de los dispositivos de la Tela La seguridad es importante. Esta es la razón por dos o más dispositivos FortiGate y un FortiAnalyzer-a registro
remoto del dispositivo son productos necesarios en el núcleo de la solución de seguridad de la tela. Con FortiGate, puede activar diferentes funciones de seguridad,
como antivirus (AV), filtrado web, prevención de intrusiones (IPS), y control de aplicaciones, en diferentes servidores de seguridad en la tela. Por ejemplo, en el
servidor de seguridad segmentación interna (ISFW), puede habilitar sólo AV, mientras que en el firewall de próxima generación (NGFW) frente a la Internet, puede
activar el filtrado web, IPS y control de aplicaciones. Esto significa que usted no tiene que duplicar las exploraciones y los registros de un mismo flujo de tráfico
cuando pasa a través de múltiples servidores de seguridad. La Tela de seguridad puede proporcionar una vista de topología de red (física y lógica), y los dispositivos
FortiGate pueden compartir la información relacionada con la red. Por ejemplo, los dispositivos conectados a los dispositivos FortiGate aguas abajo serán visibles en
el dispositivo aguas arriba, así (se deben activar la detección de dispositivo en el Interfaces la página de la interfaz gráfica de usuario FortiGate). En resumen, los
administradores pueden ver los registros y los dispositivos conectados a la red, conectándose a la FortiGate raíz en la tela de Seguridad. Esta información se
comparte de forma segura utilizando el protocolo FortiTelemetry.


FORTINET
Es importante recordar que los más registros que consiguen generan, más pesado es el peaje en sus recursos de CPU, memoria y disco. El almacenamiento de registros
por un período de tiempo también requiere espacio en disco, al igual que el acceso a ellos. Por lo tanto, antes de la configuración del registro, asegúrese de que es digno
de los recursos adicionales y que su sistema puede manejar la afluencia.
También es importante tener en cuenta el comportamiento de conexión con perfiles de seguridad. Los perfiles de seguridad pueden, dependiendo de la configuración de registro, crear
eventos de registro cuando se detecta tráfico que coincide con el perfil. Dependiendo de la cantidad de tráfico que tiene, y la configuración de registro que están habilitados, los
registros de tráfico pueden hincharse y, en última instancia, afectar al rendimiento de su servidor de seguridad.
Desde el FortiGate CLI, puede activar estadística de registro de rendimiento para los dispositivos de registro remoto, como FortiAnalyzer y syslog, al
producirse cada 1-15 minutos. Esto no está disponible para el registro de disco local o FortiCloud.
mensaje muestra stat actuación en FAZ: las estadísticas de rendimiento: CPU promedio: 0, de memoria: 43, sesiones concurrentes: 190, la
configuración de velocidad: 0


FORTINET
Siempre debe tener un plan de gestión de registros que se ocupa de los siguientes temas:
• Lo FortiGate actividades es lo que desea y necesita iniciar sesión (por ejemplo, características de seguridad)?
• ¿Qué dispositivo de registro es el más adecuado para su estructura de red?
• ¿Quieres o requiere el archivo de los registros?
• ¿Cuál es su solución de copia de seguridad en el evento se produce un fracaso?
También debe implementar una solución de registro remoto, como FortiAnalyzer, y asegurarse de que planificar el crecimiento futuro.
Por último, asegúrese de que vuelva a visitar su solución de copia de seguridad y plan de frecuencia, y configurar mensajes de alerta que le avisará de las actividades
que son importantes.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo lo básico de registro. Ahora,
usted examinará el registro local.


FORTINET
• opciones de almacenamiento de registro local de identidad
• Habilitar el registro local de
• Comprender asignación de disco y el espacio reservado

• el uso de disco del monitor
• Configurar el comportamiento cuando el disco está lleno
Demostrando competencia en el registro local, usted será capaz de almacenar los registros de éxito en el disco local y conservar esos registros en
base a sus necesidades.


FORTINET
Puede optar por registros de almacén en una variedad de lugares, tanto dentro como fuera del dispositivo FortiGate. registros de almacenamiento en la FortiGate se conoce
como el registro local. Dependiendo de su dispositivo FortiGate, puede almacenar los registros, ya sea a la memoria flash del dispositivo o disco duro.
Típicamente, mediados a FortiGates de gama alta tiene un disco duro. El registro en un disco duro que se conoce como el registro de disco. Dependiendo del modelo de serie, el
registro de disco puede ser activada de forma predeterminada.
De gama baja y de más edad FortiGates modelo normalmente sólo tienen memoria flash. Para FortiGates basados en memoria flash, constantes reescrituras a
las unidades flash pueden reducir la vida útil y la eficiencia de la memoria. Como tal, el registro en flash no es recomendable y el registro está desactivado por
defecto. El registro en la memoria sólo debe estar habilitado en el tráfico limitado y sólo mientras está solucionando un problema de forma activa. Cabe
desactivado después de la resolución de problemas se ha concluido. Para FortiGates basados en memoria flash, se recomienda el registro a un dispositivo
externo.
FortiGates pueden almacenar todos los tipos de registro, incluidos los archivos de registro y los registros de tráfico a nivel local. los registros de tráfico y los archivos de registro son
archivos más grandes y necesitan mucho espacio cuando se está registrando por FortiGate.
En condiciones de uso pesado tronco, cualquier registro de FortiGate-disco o memoria-resultará en un impacto en el rendimiento. Si está utilizando el disco duro local
en un dispositivo de optimización WAN, no se puede entrar también en el disco (a no ser que el dispositivo tiene dos discos separados: se puede usar uno con
optimización WAN y el otro para el registro). Si está utilizando el disco duro local para la optimización WAN, puede conectarse a dispositivos remotos o servidores
FortiAnalyzer de registro del sistema.


FORTINET
Si desea almacenar los registros de forma local en FortiGate, debe habilitar el registro de disco de la Configuración del registro página. Sólo ciertos modelos
FortiGate apoyar la tala de disco. Si su FortiGate no admite el registro de disco, puede conectarse a un dispositivo externo en su lugar. Usted aprenderá sobre el
registro remoto adelante en esta lección.
la tala de disco debe estar habilitado para que la información aparezca en los cuadros de mando FortiView. Si está desactivada, los registros muestran solamente en tiempo real.
También puede habilitar esta configuración mediante la CLI ajuste de disco de registro de configuración
mando.
Por defecto, los registros anteriores a siete (7) días se eliminan del disco (log edad es configurable).


FORTINET
Si decide iniciar la sesión localmente en FortiGate, tenga en cuenta que todo el espacio de disco no está disponible para los registros de almacén. El sistema FortiGate se reserva
aproximadamente el 25% de su espacio de disco para el uso del sistema y el desbordamiento de cuotas inesperado.
Para determinar la cantidad de espacio reservado en su FortiGate, utilice el comando CLI diagnosticar el uso logdisk sys. Restar el espacio
total de la tala del espacio total del disco para calcular el espacio reservado.


FORTINET
los Configuración del registro página muestra dos gráficos para visualizar el espacio en disco: Uso del disco, que es un gráfico circular que ilustra el espacio
utilizado y libre en el disco duro interno, y Histórica del uso del disco, que muestra el volumen de la actividad de registro de disco con el tiempo. Estos gráficos
pueden no ser visibles si el registro de disco está deshabilitada. los diagnosticar el uso logdisk sys comando le permite ver información detallada acerca de cuánto
espacio está siendo utilizado para los registros. FortiGate utiliza sólo el 75 por ciento de la capacidad disponible en el disco para evitar una cantidad de
almacenamiento de alta, por lo que el porcentaje se refiere al 75 por ciento que está disponible.


FORTINET
Por defecto, cuando el disco está lleno, los registros más antiguos son sobrescritos. Sin embargo, puede cambiar este comportamiento para detener la tala cuando el
disco está lleno con el ajuste de disco de registro de configuración mando.
Antes de que su disco alcanza un estado lleno, FortiGate envía varios mensajes de advertencia. Por defecto, la primera advertencia llega cuando el uso del
disco alcanza el 75%, la segunda advertencia a 90%, y la advertencia final a 95%. Estos umbrales son configurables mediante el ajuste de disco de registro
de configuración mando.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo el registro local. Ahora, usted
examinará el registro remoto.


FORTINET
• Identificar las opciones de almacenamiento de registro externos
• Configurar el registro remoto

• Entender cómo funciona el registro remoto con VDOMs
• Entendemos Registro de transmisión
• Habilitar el registro fiable
Demostrando competencia en el registro remoto, usted será capaz de almacenar los registros de éxito en un dispositivo remoto y la comunicación
registro seguro.


FORTINET
Si los registros que almacenan localmente no se ajusta a sus necesidades, puede almacenar los registros externamente. Puede configurar FortiGate para almacenar los registros
de los servidores de registro del sistema, FortiCloud, FortiSIEM, FortiAnalyzer, o FortiManager. Estos dispositivos de registro también se pueden utilizar como una solución de
reserva.
Syslog es un servidor de registro que se utiliza como un repositorio central para los dispositivos conectados en red.
FortiCloud es una suscripción basada en Fortinet, gestión de seguridad alojado y servicio de registro de retención que ofrece el almacenamiento a largo plazo de los registros
con la presentación de informes. Si usted tiene una red más pequeña, FortiCloud suele ser más factible que la compra de un dispositivo de registro dedicado. Tenga en cuenta
que todos los FortiGate ofrece una capa gratuita y mantendrá registros durante siete días. Debe actualizar a un servicio pagado para retener los registros de un año.
FortiSIEM proporciona correlación unificado de eventos y gestión de riesgos que pueden recoger, analizar, normalizar, índice, y los registros de seguridad de la tienda.
FortiAnalyzer y FortiManager son dispositivos de registro externos con los que FortiGate puede comunicarse. Puede colocar FortiAnalyzer o
FortiManager en la misma red que FortiGate, o fuera de ella. Mientras FortiAnalyzer y FortiManager comparten una plataforma de hardware y
software comunes y pueden tener tanto las entradas de registro, FortiAnalyzer y FortiManager en realidad tienen diferentes capacidades que
son dignas de mención. El propósito principal de FortiManager es gestionar de forma centralizada varios dispositivos FortiGate. Como tal, los
volúmenes de registro se limitan a una cantidad fija por día, que son menos que el tamaño equivalente FortiAnalyzer. Por otro lado, el
propósito principal de FortiAnalyzer es almacenar y analizar los registros, así que el límite de registro es mucho más alta (aunque el límite
depende del modelo).


FORTINET
Configuración de FortiGate para enviar registros a FortiAnalyzer o FortiManager es idéntico. Con el fin de FortiGate para enviar registros a cualquiera de los
dispositivos, debe registrar FortiGate con FortiAnalyzer o FortiManager. Después de que se ha registrado, el FortiAnalyzer o FortiManager pueden comenzar
a aceptar diarios de envío de FortiGate. Puede configurar el registro remoto para FortiAnalyzer o FortiManager utilizando tanto la GUI y la CLI.
• GUI: En la Configuración del registro página, habilitar el registro de FortiAnalyzer / FortiManager, e introduzca la dirección IP del dispositivo de registro remoto.
• CLI: Por tanto FortiAnalyzer y FortiManager, utilice el FortiAnalyzer ajuste de registro de configuración
mando. A pesar de que FortiManager no se menciona explícitamente en el comando, se utiliza para FortiManager también. Mediante la CLI, hasta tres
dispositivos independientes puede ser añadido para aumentar la redundancia para la protección de los datos de registro. Los comandos para los tres
dispositivos no son acumulativos. La generación de registros utiliza recursos del sistema, por lo que si FortiGate crea y envía registros a múltiples lugares, la
CPU y la RAM aumentar el uso frecuente. Tenga en cuenta que la Probar la conectividad función en la interfaz gráfica de usuario informará que no se ha
registrado hasta FortiGate en FortiAnalyzer o FortiManager, ya que aún no está autorizado a enviar los registros.


FORTINET
FortiGate permite subir cerca en tiempo real y compresión a alta velocidad constante y análisis para FortiAnalyzer y FortiManager. En la interfaz gráfica
de usuario, opciones de carga incluyen Tiempo real, Cada minuto, y Cada 5 minutos ( defecto). Si su modelo FortiGate incluye un disco duro interno, que
también tiene la almacenamiento y carga opción. Esto le permite almacenar registros en el disco y luego subir a FortiAnalyzer o FortiManager a una hora
programada (por lo general un tiempo de poco ancho de banda). Se puede configurar el almacenamiento y carga opción, así como un calendario, sólo en
la CLI.


FORTINET
Si FortiAnalyzer deja de estar disponible para fortigate por cualquier razón, FortiGate utiliza su miglogd proceso para almacenar en caché los registros. Hay
un valor máximo para el tamaño de caché, y el proceso comenzará miglogd caer registros en caché (antiguos primero) una vez que se alcanza este valor . Cuando
se restablece la conexión entre los dos dispositivos, el proceso miglogd comienza a enviar los registros almacenados en caché a FortiAnalyzer. Por lo tanto,
el búfer FortiGate mantiene registros de tiempo suficiente para sostener un reinicio de su FortiAnalyzer (si está actualizando el firmware, por ejemplo), pero no
está diseñado para una larga interrupción FortiAnalyzer. En FortiGate, el comando de la CLI diagnosticar la aplicación de prueba miglogd 6 muestra las
estadísticas para el proceso miglogd, incluyendo el tamaño máximo de caché, y el tamaño de caché actual. El comando de la CLI diagnosticar registro del
núcleo-stats mostrará un aumento de la no-log si la caché está llena y necesita caer troncos.


FORTINET
Al igual que en FortiAnalyzer y FortiManager, se puede configurar el registro remoto para FortiCloud en el Configuración del registro página o la CLI.
Sin embargo, primero debe activar su cuenta FortiCloud, por lo FortiGate puede comunicarse con su cuenta FortiCloud. Una vez completado, puede
habilitar el registro FortiCloud y establecer la opción de carga. Si desea almacenar sus registros en el disco primero y luego subir a FortiCloud, debe
especificar un horario. Cuando el uso del disco se establece en la optimización WAN ( wanopt), la opción de guardar y cargar para el registro de
FortiCloud se retira.
También puede configurar el registro remoto para syslog y en el FortiSIEM Configuración del registro página o la CLI. Puede configurar FortiGate para enviar
registros de hasta cuatro servidores de registro del sistema o utilizando el FortiSIEMs config syslogd registro comando CLI.
soportes FortiGate el envío de registros en syslog en formato CSV y CEF, un estándar de gestión de registros abierta que proporciona interoperabilidad
de la información relacionada con la seguridad entre los diferentes dispositivos y aplicaciones de red. CEF datos pueden ser recogidos y agregados para
el análisis de sistemas de Información de Seguridad y Gestión de Eventos (SIEM), tales como la gestión de la empresa o FortiSIEM. Se puede configurar
cada servidor syslog separado para enviar mensajes de registro en formato CEF o CSV.
Puede configurar un syslog individuo para utilizar el formato CSV y CEF mediante la CLI. Un ejemplo se muestra en esta diapositiva es para syslogd3. Todos los demás ajustes
de registro del sistema se pueden configurar según sea necesario, independientemente del formato de mensaje de registro, incluyendo la dirección del servidor y el transporte
(UDP o TCP) de protocolo.


FORTINET
Si usted tiene un FortiGate con dominios virtuales (VDOMs) configurado, a nivel mundial puede agregar múltiples FortiAnalyzers y servidores de
registro del sistema. En cada VDOM, puede anular esta configuración global, que le permite configurar una sola FortiAnalyzer y / o un servidor syslog
para que VDOM. El VDOM gestión es responsable de enviar los registros a FortiAnalyzers y servidores de registro del sistema, por lo que si un VDOM
utiliza el overridesetting, entonces que VDOM se encarga de enviar los registros a la nueva FortiAnalyzer o servidor syslog.


FORTINET
FortiGate utiliza el puerto UDP 514 (o el puerto TCP 514 si el registro está habilitado fiable) para la transmisión de registro. Los mensajes de registro se almacenan en el
disco y se transmiten a FortiAnalyzer como texto plano en formato comprimido LZ4. Esto reduce el tamaño del registro de disco y reduce el tiempo de transmisión de
registro y el uso de ancho de banda.


FORTINET
Al habilitar el registro fiable (es decir, Cifrar el registro de transmisión en la GUI) en FortiGate, el método de entrega de transporte de registro cambia de
UDP (Protocolo de datagramas de usuario) a TCP (Protocolo de Control de Transmisión). TCP proporciona una transferencia de datos fiable, garantizando
los datos transferidos se mantiene intacta y llega en el mismo orden en el que se envió.
Si habilita el registro en FortiAnalyzer o FortiManager utilizando la interfaz gráfica de usuario, registro fiable se activa automáticamente. Si se habilita el registro
mediante la CLI, debe habilitar el registro fiable con el comando CLI se muestra en esta diapositiva.
Registrar en FortiCloud utiliza TCP, y se puede establecer el algoritmo de cifrado utilizando la CLI (la configuración predeterminada es alta).


FORTINET
Opcionalmente, si se utiliza el registro fiable, puede cifrar las comunicaciones que utilizan el tráfico OFTP cifrado con SSL, por lo que cuando se genera un
mensaje de registro, se transmite de forma segura a través de una red no segura. Puede cifrar las comunicaciones utilizando segura SSL OFTP mediante la
configuración de la enc-algoritmo el establecimiento de la CLI.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo el registro remoto. Ahora, usted examinará
la configuración del registro.


FORTINET
• Configurar un registro
• Habilitar el registro en las directivas de cortafuegos
• Ocultar nombres de usuario en los registros
Demostrando competencia en la configuración del registro, usted será capaz de permitir el registro de éxito en su FortiGate, y garantizar registros se
generan en el tráfico causado por el tráfico que pasa a través de sus políticas de firewall.


FORTINET
Hay dos pasos necesarios para configurar el registro. Primero debe configurar las opciones de registro para determinar si, dónde y cómo se almacena un registro. Puede
configurar estos ajustes principalmente en la interfaz gráfica de usuario en el Configuración del registro
página. A continuación, debe configurar el registro de sus políticas de firewall para determinar si se generan registros. Puede configurar estos ajustes en la interfaz
gráfica de usuario en el Política de IPv4 ( o IPv6) página.
La lista de preparación registro se muestra en esta diapositiva identifica lo que es necesario configurar para el registro en función de sus
necesidades.


FORTINET
los Configuración del registro página le permite decidir si, dónde y cómo se almacena un registro.
Como se discutió previamente, debe configurar si desea almacenar los registros localmente en el disco FortiGate, o de forma remota a un dispositivo externo, como por
ejemplo FortiAnalyzer.
También debe configurar lo que los registros de eventos y registros de tráfico locales para capturar. los registros de tráfico locales proporcionan información sobre el tráfico
directamente hacia y desde FortiGate. Por defecto, esta opción está desactivada debido a la gran cantidad de registros que pueden generar. Los registros de eventos proporcionan
toda la información del sistema generado por FortiGate, como inicios de sesión de administrador, cambios de configuración realizados por los administradores, la actividad del
usuario, y las operaciones diarias de la dispositivo-que no son causados directamente por el tráfico que pasa a través de políticas de firewall. Por ejemplo, IPsec VPNs de cierre, o
actividad protocolo de enrutamiento, no son causados por el tráfico que pasa a través de una política de cortafuegos. Una excepción podría ser el registro de usuario, porque lo hace
de inicio de sesión y cierre de sesión eventos de usuario en el registro de tráfico que pasa a través de políticas. Los registros de eventos a los que decide permitir que dependen de
las características que va a implementar y la información que necesita para obtener a partir de los registros. los resolver nombres de hosts característica resuelve direcciones IP a
nombres de host. Esto requiere FortiGate para realizar consultas DNS inversas para todas las direcciones IP. Si el servidor DNS no está disponible o es lento para responder, puede
afectar su capacidad de mirar a través de los registros, ya que las solicitudes serán tiempo de espera.


FORTINET
Si bien la configuración del registro en la interfaz gráfica de usuario le permiten configurar lo que los registros y los registros de tráfico locales para capturar eventos, también puede
configurar las opciones más sólidas y granulares mediante la CLI.
Anteriormente, mencionamos que se puede configurar hasta cuatro servicios de registro para syslog y FortiSIEM usando el comando syslogd configuración
de registro de configuración, y hasta tres dispositivos FortiAnalyzer utilizando el registro de configuración de ajuste FortiAnalyzer. Usted puede controlar que
los registros se envían a cada uno de estos dispositivos por separado, utilizando el comando config syslogd registro filtrar por registro del sistema remoto o
FortiSIEM, y el comando config filtro FortiAnalyzer registro para dispositivos FortiAnalyzer.
De esta manera, se puede establecer dispositivos a diferentes niveles de registro y / o enviar sólo ciertos tipos de registros a un dispositivo y otros tipos (o todos los
registros) a los demás. Por ejemplo, puede enviar todos los registros a nivel de información y de arriba para
FortiAnalyzer, nivel de alerta y por encima de fortianalyzer2, y sólo a los registros de tráfico fortianalyzer3.


FORTINET
Después de todas sus opciones de registro están configurados, puede habilitar el registro en sus políticas de firewall. Sólo cuando está activado en una política de
firewall puede un registro de mensajes: causada por el tráfico que pasa a través de políticas que generan cortafuegos.
En general, si configura su FortiGate para inspeccionar el tráfico, también debe habilitar el registro para esa característica de seguridad para ayudarle a rastrear
y depurar el flujo de tráfico. A excepción de violaciónes que considere que sea baja en gravedad, querrá saber si su FortiGate está bloqueando los ataques. La
mayoría de los ataques no tienen éxito en un fallo de seguridad en el primer intento. Un enfoque proactivo, cuando note un atacante persistente cuyos métodos
parecen estar evolucionando, puede evitar un fallo de seguridad. Para obtener las alertas tempranas de este tipo, habilitar el registro de perfiles de seguridad.
Para habilitar el registro en el tráfico que pasa a través de una política de cortafuegos, debe hacer lo siguiente:
1. Activar el perfil de seguridad deseada (s) en su política de firewall.

2. Habilitar Registro de tráfico mascotas en la que la política de cortafuegos. Este ajuste es vital. Si está desactivado, no recibirá
registros de cualquier tipo, incluso si se ha habilitado un perfil de seguridad en su política de firewall. Usted puede optar por registrar sólo los eventos de seguridad, o registrar
todas las sesiones.
• Eventos de seguridad: Si está habilitado (junto con uno o más perfiles de seguridad), los eventos del registro de seguridad aparecen en el registro de tráfico y
seguridad de registro hacia delante. Un registro de tráfico hacia delante genera para los paquetes que causan un evento de seguridad.
• Todas las sesiones: Si está activado, un registro de tráfico hacia delante genera para cada sesión. Si también está habilitada uno o más perfiles de seguridad,
eventos de registro de seguridad aparecen en el registro de tráfico y seguridad de registro hacia delante.


FORTINET
Después de configurar el registro, se puede comprobar que los ajustes modificados están funcionando correctamente. Este examen se realiza en la CLI mediante el diagnosticar
la prueba de log mando.
En la interfaz gráfica de usuario FortiGate, ver los registros para ver algunos de los mensajes de registro de prueba generados recientemente. Se puede distinguir los
mensajes de registro de la prueba de los mensajes de registro real, ya que no tienen información “real”; por ejemplo, los mensajes de registro de prueba para el análisis
de vulnerabilidades contienen la dirección IP de destino 1.1.1.1 o
2.2.2.2.


FORTINET
En FortiGate, puede ocultar los nombres de usuario en los registros de tráfico y los registros UTM, por lo que el nombre de usuario aparece como
“anónimo”. Esto es útil, ya que algunos países no permiten la tala no anónima. Para anonimizar los nombres de usuario, utilice el conjunto de
usuarios-anonimizar permitir comando CLI.
Se supone que el registro está habilitado en las políticas de firewall y perfiles de seguridad, y que las políticas basadas en la identidad se configura en
FortiGate.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo configuración de registro.
Ahora, se examinará la forma de ver, buscar y supervisar los registros.


FORTINET
• Ver y buscar los mensajes de registro en la interfaz gráfica de usuario
• Ver y búsqueda de mensajes de registro de la CLI

• Ver los registros a través de FortiView
• Configurar el correo electrónico de alerta
• Configurar peso amenaza
Demostrando competencia en la visualización, búsqueda y seguimiento de registros, usted será capaz de localizar de manera eficiente los registros para ayudar a apoyar su
investigación sobre los problemas de seguridad de red.


FORTINET
Puede acceder a sus registros en la interfaz gráfica de usuario en el Registro y informe menú. Las opciones que aparecen en este menú dependen de la configuración. los registros de
seguridad aparecen sólo si existen eventos de seguridad. Seleccione el tipo de registro que desea ver, tales como El tráfico hacia adelante. Registros en la interfaz gráfica de usuario
aparecen en una vista de tabla con formato. La vista con formato es más fácil de leer que la vista en bruto, y le permite filtrar la información durante la visualización de los mensajes de
registro. Para ver los detalles del registro, seleccione el registro en la tabla. Los detalles del registro a continuación aparecen en el
Detalles del registro panel en el lado derecho de la ventana.
Si el archivo está habilitado en los perfiles de seguridad que lo apoyan (como DLP), la información archivada aparece dentro de la Detalles del registro en el
panel datos archivados sección. registros archivados también se registran cuando se utiliza FortiAnalyzer o FortiCloud.
Si configura FortiGate para conectarse a múltiples ubicaciones, puede cambiar la ubicación de la pantalla de registro en esta sección. En el ejemplo mostrado en esta
diapositiva, la ubicación del registro se establece en Disco. Si el registro en un syslog, debe ver los registros de registro del sistema en su lugar.


FORTINET
Dependiendo de su configuración, el FortiGate podría registrar un alto volumen de registros. Esto puede hacer que sea más difícil localizar un registro
específico, especialmente durante una investigación.
Para navegar por los registros de manera más eficiente, se puede configurar filtros de registro. Cuanta más información se especifica en el filtro, más fácil es encontrar la
entrada del registro preciso. Los filtros son configurables para cada columna de datos de registro en la pantalla. Hacer clic Añadir filtro para seleccionar el filtro de la lista
desplegable que aparece. Si ve los datos que desea filtrar en un registro en la tabla ya, usted puede hacer clic derecho que los datos para seleccionar la opción de filtro
rápido. Por ejemplo, si usted ve un registro de antivirus en la tabla con un nombre de red de bots específica, haga clic en el nombre de botnet en la tabla y una opción de
filtro rápido parece que le permite filtrar en todos los registros con ese nombre botnet.
Por defecto, las columnas más comunes se muestran y columnas de menos comunes están ocultos. En consecuencia, si los datos de filtrado basado en una
columna que se oculta, asegúrese de agregar la columna como columna seleccionada. Para añadir columnas, haga clic en cualquier campo de la columna, y, en
el menú emergente que aparece, seleccione la columna en el
Columnas disponibles sección.
Si sus filtros de búsqueda no devuelve ningún resultado cuando existe el registro de datos, el filtro puede ser mal formado. FortiGate busca una coincidencia
exacta en el registro, por lo que debe formar la cadena de búsqueda correctamente.


FORTINET
También puede acceder a los mensajes generados por las políticas individuales de registro. Haga clic en la directiva para la que desea ver todos los registros
asociados y, en el menú emergente, seleccione Mostrar los registros de juego. FortiGate le lleva a la
El tráfico hacia adelante página en un filtro se ajusta automáticamente en base a la política de UUID.


FORTINET
Usted no se limitan a la visualización de los mensajes de registro en la interfaz gráfica de usuario. También puede ver los mensajes de registro en la CLI,
utilizando el ejecutar visualización del registro mando. Este comando le permite ver los mensajes de registro específicas que ya ha configurado dentro de la ejecutar
filtro de registro mando. los ejecutar filtro de registro
comando configura lo que los mensajes de registro se verá, el número de mensajes de registro se puede ver a la vez (un máximo de 1000 líneas de mensajes de
registro), y el tipo de mensajes de registro se pueden ver. Aparecen registros en la vista en formato RAW. El formato RAW muestra registros a medida que
aparecen en el archivo de registro. Similar a la interfaz gráfica de usuario, si ha configurado ya sea un servidor syslog o SIEM, usted no será capaz de ver los
mensajes de registro en la CLI.


FORTINET
FortiView es otra manera de ver los datos de registro. FortiView integra los datos históricos en puntos de vista individuales, resumidas en tiempo real y. Puede registrar y
controlar las amenazas a las redes, datos de filtro en múltiples niveles, hacer un seguimiento de la actividad administrativa, y más. En las distintas páginas bajo el FortiView menú,
puede investigar la actividad de tráfico y emplear múltiples filtros para afinar su visión sobre un marco de tiempo específico (se requiere el almacenamiento local para ver los
registros de las 24 horas en el pasado). Tenga en cuenta que algunos modelos FortiGate soportan una pantalla de tiempo de 7 días. Esto sólo se puede activar desde el CLI
mediante el configuración del registro de configuración mando.
También puede guardar una vista FortiView como un widget en su tablero de instrumentos.


FORTINET
Puesto que no puede estar siempre observando físicamente los registros en el dispositivo, puede supervisar los eventos de configurar el correo electrónico de alerta.
correos electrónicos de alerta proporcionan un método eficiente y directa de notificar a un administrador de eventos. Antes de configurar el correo electrónico de alerta, debe
configurar su propio servidor SMTP en su primera FortiGate. El FortiGate tiene un servidor SMTP configurado previamente, pero se recomienda que se utilice el servidor de
correo electrónico interno si tiene uno.
Puede configurar alertas por correo electrónico en la Configuración de alertas de correo electrónico página. Puede desencadenar mensajes de correo electrónico de alerta basados en el
evento (por ejemplo, cada vez que se detecta una intrusión o el filtro web bloqueó el tráfico), o en el nivel mínimo de gravedad del registro (como todos los registros en el nivel de alerta o
superior). Puede configurar hasta tres destinatarios.


FORTINET
Con el fin de dar prioridad a la solución de los problemas más relevantes fácilmente, puede configurar los niveles de gravedad de las firmas IPS, categorías y
aplicaciones web, que están asociados con un peso de amenaza (o la puntuación). Sobre el amenaza Peso página, se puede aplicar un valor de riesgo de
baja, media, alta o crítica para cada elemento basado en categorías. Cada uno de estos niveles incluye un peso amenaza. Por defecto, baja = 5, media = 10,
Alta =
30, y crítico = 50. Es posible ajustar estos pesos de amenaza en función de sus necesidades de organización. Una vez configurado el peso amenaza, puede
ver todas las amenazas detectadas en el amenazas página. También puede buscar registros filtrando el índice de amenaza.
Tenga en cuenta que el peso amenaza es sólo para fines informativos. FortiGate no tomará ninguna acción basado en el peso amenaza.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo solucionar problemas de comunicación. Ahora, se examinará
cómo se puede proteger sus datos de registro.


FORTINET
• Realizar copias de seguridad de registro
• Configurar rodadura registro y carga

• Realizar descargas de registro
Demostrando competencia en las diferentes maneras en que puede proteger a sus registros, usted será capaz de cumplir con los requisitos organizativos o
legales para los registros.


FORTINET
También puede proteger sus datos de registro mediante la realización de copias de seguridad de registro, lo cual es decir archivos de registro de la copia de la base de datos en una
ubicación especificada. los ejecutar alllogs de disco de copia de seguridad comando de copia de seguridad de todos los registros a FTP, TFTP, o USB, mientras ejecutar registro de copia de
seguridad en disco <log tipo> copias de seguridad de tipos de registros específicos (como filtro web o IPS) a FTP, TFTP, o USB. Estos registros se almacenan en formato LZ4 y no se
pueden restaurar a otro FortiGate. También puede realizar copias de seguridad de registros de USB utilizando la interfaz gráfica de usuario. El elemento de menú GUI aparece al insertar
una unidad USB en el puerto USB de FortiGate.


FORTINET
Utilizando la ajuste de disco de registro de configuración de comandos, se puede configurar los registros para rodar (que es similar a comprimir un archivo) para reducir los
requerimientos de espacio necesarios para contenerlos para que no se sobreescriben. Por defecto, los registros de operaciones cuando llegan a 20 MB de tamaño. También
puede configurar un calendario de despliegue y el tiempo. Utilizando el mismo comando CLI, también puede configurar los registros de laminado para subir a un servidor FTP
para ahorrar espacio en disco. Puede configurar qué tipos de archivos de registro para cargar, cuándo, y si desea eliminar los archivos después de la carga. También puede
configurar la comunicación cifrada FTPS.


FORTINET
También puede descargar una copia de los registros de FortiGate y guardarlas en un servidor o en un ordenador para ver y acceder posteriormente. Esto
asegura que todavía tiene una copia cuando los originales se sobrescriben en el tiempo FortiGate.
Puede descargar los registros haciendo clic en el icono de descarga en la página de tipo de registro asociado (por ejemplo, El tráfico hacia adelante o Web Filter). Esto sólo
descarga los registros de los resultados de la mesa-no todos los registros en el disco. Como tal, se puede añadir filtros de registro si sólo desea descargar un subconjunto de
registros. Al descargar los mensajes de registro en la interfaz gráfica de usuario, que está descargando mensajes de registro en el formato RAW.


FORTINET


FORTINET


FORTINET
• Entender conceptos básicos de registro (log flujo de trabajo, tipos y subtipos, Registro de niveles de gravedad, y registrar el diseño del mensaje)
• Describir el efecto de la tala en el rendimiento

• Identificar las opciones de almacenamiento de registro local
• Configurar el registro de locales
• Comprender asignación de disco y el espacio reservado, uso de disco del monitor, y configurar el comportamiento cuando el disco está lleno
• Identificar las opciones de almacenamiento de registro externos
• Configurar el registro remoto

• Entender la transmisión y registro de cómo habilitar el registro fiable y OFTPS
• Configurar opciones de registro
• comprender miglogd
• Ver y búsqueda de mensajes de registro en la GUI y CLI
• Ver los registros de FortiView
• Configurar el correo electrónico de alerta y peso amenaza
• Configurar las copias de seguridad de registro, laminados, carga, descarga

• operaciones de certificados

FORTINET
En esta lección, aprenderá por qué FortiGate utiliza certificados digitales, cómo configurar FortiGate utilizar certificados (incluyendo el uso
de certificados para inspeccionar el contenido del tráfico cifrado), y cómo FortiGate gestiona los certificados.


FORTINET
En esta lección usted explorará los siguientes temas:

• Autenticar y datos seguros utilizando certificados
• Inspeccionar datos cifrados
• Gestionar certificados digitales en FortiGate


FORTINET

• Describir por qué FortiGate utiliza certificados digitales
• Describir cómo FortiGate utiliza certificados para autenticar usuarios y dispositivos
• Describir cómo FortiGate utiliza certificados para asegurar la privacidad de los datos
Al demostrar una comprensión de cómo FortiGate utiliza certificados, usted entenderá mejor cómo y cuándo se podrían utilizar en sus
propias redes.


FORTINET
FortiGate utiliza certificados digitales para mejorar la seguridad.
FortiGate utiliza certificados digitales para su inspección. El dispositivo puede generar certificados bajo demanda con el fin de la inspección de
los datos cifrados que se transfieren entre dos dispositivos; esencialmente, un (MITM) ataque hombre-en-el-medio. FortiGate también puede
inspeccionar los certificados para identificar personas y dispositivos (en la red y en Internet), antes de que permite a una persona o un
dispositivo para realizar una conexión completa a la entidad que está protegiendo. Si FortiGate confía en el certificado, que permite la
conexión. Pero si FortiGate no confía en el certificado, se puede prevenir la conexión. ¿Cómo se configura FortiGate determina el
comportamiento; Sin embargo, otras políticas que se están utilizando también pueden afectar si los intentos de conexión se aceptan o se
rechazan. FortiGate utiliza certificados digitales para hacer cumplir la privacidad. Certificados, y sus claves privadas asociadas,
FortiGate también utiliza certificados para la autenticación. Los usuarios que tienen certificados emitidos por una autoridad de certificación conocida y de confianza (CA)
pueden autenticarse en fortigate acceder a la red o para establecer una conexión VPN. Los usuarios administradores pueden utilizar certificados como una autenticación
de dos factores, para iniciar sesión en FortiGate.


FORTINET
¿Qué es un certificado digital?
Un certificado digital es un documento digital producido y firmado por una CA. Se identifica una entidad final, tal como una persona (ejemplo, Joe
Bloggins), un dispositivo (ejemplo, webserver.acme.com), o cosa (ejemplo, una lista de revocación de certificados). FortiGate identifica el dispositivo o la
persona leyendo el valor en el Tema campo, que se expresa como un nombre distinguido (DN). FortiGate también podría utilizar identificadores alternos,
que se muestran en el Nombre alternativo del sujeto campo, cuyos valores podría ser un ID de red o dirección de correo electrónico, por ejemplo.
FortiGate puede utilizar el Identificador de clave de asunto y Autoridad identificador de clave valores para determinar la relación entre el emisor del
certificado (identificado en la Editor campo) y el certificado. FortiGate compatible con el estándar certificado X.509v3, que es el estándar más común para
los certificados.


FORTINET
FortiGate ejecuta las siguientes comprobaciones antes de que confiar en el certificado:
• Los cheques de las listas de revocación de certificados (CRL) a nivel local (en FortiGate) para verificar si el certificado ha sido revocado por
la CA. Si el número de serie del certificado aparece en la CRL, el certificado ha sido revocado y ya no es de confianza. FortiGate también
soporta Online Certificate Status Protocol (OCSP), donde FortiAuthenticator actúa como servidor OCSP.
• Lee el valor en el Editor de campo para determinar si cuenta con el certificado de CA correspondiente. Sin el certificado de CA, FortiGate no va a
confiar en el certificado. FortiOS utiliza el almacén de certificados de Mozilla CA. Puede ver la lista haciendo clic Perfiles de seguridad> Inspección
SSL> Ver Lista Trusted CA> Paquetes de fábrica.
• Verifica que la fecha actual se encuentra entre el Válida desde y Válido hasta valores. Si no es así, el certificado se vuelve inválida.
• Valida la firma en el certificado. La firma debe ser validado con éxito. Debido a que una firma válida es un requisito crítico para confiar en
un certificado, puede ser útil revisar cómo FortiGate verifica las firmas digitales.


FORTINET
Antes de que se genera una firma digital, la CA se ejecuta el contenido del certificado a través de una función hash, que produce un resultado
hash. El resultado de control, que es una representación matemática de los datos, se denomina resultado original de hash. El CA encripta el
resultado original de hash con su clave privada. El resultado hash cifrado es la firma digital.
Cuando FortiGate verifica la firma digital, se corre el certificado a través de una función hash, produciendo un resultado de control fresco.
FortiGate debe utilizar la misma función hash, o algoritmo hash, que la CA utiliza para crear la firma digital. El algoritmo de hash es
identificado en el certificado.
En la segunda parte del proceso de verificación, FortiGate descifra el resultado encriptado de hash (o firma digital) utilizando la clave pública
de la CA, y aplicando el mismo algoritmo que el CA utiliza para cifrar el resultado de control. Este proceso verifica la firma. Si la llave no puede
restaurar el resultado hash cifrado a su valor original, entonces la verificación de la firma falla.
En la tercera y última parte del proceso de verificación, FortiGate compara el resultado de hash fresco al resultado original hash. Si los dos
valores son idénticos, entonces la integridad del certificado se confirma. Si los dos resultados hash son diferentes, entonces la versión del
certificado que tiene FortiGate no es el mismo que el que firmó la CA y falla integridad de los datos.


FORTINET
autenticación de usuario basada en certificados utiliza un certificado de entidad final para identificar al usuario. Este certificado contiene la clave pública
del usuario y la firma de la CA que emitió el certificado. El servidor de autenticación (por ejemplo, FortiGate) debe tener el certificado de CA cuya clave
privada firmado el certificado de usuario. FortiGate verifica que la firma del certificado es válido, que el certificado no ha caducado, y que el certificado
no ha sido revocado. Si cualquiera de estas comprobaciones falla, la autenticación de usuario basada en certificados falla.
Puede configurar FortiGate para requerir que los administradores utilizan certificados para la autenticación de dos factores. El proceso para la verificación de los
certificados de administrador es la misma.


FORTINET
Como se puede ver en el ejemplo que se muestra en esta diapositiva, la confianza en el modelo web está determinada por si o no su almacén de
certificados posee el certificado de CA que se requiere para verificar la firma en el certificado SSL. almacenes de certificados vienen rellena previamente
con raíz y certificados de CA subordinadas. Puede optar por añadir o eliminar los certificados, que afectarán a sitios web de confianza.
Por defecto, FortiGate utiliza un certificado autofirmado para autenticarse ante los clientes HTTPS. Los certificados auto-firmados pueden configurarse para
establecer sesiones SSL, al igual que los certificados emitidos por Verisign, Entrust Datacard, y otros proveedores de certificados. Pero, ya que los certificados
auto-firmados no vienen rellenada previamente en los almacenes de certificados de cliente, los usuarios finales tendrán una advertencia de seguridad. Usted puede
elegir para añadir el certificado autofirmado a los clientes, o para comprar un certificado SSL de un proveedor de CA aprobado para su FortiGate.


FORTINET
FortiGate utiliza SSL para asegurar que los datos se mantiene privado al conectar con los servidores, como FortiGuard, y con los clientes, tales como
un navegador web. Otra característica de SSL es que una o ambas partes pueden ser identificados mediante certificados. SSL utiliza simétrica y
criptografía asimétrica para establecer una sesión segura entre dos puntos.
Es beneficioso para entender el proceso de alto nivel de un protocolo de enlace SSL, con el fin de entender cómo FortiGate asegura
sesiones privadas.
Un atributo importante de la criptografía simétrica es que la misma clave se utiliza para cifrar y descifrar datos. Cuando FortiGate establece una
sesión SSL entre sí y otro dispositivo, la clave simétrica (o más bien el valor requerido para producirlo), deben ser compartidos para que los
datos pueden ser cifrados por un lado, enviados, y se descifran por el otro lado.
La criptografía asimétrica utiliza un par de claves: una clave realiza una función y la otra tecla realiza la función opuesta. Cuando FortiGate se
conecta a un servidor web, por ejemplo, utiliza la clave pública del servidor web para cifrar una cadena conocida como el secreto pre-maestro. La
clave privada del servidor web descifra el secreto pre-maestro.


FORTINET
Ahora, usted aprenderá más sobre el proceso de establecer una sesión SSL.
En el primer paso del ejemplo que se muestra en esta diapositiva, FortiGate se conecta a un servidor web que está configurado para SSL. En el
mensaje inicial hola, el navegador proporciona información crítica que se necesita para comunicarse con el servidor web. Esta información incluye el
número de versión SSL del servidor y los nombres de los algoritmos criptográficos que soporta.
En el segundo paso, el servidor web recibe el mensaje de FortiGate, y elige el primer conjunto de algoritmos criptográficos que se encuentra en la lista
de FortiGate y que soporta. El servidor web envía su certificado a FortiGate. Tenga en cuenta que la información del certificado se pasa como texto
claro por la red pública. La información contenida en un certificado suele ser pública, por lo que este no es un problema de seguridad.
En el tercer paso, FortiGate valida el certificado del servidor web. La lista de verificación se muestra en la diapositiva representa los cheques que
FortiGate realiza en el certificado para asegurar que se puede confiar. Si FortiGate determina que el certificado es de confianza, entonces el protocolo
de enlace SSL continúa.


FORTINET
En el cuarto paso, FortiGate genera un valor conocido como el secreto pre-maestro. FortiGate utiliza la clave pública del servidor, que se
encuentra en el certificado, para cifrar el secreto pre-maestro. FortiGate continuación, envía el cifrado secreto pre-maestro al servidor web. Si
un tercero interceptado el secreto pre-maestro, serían incapaces de leer, porque no tienen la clave privada.
En la quinta etapa, el servidor web utiliza su clave privada para descifrar el secreto pre-maestro. Ahora, tanto FortiGate y el servidor Web comparten un valor
secreto que es conocido por sólo estos dos dispositivos.


FORTINET
En el sexto paso, tanto FortiGate y el servidor web se derivan del secreto maestro basado en el secreto pre-maestro. En el séptimo paso, basado
en el valor secreto maestro, FortiGate y el servidor web genera la clave de sesión. La clave de sesión es una clave simétrica. Se requiere para
cifrar y descifrar los datos. Debido a que ambos lados tienen la clave de sesión, ambas partes pueden cifrar y descifrar datos uno por el otro.
En el octavo, y paso final antes de que estas dos entidades establecen la conexión segura, tanto FortiGate y el servidor web envía entre sí un
resumen (o digerir) de los mensajes enviados hasta el momento. Los digeridos se cifran con la clave de sesión. Los digeridos asegurar que
ninguno de los mensajes intercambiados durante la creación de la sesión han sido interceptado o reemplazado. Si los resúmenes coinciden, se
establece el canal de comunicación seguro.
El protocolo de enlace SSL se ha completado. Tanto FortiGate y el servidor web están listos para comunicarse de forma segura, utilizando las claves
de sesión para cifrar y descifrar los datos que envían por la red o Internet.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo por qué y cómo FortiGate utiliza certificados para autenticar dispositivos y personas. También entiende cómo FortiGate utiliza
certificados para garantizar la privacidad de los datos que fluyen desde FortiGate a otro dispositivo, o desde un dispositivo a FortiGate. A continuación, usted
aprenderá cómo inspeccionar los datos cifrados.


FORTINET

• Describir la inspección y el certificado de inspección completa SSL
• Configurar la inspección SSL certificado y la inspección completa / SSH
• Identificar lo que se requiere para implementar la inspección completa SSL
• Identificar los obstáculos a la implementación de inspección SSL completa y posibles remedios
Demostrando competencia en la comprensión y la configuración completa inspección SSL y certificado de inspección, usted será capaz de poner en
práctica una de estas soluciones de inspección SSL en la red.


FORTINET
(Diapositiva contiene animación)
Mientras que hay ventajas a usar HTTPS, hay riesgos asociados con su uso, así, ya que el tráfico cifrado se puede utilizar para moverse por las defensas
normales. Por ejemplo, si una sesión está cifrada cuando se descarga un archivo que contiene un virus, el virus podría conseguir más allá de las medidas de
seguridad de su red. En el ejemplo mostrado en esta diapositiva, Bob se conecta a un sitio con un certificado emitido por una CA legítimo Debido a que el CA es
una entidad de certificación aprobado, certificado de verificación de la AC se encuentra en el almacén de certificados de Bob, y el navegador de Bob es capaz de
establecer una sesión SSL con el sitio example.com. Sin embargo, sin el conocimiento de Bob, el sitio example.com ha sido infectado con un virus. El virus,
envuelta por el cifrado, pasa a través de FortiGate sin ser detectado y entra en el ordenador de Bob. El virus es capaz de romper la seguridad porque la
inspección completa SSL no está habilitado.
Se puede utilizar inspección SSL completa, también conocida como la inspección profunda, para inspeccionar las sesiones encriptadas.


FORTINET
Durante el intercambio de mensajes de saludo al inicio de un protocolo de enlace SSL, el servidor SSL envía FortiGate su SNI, que es una
extensión del protocolo TLS. El SNI dice fortigate el nombre de host del servidor SSL, que se valida con el nombre DNS antes de la recepción
del certificado del servidor. Si no hay SNI intercambiados, a continuación, FortiGate identifica al servidor por el valor en el Tema campo en el
certificado del servidor. Certificado de inspección no lee el Nombre alternativo de sujeto campo.
Cuando se habilita el certificado de inspección, FortiGate inspecciona todos los certificados SSL. Por lo tanto, si un cliente interno inicia un protocolo de
enlace SSL con un servidor SSL exterior, el certificado SSL que el servidor envía al cliente es interceptado por FortiGate. FortiGate hace los siguientes
controles de seguridad en el certificado:
• Confianza: Con el fin de FortiGate a confiar en el certificado, FortiGate debe tener el certificado de CA correspondiente en su almacén de certificados.
• La verificación de firmas: FortiGate utiliza la clave pública del certificado CA para verificar la firma en el certificado.
• Fechas de validez: FortiGate verifica que la fecha actual se encuentra entre la fecha en la Válida desde y Válido hasta
campos en el certificado. Si no es así, el certificado no es válido.
• comprobación de revocación: FortiGate comprueba la CRL. Otra posibilidad consiste en configurar FortiGate utilizar OCSP.
¿Cómo se comporta FortiGate cuando cualquiera de estas comprobaciones falla, depende de cómo se configure esta opción. Certificado de
inspección ofrece cierto nivel de seguridad, pero lo hace no permite FortiGate para inspeccionar el flujo de datos cifrados entre el servidor exterior
y el cliente interno.


FORTINET
Para habilitar la opción de inspección certificado SSL, siga los siguientes pasos:
1. Desde la interfaz gráfica de usuario FortiGate, haga clic Perfiles de seguridad> Inspección SSL / SSH.
2. En el Editar SSL / SSH Inspección Perfil sección, haga clic en la lista desplegable y seleccione en certificados de inspección. Tenga en cuenta que
esta selección no le permite realizar cambios en la configuración. Si desea personalizar la opción, haga clic en el menú desplegable y seleccionar costumbre
muy inspección o haga clic en el icono + a la derecha de la lista.
3. Asegúrese de que Múltiples clientes que se conectan a varios servidores está seleccionada y haga clic Certificado SSL
Inspección.


FORTINET
FortiGate debe actuar como una entidad de certificación con el fin de que éste realice una inspección completa SSL. El CA interna debe generar una clave privada y el
certificado SSL cada vez que un usuario interno se conecta a un servidor SSL externa. El par de claves y el certificado se generan instantáneamente por lo que la
conexión del usuario con el servidor web no se retrasa. A pesar de que el navegador del usuario piensa que está conectado directamente al servidor web, el navegador
es, de hecho, conectado a FortiGate. FortiGate está actuando como un servidor proxy web. Con el fin de FortiGate para actuar en estos papeles, su certificado de
entidad emisora debe tener la extensión de restricciones básicas para establecer cA = true y el valor de la keyUsage
alargadera al keyCertSign.
los cA = true valor identifica el certificado como un certificado de entidad emisora. los keyUsage = keyCertSign valor indica que la clave privada
correspondiente del certificado está autorizado a firmar certificados. Para más información, ver RFC 5280 Sección 4.2.1.9 Restricciones básicas.
Todos los dispositivos FortiGate que apoyan inspección completa SSL pueden utilizar el Fortinet_CA_SSL par de claves autofirmado que se proporciona dentro
de FortiGate, o una CA interna, para emitir un certificado de CA FortiGate. Cuando una CA interna se utiliza, actos FortiGate como una CA subordinada Tenga
en cuenta que sus máquinas y dispositivos cliente tendrá que importar el certificado de CA raíz, con el fin de confiar FortiGate y aceptar una sesión SSL. La
cadena de certificados de CA se debe instalar en FortiGate. FortiGate envía la cadena de certificados para el cliente, por lo que el cliente puede validar las firmas
y construir una cadena de confianza.


FORTINET
Algunos dispositivos FortiGate ofrecen un mecanismo para inspeccionar los datos cifrados que fluye entre servidores SSL externos y clientes internos. Sin
inspección completa SSL, FortiGate no puede inspeccionar el tráfico cifrado, debido a que el servidor de seguridad no tiene la clave que se requiere para
descifrar los datos.
Existen dos configuraciones posibles para la inspección completa SSL: una para el tráfico saliente y uno para el tráfico entrante.
Si la solicitud de conexión es saliente (iniciado por un cliente interno a un servidor externo), se debe seleccionar la opción, Múltiples clientes que se
conectan a varios servidores. A continuación, se debe seleccionar el par de llaves CA que se utiliza para firmar los nuevos certificados. En este ejemplo, es el FortiGate_CA
par de claves, que está disponible en los dispositivos FortiGate que apoyan inspección SSL. También aprenderá acerca de la configuración inspección
completa SSL para el tráfico entrante en esta lección.


FORTINET
En el paso 1, un navegador web interno se conecta a un servidor web habilitado para SSL. Normalmente, cuando un navegador se conecta a un sitio
seguro, el servidor web envía su certificado al navegador. Sin embargo, en el paso 2, FortiGate intercepta el certificado de servidor Web. En el paso 3,
CA interna de FortiGate genera un nuevo par de claves y el certificado. nombre del asunto del nuevo certificado debe ser el nombre DNS del sitio web
(por ejemplo, ex.ca). En los pasos 4 y 5, el nuevo par de claves y certificados se utilizan para establecer una conexión segura entre FortiGate y el
navegador web. Un nuevo par de claves y el certificado temporal se generan cada vez que un cliente solicita una conexión con un servidor SSL
externa.
frente al exterior y se incluye en el paso 5, FortiGate utiliza el certificado del servidor web para iniciar una sesión segura con el servidor web. En
esta configuración, FortiGate puede descifrar los datos desde el servidor web y el navegador, con el fin de analizar los datos de las amenazas
antes de volver a cifrar, y enviarlo a su destino. Este escenario es, esencialmente, un ataque MITM.


FORTINET
El navegador presenta una advertencia de certificado cuando se intenta acceder a un sitio HTTPS que utiliza un certificado no es de confianza. certificados no
confiables incluyen certificados SSL con firma, a menos que el certificado se importa en que el almacén de certificados de confianza del navegador. FortiGate
tiene su propio ajuste de configuración en el SSL / SSH Inspección
páginas, que incluye opciones para permitir, bloquear o ignorar los certificados SSL no son de confianza.
Cuando el Los certificados SSL son de confianza está establecido en Permitir FortiGate y recibe un certificado SSL no es de confianza, FortiGate genera
y firma un certificado temporal utilizando la clave privada Fortinet_CA_Untrusted. A continuación, envía el certificado temporal para el navegador. El
navegador presenta una advertencia al usuario que indica que el sitio no es de confianza. Si FortiGate recibe un certificado SSL de confianza, entonces se
genera y firma un certificado temporal utilizando la clave privada y envía Fortinet_CA_SSL que al navegador. Debido a que el navegador tiene el certificado
de CA correspondiente (Fortinet_CA_SSL) en su almacén de certificados de confianza, que confía en el certificado temporal y se inicia el protocolo de
enlace SSL. Para que esta función funcione como se pretende, sus navegadores web internos deben importar el certificado Fortinet_CA_SSL en su almacén
de certificados CA raíz de confianza. El CERT Fortinet_CA_Untrusted no debe ser importado.
Cuando el ajuste se establece en Bloquear FortiGate y recibe un certificado SSL de confianza, se bloquea la conexión de plano FortiGate y el
usuario no puede continuar.
Cuando el ajuste se establece en Ignorar, FortiGate envía el navegador un certificado temporal firmado por la clave privada Fortinet_CA_SSL,
independientemente de su estado-de confianza del certificado SSL o no confiable. FortiGate luego procede a establecer sesiones SSL. los Ignorar ajuste
aparece en la GUI sólo después de que se añade a través de la
CLI. Los comandos para hacer esto, como se muestra en la diapositiva.


FORTINET
En el escenario mostrado en esta diapositiva, la Los certificados SSL son de confianza está establecido en Permitir.
En el paso 1, el navegador inicia una conexión con un sitio externo que es de confianza de FortiGate. En el paso 2, el servidor de confianza envía su
certificado SSL para FortiGate. En el paso 3, FortiGate confía en el certificado porque tiene el certificado de CA correspondiente en su almacén de
certificados de confianza. FortiGate puede validar la firma en el certificado SSL. En el paso 4, porque FortiGate confía en el certificado SSL, que genera y
firma un certificado temporal utilizando la clave privada Fortinet_CA_SSL. FortiGate envía el certificado al navegador. Finalmente, en el paso 5, el navegador
confía en el certificado porque el certificado de CA correspondiente es de confianza en su tienda de la entidad emisora raíz. Una vez que el navegador
termina de validar el certificado, se inicia el protocolo de enlace SSL con FortiGate. A su vez, FortiGate inicia el protocolo de enlace SSL con el servidor de
confianza.


FORTINET
En el escenario mostrado en esta diapositiva, la Los certificados SSL son de confianza está establecido en Permitir. En el paso 1, el navegador
inicia una conexión con un sitio externo que es no la confianza de FortiGate. En el paso 2, el servidor no es de confianza envía su certificado SSL
autofirmado para FortiGate. En el paso 3, FortiGate no encuentra una copia del certificado en su almacén de certificados de confianza y, por lo
tanto, no confiar en el certificado SSL. En el paso 4, porque FortiGate no confía en el certificado SSL, que genera y firma un certificado temporal
firmado por la clave privada Fortinet_CA_Untrusted. Este certificado se envía al navegador. En el paso 5, el navegador no confiar en este
certificado, ya que no tiene el certificado de confianza Fortinet_CA_Untrusted en su almacén raíz CA. El navegador mostrará una advertencia que
alerta al usuario de que el certificado no es de confianza. Si el usuario decide hacer caso omiso de la advertencia y proceder, el navegador inicia el
protocolo de enlace SSL con FortiGate. En turno,
El usuario puede tener la opción de escribir este certificado temporal al almacén de certificados de confianza del navegador. Sin embargo, esto no tendrá
ningún impacto en el futuro. La próxima vez que el usuario se conecta al mismo sitio no es de confianza, un nuevo certificado temporal se producirá para la
sesión.


FORTINET
En el escenario mostrado en esta diapositiva, la Los certificados SSL son de confianza está establecido en Obstruido. En el paso 1, el navegador inicia
una conexión con un sitio externo que es no la confianza de FortiGate. En el paso 2, el servidor no es de confianza envía su certificado SSL autofirmado para
FortiGate. En el paso 3, FortiGate no encuentra el certificado en su almacén de certificados de confianza y, por lo tanto, no confiar en el certificado SSL. En el
paso 4, porque FortiGate no confía en el certificado SSL, se detiene la sesión. En el paso 5, FortiGate notifica al navegador que el sitio está bloqueado.


FORTINET
En el escenario mostrado en esta diapositiva, la Los certificados SSL son de confianza está establecido en Ignorar. En el paso 1, el navegador inicia una
conexión con un sitio externo que es no la confianza de FortiGate. En el paso 2, el servidor no es de confianza envía su certificado SSL autofirmado para
FortiGate. Debido a que el valor se establece en Ignorar, FortiGate no comprueba el almacén de certificados. En el paso 3, FortiGate genera y firma un
certificado temporal utilizando la clave privada Fortinet_CA_SSL, y envía el certificado al navegador. En el paso 4, el navegador confía en el certificado porque el
certificado de CA correspondiente es de confianza en su tienda de la entidad emisora raíz. Una vez que el navegador termina la revisión del certificado, se inicia
el protocolo de enlace SSL con FortiGate. A su vez, FortiGate inicia el protocolo de enlace SSL con el servidor de confianza.
Una conexión a un sitio de confianza se maneja de la misma manera.


FORTINET
Dentro del perfil de inspección profunda, también puede especificar qué tráfico, si los hay, que desea excluir de la inspección SSL. Es posible que necesite para
eximir el tráfico de inspección SSL si está causando problemas con el tráfico o por razones legales.
La realización de la inspección SSL en un sitio que está habilitada con HTTP colocación de clavos de clave pública (HPKP), por ejemplo, puede causar
problemas con el tráfico. Recuerde, la única manera de FortiGate para inspeccionar el tráfico cifrado es interceptar el certificado procedente del servidor, y
generar una temporal. Una vez FortiGate presenta el certificado SSL temporal, los navegadores que utilizan HPKP se negará a proceder. El perfil de
inspección SSL, por lo tanto, le permite exentar tráfico específico.
La ley de privacidad protector puede ser otra de las razones para eludir la inspección SSL. Por ejemplo, en algunos países, es ilegal para inspeccionar el tráfico
relacionados con los bancos SSL. Configuración de una exención por categorías específicas (como Finanzas y Banca) es más simple que la creación de políticas de
firewall para cada banco en particular.


FORTINET
Los certificados son invalidadas por una variedad de razones. Cuando se deshabilita el Permitir que los certificados SSL no válidos, cheques
FortiGate la siguientes:
• La firma en el certificado SSL más cualquier certificado CA subordinada hasta la CA raíz
• Las fechas de validez en todos los certificados de la cadena
• La revocación de todos los certificados de la cadena, utilizando la lista CRL en el FortiOS
Cuando se habilita la Permitir que los certificados no válidos SSL opción, FortiGate acepta el certificado SSL no válido para establecer una sesión segura. También
puede realizar un seguimiento de los certificados no válidos al permitir Entrar anomalías SSL.


FORTINET
Puede activar SSH Análisis en profundidad cuando se selecciona Múltiples clientes que se conectan a varios servidores. Cuando se habilita SSH análisis
profundo, FortiGate hace un ataque MITM para el tráfico SSH (que se basa en SSL). Un proceso similar al que se muestra en la diapositiva anterior se produce:
FortiGate genera y firma un certificado nuevo basado en el nombre del asunto del certificado del servidor SSH. El cliente SSH verá una advertencia de certificado, si
el certificado FortiGate CA no está instalado. Tenga en cuenta que la activación SSH Análisis en profundidad le permite restringir la búsqueda de paquetes de
protocolo SSH en el puerto TCP / IP 22. Esto no es tan amplia como la búsqueda de todos los puertos, pero es más fácil en el rendimiento del servidor de
seguridad.


FORTINET
En este ejemplo, FortiGate está protegiendo a un servidor web. Esta es la segunda opción de configuración para la inspección completa SSL. Al configurar el
perfil de inspección SSL para este servidor, debe seleccionar La protección del servidor SSL, importar par de claves del servidor para FortiGate, y luego
seleccione el certificado de la Certificado de servidor
la lista desplegable. Si tiene varios servidores para proteger, tendrá que añadir un perfil de inspección SSL para cada servidor, a menos que los servidores
comparten el mismo certificado.
Cuando Alice intenta conectar con el servidor protegido, FortiGate se convierte en un servidor web sustituta mediante el establecimiento de la conexión
segura con el cliente que utiliza un par de claves del servidor. FortiGate también establece una conexión segura con el servidor, pero que actúa como cliente.
Esta configuración permite FortiGate para descifrar los datos desde cualquier dirección, escanear, y si es limpio, volver a cifrar y enviarlo al destinatario
previsto. Usted tendrá que instalar el certificado de servidor y la clave privada además de la cadena de certificados necesarios para construir la cadena de
confianza. FortiGate envía la cadena de certificados en el navegador a tal efecto.


FORTINET
Después de crear y configurar un perfil de inspección SSL, debe asignarlo a una política de firewall para que el FortiGate sabe cómo inspeccionar el
tráfico cifrado.
Un perfil de seguridad sin un perfil de inspección SSL habilitado resultados en protocolos cifrados siendo ignorados por esa política de firewall. Cuando se
habilita un perfil de inspección SSL, esto no significa que el tráfico está sujeto a inspección SSL y descifrado MITM por FortiGate. Más bien, se define cómo
se maneja el tráfico cifrado. También puede seleccionar la opción Proxy perfil de interfaz gráfica de usuario en 6.0


FORTINET
Al hacer una inspección completa usando SSL FortiGate CA autofirmado, el navegador muestra un certificado de advertencia cada vez que se conecta a
un sitio HTTPS. Esto se debe a que el navegador está recibiendo certificados firmados por FortiGate, que es una CA que no sabe y la confianza. Puede
evitar esta advertencia mediante una de las siguientes:
• Descargar el certificado Fortinet_CA_SSL e instalarlo en todas las estaciones de trabajo como una autoridad raíz de confianza.
• Utilizar un certificado SSL emitido por una CA y asegurar que el certificado está instalado en los navegadores necesarios. El certificado SSL debe estar
instalado en el dispositivo FortiGate y configurado para utilizar el certificado SSL para su inspección. Si el certificado SSL está firmado por una CA
subordinada, asegurarse de que toda la cadena de certificados- del certificado SSL para la CA raíz está certificado instalado en FortiGate. Verificar que la
entidad emisora raíz se instala en todos los navegadores cliente. Esto es necesario para fines de confianza. Debido FortiGate envía la cadena de
certificados al navegador durante el protocolo de enlace SSL, los certificados de CA intermedios no tienen que ser instalado en los navegadores.


FORTINET
Algunas de las medidas de seguridad han sido introducidos por el IETF para mitigar el ataque MITM. Algunas de estas medidas causan problemas
cuando se lleva a cabo una inspección completa SSL saliente.
HTTP estricta seguridad de transporte (HSTS) y HTTP colocación de clavos de clave pública (HPKP) son características de seguridad diseñadas para
frustrar los ataques MITM. HSTS es “un mecanismo que permite a los sitios web se declaran accesible sólo a través de conexiones seguras ...”, de
acuerdo con RFC 6797 de la IETF. En otras palabras, un usuario desde un navegador web se vería obligado a utilizar HTTPS cuando se conecta a un
sitio web con esta política; no habría ninguna posibilidad de conectarse a través de HTTP. HPKP es una característica de seguridad impuesta por el
servidor web que asocia una o más claves públicas con el sitio web durante un período determinado de tiempo. La clave pública no tiene por qué ser la
clave pública del servidor web, que podría ser una de las claves públicas intermedias o de CA raíz, con tal de que existe en la cadena de certificados.
Cuando el navegador de Internet visita una página web habilitada para HPKP,
En el futuro, cada vez que el navegador web se conecta al servidor web, se comparará una o más de las claves que se presentan con las huellas dactilares clave en
caché. Si el navegador no puede coincidir con al menos una de las claves, el apretón de manos SSL termina. Este es un problema para la inspección SSL completa
saliente. FortiGate genera un nuevo certificado y una clave pública para establecer una sesión SSL con el navegador web. FortiGate no puede proporcionar una
cadena de certificados auténticos, por lo que la conexión sería rechazado por el navegador. Como era de esperar, esto podría evitar que los usuarios se conecten a
una gran cantidad de sitios legítimos.


FORTINET
Las opciones disponibles para eludir HPKP son limitadas. Una opción es eximir de inspección SSL para esos sitios. Otra opción es utilizar SSL
certificado de inspección en su lugar. Una tercera opción es utilizar un navegador que no admite HPKP, como Internet Explorer o Edge. Google ha
anunciado que planea dejar de apoyar HPKP en Chrome. Por último, en algunos navegadores es posible desactivar HPKP.


FORTINET


FORTINET
¡Buen trabajo! Ahora puede describir certificado y la inspección profunda y se puede configurar FortiGate utilizar cualquiera de estas opciones.
A continuación, usted aprenderá cómo manejar certificados digitales en FortiGate.


FORTINET
• Generar una solicitud de certificado

• CRL importación
• Una copia de seguridad y restauración de los certificados
Demostrando competencia en la generación de solicitudes de certificados, la importación de CRL y realizar copias de seguridad y restauración de los
certificados, usted será capaz de gestionar certificados de FortiGate.


FORTINET
El proceso de obtención de un certificado digital para FortiGate comienza con la creación de una petición de firma de certificado (CSR). El proceso es el
siguiente:
1. FortiGate genera una CSR. Un par de claves privada y pública se crea para FortiGate. La RSE está firmado por la clave privada del FortiGate.
2. FortiGate somete el CSR a la CA. La RSE incluye la clave pública y FortiGate información específica sobre FortiGate (dirección IP, el nombre completo,
dirección de correo electrónico, y así sucesivamente). Tenga en cuenta que la clave privada se mantiene confidencial sobre FortiGate.
3. La CA verifica que la información en la RSE es válida, y luego crea un certificado digital para FortiGate. El certificado está firmado
digitalmente con la clave privada de la CA. El CA también publica el certificado en un repositorio central. El certificado se une a la clave
pública FortiGate.
4. El certificado se volvió a instalar en FortiGate.


FORTINET
Se puede generar un CSR en la certificados la página de la interfaz gráfica de usuario haciendo clic Generar. Ingrese toda la información requerida, tal como la dirección IP (o
nombre de dominio completo) y el nombre de la empresa. Asegúrese de que el tipo y el tamaño de la clave se ajustan a sus necesidades. Puede enviar el CSR a una CA utilizando
cualquiera de los métodos siguientes:
• Seleccionar de archivo basado para generar la RSE como un archivo .csr, que se envía a la CA.
• Seleccionar SCEP en línea someter la RSC a la entidad emisora en línea utilizando el protocolo simple de inscripción de certificados (SCEP). Por
ejemplo, si está utilizando FortiAuthenticator como su CA, se puede activar y configurar SCEP en FortiAuthenticator y utilizar este método.


FORTINET
Si está utilizando el de archivo basado método, se añade la RSE a su lista de certificados en el certificados página. Seleccione la RSE y haga clic Descargar.
El administrador puede ahora enviar el archivo (. RSE), que es una solicitud PKCS # 10, a la CA. PKCS # 10 es el formato más común para una solicitud
de certificado. El CA utiliza este archivo para generar un certificado firmado.
Si se utiliza el método de SCEP en línea, introduzca la URL del servidor de CA utilizado para SCEP y la contraseña de comprobación proporcionada por el
administrador de CA. La RSE se presenta de forma automática en línea. Una vez presentado a través de cualquier método, FortiGate muestra el estado del
certificado como pendiente hasta que el certificado se devuelve por la CA e importado en FortiGate. En este punto, el estado cambia a DE ACUERDO y el
certificado digital se puede utilizar.
Tenga en cuenta que si elimina la RSE, usted no será capaz de instalar el certificado y tendrá que empezar de nuevo.


FORTINET
El método basado en el archivo de la presentación de una RSE es un proceso manual. El proceso de SCEP, que se produce de forma automática en línea, no requiere
la importación del archivo manual. Puede importar el certificado de la certificados página. Hacer clic Importar y seleccione Certificado local. Sobre el
Certificado de importación de diálogo, en el Tipo campo, seleccione Certificado local y vaya a la. cer archivo proporcionado por la CA.
Una vez que importe el certificado, el estado cambia de pendiente a DE ACUERDO. Observe que es posible añadir un certificado que FortiGate
usará en las comunicaciones SSL sin generar y firmar un CSR. La CA puede crear un certificado para su FortiGate sin un CSR (aunque la CA es
responsable de proporcionar todos los detalles del certificado para su FortiGate). De esta manera, se puede añadir un certificado mediante los
métodos siguientes:
• Cargar un archivo PKCS # 12, que es un archivo único que incluye el archivo del certificado firmado y el archivo de claves.
• Sube tanto un archivo de certificado y el archivo de claves.
Un usuario administrador con el perfil super_admin puede poner una contraseña en un certificado y controlar el acceso a su clave privada.


FORTINET
Cuando FortiGate es validar un certificado, se comprueba que el número de serie del certificado no aparece en una CRL importada a FortiGate.
Puede importar una CRL de la certificados página haciendo clic Importar> CRL. En el importación CRL de diálogo, puede seleccionar una de estas
cuatro opciones de importación: HTTP, LDAP, SCEP, y PC local. Las tres primeras opciones apuntan a repositorios externos y requieren que se conecte a
los repositorios para cargar la CRL a FortiGate. La última opción, PC local, requiere que tenga el archivo CRL almacenada localmente antes de poder
cargar la CRL a FortiGate.
Antes de la CRL expira, FortiGate recuperará automáticamente la última versión utilizando el protocolo especificado en la configuración.


FORTINET
Al realizar copias de seguridad de la configuración FortiGate, las claves y los certificados están respaldados también. FortiGate también proporciona la opción
de almacenar certificados digitales como un archivo PKCS # 12, que incluye las claves privadas y públicas, así como el certificado. Puede restaurar el archivo
PKCS # 12 a un dispositivo FortiGate de cualquier modelo o versión de firmware, o para un dispositivo no FortiGate.
Puede realizar la copia de seguridad y restaurar solamente de la CLI y requiere el uso de un servidor TFTP.


FORTINET
Se puede configurar un certificado de entidad emisora local y globalmente o para un VDOM. Si subes un certificado a un VDOM, es accesible sólo dentro de esa
VDOM. Si subes un certificado a nivel mundial, es accesible a todos los VDOMs como a nivel mundial.
configuración de certificados global y basada en VDOM incluye la posibilidad de ver los detalles del certificado, así como para descargar, borrar, y los
certificados de importación.
Tenga en cuenta que algunos de los certificados FortiGate tienen algoritmos de firma específicos y longitudes de claves en sus nombres, como por ejemplo de
curva elíptica Digital Signature Algorithm 256 (ECDSA256) y RSA2048. requisitos de la política y técnica pueden determinar qué certificados que utilice.


FORTINET
Si está utilizando un certificado SSL emitido por una CA privada, debe instalar el certificado CA en la lista de entidades de certificación de confianza. Si no lo hace,
un mensaje de advertencia aparecerá en su navegador web cada vez que acceda a una página web HTTPS. comunicaciones cifradas también pueden fallar,
simplemente porque la entidad emisora que emitió y firmó el certificado no es de confianza.
Una vez descargado el certificado SSL de FortiGate, se puede instalar en cualquier navegador web o el sistema operativo. No todos los navegadores utilizan el
mismo repositorio de certificados. Por ejemplo, Firefox usa su propio repositorio, mientras que almacenar certificados de Internet Explorer y Chrome en un
repositorio de todo el sistema. Con el fin de evitar las advertencias de certificados, es necesario instalar el certificado SSL como una CA raíz de confianza
Al instalar el certificado, asegúrese de que se guarda en el almacén de certificados para las autoridades de raíz.


FORTINET


FORTINET
¡Buen trabajo! Ahora ya sabe cómo manejar certificados dentro de FortiGate. A continuación, podrás
revisar los objetivos cubiertos en esta lección.


FORTINET
• Explicar por qué y cómo FortiGate confía o no confía en los certificados

• Describir cómo funciona un protocolo de enlace SSL entre FortiGate y un servidor SSL
• Describir la inspección y el certificado de las dos opciones de inspección completa SSL
• Identificar los requisitos y obstáculos para implementar la inspección completa SSL, y los posibles remedios
• Describir cómo generar una solicitud de certificado, CRL importación, y una copia de seguridad y restauración de los certificados

• Filtrado web

FORTINET
En esta lección, aprenderá cómo configurar el filtrado de web en FortiGate para controlar el tráfico de Internet en su red.

• Filtrado web

FORTINET

• modos de inspección
• bases del filtrado Web
• características de filtrado web basado en proxy adicional
• filtrado de DNS

• Filtrado web

FORTINET

• Describir los modos de inspección FortiGate
• Implementar inspección completa SSL
Demostrando competencia en los modos de inspección, usted será capaz de aplicar los modos de inspección apropiados que soportan los perfiles de
seguridad deseados.

• Filtrado web

FORTINET
Cada componente de inspección juega un papel en el tráfico de perfeccionamiento en su camino a su destino. Tener el control sobre el modo basado en flujo y basado en
proxy es útil si usted quiere estar seguro de que se utiliza el modo de control Sólo a base de flujo (y que el modo de inspección de proxy no se utiliza). En la mayoría de los
casos, el modo de representación se prefiere debido a que más características del perfil de seguridad y más opciones de configuración están disponibles. Sin embargo,
algunas implementaciones requieren todos los escaneados perfil de seguridad para utilizar sólo el modo de inspección basado en el flujo de más alto rendimiento posible. En
estos casos, puede configurar su FortiGate a basado en el flujo, sabiendo que la inspección basada en proxy no se utilizará. Mientras que ambos modos ofrecen una
seguridad significativa, el modo basado en proxy es más completo y el modo basado en el flujo está diseñado para optimizar el rendimiento.

• Filtrado web

FORTINET
El modo de inspección basado en el flujo examina el archivo a su paso por FortiGate, sin ningún tipo de amortiguación. A medida que llega cada paquete, se
procesa y se envía sin esperar a que la página completa archivo o página web. Si no está familiarizado con el análisis de flujo de TCP de Wireshark, entonces
eso es esencialmente lo que ve el motor de flujo. Los paquetes se analizaron y se envían como se reciben. el tráfico original no se altera. Por lo tanto, las
características avanzadas que modifican el contenido, como la aplicación de búsqueda segura, no son compatibles. Las ventajas del modo basado en el flujo
son:
• El usuario ve un tiempo de respuesta más rápido para las solicitudes HTTP en comparación con proxy basado en.
• Hay menos posibilidad de un error de tiempo de espera debido a que el servidor en el otro extremo de responder lentamente. Las desventajas de
modo basado en flujo son:

• Una serie de características de seguridad que están disponibles en el modo basado en proxy no están disponibles en el modo basado en flujo.
• Menos acciones están disponibles en base a la categorización del sitio web por los servicios FortiGuard. modo de inspección basado en el flujo
con el modo NGFW basada en el perfil es el predeterminado.

• Filtrado web

FORTINET
Se puede utilizar el FortiGate o VDOMs individuales en el modo de política de firewall próxima generación (NGFW). Puede activar el modo de la política
NGFW estableciendo la Modo de inspección a basado en el flujo y el establecimiento de la

Modo NGFW a basada en políticas. Al seleccionar el modo basado en políticas NGFW también selecciona el modo de inspección SSL / SSH que se aplica
a todas las políticas.

• Filtrado web

FORTINET
escaneo basado en Proxy refiere a proxy transparente. Se llama transparente porque, en la capa IP, FortiGate no es la dirección de destino, pero
FortiGate hace interceptar el tráfico. Cuando se habilita la inspección basada en proxy, FortiGate amortigua el tráfico y la examina como un todo, antes
de determinar una acción. Debido FortiGate examina los datos en su conjunto, le corresponde examinar más puntos de datos que lo hace cuando se
utiliza basado en el flujo. En las conexiones TCP, el proxy de FortiGate genera el SYN-ACK al cliente, y completa el enlace de tres vías con el cliente,
antes de crear una segunda, nueva conexión con el servidor. Si la carga es menor que el límite de gran tamaño, los tampones de proxy transmiten
archivos o mensajes de correo electrónico para la inspección, antes de la transmisión continua. El proxy analiza las cabeceras y puede cambiar los
encabezados de host, como HTTP y URL, filtrado web. Si un perfil de seguridad decide bloquear la conexión, el proxy puede enviar un mensaje de
reemplazo al cliente. Esto agrega latencia a la velocidad total de transmisión.
de inspección basado en Proxy es más completo que los otros métodos, produciendo menos falsos positivos y resultados negativos.

• Filtrado web

FORTINET
filtros web FortiGate son también los perfiles de seguridad. Los perfiles de seguridad son personalizables, de acuerdo con el modo de inspección seleccionado.
Por lo tanto, el primer paso, antes de establecer un filtro web, es configurar el modo de inspección. modo de inspección es un ajuste de sistema, adaptables a
nivel VDOM.
Cuando su FortiGate está configurado para el modo de inspección proxy, también debe definir un perfil de opciones de proxy. Este perfil determina los protocolos
de sus perfiles de seguridad utilizan, por ejemplo, para inspeccionar el tráfico web o DNS. Tenga en cuenta que los números de puerto de inspección HTTPS, y
otros ajustes relacionados con el manejo de SSL, se definen por separado en el perfil de inspección SSL / SSH.

• Filtrado web

FORTINET

• Filtrado web

FORTINET
¡Buen trabajo! Ahora entiendo modos de inspección. A continuación, usted
aprenderá acerca de las bases del filtrado web.

• Filtrado web

FORTINET
• Describir perfiles de filtrado Web

• Trabaja con categorías de filtro Web
• Configurar las anulaciones de filtro Web
• Configurar categorías personalizadas

• Presentar una solicitud de tasación de FortiGuard
Demostrando competencia en las bases del filtrado web, usted será capaz de describir perfiles de filtrado web, utilizar perfiles de filtrado web FortiGuard, configurar
las anulaciones de filtro web, definir categorías personalizadas, y presentar solicitudes de calificación FortiGuard.

• Filtrado web

FORTINET
filtrado web ayuda a controlar, o pista, los sitios web que visitan los usuarios. Hay muchas razones por las que los administradores de red se aplican
filtrado web, incluyendo a:
• Preservar la productividad de los empleados
• Prevenir la congestión de la red, donde se utiliza el ancho de banda valioso para fines no comerciales
• Evitar la pérdida o exposición de información confidencial
• Disminuir la exposición a las amenazas basadas en la Web
• Limitar la responsabilidad legal cuando los empleados el acceso o descargar material inapropiado u ofensivo
• Prevenir la infracción de copyright causada por la descarga de los empleados o distribución de materiales con derechos de autor
• Evitar que los niños vean material inapropiado

• Filtrado web

FORTINET
Este ejemplo ilustra el flujo de un proceso de filtrado de HTTP. filtrado web busca la HTTP 200 respuesta, devuelta cuando se
accede a la página web con éxito.
Por lo tanto, como se muestra, en el nombre de dominio HTTP y URL son piezas separadas. El nombre de dominio podría tener este aspecto en la cabecera: Anfitrión:
www.acme.com, y la URL podría tener este aspecto en la cabecera:
/index.php?login=true.
Si vamos a filtrar por dominio, a veces se bloquea demasiado. Por ejemplo, los blogs en tumblr.com se consideran contenido diferente, porque de
todos los diferentes autores. En ese caso, puede ser más específico, y el bloque por la parte de la URL, tumblr.com/hacking, por ejemplo.

• Filtrado web

FORTINET
Ahora vamos a ver el perfil de filtrado web.
Este perfil de seguridad se apoya tanto en el modo de inspección basado en proxy y en flujos. Sin embargo, dependiendo del modo seleccionado, los ajustes
disponibles son diferentes. La inspección basada en el flujo tiene un menor número de opciones disponibles.
En estos ejemplos, FortiGate se establece para llevar a cabo la inspección basada en flujo. El filtro basado en categorías FortiGuard divide a los sitios web
basados en categorías y subcategorías de FortiGuard. En la inspección basada en el flujo, FortiGate ofrece un adicional de dos opciones NGFW:
• Perfil-base (por defecto)

• filtros web se definen como perfiles de seguridad y se aplican a la política del cortafuegos
• Basada en la Política
• categorías de URL se definen directamente bajo las políticas de firewall Otras opciones basadas en el perfil
(de los que hablaremos más de las siguientes diapositivas) incluyen:
• Los motores de búsqueda
• Filtro URL estática

• Opciones de calificación
• Opciones de proxy

• Filtrado web

FORTINET
En este ejemplo, FortiGate que lleve a cabo la inspección basada en proxy. El filtro basado en categorías FortiGuard divide a los sitios web basados
en categorías y subcategorías de FortiGuard. Otras opciones locales (de los que hablaremos en las próximas diapositivas) incluyen:
• Los motores de búsqueda
• Filtro URL estática

• Opciones de calificación
• Opciones de proxy
Una vez que se ha configurado su perfil de filtrado web, aplicar este perfil a su política de firewall para que el filtrado se aplica a su tráfico web.

• Filtrado web

FORTINET
En lugar de bloquear o permitir sitios web de forma individual, categoría filtrado FortiGuard mira a la categoría que un sitio web se ha clasificado con.
Entonces, FortiGate y actúa con base en esa categoría, no se basa en la URL. categoría de filtrado de FortiGuard es un servicio en vivo que requiere un
contrato activo. El contrato valida las conexiones a la red FortiGuard. Si el contrato expira, hay un período de gracia de siete días durante el cual se
puede renovar el contrato antes de que el servicio se corta. Si no se renueva, después del período de gracia de siete días, FortiGuard volverá cada
solicitud de calificación como un error de clasificación.
FortiManager puede ser configurado para actuar como un servidor de FortiGuard local. Para ello, es necesario descargar las bases de datos a
FortiManager, y configurar el FortiGate para validar las categorías contra FortiManager, en lugar de FortiGuard.

• Filtrado web

FORTINET
categorías de sitios web están determinadas por métodos automáticos y humanos. El equipo FortiGuard tiene rastreadores web automáticos que se
centran en diversos aspectos de la página web con el fin de llegar a una calificación. También hay personas que examinan sitios web y mirar en las
solicitudes de calificación para determinar las categorías. Para revisar la lista completa de categorías y subcategorías, vaya a www.fortiguard.com.

• Filtrado web

FORTINET
¿Entonces, cómo funciona?
FortiGate consulta la red de distribución de FortiGuard (FDN) -o FortiManager, si se ha configurado para actuar como un servidor local de
FortiGuard-para determinar la categoría de una página web solicitada.
Cuando los usuarios visitan sitios web, FortiGate utiliza el servicio FortiGuard vivo para determinar la categoría que pertenece a la URL y tomar una acción
configurada para esa categoría, tales como permitir o bloquear el acceso. Al utilizar esta función, se puede realizar el filtrado de URL a granel, sin definir de
forma individual cada sitio web.
Puede habilitar el filtrado de categorías FortiGuard en el filtro web o perfiles de filtrado de DNS (que vamos a ver más adelante). Categorías y
subcategorías se enumeran, y las acciones a realizar pueden ser personalizadas individualmente. Las acciones disponibles dependerán del modo de
inspección.
• Proxy - Permitir, Bloquear monitor, advertencia y la autenticación.
• Flow-basa, basada en perfiles - Permitir, Bloquear y Monitor.
• basado en el flujo, basada en políticas - Acción definido en una directiva de cortafuegos

• Filtrado web

FORTINET
La acción de alerta sólo está disponible para la inspección basada en proxy. Esto avisa a los usuarios que el sitio web solicitado no está permitido por
las políticas de internet. Sin embargo, se le da al usuario la opción de ir por delante a la página web solicitada o regresa a la página web anterior.
El intervalo de advertencia puede ser personalizado, para que pueda presentar esta página de advertencia en momentos específicos, de acuerdo con el período configurado.

• Filtrado web

FORTINET
La acción autenticar es también una acción FortiGuard basado en categorías para su inspección basado en proxy. Esta acción bloquea los sitios web
solicitados, a menos que el usuario introduce un nombre de usuario y contraseña con éxito. El intervalo de tiempo para permitir el acceso es personalizable. Los
usuarios no se les solicita volver a autenticarse si tienen acceso a otros sitios web en la misma categoría, hasta que el tiempo se agota.
La elección de esta acción le pedirá que definir grupos de usuarios que se permite pasar por alto el bloque.

• Filtrado web

FORTINET
Lista de bloque dinámico externa es una característica nueva de FortiOS versión 6.0, que introduce la posibilidad de importar dinámicamente listas de bloqueo externos
desde un servidor HTTP. Puede utilizar las listas de bloqueo para imponer requisitos especiales de seguridad de su organización. Esto puede incluir políticas a largo
plazo para bloquear siempre el acceso a sitios web específicos o necesidades a corto plazo para bloquear el acceso a lugares conocidos comprometidas. Estas listas
negras son archivos de texto que se encuentran en formato de texto plano, donde cada línea contiene una sola URL para bloquear. Debido a que las listas se importan
dinámicamente cualquier cambio realizado en la lista son inmediatamente importados por FortiOS.
Categoría FortiGuard: Este nombre de recurso aparece como una “Categoría remoto” en perfiles de filtrado web y exenciones de inspección SSL.
Dirección IP de servidor de seguridad: Este nombre de recurso aparecerá como una “Lista de bloqueo IP externa” en perfiles de filtrado de DNS y como un “origen / destino” en la
política de proxy.
Nombre de dominio : Este nombre de recurso aparecerá como una “Categoría remoto” En perfiles de filtrado de DNS.
Frecuencia de actualización: El uso de este ajuste, puede especificar la frecuencia, en minutos, listas de bloqueo se pueden actualizar desde la fuente externa.
El tamaño del archivo de lista de bloqueo puede ser de 10 MB o 128.000 líneas de texto, el que sea más restrictivo.
Nota: El perfil de DNS sólo es compatible con las direcciones IPv4 e ignorará las direcciones IPv6.

• Filtrado web

FORTINET
listas de bloqueo dinámicos se pueden agregar a:
• perfiles de filtrado web y las exenciones de inspección SSL

• perfiles de filtrado de DNS y direcciones de destino / origen en políticas de proxy

• Filtrado web

FORTINET
Cuando se utiliza el filtrado por categorías FortiGuard para permitir o bloquear el acceso a un sitio web, una opción es hacer una anulación de calificación web y
definir el sitio web en una categoría diferente. calificaciones web son sólo para se permiten nombres de host no-URL o caracteres comodín.
Si el contrato expira, y pasa el período de gracia de siete días, las anulaciones de calificación web no serán eficaces. Todas las solicitudes de calificación categoría de
sitio web serán devueltos con un error de clasificación.

• Filtrado web

FORTINET
Si desea hacer una excepción, por ejemplo, en lugar de desbloquear el acceso a una categoría potencialmente no deseado, basta con cambiar la página web a
una categoría permitida. Lo contrario también puede llevarse a cabo, se puede bloquear un sitio web que pertenece a una categoría permitida.
Recuerde que el cambio de categorías no se traduce automáticamente en una acción diferente para el sitio web. Esto dependerá de la configuración dentro
del perfil de filtrado web.

• Filtrado web

FORTINET
Si las categorías predefinidas en FortiGuard no son adecuados para la situación, se puede añadir categorías personalizadas adicionales.
Puede agregar y eliminar categorías personalizadas según sea necesario, siempre y cuando no están en uso.

• Filtrado web

FORTINET
(Diapositiva contiene animaciones)
filtrado de URL estática es otra de las características del filtro web. URL configuradas en el filtro de URL se comparan con los sitios web visitados. Si se
encuentra una coincidencia, se toma la acción configurada. filtrado de URL tiene los mismos patrones como el filtrado estático de dominio: sencilla, comodín
y expresiones regulares. Veamos cómo funciona.
(hacer clic)
Cuando un usuario visita un sitio web, FortiGate se ve en la lista de URL para una entrada coincidente. En este ejemplo, el sitio web coincide con la tercera entrada en la
tabla, que se establece como tipo Sencillo. Este tipo significa que el partido debe ser exactos, no hay ninguna opción para una coincidencia parcial con este patrón. Además,
la acción se establece en Bloquear, por lo tanto FortiGate mostrará un mensaje de página de bloqueo.

• Filtrado web

FORTINET
Siempre existe la posibilidad de errores en las calificaciones, o un escenario en el que simplemente no está de acuerdo con la calificación otorgada. En ese caso, puede utilizar
el portal web para contactar con el equipo de FortiGuard de presentar un sitio web para una nueva calificación o clasificación de conseguirlo si no está ya en la base de datos.

• Filtrado web

FORTINET

• Filtrado web

FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de filtrado web. A continuación, usted aprenderá acerca de las
características adicionales de filtrado web basado en proxy.

• Filtrado web

FORTINET
• Configurar cuotas de uso

• Configurar las anulaciones perfil Web
• Configurar filtro web para apoyar a los motores de búsqueda
• Configurar el filtrado de contenido web
Demostrando competencia en las características adicionales de filtrado web basado en proxy, usted será capaz de configurar cuotas de uso, las redefiniciones de
perfil web, filtros de motores de búsqueda y filtrado de contenidos web.

• Filtrado web

FORTINET
FortiGate también incluye una función para personalizar las cuotas de tiempo para acceder a las categorías que se establecen para controlar, de advertencia o
autenticarse en el perfil de filtrado web.
Puede personalizar múltiples cuotas (temporizadores). Cada cuota se puede aplicar ya sea a una sola categoría o categorías múltiples. Si la cuota se aplica
a múltiples categorías, el temporizador se comparte entre todas las categorías en lugar de tener un solo temporizador para cada categoría individual.
Si la acción de autenticación no está activada, FortiGate asigna automáticamente las cuotas para cada IP de origen, como muestra la función de monitor.
Ahora, vamos a echar un vistazo a cómo funcionan las cuotas.

• Filtrado web

FORTINET
Como se muestra en esta diapositiva, la cuota de FortiGuard limita el tiempo que los usuarios pasan en los sitios web, según la categoría. Una cuota no puede redirigir al
usuario una vez que el sitio web se carga en su navegador. Por ejemplo, si el usuario dispone de 45 segundos para terminar su cuota, y acceder a una página web
desde la categoría especificada, el sitio seleccionado es probable que termine de cargarse antes de que los restantes 45 segundos están arriba. A continuación, el
usuario puede permanecer en ese sitio web, y que el sitio web no será bloqueado hasta que se actualice el navegador. Esta situación se produce porque la conexión con
el sitio web no es, por lo general, una transmisión en vivo. Una vez que reciba la información, la conexión se cierra.
Nota: Cuota se restablece cada 24 horas a medianoche.

• Filtrado web

FORTINET
Algunas de las características FortiGate no pueden proporcionar información directa a los usuarios. Por ejemplo, la cuota de FortiGuard no proporciona ninguna
regeneración hasta los usuarios superen la cuota y refrescar el navegador, a menos que la barra de Fortinet está activado. La barra de Fortinet inyecta un applet de Java
que se comunica con FortiGate y obtiene información adicional de características que de otro modo no proporcionan información directa.
La barra de Fortinet ofrece una cuenta atrás de cuotas FortiGuard. Otras características que no pueden bloquear páginas (por ejemplo, control de aplicaciones)
mostrarán eventos de bloque en la barra superior.
Es importante tener en cuenta que la barra de Fortinet sólo se admite para los sitios utilizando HTTP (no HTTPS).

• Filtrado web

FORTINET
También puede anular el perfil de filtrado. anulaciones de perfil web cambian las reglas que se utilizan para inspeccionar el tráfico. Anulaciones autorizan a los usuarios
específicos, grupos de usuarios o direcciones IP de origen predefinidas, utilizar un perfil de filtrado web diferente para inspeccionar su tráfico.
En el ejemplo mostrado en esta diapositiva, el nuevo perfil aplica al usuario Estudiante, inspecciona todo el tráfico de Internet de ese usuario desde el momento en
que se aplica el nuevo perfil, hasta que el tiempo se agota. Para utilizar esta anulación, necesita habilitar una autenticación de anulación. Cuando se habilita la
anulación de perfiles web, la página de bloqueo FortiGuard muestra un enlace que puede seleccionar para activar la anulación.
Esta función está disponible sólo si FortiGate que lleve a cabo la inspección basada en proxy.

• Filtrado web

FORTINET
filtrado de motores de búsqueda proporciona dos características importantes: la búsqueda de seguridad y restringir el acceso a YouTube.
• búsqueda segura es una opción que soportan algunos navegadores. Se aplica filtros internos a los resultados de búsqueda. Cuando se habilita la búsqueda
seguro para los sitios de búsqueda compatibles, FortiGate agrega código a la URL para imponer el uso de búsqueda segura. Por ejemplo, en una búsqueda
en Google, FortiGate añade la cadena & safe = active a la URL en la búsqueda. Por lo tanto, incluso si no está habilitada de forma local en el navegador,
FortiGate se aplicará búsqueda segura a las solicitudes cuando pasan a través. búsqueda segura es compatible con Google, Yahoo, Bing y Yandex.
• Cuando el modo de inspección se ajusta a basada proxy, puede configurar Estricto o Moderar el acceso a YouTube en un perfil de filtrado web. Para obtener
más información sobre el control de acceso estricto y moderado, ir a support.google.com.
• Solo se admite cuando se utiliza SSL inspección completa porque FortiGate requiere el acceso a la cabecera completa.

• Filtrado web

FORTINET
También puede controlar el contenido web en el perfil de filtrado web mediante el bloqueo del acceso a wesites que contengan palabras o patrones
específicos. Esto ayuda a evitar el acceso a sitios con material cuestionable.
Puede añadir palabras, frases, patrones, comodines y expresiones regulares de Perl para que coincida con el contenido en los sitios web. Se configura esta
función en una base por perfil de filtrado web, no a nivel mundial. Por lo tanto, es posible agregar varias listas de filtros de contenidos web y luego seleccione la
mejor lista para cada perfil de filtrado web. El administrador del sistema puede especificar palabras y frases prohibidas y asignar un valor numérico, o
puntuación, a la importancia de esas palabras y frases. Cuando la exploración filtro de contenido web detecta prohibió contenido, se añade la puntuación de
palabras y frases prohibidas en la página. Si la suma es mayor que el umbral establecido en el perfil de filtrado web, bloques FortiGate el sitio.
El número máximo de patrones de contenido web en una lista es 5000.
Al igual que el filtrado de motor de búsqueda, filtrado de contenido web requiere que FortiGate está utilizando SSL inspección profunda porque FortiGate requerirá
acceso completo a las cabeceras de los paquetes.

• Filtrado web

FORTINET
Puede utilizar la configuración de filtrado web avanzadas para mejorar el filtro web. Las opciones de
clasificación son los siguientes:
1. Si se produce un error de calificación del servicio de filtro web FortiGuard, los usuarios tendrán acceso total a todos los sitios web sin filtrar.
2. URL Tarifa por dominio y la dirección IP. Esta opción envía tanto la URL y la dirección IP del sitio solicitado para la comprobación,
proporcionando seguridad adicional contra los intentos de eludir el sistema FortiGuard.
3. Bloque de redirección HTTP para evitar sitios web diseñados para eludir el filtrado web.
4. Tasa de imágenes por URL. Esta opción reemplaza las imágenes bloqueadas con espacios en blanco, incluso si son parte de un sitio web en una categoría permitida.

• Filtrado web

FORTINET
Los valores de las opciones avanzadas de proxy para el filtrado web son los siguientes:
1. Bloquear el acceso a algunas cuentas y servicios de Google. Puede incluir una lista de excepciones.
2. FortiGate muestra su propio mensaje de reemplazo para la serie 400 y la serie 500 errores HTTP. Si se permite a través del error del servidor, algunos
sitios pueden utilizar estas páginas de error comunes para eludir el filtrado web.
3. HTTP POST es el comando utilizado por el navegador cuando se envía la información, por lo que puede limitar los usuarios envíen información y
archivos en sitios web. La opción de permitir que impide que un servidor de tiempo cuando el escaneado, o cuando otros procesos de filtrado se
realizan para el tráfico saliente.
4. Filtrar cookies, applets de Java, ActiveX y secuencias de comandos de tráfico web.

• Filtrado web

FORTINET

• Filtrado web

FORTINET
¡Buen trabajo! Ahora entiendo características adicionales de filtrado web. A continuación, usted
aprenderá acerca de filtrado de DNS.

• Filtrado web

FORTINET
Al completar esta sección, debe ser capaz de aplicar un filtro DNS.
Demostrando competencia en el filtrado de DNS, usted será capaz de aplicar el filtrado de DNS en FortiGate.

• Filtrado web

FORTINET
También puede inspeccionar el tráfico DNS, pero esta opción es el modo basado en proxy limitado, y se presenta como una nueva característica perfil de
seguridad. ¿Como funciona?
En lugar de mirar el protocolo HTTP, esta opción filtra la petición DNS que se produce antes de una HTTP GET
solicitud. Esto tiene la ventaja de ser muy ligero, pero a un costo, porque carece de la precisión de filtrado HTTP.
Cada protocolo generará peticiones DNS con el fin de resolver un nombre de host; Por lo tanto, este tipo de filtrado tendrá un impacto en todos los protocolos de
nivel superior que dependen de DNS, no sólo el tráfico web. Por ejemplo, se podría aplicar categorías FortiGuard a las solicitudes de DNS para los servidores FTP.
Muy pocas características de filtrado web son posibles más allá del filtrado nombre de host debido a la cantidad de datos disponibles en el momento de la
inspección.

• Filtrado web

FORTINET
Este ejemplo ilustra un filtrado en el proceso de búsqueda de DNS. filtrado de DNS busca en el nombre del servidor respuesta, que normalmente se
produce cuando se conecta a un sitio web.
Como se discutió previamente, en HTTP, el nombre de dominio y la dirección URL son piezas separadas. El nombre de dominio podría tener este aspecto en la
cabecera: Anfitrión: www.acme.com, y la URL podría tener este aspecto en la cabecera:
/index.php?login=true.
Cuando un dispositivo inicia una búsqueda de DNS, envía la información FQDN en la solicitud inicial. La búsqueda de DNS se produce antes de la petición
HTTP puede ser enviado.
Cuando FortiGate recibe la petición DNS del cliente, envía una solicitud simultánea a los servidores FortiGuard SDN. Con el servicio SDNS
FortiGuard, hay dos resultados posibles:
se permite 1. Categoría: se pasa La respuesta DNS original y el resto del flujo de conexión continúa normalmente a través de la respuesta
HTTP 200. En este punto, otros filtros web podrían aplicarse.
2. La categoría está bloqueada: FortiGate anula la dirección IP del sitio con la dirección de anulación FortiGuard y presenta un error de DNS para el
cliente.
Como resultado, si está utilizando el filtro de DNS, y está siendo bloqueado el dominio, la conexión será bloqueado antes de la solicitud HTTP incluso
envió.

• Filtrado web

FORTINET
He aquí un vistazo en el perfil de filtrado de DNS.
El filtro de DNS incluye diversas opciones de configuración. Puede activar o desactivar el filtro basado categoría- FortiGuard y el filtro de
dominio estático. También tiene la opción de:
• Bloquear solicitudes DNS al mando y control botnet conocida

• Permitir peticiones DNS cuando se produce un error de calificación del servicio de filtro web FortiGuard
• Redirigir las peticiones bloqueadas a un portal específico (el Usar predeterminado FortiGuard Se recomienda configuración) Una vez que haya habilitado y
guardado los ajustes necesarios, recuerde que debe aplicar este perfil a su política de firewall para activar las opciones. Todo el tráfico de ser examinado por la
política tendrá aquellas operaciones que se le aplican.

• Filtrado web

FORTINET
¿Entonces, cómo funciona?
FortiGate-consulta los servidores o FortiGuard sdns FortiManager, si se ha configurado para actuar como un servidor local de FortiGuard-para
determinar la categoría de un sitio web solicitado.
Cuando los usuarios visitan sitios web, FortiGate utiliza el servicio FortiGuard SDNS para determinar la categoría que pertenece a la URL y tomar una acción
configurada para esa categoría, tales permitir o bloquear el acceso. Al utilizar esta función, se puede realizar el filtrado de URL a granel, sin definir de forma
individual cada sitio web.
Puede habilitar el filtrado de categorías FortiGuard de perfiles de filtrado de DNS, tal y como vimos en perfiles de filtrado web. Categorías y
subcategorías se enumeran, y las acciones a realizar pueden ser personalizadas individualmente. Filtro DNS admite las siguientes acciones:
• Permitir
• Bloquear
• Monitor

• Filtrado web

FORTINET
Puede configurar el filtrado de DNS para permitir, bloquear, el monitor o el acceso a sitios web exentos a través del filtro de dominio estático. Las entradas en la lista de
dominios se comparan con las peticiones DNS. Si se encuentra una coincidencia, se toma la acción configurada. Los patrones se establece en Sencillo son coincidencias
exactas de texto. Los patrones se establece en Comodín permitir cierta flexibilidad en el patrón de texto al permitir caracteres comodín y coincidencia parcial que se
produzca. Los patrones se establece en Reg. Expresión permitir el uso de expresiones regulares PCRE.
Con esta función, puede prevenir muchas peticiones HTTP de cada vez que se realizan, ya que la búsqueda inicial falla.

• Filtrado web

FORTINET
Cuando se habilita solicitudes Bloquear DNS a botnet conocida C & C desde su perfil de filtrado de DNS, las búsquedas de DNS se comparan con la administración
de la botnet y base de datos de control. Esta base de datos se actualiza de forma dinámica desde FortiGuard y se almacena en FortiGate.
Todas las búsquedas de DNS a juego están bloqueadas. Matching utiliza un prefijo por el contrario, por lo que todos los subdominios también están bloqueados.
Este servicio requiere una licencia de antivirus y filtrado web activa.

• Filtrado web

FORTINET

• Filtrado web

FORTINET
¡Buen trabajo! Ahora entiendo el filtrado de DNS. A continuación, usted aprenderá acerca de las
mejores prácticas y resolución de problemas.

• Filtrado web

FORTINET
• Comprender orden de inspección de HTTP

• Solucionar problemas de filtro
• Investigar los problemas de conexión FortiGuard
• Aplicar las mejores prácticas filtro web caché
• registros de Monitor de eventos de filtrado web
Demostrando competencia en las mejores prácticas y resolución de problemas, usted será capaz de aplicar varias mejores prácticas y técnicas de
solución de problemas para evitar e investigar los problemas comunes.

• Filtrado web

FORTINET
Recuerde que el perfil de filtrado web tiene varias características. Por lo tanto, si ha permitido a muchos de ellos, la orden de inspección fluye de la siguiente
manera:
1. El filtro de URL estática local

2. Categoría filtrado FortiGuard (para determinar una calificación)
3. Los filtros avanzados (como seguro de búsqueda o extracción de componentes Active X) Para cada paso, si no hay ninguna
coincidencia, FortiGate se moverán a la siguiente verificación habilitado.

• Filtrado web

FORTINET
Ha configurado perfiles de seguridad, pero no está realizando web o DNS inspección. ¿Por qué? Comprobar para ver si ha aplicado los perfiles
de seguridad a sus políticas de firewall. Además, asegúrese de que el perfil se aplica inspección SSL, según sea necesario.
Además, para utilizar el filtro DNS de FortiGate, debe utilizar el servicio SDNS FortiGuard para las búsquedas DNS. las solicitudes de búsqueda de DNS enviados
a la devolución del servicio FortiGuard SDNS con una dirección IP y una calificación de dominio que incluye la categoría de FortiGuard de la página web. Como
resultado, para que este mecanismo funcione, el servicio FortiGuard SDNS debe ser alcanzable por FortiGate.

• Filtrado web

FORTINET
el filtrado basado en categoría requiere una conexión activa a FortiGuard. Puede verificar la conexión a los servidores ejecutando el FortiGuard diagnosticar
la calificación de depuración comando CLI. Este comando muestra una lista de servidores FortiGuard que se puede conectar, así como la siguiente
información:
• Peso: Sobre la base de la diferencia en la zona de tiempo entre el FortiGate y este servidor (modificado por el tráfico)
• RTT: Hora de viaje
• Banderas: D ( IP devuelta desde el DNS), YO ( servidor de contrato en contacto), T ( siendo cronometrado), F ( ha fallado)
• TZ: zona horaria del servidor
• Curr perdido: Número actual de paquetes perdidos consecutivos (en una fila, se reajusta a 0 cuando un paquete tiene éxito)
• Perdida Total: Número total de paquetes perdidos
La lista es de longitud variable dependiendo de la Red de Distribución FortiGuard, pero muestra aproximadamente 10 IPs.

• Filtrado web

FORTINET
FortiGate puede mantener una lista de las respuestas recientes de calificación de sitios web en la memoria. Por lo tanto, si la URL es ya conocido, FortiGate no devuelve una
solicitud de calificación.
Dos puertos están disponibles para consultar los servidores (FortiGuard o FortiManager): el puerto 53 y el puerto 8888. puerto 53 es el valor predeterminado, ya
que también es el puerto utilizado para DNS y casi garantiza que sea abierta. Sin embargo, cualquier tipo de inspección revelará que este tráfico no es DNS y
evitar que el servicio funcione. En este caso, se puede cambiar al puerto alternativo 8888, pero este puerto no se garantiza que sea abierta en todas las redes,
por lo que tendrá que comprobar de antemano.
respuestas de almacenamiento en caché reduce la cantidad de tiempo que se tarda en establecer una clasificación para un sitio web. Además, las operaciones de búsqueda de
memoria es mucho más rápido que los paquetes que viajan a través de Internet.
Los valores predeterminados de tiempo de espera a 15 segundos, pero se pueden ajustar tan alto como 30 segundos, si es necesario.

• Filtrado web

FORTINET
Ahora vamos a echar un vistazo al registro del filtro web y función de informe.
Esta diapositiva muestra un ejemplo de un mensaje de registro. datos de acceso incluyen información sobre la cuota de FortiGuard y categoría (si los que
están habilitados), que el perfil filtro web se utiliza para inspeccionar el tráfico, la URL, y más detalles sobre el evento.
También puede ver los datos de registro bruto haciendo clic en el icono de descarga en la parte superior de la interfaz gráfica de usuario. El archivo descargado es un archivo de texto sin
formato en un formato syslog.

• Filtrado web

FORTINET

• Filtrado web

FORTINET

• Filtrado web

FORTINET
• Describir los modos de inspección Fortios

• Implementar inspección completa SSL
• Describir perfiles de filtrado Web
• Trabaja con categorías de filtro Web
• Configurar las anulaciones de filtro Web
• Configurar categorías personalizadas

• Presentar una solicitud de tasación de FortiGuard
• Configurar cuotas de uso

• Configurar las anulaciones perfil Web
• Configurar filtro web para apoyar a los motores de búsqueda
• Configurar el filtrado de contenido web
• Aplicar filtro de DNS
• Configurar perfiles de inspección / SSH SSL
• el tráfico exentos de la inspección SSL
• Aplicar el perfil inspección SSL a una política de cortafuegos
• registros de Monitor de eventos de filtrado web

• control de aplicaciones

FORTINET
En esta lección, aprenderá a controlar y aplicaciones de la red de control que pueden utilizar protocolos estándar estándar o no y puertos-más allá
de simplemente bloquear o permitir un protocolo, número de puerto, o la dirección IP.


FORTINET

• Conceptos básicos de control de aplicaciones
• modos de operación de control de aplicaciones

• Los sucesos de registro y control de la aplicación de control


FORTINET
Al completar esta sección usted debe ser capaz de:

• Comprender el control de aplicaciones.
• Detectar tipo de aplicaciones.
• Entender la base de datos de los servicios de control de aplicaciones FortiGuard.
• Utilizar firmas de control de aplicaciones.
Demostrando competencia en aspectos básicos de control de aplicaciones, usted será capaz de entender cómo funciona el control de aplicaciones
FortiGate.


FORTINET
El control de aplicaciones detecta aplicaciones aplicaciones -a menudo que consumen mucho ancho de banda y le permite tomar las acciones apropiadas
relacionadas con el tráfico de aplicaciones, como la vigilancia, bloqueo, o la aplicación de la modulación del tráfico.
El control de aplicaciones identifica aplicaciones, como Google Talk, en esquemas conocidos a los patrones de transmisión de la aplicación. Por lo tanto,
una aplicación puede ser identificado con precisión sólo si su patrón de transmisión es único. Sin embargo, no todas las aplicaciones se comporta de una
manera única. Muchas aplicaciones de reutilización, protocolos estándares preexistentes y métodos de comunicación. Por ejemplo, muchos juegos de
video, tales como Mundo de Warcraft, utilizar el protocolo BitTorrent para distribuir parches del juego.
El control de aplicaciones se puede configurar en dominios virtuales basados en flujo basado en proxy y. Sin embargo, debido a la restricción de aplicaciones utiliza el
motor de IPS, que utiliza la inspección basada en el flujo, la inspección se basa siempre fluir. En comparación, cuando se aplica el filtrado de web y antivirus a través
de un proxy HTTP, el proxy analiza primero HTTP y elimina el protocolo y, a continuación escanea solamente la carga útil en el interior. ¿Por qué utiliza FortiGate un
análisis basado en el flujo de control de aplicaciones?
A diferencia de otras formas de perfiles de seguridad, como el filtrado web o antivirus, control de aplicaciones no se aplica mediante un proxy. Utiliza un
motor de IPS para analizar el tráfico de red y detectar el tráfico de aplicaciones, incluso si la aplicación es el uso de protocolos y puertos estándar o no
estándar. No opera usando estados de protocolo incorporados. Que coincide con los patrones en todo el flujo de bytes del paquete, y luego busca
patrones.


FORTINET
Cuando HTTP y otros protocolos fueron diseñados, que fueron diseñados para ser fáciles de rastrear. Debido a eso, los administradores pueden fácilmente dar
acceso a los servidores individuales detrás de dispositivos NAT, como routers y, más tarde, cortafuegos.
Pero cuando se diseñaron las aplicaciones P2P, que tenían que ser capaces de trabajar sin ayuda, o cooperación- de los administradores de red. Para
lograr esto, los diseñadores hicieron aplicaciones P2P capaces de eludir los cortafuegos y muy difícil de detectar. Puerto de la aleatorización, agujeros
de alfiler, y cambios en los patrones de cifrado son algunas de las técnicas que utilizan los protocolos P2P.
Estas técnicas hacen que las aplicaciones P2P difícil de bloquear el uso de una política de cortafuegos, y también los hacen difíciles de detectar mediante inspección
basado en proxy.
inspección utilizando el motor IPS puede analizar paquetes de coincidencia de patrones y luego buscar patrones para detectar las aplicaciones P2P
flujo basa.


FORTINET
Esta diapositiva muestra una arquitectura tradicional, cliente-servidor. Puede haber muchos clientes de sitios populares, pero a menudo, como con un servidor de
archivos de oficina, es sólo un cliente y un servidor.
Descargas tradicionales utilizan un protocolo definido sobre un número de puerto estándar. Ya sea desde un sitio web o FTP, la descarga es de una sola
dirección IP, a una sola dirección IP. Por lo tanto, el bloqueo de este tipo de tráfico es fácil: sólo necesita una política de firewall.
Pero es más difícil para las descargas peer-to-peer. ¿Por qué?


FORTINET
las descargas P2P dividen cada archivo entre múltiples pares (teóricamente ilimitadas). Cada entrega de pares parte del archivo. Si bien tener muchos
clientes es una desventaja en arquitecturas cliente-servidor, es una ventaja para la arquitectura P2P, ya que, como el número de compañeros aumenta a norte,
el archivo se entrega norte veces más rápido.
Debido a su popularidad aumenta la velocidad de la arquitectura cliente-servidor de entrega-a diferencia donde la popularidad podría causar efectivamente un
ataque de denegación de servicio en el servidor de algún tipo de software, tales como distribuciones de Linux, BitTorrent y juegos de distribución de parches
nuevos, aprovechar esta ventaja. Incluso si cada cliente tiene poco ancho de banda, juntos pueden ofrecer más ancho de banda para la descarga de muchos
servidores de gran alcance. Por el contrario, con el fin de descargar el archivo, el par peticionario puede consumir mucho más ancho de banda por segundo de
lo que sería de un solo servidor. Incluso si sólo hay un par en la red, se puede consumir inusualmente grandes cantidades de ancho de banda. Como los
protocolos suelen ser evasiva, y habrá muchas sesiones a muchos compañeros, que son difíciles de bloquear completamente.


FORTINET
Antes de intentar controlar las aplicaciones, es importante entender las firmas utilizadas por el control de aplicaciones. ¿Cómo detecta control de aplicación
las nuevas aplicaciones y los cambios en los protocolos de aplicación? El control de aplicaciones es ahora un servicio FortiGuard libre y la base de datos de
firmas de control de aplicaciones es independiente de la base de datos de IPS. Puede configurar el FortiGate para actualizar automáticamente su base de
firmas de control de aplicaciones en el FortiGuard página. La información de la base de firmas de control de aplicación también se muestra en la FortiGuard página.
También puede habilitar las actualizaciones de empuje para que FortiGate recibe actualizaciones tan pronto como estén disponibles desde el servidor
FortiGuard.


FORTINET
Puede ver la última versión de la base de datos de control de aplicación en el sitio web FortiGuard
http://www.fortiguard.com, o haciendo clic en una firma de aplicación individual en el perfil de control de aplicaciones.
La base de datos de control de aplicaciones proporciona detalles acerca de las firmas de control de aplicaciones basadas en la categoría, popularidad, y el riesgo, por
nombrar algunos.
Cuando se construye una firma de control de aplicaciones, el equipo de investigación de seguridad FortiGuard evalúa la aplicación y asigna un nivel de
riesgo. El nivel de riesgo asignado se basa en el tipo de riesgo para la seguridad. La calificación es-Fortinet específico, y no relacionado con el sistema
vulnerabilidad común puntuación (CVSS) u otros sistemas externos. Si usted no es consciente de la aplicación específica, esta información puede ayudar a
decidir si sería conveniente para bloquear una aplicación o no.
En el sitio web FortiGuard, se puede leer detalles acerca de la aplicación correspondiente de cada firma. Veamos un ejemplo.
En esta diapositiva, se puede ver un artículo de ejemplo para Ultrasurf_9.6 +. Ultrasurf_9.6 + es un proxy web, por lo que pertenece a la categoría de proxy. Es una
buena práctica para crear directivas de prueba que se puede utilizar para observar el comportamiento de la política. Si hay nuevas aplicaciones que usted necesita para
controlar, y la última actualización no incluye definiciones para ellos, usted puede ir a la página web FortiGuard y presentar una solicitud para que las nuevas
aplicaciones añadidas. También puede presentar una solicitud para volver a evaluar una categoría de aplicaciones si usted cree que una aplicación debe pertenecer a
una categoría diferente.


FORTINET
Muchas aplicaciones web ofrecen una funcionalidad que puede ser embebido en páginas web de terceros o aplicaciones. Por ejemplo, puede incrustar un “Facebook
como” el botón al final de un artículo o hacer referencia a un vídeo de YouTube en un sitio web educativo. FortiOS proporciona a los administradores de todas las
herramientas que necesitan para inspeccionar el tráfico sub-aplicación. La base de firmas de control de aplicaciones FortiGuard se organiza en la estructura jerárquica.
Esto le da la capacidad de inspeccionar el tráfico con mayor granularidad. Puede bloquear las aplicaciones de Facebook al tiempo que permite a los usuarios colaborar
usando el chat de Facebook.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo la funcionalidad básica de control de aplicaciones. A continuación, usted aprenderá
acerca de la configuración de control de aplicaciones.


FORTINET

• Configurar el control de aplicación en modo de perfil.
• Configurar el control de aplicación en firewall de próxima generación modo de políticas (NGFW).
• Utilizar la política de limitación de tráfico control de aplicaciones.
Demostrando competencia en la configuración de los modos de operación de control de aplicaciones que están disponibles en FortiOS, usted será capaz de utilizar de
manera efectiva el control de aplicaciones, tanto en el modo de perfil y en el modo de la política NGFW.


FORTINET
Cuando FortiGate o una VDOM está operando en basado en flujo (set modo NGFW a basadas en el perfil) modo de inspección o el modo de inspección basado en el
proxy, para configurar control de aplicaciones, los administradores deben crear un control de aplicaciones perfil y aplicar ese perfil a una política de firewall.
Es importante tener en cuenta que el perfil de control de aplicaciones utiliza técnicas de exploración basados en el flujo, independientemente del modo de
inspección se utiliza en la VDOM o FortiGate. El perfil de control de aplicaciones consta de tres diferentes tipos de filtros:
• Categorías: Grupos de aplicaciones basadas en la similitud. Por ejemplo, todas las aplicaciones que son capaces de proporcionar acceso remoto
se agrupan en el Acceso remoto categoría. Puede ver las firmas de todas las aplicaciones en una categoría o aplicar una acción a una categoría
como un todo.
• anulaciones de aplicación: proporciona la flexibilidad para controlar firmas y aplicaciones específicas.
• anulaciones de filtro: útil cuando una categoría predefinida no cumple con sus necesidades y desea bloquear todas las aplicaciones basadas en
criterios que no está disponible en categorías. Puede configurar la categorización de las aplicaciones basadas en el comportamiento, la
popularidad, el protocolo, el riesgo, proveedor o la tecnología utilizada por las aplicaciones, y tomar medidas en base a eso.


FORTINET
El perfil de control de aplicaciones se configura en el control de aplicaciones página. Puede configurar las acciones basadas en categorías, las
redefiniciones de aplicación y las anulaciones de filtro. También puede ver la lista de firmas de control de aplicaciones haciendo clic Firmas vista de
aplicación.
En la parte superior de la control de aplicaciones la página de perfil, verá un resumen de cómo muchas aplicaciones en la nube requieren una inspección
profunda. aplicaciones en la nube que utilizan cifrado SSL no se pueden escanear sin un perfil de inspección profunda. FortiGate necesitará para descifrar el
tráfico con el fin de realizar la inspección y el control del tráfico de aplicaciones. los Las aplicaciones desconocidas ajuste coincida con el tráfico que no puede
ser igualada a cualquier firma de control de aplicaciones e identifica el tráfico aplicación desconocida en los registros. Los factores que contribuyen a tráfico que
se identificaron como aplicación desconocida incluir:
• ¿Cuántas rara aplicaciones los usuarios utilizan

• ¿Qué versión de IPS de la base de datos que está utilizando
La identificación de tráfico como desconocido puede causar entradas de registro frecuentes. entradas de registro frecuentes disminuyen el rendimiento.


FORTINET
El número que aparece a la derecha del símbolo de la nube indica el número de aplicaciones en la nube dentro de una categoría.
Si necesita habilitar Permitir y registro de tráfico DNS, habilitandolo sólo por períodos cortos, como durante una investigación. Dependiendo de la
aplicación y la frecuencia con que consulta los servidores DNS, lo que permite este ajuste puede utilizar recursos del sistema.
QUIC es un protocolo de Google. En lugar de utilizar las conexiones TCP estándar para el acceso web que utiliza UDP que no es escaneado por el filtrado web.
Permitir QUIC instruye FortiGate para inspeccionar paquetes de Google Chrome para una cabecera QUIC y generar registros como un mensaje QUIC. El
bloqueo de las fuerzas QuIC Google Chrome para utilizar HTTP2 / TLS1.2 y FortiGate para registrar el QUIC como bloqueado. La acción predeterminada para
QUIC es Bloquear.
los Mensajes de sustitución para aplicaciones basadas en HTTP configuración le permite reemplazar el contenido bloqueado con una explicación (en
beneficio del usuario). Sin embargo, para aplicaciones que no son HTTP / HTTPS, sólo se pueden soltar los paquetes o restablecer la conexión TCP.
Después de configurar el perfil de control de aplicaciones, seleccione el perfil en la política del cortafuegos. Al igual que cualquier otro perfil de seguridad, los valores
que se configuran en el perfil de control de aplicaciones no se aplican a nivel mundial. FortiGate se aplica la configuración del perfil de control de aplicaciones a sólo el
tráfico gobernado por el directivo de seguridad en el que se ha seleccionado el perfil de control de aplicaciones. Esto permite un control granular.


FORTINET
El motor IPS examina el flujo de tráfico para un partido de la firma.
Entonces, FortiGate explora paquetes para los partidos, en este orden, para el perfil de control de aplicaciones:
1. Aplicación anulaciones: Si ha configurado ningún Modificaciones de aplicación, el perfil de control de aplicaciones

considera que los primeros. Se busca una coincidencia de anulación a partir de la parte superior de la lista, al igual que las políticas de firewall.
2. Modificaciones de filtro: Si no existe ninguna anulación de aplicación de coincidencia, entonces el perfil de control de aplicaciones aplica el
acción basada en configurado Filtro anulaciones.
3. Categorías: Por último, el perfil de control de aplicaciones se aplica la acción que ha configurado para
aplicaciones en su seleccionadas Categorías.
También vale la pena mencionar que varias alteraciones temporales para la misma firma no pueden ser creados.


FORTINET
En el ejemplo de perfil que se muestra en esta diapositiva, el perfil de los bloques de control de aplicaciones las Juego y Audio video
categorías. Para aplicaciones en estas categorías, FortiGate responde con el mensaje HTTP bloque de control de aplicaciones. (Es un poco diferente de
bloque de mensaje HTTP de filtrado web.) Todas las demás categorías se establecen en
Monitor, excepto Aplicaciones desconocidos, y se permite que pase el tráfico. En el anulaciones de aplicaciones sección, se puede ver que algunas excepciones se
especifican. En lugar de ser configurado para bloquear, Battle.Net (Juego) y Dailymotion (vídeo / audio) se establecen para Monitor. Debido a las anulaciones de aplicación
se aplican por primera vez en la exploración, se permitirá que estas dos aplicaciones, y generarán registros. A continuación, la exploración comprobará Filtro anulaciones. Debido
a una anulación de filtro está configurado para bloquear aplicaciones que utilizan el ancho de banda excesivo, que bloqueará todas las aplicaciones usando demasiado
ancho de banda, independientemente de las categorías que permiten a estas aplicaciones.
Aquí está un ejemplo de cómo varias características de seguridad del perfil podían trabajar juntos, se superponen, o trabajar como sustitutos, en el mismo
tráfico.
Después de la exploración perfil de control de aplicaciones se realiza, FortiGate empieza otras exploraciones, como el filtrado web. La exploración de filtrado web podría
bloquear Battle.Net y Dailymotion, pero sería utilizar su propio mensaje de bloqueo. Además, filtrado web no comprueba la lista de las anulaciones de control de aplicaciones. Por
lo tanto, incluso si una anulación control de aplicaciones permite a una aplicación, filtrado web todavía podría bloquearlo.
Del mismo modo, filtrado de URL estática tiene su propia acción exentos, que no pasa por todos los controles de seguridad posteriores. Sin embargo, el control de la
aplicación se produce antes de filtrado web, por lo que la exención de filtrado web no poder aplicación de derivación de control.


FORTINET
Para cada filtro en el perfil de control de aplicaciones, debe indicar una acción-lo FortiGate hace cuando el tráfico coincide. Las acciones incluyen
lo siguiente:
• Permitir: pasa el tráfico y no genera un registro.

• Monitor: pasa el tráfico, sino que también genera un mensaje de registro.
• Bloquear: descarta el tráfico detectado y genera un mensaje de registro.
• Cuarentena: bloquea el tráfico desde una IP atacante hasta que se alcanza el tiempo de expiración. También genera un mensaje de registro. los Ver
firma ajuste le permite ver las firmas de una categoría particular solamente y es no una acción configurable. los Ver Nube Firmas ajuste le permite
ver firmas de aplicación para aplicaciones en la nube de una categoría en particular. ¿Cuál es la acción correcta para elegir? Si no está seguro sobre
qué acción para elegir, Monitor puede ser útil al principio, mientras que el estudio de la red. Más tarde, después de haber estudiado el tráfico de la
red, puede afinar su selección de filtro eligiendo la acción más apropiada. La acción que elija también depende de la aplicación. Si una aplicación
requiere retroalimentación para evitar la inestabilidad u otro comportamiento no deseado, entonces es posible elegir Cuarentena en lugar de Bloquear.
De lo contrario, el uso más eficiente de los recursos FortiGate es bloquear.


FORTINET
Después de un perfil de control de aplicaciones está configurado, debe ser aplicado a una política de firewall. Esto le dará instrucciones FortiGate para comenzar a
escanear el tráfico de aplicaciones que está sujeto a la política de firewall.


FORTINET
Para aplicaciones basadas en HTTP, control de aplicaciones puede proporcionar información al usuario acerca de por qué su solicitud fue bloqueado. Esto se llama
una página de bloqueo, y es similar a la que se puede configurar para bloquear direcciones URL que el uso de filtrado web FortiGuard.
También vale la pena mencionar que, si la inspección profunda está habilitada en la directiva de firewall, todas las aplicaciones basadas en HTTPS
proporcionará esta página de bloqueo. La página de bloqueo contiene la siguiente información:
• Firma que detecta la aplicación (en este caso, BitTorrent)

• la categoría de firma (P2P)
• URL que fue bloqueado en concreto (en este caso, la página de índice de bittorrent.com), desde una página web puede ser montado a partir de varias
direcciones URL
• fuente de cliente IP (10.0.1.10)
• El destino de IP del servidor
• Nombre de usuario (si está habilitada la autenticación)
• UUID de la política que rige el tráfico

• nombre de host del FortiGate
Los dos últimos elementos en esta lista puede ayudar a identificar qué FortiGate bloqueado la página, incluso si tiene una red grande con muchos
dispositivos FortiGate fijación diferentes segmentos.


FORTINET
Cuando FortiGate está funcionando en el modo basado en la política NGFW, los administradores pueden aplicar control de aplicaciones a una política de cortafuegos
directamente, en lugar de tener que crear un perfil de control de aplicación primero y luego aplicar que a una política de cortafuegos. Eliminando la necesidad de utilizar un perfil
de control de aplicaciones hace que sea más fácil para el administrador seleccionar las aplicaciones o categorías de aplicaciones que quieren permitir o denegar en la política
del cortafuegos. Es importante tener en cuenta que todas las políticas de firewall en una VDOM modo basado en la política o NGFW FortiGate deben utilizar el mismo perfil de
inspección SSL / SSH. Modo basado en políticas NGFW también requiere el uso del centro de SNAT, en lugar de la configuración de NAT aplicados dentro de la política del
cortafuegos.


FORTINET
Puede seleccionar una o más aplicaciones, grupos de aplicaciones y categorías de aplicaciones en una política de cortafuegos en el Solicitud sección. Después
de hacer clic en el icono + para una aplicación, FortiOS se abrirá una ventana emergente que puede utilizar para buscar y seleccionar una o más firmas de
aplicación, los grupos de aplicaciones o categorías de aplicaciones. Sobre la base de las aplicaciones, los grupos y categorías de aplicaciones aplicada a la
directiva, FortiOS se aplicará la acción de servidor de seguridad para el tráfico de aplicaciones. Se puede configurar el URL Categoría dentro de la misma política
de cortafuegos, sin embargo, la adición de un filtro de URL hará que el control de aplicaciones para escanear aplicaciones sólo en la categoría de tecnología
basada en navegador. Por ejemplo, Facebook Messenger en el Facebook. También puede configurar el Grupo con múltiples aplicaciones y categorías de
aplicaciones, esto permitirá que el administrador de mezclar múltiples aplicaciones y categorías. Además de la aplicación de un filtro de categorías de URL,
también se puede aplicar Antivirus, filtrado de DNS, y IPS perfiles de seguridad para el tráfico de aplicaciones que se le permite pasar a través.


FORTINET
FortiOS utiliza un proceso de tres pasos para realizar el filtrado de aplicaciones basado en políticas NGFW. He aquí una breve descripción de lo que
sucede en cada paso:
En el paso 1, FortiOS permitirá que todo el tráfico mientras reenviar paquetes a motor IPS para la inspección y la identificación del tráfico. Al mismo
tiempo, FortiOS creará una entrada en la tabla de sesiones para el tráfico pase y se añade una may_dirty bandera a ella.
En el paso 2, tan pronto como el motor IPS identifica la aplicación, se actualiza la entrada de sesión con la siguiente información sucio bandera, valid_app
bandera y un ID de aplicación.
En el paso 3, el núcleo FortiOS realiza una consulta de directivas de cortafuegos de nuevo, para ver si el identificador de aplicación identificada aparece en ninguna de las
políticas de cortafuegos existentes. Esta vez el kernel utiliza tanto la capa 4 y la capa 7 información para la coincidencia de la política. Después de que el criterio coincide con una
regla de política de cortafuegos, el núcleo FortiOS se aplica la acción configurada en la política de firewall para el tráfico de aplicaciones.


FORTINET
Configuración de control de aplicaciones en el modo basado en políticas NGFW es simple. Puede crear una nueva política de seguridad o editar una política de
cortafuegos existente. En el Solicitud sección, seleccione las aplicaciones, categorías o grupos que desee permitir o denegar, y cambiar la política del cortafuegos Acción
en consecuencia. En las aplicaciones que se han seleccionado para permitir, se puede mejorar aún más la seguridad de la red al permitir la exploración AV, filtrado de
DNS, y el control de IPS. También puede habilitar el registro de Eventos de seguridad o todas las sesiones para asegurar que todos los eventos de control de
aplicaciones se registran.


FORTINET
Usted debe tener una política central SNAT a juego en el modo basado en políticas NGFW para poder pasar el tráfico. NAT se aplica sobre el tráfico en función
de los criterios definidos en la política central SNAT.
Es extremadamente importante para organizar las políticas de firewall para que las políticas más específicas se encuentran en la parte superior para garantizar el uso adecuado de
control de aplicaciones.
Nota: los SSH Inspección / SSL sección está en gris, ya que se ha seleccionado a un nivel VDOM cuando está activado el modo basado en políticas
NGFW.


FORTINET
NGFW coincidencia política funciona usando la parte superior de enfoque de abajo. Debe tener una política específica por encima de una política más amplia de apertura / cierre. Por
ejemplo, si desea bloquear Facebook, pero permitir que el Medios de comunicación social categoría, se debe colocar la política de bloqueo de tráfico de Facebook por encima de la
política que permite la Medios de comunicación social categoría.


FORTINET
Si una aplicación es necesario, pero hay que evitar que impacte ancho de banda, a continuación, en lugar de bloquear por completo, se puede aplicar un límite de
velocidad de la aplicación. Por ejemplo, se puede evaluar aplicaciones límite utilizados para el almacenamiento de copia de seguridad o dejando suficiente ancho de
banda para aplicaciones de transmisión más sensibles, como la videoconferencia.
La aplicación de la modulación del tráfico de aplicaciones es muy útil cuando usted está tratando de limitar el tráfico que utiliza la misma red TCP o UDP números de
puerto como aplicaciones de misión crítica. Algunos sitios web de alto tráfico, como YouTube, se puede acelerar de esta manera.
Examinar los detalles de cómo funciona estrangulación. No todas las peticiones de URL a www.youtube.com son para el vídeo. Su navegador realiza varias
solicitudes HTTPS para:
• La propia página web
• imágenes
• Scripts y hojas de estilo
• Vídeo
Todos estos elementos tienen direcciones URL separadas. Si se analiza un sitio como YouTube, las páginas web a sí mismos no utilizan mucho ancho de banda; es el
contenido de vídeo que utiliza el más ancho de banda. Pero, ya que todo el contenido se transporta utilizando el mismo protocolo (HTTPS), y las direcciones URL
contiene genera dinámicamente cadenas alfanuméricas, las directivas de cortafuegos tradicionales no pueden bloquear o estrangular el tráfico por número de puerto o
protocolo, ya que son los mismos. Usando el control de la aplicación, puede limitar la velocidad sólo videos. Hacer esto evita que los usuarios saturar su ancho de
banda de la red al mismo tiempo que les permite acceder a la de otros contenidos en el sitio, como por comentarios o compartir enlaces.


FORTINET
Puede limitar el ancho de banda de una categoría de aplicación o aplicación específica mediante la configuración de una política de limitación de tráfico. También se puede
aplicar la modulación del tráfico a FortiGuard categorías de filtro web.
Debe asegurarse de que los criterios de coincidencia se alinea con la política de seguridad o políticas a las que desea aplicar conformación. No tiene por qué
coincidir por completo. Por ejemplo, si la fuente de la directiva de firewall se establece en todos
(0.0.0.0/0.0.0.0), la fuente en la política de la conformación de tráfico se puede ajustar a cualquier fuente que se incluye en todos, por ejemplo, LOCAL_SUBNET
( 10.0.1.0/24).
Si la política de limitación de tráfico no es visible en la interfaz gráfica de usuario, puede activarlo en el característica Visibilidad página. Tenga en cuenta que la
interfaz de salida es por lo general la interfaz de salida (WAN). los Shaper compartido ajuste se aplica a tráfico en la entrada a la salida, que es útil para restringir el
ancho de banda para la carga. los Shaper inversa

entorno es también un formador de compartida, pero se aplica al tráfico en la dirección inversa (tráfico-salida-a la entrada). Esto es útil para
restringir el ancho de banda para su descarga o streaming, ya que limita el ancho de banda de la interfaz externa a la interfaz interna.
Hay dos tipos de formadores de que se pueden configurar desde el Policy Traffic Shaping página, y se puede aplicar en la política de
limitación de tráfico:
• Compartido talladora: aplica un ancho de banda total para todo el tráfico que utiliza la talladora. El alcance puede ser por la política o para todas las políticas que hacen referencia
a que la talladora.
• Per-IP talladora: le permite aplicar la modulación del tráfico a todas las direcciones IP de origen en la política de seguridad, y el ancho de banda se dividen
por igual entre el grupo.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo modos de operación de control de aplicaciones. A continuación, usted aprenderá acerca
del registro y seguimiento de eventos de control de aplicaciones.


FORTINET

• Habilitar el registro de eventos de control de aplicaciones.
• Supervisar los eventos de control de aplicaciones.
• Utilice FortiView para ver una vista detallada de los registros de control de aplicaciones.
Demostrando competencia en la configuración de control de aplicaciones, incluyendo la revisión de los registros de control de aplicaciones, usted será capaz de utilizar y
controlar los eventos de control de aplicaciones con eficacia.


FORTINET
Independientemente de la aplicación de control de modo de funcionamiento se configura en, el registro debe estar habilitado en la política del cortafuegos. Cuando se habilita el
registro de eventos de seguridad o de toda la sesión en una política de cortafuegos, también se registrarán los eventos de control de aplicaciones. Debe aplicar el control de la
aplicación de la política de firewall para permitir el control aplicación de registro de eventos. Cuando el Negar la acción se selecciona en una política de cortafuegos, la Entrar
Violaciónes opción debe estar activada para generar eventos de control de aplicaciones para el tráfico bloqueado.


FORTINET
Todos los eventos de control de aplicaciones se registran en el control de aplicaciones en el panel Registro y informe página. Puede ver los detalles de los
registros individuales haciendo clic en la entrada de registro. En el ejemplo mostrado en esta diapositiva, acceder a dailymotion se bloquea mediante el perfil de
control de aplicaciones predeterminada. Esta información está disponible en el Detalles del registro sección, así como información sobre el origen del registro,
destino, aplicación y acción.
Tenga en cuenta que este mensaje de registro se generó por el control de aplicaciones utilizando una configuración basada en el perfil. En una configuración basada
en políticas NGFW, que no encontrará información como el nombre del sensor aplicación, ya que no se aplica. El resto de la información y de la estructura del
mensaje de registro es el mismo para cada registro, independientemente del modo de inspección FortiGate está funcionando en. También puede ver los detalles de
la El tráfico hacia adelante panel de registros. Este panel es donde la actividad de las directivas de cortafuegos registro. También encontrará un resumen del tráfico
al que aplica FortiGate control de aplicaciones. De nuevo, esto se debe a que el control de aplicaciones se aplica mediante una política de cortafuegos. Para
averiguar qué política aplica control de aplicaciones, puede revisar o bien el ID de política o la UUID Política campos del mensaje de registro.


FORTINET
Sobre el FortiView menú, el aplicaciones página proporciona detalles acerca de cada aplicación, como el nombre de la aplicación, la categoría y el ancho de
banda. Puede profundizar más para ver detalles más granulares haciendo doble clic en una entrada de registro individual. La vista detallada se proporciona
información sobre el origen, el destino, las políticas, o de sesiones de la aplicación seleccionada.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo el registro de control de aplicación y seguimiento. A continuación, usted aprenderá acerca de
las mejores prácticas de control de aplicaciones y solución de problemas.


FORTINET

• Reconocer las mejores prácticas para la configuración de control de aplicaciones.
• Entender cómo solucionar problemas de actualización de control de aplicaciones.
Demostrando competencia en las mejores prácticas de control de aplicaciones y solución de problemas, usted será capaz de configurar y mantener
una solución eficaz control de aplicaciones.


FORTINET
Esta diapositiva enumera algunas mejores prácticas a tener en cuenta en la aplicación de control de aplicaciones en FortiGate. No todo el tráfico requiere una exploración
de control de aplicaciones. No aplique el control de aplicaciones en interior de sólo tráfico. Para minimizar el uso de recursos de FortiGate, sea tan específico como sea
posible al crear políticas de firewall. Esto no sólo reducirá el uso de recursos, sino que también le ayudará a construir una configuración de cortafuegos más seguro. Crear
políticas de firewall idénticos para todas las conexiones de Internet redundantes para asegurar que la misma inspección se realiza en el tráfico de conmutación por error.
Seleccionar Inspección profunda en lugar de Basada en la certificación de inspección para el modo de inspección SSL / SSH para asegurar la inspección de contenido
se realiza en los protocolos de cifrado. modelos FortiGate que cuentan con chips especializados, tales como procesadores de red y procesadores de contenido pueden
sacar datos y acelerar la aplicación que corresponda con la firma para un rendimiento mejorado.
Se puede utilizar una cuenta de FortiCloud para guardar y registros de control de aplicaciones vista en FortiView en los dispositivos FortiGate que no tienen un disco de registro.


FORTINET
Si usted está experimentando problemas con una actualización de control de aplicaciones FortiGuard, empezar a solucionar el problema con los pasos más básicos:
• Asegúrese de que FortiGate tiene una conexión estable a Internet o FortiManager (si FortiGate está configurado para recibir actualizaciones desde un
FortiManager).
• Si la conexión a Internet es estable, comprobar la resolución de DNS en FortiGate.
• Si FortiGate se instala detrás de un firewall de red, asegúrese de que el puerto 443 se reenvía correctamente a FortiGate.
Se puede consultar la página web FortiGuard para la última versión de la base de datos de control de aplicaciones. Si su base de datos instalada localmente no está
actualizado, trate de forzar FortiGate para comprobar las últimas actualizaciones mediante la ejecución del ejecutar update-ahora mando.
Infraestructura FortiGate 6.0 Guía de Estudio 428


FORTINET


FORTINET
¡Felicidades! Ha completado esta lección. Ahora, podrás revisar los objetivos que
están cubiertos en esta lección.


FORTINET

• Comprender el control de aplicaciones.
• Detectar tipo de aplicaciones.
• Entender la base de datos de los servicios de control de aplicaciones FortiGuard.
• Utilizar firmas de control de aplicaciones.
• Configurar el control de aplicación en modo de perfil.
• Configurar el control de la aplicación en modo de política NGFW.
• Utilizar la política de limitación de tráfico control de aplicaciones.
• Habilitar el registro de eventos de control de aplicaciones.
• Supervisar los eventos de control de aplicaciones.
• Utilice FortiView para ver una vista detallada de los registros de control de aplicaciones.
• Reconocer las mejores prácticas para la configuración de control de aplicaciones.
• Entender cómo solucionar problemas de actualización de control de aplicaciones.

• antivirus

FORTINET
En esta lección, aprenderá cómo utilizar FortiGate para proteger la red contra los virus.

• antivirus

FORTINET

• fundamentos antivirus
• modos de escaneo antivirus

• configuración del antivirus
• Mejores prácticas
• Solución de problemas

• antivirus

FORTINET

• Utilizar firmas antivirus
• técnicas de exploración antivirus opinión
• Habilitar FortiSandbox con antivirus
• Diferenciar entre las bases de datos disponibles de la firma FortiGuard
Demostrando competencia en antivirus básico, usted será capaz de entender y aplicar antivirus en FortiGate.

• antivirus

FORTINET
Un antivirus es una base de datos de firmas de virus que se utiliza para identificar las infecciones. Durante un análisis antivirus, con el fin de ser detectado
como un virus, el virus debe coincidir con un patrón definido llama firma.
Los distintos proveedores asignan nombres diferentes para el mismo virus. Todos los vendedores utilizan la designación vector de ataque en el nombre del
virus. El vector viene al principio del nombre del virus. Algunos ejemplos incluyen:
• W32, lo que representa Windows de 32 bits
• W64, que representa de Windows de 64 bits
• JS, que representa JavaScript (que es multiplataforma)
Algunos vendedores también utilizan un patrón como parte del nombre del virus. Algunos patrones detectan sólo un virus por el patrón. Otros patrones
son más flexibles y pueden detectar múltiples virus por patrón. El patrón que utiliza el proveedor depende de motor del vendedor.
software antivirus basado en host, como FortiClient, puede ayudar a nivel de host; Sin embargo, el software antivirus basado en host no se puede
instalar en los routers. Además, los huéspedes redes Wi-Fi y clientes ISP podrían no tener instalado el software antivirus.
Por lo tanto, ¿cómo se puede proteger redes de invitados, clientes ISP, y su propia red de amenazas de malware?

• antivirus

FORTINET
Igual que los virus, que utilizan muchos métodos para evitar la detección, FortiGate utiliza muchas técnicas para detectar virus. Estas técnicas de detección incluyen:
• análisis antivirus: Este es el primer mejor, manera, más simple para detectar malware. Detecta virus que son una coincidencia exacta de una firma en la base de datos del
antivirus.
• exploración grayware: Este análisis alguno de los programas no solicitados, conocidos como grayware, que se han instalado sin el conocimiento o consentimiento del
usuario. Grayware no es técnicamente un virus. A menudo se incluye el software inocua, pero hace
tener efectos secundarios no deseados, por lo que se clasifica como malware. A menudo, grayware se puede detectar con una simple firma grayware
FortiGuard.
• Heurística del análisis: Estos análisis se basan en la probabilidad, por lo que aumentan la posibilidad de falsos positivos, pero también detectan virus de día cero. virus
de día cero son los virus que son nuevas, desconocidas, y, por lo tanto, no tienen firma asociada existente. Si la red es un objetivo frecuente, lo que permite una
exploración heurística puede valer la pena el costo de rendimiento ya que puede ayudar a detectar un virus antes de que comience el brote. Por defecto, cuando el
motor heurístico del análisis antivirus detecta una característica similar a virus, registra el archivo como Suspicaz -pero no lo bloquea. Puede elegir si desea bloquear o
permitir que los archivos sospechosos.
La exploración heurística es una característica opcional que debe habilitarse en el CLI.

• Puede configurar la acción para el análisis heurístico para pasar / bloque / desactivar usando el comando CLI config heurística antivirus.
Si se habilitan todas las funciones de antivirus, FortiGate se aplica el siguiente orden de exploración: antivirus Ciclo> grayware> Heurística del análisis.

• antivirus

FORTINET
¿Qué pasa si las exploraciones heurísticas son demasiado incierto? ¿Qué pasa si usted necesita un más cierta forma más sofisticada, para detectar malware y encontrar virus
de día cero?
Se puede integrar los análisis antivirus con FortiSandbox. Para entornos que requieren una mayor certeza, FortiSandbox ejecuta el
archivo dentro de un ambiente protegido (VM), a continuación, examina los efectos del software para ver si es peligroso.
Por ejemplo, supongamos que tiene dos archivos. Tanto altera el registro del sistema y son, por lo tanto, sospechoso. Uno de ellos es un conductor de la
instalación: su comportamiento es normal, pero el segundo archivo instala un virus que se conecta a un servidor de comando y control de botnets. Sandboxing
revelaría la diferencia.
FortiGate se puede configurar para recibir una base de firmas complementario de FortiSandbox basado en los resultados de espacio aislado.

• antivirus

FORTINET
FortiOS es inteligente cuando se trata de determinar qué archivos son enviados a FortiSandbox. FortiGuard ofrece FortiGate con la información, basado
en el clima de amenaza actual, que se utiliza para determinar si un archivo debe ser considerado sospechoso o no. FortiGate proporciona al administrador
un control granular cuando se trata de determinar qué tipo de archivos son enviados a FortiSandbox para una mayor investigación. Los administradores
también tienen la opción de utilizar la base de datos FortiSandbox en conjunción con la base de datos de AV FortiGuard para mejorar su seguridad de la
red.

• antivirus

FORTINET
Puede actualizar la base de datos antivirus de su FortiGate con el método de empuje, método de programación o ambos métodos. actualizaciones
programadas le permiten configurar las actualizaciones programadas a intervalos regulares, como por horas, días o semanalmente. También puede activar Aceptar
actualizaciones de empuje, lo que le permite añadir nuevas definiciones tan pronto como se publiquen por FortiGuard. Esto es útil para entornos de alta
seguridad, porque FortiGate recibirá actualizaciones de seguridad urgentes, tan pronto como se publiquen. Independientemente del método que elija, debe activar
la exploración de virus en al menos una directiva de cortafuegos. De lo contrario, FortiGate no descargará las actualizaciones. Como alternativa, puede
descargar los paquetes de atención al cliente Fortinet y el sitio web de soporte (requiere suscripción), y luego manualmente subirlos a su FortiGate. Puede
verificar el estado de firmas y versiones de actualización de la FortiGuard página en la interfaz gráfica de usuario o puede ejecutar diagnosticar el estado de
actualización automática y diagnosticar versiones de AutoUpdate en la CLI.
La suscripción Botnet Botnet IPs y Dominios es ahora parte de la licencia FortiGuard Antivirus.

• antivirus

FORTINET
Existen varias bases de datos antivirus FortiGuard y se pueden configurar mediante el comando CLI config configuración antivirus. Soporte
para cada tipo de base de datos varía según el modelo FortiGate.
Todos los dispositivos FortiGate incluyen la base de datos normal. La base de datos normal contiene las firmas de virus que se han detectado en los últimos meses,
según lo determinado por el Equipo de Investigación de Seguridad Global FortiGuard. Es la base de datos más pequeña y, por lo tanto, lleva a cabo las exploraciones
más rápidas. Sin embargo, esta base de datos no detecta todos los virus conocidos.
La mayoría de los modelos FortiGate apoyan la extensa base de datos. La base de datos ampliada detecta virus que ya no están activos. Muchas plataformas
comunes siguen siendo vulnerables a estos virus, o estos virus podrían ser un problema más adelante.
La base de datos de extremo está destinado para su uso en entornos de alta seguridad. La base de datos extrema detecta todos los virus conocidos, incluyendo
las dirigidas a los sistemas operativos heredados que se utilizan ya no ampliamente. También hay una base de datos de la firma compacta que se utiliza sólo para
el modo de exploración rápida. Usted aprenderá más sobre este tema más adelante en la lección.

• antivirus

FORTINET
Prevención de epidemias de virus: FortiGuard prevención de epidemias de virus es una capa adicional de protección que mantiene su red segura contra el
malware de nueva aparición. brotes de virus rápidos pueden infectar una red antes de firmas se pueden desarrollar para detenerlos. protección contra ataques de
paradas de estos brotes de virus hasta firmas estar disponibles en FortiGuard. FortiGate debe tener una licencia hora cero Virus Outbreak (ZHVO) antes de que
se envíe la consulta en tiempo real a FortiGuard, evitando así un ataque de virus desde la hora cero. FortiGate añade detección de virus basado en hash para las
nuevas amenazas que todavía no son detectados por las firmas AV. Cuando el archivo se envía al demonio scanunit, tampones son ordenadas (opcionalmente
extraer contenido del archivo comprimido) y una solicitud (o varios, dependiendo del número de archivos en un archivo escaneado) se envía al demonio urlfilter.
Después de comprobar en contra de su caché de solicitud de firmas conocidas, el demonio urlfilter envía una solicitud de antivirus para FortiGuard con las firmas
restantes. FortiGuard devuelve una calificación que se utiliza para determinar si el demonio scanunit debe reportar el archivo como perjudicial o no. Puestos de
trabajo permanecen suspendidas en el demonio scanunit hasta que el cliente recibe una respuesta, o los tiempos de espera de solicitud.
Contenido de desarmado y Reconstrucción (CDR): El CDR elimina el contenido aprovechable y lo reemplaza con el contenido que se sabe que son seguros.
Como los archivos se procesan a través de un perfil de antivirus activado, el contenido que se encuentra para ser dañino o peligroso se sustituye con contenidos que
permite que el tráfico continúe, pero no pone en riesgo el destinatario. Contenido que puede ser escaneado incluye PDF y archivos de Microsoft Office que salen de la
red en los protocolos compatibles con CDR (como, descarga web HTTP, SMTP de correo electrónico de envío, IMAP y POP3 de correo electrónico de recuperación
en MAPI no es compatible).
Cuando el cliente intenta descargar el archivo, FortiGate elimina todo el contenido explotable en tiempo real, a continuación, el archivo original se envía a
FortiSandbox para su inspección. El cliente recibe la versión limpia del documento que contiene una portada que enlaza con el documento original a través
de FortiSandbox. El cliente puede descargar el archivo original usando el enlace de descarga FortiSandbox si el resultado de la inspección es limpio.
Esta característica funciona incluso si FortiSandbox no está configurado, pero sólo si desea descartar el archivo original.

• antivirus

FORTINET

• antivirus

FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de la funcionalidad antivirus. A continuación, usted
aprenderá acerca de los modos de análisis antivirus.

• antivirus

FORTINET

• Aplicar el perfil antivirus en modo de inspección basado en el flujo
• Aplicar modo de inspección de proxy
• Comparar todos los modos de escaneo disponibles
Demostrando competencia en todos los modos de análisis antivirus disponibles en FortiOS, usted será capaz de utilizar el perfil de antivirus de una
manera eficaz.

• antivirus

FORTINET
Cuando el perfil de antivirus está funcionando en modo de inspección basado en flujo, dos opciones de modo de exploración disponibles: modo de barrido completo
y el modo de exploración rápida. modo de barrido completo utiliza la base de datos antivirus completo (normal, extendida o extrema dependiendo de lo que se
configura en el CLI) y el motor de IPS para examinar el tráfico de red.
El motor de modo de inspección flujo comienza a escanear con un paquete en bruto. El motor no necesariamente escanear en orden y que debe
extraer la carga útil para descubrir las cargas virales, sin importar que rodea los detalles de protocolo. Debido a que el archivo se transmite al
mismo tiempo, la exploración modo de inspección flujo consume más ciclos de CPU. Sin embargo, dependiendo del modelo FortiGate, algunas
operaciones en modo de inspección de flujo pueden ser realizadas por un chip FortiASIC especializada, que mejora el rendimiento. escaneo modo
de inspección flujo almacena una copia del paquete de forma local en el FortiGate y reenvía el paquete al cliente final al mismo tiempo. Cuando se
recibe el último paquete, FortiGate también almacena en caché, pero pone el último paquete en espera y tiene todo el archivo para la exploración.
Los controles del motor de IPS para el partido regla y luego lo envía al motor de AV para la exploración.
• Si se detecta un virus en la sesión TCP cuando ya haya remitido paquetes al cliente, se restablece la conexión, pero no inserta la página de
reemplazo de bloque. Así, el cliente puede pensar que ha encontrado un error en la red y vuelve a intentarlo. El motor FortiGate IPS almacena
en caché la URL y, durante el segundo intento de descargar el mismo archivo, la página del reemplazo de bloqueo muestra inmediatamente,
sin la participación del motor antivirus. Incluso si el cliente ha recibido la mayor parte del archivo en el primer intento, el archivo se truncará y
el cliente no será capaz de abrir un archivo truncado.
• Si se detecta el virus en el inicio de la corriente, la exploración modo de inspección de flujo puede insertar la página de reemplazo de bloque en el
primer intento.

• antivirus

FORTINET
Como se puede ver en esta diapositiva, el cliente envía una petición y comienza paquetes que reciben de inmediato, pero FortiGate también almacena en
caché los paquetes al mismo tiempo. Cuando llega el último paquete, FortiGate almacena en caché y lo pone en espera. Después, envía el archivo completo
en caché para el motor IPS donde se comprueba coincidencia de regla y pasa al motor de AV para el escaneado después de eso. Si el análisis de AV no
detecta ningún virus, y el resultado se vuelve limpio, el último paquete en caché se regenera y se entrega al cliente. Sin embargo, si se detecta un virus, el
último paquete se descarta. Incluso si el cliente ha recibido la mayor parte del archivo, el archivo se truncará y el cliente no será capaz de abrir un archivo
truncado.
Independientemente del modo que utilice, las técnicas de análisis dan las tasas de detección similares. Cómo se puede elegir entre los motores de exploración? Si el
rendimiento es su máxima prioridad, entonces el flujo modo de inspección es más apropiado. Si la seguridad es su prioridad, la inspección de proxy modo de consolador
con el cliente adaptado para discapacitados es más apropiado.

• antivirus

FORTINET
Esta diapositiva muestra un ejemplo de la Perfil Antivirus, que opera en el modo de inspección basado en flujo, con Modo de escaneo ajustado a Completo.

• antivirus

FORTINET
modo de exploración rápida utiliza un motor de IPS con una base de datos antivirus compacto integrado que contiene un menor número de firmas. modo de exploración rápida
tiene algunas limitaciones en comparación con el modo de exploración completa en el modo de inspección basado en flujo. modo de exploración rápida no puede:
• Enviar archivos a FortiSandbox para la inspección

• Utilice heurística avanzada
• Utilizar los paquetes de malware móviles
Algunos modelos de nivel de entrada FortiGate no son compatibles con este método.
Nota: La opción de modo de exploración rápida sólo está disponible en modo de inspección de caudal.

• antivirus

FORTINET
El motor IPS analiza el tráfico de red en busca de virus, gusanos, troyanos, y malware, sin la necesidad de amortiguar el archivo que se está
comprobando. Proporciona un mejor rendimiento, pero la tasa de detección es menor.

• antivirus

FORTINET
Esta diapositiva muestra un ejemplo del perfil de antivirus que funciona en modo de inspección basado en flujo con el Modo de escaneo ajustado a Rápido. Un
ejemplo de caso un buen uso sería la aplicación de escaneo de modo rápido a WiFi pública.
Nota: Todas las opciones de inspección, incluyendo FortiSandbox y protección contra malware móvil, no son aplicables en el modo de exploración rápida. También
es importante tener en cuenta que debe habilitar SSL / SSH-inspección profunda para analizar el tráfico encriptado.

• antivirus

FORTINET
de proxy de cada protocolo recoge una conexión y amortigua todo el archivo primero (o espera hasta que se alcanza el límite de gran tamaño) antes de escanear.
El cliente debe esperar a que el análisis se terminó. Si se detecta el virus, la página de sustitución de bloques se muestra inmediatamente. Debido FortiGate tiene
que amortiguar todo el archivo y luego hacer el escaneo, se necesita mucho tiempo para escanear. Además, desde el punto de vista del cliente, tiene que esperar
a que el análisis se podría terminar y terminar la conexión debido a la falta de datos. Puede configurar el cliente reconfortante para HTTP y FTP de la opciones de
perfil, por protocolos de configuración de cortafuegos árbol de comandos. Esto permite que el proxy para transmitir algunos datos poco a poco hasta que se pueda
completar el buffer y terminar la exploración. Esto evita una conexión o sesión de tiempo de espera. No hay ningún mensaje de reemplazo de bloque aparece en el
primer intento, como FortiGate está transmitiendo los paquetes al cliente final.

• antivirus

FORTINET
Con una exploración modo de inspección proxy, el cliente envía una solicitud y FortiGate inicia el almacenamiento temporal de todo el archivo, a
continuación, lo envía al motor de AV para la exploración. Si el archivo está limpio (sin virus), FortiGate comienza a transmitir el archivo al cliente final. Si
se encuentra un virus, no hay paquetes se entregan al cliente final y el proxy envía el mensaje de bloqueo de reemplazo al cliente final.

• antivirus

FORTINET
Aquí está un ejemplo de lo que el perfil de antivirus se ve como en modo de inspección proxy. Contiene el Opciones de inspección usted ha visto previamente en el
perfil basado en el flujo modo de barrido completo, además de la Protocolos inspeccionadas
sección que permite un control granular sobre la que serán escaneadas protocolos.
Nota: Es necesario aplicar el perfil de antivirus para una política de cortafuegos para escanear el tráfico deseado en busca de virus. También es necesario activar SSL /
SSH-inspección profunda para analizar el tráfico encriptado.

• antivirus

FORTINET
Esta diapositiva proporciona la comparación de los diferentes modos de exploración antivirus.

• antivirus

FORTINET

• antivirus

FORTINET
¡Buen trabajo! Ahora entiendo modos de escaneo antivirus. A continuación, usted aprenderá
acerca de la configuración del antivirus.

• antivirus

FORTINET

• Configurar los perfiles de antivirus
• Configurar las opciones de protocolo
• Examinará las estadísticas del antivirus
• Registrar y supervisar los eventos de antivirus
Demostrando competencia en la configuración de antivirus, incluyendo la revisión de los registros de antivirus, usted será capaz de utilizar el perfil de antivirus
de una manera eficaz.

• antivirus

FORTINET
El perfil de antivirus puede estar configurado en el AntiVirus página. el modo de exploración completa en el modo de inspección y antivirus basados en perfiles de flujo
en modo de inspección de proxy proporcionan las mismas opciones de inspección. Estas opciones incluyen:
APTO( Avanzadas persistentes amenazas) opciones de protección:

• El tratamiento de archivos ejecutables de Windows en anexos de correo electrónico como virus: Por defecto, esta opción está activada y archivos (incluyendo archivos
comprimidos) identificados como los ejecutables de Windows puede ser tratado como los virus.
• Enviar archivos a la nube FortiSandbox de inspección: Si FortiSandbox nube o dispositivo se configura, se puede configurar el perfil antivirus para enviar
archivos maliciosos a FortiSandbox para el análisis de la conducta. Si etiquetado como malicioso, los archivos futuras noticias que contengan el mismo
comportamiento se bloquearán si el Utilizar base de datos FortiSandbox opción está activada.
• Utilice la base de datos de virus de prevención de epidemias: FortiGuard prevención de epidemias de virus es una capa adicional de protección que
mantiene su red segura contra el malware de nueva aparición. brotes de virus rápidos pueden infectar una red antes de firmas se pueden desarrollar para
detenerlos. protección contra ataques de paradas de estos brotes de virus hasta firmas estar disponibles en FortiGuard.
En el perfil de antivirus, puede definir qué FortiGate debe hacer si detecta un archivo infectado. Después de configurar un
perfil de antivirus, debe aplicarlo en la política del cortafuegos.

• antivirus

FORTINET
opciones de protocolo proporcionan un control más detallado de los perfiles de antivirus. Puede configurar las asignaciones de puerto de protocolo, opciones comunes,
opciones de web y opciones de correo electrónico, por nombrar algunos.
Puede configurar las opciones de protocolo para el modo de inspección basado en proxy y en flujos modo de inspección VDOMS. Puede configurar las opciones de protocolo
para VDOMs basado en proxy en el Opciones de proxy página en la interfaz gráfica de usuario, o desde la línea de comandos. Puede configurar las opciones de protocolo
para VDOMs basados en el flujo de la CLI solamente. Para configurar las opciones de protocolo desde la CLI, utilice el comando: config perfil del protocolo de opciones de
servidor de seguridad.
opciones de protocolo son utilizadas por los antivirus y otros perfiles de seguridad, tales como filtrado web, filtrado de DNS, y el sensor de DLP, por nombrar algunos.
Una vez que se configuran las opciones de protocolo, que se aplican en la política del cortafuegos.

• antivirus

FORTINET
Entonces, ¿cuál es el límite de tampón recomendado? Esto varía según el modelo y configuración. Se puede ajustar el
de gran tamaño límite para su red para un rendimiento óptimo. Una memoria intermedia más pequeña minimiza la latencia proxy (para ambos modos de escaneo) y el uso de RAM,
pero que puede permitir que los virus pasen a través sin ser detectados. Cuando un buffer es demasiado grande, los clientes pueden notar los tiempos de espera de transmisión.
Es necesario equilibrar los dos. Si no está seguro de qué tan grande de un tampón que necesita, puede habilitar temporalmente sobredimensionado-log para ver si su FortiGate
está escaneando archivos de gran tamaño con frecuencia. A continuación, puede ajustar el valor en consecuencia. Los archivos que son más grandes que el límite de gran tamaño
se omiten del análisis. Puede habilitar el registro de archivos de gran tamaño, permitiendo la opción de gran tamaño-registro desde la CLI.

• antivirus

FORTINET
archivos de gran tamaño a menudo se comprimen. Cuando los archivos comprimidos pasan por la exploración, la compresión actúa como el cifrado: las firmas no
coinciden. Así, FortiGate debe descomprimir el archivo con el fin de analizarlo. Antes de descomprimir un archivo, FortiGate debe primero identificar el algoritmo de
compresión. Algunos tipos de archivos se pueden identificar correctamente utilizando sólo el encabezado. Además, FortiGate debe comprobar si el archivo está
protegido con contraseña. Si el archivo está protegido con una contraseña, FortiGate no puede descomprimirlo, y, por lo tanto, no puede escanearlo.
FortiGate descomprime archivos en la memoria RAM. Al igual que otros archivos de gran tamaño, el búfer de memoria RAM tiene un tamaño máximo. El
aumento de este límite puede disminuir el rendimiento, sino que le permite escanear archivos comprimidos más grandes. Si se anida un archivo - por ejemplo,
si un atacante está tratando de eludir sus exploraciones por poner un archivo ZIP dentro del archivo ZIP-FortiGate tratará de deshacer todas las capas de
compresión. Por defecto, FortiGate intentará descomprimir y escanear hasta 12 capas de profundidad, pero se puede configurar para escanear hasta el
número máximo admitido por la unidad (generalmente 100). A menudo, no se debe aumentar este ajuste, ya que aumenta el uso de RAM.

• antivirus

FORTINET
Un perfil antivirus en modo de barrido completo (en el modo de inspección basado en flujo) y un perfil antivirus en modo de inspección proxy, amortigua hasta su límite de
tamaño de archivo especificado. El valor por defecto es de 10 MB. Eso es lo suficientemente grande para la mayoría de los archivos, excepto los archivos de vídeo. Si su modelo
FortiGate tiene más memoria RAM, es posible que pueda aumentar este umbral.
Sin límite, archivos muy grandes podrían agotar la memoria de canales. Por lo tanto, este umbral equilibra riesgo y rendimiento. ¿Es esta compensación única de FortiGate, o
para un modelo específico? Nº independientemente del proveedor o modelo, se debe tomar una decisión. Esto se debe a la diferencia entre las exploraciones en teoría, que
no tienen límites, y las exploraciones en los dispositivos del mundo real, que tienen memoria RAM finito. Con el fin de detectar el 100% del malware sin importar el tamaño de
archivos, un servidor de seguridad necesitaría infinitamente grande de RAM, algo que ningún dispositivo tiene en el mundo real. La mayoría de los virus son muy pequeñas.
Esta tabla muestra una compensación típica. Se puede ver que con el umbral predeterminado MB 10, sólo el 0,01% de los virus pase a través.

• antivirus

FORTINET
Antes de comenzar el tráfico FortiGates pueden escanear en busca de malware, es necesario aplicar el perfil de antivirus, las opciones de protocolo, y los perfiles de SSL /
SSH de inspección en la política del cortafuegos.
En pleno nivel inspección SSL, FortiGate termina el protocolo SSL / TLS apretón de manos en su propia interfaz, antes de que llegue al servidor. Cuando se
intercambian certificados y claves privadas, es con FortiGate y no del servidor. A continuación, FortiGate se inicia una segunda conexión con el servidor.
Dado que el tráfico no está encriptada mientras pasa entre sus interfaces, FortiGate puede inspeccionar el contenido y buscar coincidencias con la base de
datos de firmas de antivirus, antes de que se vuelve a cifrar el paquete y lo reenvía. Por estas razones, completa el nivel de inspección SSL es la única
opción que permite a los antivirus para ser eficaces.

• antivirus

FORTINET
Desde la base de datos botnet es parte del contrato de FortiGuard AV, los administradores pueden activar el análisis de conexiones de redes de bots para
maximizar su seguridad interna. Permitiendo la exploración botnet es muy fácil. Sólo tiene que activar en la interfaz externa (s) de FortiGate. También puede activar
el análisis de conexiones de redes de bots utilizando la CLI en las políticas de firewall, proxy explícito políticas, políticas de interfaz de cortafuegos, y succionador
de cortafuegos.
Nota: Si una interfaz Papel se establece en LAN, FortiOS elimina la opción de activar la exploración de red de bots. Sólo está disponible para los interfaces que
están configurados como WAN o indefinido.

• antivirus

FORTINET
Para la exploración antivirus en modo de inspección basado en proxy (con el cliente reconfortante desactivado), se muestra la página de reemplazo
de bloque inmediatamente cuando se detecta un virus.
Para el escaneado en modo de inspección basado en el flujo, si se detecta un virus en el inicio de la corriente, la página de reemplazo de bloque se
muestra en la parte primer intento. Si se detecta un virus después de algunos paquetes se han transmitido, la página de reemplazo de bloque es no desplegado.
Sin embargo, FortiGate almacena en caché la URL y puede mostrar la página de reemplazo de inmediato, en el segundo intento.
Nota: Si se habilita la inspección profunda, todas las aplicaciones basadas en HTTPS también mostrar el mensaje de reemplazo de bloque.
La página de bloqueo incluye lo siguiente:
• Nombre del archivo
• nombre del virus
• Web de alojamiento web y la URL
• Origen y el destino de IP
• Nombre de usuario y grupo (si está habilitada la autenticación)
• Enlace a FortiGuard Enciclopedia - que proporciona análisis, las acciones (si lo hay), y la disponibilidad de detección recomendado
Usted puede ir directamente al sitio web FortiGuard para ver información sobre otros programas maliciosos, y escanear, enviar, o ambas cosas, con una muestra de
un malware sospechoso.

• antivirus

FORTINET
Puede encontrar estadísticas de detección de virus en el Amenaza Avanzada estadísticas de protección widget en el tablero de instrumentos.
Si su FortiGate es la presentación de archivos de caja de arena, mantiene estadísticas sobre el número de expedientes presentados y los resultados de las exploraciones.
Estas estadísticas son independientes de los archivos que son escaneados de forma local en FortiGate.

• antivirus

FORTINET
Si se habilita el registro, se pueden encontrar más detalles sobre la AntiVirus la página de registro.
Cuando la exploración antivirus detecta un virus, por defecto, se crea un registro de lo que se detectó el virus, así como la acción, el ID de política,
antivirus nombre del perfil y tipo de detección. También proporciona un enlace a más información en el sitio web FortiGuard.
También puede ver los detalles del registro en el El tráfico hacia adelante página, donde la actividad de las directivas de cortafuegos tráfico de registro de registro. También
encontrará un resumen del tráfico en el que FortiGate aplica una acción antivirus.

• antivirus

FORTINET

• antivirus

FORTINET
¡Buen trabajo! Ahora entiendo configuración del antivirus. A continuación, usted
aprenderá algunas de las mejores prácticas antivirus.

• antivirus

FORTINET

• Reconocer las prácticas recomendadas de configuración de antivirus
• Registrar los eventos de antivirus
• Monitorear antivirus y eventos FortiSandbox

• Utilizar la aceleración de hardware con los análisis antivirus
Demostrando competencia en las mejores prácticas antivirus, usted será capaz de configurar una solución antivirus eficaz.

• antivirus

FORTINET
Las siguientes son algunas de las mejores prácticas a seguir para la configuración de la exploración antivirus para su uso en FortiOS:
• Activar el análisis antivirus en todo el tráfico de Internet.
Esto incluye interno a las directivas de cortafuegos externos, y cualquier política de firewall VIP. Desde botnet es ahora parte de la suscripción del antivirus,
también se recomienda que analice las conexiones a las redes de bots para todo el tráfico saliente. Debería habilitar esto en todas las interfaces (s)
recubrimiento exterior en el FortiGate, incluyendo interfaces redundantes o de equilibrio de carga.
• Utilizar profunda inspección en lugar de Basada en la certificación inspección, para asegurar que la inspección contenido completo se lleva a cabo.
• Utilice FortiSandbox para la protección contra nuevos virus.

• No aumentar el tamaño máximo de archivo que va a escanear, a menos que haya una buena razón, o si necesita hacerlo con el fin de cumplir con un
requisito de la red.

• antivirus

FORTINET
mejores prácticas adicionales a seguir para la configuración de la exploración antivirus incluyen los siguientes:
• Habilitar las actualizaciones de empuje FortiGuard para asegurarse de que recibe actualizaciones de antivirus FortiGate tan pronto como estén disponibles.
Esto ayudará a mantener la base de datos FortiGate hasta a la fecha y ofrecer protección contra los nuevos virus.
• FortiGate asegurar que tiene una conexión estable a los servidores FortiGuard.

• antivirus

FORTINET
El registro es una parte importante de la gestión de una red segura. Habilitar el registro de archivos de gran tamaño por lo que si hay archivos que no son
escaneados, puede ser consciente de ello. También, asegúrese de que los eventos de seguridad está habilitado el registro de todas las políticas de firewall
utilizando perfiles de seguridad. Utilice FortiView para ver la información pertinente relativa a las amenazas a su red. FortiView organiza la información en
segmentos de red y lo divide en varias categorías.

• antivirus

FORTINET
CPU principal de FortiGate es responsable de realizar la inspección UTM / NGFW en el tráfico de la red. modelos FortiGate que tienen chips
especializados pueden descargar tareas de inspección para mejorar el rendimiento mientras que proporciona el mismo nivel de protección. FortiGates
compatibles con la función NTurbo pueden sacar datos UTM sesiones / NGFW a procesadores de red. NTurbo crea una ruta de datos especial para
redirigir el tráfico de la interfaz de entrada al motor IPS, y desde el motor IPS a la interfaz de salida. Esto puede mejorar el rendimiento mediante la
aceleración de la inspección antivirus, sin sacrificar la seguridad.

• antivirus

FORTINET
modelos FortiGate que tienen procesadores de contenido CP8 o CP9 pueden sacar datos basado en el flujo coincidencia de patrones a los procesadores CP8 o
CP9. Cuando está activada la aceleración de CP, las bases de datos de patrones basados en el flujo se compilan y descargan a los procesadores de contenido
desde el motor IPS y base de datos de IPS. Esto reduce la carga en la CPU FortiGate porque las solicitudes coincidencia de patrones basados en el flujo se
redirigen al hardware CP. Antes de inspección basado en el flujo se aplica al tráfico, el motor IPS utiliza una serie de decodificadores para determinar los módulos
de seguridad adecuadas que se pueden utilizar, dependiendo del protocolo de la configuración de paquetes y de política. Además, si se ha configurado la
inspección SSL, el motor de IPS también descifra los paquetes SSL. descifrado SSL también se descarga y se aceleró por los procesadores CP8 o CP9.

• antivirus

FORTINET

• antivirus

FORTINET
¡Buen trabajo! Ahora entiendo antivirus mejores prácticas. A continuación, usted
aprenderá acerca de la solución antivirus.

• antivirus

FORTINET
Al completar esta sección, debe ser capaz de solucionar problemas comunes con antivirus. Demostrando competencia en la solución de
problemas comunes antivirus, usted será capaz de configurar y mantener una solución antivirus eficaz.

• antivirus

FORTINET
Si está teniendo problemas con la licencia de antivirus o actualizaciones FortiGuard, iniciar la solución de problemas con las pruebas de conectividad básicas. La mayoría de las
veces, los problemas relacionados con las actualizaciones son causados por problemas de conectividad con los servidores de FortiGuard.
• Asegúrese de que FortiGate tiene una conexión a Internet estable y puede resolver DNS (update.fortinet.com).
• Si hay otro servidor de seguridad entre el FortiGate e Internet, asegúrese de que el puerto TCP 443 está abierta y se permite el tráfico desde y
hacia el dispositivo FortiGate.
• Fuerza FortiGate para comprobar si hay nuevas actualizaciones de virus utilizando el comando CLI: ejecutar update-av.
• Compruebe que el dispositivo FortiGate está registrada y tiene un contrato de servicio de antivirus válida.

• antivirus

FORTINET
¿Qué pasa si FortiGate muestra licencia válida, pero la base de datos antivirus es fuera de fecha?
Compruebe la versión actual de base de datos instalado en su FortiGate y comparar el número de versión con la versión actual en el sitio web FortiGuard.
FortiGate no puede actualizar la base de datos del antivirus si no se está utilizando (aplicado sobre una política de firewall). Asegúrese de que el perfil de
antivirus se aplica en al menos una directiva de cortafuegos. Si continúa viendo problemas con la actualización, ejecute el comando de depuración en tiempo
real para identificar el problema.

• antivirus

FORTINET
¿Qué pasa si usted tiene un contrato válido y base de datos actualizada, y sigue teniendo problemas de la captura de los virus? Iniciar la solución de errores de
configuración básica. La mayoría de las veces, los problemas son causados por una mala configuración en el dispositivo.
• Asegúrese de que el perfil de antivirus correcta se aplica sobre la política de cortafuegos derecha.
• Asegúrese de que está utilizando el mismo perfil de antivirus y de inspección SSL / SSH en todas las políticas de firewall de conexión a Internet.
• Añadir y uso avanzado de las estadísticas de protección contra amenazas flash para obtener las últimas estadísticas de virus de la unidad. Estos son algunos de
los comandos que se pueden utilizar para recuperar información y solucionar problemas de antivirus:
• obtener el estado de funcionamiento del sistema: las estadísticas para el último minuto.
• diagnosticar la base de datos de antivirus-Info: Muestra la información de la base de datos antivirus actual.
• diagnosticar versiones de AutoUpdate: Muestra las versiones actuales del motor antivirus y de autor.
• diagnosticar la prueba de antivirus “conseguir tiempo de exploración”: Muestra escanear veces para los archivos infectados.
• ejecutar update-av: Fuerzas FortiGate para comprobar si hay actualizaciones de antivirus desde el servidor FortiGuard.

• antivirus

FORTINET

• antivirus

FORTINET
¡Felicidades! Ha completado la lección.

• antivirus

FORTINET

• Utilizar firmas antivirus.
• Revisar las técnicas de exploración antivirus.
• Habilitar FortiSandbox con antivirus.
• Diferenciar entre las bases de datos de firmas FortiGuard disponibles.
• Aplicar el perfil de antivirus en los modos basados en el flujo e inspección basado en proxy.
• Comparar todos los modos de escaneo disponibles.
• Configurar los perfiles de antivirus y opciones de protocolo.
• Revisar las estadísticas de virus.
• Registrar y supervisar los eventos de antivirus.
• Reconocer las prácticas de configuración antivirus recomendados.

• Registrar y supervisar antivirus y eventos FortiSandbox.
• Utilizar la aceleración de hardware con los análisis antivirus.
• Solucionar problemas de antivirus comunes.

• La prevención de intrusiones y de denegación de servicio

FORTINET
En esta lección, aprenderá cómo utilizar FortiGate para proteger la red contra las intrusiones y ataques de denegación de servicio.


FORTINET

• Sistema de Prevención de Intrusión
• Negación de servicio
• firewall de aplicaciones Web
• Solución de problemas


FORTINET

• Diferenciar entre exploits y anomalías
• Identificar los diferentes componentes de un paquete de IPS
• Administrar las actualizaciones de FortiGuard IPS
• Seleccione una base de firmas IPS apropiada

• Configurar un sensor IPS
• Identificar la secuencia IPS inspección sensor
• Aplicar IPS al tráfico de red
Demostrando competencia en el IPS, usted debe ser capaz de implementar una solución eficaz IPS para proteger su red contra intrusos.


FORTINET
Las organizaciones están bajo ataques continuos. Los criminales cibernéticos, motivados por los cortes de alto perfil antes había funcionado bien y un
mercado negro muy rentable para los datos robados, siguen aumentando tanto el volumen y la complejidad de sus ataques a las organizaciones. Muchas
organizaciones que animan BYOD y entornos de trabajo flexibles, lo que ha llevado a la explosión de cualquier momento y lugar el consumo de datos. Este
consumo aumenta el riesgo de que los datos sensibles serán expuestos a accesos no autorizados fuera de los límites corporativos. panorama de las
amenazas de hoy requiere IPS para bloquear una gama más amplia de amenazas, al tiempo que minimiza los falsos positivos.


FORTINET
Es importante entender la diferencia entre una anomalía y un exploit. También es importante saber qué características FortiGate ofrecen
protección frente a cada uno de estos tipos de amenazas.
exploits son ataques conocidos, con patrones conocidos que pueden ser igualadas por IPS, WAF, o firmas de virus.
anomalías son comportamientos inusuales en la red, tales como el uso de CPU más alta de lo habitual o el tráfico de red. Anomalías deben ser detectados y
controlados (y, en algunos casos, bloquear o mitigados), ya que pueden ser los síntomas de un nuevo ataque, nunca había visto-antes. Las anomalías son
generalmente mejores detectados por análisis de comportamiento, tales como firmas basadas en el tipo IPS, las políticas de denegación de servicio, y la inspección
limitaciones de protocolo.


FORTINET
IPS FortiGate utiliza bases de datos de firmas para detectar ataques conocidos. decodificadores de protocolo también pueden detectar errores de red y
anomalías de protocolo.
El motor IPS es responsable de la mayor parte de las características que se muestran en esta lección: IPS y decodificadores de protocolo. Es también responsable de control de
aplicaciones, protección antivirus basado en el flujo, filtrado web, filtrado de correo electrónico, y Flow-DLP basada en el modo sniffer con un solo brazo.


FORTINET
¿Cómo determina el motor IPS si un paquete contiene un ataque o anomalía?
decodificadores de protocolo analizan cada paquete de acuerdo con las especificaciones de protocolo. Algunos decodificadores de protocolo requieren una
especificación de número de puerto (configurado en el CLI), pero por lo general, el protocolo se detecta automáticamente. Si el tráfico no se ajusta a la
especificación-si, por ejemplo, envía comandos malformados o inválidas a sus servidores, entonces el decodificador detecta el error de protocolo.


FORTINET
Por defecto, un conjunto inicial de firmas IPS está incluido en cada versión del firmware FortiGate. FortiGuard actualiza la base de firmas de IPS con nuevas
firmas. De esa manera, IPS sigue siendo eficaz contra las nuevas vulnerabilidades. A menos que una especificación de protocolo o cambios RFC (lo que no
ocurre muy a menudo), decodificadores de protocolo rara vez se actualizan. El motor IPS misma cambia con más frecuencia, pero todavía no a menudo.
servicio FortiGuard IPS actualiza las firmas IPS más a menudo. El equipo de investigación FortiGuard identifica y construye nuevas firmas, al igual que las
firmas antivirus. Por lo tanto, si su contrato expira Servicios FortiGuard, todavía se puede utilizar IPS. Sin embargo, al igual que los análisis antivirus, IPS
exploraciones serán cada vez más ineficaces cuanto más tiempo sus firmas van sin ser actualizada firmas de edad no va a defender contra los nuevos
ataques.


FORTINET
La base de firmas IPS se divide en las bases de datos regulares y extendidos. La base de firmas de regular contiene las firmas de ataques
comunes cuyas firmas causar falsos positivos raras o no. Es una base de datos más pequeña, y su acción por defecto es para bloquear el
ataque detectado.
La base de datos contiene la firma extendida firmas adicionales para los ataques que causan un impacto significativo rendimiento, o no son compatibles con el
bloqueo debido a su naturaleza. De hecho, debido a su tamaño, la base de datos ampliada no está disponible para los modelos FortiGate con un disco más
pequeño o RAM. Sin embargo, para las redes de alta seguridad, puede que sea necesario para permitir que la base de datos de firmas extendida.


FORTINET
Después de FortiGate descarga un paquete de FortiGuard IPS, nuevas firmas aparecen en la lista de firmas. Al configurar FortiGate, se puede
cambiar el Acción establecer para cada sensor que utiliza una firma. El ajuste por defecto es a menudo la acción correcta, excepto en los casos
siguientes:
• Su proveedor de software libera un parche de seguridad. Continuando a explorar en busca de hazañas será un desperdicio de recursos FortiGate.
• La red tiene una aplicación personalizada con el tráfico que desencadena involuntariamente una firma IPS. Puede desactivar el ajuste hasta
que notifique Fortinet para que el equipo FortiGuard puede modificar la firma para evitar falsos positivos.


FORTINET
Hay dos formas de añadir firmas predefinidas a un sensor IPS. Una forma es seleccionar las firmas individualmente. Después de seleccionar una
firma de la lista, se añade la firma para el sensor con su acción predeterminada. A continuación, puede hacer clic en la firma y cambiar la acción.
La segunda manera de añadir una firma a un sensor está utilizando filtros. FortiGate agregará todas las firmas que coinciden con los filtros.


FORTINET
También puede agregar firmas basadas en el tipo de bloquear el tráfico específico cuando se supera el umbral durante el período de tiempo configurado. Debe aplicar
firmas basadas en las tasas sólo para protocolos que realmente usa. A continuación, configure Duración del bloque para bloquear clientes maliciosos durante períodos
prolongados. Esto ahorra recursos del sistema y puede desalentar un ataque de repetición. FortiGate no hace un seguimiento de estadísticas para ese cliente mientras
se está blocklisted temporalmente.


FORTINET
Cuando el motor IPS compara el tráfico con las firmas en cada filtro, ordenar las cosas. Las reglas de juego son similares a la política de cortafuegos: el
motor evalúa los filtros en la parte superior de la lista en primer lugar, y aplica el primer partido. El motor se salta filtros posteriores.
Por lo tanto, la posición de los filtros más propensos a juego, o las firmas, en la parte superior de la lista. Evitar hacer demasiados filtros, ya que esto aumenta
las evaluaciones y uso de la CPU. También, evitar hacer muy grandes grupos de firma en cada filtro, que aumentan el uso de RAM.
En el caso de un brote de falsos positivos, se puede añadir la firma disparado como una firma individual y establecer la acción de Monitor. Esto le
permitirá controlar los acontecimientos de la firma mediante registros de IPS, mientras se investiga el problema de falsos positivos.


FORTINET
A veces es necesario eximir a las direcciones de origen o destino de IP específicos de firmas específicas. Esta característica es útil durante los brotes
falsos positivos. Usted puede pasar por alto temporalmente afectada puntos finales hasta que investigar y corregir el problema de falsos positivos.
Puede configurar excepciones IP en sólo firmas individuales. Cada firma puede tener varias excepciones.


FORTINET
Después de seleccionar los filtros o las firmas que desee agregar, haga clic en el filtro o la firma y, a continuación, seleccione la acción. Seleccionar Pasar para permitir
el tráfico para continuar hasta su destino. Seleccionar Monitor para permitir el tráfico para continuar hasta su destino y registrar la actividad. Seleccionar Bloquear para
dejar en silencio tráfico que coincide con alguna de las firmas incluidas en el filtro. Seleccionar Reiniciar para generar un paquete TCP RST cada vez que se activa la
firma.
Cuarentena permite poner en cuarentena la dirección IP del atacante por una duración determinada. Puede configurar la duración de cuarentena a cualquier
número de días, horas o minutos. Si selecciona Registro de paquetes, FortiGate guarda una copia del paquete que coincide con la firma.


FORTINET
Para aplicar un sensor IPS, debe habilitar IPS y luego seleccione el sensor en una política de firewall. Por defecto, FortiGate registra todos los eventos de seguridad.
Esto significa que puede ver todo el tráfico que está siendo bloqueado por IPS. Si cree que algo de tráfico debe ser bloqueado, pero está pasando a través de la
política, se debe cambiar el Registro de tráfico mascotas método para Todas las sesiones. Esto guardara todo el tráfico cursado por que la política de cortafuegos, y
no sólo el tráfico que está bloqueado por los perfiles de seguridad. Esto le puede ayudar en la identificación de los eventos negativos falsos.


FORTINET
Si ha habilitado los eventos de seguridad de explotación forestal en las políticas de cortafuegos que se aplican a IPS, puede ver eventos IPS haciendo clic Log
& Report> Prevención de intrusiones. los prevención de intrusiones ingrese menú aparece sólo si FortiGate ha igualado intentos de ataques con las firmas
IPS.
Debe revisar los registros de IPS con frecuencia. Los registros son una valiosa fuente de información sobre los tipos de ataques que están siendo
dirigidos a su red. Esto le ayudará a desarrollar planes de acción y se centran en eventos específicos, por ejemplo, parches de una vulnerabilidad
crítica.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo el IPS en FortiGate. A continuación, usted aprenderá
acerca de denegación de servicio.


FORTINET

• Identificar un ataque DoS
• Configurar una política de denegación de servicio
Demostrando competencia en el DOS, debe ser capaz de proteger la red de ataques de denegación de servicio comunes.


FORTINET
Hasta ahora, usted ha aprendido acerca de las firmas que responden a comandos ilegales e implementaciones de protocolos no válidos. Esos son fácil de confirmar
que los ataques.
¿Qué hay de los ataques que funcionan mediante la explotación de procesamiento asimétrica o ancho de banda entre clientes y servidores?
El objetivo de un ataque DoS es abrumar a la meta de consumir recursos hasta que el objetivo no puede responder al tráfico legítimo. Hay muchas
formas de lograr esto. el uso de ancho de banda alto es sólo un tipo de ataque DoS. Muchos ataques de denegación de servicio sofisticados, como
Slowloris, no requieren gran ancho de banda.


FORTINET
Para bloquear los ataques de denegación de servicio, aplicar una política de denegación de servicio en un dispositivo FortiGate que se encuentra entre los atacantes y todos los recursos
que se desean proteger.
filtrado de DoS se hace temprano en el proceso de manejo de paquetes, el cual es manejado por el núcleo.


FORTINET
En TCP, el cliente envía un paquete SYN para iniciar una conexión. El servidor debe responder con un paquete SYN / ACK, y guardar la información de
conexión en la RAM mientras espera a que el cliente reconozca con un paquete ACK. clientes normales ACK rápidamente y comenzar a transmitir datos.
Pero los clientes maliciosos continúan enviar más paquetes SYN, entreabriendo más conexiones, hasta tabla de conexión del servidor se llena. Una vez
que la mesa del servidor está lleno, no puede aceptar más conexiones y comienza a ignorar todos los nuevos clientes. ICMP se utiliza durante la
resolución de problemas: los dispositivos responden con mensajes de éxito o de error. Sin embargo los atacantes pueden utilizar ICMP para sondear una
red de rutas válidas y anfitriones de respuesta. Al hacer un barrido de ICMP, el atacante puede obtener información sobre la red antes de elaborar
hazañas más graves. Los atacantes utilizan la exploración de puertos para determinar qué puertos están activos en un sistema. El atacante envía
peticiones TCP SYN a diferentes puertos de destino. Sobre la base de las respuestas, el atacante puede que indique qué servicios se están ejecutando
en el sistema,


FORTINET
Un ataque DoS individuo es un flujo de tráfico que proviene de una sola dirección. Puede originarse en el Internet, o incluso de su red interna. Por lo
general, un solo dispositivo hace muchas conexiones o sesiones, y posiblemente utiliza mucho ancho de banda para conectarse a una única
ubicación. Una variación de esto es el ataque de denegación de servicio o DDoS. Tiene muchas de las mismas características que un ataque DoS
individuo, pero la diferencia principal es que múltiples dispositivos están atacando a un destino al mismo tiempo.


FORTINET
Se puede aplicar la protección DoS a cuatro protocolos: TCP, UDP, ICMP y SCTP. Y, se puede aplicar cuatro tipos diferentes de protocolo de
detección de anomalías:
• Un sensor de inundación detecta un alto volumen de dicho protocolo específico, o señal en el protocolo.
• Un barrido / análisis detecta el sondeo intenta asignar cuál de los puertos del host responde y, por lo tanto, podría ser vulnerable.
• Fuente firmas buscan grandes volúmenes de tráfico que se origina a partir de una sola dirección IP.
• Destino firmas buscan grandes volúmenes de tráfico con destino a una sola dirección IP.
Al poner en práctica DoS, por primera vez, si usted no tiene una línea de base precisa para su red, tenga cuidado de no bloquear completamente los servicios de red.
Para evitar que esto suceda, configurar la política de denegación de servicio inicialmente para iniciar la sesión, pero no bloquear. El uso de los registros, se puede
analizar e identificar los niveles normales y máximas para cada protocolo. A continuación, ajustar los umbrales para permitir picos normales, mientras que la
aplicación de filtrado adecuado. El umbral para la inundación, barrido, y los sensores de escaneo se definen como el número máximo de sesiones o paquetes por
segundo. El umbral para sensores de origen y de destino se definen como sesiones concurrentes. Umbrales demasiado alta puede agotar sus recursos antes de que
el disparador de políticas DOS. Los umbrales que son demasiado bajos causarán FortiGate para dejar el tráfico normal.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo proteger su red contra ataques de denegación de FortiGate. A continuación, usted aprenderá acerca
de firewall de aplicaciones web.


FORTINET

• Identificar el propósito de la WAF de FortiGate
• Identificar los ataques web comunes
• Configurar un perfil WAF
Demostrando competencia en la FAT, usted debe ser capaz de aplicar la inspección correcta WAF para proteger los servidores de la red.


FORTINET
¿Qué es un WAF y por qué lo necesita?
Algunas de las características FortiGate están destinadas a proteger a los clientes, no los servidores. Por ejemplo, los bloques de filtrado web FortiGuard
solicitudes basadas en la categoría de las páginas web del servidor. Antivirus evita que los clientes descarguen accidentalmente software espía y gusanos.
Tampoco protege un servidor (que no enviar solicitudes entre los recibe) de scripts maliciosos o inyecciones SQL. La protección de los servidores web
requiere un enfoque diferente, ya que están sujetos a otros tipos de ataques. Aquí es donde se aplica la FAT. La característica WAF está disponible sólo en
modo de inspección proxy.


FORTINET
Veamos algunos ejemplos de ataques que se dirigen específicamente a las aplicaciones web.
Un tipo de ataque se llama cross-site scripting (XSS). Si una aplicación web no desinfectar sus entradas y rechazar JavaScript, termina el almacenamiento del
ataque XSS en su base de datos. Entonces, cuando otros clientes solicitan la página que se vuelve a utilizar esos datos, el código JavaScript está incrustado en
la página.
JavaScript puede hacer muchas cosas con una página, incluyendo volver a escribir toda la página y hacer sus propias peticiones. Este es el mecanismo
básico de JavaScript asíncrono y XML (AJAX aplicaciones). En este caso, XSS hace que los clientes inocentes para transmitir a un servidor diferente que es
controlado por el atacante. Esto podría, por ejemplo, transmitir la información de tarjetas de crédito o contraseñas de un formulario HTTP para el atacante.


FORTINET
Otro ataque web muy común es una inyección de SQL. Al igual que un ataque XSS, la causa fundamental de una inyección SQL es que la aplicación web no
desinfectar entrada. Si el atacante introduce una consulta SQL en una entrada, como un formulario HTML, la aplicación web, simplemente lo acepta, y se lo pasa a
lo largo de al motor de base de datos, que accidentalmente se ejecuta la consulta.
El lenguaje SQL se puede hacer nada para los datos. Se puede, por ejemplo, descargar la tabla de usuarios para que el atacante puede ejecutar una galleta de la contraseña.
Una consulta podría añadir nuevas entradas para el nuevo registro de administrador en los intentos, o modificar registro de intentos, el bloqueo de los administradores de iniciar
la sesión.


FORTINET
Uno de los componentes de un perfil WAF WAF es firmas. WAF firmas funcionan de la misma manera que las firmas IPS. FortiGate puede actuar
sobre el tráfico que coincide con ninguno de ellos. Algunas firmas WAF se clasifican como extendida. Ellos son más propensos a causar falsos
positivos, pero a veces son necesarios en entornos de alta seguridad.
restricciones HTTP pueden supervisar y controlar el número, el tipo y longitud de muchos cabeceras HTTP, que son también entradas. Esto evita que las
entradas inesperadas que un cliente malicioso podría crear comprometer su servidor. Los límites pueden variar según el software del servidor, sino también por
su hardware. Si un servidor tiene memoria RAM limitada, por ejemplo, entonces es potencialmente más fáciles de sobrecargar o un accidente con un número
excesivo de cabeceras, ya que al analizar las cabeceras y su almacenamiento en memorias intermedias requiere RAM. Después de configurar un perfil WAF,
se le asigna a una o más políticas de firewall.


FORTINET
FortiWeb es un dispositivo especializado WAF. Para entornos en los que la protección de los servicios web es crítica, puede complementar una FortiGate
con un dispositivo FortiWeb.
FortiWeb ofrece una comprensión más completa del protocolo HTTP y el ataque estado de protección. Se puede realizar análisis de vulnerabilidad y pruebas de
penetración. También puede volver a escribir los paquetes HTTP, y enrutar el tráfico en función del contenido HTTP.


FORTINET
En la mayoría de los casos, FortiWeb se instala como un dispositivo independiente, que normalmente se encuentra entre FortiGate y los servidores web protegidos.
FortiWeb se puede instalar en línea (tráfico web de cruzar el dispositivo) o fuera de línea (dispositivo está conectado como un sniffer de un brazo).
Como alternativa, puede configurar FortiGate para reenviar el tráfico de Internet a un FortiWeb externa, donde pasa la inspección WAF. Esto es útil, por
ejemplo, cuando se necesita para proteger los servidores ubicados en varios sitios con un solo FortiWeb. Con esta configuración, FortiGate enviará
todo el tráfico web a la FortiWeb si el tráfico coincide con una política de cortafuegos configurado con un perfil WAF habilitado para la inspección
externa. Para obtener información detallada sobre FortiWeb, ver el material de formación FortiWeb NSE 6.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo cómo proteger sus servidores utilizando WAF en FortiGate. A continuación, usted aprenderá acerca de
las mejores prácticas de IPS.


FORTINET

• Identificar la metodología de implementación de IPS
• Permitir la inspección SSL completa para el tráfico inspeccionado-IPS
• Identificar los componentes de aceleración de hardware para IPS
Demostrando competencia en la identificación de mejores prácticas de implementación de IPS, que debe ser capaz de desplegar una solución IPS de
FortiGate que va a ser eficiente y eficaz. También debe ser capaz de aplicar inspección completa SSL para IPS inspeccionar el tráfico, así como identificar los
componentes de aceleración de hardware para IPS.


FORTINET
Antes de implementar la IPS, debe analizar las necesidades de la red. Activación de los perfiles por defecto en todas las políticas hará que rápidamente los
problemas, el menor de ellos son falsos positivos. La realización de inspecciones innecesarias sobre todo el tráfico de red puede provocar un uso de los
recursos que puede obstaculizar la capacidad de FortiGate para procesar el tráfico regular.
También debe evaluar las amenazas aplicables. Si su organización sólo se ejecuta en Windows, no hay necesidad de explorar en busca de
vulnerabilidades de Mac OS. También es importante tener en cuenta el sentido de la circulación. Hay muchas firmas IPS que se aplican sólo a los
clientes, y muchas firmas que se aplican sólo a los servidores. Crear sensores IPS específicas a los recursos que desea proteger. Esto se asegurará de
que no FortiGate está analizando el tráfico con firmas irrelevantes. Por último, no es un IPS set-and-forget implementación. Debe supervisar los registros
regularmente por los patrones de tráfico anómalas, y ajustar la configuración de su perfil IPS basado en sus observaciones. También debe auditar sus
recursos internos con regularidad para identificar si ciertas vulnerabilidades siguen siendo aplicables a su organización.


FORTINET
Ciertas vulnerabilidades se aplican sólo a conexiones cifradas. En algunos de estos casos, FortiGate no puede identificar la amenaza de forma fiable si
no puede analizar la carga útil. Por esta razón, se debe usar un perfil de inspección SSL si desea obtener el máximo beneficio de sus IPS y
características de la FAT.
El ejemplo de esta diapositiva se muestra un perfil de inspección SSL configurado para proteger un servidor. Esta política, cuando se aplica al tráfico
entrante, será capaz de aplicar IPS y WAF la inspección del tráfico cifrado fiable, porque FortiGate será capaz de desencriptar sesiones encriptadas e
inspeccionar todas las partes del paquete. Es importante tener en cuenta que las políticas de denegación de servicio no tienen la capacidad de asignar
perfiles de inspección SSL. Esto se debe a DoS no requiere inspección SSL para maximizar su capacidad de detección, ya que no inspecciona carga útil del
paquete. DOS sólo inspecciona ciertos tipos de sesión y su volumen asociado.


FORTINET
Por lo general, el tráfico que requiere la inspección, tales como antivirus o IPS, es manejado por el CPU en FortiGate. Sin embargo, hay chips especializados en
modelos específicos que se pueden sacar datos FortiGate estas tareas de inspección. Esto libera ciclos de CPU para manejar otras tareas, y también acelera las
sesiones que requieren inspección de seguridad. modelos FortiGate que apoyan una función llamada NTurbo puede descargar el procesamiento de los
procesadores IPS NP4, NP6 o SOC3. Si el comando np-Accel-mode se encuentra disponible bajo sistema de configuración global, entonces el modelo FortiGate
apoya NTurbo.
Algunos modelos FortiGate también apoyan la descarga de patrón de IPS a juego con los procesadores de contenido CP8 o CP9. Si el comando cp-Accel-mode
se encuentra disponible bajo config ips mundial, entonces el modelo FortiGate apoya patrón IPS búsqueda de aceleración a su procesador CP8 o CP9.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo algunas de las mejores prácticas para la implementación de IPS en FortiGate. A continuación, usted aprenderá acerca de la
solución de problemas a IPS.


FORTINET

• Solucionar actualización de FortiGuard IPS
• Solucionar IPS uso de alta CPU
• Administrar eventos IPS fallo para abrir
• Investigar la detección de falsos positivos
Demostrando competencia en la solución de problemas, usted debe ser capaz de identificar, investigar y manejar algunos problemas comunes con
IPS implementaciones de FortiGate.


FORTINET
FortiGate solicitudes de actualización se envían a IPS update.fortiguard.net en el puerto TCP 443. También puede configurar FortiGate para conectarse a través de un
proxy web para obtener actualizaciones. Por lo general, los clientes que se conectan a un proxy web no hagan contacto con el servidor DNS para resolver nombres,
porque es el poder de la tela que lo hace. Pero, en el caso de FortiGuard, FortiGate siempre requiere el acceso DNS, incluso cuando se conecta a través de un proxy
web. Usted debe comprobar la última fecha y hora de actualización con regularidad. Puede verificarlo en la GUI. Si existe algún indicio de que las definiciones de IPS no
se actualizan, se debe investigar. Siempre asegúrese de FortiGate tiene la resolución de DNS adecuado para update.fortiguard.net. Si, por casualidad, hay algún
dispositivo intermediario entre el FortiGate e Internet, asegúrese de que las reglas del firewall correctas están en su lugar para permitir el tráfico en el puerto 443.
Cualquier dispositivos intermediarios que realizan la inspección SSL en este tráfico también puede causa problemas con las actualizaciones. Por último, se puede utilizar
la depuración de actualización FortiGuard para controlar los eventos de actualización en tiempo real.


FORTINET
picos breves en los procesos de la CPU por IPS podrían ser causados por cambios en la política o el perfil de cortafuegos. Estos picos son generalmente normal.
Picos podrían ocurrir cuando FortiGate tiene cientos de políticas y perfiles, o varios dominios virtuales. El uso continuo de alta CPU por los motores de IPS no es
normal, y se debe investigar. El comando que se muestra aquí, junto con las opciones mostradas se puede utilizar para solucionar estos problemas. Si hay problemas
de consumo de CPU de alta causados por el IPS, se puede utilizar la diagnosticar ipsmonitor aplicación de prueba comando con la opción 5 para aislar el origen del
problema podría ser. Opción 5 habilita el modo de derivación a IPS. En este modo, el motor IPS todavía se está ejecutando, pero no es la inspección de tráfico. Si el
uso de la CPU disminuye después de eso, por lo general indica que el volumen de tráfico que se está inspeccionando es demasiado alto para ese modelo FortiGate.
Si el uso de la CPU sigue siendo alto después de activar el modo de derivación IPS, por lo general indica un problema en el motor de IPS, que debe informar al
equipo de soporte de Fortinet. Se puede desactivar el motor IPS completamente utilizando la opción 2. Si desea restaurar la inspección IPS del tráfico después de que
la solución de problemas, utilice la opción de terminar 5 otra vez. Otra de las recomendaciones a tener en cuenta: si tiene que reiniciar el IPS, la opción de utilizar 99, como
se muestra en esta diapositiva. Esto garantiza que todos los procesos relacionados con el IPS se reinician correctamente.


FORTINET
IPS va a fallar modo abierto cuando no hay suficiente memoria disponible en el buffer de toma de IPS para los nuevos paquetes. Lo que sucede durante
ese estado depende de la configuración IPS. Si el falla abre configuración está habilitada, algunos nuevos paquetes (dependiendo de la carga del sistema)
pasarán a través sin ser inspeccionado. Si está desactivado, se descartarán los nuevos paquetes.
IPS frecuentes fallan eventos abiertos por lo general indican que el IPS no es capaz de mantenerse al día con las demandas de tráfico. Por lo tanto, tratar de identificar patrones.
Ha aumentado el volumen de tráfico recientemente? Han aumentado las demandas de rendimiento? Hace fracasar el gatillo abierto en momentos específicos durante el día?
Ajustar y optimizar la configuración de IPS. Crear perfiles específicos para el tipo de tráfico que se está inspeccionando IPS, y deshabilitar perfiles de IPS
en políticas que no los necesitan.


FORTINET
En el caso de una detección de falsos positivos, determinar primero que firma ellos está generando. También debe comprobar que el tráfico está afectando
a la política correcta y el sensor IPS. Después de haber comprobado estos factores, debe reunir muestras del tráfico. Utilizar el registro de paquetes acción
sobre la firma. Proporcionar las muestras de tráfico y la adecuación del IPS de registros para el equipo FortiGuard para una mayor investigación.


FORTINET


FORTINET
Ahora se va a revisar los objetivos que están cubiertos en esta lección.


FORTINET
Esta lección se trataron los siguientes temas:

• Administrar las actualizaciones de FortiGuard IPS
• Configurar un sensor IPS

• Aplicar IPS al tráfico de red
• Identificar un ataque DoS
• Configurar una política de denegación de servicio
• Identificar los ataques web comunes

• Configurar un perfil WAF
• Identificar la metodología de implementación de IPS
• Solucionar problemas comunes de IPS
Por el dominio de los objetivos cubiertos en esta lección, que han adquirido las habilidades y conocimientos que usted necesita para configurar, mantener y
solucionar problemas de solución IPS de su FortiGate.

• SSL-VPN

FORTINET
En esta lección, aprenderá cómo configurar y utilizar SSL-VPN. SSL-VPN son una manera fácil de dar a los usuarios acceso remoto a su red
privada.

• SSL-VPN

FORTINET

• Describir SSL-VPN
• SSL-VPN modos de implementación
• Configuración de SSL-VPN
• Reinos y Marcadores personales
• El endurecimiento de acceso SSL-VPN
• Monitoreo y solución de problemas

• SSL-VPN

FORTINET

• Definir una red privada virtual (VPN)
• Describir las diferencias entre SSL-VPN y VPN IPsec
Demostrando competencia en la comprensión de los conceptos de VPN, usted será capaz de entender de manera más eficaz la forma
FortiGate gestiona métodos SSL VPN.

• SSL-VPN

FORTINET
Una red privada virtual (VPN) crea un túnel que da a los usuarios o LAN remotas acceso seguro a su red privada, como si estuvieran
conectados a la LAN.
Una VPN se utiliza a menudo cuando LANs están separadas por una red pública no es de confianza, tal como Internet. Así como proporcionar a los usuarios
acceso seguro a las redes privadas mientras están viajando, una VPN también puede interconectar redes de sucursales ubicadas a través de Internet, e incluso
en el otro lado del mundo. Los datos de usuario dentro de un túnel VPN se cifran para la privacidad. No se puede leer, incluso si es interceptada por usuarios no
autorizados. VPNs también utilizan métodos de seguridad para garantizar que sólo los usuarios autorizados puedan establecer una VPN y acceder a los recursos
de la red privada. Por lo general también proporcionan pruebas de manipulación indebida. La mayoría de las VPNs son SSL o IPSec VPN. FortiOS soporta tanto,
así como, VPN menos comunes más débiles tales como PPTP. En esta lección, nos centraremos en SSL-VPN.

• SSL-VPN

FORTINET
¿Cómo son diferentes de IPsec VPN SSL-VPN?
Los protocolos son diferentes. SSL y TLS son comúnmente utilizados para encapsular y el comercio electrónico y la banca en línea seguro en
Internet (HTTP). SSL-VPN utilizan una técnica similar, pero a menudo con protocolos no HTTP encapsulados. SSL reside más arriba en la pila
de red de IP y, por lo tanto, por lo general requiere más bits más cabeceras-SSL-VPN de ancho de banda para. En comparación, IPsec utiliza
algunos protocolos especiales. El protocolo primario es ESP, que encapsula y cifra UDP, RDP, HTTP, u otros protocolos que están dentro en el
túnel IPsec.
Además, VPN IPSec es un estándar. Se puede interoperar con múltiples proveedores, y es compatible con los compañeros que son dispositivos y gateways-no
sólo los clientes de usuario con solamente FortiGate, como SSL-VPN hace. El software de cliente es también diferente. En un SSL-VPN, su navegador web
puede ser el único software de cliente que desee. Puede, ve al portal SSL-VPN de FortiGate (una página web HTTPS), y luego conectarse. Como alternativa, se
puede instalar un plug-in o FortiClient. Esto aumenta el número de protocolos que pueden ser enviadas a través del túnel VPN.
En comparación, utilizar IPsec VPN, que está generalmente necesario instalar el software de cliente especial, o tener una puerta de enlace local, como un modelo de
escritorio FortiGate, con el fin de conectarse a la puerta de enlace remota. También podría ser necesario para configurar servidores de seguridad entre pares VPN para
permitir protocolos IPsec. Sin embargo, IPsec es un protocolo estándar compatible con la mayoría de los vendedores, por lo que una sesión de VPN puede establecerse
no sólo entre dos dispositivos FortiGate, sino también entre los dispositivos de diferentes fabricantes, y entre una pasarela y clientes. Es altamente extensible y
configurable. En comparación, SSL-VPN sólo puede establecerse entre un ordenador y una puerta de enlace específica del proveedor, tales como FortiGate.

• SSL-VPN

FORTINET
Una vez que haya iniciado sesión, el SSL-VPN se conecta el ordenador a la red privada. No se requieren ajustes configurados por el usuario y los servidores de seguridad
suelen estar configurados para permitir HTTP saliente, por lo que las llamadas de soporte técnico son menos probables. Simplicidad hace SSL-VPN ideal para los usuarios
no técnicos, o los usuarios que se conectan desde ordenadores públicos, tales como las que se encuentran en las bibliotecas públicas y cibercafés.
En general, IPsec VPN se prefiere cuando túneles deben ser de forma continua e interoperar con muchos tipos de dispositivos, mientras que SSL-VPN se
prefiere cuando las personas viajan y necesitan conectarse a la oficina.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET
¡Buen trabajo! Ahora entiendo conceptos básicos sobre la función de VPN SSL y cómo SSL-VPN es diferente de IPsec.
A continuación, usted aprenderá acerca de los modos de implementación SSL-VPN soportados por FortiGate.

• SSL-VPN

FORTINET
Al completar esta sección, debe ser capaz de describir las diferencias entre los modos de SSL-VPN. Demostrando competencia en la
comprensión de la FortiGate diferentes formas permite conexiones SSL-VPN, que serán capaces de mejorar el diseño de la configuración
de su SSL-VPN.

• SSL-VPN

FORTINET
Hay dos modos que puede utilizar para acceder a un SSL-VPN. Ambos pueden construir una conexión SSL-VPN, pero que no son compatibles con las
mismas características. ¿Qué debe elegir?
Que depende de las aplicaciones que necesita para enviar a través de la VPN, el conocimiento técnico de sus usuarios, y si está o no tener
permisos administrativos en sus equipos.
El modo de túnel soporta la mayoría de los protocolos, sino que requiere la instalación de un cliente VPN, o más específicamente, un adaptador de red virtual.
Para el tráfico del túnel usando el adaptador virtual, debe utilizar FortiClient independiente o su componente de cliente FortiSSL-VPN.
Modo Web sólo requiere un navegador web, pero es compatible con un número limitado de protocolos.

• SSL-VPN

FORTINET
acceso a la Web es el modo más simple SSL-VPN.
Al igual que lo haría con cualquier otro sitio web HTTPS, sólo tiene que iniciar sesión en el portal de la página web SSL-VPN en FortiGate. Actúa como un
proxy inverso del lado del servidor, o simplemente una puerta de entrada segura de HTTP / HTTPS, que le conecta con las aplicaciones en la red privada.
los marcadores en la sección de SSL-VPN Portal página contiene enlaces a todos o algunos de los recursos disponibles para el usuario para el acceso. los Conexión
rápida Reproductor permite a los usuarios escribir la dirección URL o IP del servidor que quieren alcanzar. Una web SSL-VPN usuario hace uso de estos
dos widgets para acceder a la red interna. La ventaja del modo de web es que por lo general no requieren la instalación de software adicional. Modo Web
tiene dos desventajas principales:
• Toda la interacción con la red interna debe hacerse utilizando el navegador exclusivamente (a través del portal web). aplicaciones de red
externos que se ejecutan en el PC del usuario no puede enviar datos a través de la VPN.
• Este es un HTTP / HTTPS mecanismo de pasarela segura que no funciona para acceder a todo, pero sólo unos pocos protocolos populares, tales
como HTTP, FTP acciones, y Windows.

• SSL-VPN

FORTINET
¿Cómo funciona el modo web?
1. Los usuarios remotos establecer una conexión segura entre la seguridad SSL en el navegador web y el portal SSL-VPN de
FortiGate, mediante HTTPS.
2. Una vez conectados, los usuarios proporcionan credenciales a fin de pasar una comprobación de autenticación.
3. A continuación, FortiGate muestra el portal SSL-VPN que contiene los servicios y recursos de la red para que los usuarios tener acceso.
Diferentes usuarios pueden tener diferentes portales con diferentes recursos y permisos de acceso. Observe también la IP de origen visto por los
recursos remotos es la dirección IP interna del FortiGate y no la dirección IP del usuario.

• SSL-VPN

FORTINET
El modo túnel es la segunda opción FortiGate proporciona acceso a los recursos dentro de un SSL-VPN. El modo de túnel requiere independiente de
cliente SSL-VPN de Fortinet, FortiClient, para conectarse a FortiGate. FortiClient añade un adaptador de red virtual identificado como fortissl al PC
del usuario. Este adaptador virtual recibe dinámicamente una dirección IP de cada FortiGate FortiGate tiempo establece una nueva conexión VPN.
Dentro del túnel, todo el tráfico es SSL / TLS encapsulado.
La ventaja del modo de túnel sobre el modo web es que una vez establecida la VPN, cualquier aplicación de red IP que se ejecuta en el
cliente puede enviar tráfico a través del túnel. La principal desventaja es que el modo de túnel requiere la instalación de un software cliente
VPN, lo que requiere privilegios administrativos.

• SSL-VPN

FORTINET
¿Cómo funciona el modo de túnel?
1. Los usuarios se conectan a través de FortiGate FortiClient.

2. Los usuarios proporcionan credenciales para autenticarse con éxito.
3. FortiGate establece el túnel y asignar una dirección IP al adaptador de red virtual del cliente ( fortissl). Esta es la dirección IP de
origen del cliente durante la duración de la conexión.
4. A continuación, los usuarios pueden acceder a los servicios y recursos de red a través del túnel encriptado. FortiClient cifra todo el tráfico
desde el equipo remoto y lo envía a través del túnel SSL-VPN. FortiGate recibe el tráfico cifrado, de-encapsula los paquetes IP, y las envía a
la red privada como si el tráfico originado desde el interior de la red.

• SSL-VPN

FORTINET
El modo de túnel también es compatible con la división de túnel.
Cuando la división de túnel se desactiva, todo el tráfico IP generado por ordenador del cliente, incluyendo el tráfico de Internet-se encamina a través del túnel
SSL-VPN a FortiGate. Esto establece FortiGate como la puerta de enlace predeterminada para el host. Puede utilizar este método para la aplicación de
medidas de seguridad para el tráfico en los clientes remotos, o para controlar o restringir el acceso a Internet. Esto añade más latencia y aumenta el uso de
ancho de banda. Cuando está habilitada la división de túnel, sólo el tráfico destinado para la red privada detrás del FortiGate remota se encamina a través
del túnel. El resto del tráfico se envía a través de la ruta habitual sin cifrar. la división de túnel ayuda a ahorrar ancho de banda y alivia los cuellos de botella.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET
¡Buen trabajo! Ahora entiendo los modos de operación SSL-VPN soportados por FortiGate. A continuación, usted aprenderá
acerca de cómo configurar SSL-VPN.

• SSL-VPN

FORTINET

• Definir la autenticación de usuarios VPN-SSL
• Configurar portales SSL-VPN
• Configurar los ajustes de SSL-VPN
• Definir políticas de firewall para redes VPN SSL
Demostrando competencia en la configuración de los ajustes de SSL-VPN en FortiGate, usted será capaz de mejorar el diseño de la arquitectura
de sus túneles SSL-VPN.

• SSL-VPN

FORTINET
Para configurar SSL-VPN, debe tomar las siguientes medidas:

1. Configurar las cuentas de usuario y grupos.
2. Configurar el portal SSL-VPN.
3. Configurar los ajustes de SSL-VPN.
4. Crear una política de firewall para aceptar y descifrar los paquetes. Esta política también se utiliza para proporcionar acceso a las redes internas.
5. Opcionalmente, configurar una directiva de servidor de seguridad para permitir el tráfico desde el cliente SSL-VPN a Internet y aplicar perfiles de seguridad.
el tráfico de usuarios irá a Internet a través de FortiGate, donde se puede controlar o restringir el acceso del cliente a Internet.
Algunos pasos pueden configurarse en un orden diferente que lo que se muestra en esta diapositiva.

• SSL-VPN

FORTINET
El primer paso es crear las cuentas y grupos de usuarios para los clientes SSL-VPN.
Todos los métodos de autenticación FortiGate, con la excepción de autenticación de contraseña remota utilizando el protocolo de Fortinet inicio de sesión
único (FSSO), se pueden utilizar para la autenticación SSL-VPN. Esto incluye la autenticación de contraseña local y la autenticación de contraseña remoto
(utilizando el LDAP, RADIUS, TACACS y protocolos +). También puede configurar la autenticación de dos factores con FortiToken, para mayor seguridad.

• SSL-VPN

FORTINET
El segundo paso es configurar el portal (s) SSL-VPN. Un portal SSL-VPN contiene herramientas y enlaces de recursos para los usuarios de acceso.
En el modo de túnel, cuando se habilita la división de túnel, es necesario seleccionar una Dirección de enrutamiento ajuste, que por lo general especifica redes detrás
del FortiGate para los usuarios SSL-VPN para acceder.
Además, para el modo de túnel es necesario seleccionar un conjunto de direcciones IP para los usuarios adquirir una dirección IP cuando se conecta. Hay una piscina
disponible por defecto dentro de los objetos de dirección si no se crea el suyo propio. Si habilita el modo de red, ahora puede personalizar el SSL-VPN portal y preconfigurar
marcadores a aparecer para todos los usuarios que inician sesión en el portal SSL-VPN. Además, se puede configurar de forma individual y vincular cada portal a un usuario
o grupo de usuario específico para que tengan acceso a los recursos necesarios solamente.

• SSL-VPN

FORTINET
Esta diapositiva muestra y ejemplo de una página de portal de modo web SSL-VPN después de que el usuario entre. Se le permite descargar un cliente
independiente de la Descargar FortiClient la lista desplegable. Este cliente independiente se utiliza para conectarse a SSL-VPN en modo túnel.
Observe también los marcadores SSL-VPN proporcionan enlaces a recursos de red. Los ajustes para el modo web permiten a los usuarios:
• Utilice los marcadores definidos por el administrador de la marcadores sección. Los usuarios no pueden modificar el administrador- marcadores añadidos.
• Utilice el widget en el Mis Favoritos sección para añadir marcadores personales.

• recursos de la red de acceso directamente a través de la Conexión rápida Widget.
Vamos a explorar los protocolos y aplicaciones de servidor disponibles en el portal (modo web) SSL-VPN a través de la
marcadores o Conexión rápida Widget.

• SSL-VPN

FORTINET
Dependiendo de la configuración del portal web, uno o más de los siguientes están disponibles:
1. HTTP / HTTPS le permite acceder a sitios web privados.

2. Protocolo de transferencia de archivos (FTP), le permite transferir archivos entre el cliente y hosts o servidores localizados en la red privada
SSL-VPN.
3. SMB / CIFS, implementa el protocolo Server Message Block (SMC) para apoyar el intercambio de archivos entre el cliente SSL-VPN y un host
remoto o servidor en la red privada. Windows para compartir archivos a través de SMB / CIFS es apoyado a través de directorios compartidos.
4. Virtual Network Computing (VNC), le permite controlar de forma remota otro ordenador en la red privada.
5. Protocolo de escritorio remoto (RDP), similar a VNC, le permite controlar de forma remota un equipo que ejecuta Microsoft Terminal
Services.
6. Secure Shell (SSH), permite el intercambio de datos entre dos ordenadores utilizando un canal seguro.
7. Red de teletipo de emulación (Telnet), permite a un terminal virtual, de sólo texto en el SSL-VPN para conectarse a un host remoto.
8. Citrix hace uso de calcetines para que los clientes de Citrix para conectar al módulo hacia adelante puerto SSL-VPN, con el fin de proporcionar una
conexión remota.
9. Port Forward proporciona el punto medio entre el modo web y el modo de túnel. Cuando el SSL-VPN recibe datos desde una aplicación
cliente, los datos se cifran y se envía a FortiGate, que a su vez reenvía el tráfico al servidor de aplicaciones.
El reenvío de puertos es la solución más adecuada para situaciones en las que el modo de túnel no es práctico y marcadores de otro modo web no son lo
suficientemente flexibles.

• SSL-VPN

FORTINET
El modo de túnel proporciona una conexión de capa 3 que los usuarios pueden ejecutar cualquier aplicación en. Sin embargo, no siempre es una
opción viable, ya que requiere la instalación del adaptador de red virtual (FortiClient), y los usuarios no siempre tienen el acceso a nivel administrativo
necesario para lograrlo.
modo web no proporciona suficiente flexibilidad para el soporte de aplicaciones, ya que los cables a un número limitado de protocolos.
usuarios SSL-VPN pueden iniciar sesión en el portal de SSL-VPN y seleccione un marcador de reenvío de puerto que define una dirección específica aplicación
de servidor y el puerto, así como el puerto para escuchar en el ordenador del usuario. Por lo tanto, en el lado del usuario, en lugar de crear un túnel con una IP
que está separado de la IP local (modo túnel), el reenvío de puertos requiere la instalación de un módulo de avance puerto, que es un applet de Java que escucha
en los puertos locales en el computadora del usuario.
Tan pronto como las aplicaciones del usuario apuntan a la applet de Java mediante la conexión a la dirección de bucle invertido (127.0.0.1), el proxy subprograma
recibe los datos de la aplicación en el ordenador del usuario, lo cifra y lo envía al FortiGate. FortiGate reenvía el tráfico a los servidores de aplicaciones dentro de la
red privada. Tenga en cuenta que el reenvío de puertos sólo es compatible con las aplicaciones que utilizan el puerto TCP estática. No es compatible con puertos
dinámicos o el tráfico a través de UDP.
Sólo dos tipos de marcadores se pueden utilizar para el reenvío de puertos: Citrix y PortForward.

• SSL-VPN

FORTINET
Después de configurar el portal SSL-VPN, el siguiente paso es configurar los ajustes de SSL-VPN. Vamos a empezar con el Configuración de
conexión sección. En este caso, será necesario asignar una interfaz FortiGate al portal SSL-VPN. El puerto por defecto para el portal SSL-VPN es 443.
Esto significa que los usuarios necesitan conectarse a la dirección IP de la interfaz FortiGate asignada al portal SSL-VPN, usando el puerto 443 HTTPS.
Si habilita
Redirigir HTTP a SSL-VPN, usuarios que se conectan mediante HTTP (puerto TCP 80) serán redirigidos a HTTPS. El puerto 443 es el puerto por defecto
estándar para la administración del protocolo HTTPS. Esto es conveniente porque los usuarios no tienen que especificar el puerto en sus navegadores. Por
ejemplo, https://www.example.com/ utiliza automáticamente el puerto 443 en cualquier navegador. Esto se considera una configuración válida en FortiGate, ya que
por lo general no tiene acceso a inicio de sesión SSL-VPN a través de todas las interfaces. De la misma manera, por lo general no habilita el acceso administrativo
en cada interfaz de su FortiGate. Así, a pesar de que los puertos pueden superponerse, las interfaces que cada uno utiliza para el acceso no. Sin embargo, si el
portal de inicio de sesión SSL-VPN y HTTPS acceso de administrador ambos utilizan el mismo puerto, y están habilitados en la misma interfaz, sólo aparecerá el
portal de inicio de sesión SSL-VPN. Para tener acceso a ambos portales en la misma interfaz, necesita cambiar el número de puerto para uno de los servicios. Si
cambia el puerto de acceso de administrador, esto afectará el número de puerto para ese servicio en todas las interfaces.
También, una forma inactiva SSL-VPN se desconecta después de 300 segundos (5 minutos) de inactividad. Puede cambiar este tiempo de espera mediante el Salir de inactividad establecer
en la interfaz gráfica de usuario.
Por último, al igual que otros sitios web HTTPS, el portal SSL-VPN presenta un certificado digital cuando los usuarios se conectan. Por defecto, el portal utiliza un
certificado autofirmado, lo que desencadena el navegador para mostrar una advertencia de certificado. Para evitar la advertencia, se debe utilizar un certificado digital
firmado por una autoridad de certificación de conocimiento público (CA). Alternativamente, puede cargar el certificado digital FortiGate autofirmado en el navegador
como una autoridad de confianza.

• SSL-VPN

FORTINET
Definir la configuración del cliente de modo de túnel y las reglas de autenticación que se asignan a los usuarios al portal adecuado. Cuando los usuarios se
conectan, el túnel se le asigna una dirección IP. Puede optar por utilizar el rango por defecto o crear su propio rango. El rango de IP determina cuántos
usuarios se pueden conectar simultáneamente. Resolución servidor DNS sólo es efectivo cuando el tráfico DNS se envía a través del túnel VPN. En general,
este será el caso sólo cuando el modo de túnel dividido está desactivada y todo el tráfico se envía desde el ordenador del usuario a través del túnel.
Además, puede permitir que los puntos finales FortiClient equipado para registrar automáticamente en un modo de túnel SSL-VPN. Después de que el
usuario se autentica, FortiGate envía FortiClient la dirección IP y el puerto que se utilizará para el registro. Si el usuario acepta la invitación para
registrarse, procede de registro y el perfil de FortiClient se descarga al cliente. Los usuarios sin seguridad de punto final FortiClient conectarse a la
VPN-SSL a través de un navegador es redirigido a un portal cautivo para descargar e instalar el software FortiClient.
Por último, se puede permitir que diferentes grupos de usuarios acceder a diferentes portales. En el ejemplo que se muestra en esta diapositiva, los maestros sólo
tienen acceso al portal web. Los contadores pueden utilizar FortiClient para conectar en modo túnel.

• SSL-VPN

FORTINET
El cuarto y último paso, obligatoria implica la creación de políticas de firewall para iniciar la sesión. el tráfico SSL-VPN en FortiGate utiliza una interfaz virtual
llamada ssl. <vdom_name>. Cada dominio virtual (VDOM) contiene una interfaz virtual diferente en función de su nombre. Por defecto, si VDOMs no están
habilitadas, a continuación, el dispositivo funciona con una sola llamada VDOM raíz.
Para activar e iniciar sesión en el SSL-VPN con éxito, tiene que haber una política de cortafuegos desde la interfaz de SSL-VPN a la interfaz a la que desea
permitir el acceso de los usuarios SSL-VPN, incluyendo todos los usuarios y grupos que pueden iniciar la sesión como la fuente. Sin una política de este tipo,
sin portal de inicio de sesión se presenta a los usuarios. Si hay recursos detrás de otras interfaces que los usuarios necesitan acceder a, entonces es
necesario crear políticas adicionales que permiten el tráfico de ssl.root para salir de esas interfaces.

• SSL-VPN

FORTINET
Cualquier tráfico de los usuarios SSL-VPN, ya sea en el portal web o el modo de túnel, sale de la ssl. <vdom_name>
interfaz.
Esta diapositiva muestra un ejemplo de políticas de cortafuegos que están configurados para permitir el acceso a los recursos detrás de otras interfaces que los usuarios
necesitan acceder a cuando se conecta a través de SSL-VPN.

• SSL-VPN

FORTINET
Opcionalmente, si la división de túneles está desactivada, es necesario crear una política de cortafuegos adicional de ssl.root a la interfaz de salida para permitir
a los clientes acceso a Internet.
También puede aplicar perfiles de seguridad a esta política de firewall para restringir el acceso de usuarios a Internet.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET
¡Buen trabajo! Ahora entiendo cómo configurar el FortiGate para las conexiones SSL-VPN. A continuación, usted aprenderá cómo crear múltiples sitios de inicio
de sesión SSL-VPN para diferentes grupos de usuarios, y gestionar el usuario marcadores añadidos.

• SSL-VPN

FORTINET

• Configurar reinos para el portal SSL-VPN
• Configurar marcadores personales para el portal SSL-VPN
Demostrando competencia en la comprensión de estos temas, usted será capaz de crear múltiples sitios de inicio de sesión SSL-VPN para diferentes grupos de
usuarios y administrar los marcadores específicos del usuario.

• SSL-VPN

FORTINET
Por defecto, todos los usuarios de VPN-SSL verán los mismos favoritos, configurados por un administrador, y el mismo tema.
Por defecto, las características de personalización reinos SSL-VPN y SSL-VPN marcadores están ocultos en la interfaz gráfica de usuario FortiGate.

• SSL-VPN

FORTINET
Para facilitar la flexibilidad de la implementación de SSL-VPN, puede considerar la configuración de dominios SSL-VPN. Los reinos son páginas de inicio de sesión
personalizado. Por lo general son para grupos de usuarios, tales como su equipo de contabilidad y su equipo de ventas, pero puede ser para los usuarios individuales. Con
reinos, los usuarios y grupos de usuarios pueden acceder a diferentes portales basados en la URL que entran.
Con diferentes portales, puede personalizar cada página de inicio de sesión por separado, así como límite concurrentes inicios de sesión de usuario por separado.
Ejemplo de reinos en un FortiGate:

https://192.168.1.1
https://192.168.1.1/Accounting
https://192.168.1.1/TechnicalSupport https://192.168.1.1/Sales

• SSL-VPN

FORTINET
Después de reinos están configurados, debe aplicarlas en el Configuración de SSL-VPN ventana. Configurar las reglas de autenticación con el fin de
asignar usuarios a la esfera apropiada. Esta configuración permite que diferentes grupos de usuarios acceder a los portales definidos por diferentes
reinos.
En el ejemplo que se muestra en esta diapositiva, los maestros tienen acceso sólo a sus propios reinos. Si necesitan acceso al reino de la raíz a ver el
portal global, sería necesario añadir una regla de autenticación adicional para ellos.

• SSL-VPN

FORTINET
Cuando los usuarios inician sesión en su portal individual, hay una opción que les permite crear sus propios marcadores. Un administrador debe habilitar la marcadores
de usuarios opción en el SSL-VPN Portal página para permitir esto. Los administradores pueden ver y eliminar marcadores agregados por el usuario en el SSL-VPN
Marcadores personales página. Esto permite a los administradores supervisar y eliminar cualquier marcador no deseados que no cumplen con la política
corporativa.
En el FortiGate CLI, puede crear marcadores para cada usuario. Estos marcadores aparecerán incluso si la opción de marcador de usuario está deshabilitada
en el portal, porque esa opción sólo afecta a la capacidad del usuario para crear y modificar marcadores definidos por el administrador de sus propios
marcadores-no.
Dependiendo del tipo de marcador que desea crear, puede que tenga que configurar la información adicional que requiere la aplicación, tales como
direcciones URL de sitios web y carpetas para los sitios FTP.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET
¡Buen trabajo! Ahora entiendo cómo configurar dominios SSL-VPN y de revisión marcadores agregados por el usuario. A continuación, usted aprenderá
cómo reforzar el acceso SSL-VPN.

• SSL-VPN

FORTINET

• Configurar la integridad del cliente comprobando
• Aplicar la autenticación de dos factores mediante certificados de seguridad

• Restringir a los clientes mediante la dirección IP y MAC
Demostrando competencia en la comprensión de cómo reforzar la seguridad de los accesos SSL-VPN, usted será capaz de restringir a los
usuarios, asegurando que su red interna es segura, y limitando la posibilidad de ataques y virus que entran en la red desde una fuente
externa.

• SSL-VPN

FORTINET
Cuando un usuario se conecta a la red a través de un SSL-VPN, se establece un portal entre la red y el PC del usuario. La sesión de VPN está
asegurada de forma nativa en dos formas: la conexión está encriptada y el usuario debe iniciar sesión con sus credenciales, como un nombre de
usuario y contraseña. Sin embargo, puede configurar los controles de seguridad adicionales para aumentar la seguridad de la conexión.
Un método para incrementar su seguridad es a través de la comprobación de la integridad del cliente. la integridad del cliente asegura que el equipo de
conexión es segura comprobando si el software de seguridad específico, como software antivirus o firewall, está instalado y funcionando. Esta función sólo es
compatible con los clientes Microsoft Windows, ya que accede al Centro de seguridad de Windows para realizar sus controles. Como alternativa, puede
personalizar esta función para comprobar el estado de otras aplicaciones mediante su identificador único global (GUID). El GUID es un identificador único en el
Registro de configuración de Windows que identifica a cada aplicación de Windows. integridad cliente también puede comprobar las versiones de software y
firma actuales para las aplicaciones antivirus y firewall. la comprobación de la integridad de cliente es aplicable tanto a modo de web y el modo de túnel.

• SSL-VPN

FORTINET
La comprobación de la integridad del cliente se realiza mientras el VPN todavía está estableciendo, justo después de la autenticación de usuario ha terminado. Si el
software requerido no se está ejecutando en el PC del cliente, se rechaza el intento de conexión VPN, incluso con las credenciales de usuario válidas. integridad cliente
está habilitado por el portal web, y se puede configurar mediante los comandos de la CLI.
La lista de software reconocido, junto con el valor de la clave de registro asociada, está disponible en la CLI. El software se divide en tres categorías: antivirus
(AV), cortafuegos (FW), y la costumbre. Personalizado se utiliza para el software personalizado o de propiedad que una organización pueda requerir. Los
administradores pueden configurar estos ajustes sólo en la
CLI.
La desventaja de permitir la comprobación de la integridad del cliente es que puede dar lugar a una gran cantidad de gastos generales de administración debido a los siguientes
factores:
• Todos los usuarios deben tener su software de seguridad actualizado con el fin de establecer con éxito una conexión.
• Las actualizaciones de software pueden dar lugar a un cambio en los valores de clave de registro, que también pueden impedir que un usuario se conecte con éxito.
Como tal, los administradores deben tener un conocimiento profundo del sistema operativo Windows y su posterior comportamiento del registro para realizar
adecuadamente el uso prolongado de, así como mantener, esta característica.

• SSL-VPN

FORTINET
También puede endurecer sus conexiones SSL-VPN mediante la aplicación de autenticación de dos factores a través de certificados de seguridad (X.509), ya
sea:
• Que requieren los clientes para la autenticación mediante sus certificados.
Cuando el cliente remoto inicia una conexión, FortiGate solicita al navegador del cliente por su certificado de cliente como parte del
proceso de autenticación.
• Instalación de certificados CA de FortiGate en los navegadores de sus clientes.

• SSL-VPN

FORTINET
Puede proteger el acceso SSL-VPN mediante la restricción de direcciones de conexión de host. La creación de reglas de restricción de IP puede ser muy útil cuando se considera la
configuración de seguridad adecuada. No todos los PI necesitan tener acceso a la página de inicio de sesión. Este método le permite configurar reglas para restringir el acceso a
direcciones IP específicas. Una regla simple es permitir o no permitir el tráfico basado en direcciones IP geográficas. La configuración predeterminada se establece en Limitar el
acceso a determinados hosts pero el Hospedadores campo está vacío. Debe especificar la dirección IP o red en el Hospedadores campo. Esto permitirá que sólo aquellos
usuarios acceder a la página de inicio de sesión. los Permitir el acceso desde cualquier host configuración permite que todas las direcciones IP se conecten. En la CLI, puede
configurar el ajuste de SSL VPN para no permitir el IPS específico.

• SSL-VPN

FORTINET
También se puede configurar para comprobar FortiGate contra la dirección MAC del cliente cuando los usuarios remotos intentan iniciar sesión en el portal de
SSL-VPN. Esto asegura que los ordenadores o dispositivos específicos solamente se conectan al túnel SSL-VPN.
Esta configuración ofrece una mayor seguridad ya que las contraseñas podrían verse comprometidas. Las direcciones MAC pueden estar vinculados a portales específicos
y pueden ser de toda la dirección MAC o un subconjunto de la dirección.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET
¡Buen trabajo! Ahora entiendo cómo reforzar la seguridad para el acceso SSL-VPN. A continuación, usted aprenderá cómo monitorizar sesiones
SSL-VPN, revisar los registros, temporizadores configurar SSL-VPN, y solucionar problemas comunes.

• SSL-VPN

FORTINET

• Monitor de SSL-VPN de usuarios conectados
• Revisar los registros de SSL-VPN
• Configurar temporizadores SSL-VPN
• Solucionar problemas comunes SSL-VPN

• Identificar los componentes de aceleración de hardware para SSL-VPN
Demostrando competencia en el seguimiento y la resolución de problemas SSL-VPN, usted será capaz de evitar, identificar y resolver problemas comunes y los
errores de configuración.

• SSL-VPN

FORTINET
Puede controlar qué usuarios SSL-VPN están conectados en el SSL-VPN monitor página. Esto muestra los nombres de todos los usuarios SSL-VPN que
están actualmente conectados a FortiGate, sus direcciones IP (tanto en el interior del túnel y exterior), y horas de conexión. Cuando un usuario se
conecta utilizando el modelo de túnel, el Conexiones activas columna muestra la dirección IP asignada por FortiGate a la fortissl adaptador virtual en el
ordenador del cliente. De lo contrario, el usuario está conectado sólo a la página del portal web.

• SSL-VPN

FORTINET
También puede revisar los registros de SSL-VPN:
• Selección VPN Eventos muestra cuando hay una nueva solicitud de conexión, y si se establece y se cerró el túnel SSL-VPN.
• Selección Eventos de usuario proporciona la acción de autenticación de los usuarios en relación con SSL-VPN.
• Selección Eventos de punto final muestra cuando los usuarios establecer o cerrar una SSL-VPN en modo túnel mediante FortiClient.

• SSL-VPN

FORTINET
Cuando un SSL-VPN se desconecta, ya sea por el usuario o por el ajuste del ralentí SSL-VPN, se eliminan todas las sesiones asociadas en la
tabla de sesiones FortiGate. Esto evita la reutilización de sesiones SSL-VPN autenticados (todavía no caducado) después de que el usuario inicial
termina el túnel.
El ajuste del ralentí usuario SSL-VPN no está asociado con el ajuste de tiempo de espera de autenticación de servidor de seguridad. Es una opción inactiva separada
específicamente para los usuarios SSL-VPN. Un usuario remoto se considera inactiva cuando FortiGate no ve ningún paquete o la actividad del usuario dentro del período de
tiempo de espera configurado.

• SSL-VPN

FORTINET
Durante una larga latencia de red, FortiGate puede tiempo de espera del cliente antes de que el cliente puede terminar los procesos de negociación, como la búsqueda de
DNS y el tiempo para entrar en una ficha. Dos nuevos comandos CLI bajo Configuración de SSL VPN de configuración se han añadido para hacer frente a esto. El primer
comando le permite configurar el tiempo de espera de inicio de sesión, reemplazando el valor de tiempo de espera dura anterior. El segundo comando le permite configurar
los máximos DTLS hola tiempo de espera para las conexiones SSL-VPN.
Además, los temporizadores pueden ayudar a mitigar las vulnerabilidades como Slowloris y RU-Dead-embargo, que permiten a un atacante remoto causar una
denegación de servicio a través de peticiones HTTP parciales.

• SSL-VPN

FORTINET
Las siguientes son algunas recomendaciones que debe tener en cuenta al utilizar SSL-VPN. Estas mejores prácticas también pueden ser útiles en muchas situaciones
de solución de problemas SSL-VPN:
• Activa las cookies en su navegador web.
• Configurar las opciones de privacidad de Internet a alta en su navegador web.
• Utilice una versión FortiClient que es compatible con el firmware FortiOS.

• Habilitar la división de túnel o crear una directiva de firewall de salida para las conexiones SSL-VPN con el fin de permitir el acceso a los recursos externos.
• Conectar con el número de puerto correcto.

• Añadir grupos SSL-VPN, SSL-VPN de los usuarios, y las direcciones de destino a las políticas de firewall.
• Enjuague las sesiones inactivas por tiempo de espera.

• SSL-VPN

FORTINET
Hay varios comandos disponibles en la solución de problemas útiles diagnosticar ssl vpn. Incluyen:
• lista: Listas de usuarios con sesión iniciada
• Info: muestra información general SSL-VPN

• estadística: muestra estadísticas sobre el uso de memoria en FortiGate
• HW-aceleración de estado: muestra el estado de aceleración de hardware SSL El comando diagnosticar SSLVPN aplicación de depuración muestra
la lista completa de los mensajes de depuración para las conexiones SSL-VPN.
Recuerde que para utilizar los comandos mencionados anteriormente, primero debe ejecutar el diagnosticar depuración permiten mando.

• SSL-VPN

FORTINET
dispositivos FortiGate que tienen CP8 o procesadores de contenido CP9, que aceleran muchos procesos comunes utilización intensiva de recursos relacionados
con la seguridad, pueden descargar el tráfico SSL-VPN a un motor de datos VPN mayor de alto rendimiento.
Este especializados procesos procesador de protocolo IPsec y SSL / TLS la mayoría de los últimos algoritmos conocidos para el cifrado.
Por defecto, el proceso de descarga está configurado. Si, con fines de prueba que desea desactivarlo, puede hacerlo mediante la CLI sólo en el nivel de
configuración de directiva de firewall.
También puede ver el estado de aceleración SSL-VPN mediante la CLI.

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET

• SSL-VPN

FORTINET

• Definir una red privada virtual (VPN)
• Describir las diferencias entre SSL-VPN y VPN IPsec
• Describir las diferencias entre los modos de SSL-VPN
• Definir la autenticación de usuarios VPN-SSL
• Configurar portales SSL-VPN
• Configurar los ajustes de SSL-VPN
• Definir políticas de firewall para SSL-VPN
• Configurar reinos de portal SSL-VPN
• Configurar marcadores personales para el portal SSL-VPN
• Configurar la integridad del cliente comprobando
• Aplicar la autenticación de dos factores mediante certificados de seguridad

• Restringir a los clientes mediante la dirección IP y MAC
• Monitor de SSL-VPN de usuarios conectados

• Revisar los registros de SSL-VPN
• Configurar temporizadores SSL-VPN
• Solucionar problemas comunes SSL-VPN

• Acceso telefónico VPN IPsec

FORTINET
En esta lección, usted aprenderá acerca de los componentes de la arquitectura de IPsec VPN y, cómo configurar una conexión telefónica VPN IPsec.


FORTINET

• introducción de IPsec
• fase IKE 1 y la fase 2 IKE
• Buenas Prácticas y VPN Registros


FORTINET

• Describir los beneficios de IPsec VPN
• Estar familiarizado con el protocolo IPsec
• Entender cómo funciona IPsec
Demostrando competencia en aspectos básicos de IPsec, usted será capaz de entender los conceptos y beneficios de IPsec.


FORTINET
¿Qué es IPsec? ¿Cuándo se debe usar?
IPsec es un conjunto estándar de proveedor neutral de los protocolos que se utilizan para unir dos redes LAN físicamente distintos. Las LANs se unen como si fueran
una única red lógica, a pesar de estar separados por el Internet. En teoría, IPsec hace soporte de cifrado, que es nula, puede hacer que las VPN que no cifrar el tráfico.
IPsec también soporta la integridad de datos nula. Pero eso no proporcionan ninguna ventaja sobre el tráfico normal? No. Nadie puede confiar en el tráfico que pueda
haber tenido un ataque inyectado por un atacante. Es raro que la gente quiere los datos enviados por una persona desconocida. La mayoría de la gente también quiere
los datos de la red privada, como las transacciones de tarjetas de crédito y los registros médicos, que se mantengan privadas.
Así que, en realidad, independientemente del proveedor, IPSec VPN casi siempre tienen configuraciones para tres beneficios importantes:
• Autenticación - para verificar la identidad de los dos extremos

• integridad de los datos, o HMAC - para demostrar que los datos encapsulados no ha sido manipulado, ya que cruza una red potencialmente hostil
• Confidencialidad, o el cifrado - para asegurarse de que sólo el destinatario puede leer el mensaje.


FORTINET
Si va a ceder su VPN a través de servidores de seguridad, es muy útil saber qué protocolos para permitir. IPsec es un conjunto
de protocolos separados. Incluye:

• Internet Key Exchange (IKE): IKE se utiliza para autenticar pares, llaves de cambio, y negociar el cifrado y las sumas de
comprobación que será utilizado; Esencialmente, es el canal de control.
• Cabecera de Autenticación (AH): AH contiene los de autenticación de cabecera-las sumas de comprobación que verifican la integridad de los datos.
• Carga de seguridad de encapsulación (ESP): ESP es la carga útil de la carga útil cifrada de seguridad encapsulada, en esencia, la canal de
datos.
Por lo tanto, si usted necesita para pasar el tráfico IPsec a través de un servidor de seguridad, recuerde: lo que permite sólo un protocolo o número de puerto no suele ser suficiente.
Tenga en cuenta que el RFC IPsec menciona AH; Sin embargo, AH no ofrece cifrado, un beneficio importante. Así AH no es utilizado por FortiGate. Como
resultado, no es necesario para permitir el protocolo IP 51.
Para hacer una VPN, debe configurar las opciones de juego en ambos extremos, si el VPN es entre dos dispositivos FortiGate, FortiGate y un
FortiClient, o un dispositivo de terceros y un FortiGate. Si los valores no coinciden, configuración del túnel fallará.


FORTINET
IPsec ofrece servicios a la (red) capa IP. Durante el establecimiento del túnel, los dos extremos negocian los algoritmos de cifrado y
autenticación para su uso.
Después de que el túnel ha sido negociado y se ha terminado, los datos se cifran y encapsulado en paquetes ESP.


FORTINET
Lo que está encapsulado? Depende de la modalidad. IPsec puede funcionar en dos modos: modo de transporte y el modo de túnel.
• El modo de transporte encapsula directamente y protege la cuarta capa (transporte) y por encima. La cabecera IP original no está protegido y
no se añade la cabecera IP adicional.
• El modo de túnel es un túnel de verdad. El paquete IP entero se encapsula y se añade una nueva cabecera IP al principio. Después de que
el paquete IPSec llega a la LAN remota, y se desenvuelve, el paquete original puede continuar en su viaje.
Tenga en cuenta que después de quitar las cabeceras relacionadas con el VPN, un paquete de modo de transporte no se puede transmitir más lejos; que no tiene segunda cabecera
IP en el interior, así que no es enrutable. Por esa razón, este modo se utiliza generalmente sólo para los de extremo a extremo (o cliente a cliente) VPNs.


FORTINET
Con el fin de crear un túnel IPsec, ambos dispositivos deben establecer sus asociaciones de seguridad (SA) y las claves secretas, que son facilitadas por el
protocolo de intercambio de claves de Internet (IKE).
La arquitectura IPsec utiliza SAS como la base para la construcción de las funciones de seguridad en IPsec. Una SA es simplemente el conjunto de algoritmos
y parámetros que se utiliza para cifrar y autenticar los datos que viajan a través del túnel. En el tráfico normal de dos vías, este intercambio está asegurado por
un par de SAs, uno para cada sentido del tráfico. En esencia, ambos lados del túnel deben ponerse de acuerdo sobre las normas de seguridad. Si ambas
partes no se ponen de acuerdo sobre las normas de envío de datos y la verificación de la identidad del otro, entonces no se establece el túnel. IKE utiliza dos
fases distintas: la fase 1 y fase 2.


FORTINET


FORTINET
¡Buen trabajo! Ahora ha sido introducido a IPsec. A continuación, usted
aprenderá acerca de IKE fase 1 y fase 2.


FORTINET
Al completar esta sección, usted será capaz de identificar y comprender las fases de IKEv1. Demostrando competencia en la identificación de los
diferentes componentes de IKE, usted será capaz de determinar con éxito la selección de componentes apropiados para el despliegue de VPN.


FORTINET
IKE utiliza el puerto UDP 500. (Si NAT-T está habilitada en un escenario NAT, IKE utiliza el puerto UDP 4500.) IKE establece un túnel VPN
IPSec. FortiGate utiliza IKE para negociar con el interlocutor y determinar la asociación de seguridad (SA). El SA se definen las claves de
autenticación, y los ajustes que se utilizarán para cifrar y descifrar los paquetes de ese pares. Se basa en el Internet Security Association and Key
Management Protocol ( ISAKMP).
IKE define dos fases. Cada IPsec SA negociado durante la fase 2 es la dirección específica. Así, en el tráfico bidireccional, hay dos SA por
fase 2.
Para la fase 1, hay dos posibles modos de negociación: el modo principal y modo agresivo. Fase 2 tiene solamente un
solo modo: el modo rápido.


FORTINET
Fase 1 tiene lugar cuando cada punto final del túnel-iniciador y el respondedor-conecta y comienza a configurar la VPN.
Cuando los puntos finales conectan por primera vez, el canal no es segura. Un atacante en el medio podría interceptar claves sin cifrar. Ni punto final tiene una
fuerte garantía de la identidad del otro, de modo que ¿cómo puede intercambiar claves privadas sensibles? Ellos no pueden. En primer lugar, los dos puntos
finales tienen que crear un túnel seguro. Ellos usan este túnel seguro para proteger la autenticación fuerte y negocian las verdaderas claves para el túnel más
tarde.


FORTINET
Ahora vamos a examinar la forma en la fase 1 obras.
En la fase 1, los compañeros saludar y crean una SA que define un canal seguro. El SA se llama el IKE SA y es bidireccional.
En IKEv1, hay dos modos posibles en que la negociación de la SA puede tener lugar.
• modo principal
• modo agresivo
Ajustes deben estar de acuerdo; de lo contrario, la fase 1 fallará. (Cada lado no sería capaz de descifrar o autenticar el tráfico de la otra.)
Al final de la fase 1, el negociado IKE SA se utiliza para negociar las claves de Diffie-Hellman (DH) que serán utilizados en la fase 2.


FORTINET
Esta diapositiva muestra el funcionamiento de modo principal, en la que se intercambian seis paquetes. En primer lugar, el cliente inicia mediante la propuesta de que el
túnel utilizará una o más políticas de seguridad. El respondedor selecciona qué política de seguridad que se compromete a utilizar, y las respuestas. Entonces, el
iniciador envía su clave. El respondedor contesta con su propia llave. Por último, el iniciador envía su ID de pares y el hash de carga útil, y el contestador responde de la
misma manera.
En el modo principal, el respondedor no puede identificar el iniciador por su ID de pares. Esto es porque el primer paquete no contiene el ID de grupo. Por lo tanto, la
dirección IP de origen se utiliza como uno de los criterios para la identificación de los pares. Este método funciona bien para las VPN de sitio a sitio (VPN punto a
punto), ya que el respondedor sabe la dirección IP de cada par. Por lo tanto, la respuesta es consciente de las cuales las políticas de seguridad a proponer para cada
caso. Este modo también funciona bien para una respuesta que sólo tiene una VPN de acceso telefónico. En este caso, el respondedor no necesita identificar los
pares. Sólo hay un conjunto de políticas de seguridad que se utilizará para todos ellos. Sin embargo, este método podría no trabajar bien para un respondedor que
tiene múltiples VPNs de acceso telefónico. En este caso, la respuesta puede ser que necesite para identificar el iniciador con algo más que la dirección IP de origen,
debido a que las direcciones IP de pares son desconocidos y pueden cambiar. Sin esa información, el respondedor puede no saber qué VPN de acceso telefónico
cada iniciador pertenece a, o solicitar que las políticas de seguridad.


FORTINET
Ahora vamos a examinar la negociación de modo agresivo. En el modo agresivo, sólo tres paquetes se intercambian. En primer lugar, el cliente inicia por lo que
sugiere una política de seguridad, y la disponibilidad de su llave y pares de identificación. El respondedor contesta con la misma información, además de un hash. Por
último, el iniciador envía su carga útil de hash. El primer paquete contiene ID de pares del iniciador. Por lo tanto, el respondedor puede utilizar este ID (no sólo la
dirección IP de origen) para identificar que el par es y que la política de seguridad de su uso. Esta es la mejor solución para los respondedores que tienen múltiples
VPNs de acceso telefónico.


FORTINET
Diffie-Hellman utiliza la clave pública (que ambos extremos saben) más un factor matemático llamado un nonce con el fin de generar una clave privada
común.
Esto es crucial. Con Diffie-Hellman, incluso si un atacante puede escuchar a los mensajes que contienen las claves públicas, no pueden
determinar la clave secreta.
La nueva clave privada se utiliza para calcular teclas adicionales para el cifrado simétrico y autenticación.


FORTINET
El protocolo ESP por lo general tiene problemas dispositivos que están realizando NAT cruce. Una de las razones es que el ESP no tiene números de puerto,
como TCP y UDP hacen, para diferenciar el tráfico de un túnel u otro. Para solucionar esto, se añadió NAT transversal (NAT-T) a las especificaciones de
IPsec. Cuando NAT-T está habilitado en ambos extremos, los compañeros pueden detectar cualquier dispositivo NAT a lo largo del camino. Si se encuentra
NAT, ocurre lo siguiente:
• Ambos paquetes de fase 2 y fase restante 1 cambiar al puerto UDP 4500.

• Ambos extremos encapsulan dentro de ESP puerto UDP 4500.
Por lo tanto, si tiene dos dispositivos FortiGate que están detrás de, por ejemplo, un módem ISP que tiene NAT, es probable que tenga que activar esta
configuración. Cuando el NAT está establecido en Forzado, el puerto UDP 4500 se utiliza siempre, incluso cuando no hay ningún dispositivo NAT a lo largo del
camino.


FORTINET
Después de la fase 1 se ha establecido un canal de algo seguro y claves privadas, comienza la fase 2. La fase 2 negocia los parámetros de seguridad para dos
IPsec, no debe confundirse con la SA IKE. Son la fase 2 SAS-no comprende la fase 1 SA-que ESP utiliza para transmitir datos entre redes de área local. Fase 2 de
IKE no termina cuando empieza ESP. Fase 2 renegocia periódicamente criptografía para mantener la seguridad. Además, si se establece Confidencialidad directa
perfecta a Habilitar, cada vez que expira la fase 2, FortiGate utilizará Diffie-Hellman para volver a calcular las nuevas claves secretas. De esta manera, las nuevas
claves no se derivan de las claves de edad avanzada, por lo que es mucho más difícil para un atacante para romper el túnel.
Cada fase 1 puede tener múltiples 2s de fase. Cuando iba a pasar esto?
Por ejemplo, es posible que desee utilizar diferentes claves de cifrado para cada subred cuyo tráfico está atravesando el túnel. ¿Cómo FortiGate
seleccionar la fase 2 de usar? Al comprobar qué selector de modo rápido coincide con el tráfico.


FORTINET
Durante la fase 2, debe configurar un par de ajustes de llamada selectores de modo rápido. Identifican y dirigir el tráfico a la fase
apropiada 2. En otras palabras, permiten granular SA.
Selectores comportan de manera similar a una política de firewall. el tráfico VPN debe coincidir con los selectores en una de las 2 SAs de fase. Si no lo hace, se interrumpirá el
tráfico.
Al configurar selectores, especificar el origen y el destino de subred IP que coincida con cada fase 2. También puede especificar el número
de protocolo y los puertos de origen y destino para el tráfico permitido. En VPNs punto a punto, tales como la conexión de un FortiGate
sucursal a un FortiGate sede, la configuración en ambos lados debe reflejar entre sí.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo IKE fase 1 y fase 2. A continuación, usted aprenderá
acerca de acceso telefónico VPN IPsec.


FORTINET

• Comprender la topología de acceso telefónico VPN IPsec
• Implementación de una VPN de acceso telefónico entre dos dispositivos Fortgate
• Desplegar una VPN de acceso telefónico para FortiClient
Demostrando competencia en la configuración de acceso telefónico VPN IPsec, usted tendrá una mejor comprensión de la implementación de una VPN de
acceso telefónico entre FortiGates y FortiClients.


FORTINET
VPN de acceso telefónico se utiliza cuando la dirección IP de los pares es dinámico y no hay DNS dinámico. Esto es a menudo el caso de las sucursales y clientes
VPN móviles. Debido a un compañero con una VPN de acceso telefónico no conoce las direcciones IP de los otros compañeros, no puede iniciar una solicitud de
conexión VPN.
VPN de acceso telefónico se utiliza cuando no se sabe dónde está el par remoto se conecta desde, como por ejemplo un empleado que viaja con FortiClient en su
ordenador portátil o un dispositivo FortiGate actuando como cliente de acceso telefónico de una oficina remota. Una configuración de la VPN de acceso telefónico en su
FortiGate puede ser utilizado para múltiples túneles IPsec de muchas oficinas remotas o usuarios. Aquí es donde el nombre alternativo, punto a multipunto viene de.
Recuerde que en el acceso telefónico, IP del cliente es dinámica, por lo FortiGate no puede predecir donde estará. Esto significa FortiGate no puede
iniciar la VPN, sólo el par remoto lata.


FORTINET
Ahora va a configurar el punto a multipunto (llamado VPN de acceso telefónico en la interfaz gráfica de usuario). Los
ajustes que debe configurar son los siguientes:
• Una fase 1
• Al menos una fase 2
• políticas de cortafuegos
• Si es necesario, rutas estáticas o un protocolo de enrutamiento dinámico


FORTINET
Vamos a empezar por la configuración de la fase 1 para el acceso telefónico Sever. los Puerta de
enlace remota configuración debe establecerse en Usuario de acceso telefónico.
Si el servidor de acceso telefónico contiene múltiples VPNs de acceso telefónico, seleccione Agresivo como el Modo. Se requiere el uso de identificadores de pares.
A continuación, usted se verá en la fase del cliente de acceso telefónico 1.
En primer lugar, especificar si el servidor de acceso telefónico para este cliente de acceso telefónico está utilizando IP estática o DNS Dinámico.
Si el servidor de acceso telefónico tiene múltiples VPNs de acceso telefónico, debe establecer el Modo a Agresivo. Luego, en el ID local,
debe introducir el nombre que este cliente de acceso telefónico utilizará para identificarse ante el servidor de acceso telefónico. Esta identificación debe coincidir con la configurada
en el servidor de acceso telefónico.


FORTINET
Por lo general, la (fuente) del selector de modo rápido local en el servidor de acceso telefónico se establece en la subred del servidor de acceso telefónico. El (destino) selector de modo
rápido remoto en el servidor de acceso telefónico se suele fijar a 0.0.0.0/0 para que coincida con todas las subredes cliente de acceso telefónico.
En el caso de los selectores de modo rápido en el cliente de acceso telefónico, la dirección local debe ser la subred del cliente de acceso telefónico.
El selector de modo remoto exprés en el cliente de acceso telefónico es por lo general la subred del servidor de acceso telefónico. selectores de
modo rápido de punto a multipunto hacer no tenga que reflejen mutuamente.


FORTINET
• Por lo general hay dos políticas en cada FortiGate para permitir e inspeccionar el tráfico con origen o destino a la interfaz virtual IPsec.
• Dos directivas de cortafuegos para el servidor VPN de acceso telefónico
• Dos directivas de cortafuegos para el acceso telefónico cliente VPN
• La interfaz no coincide con una interfaz WAN; que coincide con la interfaz virtual, que, en este ejemplo, se denomina A distancia.


FORTINET
El servidor de acceso telefónico añadirá una ruta estática de forma dinámica a esta subred inmediatamente después de que se establezca la VPN. (De esta forma, no es necesario
configurar manualmente el servidor de acceso telefónico FortiGate con todas las rutas estáticas para cada FortiGate cliente de acceso telefónico).
Una ruta estática a la subred del servidor de acceso telefónico no se añade de forma dinámica en el cliente de acceso telefónico cuando el túnel se acerca. Esta ruta se
debe agregar a la configuración.


FORTINET
Ahora vamos a configurar el cliente de acceso telefónico a FortiGate IPsec. Los
ajustes que debe configurar son los siguientes:

• Fase 1
• configuración de la fase 2 será el mismo que para el servidor de acceso telefónico FortiGate configuró con anterioridad.
• configuración de las políticas de firewall será el mismo que para el servidor de acceso telefónico FortiGate configuró con anterioridad.
• Las rutas se pueden añadir de forma dinámica para los dispositivos FortiGate y FortiClient para ambos lados, inmediatamente después de que se establezca la VPN.
(Va a demostrar esto en los laboratorios de acceso telefónico VPN IPsec).


FORTINET
Vamos a empezar por la configuración de la fase 1 para el acceso telefónico Sever. La configuración del servidor de acceso telefónico para FortClient es más o menos igual que revisó
anteriormente para el servidor de acceso telefónico para FortiGate como el cliente, con algunas opciones añadidas. los Puerta de enlace remota configuración debe establecerse en Usuario
de acceso telefónico.
Si el servidor de acceso telefónico contiene múltiples VPNs de acceso telefónico, seleccione Agresivo como el Modo. Se requiere el uso de identificadores de pares.
Para reforzar la autenticación, puede activar XAuth. El FortiGate servidor de acceso telefónico utilizará el Activar como servidor ajuste. (Cada cliente FortiGate
FortiClient o de acceso telefónico utilizará Activar como cliente). Si habilita Xauth en el servidor de acceso telefónico, debe habilitar Xauth en el cliente de acceso
telefónico también, y configurar el nombre de usuario y contraseña. Además, debe Habilitar la NAT si sus clientes de acceso telefónico son usuarios de acceso
telefónico móviles, ya que son por lo general detrás de NAT en terminales de aeropuertos, routers y firewalls de hoteles.


FORTINET
Si los clientes de acceso telefónico son los usuarios móviles, como los usuarios FortiClient, es probable que activar y configurar modo de configuración en fase del servidor de
acceso telefónico 1. Esto es para una extensión IPsec llamada configuración de modo IKE. ¿Por qué? Por lo general no es práctico para asignar direcciones IP estáticas a cada
ordenador portátil y el teléfono móvil. configuración del modo de IKE es una alternativa. Como DHCP, modo de configuración configura automáticamente la configuración de red del
cliente. Al igual que con DHCP, se define un rango para el conjunto de direcciones IP virtuales VPN y la configuración de DNS.


FORTINET
Otra opción fase 1 es XAuth.
La fase 1 es compatible con dos tipos de autenticación: claves pre-compartidas y certificados digitales. La extensión XAuth para IPsec obliga a los
usuarios remotos para autenticar, además, con sus credenciales (nombre de usuario y contraseña). Así, los paquetes de autenticación adicionales se
intercambian si lo activa. ¿Cuál es el beneficio? autenticación fuerte.
Hay dos maneras de configurar la lista de usuarios autorizados a conectarse a la VPN. Una de ellas es mediante la selección de un grupo de usuarios específico
que contiene dichos usuarios. Cuando se utiliza este método, es necesario configurar más de una VPN de acceso telefónico si desea aplicar diferentes políticas de
acceso, dependiendo del grupo de usuarios. Esto también significa usar de modo y los ID de pares agresivos.


FORTINET
La otra manera de configurar la lista de usuarios autorizados VPN es mediante la selección de la opción Heredar de la política.
Con este ajuste, FortiGate autoriza a todos los usuarios que pertenecen a cualquier grupo de usuarios asignado a cualquiera de las políticas de firewall que
permiten el tráfico VPN. En este ejemplo, hay dos directivas de cortafuegos para el tráfico VPN. Uno permite el tráfico desde el grupo de usuarios Administrador.
La otra política permite el tráfico desde el grupo de usuarios
formación. En este caso, todos los usuarios que pertenecen a cualquiera Administrador o formación puede conectarse a la VPN. La ventaja de este método es que
se puede tener diferentes políticas de acceso a diferentes grupos de usuarios y tener sólo una VPN de acceso telefónico en la configuración.


FORTINET
Si sus clientes son solamente FortiClient, hay una alternativa más sencilla para configurar el servidor de acceso telefónico: utilizar el asistente de VPN. Se utilizará VPN
basada en rutas y permitir IKE Modo de configuración, XAuth y otras configuraciones adecuadas.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo acceso telefónico VPN IPsec.
A continuación, usted aprenderá algunas de las mejores prácticas y analizar los registros de IPsec VPN.


FORTINET

• Utilizar las mejores prácticas para el acceso telefónico implementaciones IPsec
• Analizar los registros de VPN y VPN monitor
Demostrando competencia en las mejores prácticas y los registros, usted será capaz de aplicar las mejores prácticas y el uso de técnicas básicas para analizar y
supervisar los registros de VPN.


FORTINET
En circunstancias en las que existen múltiples túneles VPN de acceso telefónico remoto, cada túnel debe tener un conjunto ID pares. Asegúrese de que la versión de
FortiClient es compatible con la versión del sistema operativo FortiGate.
Si su unidad de FortiGate está detrás de un dispositivo NAT, como un router, configurar el reenvío de puerto para los puertos UDP 500 y 4500.
Hacer seguro de la aceleración de hardware está habilitada para un mejor rendimiento de IPsec.
Compruebe IPsec VPN unidad de transmisión de tamaño máximo (MTU). A 1.500 bytes MTU se va a superar la sobrecarga de la cabecera ESP-, incluyendo la
cabecera IP adicional, y así sucesivamente.
El FortiGate establece una unidad de transmisión máxima túnel IPsec (MTU) de 1436 para 3DES / SHA1 y una MTU de 1.412 para AES128 /
SHA1. Esto se puede comprobar mediante el comando CLI diagnosticar la lista de túnel VPN. Esto indica que el FortiGate asigna 64 bytes de
sobrecarga para 3DES / SHA1 y 88 bytes para AES128 / SHA1, que es la diferencia si se resta esta MTU de una típica MTU de Ethernet de
1500 bytes.


FORTINET
Puede configurar FortiGate para registrar eventos de VPN. Para IPsec VPN, eventos fase 1 y fase 2 de autenticación y encriptación se registran. Para
obtener información acerca de cómo interpretar los mensajes de registro, consulte https://docs.fortinet.com.
Para ver los registros de eventos IPsec VPN, haga clic Log & Report> Eventos VPN.
El registro de ejemplo indica un fallo de negociación para la fase 2.


FORTINET
Este registro muestra es para un usuario de acceso telefónico VPN IPsec estudiante. Este usuario móvil se conecta utilizando FortiClient. mensaje de registro
indica el usuario se autentica correctamente y se establece el túnel.


FORTINET
Esta diapositiva muestra otro ejemplo de la conexión telefónica de registro IPsec VPN, en la que el usuario estudiante fallado la autenticación y por lo tanto no se
establezca el túnel. El usuario introduce una contraseña incorrecta.


FORTINET
Puede controlar qué usuarios de acceso telefónico VPN IPsec están conectados en el monitor de IPSec sección. Esto muestra los nombres de todos los usuarios de
acceso telefónico VPN IPsec que están actualmente conectados a FortiGate, y sus direcciones IP.


FORTINET
¡Felicidades! Ha completado esta lección. Ahora, va a revisar los objetivos
cubiertos en esta lección.


FORTINET

• Describir los beneficios de IPsec VPN
• Estar familiarizado con el protocolo IPsec
• Entender cómo funciona IPsec
• Identificar y comprender las fases de IKEv1
• Comprender la topología de acceso telefónico VPN IPsec
• Implementación de una VPN de acceso telefónico entre dos dispositivos Fortgate
• Desplegar una VPN de acceso telefónico para FortiClient
• Utilizar las mejores prácticas para el acceso telefónico implementaciones IPsec
• El análisis de los registros de VPN y VPN monitor

• La prevención de fugas de datos (DLP)

FORTINET
En esta lección, aprenderá a evitar que los datos privados cruciales, tales como números de cuentas bancarias de enrutamiento y números de tarjetas de crédito,
salgan de su red y que se transmiten de forma inapropiada. la prevención de fuga de datos (DLP) es requerido por algunos regímenes de cumplimiento, tales
como PCI DSS y HIPAA, pero otras redes también puede ser útil para ayudar a evitar las trampas de los estudiantes, por ejemplo.


FORTINET
En esta lección, vamos a explorar los siguientes temas:

• la prevención de fuga de datos (DLP)
• filtros DLP
• huellas digitales DLP
• archivado DLP


FORTINET
Al completar esta sección, debe ser capaz de explicar el papel de DLP en la red y entender la teoría básica de cómo funciona.
Demostrando competencia en saber qué ofertas DLP y cuándo usarlo, usted será capaz de decidir las formas más adecuadas para aplicar
DLP en su red.


FORTINET
FortiGate tiene otras características, tales como IPS y antivirus, que pueden detectar y bloquear archivos. Lo que hace diferente DLP? ¿Por qué debería
utilizarlo?
firewalls tradicionales y UTM de primera generación fueron diseñados para prevenir ataques y molestias de conseguir
dentro Tu red. filtrado web se aplica sólo para el tráfico entrante. A pesar de que es la mejor práctica para aplicarla en ambas direcciones, muchas personas
solicitan antivirus y filtrado de correo electrónico sólo para el tráfico entrante. DLP evita que los datos específicos de salir.
¿Cómo puede el tráfico que se salga de su red afectar a la seguridad?
Los compañeros de trabajo a menudo comparten documentos sensibles dentro de su red. La información confidencial también se comparte entre los servidores que
trabajan juntos para albergar una sola aplicación. Sin embargo, si los datos sensibles, como información financiera, se hace público, que puede tener efectos graves.
precios de las acciones, transacciones bancarias, privacidad y seguridad de las contraseñas todas pueden verse comprometidos.
DLP ayuda a asegurar que su red se ajusta a las normas requeridas por su organización en el mundo real, y no da información importante.


FORTINET
Entonces, ¿cómo funciona DLP?
FortiGate el tráfico que cumpla las exploraciones a su política de firewall, en busca de los patrones DLP que especifique. Cuando se configura un patrón, ya sea
predefinido o personalizado, DLP no lo hace directamente inspeccionar el tráfico. En su lugar, se comunica el patrón de los procesos de IPS del motor, que hacen la
exploración de proxy o. Así que, cuando esté solucionando, es posible que necesite para investigar el flujo de tráfico a través de módulos que no se ha activado
manualmente. Si la exploración encuentra una coincidencia, se ejecuta la acción correspondiente del filtro. En el ejemplo que se muestra en esta diapositiva, los dos
primeros filtros no coinciden con el archivo, pero el tercero lo hicieron, por lo FortiGate a cabo su acción.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiende los fundamentos de DLP. A continuación, usted
aprenderá acerca de los filtros DLP.


FORTINET

• Diferenciar los tipos de filtros para archivos de tipos de filtros para los mensajes
• Configurar filtros para archivos y DLP para los mensajes
Demostrando competencia en saber cuándo utilizar DLP y cómo configurar filtros DLP, usted será capaz de hacer cumplir DLP en su red.


FORTINET
Ahora que usted ha tenido una visión general de DLP, es el momento de mirar en algunos detalles, como la forma de añadir filtros a un sensor de DLP. Inicialmente, vamos a
usar algunos filtros de archivos por defecto y los patrones de mensajes. Más tarde, usted aprenderá cómo personalizar y expandir esos filtros de archivos. La mayoría
comportamiento DLP depende del tipo de filtro. Va a aprender más acerca de los tipos de filtro más adelante en esta lección. En este momento, vamos a ver la inspección y la
acción de servicio. En primer lugar, es necesario modificar los ajustes del menú GUI para mostrar DLP (está oculto por defecto). Esto se hace en el
característica Visibilidad página. A continuación, vaya al submenú disponible bajo DLP Los perfiles de seguridad para crear un sensor de DLP. Dentro de ella, añadir un
filtro. En cada filtro, deberá especificar:
• Los criterios de coincidencia
• ¿Qué protocolos que deben analizarse
• FortiGate acciones que se aplica cuando el tráfico coincide
Nota: DLP está disponible sólo en dominios virtuales en modo de proxy (VDOMs). En el Examine los siguientes servicios de sección, elegir qué protocolos
de red deben ser escaneados. Al igual que otras características de seguridad, protocolos seguros no están en la lista de servicios de red que puede ser
escaneado. Sin embargo, si ha habilitado Inspección SSL / SSH ( específicamente, inspección profunda), FortiGate explorará cada protocolo que elija y su
equivalente seguro. Por ejemplo, si selecciona la casilla de verificación para HTTP, FortiGate escaneará HTTP, así como HTTPS. Más información acerca de
inspección profunda está disponible en el operaciones de certificados
lección.
Nota: modelos portadores Fortios también examinan los servicios MMS (MM1, MM3, MM4, y MM7).


FORTINET
Para cada filtro en el sensor DLP, debe seleccionar una acción-lo que hace FortiGate si el tráfico coincide. La configuración por defecto es Sólo registro. Si no
está seguro sobre qué acción para elegir, la configuración por defecto puede ser útil, en un principio. Mientras que el estudio de la red, usar esta acción para
ver qué información sensible está siendo transmitido. Más tarde se puede afinar su sensor y seleccione la acción más apropiada para bloquear los archivos
confidenciales de la WAN.


FORTINET
Ahora vamos a volver a la parte superior del filtro, que es la parte más compleja de la configuración. Seleccionar el tipo de filtro: o bien mensajes o Archivos. La
mayoría de las otras opciones disponibles dependen de esta elección inicial.
mensajes exploraciones de palabras, números de tarjetas de crédito, u otros patrones basados en texto directamente incorporados en el protocolo, no como un
archivo. Hay dos filtros de mensajes preconfigurados disponibles: Tarjeta de crédito y SSN.
Si los patrones predefinidos DLP no coinciden exactamente lo que está buscando, puede utilizar la Expresión regular opción de configurar su propio
patrón personalizado. Utilice la sintaxis PCRE. expresiones y rendimiento con expresiones complejas compatibles varían siempre por el motor de
expresiones regulares. Por lo tanto, si usted está buscando referencias, buscar específicamente PCRE, no otros, como el lenguaje Perl nombre similar.
Expediente Los cambios de las opciones disponibles para ser apropiados para los archivos, tales como tamaño del archivo, toma de huellas dactilares y marcas de
agua.


FORTINET
En el ejemplo que se muestra en esta diapositiva, un filtro de mensajes preconfigurados números de tarjetas de crédito de los bloques de salir de la red. los Bloquear
la acción se detiene el tráfico violación, sino que también genera un registro, que se puede ver en los registros de tráfico directo. Los registros proporcionan
información como eventos de seguridad, resultado, y la política de cortafuegos. Seleccione el registro para obtener más detalles. los detalles pestaña proporciona
más información sobre origen, destino, acción y más. los Seguridad pestaña facilita información adicional, como el tipo de filtro, Filtro, y el índice de filtro DLP.


FORTINET
Vamos a echar un vistazo a los subfiltros-archivo específico.
patrones de nombre de archivo son intuitivos. Si un nombre de archivo es una coincidencia exacta, o coincide con el patrón especificado, FortiGate realiza la
acción especificada.
Si un nombre de archivo puede tener importantes variaciones, (los usuarios a menudo tratan de evadir DLP cambiando el nombre de los archivos a un nombre que suena inofensivo),
entonces debería usar patrones para hacer coincidir, en lugar del nombre de archivo exacto. FortiGate configurar para que coincida con todos los nombres de los archivos destinados, pero
no los nombres de archivos no deseados. Por ejemplo, los navegadores suelen cambiar el nombre de descargas de nombres de archivo duplicados para evitar sobrescribir accidentalmente
una diferente pero con el mismo nombre, el archivo existente,. Por ejemplo, se añadirían ( 2) antes de la extensión de archivo. Del mismo modo, Windows cambia el nombre de las copias de
los archivos de manera que comiencen con Copia de. Por lo que debe utilizar un patrón de nombre como agradable * .jpg, no el nombre de archivo exacto, nicepainting.jpg.
El ejemplo de esta diapositiva muestra los filtros que se correspondería con el nombre del archivo, y los filtros que no lo haría. Pero lo que si el nombre del archivo no coincide con
ningún patrón? ¿Qué pasa si el nombre del archivo es radicalmente diferente, y por lo tanto un patrón amplio causaría falsos positivos? Por ejemplo, ¿qué pasaría si queremos
bloquear todos los ejecutables independientemente del nombre o de la plataforma?


FORTINET
nombre de archivo que coincida solos a menudo no es suficiente para datos muy sensibles. Es posible que desee un filtro más sofisticado. Una alternativa es utilizar el tipo
de archivo correspondiente.
Tipo de archivo coincidente se comporta como era de esperar. FortiGate no identifica los tipos de archivos por su extensión (por ejemplo,. Doc). Esto se debe a que los
usuarios podrían eludir DLP simplemente cambiando el nombre de la extensión. En su lugar, FortiGate identifica los tipos de archivos en los escaneos para hacer
coincidir patrones binarios; es decir, la forma en que las tiendas de tipo de archivo de datos en áreas específicas, en las pautas específicas de unos y ceros. Sin
embargo, con el fin de utilizar esta tecnología precisa, FortiGate debe tener un decodificador correspondiente que comprende la fuente de datos binarios. Sin un
decodificador, FortiGate no puede descifrar la cadena de unos y ceros y, por lo tanto, no puede identificar el tipo de archivo.


FORTINET
Si selecciona la archivos como opción el tipo de filtro y seleccione el Especifique el tipo de archivo opción, el Tipos de archivo y
Patrones de nombre de archivo campos estén disponibles. los Tipos de archivo lista contiene una lista predefinida de tipos de archivo que puede seleccionar. los Patrones
de nombre de archivo es un campo en el que se debe crear e introducir patrones personalizados que desea aplicar. Inicialmente, esta lista estará vacía. Se introduce
el patrón deseado en el Buscar campo de texto y haga clic en el más verde (+) botón para agregarlo a la lista. Después de agregar a la lista, puede seleccionar ese
patrón para agregarlo al filtro. Después se agrega a la lista de patrones, permanecerá allí para uso futuro y se pueden buscar mediante el Buscar campo. Cuando se
realiza una selección en el Tipos de archivo En la lista desplegable, exploraciones DLP presentar contenidos del tipo de archivo que se seleccionan,
independientemente del nombre de archivo o extensión. Incluso si el archivo se renombra con una extensión diferente, DLP lo detectará.
Después de escribir un valor en el Patrones de nombre de archivo campo, DLP explora los nombres de los archivos en busca de patrones que coinciden con los valores
especificados.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo filtros DLP. A continuación, usted
aprenderá acerca de las huellas digitales DLP.


FORTINET
Al completar esta sección, debe ser capaz de implementar las huellas digitales DLP. Esto incluye saber cómo controlar los tipos de datos
específicos y cómo configurar los sensores de DLP.
Demostrando competencia en saber cuándo usar y cómo configurar las huellas digitales DLP, usted será capaz de controlar mejor los tipos
de archivos que pueden salir de su red.


FORTINET
Al escanear archivos, utilizando los tipos de archivo y los nombres de los archivos no son las únicas opciones que se pueden utilizar. En la mayoría de las redes, no es generalmente
una opción para bloquear todos los archivos de Microsoft Office, y el bloqueo por nombre de archivo no es eficaz si los usuarios tratan de eludir. Por lo tanto, ¿qué alternativas tiene?
FortiGate puede utilizar un filtro basado en contenido llamado documento de toma de huellas dactilares. huellas digitales documento identifica archivos específicos usando uno o más
cíclicos sumas de control de comprobación de redundancia (CRC). Se puede aplicar este filtro basadas en el contenido de muchos archivos a la vez, incluyendo archivos de gran
tamaño.
¿Qué tan exacto es el documento de huellas digitales? ¿Cuántas sumas de comprobación se DLP calcular y almacenar? El propio archivo no se almacena en FortiGate, sólo
las sumas de comprobación de trozos. trozos más pequeños significan que más sumas de comprobación se calcularán para cada archivo y DLP serán las huellas digitales de
manera más precisa. Es decir, incluso si alguien cambia un archivo en unos pocos lugares, toma de huellas dactilares todavía será capaz de identificar, porque las sumas de
comprobación de los demás trozos seguirán igualar. La desventaja es que más sumas de comprobación requieren más espacio de almacenamiento en FortiGate. Por lo tanto,
debe decidir el mejor equilibrio entre rendimiento y precisión.
Nota: La característica documento huella digital requiere una FortiGate con almacenamiento interno.


FORTINET
Antes de configurar los filtros de huellas dactilares en un sensor de DLP, considerar si desea hacer que las etiquetas de nivel de sensibilidad personalizado. Por ejemplo,
usted podría hacer un nivel de sensibilidad personalizada denominada Financiar. Al configurar filtros de huellas digitales, puede utilizar la Financiar nivel de sensibilidad para
etiquetar todas las huellas digitales relacionadas con el dinero. El nivel de sensibilidad tiene dos efectos:
• Aparece en los archivos de registro.
• Al configurar cada filtro en un sensor de DLP, tendrá que elegir el que las huellas dactilares el filtro de archivos utilizará al especificar un nivel de
sensibilidad. Todas las huellas digitales que tienen ese nivel de sensibilidad se incluirán en ese filtro.


FORTINET
Tras definir los niveles de sensibilidad personalizados, ya está listo para definir sus huellas dactilares para los documentos compartidos de red.
Mediante la CLI, puede configurar FortiGate para conectarse a un recurso compartido de archivos en una base diaria, semanal o mensual. Cada vez que se conecta, FortiGate puede
volver a crear automáticamente las sumas de comprobación para todos los archivos de la cuota, o retener las huellas dactilares de edad (en caso de una versión antigua del archivo
todavía está circulando).
Toma de huellas dactilares a través de un recurso compartido de archivos le permite añadir muchos archivos y actualizar la huella digital para cada adición o cambio. Si bien la
configuración, elegir qué nivel de sensibilidad FortiGate utilizará para etiquetar esas huellas.


FORTINET
Después de la sensibilidad de huellas digitales y el recurso compartido de red están configurados, el siguiente paso es configurar el filtro del sensor de DLP.
La función de toma de huellas dactilares está activado (configuración) en el CLI como un filtro en el sensor DLP, que le permite elegir el nivel de sensibilidad. Después de
haber configurado un filtro en su sensor de DLP en la CLI mediante el establecimiento conjunto filtro-por huella digital, la Archivo de huellas digitales lista desplegable
aparece en la interfaz gráfica de usuario. En el Archivo de huellas digitales En la lista desplegable, puede seleccionar uno de los niveles-sensibilidad por defecto Crítico,
privada, Advertencia -o su propio grupo personalizado de huellas digitales, de acuerdo con su etiqueta de nivel de sensibilidad.
DLP escaneará e inspeccionar estas reglas (filtros) para comparación de huellas dactilares, de arriba a abajo. Debido DLP almacena la suma de comprobación del
archivo en trozos, se detecta que el archivo de huella digital ha cambiado desde el archivo original, y toma medidas como se define en el sensor DLP. los diagnosticar
dlpfingerprint aplicación de prueba comando CLI proporciona muchas opciones para ver las estadísticas, volcar todos los trozos, o actualizar todas las fuentes de
documentos en todos los VDOMs.


FORTINET
Al configurar filtros en el sensor de DLP, seguir añadiendo filtros hasta que el sensor coincida con todo el tráfico que debería, pero no coincide con
involuntariamente. Cuando haya añadido todos los filtros necesarios, aplicar el sensor DLP seleccionándolo en una política de firewall.
El ejemplo de esta diapositiva se muestra un sensor DLP con algunos filtros. Cada filtro busca vías para los distintos tipos de información sensible, como por ejemplo un
número de tarjeta de crédito o de huellas digitales. Si el tráfico coincide con un filtro, FortiGate se aplicará la acción de ese filtro.
Recuerde, los filtros de DLP son evaluados de forma secuencial para un partido, de arriba a abajo. FortiGate utiliza el primer filtro coincidente. Por ejemplo,
digamos que un correo electrónico contiene un número de tarjeta de crédito (que el filtro de secuencia 1 dice a bloquear), sino que también tiene el texto sensibles
(que el filtro secuencia 5 dice que entrar, pero permiten). FortiGate utilizará sólo el filtro de secuencia 1 y el correo electrónico se bloquea, no permitido.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo huellas digitales DLP. A continuación, usted
aprenderá acerca de DLP archivado.


FORTINET

• Habilitar el archivado DLP
• Implementar el archivo Resumen
• Implementar el archivo completo
Demostrando competencia en saber cómo configurar el archivo DLP, usted será capaz de utilizar la función de archivo para apoyar las
investigaciones forenses a corto plazo.


FORTINET
Hasta ahora, usted ha visto DLP bloqueo o seguimiento de los datos sensibles. Pero lo que más puede hacer DLP? Se puede grabar resúmenes de tráfico que es,
registros y, si está habilitado, los archivos y mensajes completos que estaban contenidos en el tráfico.
Si está familiarizado con el archivo de contenidos en versiones anteriores de FortiOS, reconocerá los archivos de resumen y archivos completos aquí.
Resumen de archivado registra un mensaje de registro que resume el tráfico, y por lo tanto varía según el protocolo. Por ejemplo, para un mensaje de correo
electrónico, el archivo Resumen contendría la dirección del remitente de correo electrónico, dirección de correo electrónico del destinatario, y el tamaño. Cuando los
usuarios acceden a Internet, FortiGate registra registran cada URL que visitan.


FORTINET
archivado completa registra el registro de resumen, sino un mensaje de correo electrónico completa, incluidos los archivos adjuntos, también se archiva. Cuando un
usuario accede a Internet, todas las páginas que el usuario visita está archivado. Esto puede ser útil en las investigaciones forenses; Sin embargo, no está destinado
para un uso prolongado. Dependiendo de lo que está archivando, el archivo completo se requieren grandes cantidades de disco de FortiGate, CPU, RAM y recursos, lo
que disminuye el rendimiento.
Por ejemplo, si archiva totalmente DLP un archivo de 100 MB, FortiGate almacenará más de sólo 100 MB. Almacena los datos, además de Ethernet, IP y otros
encabezados que se utilizaron durante la transmisión de la red, además del mensaje de registro. Por lo tanto, se requiere un poco más de 100 MB de
almacenamiento. También requiere RAM y CPU hasta FortiGate termina de escribir el archivo en su disco duro. archivado DLP completa también consume espacio en
disco que FortiGate puede necesitar para otras funciones UTM.
Así que, por razones de rendimiento, es mejor utilizar FortiAnalyzer o un dispositivo de almacenamiento externo. Si necesita inspeccionar y archivo de correo
electrónico, especialmente para tiempos prolongados, entonces FortiMail puede ser una alternativa mejor. Tiene archivado local, además de antispam, mensajería
segura, y otras características en profundidad que SMTP proxy de FortiGate no puede soportar.


FORTINET


FORTINET
¡Buen trabajo! Ahora entiendo archivado DLP. A continuación, usted
aprenderá acerca de las mejores prácticas DLP.


FORTINET
Después de esta sección, debe ser capaz de:

• Definir las mejores prácticas para la implementación de DLP
• Utilizar las mejores prácticas para evitar problemas de implementación, problemas comunes, y los impactos de la red demostrando competencia en las mejores
prácticas y resolución de problemas DLP-específica, usted será capaz de identificar, prevenir y resolver la mayoría de los problemas comunes relacionados con DLP.


FORTINET
Esta diapositiva muestra una lista de las mejores prácticas sugeridas.
Al implementar DLP, es necesario tomar varias cosas en cuenta con el fin de evitar problemas. Recuerde que los filtros DLP se aplican en el orden indicado.
Asegúrese de que el filtro más precisa aparece en primer lugar, con la mayor capturar todos filtros enumeran en último lugar. También debe asegurarse de que
todos los filtros basados en nombres de archivo se aplican correctamente para realizar la tarea deseada.
También se recomienda conservar y registro para el análisis forense posteriores a los incidentes y para lograr el cumplimiento de PCI DSS. También es necesario crear
filtros apropiados entre los equipos internos con el fin de garantizar que no haya fugas accidentales a través de fuentes internas. Además, asegúrese de que todos los filtros
se replican correctamente a las directivas de cortafuegos redundantes para asegurar la continuidad del negocio.
También es una buena práctica de utilizar perfiles de aprendizaje para simplificar la creación de filtros de DLP y asegurarse de que no hay fugas potenciales se
pierden.


FORTINET


FORTINET


FORTINET
• Definir el propósito y la función de DLP

• Diferenciar los tipos de filtros para archivos de tipos de filtros para los mensajes
• Configurar filtros para archivos y DLP para los mensajes
• Configurar las huellas digitales DLP
• Habilitar el archivado DLP
• Implementar el archivo Resumen
• Implementar el archivo completo
• Definir las mejores prácticas para la implementación de DLP
• Utilizar las mejores prácticas para evitar problemas de implementación, problemas comunes, y los impactos de la red

FORTINET
Ninguna parte de esta publicación puede ser reproducida en cualquier forma o por cualquier medio o utilización para hacer cualquier derivativo
como traducción, transformación o adaptación sin permiso de Fortinet Inc., según lo estipulado por la Ley de Derechos de Autor de Estados Unidos
de 1976.
Copyright © 2018 Fortinet, Inc. Todos los derechos reservados. Fortinet, FortiGate®, FortiCare® y FortiGuard®, y algunas otras marcas son marcas registradas de Fortinet, Inc., en los otros nombres Fortinet Estados Unidos y otras
jurisdicciones, y también hereinmay estar registrado y / o marcas registradas de Fortinet. Todos los otros nombres de productos y empresas pueden ser marcas comerciales de sus respectivos propietarios. Rendimiento y otras métricas
contenida en este documento se han alcanzado en pruebas de laboratorio internas en condiciones ideales, y el rendimiento real y otros resultados pueden variar. Las variables de red, diferentes entornos de red y otras condiciones pueden
afectar los resultados de rendimiento. Nada de lo aquí representa ningún compromiso vinculante por Fortinet, y Fortinet renuncia a cualquier garantía, ya sea expresa o implícita, excepto en la medida Fortinet entra en un contrato escrito
vinculante, firmado por el asesor general de Fortinet, con un comprador que garantiza expresamente que el producto identificado llevará a cabo de acuerdo con ciertas performancemetrics expresamente identificadas y, en tal caso, sólo los
performancemetrics específicos identificados expresamente en dicho contrato vinculante por escrito será vinculante para los Fortinet. Para mayor claridad absoluta, dicha garantía se limitará a rendimiento en las mismas condiciones ideales
como en pruebas de laboratorio internas de Fortinet. En ningún caso el Fortinet ningún compromiso en relación con las prestaciones futuras, características o desarrollo, y las circunstancias pueden cambiar de tal manera que ninguna de las
declaraciones prospectivas en este documento no son exactos. Fortinet se exime de cualquier convenio en su totalidad, las representaciones y garantías en virtud de éste, ya sea expresa o implícita. Fortinet se reserva el derecho de
cambiar, modificar, transferir,

FortiGate Security 6.0 Study Guide Español PDF

Cargado por

Copyright:

Formatos disponibles

FortiGate Security 6.0 Study Guide Español PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FortiGate Security 6.0 Study Guide Español PDF

Cargado por

Copyright:

Formatos disponibles

• Introducción a FortiGate y la tela de Seguridad

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 5

No puede ser reproducido ©

En esta lección usted explorará los siguientes temas:

• Las decisiones de configuración

FortiGate Seguridad 6.0 Guía de estudio 6

No puede ser reproducido ©

Al completar esta sección, debe ser capaz de:

• Identificar características de FortiGate en redes virtualizados y la nube

FortiGate Seguridad 6.0 Guía de estudio 7

No puede ser reproducido ©

confiar inherentemente usuarios y dispositivos internos.

FortiGate Seguridad 6.0 Guía de estudio 8

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 9

No puede ser reproducido ©

• FortiGate VM se implementa como un invitado VM en el hipervisor.

FortiGate Seguridad 6.0 Guía de estudio 10

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 11

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 12

No puede ser reproducido ©

Al completar esta sección, debe ser capaz de:

• Seleccionar un modo de operación

FortiGate Seguridad 6.0 Guía de estudio 13

No puede ser reproducido ©

¿Qué pasa con la arquitectura de red? Cuando hace FortiGate encajar?

FortiGate Seguridad 6.0 Guía de estudio 14

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 15

No puede ser reproducido ©

• solicitando periódicamente paquetes que contienen un nuevo motor y firmas

FortiGate Seguridad 6.0 Guía de estudio dieciséis

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 17

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 18

No puede ser reproducido ©

Después de completar esta lección, usted debe ser capaz de:

• Administrar los usuarios administrativos

• Definir el método de configuración para los usuarios administrativos

FortiGate Seguridad 6.0 Guía de estudio 19

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 20

No puede ser reproducido ©

FortiGate Seguridad 6.0 Guía de estudio 21

No puede ser reproducido ©

su Un perfil de administración permisos. Otras opciones no se muestran aquí:

FortiGate Seguridad 6.0 Guía de estudio 22

No puede ser reproducido ©

Podría, por ejemplo, crear un perfil denominado auditor_access

de la interfaz gráfica de usuario para el control central.

FortiGate Seguridad 6.0 Guía de estudio 23

No puede ser reproducido ©

¿Cuáles son los efectos de los perfiles de administración? En realidad

es más que sólo de lectura o escritura.

FortiGate Seguridad 6.0 Guía de estudio 24