Características del Firewall Fortinet

La Arquitectura FortiGate

La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones.

La tecnología incluye el Procesador FortiASICTM y el Sistema Operativo FortiOSTM los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos.

Alta disponibilidad

Conjunto de dos o más máquinas que se caracterizan por mantener una serie de servicios compartidos y por estar constantemente monitorizándose entre sí.

   Activo-Activo (en modo router y transparente): La configuración de “alta disponibilidad” en activo-activo es muy similar a la de activo-pasivo, aunque en este caso los dos nodos comparten los servicios de una manera activa, normalmente balanceados, consiguiendo una disponibilidad mayor ya que los servicios se entregan antes.

   Pasivo-Activo: Se trata de disponer de un nodo funcionando, contando con todos los servicios que componen el sistema de información al que denominaremos Activo, y el otro nodo que se denominará Pasivo en el que se encuentran duplicados todos estos servicios, pero detenidos a espera de que se produzca un fallo.

Virtualización – VDOMs

Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única  plataforma física podemos configurar hasta 500 Equipos virtuales, completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física.

Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de hasta 10 dominios virtuales, siendo posible ampliar el número de éstos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales.

Cada uno de estos dominios virtuales representan de forma lógica una máquina independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc.

Networking

La línea de soluciones de seguridad multiamenaza FortiGate Series ofrece a las empresas un sencillo despliegue, al permitir su instalación sin problemas en redes de última generación.

  • Modos de Operación:
    • Modo NAT
    • Modo transparente: Se coloca delante del servidor existente y presenta una integración imperceptible en el entorno de red donde se ubica. Permite colocar el appliance en la red sin realizar ningún cambio de dirección IP. Cuando se opera en modo transparente todas las interfaces de la unidad hardware se encuentran en la misma subred IP y el appliance actúa como puente.
    • Soporte PPPoE (Protocolo Punto a Punto sobre Ethernet)
    • Soporte DDNS support
    • DHCP for Branch Office
    • Proxy DNS
    • Protocolos de Routing: Static, RIP v1 and v2, OSPF
    • SNMP Support
    • Posibilidad de personalización de los mensajes mostrados a los usuarios relativos
    • a cada una de las funcionalidades
    • ICSA Certification
    • Stateful Inspection (Inspección profunda de paquetes)
    • Virtual IP
    • 802.1q VLAN support
    • Políticas de autenticación basadas en grupos de usuarios
    • Autenticación externa: Radius, LDAP
    • Proceso acelerado por ASIC

Balanceo

Suministra una completa solución de acceso remoto que consolida la aceleración WAN, VPN y multi-homing para garantizar una conectividad rápida y fiable de las operaciones remotas y acceso global seguro a las aplicaciones distribuidas que se encuentran en el centro de datos. Soporta balanceo estático de ISPs y políticas basadas en rutas (policy routing) con la posibilidad de enrutar los paquetes por cualquier otro dato que no sea la dirección destino del paquete.

Balanceo de carga. Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas  ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurado a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o http de manera que ente el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad.

Calidad de servicio

Traffic shaping. El Traffic shapingo catalogación de tráfico controla el tráfico en redes de ordenadores para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado, pudiendo priorizar políticas de firewall por:

  • Ancho de banda garantizado
  • Ancho de banda máximo
  • Priorización dinámica entre políticas

VPN

Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, además de PPTP. De esta forma, oficinas pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. Al estar integrada la funcionalidad VPN en la propia plataforma FortiGate, el tráfico VPN puede ser analizado por el módulo de Firewall así como por las funcionalidades adicionales antivirus, IPS, web filtering, antispam, etc.

Algunas características son:

  •  Soporte para VPN Site-to-Site, en modo router y transparente.
  •  Soporte para VPN cliente en modo router y transparente
  •  Soporte DDNS.
  •  Soporte DES, 3DES,AES256, L2TP,PPTP
  •  Load Sharing e clustering
  •  Gestión de Certificados Digitales
  •  Autenticación externa (Radius, LDAP)
  •  Nat /Pat
  •  Xauth sobre Radius
  •  Internet Key Exchange (IKE)
  •      • Diffie-Hellman (DH) Groups 1, 2, 5
  •      • RSA Certificates
  •  Protocolos de routing RIP, RIP2, OSPF
  •  IPSEc Nat transversal
  •  Dead peer detection
  •  DHCP sobre IPSec
  •  Soporte para VPN Hub and Spoke
  •  Proceso acelerado por ASIC

Antivirus

La protección Antivirus se encarga de detectar, desinfectar y/o eliminar de códigos maliciosos a la empresa, con actualizaciones en tiempo real para proteger contra nuevos ataques. Certificado por ICSA Network Antivirus es capaz de analalizar los siguientes protocolos: HTTP, FTP, SMTP, POP3, IMAP y posibilidad de buscar virus en cualquier otro puerto distinto al de por defecto para estos protocolos y basada en firmas.

Características:

  •  Soporte de escaneo del tráfico de los túneles IPSec terminados en el dispositivo.
  •  Posibilidad de update de firmas en modo Push y Pull
  •  Heuristic detection
  •  Grayware detection
  •  Spyware detection
  •  Block by file size and Type
  •  Posibilidad de cuarentena automática
  •  Posibilidad de redirección de los ficheros infectados para análisis
  •  Soporte de ficheros comprimidos ZIP, LHA, LZH , ARJ, CAB, TAR, GZ, RAR, incluso anidados
  •  Proceso acelerado por ASIC
  •  Funcionalidad proporcionada por el mismo fabricante del equipo CPE

IDS/IPS

Detección y Prevención de Intrusión es un sistema que se encarga de la detección y prevención  automática, y en tiempo real, de más de 4.000 tipos de ataques. Esto permite a la Seguridad FortiGate parar los ataques que evaden los sistemas de antivirus convencionales a base de anfitrión, y proporciona la respuesta inmediata a amenazas de extensión rápidas.

Usando la Red de Distribución global FortiGuard, FortiGate para los ataques más perjudiciales en el perímetro de red independientemente de si la red es cableada, inalámbrica, etc. Además la tecnología única de Fortinet también apoya la heurística a base de comportamiento que añade capacidades de reconocimiento valuosas más allá simplemente de la correspondencia del contenido contra firmas conocidas.

Proceso acelerado por ASIC y certificado por ICSA cumple las siguientes características:

  •  Soporte de escaneo del tráfico de los túneles IPSec terminados en el dispositivo.
  •  Posibilidad de update de firmas en modo Push y Pull
  •  Posibilidad de creación de firmas
  •  Deteción de anomalías de protocolo
  •  Basado en estadísticas

AntiSpam

La funcionalidad AntiSpam ofrecida por los equipos FortiGate consiste en la aplicación de diferentes filtros sobre el tráfico de intercambio de correo electrónico (protocolos SMTP, POP3 e IMAP). Aquellos filtros que requieren la conexión con servidores externos (FortiGuard Antispam o los servicios de Listas Negras en tiempo real) se ejecutan de forma simultánea con los otros filtros, optimizando el tiempo de respuesta del análisis de los mensajes. Tan pronto como alguno de los filtros aplicados identifica el mensaje como spam se procede a realizar la acción definida para cada filtro que podrá ser:

• Marcar el mensaje como Spam (Tagged): El mensaje quedará identificado como Spam, y en el perfil de protección podremos decidir si se deja pasar, identificándolo como Spam y pudiendo incluir en la cabecera del mismo o en el encabezamiento MIME un mensaje identificativo, o bien si preferimos descartar el mensaje (solo sobre SMTP).

• Descartar (Discard): En este caso el mensaje es desechado, en el caso de SMTP es posible sustituirlo con un mensaje predefinido que advierta al usuario del envío de Spam.

Los filtros antispam aplicados por la plataforma FortiGate a los mensajes de correo se basan en el control por origen del mensaje y el control por el contenido del mismo.

  •  Source control
  •      • By email adresses
  •      • By Mail server IP address
  •  Static lists (locally maintained on the FortiGate)
  •  Dynamic lists (real-time DNS blacklists available on the Internet)
  •  HELO DNS lookup (SMTP)
  •  Content Control
  •      • MIME Headers
  •      • Banned words lists
  •  AntiSpam managed Service (FortiGuard AntiSpam)
  •      • Open Relay Data base
  •      • URI Database

URL Filtering

El Servicio de Filtrado Web de Fortinet entrega actualizaciones para regular actividades web. Con 75 categorías de contenidos web, más de 30 millones de sitios web nominales y más de dos mil millones de páginas web, el Servicio de Filtración de FortiGuard es uno de los servicios integrados más exacto de la industria.

La solución Fortiguard Web Filter consiste en dos partes, los Servidores Fortiguard y el sistema de seguridad multiamenaza FortiGate. Los servidores FortiGuard contienen una base de datos de posiciones que consiste en unos mil millones de direcciones de páginas web. El servicio de Filtración FortiGuard puede ser activado sobre todos los sistemas de seguridad FortiGate para regular y bloquear el acceso a los sitios web dañinos, inadecuados y peligrosos que pueden contener ataques de Phishing y/o malware como spyware.  Las posibilidades de filtrado son múltiples:

  •  Filtrado de URL
  •      • Por direcciones IP
  •      • URLs completas
  •      • URLs definidas usando wildcards o regular expressions.
  •      • Posibilidad de importar listas de terceros
  •  URL Exempt list
  •  Filtrado de contenido – Listas negras/blancas locales
  •  Filtrado de Scripts – Java applets, cookies, y activeX
  •  URL Filtering managed Service (FortiGuard)
  •      • More that 25 Million Domains categoryzed
  •      • 56 categories

 

 

Sistema de Gestión

Una vez instalada la unidad hardware se puede configurar y gestionar. Además se posibilita la administración basada en roles para multiples administradores con funciones dedicadas.

Las formas de gestión son:

     Gestor basado en WebEs posible configurar, gestionar y monitorizar el estado de la unidad hardware utilizando http, https (mejor opción) a través de un computador que opere en red. Los cambios de configuración son efectivos de forma inmediata.

     Interfaz de linea de comandos ó CLISe puede conectar al puerto serie de un pc de gestión al conector DB9 de consola serie. Se puede utilizar una conexión Telnet o mejor SSH para conectarse al CLI desde cualquier red a la que esté conectado el appliance, incluido internet. La CLI soporta la misma configuración y funcionalidades de monitorización que el gestor basado en web, además se puede utilizar la CLI para opciones de configuración avanzadas que no son disponibles desde el gestor basado en web.

     Actualizaciones automáticas: Servicios de Suscripción de Seguridad FortiGuard, permite la protección de red actualizada 24×7 frente a todo tipo de amenaza.

Actualmente, más de 135.000 sistemas UTM FortiGate cubren en tiempo real en todo el mundo las amenazas de seguridad basadas en contenido de las actuales redes corporativas que han rebasado las capacidades de las tradicionales defensas basadas en cortafuegos.

 

Sistema de logging y reporting

  •  Funcionalidades de gestión de logs y generación de informes. Proporciona un registro de eventos del funcionamiento antivirus, antispam, etc., así mismo posibilita la generación de informes a medida en diversas modalidades, como la personalizada y la planificada.
  •  Centralización de logs: Posibilidad de almacenar eventos en memoria, discos duros ó envio de información a un sistema de Syslog externo o Fortianalyzer.
  •  El archivado de contenidos permite guardar información relevante: SMTP, POP3, FTP, HTTP, IM
  •  Espacio reservado para cuarentena de antivirus.
  •  Alertas por email para eventos críticos.

 

FortiOs 4.0

Fortinet wan acceleration

La opción de WAN Acceleration está pensada para mejorar e incrementar rendimiento y seguridad en comunicaciones a través de redes de área extensa, como puede ser el caso de Internet o MacroLans.

Web caching

Básicamente se aceleran transacciones con aplicaciones WEB reduciendo la carga de dichos servidores web y el ancho de banda utilizado, así como la percepción de latencia por el usuario final.

Aceleracion ssl

Gracias a los circuitos ASIC CP6 de última generación se acelera el cifrado/descifrado de trafico SSL.

Inspeccion de contenido y analisis en comunicaciones ssl

Básicamente se lleva a cabo una arquitectura del tipo ‘man-in-the-middle’ y de esta forma se permite inspeccionar contenidos (por ejemplo detectar un virus) en comunicaciones tunelizadas sobre SSL como HTTPS,SMTPS,POP3S o IMAPS.

Data leak protection

Protección de fuga de datos en diferentes protocolos de transferencia de datos utilizados usualmente (smtp,ftp,http…) con reglas o grupos de reglas predefinidas (por ejemplo una de ellas inspecciona en busca de números de tarjetas de crédito) o totalmente personalizables.

Control de aplicaciones

Control de tráfico basándose en las aplicaciones que lo generan y con independencia del puerto utilizado. Antes ya se contaba con controles para algunos protocolos (sobre todo P2P e IM) ahora se han incluido controles para mas protocolos/aplicaciones con independencia del puerto por lo que se ha realizado un apartado especial para este control de aplicaciones.

End point compliance

Integración de la capa firewall perimetral con el puesto de trabajo. Mediante Forticlient es posible securizar los puestos de trabajo (AV,IPS,AP,WF) dentro y fuera del entorno laboral.

En el entorno laboral se pueden aplicar las políticas de seguridad de Firewall perimetral basándose en el grado de seguridad que el puesto de trabajo concreto necesita gracias a Forticlient. Se pueden aplicar unas u otras políticas de seguridad y dar al Firewall información del puesto de trabajo tal como Hostname, IP, volumen de tráfico generado en KB, versión del SSOO, Dominio, tipo de CPU, memoria, etc.

 

FortiOS 5.0

FortiOS 5.0 tiene más de 150 nuevas funcionalidades y mejoras, entre ellas:

  • Capacidad para gestionar física y virtualmente los dispositivos de servicios utilizando un único GUI basado en web con nuevas características como la función de `arrastrar y soltar´ políticas entre paneles, editar objetos de las políticas directamente, soporte a IPv6 y una nueva capacidad de script
  • Más perfiles administrativos granulares y sencillos de usar
  • Capacidades de aprovisionamiento mejoradas para puestas en producción a gran escala
  • Reporting y análisis mejorado con display multimarco, políticas `arrastrar y soltar´ entre bases y marcos de normas, logging y reporting integrado y soporte para IPv6

 

Asimismo, los proveedores de red/cloud se beneficiarán de la funcionalidad XML y JSON API añadida así como de las capacidades de script UI que permite un auto-aprovisionamiento y creación simplificada y modificación de las políticas y objetos.

Leave a Reply