Configuración básica de módulo IPS en Fortigate

Imagen destacada

Buenos días a todos,

Hoy os mostraremos una característica muy interesante que incorporan algunos firewall para detectar patrones basados en ataques y realizar las acciones oportunas para bloquear dichos ataques, en este ejemplo veremos la configuración para un modelo Fortigate 90D. Se trata del módulo IPS (Intrusion Protection System), cuya configuración básica veremos en este artículo.

Antes de empezar, es importante tener el mantenimiento de la unidad Fortigate al día y una conexión activa y permanente con nuestro centro FortiGuard, el cual nos proporcionará actualizaciones de las firmas y patrones de ataques conocidos. Esta característica la podemos verificar en el panel de control «System --> Dashboard --> Status» bajo la sección «License Information».

[embeber alt=»Captura%2Bde%2Bpantalla%2B2014-09-09%2Ba%2Bla(s)%2B18.50.41.png» embedtype=»image» format=»fullwidth» id=»1641″]

Una vez verificada la licencia y conexión con FortiGuard, podemos proceder a configurar el módulo IPS. Para ello, accederemos a la sección «Security Profiles --> Intrusion Protection» en la que visualizaremos el perfil «default» que incorpora Fortigate por defecto. Más adelante, siempre podremos crear un perfil personalizado con nuestras propias firmas o acciones concretas seleccionadas.

[embeber alt=»Captura%2Bde%2Bpantalla%2B2014-09-09%2Ba%2Bla(s)%2B18.51.09.png» embedtype=»image» format=»fullwidth» id=»1642″]

En la parte derecha de la pantalla, pulsando en [View IPS Signatures] veremos cada una de las firmas -proporcionadas por FortiGuard- que contiene actualmente este módulo. Para cada una veremos las características y el tipo de acción asociada (bloquear o permitir).

Confirmando que aparecen varias firmas y acciones distintas para cada una, ya podremos proceder a analizar el tráfico de red con IPS.

Atención: antes de proceder a activar el módulo IPS se recomienda verificar que la carga de proceso de CPU, memoria y disco de la unidad Fortigate no es muy elevada (inferior a 60-70%), dado que IPS (al igual que el módulo «Antivirus») requieren de un proceso extraordinario de recursos y así evitaremos sobrecargar en exceso nuestra unidad Fortigate.

Para analizar el tráfico mediante IPS, accederemos a la sección «Policy & Objects» en la que seleccionaremos la política que corresponda al tráfico que queramos analizar y prevenir de intrusiones, en nuestro caso será el tráfico proveniente de Internet (WAN) hacia nuestra LAN.

Editaremos la política y en la sección «Security Profiles» activaremos «IPS» pulsando encima del botón OFF para que pase al estado ON. Una vez pulsado, aparecerá un pequeño desplegable con el perfil que queremos usar para IPS (en nuestro caso «default»).

[embeber alt=»Captura%2Bde%2Bpantalla%2B2014-09-09%2Ba%2Bla(s)%2B19.10.20.png» embedtype=»image» format=»fullwidth» id=»1643″]

Pulsaremos «Guardar» en la parte inferior de la pantalla.

En este momento, el módulo IPS estará habilitado y analizará todo el tráfico que transite por esta regla.

Espero que tengáis unas buenas vacaciones 😉

¡Un saludo y hasta pronto!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *