Company

LOGO

Taller Técnico de buenas prácticas

de Seguridad Informática
Enero 2019

Expositor: Raul Rios C.

 Inconvenientes Actuales

Los inconvenientes que mas reportan las empresas son los

siguientes:

Saturación de ancho de banda (lentitud)

Maquina(s) o PC(s) infectada(s)
Robo de información
Problemas de comunicación
Indisponibilidad de servicios
Registro de eventos/Reportes
Correos SPAM
 Saturación de ancho de banda

Toda empresa tiene un ancho de banda asignado.

El exceso de tráfico de Internet provoca que el ancho de banda

se sature causando lentitud en la navegación de los usuarios.

Usualmente esto sucede porque no existe un equipo que

controle o regule el tráfico de navegación de los usuarios.
 Máquina(s) o PC(s) infectada

Una PC infectada puede volver lento el procesamiento,

haciendo incomodo la utilización del mismo para el usuario.

Las maquinas infectadas en muchas ocasiones generan tráfico

anomalo impactando el performance de la red causando la
molestia del resto de usuarios.

Una de las alternativas para solucionar el inconveniente es la

de formatear y borrar todos los datos del mismo causando
molestias al usuario por la pérdida de su información.

Una maquina infectada puede llegar a realizar ataques hacia el

exterior sin que el usuario se entere; otras entidades pueden
catalogar a la dirección IP publica de la empresa como mala
reputación perjudicando la correcta comunicación con el
resto.
 Robo de información

El usuario en muchas ocasiones no se da cuenta del robo de

información y sigue trabajando de forma normal.

Las cuentas o contraseñas guardadas en la maquina del

usuario pueden ser utilizadas por personas sospechosas.

La información robada puede ser utilizada para engaños o

estafas ya que se pueden conocer los gustos, preferencias y
perfil de los usuarios.
 Problemas de comunicación

Pueden existir problemas de comunicación con servicios

hosteados en Internet.

Pueden existir problemas de comunicación con servicios

internos (impresoras, servidores, wireless, etc).

Usualmente los problemas de comunicación se deben tratar

desde el equipo perimetral

Una buena correcta segmentación y agrupación de maquinas

de los usuarios puede mejorar el tiempo de respuesta en la
resolución de los problemas de comunicación.
Indisponibilidad de servicios

Servicios
Críticos

Servicio Servicio
Web correos
La página principal de Los correos entrantes y
la empresa debe ser salientes deben operar
visualizada de forma de forma correcta, esto
correcta, esto permitirá permitirá una buena
que los usuarios comunicación con los
puedan ver la clientes.
información contenida
 Registros de eventos/Reportes

Los cambios que se realicen a los equipos de

red/comunicaciones deben ser registrados para un posterior
analisis en caso de inconvenientes.

Es necesario obtener un reporte con los aplicativos o páginas

mas visitadas para darle un mejor tratamiento.

Los reportes de tráfico y de seguridad nos pueden brindar mas

información sobre el comportamiento de los usuarios, en
algunos casos existen visitas a páginas que el usuario no
reconoce haber visitado, esto probablemente lo podria realizar
un malware o virus alojado en la maquina del usuario.
 Correos SPAM

Los correos spam no pueden bloquearse con una efectividad

del 100% pero si se puede disminuir una gran cantidad de
correos no deseados.

Proteger la reputación del servidor de correos permite no tener

inconvenientes de comunicación con otros dominios.

Muchos correos no deseados contienen enlaces con descarga

de virus o malwares pudiendo infectar las PCs de los usuarios.
Características de Firewall

Filtrado Web
Control de
Aplicaciones
IPS
Módulos
Antispam
De
Seguridad
DLP

Antivirus
 Filtro Web

Se puede permitir o denegar el acceso a aquellas páginas

webs segun las directrices de la empresa. Tambien se pueden
aplicar filtros por categoria, interesante para aplicar distintos
perfiles de navegación.
Filtro Web: Categorias
Filtro Web: URL Filter
Filtro Web: Content Filter
 Control de Aplicaciones

Este modulo analizará las aplicaciones y puertos especificos

que queramos para permitir o denegar un cierto tráfico en la
red, como por ejemplo si queremos evitar el uso de aplicativos
FTP o P2P en nuestra red
Control de Aplicaciones
 IPS (sistema de prevención de
intrusiones)

Este modulo resulta de extrema importancia cuando se

dispone de algun servicio publicado al exterior, ya sea un
portal corporativo, una web o un servicio concreto accesible
desde el exterior. El principal objetivo de este modulo es
detectar y bloquear un posible ataque externo hacia el servicio
publicado, para ello se ayudará de patrones y vectores
concretos de ataque conocidos.
 Antispam

Nos permitirá analizar y detectar SPAM de correo electronico

en la red, el Fortigate analizará los mensajes de correo
electronico y buscará coincidencias de remitentes y contenido
en su base de datos de antispam que se descargará de
Fortiguard
 DLP

La prevención de fuga de información en los equipos Fortigate

permite fijar archivos de caracter sensible para las empresas y
en base a eso hacer las detecciones y bloqueos que
correspondan para evitar la fuga de información.
Configuraciones
básicas
 Creación de Perfiles UTM

Dentro de cada motor de UTM se pueden diferentes perfiles de

seguridad, éstos van a ser aplicados al final en la politica de
firewall.
 Creación de Perfiles UTM

Cuando se haya colocado el perfil en la politica de firewall

empezará a funcionar el perfil creado.
 Creación de Politicas de firewall

Las politicas de firewall permitirán regular el tráfico de acuerdo

a los objetos y perfiles creados.

NOTA: En Fortinet no existe la función “Guardar” o “Compilar”

Mejores
Prácticas
 Gestión y acceso al FW

Se debe limitar la cantidad de personas autorizadas, asi como

el tiempo de logueo, el numero de intentos fallidos, los puertos
de acceso y los perfiles de administración.
 Zonas de Seguridad

Se debe limitar el acceso y el tráfico creando zonas de

seguridad, esto permitirá reforzar la seguridad para que otros
usuarios no se vean afectados en caso de que suceda algún
incidente.
 Monitoreo de Recursos

Es importante realizar un monitoreo de los recursos del

firewall, esto permitirá habilitar mas caracteristicas o en su
defecto deshabilitar funciones.
 Certificado SSL

El certificado SSL propio del fabricante es necesario

descargarlo e instalarlo en cada maquina, esto permitirá que la
inspección SSL se lleve a cabo de manera óptima.
 Apagado y reinicio correcto

Se recomienda apagar o reiniciar el equipo de manera logica,

por GUI o por CLI con los comandos “execute shutdown” y
“execute reboot”.

NOTA: En caso exista una caida de energia que cause el

apagado del equipo se podria corromper el sistema operativo
perjudicando el correcto funcionamiento, es por ello necesario
tener un sistema de UPS.
 Nombres de objetos

Los nombres de los objetos y perfiles se recomienda que no

utilicen caracteres especiales y espacios en blanco, esto
puede provocar que no se aplique correctamente las politicas.

Así mismo, los objetos deben tener asociado la zona a la que

pertenecen.
 Politicas de firewall por puertos

Para optimizar la seguridad se recomienda que en las políticas

de firewall se configuren solo los puertos con los cuales se
van a trabajar y no dejar el acceso libre ya que un posible
malware podría beneficiarse de ello.
 Copias de seguridad

El equipo permite obtener una copia de seguridad por medio

del protocolo SCP, es posible realizarlo manualmente o
mediante scripts.

Esto ayuda mucho cuando existen cambios los cuales

provocan un mal funcionamiento de los servicios por lo que se
puede realizar un restore y solucionar el inconveniente de
forma inmediata.

Backup
en
texto plano
 Perfiles de IPS

Configurar perfiles de IPS para proteger los servidores, éstos

perfiles deben ser personalizados y de acuerdo a las
características del servidor a proteger.
 Upgrade de firewall

La razon para realizar una actualización de firmware NO debe

ser “Porque quiero la ultima versión”. La razón debe ser
explicado en términos de mejoras de negocio, a nivel técnico y
operacional.

¿Existe una característica en la

nueva versión que me ayuda a
garantizar el cumplimiento?

¿El nuevo firmware corrige

alguna vulnerabilidad nueva?

¿El fabricante tiene planificado

el vencimiento del soporte para
esa versión?
 NAT

Para esconder el direccionamiento privado, es necesario

aplicar reglas de Nateo Entrantes, en la sección Virtual IPs se
pueden configurar estas sentencias.

NOTA: Las objetos para NAT Saliente se configuran en la

sección “IP Pools”.
Afinamiento de reglas
de seguridad
 Reglas de Seguridad

Existen políticas de firewall redundantes y algunas que no son

utilizadas, para aplicar un afinamiento es necesario que éstas
sean plasmas en un documento “excel”, para ello el
administrador deberá realizar lo siguiente:

1. Obtener una copia de respaldo

2. Plasmar en un documento todas las políticas de firewall y
perfiles de UTM
3. Verificar las políticas, objetos o perfiles que no estén
siendo utilizadas
4. Verificar las políticas, objetos o perfiles redundantes
5. En el documento del punto 2, indicar los puntos 3 y 4 para
proceder con el borrado.

Comandos para contar políticas habilitadas y deshabilitadas:

sh full-configuration firewall policy | grep -c 'set status enable‘
sh full-configuration firewall policy | grep -c 'set status disable'
Configuración de tuneles
VPN IPSec
 ¿Qué es una VPN?

Es una tecnologia de red que se utiliza para conectar una o

mas computadoras a una red privada utilizando Internet.
Las empresas suelen utilizar estas redes para que sus
empleados, desde sus casas, hoteles, etc, puedan acceder a
sus recursos corporativos que, de otro modo, no podrian.

Esta tecnologia permite asegurar la confidencialidad e

integridad. Tambien permite enlazar muchas redes diferentes,
e incluso servidores, de forma mas segura.
 ¿Qué es una VPN?

La seguridad viene en 3 capas:

CIFRADO

AUTENTICACION

TUNEL

El protocolo de tunel crea la conexión y luego los datos se

cifran antes de ser enviados a través del punto final para ser
autenticados y descifrados.
 ¿Que puertos utiliza una VPN?

Los puertos que utiliza una VPN IPSec son los siguientes:

Fase 1  UDP/500 (IKE)

Fase 2  UDP/4500 (NAT-T)

Tener en cuenta tambien los números de protocolos como:

ESP (Encapsulated Security Protocol)  50

AH (Authentication Header)  51

Para equipos que están delante y están realizando NATEO

 Consideraciones para una VPN

1. Si el equipo donde se está configurando la VPN se

encuentra detrás de un equipo que hace NAT, para ello
debemos habilitar el NAT-Transversal

2. Para VPN Site-to-Site, validar que todos los parámetros de

fase 1 y fase 2 se encuentren seteados similar en ambos
peers

3. Si el túnel VPN cae a menudo, se deberá revisar la

configuración de fase 2, e incrementar el valor de
“KEYLIFE” o habilitar el “AUTO KEEP ALIVE”

4. Si se tiene configurado en la interface WAN una IP

secundaria se debe indicar en los parámetros de VPN de
fase 1 el local-gw
Logs y Reportes
 Logs

Existen 3 formas de almacenar Logs:

1. Memoria
2. Disco
3. FortiAnalyzer/Syslog/FortiCloud

Cuando se apaga el equipo los logs que están almacenados en

memoria se pierden, solo se pueden visualizar logs hasta de 1
dia.

No todos los equipos Fortinet cuentan con disco

El Fortianalyzer es una herramienta muy útil para generar

reportes personalizados, visualizar información y estadísticas
en tiempo real.

En Forticloud solo se pueden visualizar Logs hasta de 1

semana.
 Datasets

Los reportes en el FortiAnalyzer son generados a partir de

sentencias SQL denominados DATASETS
 Reportes

Se puede graficar el consumo de ancho de banda, por otro

lado en las tablas se pueden agregar diferentes campos para
ser mostrados
Reportes

Eventos de Audit
 Reportes

Principales páginas web permitidas

 Reportes

Principales ataques por origen y destino

 Reportes

Principales páginas web maliciosas

Comandos básicos
 Comandos

Borrar toda la configuración y volver a fabrica el equipo

execute factoryreset

Borrar toda la configuración excepto la configuración de red

execute factoryreset2

Borrar la base de datos de

AV e IPS; logs, archivos
de cuarentena y caches
de optimización WAN

execute formatlogdisk
 Comandos

Número total de sesiones concurrentes

get sys session status

Monitoreo de procesos a nivel de CPU y memoria

diagnose sys top

 Comandos troubleshooting

Comando de DEBUG

diagnose debug enable

diagnose debug flow show console enable
diagnose debug flow filter <saddr, daddr> <IP_address>
diagnose debug flow trace start 100

Comando de SNIFFER

diagnose sniffer packet <INT> ‘host <IP_address>’