Módulo IPS de Fortigate

Configuración del módulo IPS de Fortigate

Soy Eric Ros, Head of Cyber Security en Encora y hoy os voy a explicar cuál es la configuración básica del módulo IPS de Fortigate (Intrusion Protection System).

ÍNDICE DE ARTÍCULOS SOBRE FORTINET

Los compañeros del Encora Team estamos escribiendo una serie de posts sobre la tecnología Fortinet que tanto nos pedís los clientes y amigos de Encora:

Si echáis en falta alguna tecnología de Fortinet podéis hacernoslo saber y la incorporaremos lo antes posible.

SOBRE EL MÓDULO IPS DE FORTIGATE

Según Wikipedia, un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.

El módulo IPS de Fortigate fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación. 

También es importante destacar que el módulo IPS de Fortigate pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.

MÓDULO IPS DE FORTIGATE

IPS es una característica muy interesante que incorporan algunos firewall para detectar patrones basados en ataques. Nos permite realizar las acciones oportunas para bloquear dichos ataques, en este ejemplo veremos la configuración para un modelo Fortigate 60D.

LICENCIAMIENTO DEL MÓDULO IPS DE FORTIGATE

Antes de empezar, es importante tener el mantenimiento de la unidad Fortigate al día. También una conexión activa y permanente con nuestro centro FortiGuard, el cual nos proporcionará actualizaciones de las firmas y patrones de ataques conocidos. Esta característica la podemos verificar en el panel de control “System –> Dashboard –> Status” bajo la sección “License Information“.

Licenciamiento en Fortigate 60D

ACTIVACIÓN

En la sección “System –> Feature Select” habilitaremos la característica “Intrusion Protection“:

Activación de módulo IPS.

CONFIGURACIÓN

Una vez verificada la licencia y conexión con FortiGuard, podemos proceder a configurar el módulo IPS. Para ello, accederemos a la sección “Security Profiles –> Intrusion Protection“. Visualizaremos el perfil “default” que incorpora Fortigate por defecto. Más adelante, siempre podremos crear un perfil personalizado con nuestras propias firmas o acciones concretas seleccionadas.

Fortigate 60D. Módulo IPS, configuración.

En la parte derecha de la pantalla, pulsando en [View IPS Signatures] veremos cada una de las firmas proporcionadas por FortiGuard que contiene actualmente este módulo. Para cada una veremos las características y el tipo de acción asociada (bloquear o permitir).

Fortigate 60D. Módulo IPS, configuración.

Confirmando que aparecen varias firmas y acciones distintas para cada una, ya podremos proceder a analizar el tráfico de red con el módulo IPS de Fortigate.

Atención: antes de proceder a activar el módulo IPS se recomienda verificar que la carga de proceso de CPU, memoria y disco de la unidad Fortigate no es muy elevada (inferior a 60-70%). Esto es así porque el módulo IPS (al igual que el módulo “Antivirus”) requieren de un proceso extraordinario de recursos y así evitaremos sobrecargar en exceso nuestra unidad Fortigate.

Para analizar el tráfico mediante IPS, accederemos a la sección “Policy & Objects“. Seleccionaremos la política que corresponda al tráfico que queramos analizar y prevenir de intrusiones. En nuestro caso será el tráfico proveniente de Internet (WAN) hacia nuestra LAN.

MÓDULO IPS DE FORTIGATE: FINALIZANDO LA CONFIGURACIÓN

Editaremos la política y en la sección “Security Profiles” activaremos “IPS” seleccionando el perfil deseado (en nuestro caso “default”).

Configuración de Security Profiles.

Pulsaremos “Guardar” en la parte inferior de la pantalla.

En este momento, el módulo IPS de Fortigate estará habilitado y analizará todo el tráfico que transite por esta regla.

MÁS SOBRE FORTINET Y CIBERSEGURIDAD

Si tenéis dudas sobre Fortinet o necesitáis hablar de Ciberseguridad con el equipo de Encora, estamos a vuestra disposición.

¡Un saludo y hasta pronto!

Si estás interesado en contactar con el Encora Team para hablar de un proyecto para tu empresa, pulsa en el botón y te llamamos.

Compártelo en redes sociales

Share on twitter
Share on linkedin
Share on email
Share on facebook
Share on telegram
Share on whatsapp

Deja una respuesta

Tu dirección de correo electrónico no será publicada.