Ciberseguridad, Firewall, Fortinet

Fortigate: Módulo IPS

Publicado el por Eric Ros
Configuración del módulo IPS de Fortigate
17
Abr
Fortigate: Módulo IPS, configuración básica.

Soy Eric Ros, Head of Cyber Security en Ncora y hoy os voy a mostrar el módulo IPS (Intrusion Protection System) de Fortigate, cuya configuración básica veremos en este artículo.

5 módulos de Fortigate

Este post forma parte de una serie de varios artículos hablando de 5 módulos de Fortinet.

Aquí tenéis los posts dónde explico cada uno de los módulos:

  1. Antivirus.
  2. Application Control.
  3. Web Filter.
  4. Email Filter.
  5. IPS.

Fortigate: Módulo IPS

IPS es una característica muy interesante que incorporan algunos firewall para detectar patrones basados en ataques. Nos permite realizar las acciones oportunas para bloquear dichos ataques, en este ejemplo veremos la configuración para un modelo Fortigate 60D.

Licenciamiento del módulo IPS en Fortigate

Antes de empezar, es importante tener el mantenimiento de la unidad Fortigate al día. También una conexión activa y permanente con nuestro centro FortiGuard, el cual nos proporcionará actualizaciones de las firmas y patrones de ataques conocidos. Esta característica la podemos verificar en el panel de control «System --> Dashboard --> Status» bajo la sección «License Information«.

Licenciamiento en Fortigate 60D

Activación

En la sección «System --> Feature Select» habilitaremos la característica «Intrusion Protection«:

Activación de módulo IPS.

Configuración

Una vez verificada la licencia y conexión con FortiGuard, podemos proceder a configurar el módulo IPS. Para ello, accederemos a la sección «Security Profiles --> Intrusion Protection«. Visualizaremos el perfil «default» que incorpora Fortigate por defecto. Más adelante, siempre podremos crear un perfil personalizado con nuestras propias firmas o acciones concretas seleccionadas.

Fortigate 60D. Módulo IPS, configuración.

En la parte derecha de la pantalla, pulsando en [View IPS Signatures] veremos cada una de las firmas proporcionadas por FortiGuard que contiene actualmente este módulo. Para cada una veremos las características y el tipo de acción asociada (bloquear o permitir).

Fortigate 60D. Módulo IPS, configuración.

Confirmando que aparecen varias firmas y acciones distintas para cada una, ya podremos proceder a analizar el tráfico de red con IPS.

Atención: antes de proceder a activar el módulo IPS se recomienda verificar que la carga de proceso de CPU, memoria y disco de la unidad Fortigate no es muy elevada (inferior a 60-70%). Esto es así porque el módulo IPS (al igual que el módulo «Antivirus») requieren de un proceso extraordinario de recursos y así evitaremos sobrecargar en exceso nuestra unidad Fortigate.

Para analizar el tráfico mediante IPS, accederemos a la sección «Policy & Objects«. Seleccionaremos la política que corresponda al tráfico que queramos analizar y prevenir de intrusiones. En nuestro caso será el tráfico proveniente de Internet (WAN) hacia nuestra LAN.

Fortigate Módulo IPS: finalizando la configuración

Editaremos la política y en la sección «Security Profiles» activaremos «IPS» seleccionando el perfil deseado (en nuestro caso «default»).

Configuración de Security Profiles.

Pulsaremos «Guardar» en la parte inferior de la pantalla.

En este momento, el módulo IPS estará habilitado y analizará todo el tráfico que transite por esta regla.

Más sobre Fortinet y ciberseguridad

Si tenéis dudas sobre Fortinet o necesitáis hablar de Ciberseguridad con el equipo de Ncora, estamos a vuestra disposición.

¡Un saludo y hasta pronto!

Eric Ros

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *