Solucción UTM Fortigate-50B Teoría

download Solucción UTM Fortigate-50B Teoría

of 7

description

Fortigate 50B Solucción UTM para pequeñas redes

Transcript of Solucción UTM Fortigate-50B Teoría

SistemaUTMFortigate50B

[email protected]/2012

UTM (gestin unificada de amenazas) FORTIGATE 50B

CONEXIN AL DISPOSITIVO Va web Va Consola CONFIGURACIN BSICA USE MODE Configuracin modo NAT Configuracin modo Transparente CONFIGURACIN ADICIONAL Fecha y hora. Contrasea de administrador Registrar el dispositivo CONFIGURACIN AVANZADA Perfiles de proteccin Reglas de cortafuego Antivirus AntiSpam Filtrado Web SERVICIOS EXTRAORDINARIOS Dominios Virtuales Servicio de proteccin de intrusiones Mensajera instantnea, P2P y VoIP Identificacin de usuario Conexiones VPN Balance de carga LOGs y reportes Administracin de firmware y de estado de sistema DOCUMENTACION E INFORMACIN

Se da permiso para copiar, distribuir o modificar este documento en los trminos que establece la licencia Creative Commons Reconocimiento-CompartirIgual 3.0. Este documento es de su autor

SistemaUTMFortigate50B 01- TEORA SOBRE FORTIGATE

[email protected]/2012

UTM (gestin unificada de amenazas) Las soluciones UTM unifican diversos recursos de seguridad y alta disponibilidad como cortafuegos, antivirus, Ids, antispam, VPN, mltiples conexiones a Internet gestionadas, etc... Dada su finalidad, estn creados con la idea de mejorarla seguridad de la red, reducir el uso inadecuado y abusivo, y facilitar un uso ms eficiente de los recursos de red sin interferir en su rendimiento. Para ello incluyen: servicios a nivel de aplicacin como proteccin antivirus y filtrado de contenidos. servicios a nivel de red como firewall, IDS, VPN o packet shaping

En esta unidad se va a tratar el dispositivo hardware Fortigate 50, sirviendo de ejemplo para este tipo de sistemas.

1-. CONEXIN AL DISPOSITIVO Para configurar el dispositivo Fortigate hay que conectarse a l. Esto se puede hacer de dos maneras: va navegador o va consola. 1.1-. Va web Para conectar va navegador el dispositivo tiene por defecto la IP 192.168.1.99/24 por lo que el dispositivo desde el que se vaya a realizar la conexin deber tener conectividad con dicha IP. La conexin es mediante SSL por lo que debemos utilizar https:// en la barra del navegador.

1.2-. Va Consola Para conectar va consola se necesita acceso fsico al dispositivo, un ordenador con puerto Serie COM1, un cable RJ45-DB9 y un programa de emulacin de terminal como Hyperterminal o minicom. Por defecto en ambos casos el usuario es admin sin contrasea. 2-. CONFIGURACIN BSICA

2.1-. USE MODE Este dispositivo se puede configurar rpidamente en los dos modos de funcionamiento. La eleccin del que usaremos se realizar en funcin del uso que se quiera hacer de l. Estos modos son: el modo NAT y el modo Transparente.

SistemaUTMFortigate50B

[email protected]/2012

En el modo NAT el dispositivo Fortigate se comporta como un router aprovisionando a sus puertos con distintas subredes. En el modo Transparente el dispositivo es invisible a la red. Se configura una ip para realizar la administracin del dispositivo y las actualizaciones de las definiciones de virus y ataques. En ambos modos se provee de los servicios de firewall, antivirus, antispam, VPN y servicios avanzados. 2.1.1-. Configuracin modo NAT Al configurar el sistema en modo NAT se configuran las direcciones de los puertos del dispositivo, la tabla de rutas y unas simples reglas de cortafuegos. Esto se puede hacer tanto va web como con el terminal. De cualquiera de los modos habr que realizar las configuraciones habituales de un router y un cortafuegos: Configurar las direcciones de las interfaces. Hay que especificar si la recibir por DHCP, de manera esttica o por PPPoE Configurar los servidores DNS que consultar el dispositivo. Aadir la ruta por defecto y la puerta de enlace (si queremos una distinta de la que viene por defecto y si no la recibe dinmicamente) Configurar reglas de filtrado de paquetes. (Por defecto todo el trfico est permitido)

2.1.2-. Configuracin modo Transparente Al configurar el sistema en modo Transparente hay que configurar una direccin IP para la administracin del dispositivo, las rutes por defecto y unas sencillas reglas de cortafuegos. Esto al igual que la configuracin en modo NAT se puede hacer tanto va web como desde la consola Al seleccionar el modo Transparente se solicita la direccin de administracin del dispositivo Configurar los servidores DNS que consultar el dispositivo. Configurar reglas de filtrado de paquetes. (Por defecto todo el trfico est permitido)

El dispositivo acta como un firewall y todos los interfaces estn en el mismo segmento de red

SistemaUTMFortigate50B 2.2-. CONFIGURACIN ADICIONAL 2.2.1-. Fecha y hora.

[email protected]/2012

Dentro de esta configuracin bsica hay otras cosas que considerar antes de darla por terminada. Es conveniente que la fecha y hora del dispositivo est correctamente configurado. Esto se puede hacer manualmente o automatizado mediante un servidor NTP. 2.2.2-. Contrasea de administrador Como se coment al principio el usuario por defecto es admin y su contrasea est en blanco. Es necesario cambiar esto antes de poner en produccin el sistema. 2.2.3-. Registrar el dispositivo Al registrar el dispositivo se configura para conectar al servidor de actualizaciones del antivirus, antispam y las definiciones de los ataques para el IPS (Intrusin Protection System)

3-. CONFIGURACIN AVANZADA El dispositivo Fortigate 50B posee como cualquier sistema UTM un conjunto integrado de herramientas de seguridad y control del trfico de la red que va ms all de garantizar la mera conectividad. 3.1-. Perfiles de proteccin Son grupos de configuraciones que ajustan el sistema a los requisitos deseados tanto de carga de trabajo como de seguridad. Mediante estos perfiles se puede configurar la proteccin antivirus, el filtrado web, el filtro de spam,el trfico p2p, las polticas de registro, etc... Usando estos perfiles se pueden personalizar los niveles de proteccin para las distintas polticas del cortafuego. El sistema tiene pre-configurados cuatro perfiles de proteccin: Strict normales. Scan Web Es el perfil ms restrictivo y puede no ser usable en condiciones Aplica escaneo antivirus al trfico web, ftp y de correo electrnico. Aplica tanto anlisis antivirus como bloqueo de contenidos al trfico HTTP.

Unfiltered No aplica escaneo antivirus, bloqueo de contenidos ni proteccin de intrusiones. Se utiliza en reglas de cortafuegos para entornos muy seguros. Se pueden tanto crear nuevos perfiles como configurar de distinto modo los perfiles existentes.

SistemaUTMFortigate50B 3.2-. Reglas de cortafuego

[email protected]/2012

Las reglas del cortafuegos tienen que tener asignados por lo menos un destino, un origen y un servicio y sobre l aplicar una accin concreta de entre estas tres: Aceptar, Denegar e IPSec. Es aqu donde se elige si se aplican o no muchas de las opciones que se configuran en otros apartados como puede ser los perfiles de proteccin, el ancho de banda , la prioridad de las comunicaciones, los usuarios a los que se aplica, si se guardan registros o no, etc.. definidos en cada regla. Las opciones del ancho de banda son el mnimo garantizado y el mximo permitido. Los niveles de prioridad de las comunicaciones especificadas en las reglas del cortafuegos son prioridad baja, media y alta. 3.3-. Antivirus El antivirus de Fortigate 50B compara el tipo de archivo del trfico entrante con los tipos de archivos indicados en una lista de patrones de archivo. Si coincide el archivo es analizado con estos mtodos: Escaneo de Virus Basndose en listas de definiciones de virus que se actualizan regularmente a travs de Fortinet Distribution Network. Escaneo de grayware Este tipo de software en principio sin ser dainos para los equipos pueden servir para recolectar informacin de los sistemas y generalmente congestionan el trfico de red con trfico no deseado. Heurstica El antivirus posee un motor de heurstica que permite detectar virus que no estn en las listas de definiciones y aunque permite detectar nuevos virus produce tambin falsos positivos. 3.4-. AntiSpam Detecta correos comerciales no deseados. Esta caracterstica hay que configurarla manualmente o tambin requiere tener el producto registrado y tener una suscripcin FortiGuard. El filtrado se basa en listas negras de IPs, listas negras de URLs y herramientas de filtrado de spam. Las opciones ante un correo no deseado son la marca del mismo como tal, de modo que al usuario le sea fcil reconocerlo, o desecharlo directamente antes de enviarlo al buzn correspondiente. Las herramientas de filtrado permiten crear listas de palabras prohibidas, tpicas de los correos no deseados, para aplicarlas a los filtrados. La aplicacin de estas listas de palabras, de direcciones y de urls se realiza en cada uno de los perfiles de proteccin. 3.5-. Filtrado Web Esta herramienta controla que sitios estn disponibles para los usuarios. Se divide en tres secciones: el filtro de contenidos, el filtro de direcciones y el FortiGuard Web Filter. El filtro de direcciones y el de contenidos permiten el uso de expresiones regulares en las definiciones que aadamos en ellos. El FortiGuard Web Filter requiere suscripcin FortiGuard al igual que el filtro antispam.

SistemaUTMFortigate50B 4-. SERVICIOS EXTRAORDINARIOS

[email protected]/2012

4.1-. Dominios Virtuales Los dominios virtuales son un modo de convertir un dispositivo Fortigate en varias unidades virtuales que funcionan como unidades independientes permitiendo crear y gestionar diferentes zonas de seguridad. Deben contener por lo menos dos interfaces que pueden ser tanto fsicas como virtuales. Los paquetes que viajan de un dominio virtual a otro tienen que atravesar las reglas del cortafuegos del dominio virtual de origen y las del de destino. Por defecto el dispositivo permite hasta 10 dominios virtuales aunque se puede ampliar este nmero adquiriendo la licencia correspondiente. 4.2-. Servicio de proteccin de intrusiones Este servicio est comprendido en esta categora puesto que es apropiado para grandes redes o para redes que protegen informacin sensible puesto que para que sea efectivo hay que monitorizar y analizar los registros para determinar la naturaleza y el nivel de amenaza de los ataques. En una red pequea sin administrador los mensajes de ataques podran inundar las capacidades de la red. 4.3-. Mensajera instantnea, P2P y VoIP El UTM que estamos tratando es capaz de controlar y monitorizar el uso de aplicaciones de mensajera instantnea y de intercambio de archivos p2p y de los protocolos de VoIP. Este control es aplicado desde diversos sitios: desde IPS (servicio de proteccin de intrusiones), desde los perfiles de proteccin y desde polticas del cortafuegos. 4.4-. Identificacin de usuario Las cuentas y grupos de usuarios y los servidores externos de autentificacin pueden usarse para controlar el acceso a los recursos de red. Las polticas del cortafuegos se aplicarn a los grupos de usuarios. Estos pueden ser autentificados mediante infraestructura de clave pblica (PKI ) o contra servidores externos de LDAP, RADIUS y TACACS+. 4.5-. Conexiones VPN Otro de los servicios que ofrece este dispositivo son conexiones VPN tanto de tipo SSL como de tipo IPSec. Para configurar una IPSec VPN hay que configurar el tnel y una poltica de cortafuegos. Tambin se pueden crear conexiones SSL VPN. 4.6-. Balance de carga El sistema permite el balanceo de carga entre varios servidores. Permite repartir las peticiones sobre un servicio determinado entre varios servidores proporcionando un mejor servicio.

SistemaUTMFortigate50B 4.7-. LOGs y reportes

[email protected]/2012

El sistema es capaz de registrar diferentes tipos de trfico y actividades tanto de la red como del sistema: cualquier trfico de red eventos del sistema (reinicios, actividad vpn...) infecciones y bloqueos de virus filtrado y bloqueo web intentos de ataques filtrado de spam trfico de mensajera instantnea y p2p trfico VoIP

Con una suscripcin a FortiGuard se proporciona un servicio de archivo y anlisis de registros. Los registros estn definidos con distintos niveles de alerta y se puede definir a partir de que nivel de menor importancia se comenzar a realizar el registro y cuales de los eventos se realizarn. Los registros pueden almacenarse tanto en el servidor de FortiGuard, en un servidor syslog remoto o en memoria. La activacin de los registros se realiza en cada poltica del cortafuegos. El sistema tambin permite enviar una alerta va email de los eventos y niveles seleccionados. 4.8-. Administracin de firmware y de estado de sistema El sistema de Fortigate es FortiOS. Es un sistema en desarrollo y optimizacin y presenta actualizaciones a las cuales es aconsejable actualizar. El sistema permite hacer backups de configuraciones, reinstalarlas y actualizar el firmware.

5-. DOCUMENTACION E INFORMACIN Debido a la cantidad de aspectos que un sistema UTM maneja se har necesario acceder a todo tipo de recursos y documentacin tcnica. Existe una gran cantidad de informacin tcnica accesible desde la pgina oficial del producto. Es de aqu donde he realizado todas las consultas para terminar la tarea. Est en Ingls. Para acceder a informacin en espaol existe un foro no oficial para Fortinet. Para asuntos concretos siempre se puede utilizar el buscador de su preferencia.