FortiClient

Resumen de funcionalidades

Endpoint Protection and Security Fabric Agent

 Marzo 2021 – FortiClient 6.4.3

ÍNDICE
ACERCA DE FORTINET.................................................................................................................................. 3
Portfolio de soluciones.............................................................................................................................. 4
RESUMEN EJECUTIVO.................................................................................................................................... 5
FORTICLIENT: CARACTERÍSTICAS Y FUNCIONALIDADES.............................................................7
FortiClient como Fabric Agent............................................................................................................... 9
Visibilidad del endpoint...................................................................................................................... 9
Gestió n de vulnerabilidades............................................................................................................ 13
Endpoint Protection and Advanced Proactive Threat Response..........................................15
Acceso remoto seguro............................................................................................................................ 19
Extensió n de Chromebook.................................................................................................................... 22
Integració n con el Security Fabric..................................................................................................... 24
Compatibilidad con Sistemas Operativos.......................................................................................26
EMS – ENTERPRISE MANAGEMENT SERVER ON-PREM...............................................................27
Requisitos operativos............................................................................................................................. 29
Conector EMS con FortiOS.................................................................................................................... 29
Gestió n de los agentes de FortiClient............................................................................................... 30
Zero Trust Tags – Etiquetas y reglas de verificació n de compliance.....................................33
Endpoint Classification Tags................................................................................................................ 36
Políticas Dinámicas.................................................................................................................................. 36
Políticas on-net / off-net........................................................................................................................ 38
Otras características de las políticas................................................................................................. 39
Application Based Split Tunnel........................................................................................................... 40
Role Based Access.................................................................................................................................... 41
EMS API Support....................................................................................................................................... 41
Soporte para entornos aislados.......................................................................................................... 42
EMS EN LA NUBE – FORTICLIENT CLOUD.......................................................................................... 43
FORTICLIENT BEST PRACTICE SERVICE............................................................................................. 44
TABLA DE COMPATIBILIDAD ENTRE VERSIONES..........................................................................45
OTROS RECURSOS......................................................................................................................................... 46

Endpoint Protection and Security Fabric Agent Pá gina 2 de 48

ACERCA DE FORTINET
Fortinet (NASDAQ: FTNT) es un proveedor mundial de dispositivos de seguridad de red
líder del mercado para firewalls de gestió n unificada de amenazas (UTM) o nueva
generació n (NGFW). Sus productos y servicios de suscripció n ofrecen amplia protecció n,
integrada y de alto rendimiento contra las cambiantes amenazas de seguridad al tiempo
que simplifica la infraestructura de TI. Nuestros clientes incluyen empresas,
proveedores de servicios y entidades gubernamentales de todo el mundo, incluyendo la
mayor parte de la lista Fortune Global 100. Fortinet es una compañ ía con sede en
Sunnyvale, California, con oficinas en todo el mundo. Fundada en 2000 por Ken Xie, el
visionario fundador y ex presidente y CEO de NetScreen, Fortinet es una compañ ía
dirigida por un só lido equipo de gestió n con una amplia experiencia en redes y
seguridad.

La posició n de Fortinet en el mercado ha sido validada por el reconocimiento

generalizado de los analistas de la industria, las organizaciones empresariales y medios
de comunicació n. Como insignia de Fortinet, su producto UTM FortiGate ofrece un
rendimiento acelerado ASIC e integra mú ltiples niveles de seguridad diseñ ados para
ayudar a proteger las amenazas aplicativas de la red.

Endpoint Protection and Security Fabric Agent Pá gina 3 de 48

Portfolio de soluciones

Má s allá de FortiGate como producto insignia y corazó n de la marca, Fortinet posee

equipamiento dedicado y diseñ ado a la medida del cliente entre los que podemos
encontrar, firewalls de aplicació n, puntos de acceso inalámbrico, switches, sistemas de
gestió n y reporting centralizados, SIEM, SOAR, NAC, protecció n del endpoint, soluciones
de antispam, balanceadores, y sistemas de detecció n y control de ataques de DDOS;
entre otros.

Las soluciones de Fortinet poseen una gran capacidad de integració n en todos sus
componentes mediante el FABRIC (intercambio de inteligencia de seguridad) llegando
no só lo al hardware sino al mundo virtual, la nube, proveedores de servicios
gestionados, terceros, etc. Fortinet entrega así la red má s amplia, integrada y
automatizada del mercado.

Endpoint Protection and Security Fabric Agent Pá gina 4 de 48

RESUMEN EJECUTIVO
Los endpoints son frecuentemente el objetivo de un compromiso inicial, o el objetivo
final de un ataque. Estudios recientes indican que la mayoría de los incidentes de
seguridad involucran en algú n punto la instalació n de malware en los endpoints.
FortiClient fortalece la seguridad de los endpoints a través de la visibilidad, el control y
la defensa proactiva integrada. Con la capacidad de descubrir, monitorizar y evaluar los
riesgos de los endpoints, puede garantizar el cumplimiento de políticas corporativas en
los endpoints, mitigar los riesgos y reducir la exposició n. FortiClient defiende
proactivamente contra ataques avanzados. Ademá s, su estrecha integració n en el
esquema de Security Fabric de Fortinet permite que la automatización basada en
políticas contenga amenazas y brotes.

FortiClient es má s que protecció n avanzada de endpoint. Como agente integrado,

FortiClient contiene tres módulos clave: Fabric Agent para la conectividad de
Security Fabric, los mó dulos de seguridad de endpoint y los mó dulos de acceso
remoto seguro. Fabric Agent comparte la telemetría de endpoint con el Security Fabric
y ofrece una amplia visibilidad de endpoint, control de cumplimiento y administració n
de vulnerabilidades, incluyendo la presencia de software malicioso y/o que entrañ e
algú n riesgo en los equipos. Proporciona protecció n avanzada de endpoints con
antimalware basado en patrones, protecció n contra vulnerabilidades de seguridad
basada en el comportamiento, Web Filtering y un firewall de aplicaciones, permitiendo
incluso automatizar remediaciones frente a amenazas. FortiClient se integra de forma
nativa con FortiSandbox para detectar amenazas de día cero y malware personalizado.
FortiClient también proporciona acceso remoto seguro con la VPN incorporada, inicio de
sesió n ú nico y autenticació n de dos factores para mayor seguridad.

Fortinet Security Fabric Integration

ENDPOINT PROTECTION (EPP)
FortiGate, FortiSandbox, FortiAnalyzer,
FortiAuthenticator App FW, Anti-malware, Anti-exploit, Web Filtering
3
FortiGuard Services
ADVANCED THREAT PROTECTION
CPRL AV, Web Filtering, App Firewall, Vulnerability
Management Sandbox Integration

1 2 3 SECURE REMOTE ACCESS

2
SSL & IPSec VPN, SSO

Endpoint/IoT Secure remote Endpoint protection/ FABRIC AGENT

Visibility and access Advanced threat 1
compliance control protection Telemetry, Quarantine, Vulnerability, App Inventory

FortiClient Fabric FortiClient FortiClient

Agent FortiGate FortiGate
FortiGate FortiAuthenticator FortiSandbox
FortiNAC
FortiAnalyzer
Fabric Partners

ENDPOINT DEVICES HOSTS / SERVERS

FortiClient responde de los retos de protecció n del endpoint:

• Visibilidad: comprender qué aplicaciones se está n ejecutando en los endpoints y
dó nde las vulnerabilidades sin parchear representan un riesgo.
• Control: ayudando a cumplir las políticas corporativas de actualizaciones y limitando
el acceso a aquellos usuarios que no está n aplicando parches a las aplicaciones que
conllevan un riesgo.
• Acceso remoto seguro a los recursos corporativos, integrando un cliente VPN dentro
de la misma solució n.

Endpoint Protection and Security Fabric Agent Pá gina 5 de 48

• Cumpliendo las políticas de filtrado web de la organizanció n, no só lo cuando los
usuarios se encuentran dentro de la red corporativa protegidos por los NGFW, sino
también cuando estos salen de la red y no puede aplicarse dicha protecció n, mediante
perfiles de protecció n off-net.

Los principales beneficios que FortiClient proporciona a la seguridad de la Organizació n

son:
 Capacidades unificadas de seguridad en el endpoint que incluyen
cumplimiento, protecció n y acceso seguro en un ú nico cliente modular y ligero.
 Visibilidad y control de amenazas de extremo a extremo, mediante la
integració n nativa del endpoint en la arquitectura de Security Fabric.
 Protección avanzada contra amenazas, exploits y malware avanzado,
impulsada por FortiGuard junto con la integració n de FortiSandbox.
 Gestión de parches integrada y protección contra vulnerabilidades para
fortalecer la seguridad de los endpoints.
 Gestión simplificada y aplicació n de políticas con Enterprise Management
Server (EMS) y FortiGate, respectivamente.

Endpoint Protection and Security Fabric Agent Pá gina 6 de 48

FORTICLIENT: CARACTERÍSTICAS Y FUNCIONALIDADES
FortiClient proporciona visibilidad y el control del inventario de software y hardware en
toda la organizació n. Permite identificar hosts vulnerables o comprometidos,
automatizar la remediació n de las amenazas, y realizar un seguimiento de todos los
detalles de los sistemas y perfiles de usuario en su superficie de ataque.

La integració n de FortiClient en la estructura de seguridad Security Fabric garantiza

que todos los componentes de la estructura (FortiGate, FortiAnalyzer, EMS, AP
administrado, conmutadores administrados, Sandbox) tengan una vista unificada de los
endpoints para proporcionar seguimiento y conocimiento, cumplimiento de políticas e
informes, de manera que esa inteligencia sobre amenazas compartida en tiempo real
entre todos los endpoints y los componentes de seguridad de la red permitan mejorar la
protecció n en toda la organizació n, independientemente del lugar en el que se descubra
la amenaza por primera vez. Las capacidades de Advanced Threat Protection
automatizan la protecció n frente a amenazas conocidas y desconocidas a través de la
pila de seguridad integrada basada en host y la integració n con FortiSandbox y
FortiSandbox Cloud. Complementan la solució n sus capacidades de Secure Remote
Access & Mobility a través de SSL e IPsec VPN. FortiClient conecta todos los endpoints
para formar un tejido de seguridad cohesionado y colaborativo.

De este modo, FortiClient permite una gestió n completa de la seguridad del endpoint,
agrupando funcionalidades de:
 Agente de Fabric: envío de informació n de telemetría (por ejemplo, para la
visualizació n de los endpoints en FortiGate), políticas de control diná mico de
acceso, o cuarentenas automatizadas. El intercambio de informació n de
inteligencia sobre amenazas facilita, ademá s, las respuestas automatizadas,
conteniendo los brotes casi en tiempo real, reduciendo el tiempo de contenció n y
resolució n.
 Protección avanzada: protecció n antimalware y antiexploit mediante machine
learning, protecció n frente a amenazas avanzadas, escaneo y parcheo de
vulnerabilidades, integració n con sandbox, filtrado de navegació n, firewall de
aplicació n.
 Acceso remoto seguro: cliente de VPN IPsec y SSL, SSO (single sign on).
 Otras características: control de dispositivos USB, inventario de software.
 Compatibilidad con sistemas operativos Windows, MacOS, Linux, Chromebook,
iOS y Android.
 Gestió n y registro de actividad centralizado a través del EMS (Enterprise
Managemen Server).

Endpoint Protection and Security Fabric Agent Pá gina 7 de 48

FortiClient contiene los siguientes mó dulos clave: Fabric Agent para la conectividad de
Security Fabric, los mó dulos de seguridad de endpoint y los mó dulos de acceso remoto
seguro. FortiClient se integra con muchos componentes clave de la Security Fabric de
Fortinet y se apoya en el Enterprise Management Server (EMS) para la administració n y
monitorizació n centralizada.

Desde el punto de vista de características, las má s detacables de la solució n serían las

siguientes:

Aprovisionamiento
 Aprovisionamiento centralizado de clientes
 Actualizaciones de software del cliente
 Integració n con Windows AD
 Lista de direcciones IP de FortiGates (Gateways) para el envío de FortiTelemetry
 Inventario de software
 Asignació n automá tica de grupos
Cumplimiento de políticas e integració n de Security Fabric
 Integració n de Fortinet Security Fabric
 Control de la postura de seguridad
 Verificació n de cumplimiento de políticas de riesgo/vulnerabilidades
 Control de acceso diná mico
 Detecció n de dispositivo autorizado
 Cuarentena automatizada de endpoints
Control remoto
 Aná lisis antivirus bajo demanda
 Aná lisis de vulnerabilidades bajo demanda
 Cuarentena de host
Telemetría y Monitorizació n
 Informació n del cliente (versió n del cliente, direcció n IP / MAC del sistema
operativo, perfil asignado, avatar de usuario)
 Estado del cliente
 Informes (a FortiAnalyzer)

En los pró ximos puntos de este documento se comentará n las características y

funcionalidades má s relevantes.

Endpoint Protection and Security Fabric Agent Pá gina 8 de 48

FortiClient como Fabric Agent
Visibilidad del endpoint
ENDPOINT PROTECTION (EPP)
Como se ha comentado antes, junto a la
protecció n del endpoint una de las principales App FW, Anti-malware, Anti-exploit, Web Filtering
características de FortiClient es su capacidad
de ejercer de “agente del Fabric”, para Advanced Threat Protection
compartir informació n de telemetría del estado Sandbox Integration
de seguridad del endpoint, como los datos de
compliance utilizados desde FortiGate en la Secure Remote Access
aplicació n de políticas de control diná mico de SSL & IPSec VPN, SSO
acceso, para formar parte de respuestas
automatizadas ante eventos de seguridad, FABRIC AGENT
como por ejemplo cuando se desea poner en
Visibility, Quarantine, Vulnerability, App Inventory
cuarentenas un dispositivo para aislarlo y
estudiar algú n incidente.

Esto convierte al FortiClient en pieza clave del Fortinet Security Fabric, integrando los
endpoints en la solució n global de seguridad para la detecció n temprana y la prevenció n
de amenazas avanzadas y ofrecer visibilidad del endpoint, control de cumplimiento,
gestió n de vulnerabilidades y automatizació n.

A partir de las versiones 6.0, ademá s, tanto FortiOS como FortiAnalyzer aprovechan la
inteligencia de telemetría de FortiClient para identificar indicadores de compromiso
(IoC) que ayuden a identificar comportamientos de amenzas avanzadas que no hayan
sido detectadas por otros elementos del Fabric. FortiAnalyzer recopila registros de
FortiClient y otros componentes de red e incorpora inteligencia de amenazas global de
FortiGuard Labs a todos los registros y eventos de la organizació n.

La integració n entre FortiClient y otros elementos de seguridad en Security Fabric

permite la referencia cruzada de eventos con el trá fico de la red. Esta funció n ayuda a
verificar y clasificar las alertas, mejorando la relació n "señ al/ruido" para la notificació n
de incidentes. Como resultado, los equipos de infraestructura de TI dedican menos
tiempo a investigar los falsos positivos y pueden concentrarse en identificar las
amenazas reales con mayor precisió n.

Con la capacidad de Automatizació n, los administradores pueden investigar en tiempo

real y establecer políticas para automatizar las respuestas, incluida la puesta en
cuarentena de terminales sospechosos o comprometidos para contener incidentes y
detener brotes. Las funciones de gestió n de vulnerabilidades y cumplimiento simplifican
la aplicació n de las políticas de seguridad empresarial, lo que evita que los endpoints se
conviertan en fáciles objetivos de ataque.

Conector Fabric para FortiGate <> EMS

Uno de los elementos clave para la integració n de FortiClient en el Security Fabric es el

conector desarrollado en FortiOS para la interacció n en ambos sentidos entre FortGate y
el EMS. Mediante este conector, las comunicaciones cifradas entre FortiClient EMS y
FortiGates permiten entre otras acciones la recuperació n de etiquetas desde el EMS, la
aplicació n de políticas de seguridad en FortiGate basadas en esas etiquetas (/tags), y la
aplicació n de reglas de cumplimiento (por ejemplo, en base al nivel de riesgo del
endpoint).

Endpoint Protection and Security Fabric Agent Pá gina 9 de 48

Telemetría de endpoint - visibilidad de estado y riesgo

FortiClient comparte la telemetría con la Security Fabric para garantizar el

reconocimiento unificado de los endpoints y brindar seguridad integrada a los
endpoints y la red. La informació n del endpoint que se comparte incluye informació n del
dispositivo, sistema operativo, estado de seguridad, vulnerabilidades, eventos e ID de
usuario.

Esta visibilidad ampliada de todos los sistemas operativos compatibles (Windows, Mac,
Linux, Chromebook, Android e iOS) proporciona informació n precisa y detallada sobre
los equipos, como por ejemplo:
 Sistema operativo
 Usuario / ID social / avatar que inició sesió n
 Estado de FortiClient
 Vulnerabilidades del endpoint
 Co-relaciona mú ltiples MAC en dispositivos con má s de un acceso a la red
(cableada y WiFi, por ejemplo)
 Estado conectado / desconectado

Endpoint Protection and Security Fabric Agent Pá gina 10 de 48

  Eventos y logs del endpoint

También proporciona una puntuació n de riesgo del endpoint que se incorpora a la

calificació n de seguridad del “Security Rating”, valorando dimensiones como la
conciencia basada en riesgos, o las vulnerabilidades sin parchear.

Observancia del cumplimiento (compliance)

Permite la aplicació n de la política de seguridad empresarial y los criterios de uso, como

la severidad de las vulnerabilidades no parcheadas, el software en ejecució n, el Web
Filtering y la postura de seguridad.

Endpoint Protection and Security Fabric Agent Pá gina 11 de 48

Automatización/cuarentena de host

Las capacidades de remediació n automatizada de FortiClient permiten poner

automá ticamente en cuarentena los dispositivos sospechosos, de manera que se limite la
propagació n lateral de la infecció n a otras partes de la red. También soporte el
parcheado automá tico para aplicaciones de software y sistemas operativos, incluso
cuando el endpoint está fuera de línea. Estas características ayudan a los gestores de la
infraestructura de TI a garantizar el cumplimiento de está ndares de privacidad de datos
y regulaciones de la industria cada vez má s estrictos.

Endpoint Protection and Security Fabric Agent Pá gina 12 de 48

Security rating – Gestión proactiva de riesgos

Las organizaciones pueden aumentar su seguridad mediante una suscripció n opcional al

servicio de clasificació n de seguridad de FortiGuard. El servicio de clasificació n de
seguridad Security rating ayuda a los gestores de las infraestructuras de TI a mejorar la
eficacia de sus medidas de seguridad de formas mensurables, e informar su postura de
riesgo a la gerencia ejecutiva, las juntas directivas y los auditores. El servicio de
clasificació n de seguridad ayuda a las organizaciones a comprender dó nde se
encuentran en relació n con organizaciones parecidas, dentro incluso del mismo
segmento productivo, y los está ndares aceptados, y proporciona informació n ú til que los
líderes de infraestructura de TI pueden utilizar para mejorar la postura de riesgo de la
organizació n.

Gestión de vulnerabilidades

FortiClient incluye una funcionalidad de aná lisis y escaneo de vulnerabilidades que

permite a los equipos de gestió n de infraestructuras TI descubrir y priorizar las
vulnerabilidades sin parches presentes en los equipos de la organizació n. FortiClient
también crea un inventario de aplicaciones instaladas en dichos equipos. Esto no solo
proporciona visibilidad sobre la utilizació n de las licencias de software, sino que
también ayuda a identificar aplicaciones potencialmente no deseadas y aplicaciones
obsoletas para las que es posible que no haya disponibilidad de parches de seguridad.
Todo esto da como resultado la reducció n de la superficie de ataque del endpoint.

Las capacidades de aprovisionamiento y monitorizació n centralizados de FortiClient

permiten que los equipos de infraestructura de TI modifiquen las políticas de seguridad
de los endpoints y realicen actualizaciones controladas a miles de clientes en unos
minutos, evitando la pérdida de tiempo asociada con la implementació n manual y
minimizando el error humano. Este proceso se ve favorecido por la integració n de la API
de FortiClient con Microsoft Active Directory.

Endpoint Protection and Security Fabric Agent Pá gina 13 de 48

Administración de vulnerabilidades

Identifica y prioriza las vulnerabilidades de software y del sistema operativo no

parcheadas, facilitando opciones de parcheado flexibles que incluyen la aplicació n
automá tica (auto patching) de actualizaciones, incluso cuando el equipo está offline.

Endpoint Protection and Security Fabric Agent Pá gina 14 de 48

Endpoint Protection and Advanced Proactive Threat Response

Las capacidades de protecció n del endpoint de ENDPOINT PROTECTION (EPP)

FortiClient permiten detectar y bloquear tanto
amenazas de malware conocidas como App FW, Anti-malware, Anti-exploit, Web Filtering

amenazas avanzadas y de “día cero”, gracias a

Advanced Threat Protection
la combinació n de estrategias de protecció n
antimalware basada en patrones, protecció n Sandbox Integration
anti-exploit contra vulnerabilidades de
seguridad basada en el comportamiento con Secure Remote Access
machine learning, filtrado de contenidos web y
SSL & IPSec VPN, SSO
un firewall de aplicaciones.
Complementa, ademá s, estas capacidades con
FABRIC AGENT
otras estrategias, como la integració n son
sandbox (on-prem o en nube), o la distribució n Visibility, Quarantine, Vulnerability, App Inventory
rá pida de pre-firmas con Virus Outbreak
Detection ante la detecció n por parte de nuestros laboratorios de inteligencia de
seguridad FortiGuard de brotes de malware o alguna amenaza emergente a nivel global.

De forma esquemá tica, el resumen de las principales capacidades de protecció n de

FortiClient es el siguiente:

Detecció n y bloqueo de malware

• Antimalware (CPRL)
• Anti-exploit (ML)
• Detecció n de brotes de virus (Virus Outbreak Detection)
• Integració n con sandbox
Mitigació n de vulnerabilidades y prevenció n de exploits
• Escaneo de vulnerabilidades
• Parcheo
• Protecció n contra explotació n (exploits)
• Filtrado web
• Cortafuegos de aplicaciones
Respuesta integrada y automatizada
• Cuarentena de archivos / endpoints
• Parcheo automá tizado
• Integració n de respuesta extendida en el Fabric
• Integració n SIEM / SOAR

A continuació n se muestra informació n ampliada de las má s relevantes.

Antimalware

El antimalware aprovecha el lenguaje de reconocimiento de patró n de contenido

(Content Pattern Recognition Language, CPRL) de FortiGuard, aprovechando en las
nuevas versiones nuevos motores de aprendizaje automá tico, la inteligencia artificial
(AI) y el aná lisis de big data en la nube para proteger el endpoint contra el malware. El
CPRL basado en patrones es altamente efectivo para detectar y bloquear el Malware
polimó rfico. También bloquea canales de ataque y sitios web maliciosos, y permite
poner en cuarentena los ficheros clasificados como maliciosos.

Endpoint Protection and Security Fabric Agent Pá gina 15 de 48

En el caso particular de sistemas operativos Windows, existe ademá s un motor de
protecció n específico Anti-Ransomware que monitoriza y bloquea las actividades del
sistema sobre archivos, carpetas o tipos de ficheros específicos frente a cambios no
autorizados.

Antivulnerabilidades

Protege contra amenazas avanzadas que aprovechan las vulnerabilidades de día cero y
sin parches disponibles. Esta tecnología, sin firma y basada en el comportamiento,
detecta y permite bloquear incluso técnicas avanzadas de ransomware y ataques sin
fichero basados memoria. Detecta varias técnicas de memoria utilizadas en los exploits,
como ROP, HeapSpray, y desbordamiento de bú fers. Protege los navegadores web, los
complementos Java / Flash, las aplicaciones de Microsoft Office y el PDF Reader, la
biblioteca de carga y los intérpretes de scripts (como PowerShell).

Advanced Threat Protection

Como solució n de protecció n de endpoints de pró xima generació n, FortiClient integra

endpoints con FortiSandbox (tanto on-prem como en nube), que utiliza análisis
basados en el comportamiento para examinar automá ticamente y en tiempo real
todos los archivos descargados en los endpoints de FortiClient, evitando que se exploten
vulnerabilidades y malware avanzado. Millones de usuarios de FortiClient y
FortiSandbox en todo el mundo comparten informació n sobre malware conocido y
desconocido con el servicio de FortiGuard basado en la nube. FortiGuard Global Threat
Intelligence comparte automá ticamente indicadores de compromiso e inteligencia de
seguridad con otras unidades FortiSandbox y endpoints FortiClient para prevenir
ataques y proteger contra las amenazas emergentes y “zero-days”.

FortiGuard Labs
AUTOMATED

4 Security Updates

3b Intelligence Sharing

1
FortiSandbox 1
File Submission/ 3a File Submission/
Result Real-time Intelligence Updates Result

2a 2a File Quarantine
Block Objects

FortiClient (ATP Agent)

3rd party Endpoint Agent
FortiGate/FortiMail/FortiWeb/FortiADC/FortiProxy/ICAP Device 2a File Quarantine

Las capacidades de detecció n de comportamiento maliciosos del propio servicio de

FortiSandbox avanzan en cada nueva release, y desde las ú ltimas versiones la
integració n con el EMS permite integrar en éste informes detallados de las muestras
analizadas, como se mostrará un poco má s adelante en este mismo documento.

Endpoint Protection and Security Fabric Agent Pá gina 16 de 48

Detección de brotes con el servicio basado en nuevo “Virus Outbreak Detection”

El servicio de VOD protege contra amenazas emergentes con inteligencia de amenazas

en tiempo real impulsada por FortiGuard. Se trata de un servicio de respuesta rá pida
que proporciona protecció n ante amenazas y brotes en curso detectados in-the-wild por
los laboratorios de FortiGuard Global Threat Intelligence, distribuyendo de una manera
muy rá pida indicadores de compromiso y prefirmas para identificar las ú ltimas
amenazas detectadas, incluso cuando no exista aú n una completa caracterizació n de las
mismas, limitando el posible tiempo de exposició n de los endpoints de la organizació n a
las mismas.

Web Filtering

Desarrollado por los investigadores de FortiGuard, la funció n de Web Filtering supervisa

todas las actividades del navegador web para aplicar la política corporativa de uso
aceptable y granular de su seguridad web, filtrado de contenido web y control granular
de software como servicio (SaaS), apoyá ndose en má s de 75 categorías diferentes.
Proporciona protecció n en todos los sistemas operativos compatibles (Windows, Mac,
Chromebook, Android, e iOS), y se integra con la funcionalidad de SafeSearch de Google.
Los administradores pueden configurar listas negras y
blancas, políticas dentro y fuera de la red e importar políticas
de Web Filtering de FortiGate para una aplicació n
consistente de las políticas corporativas de navegació n web.
Esto también permite evitar el tiempo y los gastos necesarios
para implementar y administrar una solució n de filtrado web
de terceros, o herramientas de proxy web.

Adicionalmente, FortiClient proporciona una completa

protecció n e inspecció n del trá fico cifrado HTTPS a través de

Endpoint Protection and Security Fabric Agent Pá gina 17 de 48

plug-ins en los navegadores del endpoint (Chrome, Firefox, MS Edge) sin necesidad de
aplicar intercepció n SSL, de manera que este cifrado no evada la aplicació n de las
políticas corporativas, má xime teniendo en cuenta que el trá fico HTTPS constituye en la
actualidad la mayoría del registrado en la navegació n web a nivel mundial.

Firewall de aplicaciones

Esta funcionalidad proporciona la capacidad para supervisar, permitir o bloquear el

trá fico de aplicaciones por categorías. Utiliza las mismas categorías que FortiGate, lo que
permite un control de trá fico de aplicaciones consistente en toda la organizació n.
Aprovecha el motor de antibotnet de FortiGuard, el IPS y la inteligencia de Application
Control, y permite evitar el uso de aplicaciones no deseadas (como botnets y minería de
monedas criptográ ficas), incluyendo aplicaciones de tipo proxy y las aplicaciones de
mensajería encapsuladas en HTTPS.

Endpoint Protection and Security Fabric Agent Pá gina 18 de 48

Acceso remoto seguro

FortiClient ofrece opciones flexibles para la ENDPOINT PROTECTION (EPP)

conectividad VPN, soportando tanto VPN SSL como
App FW, Anti-malware, Anti-exploit, Web Filtering
IPsec. La funcionalidad de split-tunneling permite, por
ejemplo, a los usuarios remotos de VPN SSL acceder a Advanced Threat Protection
servicios de Internet (SaaS) sin que su trá fico tenga que Sandbox Integration
pasar a través de concentrador de tú neles VPN
corporativo, como ocurre en un tú nel SSL típico. Esta Secure Remote Access

característica reduce latencia de acceso a estos SSL & IPSec VPN, SSO
servicios, mejorando la experiencia del usuario. Al
FABRIC AGENT
mismo tiempo, FortiClient incluye protecciones para
garantizar que las transacciones basadas en Internet no Visibility, Quarantine, Vulnerability, App Inventory

puedan fluir hacia la conexió n VPN y poner en peligro la

red corporativa.

FortiClient utiliza SSL e IPsec VPN para proporcionar acceso seguro y confiable a redes
y aplicaciones corporativas desde virtualmente cualquier ubicació n remota conectada a
Internet. FortiClient simplifica la experiencia del usuario remoto con funciones
integradas de conexión automática pre-logon, y VPN siempre activa. Pueden
utilizarse como credenciales de acceso usuarios y contraseñ as (locales, o apoyados en
RADIUS, LDAP, TACACS+), y/o certificados digitales, así como emplear una capa
adicional de seguridad mediante autenticación de doble factor con FortiToken.
Ademá s, FortiClient se integra con Microsoft Active Directory para facilitar la
autenticació n y los inicios de sesió n VPN utilizando credenciales de Active Directory.

Este conjunto de funciones como la conexió n automá tica de VPN, tú nel siempre activo, el
autoguardado de credenciales, la selecció n dinámica de puerta de enlace de VPN y el
tú nel dividido garantizan una experiencia de usuario fluida en todos los tipos de
dispositivos que se conectan desde el hogar o lugares pú blicos.

FortiClient ofrece a los administradores de infraestructuras TI un poderoso conjunto de

herramientas para asegurar el acceso de usuarios remotos, como por ejemplo el acceso
condicional a través de la integración del endpoint y la seguridad perimetral de la
red. Al aprovechar las capacidades de acceso condicional en FortiClient, se puede
controlar el acceso del endpoint de forma diná mica a través de grupos virtuales, por
ejemplo para determinar los derechos de acceso. Por tanto, y modo de ejemplo,
ú nicamente los usuarios de un grupo financiero podrían recuperar informació n de la
base de datos financiera de la organizació n. Sin embargo, los usuarios de los grupos de
ventas o de ingeniería no podrían hacerlo. En consecuencia, los firewalls de pró xima
generació n de FortiGate (NGFW) recuperan y utilizan grupos virtuales de FortiClient
para crear políticas de firewall que imponen el acceso condicional. Este proceso se
puede automatizar ya que FortiGate NGFW y FortiClient está n integrados en Security
Fabric.

La aplicació n de la seguridad también se extiende má s allá del acceso de grupo virtual al

automatizar el acceso condicional: si un endpoint no cumpliera con una condició n
preestablecida (por ejemplo, el dispositivo carece de un parche crítico del sistema
operativo durante un período de tiempo específico), FortiClient asignará al usuario un
grupo virtual de riesgo para la seguridad. En virtud de esta designació n, los NGFW de
FortiGate podrían denegar el acceso a todos los recursos excepto la conectividad a
Internet. En este escenario, por ejemplo, una vez que un usuario instalara el parche

Endpoint Protection and Security Fabric Agent Pá gina 19 de 48

requerido, FortiClient eliminaría al usuario del grupo de riesgo de seguridad,
restaurando así los derechos de acceso anteriores.

Inicio de sesión único (Single Sign On - SSO)

El acceso remoto seguro por VPN de FortiClient se integra con el servicio de

administració n de acceso e identidad FortiAuthenticator para proporcionar un inicio de
sesió n ú nico.

También puede configurarse un mensaje de disclaimer de cará cter legal que sea
necesario aceptar antes de establecer la conexió n VPN:

Endpoint Protection and Security Fabric Agent Pá gina 20 de 48

Otras características

Inventario de software

FortiClient incorpora un mó dulo de inventario para proporcionar visibilidad del

software instalado en los endpoints. Ademá s de administrar las licencias, el inventario
de software puede mejorar la higiene de seguridad. Cuando el software instalado no se
requiere para fines comerciales, introduce innecesariamente posibles vulnerabilidades
y, por lo tanto, aumenta el riesgo de compromiso en los equipos.

Control de dispositivos USB

FortiClient incorpora también un modulo de control de dispositivos USB, que permite la

identificació n y el control granulares de este tipo de dispositivos, basá ndose en el
nombre del mismo, su Class ID, o el fabricante, por ejemplo, con reglas que pueden
apoyarse incluso en el uso de expresiones regulares para su definició n.

Endpoint Protection and Security Fabric Agent Pá gina 21 de 48

Extensión de Chromebook

Las escuelas continú an mejorando sus tecnologías en el currículo y la adopció n de

dispositivos personales como Chromebook son cada vez má s comunes. En muchos
países se requiere que las escuelas cumplan con leyes específicas de protecció n de
Internet para niñ os (como la Children’s Internet Protection Act, CIPA, en los Estados
Unidos) y protejan a los estudiantes de contenido dañ ino mientras navegan por Internet.

Aplicación consistente de la política de Web Filtering dentro y fuera del campus

La funció n de Web Filtering de FortiClient, como se ha comentado anteriormente,

monitoriza todas las actividades del navegador web para aplicar la política de uso
aceptable y seguridad web con má s de 75 categorías y es compatible con SafeSearch de
Google. Permite la navegació n segura para K-12 (equivalente a primaria y secundaria)
dentro y fuera del campus; no requiere de proxy inverso ni VPN para su
implementació n, clasificando má s de 43 millones de sitios web y má s de 2 mil millones
de pá ginas web.

Fácil de implementar y fácil de usar

FortiClient para Chromebook se integra con la Google Organization Structure, se

administra desde la Google Management Console de la G-Suite y la Chrome Web Store de
Google. Permite a los administradores manejar las aplicaciones y extensiones en los
Chomebooks, convirtiéndolo en un proceso escalable. También permite el inicio de
sesió n ú nico con credenciales de Google, sin requerir un inicio de sesió n adicional en el
portal cautivo o similar.

Registro e informes detallados y flexibles

FortiClient identifica a los estudiantes que inician sesió n en sus Chromebooks, y les
aplica las políticas apropiadas que sean correspondientes a su edad/nivel. También es
compatible con los modelos de préstamo o uso bajo demanda, en los que los dispositivos
no está n asignados específicamente a un usuario.

Endpoint Protection and Security Fabric Agent Pá gina 22 de 48

De este modo, con FortiClient puede definirse de un modo sencillo una política de
filtrado/bloqueo web, incluyendo tanto URLs, contenidos cuestionables, o categorías
completas de FortiGuard, de forma granular basá ndose en el OU (unidad organizativa)
del estudiante en la Google Admin Console.

Endpoint Protection and Security Fabric Agent Pá gina 23 de 48

Integración con el Security Fabric

Un punto de partida fundamental para la

integració n de la seguridad de la red y los
endpoints es un ecosistema integrado y
abierto de soluciones de seguridad.
Diseñ ado para escalar y adaptarse a
medida que evolucionan las necesidades
de nuestros clientes, Security Fabric
permite a las organizaciones abordar el
espectro completo de desafíos en una
superficie de ataque en constante cambio.
FortiClient constituye una pieza clave del
Fortinet Security Fabric, integrando los
endpoints en la solució n global de
seguridad para la detecció n temprana y la
prevenció n de amenazas avanzadas y
ofrecer visibilidad del endpoint, control de
cumplimiento, gestió n de vulnerabilidades
y automatizació n.

A continuació n se enumeran ejemplos de có mo se integra FortiClient con Security

Fabric.

FortiGate
FortiClient
Endpoint

FortiClient
FortiClient comparte la telemetría de endpoint con FortiClient EMS Endpoint

Enterprise Firewall de FortiGate para aplicar el

cumplimiento de la seguridad de endpoint. La telemetría FortiClient
Endpoint

de FortiClient también contribuye a la clasificació n de

seguridad. La multiplicidad del cliente VPN proporciona Fabric
FortiGate

Connector
acceso remoto seguro.

FortiAuthenticator

Habilita el inicio de sesió n seguro (SSO) y la autenticació n de dos factores.

FortiSandbox

FortiClient se integra de forma nativa con FortiSandbox, enviando automá ticamente los
archivos al sandbox para su análisis en tiempo real. La inteligencia frente a amenazas en
tiempo real del FortiSandbox se comparte instantá neamente en toda la organizació n.

Endpoint Protection and Security Fabric Agent Pá gina 24 de 48

 FortiAnalyzer / FortiSIEM / FortiSOAR

Ademá s de la telemetría de endpoint, FortiClient envía registros que incluyen la

vulnerabilidad, el trá fico y los eventos al centro de operaciones de red (NOC) y el centro
de operaciones de seguridad (SOC) para el aná lisis de amenazas y la investigació n
forense.

Laboratorios FortiGuard

FortiClient aprovecha la investigació n y los servicios de inteligencia frente a amenazas

integrada de manera nativa con FortiGuard Labs en los siguientes á mbitos:

Antivirus

FortiGuard Antivirus protege contra los má s recientes virus, spyware y otras

amenazas a nivel de contenido. Utiliza los motores de detecció n avanzada líderes
en la industria para evitar que las amenazas nuevas y en evolució n se instalen
dentro de su red y accedan a contenido valioso.
Reputación de IP y seguridad antibotnet

El servicio FortiGuard IP Reputation agrega datos IP de fuentes maliciosa de la

Fortinet Distributed Network de sensores de amenazas, CERT, MITRE,
competidores cooperativos y otras fuentes globales que colaboran para proveer
inteligencia frente a amenazas actualizada sobre elementos hostiles. La
inteligencia casi en tiempo real de las puertas de enlace de la red distribuida combinada
con la investigació n a nivel mundial de FortiGuard Labs ayuda a las organizaciones a
mantenerse má s seguras y bloquear de forma proactiva los ataques.
Application Control

Con el Application Control de FortiGuard se pueden crear fácilmente políticas

para permitir o restringir el acceso a aplicaciones o a categorías enteras de
aplicaciones, mejorando la seguridad y logrando los objetivos de compliance con
una política de uso aceptable a través de una visibilidad incomparable, en
tiempo real en las aplicaciones que sus usuarios ejecutan.
Prevención de intrusiones

FortiGuard IPS protege contra las ú ltimas intrusiones de red al detectar y

bloquear las amenazas antes de que lleguen a los dispositivos de red.
Web Filtering

Protege su organizació n al bloquear el acceso a sitios web maliciosos,

comprometidos o inapropiados.

Compatibilidad con Sistemas Operativos

Endpoint Protection and Security Fabric Agent Pá gina 25 de 48
La versió n 6.4.3 de FortiClient es compatible con los siguientes sistemas operativos:
 Windows
◦ Microsoft Windows 7 (32-bit y 64-bit)
◦ Microsoft Windows 8.1 (32-bit y 64-bit)
◦ Microsoft Windows 10 (32-bit y 64-bit)
◦ Microsoft Windows Server 2008 R2 o posterior
◦ Microsoft Windows 10 IoT Enterprise LTSC 2019
 MacOS Big Sur (v11), Catalina (v10.15), Mojave (v10.14)
 iOS 9 o posterior (iPhone, iPad, iPod Touch)
 Android OS 5.0.1 o posterior (teléfono o tablet)
 Linux Ubuntu 16.04 o posterior, Red Hat 7.4 o posterior, CentOS 7.4 o posterior,
con KDE o GNOME

Las distintas funcionalidades disponibles en funció n del sistema operativo puede

consultarse en esta tabla:

1
Requiere que FortiClient sea gestionado por el EMS
2
También compatible con Chrome OS
3
También compatible con Windows Mobile.
4
Requiere FortiAnalyzer
*
Sin envío de ficheros

Endpoint Protection and Security Fabric Agent Pá gina 26 de 48

EMS – ENTERPRISE MANAGEMENT SERVER ON-PREM
El EMS es la solució n de administració n centralizada para todos los
endpoints con sistemas operativos Windows, Mac, Linux, iOS, Android
y Chromebook protegidos con FortiClient. Sus características
principales incluyen la gestió n remota de endpoints, el
aprovisionamiento de clientes, la integració n de Windows AD, la
monitorizació n en tiempo real del estado de los endpoints, un
completo panel con informació n de las vulnerabilidades encontradas,
el inventario de software instalado en los equipos, la administració n de
cuarentenas, alertas y má s.

Endpoint Protection and Security Fabric Agent Pá gina 27 de 48

De forma esquemá tica, el resumen de las principales funcionalidades del EMS es el
siguiente:

 La gestión de inventario de software proporciona visibilidad de las

aplicaciones instaladas y la gestió n de licencias para mejorar la higiene de la
seguridad. Puede utilizar la informació n del inventario para detectar y eliminar
aplicaciones innecesarias u obsoletas, o que puedan tener vulnerabilidades, para
reducir su superficie de ataque.

 La integración con el Active Directory de Windows ayuda a sincronizar la

estructura de AD de las organizaciones en el EMS, pudiendo por ejemplo
emplearse las mismas unidades organizativas para la administració n de los
endpoints.

 La monitorizació n del estado del endpoint en tiempo real siempre

proporciona informació n actual sobre la actividad del endpoint y los eventos de
seguridad detectados en la infraestructura de la organizació n.

 El cuadro de mando de vulnerabilidades ayuda a gestionar la superficie de

ataque de la organizació n. Todos los endpoints vulnerables se identifican
fá cilmente, y permiten gestionar de un modo sencillo las acciones de respuesta
necesarias para corregir o mitigar esos riesgos.

 Despliegue y aprovisionamiento centralizados de FortiClient, que permite a

los administradores implementar de forma remota software de endpoint y
realizar actualizaciones controladas. Hace que la implementació n de la
configuració n de FortiClient en miles de clientes sea una tarea sencilla con solo
hacer clic en un botó n.

 La configuración del sandbox se sincroniza automáticamente con EMS, y se

puede acceder a un aná lisis detallado de los archivos enviados por FortiClient
para la detecció n basada en el comportamiento en EMS. Los administradores
pueden ver toda la actividad de comportamiento de un archivo, incluida la
visualizació n grá fica del á rbol de procesos completo.

 La telemetría proporciona visibilidad del endpoint en tiempo real (incluido el

avatar del usuario) en la consola FortiGate para que los administradores puedan
obtener una vista completa de toda la red. La telemetría también garantiza que
todos los componentes de la estructura tengan una vista unificada de los
endpoints.

 Dynamic Access Control for Compliance Enforcement requiere que EMS cree
grupos virtuales basados en la postura de seguridad del endpoint. Estos grupos
virtuales luego son recuperados por FortiGate, y utilizados en la política de
firewall para el control de acceso dinámico. Los grupos diná micos ayudan a
automatizar y simplificar el cumplimiento de las políticas de seguridad.

 Endpoint Quarantine ayuda a desconectar rá pidamente de la red un endpoint

comprometido, evitando que infecte otros activos.

 La respuesta automatizada ayuda a detectar y aislar endpoints sospechosos o

comprometidos, eliminando la necesidad de intervenció n manual alguna.

Endpoint Protection and Security Fabric Agent Pá gina 28 de 48

A continuació n se muestra informació n ampliada de las características má s relevantes
del EMS.

Requisitos operativos

El despliegue on-prem de la consola centralizada de gestió n EMS requiere un servidor

con Microsoft Windows Server 2012 o posterior (en Windows Server 2019 es necesaria
la preinstalació n del Microsoft ODBC Driver 17 for SQL Server (x64)), con como mínimo
los siguientes recursos: dos cores 2.0 GHz 64-bit (o dos virtual CPUs), 4 GB RAM
(aunque se recomiendan 8 GB), 40 GB de espacio libre en disco, un interfaz de red
Gigabit (10/100/1000BaseT) y acceso a Internet (opcional, pero recomendado durante
la instalació n).

En la biblioteca on-line de Fortinet (

https://docs.fortinet.com/document/forticlient/6.4.3/ems-administration-
guide/282984/management-capacity ) se pueden encontrar las recomendaciones de
despliegue en funció n del nú mero de endpoints a gestionar, desde infraestructuras
inferiores a 5.000 hasta los 75.000 endpoints.

Conector EMS con FortiOS

Para el intercambio de telemetría, inteligencia de seguridad y utilizar las etiquetas EMS

en FortiOS, lo primero que debe configurarse es la conexió n del FortiGate al servidor
EMS a través de un conector específicamente diseñ ado para esta tarea.

Endpoint Protection and Security Fabric Agent Pá gina 29 de 48

Las instrucciones para configurar este conector se pueden encontrar en la biblioteca on-
line de Fortinet:
 FortiOS 6.4:
https://docs.fortinet.com/document/fortigate/6.4.5/administration-
guide/185333/forticlient-ems
 FortiOS 6.2:
https://docs.fortinet.com/document/fortigate/6.2.7/cookbook/185333/forticli
ent-ems

Gestión de los agentes de FortiClient

Selección de características disponibles

El EMS permite personalizar las opciones a nivel general, eliminando aquellas

características que el cliente no necesite utilizar (por ejemplo, porque disponga de otra
solució n que cubra esa funcionalidad), de modo que las funciones deshabilitadas no
aparecerá n en la definició n del perfil ni en la GUI de los endpoints. Los paquetes de
implementació n seguirá n mostrá ndolas todas, aunque mostrará n una advertencia si se
selecciona una funció n deshabilitada.

Esta característica permite simplificar los paneles de configuració n, creando perfiles a la

medida de las necesidades de cada organizació n.

Endpoint Protection and Security Fabric Agent Pá gina 30 de 48

Panel de control de vulnerabilidades

En este dashboard se tiene acceso a toda la informació n de vulnerabilidades recopilada

por los agentes de FortiClient, de manera que el estado global de seguridad de la
organizació n resulta fá cilmente sumarizable, permitiendo priorizar las acciones a
implementar para disminuir el nivel de riesgo.

Endpoint Protection and Security Fabric Agent Pá gina 31 de 48

Inventario de software

De un modo similar al anterior, este panel muestra todas las aplicaciones instaladas en
cualquiera de los endpoints, de manera que no só lo otorga visibilidad del inventario,
sino que facilita la gestió n del licenciamiento y permite alertar de la presencia de
aplicaciones no deseadas o que constituyan un riesgo para la seguridad de la
organizació n.

Endpoint Protection and Security Fabric Agent Pá gina 32 de 48

FortiGuard Web filtering DB

Una de las principales caracerísticas de FortiClient, como hemos visto anteriormente, es

la posibilidad de implementar de forma local en el endpoint una política de filtrado web,
con las mismas categorías y listas blancas/negras que emplea FortiGate,
proporcionando una protecció n coherente en la organizació n con independencia de la
ubicació n de sus equipos y usuarios.

Integración con FortiSandbox

Como también hemos comentado, los equipos protegidos con FortiClient no só lo pueden
integrarse con FortiSandbox para la protecció n frente a amenazas avanzadas y
emergentes, sino que directamente desde el EMS se tiene acceso a la informació n
completa del veredicto de FortiSandbox como resultado de la detonació n de las
muestras que se le envían para su aná lisis.

Endpoint Protection and Security Fabric Agent Pá gina 33 de 48

Zero Trust Tags – Etiquetas y reglas de verificación de compliance

FortiClient puede asignar una serie de etiquetas de los endpoints en funció n de

diferentes reglas, que incluyen características de los mismos o estado de compliance con
las políticas corporativas.

A partir de la versió n 6.4.2 de EMS FortiClient estas “host tags” han pasado a
denominarse Zero Trust Tags:

Estas Zero Trust Tags son pre-creadas en todos los FortiGates integrados con el EMS, de
manera que permitan su uso en las políticas de seguridad por adelantado; en la
siguiente secció n se ampliará la informació n de esta funcionalidad. Estas etiquetas
ú nicamente se actualizan en FortiGate cuando el endpoint cuando el EMS valida las
reglas de cumplimiento configuradas, y só lo lo hará en el FortiGate al que el endpoint
esté directamente conectado, así como cuando se se conecta a través de VPN.

Endpoint Protection and Security Fabric Agent Pá gina 34 de 48

Dichas “reglas de cumplimiento” se emplean para aplicar etiquetas a los endpoints,
etiquetas que a su vez pueder ser utilizadas por las políticas de FortiGate para el control
de acceso diná mico. Las reglas se construyen en base a pará metros medibles en los
agentes de FortiClient; para el caso de un sistema operativo Windows, por ejemplo, se
podrían construir en base a la versió n del OS, pertenencia a grupos del AD, gravedad de
vulnerabilidades detectadas en el equipo, informació n de AV o certificados instalados, la
presencia de determinada clave de registro, etc.:

Estas reglas pueden incluir varios pará metros relacionados mediante operadores
ló gicos (AND, NOT, OR):

En el caso de reglas que apliquen a varios sistemas operativos, el operador ló gico que
aplica es un OR en funció n del OS del cliente:

Endpoint Protection and Security Fabric Agent Pá gina 35 de 48

Las etiquetas pueden o no mostrarse al usuario, en funció n de la política que desee
implementar la organizació n:

Si no se deseara que el usuario conociera las etiquetas asignadas, simplemente habría

que desactivar esta característica en el perfil aplicado:

Endpoint Protection and Security Fabric Agent Pá gina 36 de 48

Endpoint Classification Tags

Existen otro tipo de etiquetas, que no deben confundirse con las anteriores, de
clasificación del endpoint; éstas permiten identificar los endpoints en base a categorías
por defecto (Low, Medium, High, Critical), y/o de forma personalizada (departamentos,
grupos organizativos, etc.). El propó sito de estas etiquetas es facilitar la tarea de triaje y
priorizació n por parte de los analistas del SOC, o de las tareas de respuesta automá tica
en FortiAnalyzer o FortiSOAR, identificando claramente los activos má s críticos, o
categorías que tengan sentido desde el punto de visto del negocio a la hora de tratar los
eventos de seguridad.

Políticas Dinámicas

Bajo esta denominació n se encuentra la capacidad de FortiGate de establecer políticas

de seguridad diná micas, en funció n de las características del endpoint, implementando
de este modo un control dinámico de acceso con segmentación basada en la
intención.

Algunos caso de uso se muestran a continuació n:

1) El primer caso sería el de un usuario legítimo del grupo de ingeniería, al que se le

deniega el acceso a los recursos de red de su departamento ante la detecció n de una
vulnerabilidad crítica en su equipo.

Endpoint Protection and Security Fabric Agent Pá gina 37 de 48

 Internet

Access Denied
Engineering Segment
Engineering Intranet

Tag Sales Segment

Sales Intranet

Finance Segment
FortiClient EMS FortiGate
Finance Intranet

Critical
Vulnerability

User: Kate User: Jenny User: Jack

Group: Engineering Group: Sales Group: Finance

2) El segundo caso de uso sería el de la segmentació n de acceso basada en etiquetas

asociadas a la pertenencia un determinado grupo de Active Directory.

Internet

Access Denied
Finance Segment
Engineering Intranet

Tag Sales Segment

Sales Intranet

FortiClient EMS FortiGate Finance Intranet

Tagging Configuration

User: Kate User: Kate User: Jenny

Group: Engineering
Group: Sales Group: Sales

3) Por ú ltimo, el tercer caso de uso mostrado como ejemplo sería el de la denegació n
total de acceso a los recursos corporativos a un dispositivo desconocido en nuestra red.

Endpoint Protection and Security Fabric Agent Pá gina 38 de 48

 Internet

Access Segment
Finance Denied
Engineering Intranet

Access Denied
Engineering Segment
Sales Intranet

Access
Sales Denied
Segment
FortiGate
Finance Intranet

BYOD

User: Unknown
Group: Unknown

Políticas on-net / off-net

Como se ha adelantado anteriormente, FortiClient dispone de la capacidad de identificar

cuá ndo un usuario se encuentra protegido dentro del entorno corporativo (on-net) y
cuá ndo se encuentra fuera de él (off-net), permitiendo aplicar políticas diferenciadas en
ambos entornos, por ejemplo para implementar una protecció n de navegació n de forma
local en el equipo -equivalente a la corporativa- cuando el equipo está off-net.

En los paquetes de políticas del endpoint se identifican claramente ambas, una como
política por defecto (“Endpoint profile”, equivalente al off-net), y otra denominada
“Endpoint profile (On-net)”:

Endpoint Protection and Security Fabric Agent Pá gina 39 de 48

Otras características de las políticas

Se reseñ an a continuació n otras dos características destacables con respecto a las

posibilidades de gestió n y asignació n de políticas en los endpoints.

Integración con Fabric – Sincronización automática de perfiles

Dentro de las capacidades de integració n con el Fabric, el EMS permite configurar

diversos métodos de sincronizació n de políticas y perfiles, bajo demanda o de manera
programada:

Agrupación de endpoints y provisión basada en grupos de AD

El EMS permite crear instaladores personalizados, por ejemplo para agrupar por defecto
los endpoints en funció n de su grupo de Active Directory, de manera que cuando un

Endpoint Protection and Security Fabric Agent Pá gina 40 de 48

nuevo dispositivo se registra en el EMS se le aplique automá ticamente la política
correspondiente a su grupo.

Application Based Split Tunnel

Una funcionalidad muy interesante que puede complementar las arquitecturas de

acceso a los servicios para los clientes remotos es la posibilidad de realizar un “split” del
tú nel VPN, de forma que se pueda permitir el acceso directo -sin tunelizar- a
determinadas aplicaciones. É stas pueden ser locales (identificadas por hash, o por
nombre de aplicació n), o en cloud; entre estas ú ltimas, se soportan entre otras Microsoft
Office 365, Microsoft Teams, Skype, GoToMeeting, Zoom, WebEx, o YouTube. También se
pueden definir dominios como destinos de comunicaciones a los que vaya a permitirse
comunicació n directa desde el endpoint como excepció n al trá fico tunelizado. Estas
políticas pueden ser positivas o negativas, esto es, las excepciones al tunelizado de
trá fico puede ser definido por inclusió n o exclusió n de aplicaciones o dominios:

Endpoint Protection and Security Fabric Agent Pá gina 41 de 48

Role Based Access

FortiClient EMS permite configurar de manera muy granular el acceso a la consola de

administració n; en la siguiente captura se pueden ver todos los privilegios individuales
que pueden ser seleccionados en la definició n de perfiles administrativos:

También puede utilizarse la informació n de grupos, subgrupos y OU de Active Directory

para definir accesos granulares:

EMS API Support

Como ocurre en gran parte de las soluciones de Fortinet, el EMS incorpora una completa
API que permite interactuar con la solució n tanto para recoger valores de la
monitorizació n de la infraestructura protegida, como para gestionar la configuració n de
políticas y endpoints.

Endpoint Protection and Security Fabric Agent Pá gina 42 de 48

Soporte para entornos aislados

Existen arquitecturas de red que se caracterizan por su aislamiento de otras redes

externas, que normalmente se encuentran en entornos militares o que manejan
informació n clasificada, aunque también existen arquitecturas similares por ejemplo en
entornos industriales. FortiClient EMS incluye soporte para estos entornos air-gapped,
de forma que ni el EMS ni los clientes requiren acceso a Internet para su
funcionamiento; de forma alternativa, pueden delegar las comprobaciones de licencias
(instaladas de forma local en el EMS) y recibir todas las actualizaciones necesarias a
través de un FortiManager. Si el aislamiento de la red lo requiriera, se puede emplear un
esquema de dos FortiManagers, uno online y otro offline, para la descarga desde
FortiGuard de paquetes de firmas, políticas y nuevas versiones de instaladores de
FortiClient, y su importació n segura al EMS.

Endpoint Protection and Security Fabric Agent Pá gina 43 de 48

EMS EN LA NUBE – FORTICLIENT CLOUD
Ademá s de su versió n para despliegue on-prem, FortiClient tiene la opció n de desplegar
el EMS en una instancia en cloud y mantenida por el fabricante.

Algunas de las características específicas del EMS en nube son las siguientes:

 Soporte para gestionar hasta 5.000 FortiClients.

 Nuevo conector en FortiOS 6.4.5 con instancias EMS cloud en versió n 6.4.3.
 En versiones 6.4, se ha incluido el soporte para integració n de la instancia en
nube con el Active Directory.

Endpoint Protection and Security Fabric Agent Pá gina 44 de 48

FORTICLIENT BEST PRACTICE SERVICE
Los nuevos despliegues de FortiClient van acompañ ados durante el primer añ o de una
suscripció n a un nuevo servicio de valor añ adido proporcionado por los servicios
profesionales del fabricante denominados “Best Practice Service” (BPS). Estos “Servicios
de Mejores Prá cticas” brindan acceso a un equipo especializado que proporciona
orientació n sobre implementació n, actualizaciones y operació n de la solució n de
protecció n del endpoint, mediante un sistema de ticketing diferenciado al prestado por
el soporte de FortiCare. Este proceso permite a los clientes compartir informació n sobre
su implementació n, requisitos de usuario, recursos y otros elementos relacionados con
el despliegue; basá ndose en la informació n proporcionada, los expertos en BPS pueden
proporcionar prá cticas recomendadas, có digo de ejemplo, enlaces a herramientas y
otros materiales o asistencia para acelerar la puesta en producció n, guiando al cliente
mediante las mejores prá ticas de despliegues.

El equipo de BPS no inicia sesió n en la infraestructura del cliente ni aplica cambios sobre
la misma, ya que se trata de un servicio de consultoría y orientació n. Sin embargo, sí
pueden proporcionar -por ejemplo- configuraciones para que el cliente pueda
importarlas en su despliegue.

Endpoint Protection and Security Fabric Agent Pá gina 45 de 48

TABLA DE COMPATIBILIDAD ENTRE VERSIONES
Este cuadro resume la compatibilidad de FortiClient con otras soluciones de Fortinet.

* El uso de FortiClient 6.2.0+ con versiones de FortiOS anteriores a 6.2.0 solo soporta telemetría,
IPsec VPN y SSL VPN.

Las versiones de FortiSandbox anteriores a la 2.5.0 no ofrecen la autorización de FortiClient.

FortiSandbox 2.4.0+ puede requerir la autorización de FortiClient para deshabilitarse.

Endpoint Protection and Security Fabric Agent Pá gina 46 de 48

OTROS RECURSOS
Para má s informació n, se recomienda la visita a la biblioteca online del fabricante, la
Fortinet Document Library accesible en https://docs.fortinet.com/ :

De forma específica, relacionada con FortiClient puede encontrarse informació n bajo

estas secciones de la biblioteca:

 FortiClient ( https://docs.fortinet.com/product/forticlient/6.4 )

Endpoint Protection and Security Fabric Agent Pá gina 47 de 48

  Tele-working ( https://docs.fortinet.com/teleworking/6.4 )

Adicionalmente, en el blog de los System Engineers de Fortinet en Españ a (

https://fortixpert.blogspot.com/search/label/FortiClient?view=sidebar ) hay multitud
de artículos que desarrollan mú ltiples facetas de FortiClient y EMS.

Endpoint Protection and Security Fabric Agent Pá gina 48 de 48