Soy Eric Ros, Head of Cyber Security en Ncora y hoy os voy a mostrar el módulo IPS (Intrusion Protection System) de Fortigate, cuya configuración básica veremos en este artículo.
5 módulos de Fortigate
Este post forma parte de una serie de varios artículos hablando de 5 módulos de Fortinet.
Aquí tenéis los posts dónde explico cada uno de los módulos:
Fortigate: Módulo IPS
IPS es una característica muy interesante que incorporan algunos firewall para detectar patrones basados en ataques. Nos permite realizar las acciones oportunas para bloquear dichos ataques, en este ejemplo veremos la configuración para un modelo Fortigate 60D.
Licenciamiento del módulo IPS en Fortigate
Antes de empezar, es importante tener el mantenimiento de la unidad Fortigate al día. También una conexión activa y permanente con nuestro centro FortiGuard, el cual nos proporcionará actualizaciones de las firmas y patrones de ataques conocidos. Esta característica la podemos verificar en el panel de control «System –> Dashboard –> Status» bajo la sección «License Information«.
Activación
En la sección «System –> Feature Select» habilitaremos la característica «Intrusion Protection«:
Configuración
Una vez verificada la licencia y conexión con FortiGuard, podemos proceder a configurar el módulo IPS. Para ello, accederemos a la sección «Security Profiles –> Intrusion Protection«. Visualizaremos el perfil «default» que incorpora Fortigate por defecto. Más adelante, siempre podremos crear un perfil personalizado con nuestras propias firmas o acciones concretas seleccionadas.
En la parte derecha de la pantalla, pulsando en [View IPS Signatures] veremos cada una de las firmas proporcionadas por FortiGuard que contiene actualmente este módulo. Para cada una veremos las características y el tipo de acción asociada (bloquear o permitir).
Confirmando que aparecen varias firmas y acciones distintas para cada una, ya podremos proceder a analizar el tráfico de red con IPS.
Atención: antes de proceder a activar el módulo IPS se recomienda verificar que la carga de proceso de CPU, memoria y disco de la unidad Fortigate no es muy elevada (inferior a 60-70%). Esto es así porque el módulo IPS (al igual que el módulo «Antivirus») requieren de un proceso extraordinario de recursos y así evitaremos sobrecargar en exceso nuestra unidad Fortigate.
Para analizar el tráfico mediante IPS, accederemos a la sección «Policy & Objects«. Seleccionaremos la política que corresponda al tráfico que queramos analizar y prevenir de intrusiones. En nuestro caso será el tráfico proveniente de Internet (WAN) hacia nuestra LAN.
Fortigate Módulo IPS: finalizando la configuración
Editaremos la política y en la sección «Security Profiles» activaremos «IPS» seleccionando el perfil deseado (en nuestro caso «default»).
Pulsaremos «Guardar» en la parte inferior de la pantalla.
En este momento, el módulo IPS estará habilitado y analizará todo el tráfico que transite por esta regla.
Más sobre Fortinet y ciberseguridad
Si tenéis dudas sobre Fortinet o necesitáis hablar de Ciberseguridad con el equipo de Ncora, estamos a vuestra disposición.
¡Un saludo y hasta pronto!
