Académique Documents
Professionnel Documents
Culture Documents
Versiones
1.1.1.1
ÍNDICE
FORTIGATE HARDENING 1
1. OBJETO 6
2. ALCANCE 6
3. GENERAL 6
4. DESARROLLO 6
4.1 ACTUALIZACIÓN FIRMWARE 6
4.2 NOMBRE DEL DISPOSITIVO 6
4.3 INVENTARIO DE EQUIPOS 6
4.4 REGISTRO EN WEB DE SOPORTE 7
4.5 MONITORIZACION LOGS 7
4.6 INFORMES 7
4.7 GUÍA DE SEGURIDAD 7
4.7.1 Configuración de mensajes de advertencia 7
4.7.1.1 Objetivo 7
4.7.1.2 Beneficios de seguridad 7
4.7.1.3 Guía 7
4.7.2 Política de contraseñas locales para Administradores ensobrados 8
4.7.2.1 Objetivo 8
4.7.2.2 Beneficios de seguridad 8
4.7.2.3 Guía 8
4.7.3 Configuración de Administradores 8
4.7.3.1 Objetivo 8
4.7.3.2 Beneficios de seguridad 9
4.7.3.3 Guía 9
4.7.4 Configuración OTP para Administradores diarios 9
4.7.4.1 Objetivo 9
4.7.4.2 Beneficios de seguridad 9
4.7.4.3 Guía 9
4.7.5 Cerrar los interfaces no utilizados 10
4.7.5.1 Objetivo 10
4.7.5.2 Beneficios de seguridad 10
4.7.5.3 Guía 10
4.7.6 Descripción de los interfaces utilizados 10
4.7.6.1 Objetivo 10
4.7.6.2 Beneficios de seguridad 10
4.7.6.3 Guía 10
4.7.7 Limitar el acceso administrativo a cada interfaz 11
4.7.7.1 Objetivo 11
4.7.7.2 Beneficios de seguridad 11
4.7.7.3 Guía 11
4.7.8 Limitar el tiempo de inactividad 11
4.7.8.1 Objetivo 11
4.7.8.2 Beneficios de seguridad 11
4.7.8.3 Guía 11
4.7.9 Deshabilitar la auto instalación a través de USB 12
4.7.9.1 Objetivo 12
4.7.9.2 Beneficios de seguridad 12
4.7.9.3 Guía 12
4.7.10 Sincronización automática del reloj 12
4.7.10.1 Objetivo 12
4.7.10.2 Beneficios de seguridad 12
4.7.10.3 Guía 12
4.7.11 Configurar acceso SSH y HTTPS 13
4.7.11.1 Objetivo 13
4.7.11.2 Beneficios de seguridad 13
4.7.11.3 Guía 13
4.7.12 Configurar WEBFILTER 13
4.7.12.1 Objetivo 13
4.7.12.2 Beneficios de seguridad 14
4.7.12.3 Guía 14
4.7.13 Configurar actualizaciones antivirus 14
4.7.13.1 Objetivo 14
4.7.13.2 Beneficios de seguridad 14
4.7.13.3 Guía 14
4.7.14 Configurar autenticación RADIUS 15
4.7.14.1 Objetivo 15
4.7.14.2 Beneficios de seguridad 15
4.7.14.3 Guía 15
4.7.15 Configurar Logs en reglas 16
4.7.15.1 Objetivo 16
4.7.15.2 Beneficios de seguridad 16
4.7.15.3 Guía 16
4.8 DIAGRAMA TOPOLOGÍA 17
4.9 REGISTRO DE CONTROL DE CAMBIOS 17
4.10 REGLAS DE SEGURIDAD 17
4.11 REGLAS PROTECION PARA DOS 17
4.11.1.1 Objetivo 17
4.11.1.2 Beneficios 18
4.11.1.3 Guía 18
4.12 ENRUTAMIENTO IP 19
5. REVISION HISTORY 19
6. REGISTROS (MINIMOS SUGERIDOS) 21
7. ANEXOS 21
2. OBJETO
3. ALCANCE
4. GENERAL
5. DESARROLLO
5.6 INFORMES
Para cada firewall nuevo o existente que se instale, se deberá generar un informe que
recoja el nombre del dispositivo, el número de serie, la fecha de instalación, el nombre
del técnico que realizó la instalación, la dirección IP y una checklist de los puntos que
se han seguido de la instrucción contenida en este documento.
5.7.1.1 Objetivo
5.7.1.2Beneficios de seguridad
5.7.1.3 Guía
Los comandos de creación de mensajes de advertencia o información se utilizan en
modo de configuración global (config global).
5.7.2.1Objetivo
5.7.2.2Beneficios de seguridad
5.7.2.3 Guía
5.7.3.1Objetivo
Establecer la contraseña del usuario admin y delimitar las redes de origen desde las
que se puede acceder a la administración del equipo.
5.7.3.2Beneficios de seguridad
5.7.3.3 Guía
5.7.4.1Objetivo
5.7.4.2Beneficios de seguridad
5.7.4.3 Guía
5.7.5.2Beneficios de seguridad
5.7.5.3 Guía
Ejecutar el comando “set status down” en modo de configuración global en del interfaz
en cuestión, por ejemplo para el interfaz port3:
Config global
config system interface
edit "port3"
set status down
next
5.7.6.1Objetivo
Introducir una etiqueta que identifique el uso para el que está destinado el interface.
5.7.6.2Beneficios de seguridad
5.7.6.3 Guía
Config global
config system interface
edit "port3"
set alias “Internet”
next
5.7.7 Limitar el acceso administrativo a cada interfaz
5.7.7.1Objetivo
5.7.7.2Beneficios de seguridad
5.7.7.3 Guía
5.7.8.1Objetivo
5.7.8.2Beneficios de seguridad
Limitando el tiempo en el que una sesión SSH o HTTPS permanece inactiva, evita el
acceso por parte de usuarios no autorizados a una terminal que permanezca abierta.
5.7.8.3 Guía
5.7.9.1Objetivo
Evitar que el equipo tome una configuración o instale un nuevo firmware a partir de un
fichero que resida en una llave USB que se conecte al dispositivo.
5.7.9.2Beneficios de seguridad
Un atacante con acceso físico al dispositivo, podría cargar una nueva configuración o
firmware en el equipo a través del puerto USB, reiniciando el dispositivo a través de un
corte de alimentación eléctrica.
5.7.9.3 Guía
5.7.10.1Objetivo
Mantener el reloj del equipo sincronizado con el del resto de equipos de TRla
organización (como equipos de log, de autenticación, etc).
5.7.10.2Beneficios de seguridad
5.7.10.3 Guía
5.7.11.1Objetivo
5.7.11.2Beneficios de seguridad
Una sesión Telnet o http no cifra la comunicación, siendo posible que un atacante
capture las password de acceso a la sesión. El protocolo SSH o HTTPS cifra la
comunicación, impidiendo la captura de la password.
5.7.11.3 Guía
next
5.7.12.2Beneficios de seguridad
Evitar que los usuarios accedan a páginas inseguras, donde sus equipos pueden
verse infectados con malware.
5.7.12.3Guía
5.7.13.1Objetivo
5.7.13.2Beneficios de seguridad
Reconocer los últimos virus que el motor antivirus del equipo es capaz de detectar.
5.7.13.3 Guía
5.7.14.1Objetivo
5.7.14.2Beneficios de seguridad
5.7.14.3 Guía
Será necesario configurar los servidores RADIUS de la compañía para que acepten
solicitudes de cada equipo FortiGate que se configure con este mecanismo de
autenticación. Además será necesario establecer una contraseña (secreto compartido)
en la conexión entre el equipo FortiGate y el servidor RADIUS.
Tras la configuración de los servidores RADIUS, será necesario ejecutar los siguientes
comandos en el equipo FortiGate, Los comandos se ejecutarán en el VDOM de
gestión en caso de que esté activada la característica VDOM:
edit"[Identificador_usuario_administrador]"
setremote-auth enable
settrusthost1 172.16.0.0 255.240.0.0
settrusthost2 172.16.0.0 255.240.0.0
settrusthost3 172.16.0.0 255.240.0.0
setaccprofile "super_admin"
setremote-group "Radius-access"
set password ENC
AK1Ws4RlcU5U22ulSm53kZBBm/rTikkjOXrNj/7MHWH9K
8=xxxxxx
next
5.7.15.1Objetivo
Habilitar los logs en las reglas de seguridad de los firewalls para tener constancia en
los sistemas de análisis de logs.
Deben habilitarse en las reglas añadidas, así como en la regla implícita que deniega
todo el tráfico en el firewall de forma predeterminada.
5.7.15.2Beneficios de seguridad
Obtener información acerca del tráfico para poder analizarlo en los sistemas de
gestión de LOGS.,
5.7.15.3 Guía
Para la regla implícita: ejecutar los comandos:
config global
config system global
set fwpolicy-implicit-log enable
set fwpolicy6-implicit-log disable
Para el resto de reglas: teclear el siguiente comando en la configuración de la regla:
Categoría Aplicación
P2P ALL
Proxy ALL
Game ALL
Remote-Access ALL
5.11 REGLAS PROTECION PARA DoS
5.11.1.1Objetivo
5.11.1.2Beneficios
5.11.1.3 Guía
Crear Reglas de protección DoS, una por cada protocolo desde Internet y por
destino:
config firewall DoS-policy set status enable
edit 1 set log enable
set interface "port1" set threshold 5000
set srcaddr "all" next
set dstaddr "all" edit "udp_dst_session"
set service "HTTP" set status enable
config anomaly set log enable
edit "tcp_syn_flood" set action block
set status enable set threshold 5000
set log enable next
set action block edit "icmp_flood"
set threshold 2000 set status enable
next set log enable
edit "tcp_port_scan" set action block
set status enable set threshold 250
set log enable next
set action block edit "icmp_sweep"
set threshold 1000 set status enable
next set log enable
edit "tcp_src_session" set action block
set status enable set threshold 100
set log enable next
set action block edit "icmp_src_session"
set threshold 5000 set status enable
next set log enable
edit "tcp_dst_session" set action block
set status enable set threshold 300
set log enable next
set action block edit "icmp_dst_session"
set threshold 5000 set status enable
next set log enable
edit "udp_flood" set action block
set status enable set threshold 1000
set log enable next
set action block edit "ip_src_session"
set threshold 2000 set status enable
next set log enable
edit "udp_scan" set action block
set status enable set threshold 5000
set log enable next
set action block edit "ip_dst_session"
set threshold 2000 set status enable
next set log enable
edit "udp_src_session" set action block
set threshold 5000
next
edit "sctp_flood"
set status enable
set log enable
set action block
set threshold 2000
next
edit "sctp_scan"
set status enable
set log enable
set action block
set threshold 1000
next
edit "sctp_src_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "sctp_dst_session"
set status enable
set log enable
set action block
set threshold 5000
next
end
next
end
Consideraciones:
Todos los firewalls FortiGate de la Compañía deberán tener una ruta para localizar
todos los servicios corporativos a través de la línea de comunicaciones por la que
acceda a la red corporativa.
6. REVISION HISTORY
PERIODO
REGISTRO RESPONSABLE LUGAR ARCHIVO
CONSERVACIÓN
Mientras el equipo
Técnico se encuentre en la
Diagrama Topología XXXXXXX
Responsable Compañía
Firewall
Instalación
Mientras el equipo
Técnico se encuentre en la
Inventario Firewalls Responsable XXXXXXX
Compañía
Instalación
8. ANEXOS
A - Checklist para la instalación de firewall
Nombre dispositivo:
Dirección IP:
Nº Serie:
Fecha: