FortiGate Hardening

Versiones

1.0 Documento Incial Jose Luis Laguna Merino

2.0 DoS, IPS, Servicios Rodrigo H. Vázquez Cañás
Administrativos,
Correcciones varias
2.1 Revisión Marcelo Mayorga
2.2 Agregado Revision History Rodrigo H. Vázquez Cañás

1.1.1.1
 ÍNDICE

FORTIGATE HARDENING 1
1. OBJETO 6
2. ALCANCE 6
3. GENERAL 6
4. DESARROLLO 6
4.1 ACTUALIZACIÓN FIRMWARE 6
4.2 NOMBRE DEL DISPOSITIVO 6
4.3 INVENTARIO DE EQUIPOS 6
4.4 REGISTRO EN WEB DE SOPORTE 7
4.5 MONITORIZACION LOGS 7
4.6 INFORMES 7
4.7 GUÍA DE SEGURIDAD 7
4.7.1 Configuración de mensajes de advertencia 7
4.7.1.1 Objetivo 7
4.7.1.2 Beneficios de seguridad 7
4.7.1.3 Guía 7
4.7.2 Política de contraseñas locales para Administradores ensobrados 8
4.7.2.1 Objetivo 8
4.7.2.2 Beneficios de seguridad 8
4.7.2.3 Guía 8
4.7.3 Configuración de Administradores 8
4.7.3.1 Objetivo 8
4.7.3.2 Beneficios de seguridad 9
4.7.3.3 Guía 9
4.7.4 Configuración OTP para Administradores diarios 9
4.7.4.1 Objetivo 9
4.7.4.2 Beneficios de seguridad 9
4.7.4.3 Guía 9
4.7.5 Cerrar los interfaces no utilizados 10
4.7.5.1 Objetivo 10
4.7.5.2 Beneficios de seguridad 10
4.7.5.3 Guía 10
4.7.6 Descripción de los interfaces utilizados 10
4.7.6.1 Objetivo 10
4.7.6.2 Beneficios de seguridad 10
4.7.6.3 Guía 10
4.7.7 Limitar el acceso administrativo a cada interfaz 11
4.7.7.1 Objetivo 11
4.7.7.2 Beneficios de seguridad 11
4.7.7.3 Guía 11
4.7.8 Limitar el tiempo de inactividad 11
4.7.8.1 Objetivo 11
4.7.8.2 Beneficios de seguridad 11
4.7.8.3 Guía 11
4.7.9 Deshabilitar la auto instalación a través de USB 12
4.7.9.1 Objetivo 12
 4.7.9.2 Beneficios de seguridad 12
4.7.9.3 Guía 12
4.7.10 Sincronización automática del reloj 12
4.7.10.1 Objetivo 12
4.7.10.2 Beneficios de seguridad 12
4.7.10.3 Guía 12
4.7.11 Configurar acceso SSH y HTTPS 13
4.7.11.1 Objetivo 13
4.7.11.2 Beneficios de seguridad 13
4.7.11.3 Guía 13
4.7.12 Configurar WEBFILTER 13
4.7.12.1 Objetivo 13
4.7.12.2 Beneficios de seguridad 14
4.7.12.3 Guía 14
4.7.13 Configurar actualizaciones antivirus 14
4.7.13.1 Objetivo 14
4.7.13.2 Beneficios de seguridad 14
4.7.13.3 Guía 14
4.7.14 Configurar autenticación RADIUS 15
4.7.14.1 Objetivo 15
4.7.14.2 Beneficios de seguridad 15
4.7.14.3 Guía 15
4.7.15 Configurar Logs en reglas 16
4.7.15.1 Objetivo 16
4.7.15.2 Beneficios de seguridad 16
4.7.15.3 Guía 16
4.8 DIAGRAMA TOPOLOGÍA 17
4.9 REGISTRO DE CONTROL DE CAMBIOS 17
4.10 REGLAS DE SEGURIDAD 17
4.11 REGLAS PROTECION PARA DOS 17
4.11.1.1 Objetivo 17
4.11.1.2 Beneficios 18
4.11.1.3 Guía 18
4.12 ENRUTAMIENTO IP 19
5. REVISION HISTORY 19
6. REGISTROS (MINIMOS SUGERIDOS) 21
7. ANEXOS 21
2. OBJETO

El objeto de esta instrucción es establecer las normas de obligado cumplimiento para

la correcta instalación de los firewalls FortiGate de la forma más segura.

3. ALCANCE

Esta instrucción es de aplicación para la instalación y gestión de firewalls FortiGate del

fabricante Fortinet. Por tanto, el acceso al presente documento está restringido a dicho
personal.

4. GENERAL

El seguimiento de una serie de recomendaciones de seguridad a la hora de instalar un

nuevo firewall, garantizará que se instale de forma homogénea al resto de equipos
similares y garantizará la seguridad de la red.

5. DESARROLLO

5.1 ACTUALIZACIÓN FIRMWARE

En el momento de la instalación de un firewall nuevo, es necesario actualizar el

firmware a la última versión proporcionada por el fabricante.

5.2 NOMBRE DEL DISPOSITIVO

Es necesario modificar el nombre del dispositivo, de modo que éste quede

perfectamente identificado. Se colocará también una pegatina con el nombre en el
equipo. Por último, será necesario introducir una entrada en el DNS con el nombre del
equipo y la dirección IP del mismo.

5.3 INVENTARIO DE EQUIPOS

Tras la instalación de un nuevo firewall, se deberá rellenar en dicho un fichero de
inventario, la siguiente información: Ubicación, marca, modelo, nombre dispositivo,
número de serie, IP de gestión, versión del sistema operativo (build), puertos totales,
puertos activos, configuración alta disponibilidad, registro en soporte y registro en
Fortianalyzer (si procede).

5.4 REGISTRO EN WEB DE SOPORTE

Para la activación de servicios y la cobertura de garantía del dispositivo, es necesario

registrar el número de serie del equipo en la web del fabricante. Esta labor se realizará
siempre con la misma cuenta, de modo que haya una gestión centralizada.

5.5 MONITORIZACION LOGS

Se deberá configurar el equipo para que registre los logs en el dispositivo

Fortianalyzer. Para que la comunicación entre el nuevo dispositivo y el Fortianalyzer
sea posible, habrá que permitir el tráfico en todos los firewalls intermedios que puedan
existir, por los que pasen los paquetes (puerto Syslog = UDP 514)

5.6 INFORMES

Para cada firewall nuevo o existente que se instale, se deberá generar un informe que
recoja el nombre del dispositivo, el número de serie, la fecha de instalación, el nombre
del técnico que realizó la instalación, la dirección IP y una checklist de los puntos que
se han seguido de la instrucción contenida en este documento.

5.7 GUÍA de Seguridad

5.7.1 Configuración de mensajes de advertencia

5.7.1.1 Objetivo

Introducir banners que informen a los usuarios no autorizados que no deben

conectarse a estos equipos.

5.7.1.2Beneficios de seguridad

Desde un punto de vista jurídico, es necesario introducir estos mensajes disuasorios.

5.7.1.3 Guía
Los comandos de creación de mensajes de advertencia o información se utilizan en
modo de configuración global (config global).

config system replacemsg admin "admin-disclaimer-text"

set buffer "ATENCION: Acceso restringido a
personal autorizado.

Este equipo, incluidos los dispositivos relacionados

con el mismo, es propiedad de XXXXX

Toda actividad esta siendo monitorizada y cualquier

evidencia de uso no autorizado podra ser utilizada
como prueba en la imputacion de un delito.
"

5.7.2 Política de contraseñas locales para Administradores ensobrados

5.7.2.1Objetivo

Establecer una password robusta.

5.7.2.2Beneficios de seguridad

Las contraseñas representan la primera defensa contra los accesos no permitidos al

equipo.

5.7.2.3 Guía

Los comandos de creación de una política de contraseñas se utilizan en modo de

configuración global. (config global)

config system password-policy

set status enable
set apply-to admin-password
set minimum-length 8
set must-contain upper-case-letter lower-case-
letter number
set change-4-characters disable
set expire 0
end

5.7.3 Configuración de Administradores

5.7.3.1Objetivo

Establecer la contraseña del usuario admin y delimitar las redes de origen desde las
que se puede acceder a la administración del equipo.
 5.7.3.2Beneficios de seguridad

Impedir el acceso a la gestión desde redes ajenas a TR o desde internet.

Las contraseñas representan la primera defensa contra los accesos no permitidos al

equipo.

5.7.3.3 Guía

Los comandos se ejecutan en modo de configuración global. (config global)

config system admin

edit "admin"
set trusthost1 172.16.0.0 255.240.0.0
set trusthost2 172.16.0.0 255.240.0.0
set trusthost3 172.16.0.0 255.240.0.0
set password XXXX
next
end

Las contraseñas establecidas serán debidamente custodiadas.

5.7.4 Configuración OTP para Administradores diarios

5.7.4.1Objetivo

Establecer Passwords de uso única para los administradores.

5.7.4.2Beneficios de seguridad

Impedir el robo de passwords.

5.7.4.3 Guía

Los comandos se ejecutan en modo de configuración global. (config global)

config system admin

edit "admin"
set two-factor fotitoken
set fortitoken SeriaNumber
next
end

5.7.5 Cerrar los interfaces no utilizados

 5.7.5.1Objetivo

Deshabilitar las interfaces no utilizadas en el firewall.

5.7.5.2Beneficios de seguridad

Minimizar los riesgos de exposición a ataques en interfaces que no se utilizan. Así

como problemas derivados de errores al conectar los cables a los puertos del equipo.

5.7.5.3 Guía

Ejecutar el comando “set status down” en modo de configuración global en del interfaz
en cuestión, por ejemplo para el interfaz port3:

Config global
config system interface

edit "port3"
set status down
next

5.7.6 Descripción de los interfaces utilizados

5.7.6.1Objetivo

Introducir una etiqueta que identifique el uso para el que está destinado el interface.

5.7.6.2Beneficios de seguridad

Minimizar los riesgos de error en la configuración, modificaciones, etc.

5.7.6.3 Guía

Ejecutar el comando “set alias” en modo de configuración global en del interfaz en

cuestión, por ejemplo para identificar que el interfaz port3 es el de acceso a internet:

Config global
config system interface

edit "port3"
set alias “Internet”
next
 5.7.7 Limitar el acceso administrativo a cada interfaz

5.7.7.1Objetivo

Limitar el tipo de acceso administrativo por interfaz

5.7.7.2Beneficios de seguridad

Minimizar los riesgos producto de accesos administrativos mal configurados.

5.7.7.3 Guía

Permitir solo aquellos accesos sólo en a las interfaces administrativas.

Será deseable configurar sólo protocolos cifrados como SSH y HTTPs,
tal y como se describe más adelante:

config system interface

edit "port1"
set vdom "root"
set ip XXXX YYYY
set allowaccess ssh
set type physical
set alias "Internet"
next

5.7.8 Limitar el tiempo de inactividad

5.7.8.1Objetivo

Establecer el tiempo máximo de inactividad en 10 minutos.

5.7.8.2Beneficios de seguridad

Limitando el tiempo en el que una sesión SSH o HTTPS permanece inactiva, evita el
acceso por parte de usuarios no autorizados a una terminal que permanezca abierta.

5.7.8.3 Guía

Ejecutar los siguientes comandos en modo de configuración global (Config

global):

config system Global

set admintimeout 10
 5.7.9 Deshabilitar la auto instalación a través de USB

5.7.9.1Objetivo

Evitar que el equipo tome una configuración o instale un nuevo firmware a partir de un
fichero que resida en una llave USB que se conecte al dispositivo.

5.7.9.2Beneficios de seguridad

Un atacante con acceso físico al dispositivo, podría cargar una nueva configuración o
firmware en el equipo a través del puerto USB, reiniciando el dispositivo a través de un
corte de alimentación eléctrica.

5.7.9.3 Guía

Ejecutar los siguientes comandos en modo de configuración global (Config

global):

config system auto-install

set auto-install-config disable
set auto-install-image disable
end

5.7.10 Sincronización automática del reloj

5.7.10.1Objetivo

Mantener el reloj del equipo sincronizado con el del resto de equipos de TRla
organización (como equipos de log, de autenticación, etc).

5.7.10.2Beneficios de seguridad

Posibilitar trabajos de auditoría forense y consistencia en fechas de caducidad usadas

en expiración de certificados y protocolos de seguridad.

5.7.10.3 Guía

En modo configuración Global (Config Global), ejecutar:

config system ntp

 config ntpserver
edit 1
set server "172.16.254.20X.X.X.X"
next
end
set ntpsync enable
set syncinterval 60
end

5.7.11 Configurar acceso SSH y HTTPS

5.7.11.1Objetivo

Acceder a la gestión de los equipos a través de SSH (Secure Shell) y HTTPS,

desactivando el acceso Telnet y HTTP.

5.7.11.2Beneficios de seguridad

Una sesión Telnet o http no cifra la comunicación, siendo posible que un atacante
capture las password de acceso a la sesión. El protocolo SSH o HTTPS cifra la
comunicación, impidiendo la captura de la password.

5.7.11.3 Guía

Solo se debe habilitar HTTPS y SSH en el interfaz de gestión, en el resto de

interfaces, no debe estar permitido ningún acceso.

En modo configuración Global (Config Global), ejecutar:

Para el interfaz de gestión:

config system interface

edit "nombre-interfaz-gestión"
set allowaccess ping https ssh
next

Para el resto de interfaces, deshabilitar los accesos administrativos:

config system interface

edit "nombre-interfaz"
set allowaccess ping

next

5.7.12 Configurar WEBFILTER

 5.7.12.1Objetivo

Configurar el servicio Webfilter para poder aplicarlo posteriormente en las reglas de

seguridad.

5.7.12.2Beneficios de seguridad

Evitar que los usuarios accedan a páginas inseguras, donde sus equipos pueden
verse infectados con malware.

5.7.12.3Guía

En modo configuración Global (Config Global), ejecutar:

config system fortiguard

set port 53
set webfilter-status enable
set webfilter-cache enable
set webfilter-cache-ttl 3600
set webfilter-timeout 15
end

5.7.13 Configurar actualizaciones antivirus

5.7.13.1Objetivo

Mantener las firmas de antivirus actualizadas.

5.7.13.2Beneficios de seguridad

Reconocer los últimos virus que el motor antivirus del equipo es capaz de detectar.

5.7.13.3 Guía

En modo configuración Global (Config Global), ejecutar:

config system autoupdate push-update

set address 0.0.0.0
set override disable
set port 9443
set status enable
end
config system autoupdate schedule
set frequency every
 set status enable
set time 02:60
end

5.7.14 Configurar autenticación RADIUS

5.7.14.1Objetivo

Centralizar la autenticación de los administradores de los equipos FortigateFortiGate.

5.7.14.2Beneficios de seguridad

Al utilizar cada técnico (administrador) su propio usuario, será posible tener

trazabilidad de los cambios realizados por cada uno de ellos. Al mismo tiempo, se
aprovecha la caducidad de contraseña del dominiosistema de autenticación externo,
por ejemplo, de modo que se aumenta la seguridad para los accesos administrativos.

5.7.14.3 Guía

Será necesario configurar los servidores RADIUS de la compañía para que acepten
solicitudes de cada equipo FortiGate que se configure con este mecanismo de
autenticación. Además será necesario establecer una contraseña (secreto compartido)
en la conexión entre el equipo FortiGate y el servidor RADIUS.

Tras la configuración de los servidores RADIUS, será necesario ejecutar los siguientes
comandos en el equipo FortiGate, Los comandos se ejecutarán en el VDOM de
gestión en caso de que esté activada la característica VDOM:

config user radius

edit "NPSRADIUS"
set auth-type ms_chap_v2 (en caso de usar AD)
set secret (secreto compartido configurado en
el servidor Radius)
set server "172.30.255.2X.X.X.X"
set secondary-secret (secreto compartido
configurado en el servidor Radius)
set secondary-server "172.16.254.20Y.Y.Y.Y"
next
end

config user group

edit "Radius-access”
set member "NPSRADIUS"
next
end
 Para cada usuario administrador, ejecutar en modo global (config
global):

config system admin

edit"[Identificador_usuario_administrador]"
setremote-auth enable
settrusthost1 172.16.0.0 255.240.0.0
settrusthost2 172.16.0.0 255.240.0.0
settrusthost3 172.16.0.0 255.240.0.0
setaccprofile "super_admin"
setremote-group "Radius-access"
set password ENC
AK1Ws4RlcU5U22ulSm53kZBBm/rTikkjOXrNj/7MHWH9K
8=xxxxxx
next

5.7.15 Configurar Logs en reglas

5.7.15.1Objetivo
Habilitar los logs en las reglas de seguridad de los firewalls para tener constancia en
los sistemas de análisis de logs.

Deben habilitarse en las reglas añadidas, así como en la regla implícita que deniega
todo el tráfico en el firewall de forma predeterminada.

Dependiendo de las reglas y o normas que alcancen a la compañía debe determinarse

si fuera necesario activar los logs para tráfico “aceptado”. En algunos casos esto es
mandatorio, pero donde no lo fuese es conveniente evitarlo para ahorrar en recursos.

5.7.15.2Beneficios de seguridad
Obtener información acerca del tráfico para poder analizarlo en los sistemas de
gestión de LOGS.,

5.7.15.3 Guía
Para la regla implícita: ejecutar los comandos:

config global
config system global
set fwpolicy-implicit-log enable
set fwpolicy6-implicit-log disable
Para el resto de reglas: teclear el siguiente comando en la configuración de la regla:

set logtraffic enable

En el caso de que la regla tenga configurados perfiles UTM (filtrado web, control de
aplicaciones, antivirus…), será necesario marcar la opción de log en el momento de la
creación de los perfiles UTM.

5.8 DIAGRAMA TOPOLOGÍA

Tras finalizar la instalación del firewall, es necesario documentar de forma gráfica,

mediante un diagrama, la forma topología en la que se conecta con internet, otros
equipos de comunicaciones y la red corporativa, identificando los puertos por los que
se conecta, así como las direcciones IP. Estos diagramas han de ser modificados cada
vez que se produzca un cambio en la configuración del equipo que así lo requiera.
Estos documentos son muy útiles también para la ayuda de resolución de problemas.

5.9 REGISTRO DE CONTROL DE CAMBIOS

Con el objetivo de poder tener trazabilidad de los cambios realizados en la

configuración de los firewalls FortiGate de la Compañía, se deberá documentar cada
modificación que se realice en los equipos FortiGate que estén en producción.

5.10 REGLAS DE SEGURIDAD

A la hora de establecer las reglas de seguridad del firewall, se han de especificar

concretamente los protocolos/puertos permitidos, interfaces de entrada y salida y las
direcciones IP de origen y destino; evitando en la medida de lo posible especificar
“any” como dirección IP de origen o destino y/o como protocolo/puerto permitido y/o
interface de entrada o salida.

Igualmente, en las reglas de salida a internet, se permitirán las mínimas necesarias

para el correcto funcionamiento de la red.

También para las reglas de salida a internet, se recomienda activar el escaneo

antivirus e impedir el uso de programas no permitidos. Esto es posible gracias a la
creación de un perfil de “control de aplicaciones” en el que se debiera analyzar
denegar, como mínimo, las siguientes aplicaciones, que suponen normalmente un
riesgo para la seguridad:

Categoría Aplicación
P2P ALL
Proxy ALL
Game ALL
Remote-Access ALL
 5.11 REGLAS PROTECION PARA DoS

5.11.1.1Objetivo

Prevenir ataques de DoS al Firewall.

5.11.1.2Beneficios

Mantener un nivel de servicio adecuado, minimizando el impacto de ataques contra la

disponibilidad de los servicios.

5.11.1.3 Guía

Crear Reglas de protección DoS, una por cada protocolo desde Internet y por
destino:
config firewall DoS-policy set status enable
edit 1 set log enable
set interface "port1" set threshold 5000
set srcaddr "all" next
set dstaddr "all" edit "udp_dst_session"
set service "HTTP" set status enable
config anomaly set log enable
edit "tcp_syn_flood" set action block
set status enable set threshold 5000
set log enable next
set action block edit "icmp_flood"
set threshold 2000 set status enable
next set log enable
edit "tcp_port_scan" set action block
set status enable set threshold 250
set log enable next
set action block edit "icmp_sweep"
set threshold 1000 set status enable
next set log enable
edit "tcp_src_session" set action block
set status enable set threshold 100
set log enable next
set action block edit "icmp_src_session"
set threshold 5000 set status enable
next set log enable
edit "tcp_dst_session" set action block
set status enable set threshold 300
set log enable next
set action block edit "icmp_dst_session"
set threshold 5000 set status enable
next set log enable
edit "udp_flood" set action block
set status enable set threshold 1000
set log enable next
set action block edit "ip_src_session"
set threshold 2000 set status enable
next set log enable
edit "udp_scan" set action block
set status enable set threshold 5000
set log enable next
set action block edit "ip_dst_session"
set threshold 2000 set status enable
next set log enable
edit "udp_src_session" set action block
 set threshold 5000
next
edit "sctp_flood"
set status enable
set log enable
set action block
set threshold 2000
next
edit "sctp_scan"
set status enable
set log enable
set action block
set threshold 1000
next
edit "sctp_src_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "sctp_dst_session"
set status enable
set log enable
set action block
set threshold 5000
next
end
next
end

Consideraciones:

Es necesario realizar un backup de la configuración previo a cualquier cambio

importante en la misma, de modo que ante un problema, se pueda retroceder a la
configuración anterior. Los equipos FortiGate almacenan directamente en la NVRAM
cualquier cambio que se realice en la configuración, sin necesidad de guardar dicho
cambio, como ocurre en otros equipos.

Igualmente es necesario guardar un backup de la configuración cada vez que se

realice un cambio en la misma, pues ante la avería de un equipo será posible
recuperar la misma configuración que tenía el equipo antes de averiarse. El backup
que se realiza al finalizar una configuración, evitará la necesidad de hacer un backup
previo a la siguiente modificación, pues se podrá volver a una versión anterior de la
configuración utilizando el último fichero de backup.

Es por tanto necesario que ante la instalación de un nuevo firewall, se realice un

backup de la configuración al finalizar ésta.

En últimas versiones del sistema operativo FortiOS, el equipo FortiGate realiza de

forma automática backups de configuración que se almacenan en el propio dispositivo.
(Ver Revision History). Si bien esta medida puede servir en muchos casos, en el
caso de avería de la máquina se perderían estas copias de seguridad, por lo que la
recomendación de almacenar las copias en un lugar externo evitará esta
vulnerabilidad.
 5.12 ENRUTAMIENTO IP

Todos los firewalls FortiGate de la Compañía deberán tener una ruta para localizar
todos los servicios corporativos a través de la línea de comunicaciones por la que
acceda a la red corporativa.

6. REVISION HISTORY

Fortigate tiene incorporado un completo sistema de seguimiento y registro de

cambios denominado Revision History. Este registro puede ser accedido
desde: System (Tab) > Dashboard > Status > System Information (Widget)
> System Configurations > Revisions

Con esta opción puede fácilmente revisar cambios y eventualmente volver a

una versión anterior.
Más información puede ser encontrada en:
http://help.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520H
andbook/basic_setup.020.65.html

7. REGISTROS (MINIMOS SUGERIDOS)

PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN

Informe Mientras el equipo

Procedimiento Técnico se encuentre en la
Operativo de Responsable XXXXXXX Compañía
Seguridad Instalación Instalación
de firewall

Mientras el equipo
Técnico se encuentre en la
Diagrama Topología XXXXXXX
Responsable Compañía
Firewall
Instalación

Mientras el equipo
Técnico se encuentre en la
Inventario Firewalls Responsable XXXXXXX
Compañía
Instalación

8. ANEXOS
A - Checklist para la instalación de firewall

Nombre dispositivo:
Dirección IP:
Nº Serie:
Fecha:

Acciones Instalado No instalado Observaciones

Instalación
Actualizar firmware
Configurar Fecha, hora y Zona
Configurar Direcciones IP
Default Gateway
Establecer nombre máquina
Pegatina con nombre máquina
Registros
Activar Logs en regla implícita
Activar Logs en reglas añadidas
Backup de la configuración
Descripción en los Interfaces
Configurar Fortianalyzer
Accesos
Mensajes de advertencia
Configurar User Admin Alternativo
Configurar trusted hosts
Password Admin
Política de contraseñas locales
Cerrar los interfaces no utilizados.
Configurar acceso SSH y HTTPS
Limitar Protocolos Administrativos
Limitar el tiempo de inactividad.
Habilitar RADIUS
RADIUS en servidores Windows
Varios
Deshabilitar auto instalación USB.
Sincronización automática del reloj
Configurar WebFilter
Configurar actualizaciones antivirus
Configurar autenticación RADIUS
Rutas adicionales
Tareas Administrativas
Alta en DNS
Registro en soporte
Registro en inventario
Diagrama del Firewall