Fortinet
-
Upload
anhell-awaits -
Category
Documents
-
view
48 -
download
1
description
Transcript of Fortinet
![Page 1: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/1.jpg)
Fortinet & SeminarioActualización
Mayo 2004
Un nuevo acercamiento a la
Protección de redes
![Page 2: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/2.jpg)
Fortinet ConfidentialFortinet Confidential
FortinetCreada en el 2000 por Ken Xie y Joe Wells
Fundador de NetScreen y Director de I+D de Trend Micro e IBM (NASDAQ: NSCN)
Cuartel General en Santa Clara, CA (200 empleados); Presencia Mundial
Oficinas en Australia, Canada, China, Francia, Alemania, Japón,
Korea, UK y España
Objetivo: protección de red en tiempo real demandada por el mercado
El primer gateway de protección en tiempo real con antivirus basado
en ASICs e IDS y Filtrado de URL como servicios de valor
añadido sin coste adicional
Objetivo: Superar las limitaciones de las soluciones convencionales
Rendimiento, gestión, coste. ¡¡¡30.000 unidades desde mayo 2002!!!
![Page 3: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/3.jpg)
Fortinet ConfidentialFortinet Confidential
![Page 4: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/4.jpg)
Fortinet ConfidentialFortinet Confidential
Fortinet se ha posicionado como empresa visionaria en lasnecesidades sobre seguridad que están demandando las
organizaciones
“Fortinet has demonstrated its investment in powerful network processing technology by filtering viruses in-line, which requires an unprecedented level of packet assembly and filtering.”
“…Firewalls must provide a wider range of intrusion prevention capabilities, or face extinction…”
![Page 5: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/5.jpg)
Arquitectura Fortigate– Completa y en tiempo real
Fortinet Chip (Propietario)• Scanning (Hw)• Encriptación (Hw)• Análisis de Contenidos en
en tiempo real (Hw)
FortiASIC™Procesador
FortiOS™Sistema
Operativo
Sistema Operativo Securizado (Propietario)• Sistema operativo en tiempo real• Alto rendimiento• Robusto• Contruído específicamente para ser gestionado en remoto
sin pérdidas de rendimiento
![Page 6: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/6.jpg)
Fortinet ConfidentialFortinet Confidential
La serie Fortigate es la primera queproporciona al mercado:
• Protección antivirus de tiempo real basada en ASIC
• Filtrado de contenido en tiempo real basado en ASIC
• La gama completa de servicios de seguridad perimetral de forma integrada*:
– Firewall
– VPN
– Detección de intrusiones
– Gestión del ancho de banda
*El modo “Transparent Mode” del fortigate, permite unasencilla integración con los firewall, VPN, y resto de elementos de seguridad existentes
![Page 7: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/7.jpg)
Versión 2.8Nuevas
características
![Page 8: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/8.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Antivirus
• El único AV del mercado basado en ASIC con la certificación ICSA• 3 tipos de servicios:
– Detección de Virus– Bloqueo de Ficheros y Correo (oversized files or pattern matching file names)– Cuarentena
• Protocolos soportados:– Correo: SMTP, POP3, IMAP– Web: HTTP (contenido, downloads y web mail)– FTP– Soporte en puertos no standard (SMTP, POP3, IMAP, HTTP)
• Método de Scanning– Basado en firmas– Scanning de Macros– Heurístico (executable PE files)
![Page 9: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/9.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Antivirus
• Cobertura total para los virus incluídos en la WildList– Incluyendo virus polymorphic
• Modo Transparente– No se requiere ninguna configuración especial por parte del usuario
• Máxima eficacia en el Scanning– Scanning Contextual – compara los datos con el método más apropiado y la base
de datos más apropiada de acuerdo a la naturaleza de los mismos
• Alto Rendimiento– Unica solución basada en ASIC-para acelerar el scanning en tiempo real– Scanning del tráfico Web en tiempo real sin latencias– No comparable a cualquier otro Gateway de AV del mercado– Hasta 10x más rápido que cualquier otra solución basda en SW
• Customización en las firmas para los correos salientes• Customización en los mensajes (mail, FTP, Web)
![Page 10: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/10.jpg)
Configuración para la protección de losperfiles
![Page 11: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/11.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Antivirus
• Encriptación y Desencriptación del tráfico VPN para scanning de virus y worms
• Scanning de ficheros macros de Microsoft encriptados• Capacidad para hacer scanning hasta 12 niveles de comprensión
(ej: LZH compresión)• Logs del AV scanning enviados al administrador nada más
suceder el evento• Actualización FortiProtect Distribution Network (FDN)
– Update manual– Por fechas– “Push”
• Más efectivo• Mensaje UDP enviado via FDN a las unidades FortiGate por el puerto 9443
![Page 12: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/12.jpg)
Fortinet ConfidentialFortinet Confidential
Con la infraestructura FortiProtect™, se asegurael menor tiempo de respuesta del mercado ante nuevas amenazasRed de Servidores
distribuídos para una rápidaactualización
Alta Disponibilidad, GranCapacidad(Updates para TODOS lasunidades FortiGate, en menos de 5 minutos)
FortiProtect Web Portal & Boletines y email diarios sobre el status de lasamenazas (Antiguo FortiResponse)
![Page 13: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/13.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Firewall
• ICSA-certified StatefulInspection Firewall
• Alto rendimiento– Más de 4 Gbps en FG3600
• Modo Route y mode transparente
• Aplicación de políticasfirewall en túneles VPN
• Aplicación de AV y de filtrado de contenidos comoparte de las políticas de firewall
• Policy-based NAT– Many-to-one (PAT)– Many-to-many NAT– H.323 NAT Traversal
• User group-based authentication
– Local database– Radius authentication– LDAP authentication– SecureID authentication
• IP/MAC Binding
![Page 14: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/14.jpg)
Fortinet ConfidentialFortinet Confidential
Soporte 802.1Q VLAN
• FortiGate 200 y superior• Multiple VLAN basadas en sub-interfaces
– Definibles en cada puerto físico– Soporte para overlapped IP addresses con diferentes VLAN tags
• Inter-(sub) interface security policies– VLAN based AV– VLAN based NIDS– VLAN based content filtering– VLAN based VPN construction– VLAN based firewall policy y traffic shaping
• Virtual Domain
![Page 15: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/15.jpg)
Fortinet ConfidentialFortinet Confidential
Definición de las políticas de routing
![Page 16: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/16.jpg)
Fortinet ConfidentialFortinet Confidential
Caracterísiticas de Routing
• Soporte de RIP v1 y RIP v2• Rutas estáticas – destino basado en rutas
– Las rutas pueden recogerse en forma de tabla desde la más específica a la más general
– Soporta múltiples gateways para cualquier ruta estática• Detección del estado del gateway basado en pings personalizables• Failover automático hacia el siguiente gateway cuando el primero falla
– Creación de backup de rutas hacia Internet:
ISP1ISP1
InternetInternet
ISP2ISP2
IntranetIntranet
![Page 17: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/17.jpg)
Fortinet ConfidentialFortinet Confidential
Características de Routing
• Static routing – Policy-based routes– Rutas basadas en
• Dirección de origen• Protocolo, tipo de servicio o rango• Interface entrante
– Política de rutas chequeada antes de las rutas de destino– Creación de múltiples rutas hacia Internet– Static load-sharing:
ISP1ISP1
InternetInternet
ISP2ISP2
RealReal--time time traffic (HTTP)traffic (HTTP)
Other Other traffictraffic
IntranetIntranet
![Page 18: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/18.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: VPN
• ICSA-certified IPSec VPN • Protocolos soportados:
– IPsec, PPTP– L2TP/Passthrough of IPSec and
PPTP• Encriptación Hardware:
– DES, 3DES y AES• Tráfico IPSec VPN controlado por
las políticas de firewall• Túneles VPN desencriptados y
enrutados a través del firewall y para el escaneo de AV
• VPN NAT traversal• Dead peer detection (DPD)• Dial-up monitor/Remote VPN
client• Authentication:
– Support for Xauth over Radius– x.509 Certificate auth– LDAP for user authentication
• Interoperabilidad con la mayoría de los fabricantesVPN
• Soporta arquitectura Hub y Spoke
![Page 19: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/19.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Detección de Intrusiones
• Certificación ICSA• Máximo rendimiento
– IDS basado en ASIC
• Base de datos de 1,400 ataques• Actualización automática de las firmas
– FortiResponse Distribution Network
• Alertas customizables– Según diferentes tipos de ataques
• Muy sencilla de configurar y mantener• CAPEX y OPEX notablemente menores que cualquier otra
solución de NIDS basada en appliance
![Page 20: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/20.jpg)
Aspectos Clave: Detección de Intrusiones
• Lista de ataques customizables para habilitar o deshabilitar firmas
• Soporte para autodefinición de firmas por los usuarios
![Page 21: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/21.jpg)
Configuración para la protección de losperfiles
• Métodos de Detección:
– Firmas
– Anomalias• Scanning attacks
• Flooding attacks
![Page 22: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/22.jpg)
IDS basado en políticas
• Scanning de tráfico selectivo
• Sólo donde sea necesario
• Máximagranularidad
– IDS no limitado a nº de interfaces o VLANs
• Optimización de los recursos
![Page 23: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/23.jpg)
Prevención en tiempo real
• Prevención Total automática contra ataques sin intervenciónhumana
• Detección y Respuesta en Tiempo Real• Cualquier tipo de ataque puede ser bloqueado
![Page 24: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/24.jpg)
Fortinet ConfidentialFortinet Confidential
Aspectos Clave: Filtrado Web
• Filtrado de contenidos basado en políticas– Sólo donde sea necesario– Scanning, bloqueo o permisión selectiva según los diferentes
tipos de contenidos para usuarios o grupos• Bloqueo de Scripts (Java, ActiveX, cookies)• Filtrado Web nativo
– Black List (gratis):• SquidGuard (URLs lists)• DansGuardian (banned words)
– Por categorías web– Bloqueo de Contenido (banned words)– Bloqueo de URL y Pattern
![Page 25: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/25.jpg)
Fortinet ConfidentialFortinet Confidential
Protección Spam – Filtrado Mensajes
• Filtrado Mensajes– Chequear la información del emisor/receptor contra email
de black/white lists de forma estática– Chequear que el dominio del email de retorno tenga MX
(Mail Exchange) y/o A (Audio) record– Chequear cabeceras contra pares de key-value
predefinidas• La lista es estática
– Chequear las cabeceras de los mensajes, asunto y cuerpopara palabras baneadas
• Expresiones regulares que provienen de una lista localmenteactualizada
S P A MS P A M
![Page 26: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/26.jpg)
Fortinet ConfidentialFortinet Confidential
Protección SPAM – Filtrado SMTP
• Filtrado de servidores SMTP:– White y black list estática
• IP addresses or hostnames
– Real-Time Blackhole List (RBL) y Open Relay Database (ORDB) checks• Support ad-hoc syntax of standard for DNS-based BL queries• Support any BL that supports it. For example - http://mail-abuse.org/rbl• Sender’s IP address is check against publicly accessible databases of RBL and
ORDB servers• Static database of well-known RBL servers• Can be user modified
– Reverse DNS lookup• When receiving a HELO from an SMTP client• HELO commands carries a domain name which is reversed
S P A MS P A M
![Page 27: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/27.jpg)
Fortinet ConfidentialFortinet Confidential
Gestión FortiGate
• CLI – Command-line Interface– Security through SSH
• Web GUI– Security through SSL
![Page 28: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/28.jpg)
Acceso CLI desde Telnet/SSH/GUI
![Page 29: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/29.jpg)
Web GUI – Configuración
![Page 30: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/30.jpg)
Web GUI – Localización
• GUI en 6 idiomas
![Page 31: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/31.jpg)
Gestión basada en roles
![Page 32: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/32.jpg)
Web GUI – Monitorización
![Page 33: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/33.jpg)
Backup y restore
• Backup/restore la configuracióncompleta
• Backup/restore cualquier partede la configuración
• Backup realizadoen formato de fichero de texto
![Page 34: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/34.jpg)
Familia de Productos
Integrated Logging, VLAN supportIntegrated Logging, VLAN supportHigh AvailabilityHigh Availability
High port densityHigh port densityGigabit EthGigabit Eth
Gigabit Gigabit perfperf
Redundant PS, Redundant PS, VDomVDom
FamiliaFamilia de de ProductosProductos FortiGateFortiGate
THR
OU
GH
PUT
THR
OU
GH
PUT
FortiManagerFortiManager FortiLogFortiLog
FortiGateFortiGate--100100
FortiGateFortiGate--300300
FortiGateFortiGate--400400
FortiGateFortiGate--40004000
FortiGate 500FortiGate 500
FortiGateFortiGate--200200
FortiGateFortiGate--36003600
FortiGateFortiGate--60 / 60 / FortiWifiFortiWifi
FortiGateFortiGate--10001000
FortiGateFortiGate--30003000
FortiGate 800FortiGate 800
FortiGateFortiGate--50A50A
SOHOSOHO Branch OfficeBranch Office Medium EnterpriseMedium Enterprise Large EnterpriseLarge Enterprise Service Provider/TelcoService Provider/Telco
![Page 35: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/35.jpg)
FortiGate – Rendimientos
FG-50 1 hasta 5 1MB 10MB 20 3K
FG-60 1 hasta 25 5MB 1500 MM 70MB 40 50K
FG-10025 hasta
35 9MB 95MB 40 / 80 50K / 200K
FG-20025 hasta
50 11MB 2500 MM 120MB 100 400K
FG-300 50-100 20MB 3000 MM 200MB 1.5K 400K
FG400 50-100 25 MB 3500 MM 280MB 2K 400K
FG-500 100-150 25MB 4000 MM 280MB 2K 400K
FG-800 / FG-1000 100-250 45MB / 50MB 600MB / 1 GB 2K/3K 400K/600K
FG-3000 200-750 110MB 2.25 GB 5K 975K
FG-3600 500-1500 130MB 4 GB 5K 1MB
FortiGateFortiGate Performance SummaryPerformance SummaryProductoProducto NodosNodos AV HTTP AV HTTP PerfPerf AV Mail AV Mail PerfPerf FirewallFirewall VPNVPN SesionesSesiones
![Page 36: Fortinet](https://reader037.fdocuments.co/reader037/viewer/2022102820/577cc08f1a28aba711907852/html5/thumbnails/36.jpg)
Gracias¿Preguntas?