Anda di halaman 1dari 36

Un nuevo acercamiento

a la
Fortinet

& Seminario
Proteccin
de redes
Actualizacin

Mayo 2004

Fortinet

Creada en el 2000 por Ken Xie y Joe Wells


Fundador de NetScreen y Director de I+D de Trend Micro e IBM
(NASDAQ: NSCN)

Cuartel General en Santa Clara, CA (200 empleados); Presencia Mundial


Oficinas en Australia, Canada, China, Francia, Alemania, Japn,

Korea, UK y Espaa

Objetivo: proteccin de red en tiempo real demandada por el mercado


El primer gateway de proteccin en tiempo real con antivirus basado

en ASICs e IDS y Filtrado de URL como servicios de valor


aadido sin coste adicional

Objetivo: Superar las limitaciones de las soluciones convencionales


Rendimiento, gestin, coste. 30.000 unidades desde mayo 2002!!!

Fortinet Confidential

Fortinet Confidential

Fortinet se ha posicionado como empresa visionaria en las


necesidades sobre seguridad que estn demandando las
organizaciones
Fortinet has demonstrated
its investment in powerful
network processing
technology by filtering
viruses in-line, which
requires an unprecedented
level of packet assembly
and filtering.

Firewalls must
provide a wider range
of intrusion prevention
capabilities, or face
extinction

Fortinet Confidential

Arquitectura Fortigate Completa y en


tiempo real

Fortinet Chip (Propietario)


FortiASIC
Procesador

FortiOS
Sistema
Operativo
Sistema Operativo Securizado (Propietario)

Sistema operativo en tiempo real


Alto rendimiento
Robusto
Contrudo especficamente para ser gestionado en remoto
sin prdidas de rendimiento

Scanning (Hw)
Encriptacin (Hw)
Anlisis de Contenidos en
en tiempo real (Hw)

La serie Fortigate es la primera que


proporciona al mercado:

Proteccin antivirus de tiempo real basada en ASIC

Filtrado de contenido en tiempo real basado en ASIC

La gama completa de servicios de seguridad perimetral de forma


integrada*:
Firewall
VPN
Deteccin de intrusiones
Gestin del ancho de banda

*El modo Transparent Mode del fortigate, permite una


sencilla integracin con los firewall, VPN, y resto de
elementos de seguridad existentes
Fortinet Confidential

Versin 2.8
Nuevas
caractersticas

Aspectos Clave: Antivirus

El nico AV del mercado basado en ASIC con la certificacin ICSA

3 tipos de servicios:

Deteccin de Virus

Bloqueo de Ficheros y Correo (oversized files or pattern matching file names)

Cuarentena

Protocolos soportados:

Correo: SMTP, POP3, IMAP

Web: HTTP (contenido, downloads y web mail)

FTP

Soporte en puertos no standard (SMTP, POP3, IMAP, HTTP)

Mtodo de Scanning

Basado en firmas

Scanning de Macros

Heurstico (executable PE files)

Fortinet Confidential

Aspectos Clave: Antivirus

Cobertura total para los virus includos en la WildList

Modo Transparente

No se requiere ninguna configuracin especial por parte del usuario

Mxima eficacia en el Scanning

Incluyendo virus polymorphic

Scanning Contextual compara los datos con el mtodo ms apropiado y la base


de datos ms apropiada de acuerdo a la naturaleza de los mismos

Alto Rendimiento

Unica solucin basada en ASIC-para acelerar el scanning en tiempo real

Scanning del trfico Web en tiempo real sin latencias

No comparable a cualquier otro Gateway de AV del mercado

Hasta 10x ms rpido que cualquier otra solucin basda en SW

Customizacin en las firmas para los correos salientes

Customizacin en los mensajes (mail, FTP, Web)

Fortinet Confidential

Configuracin para la proteccin de los


perfiles

Aspectos Clave: Antivirus

Encriptacin y Desencriptacin del trfico VPN para scanning de


virus y worms

Scanning de ficheros macros de Microsoft encriptados

Capacidad para hacer scanning hasta 12 niveles de comprensin


(ej: LZH compresin)

Logs del AV scanning enviados al administrador nada ms


suceder el evento

Actualizacin FortiProtect Distribution Network (FDN)


Update manual
Por fechas
Push
Ms efectivo
Mensaje UDP enviado via FDN a las unidades FortiGate por el puerto 9443

Fortinet Confidential

Con la infraestructura FortiProtect, se asegura


el menor tiempo de respuesta del mercado ante
FortiProtect Web Portal & Boletines y
nuevas
amenazas
Red de Servidores
email diarios sobre el status de las
distribudos para una rpida
actualizacin

Alta Disponibilidad, Gran


Capacidad
(Updates para TODOS las
unidades FortiGate, en menos de 5
minutos)
Fortinet Confidential

amenazas (Antiguo FortiResponse)

Aspectos Clave: Firewall

ICSA-certified Stateful
Inspection Firewall

Many-to-one (PAT)
Many-to-many NAT

Alto rendimiento

H.323 NAT Traversal

Ms de 4 Gbps en FG3600

Modo Route y mode


transparente

Aplicacin de polticas
firewall en tneles VPN

Aplicacin de AV y de
filtrado de contenidos como
parte de las polticas de
firewall

Fortinet Confidential

Policy-based NAT

User group-based
authentication
Local database
Radius authentication
LDAP authentication
SecureID authentication

IP/MAC Binding

Soporte 802.1Q VLAN

FortiGate 200 y superior

Multiple VLAN basadas en sub-interfaces


Definibles en cada puerto fsico
Soporte para overlapped IP addresses con diferentes VLAN tags

Inter-(sub) interface security policies


VLAN based AV
VLAN based NIDS
VLAN based content filtering
VLAN based VPN construction
VLAN based firewall policy y traffic shaping

Virtual Domain

Fortinet Confidential

Definicin de las polticas de routing

Fortinet Confidential

Caractersiticas de Routing

Soporte de RIP v1 y RIP v2

Rutas estticas destino basado en rutas


Las rutas pueden recogerse en forma de tabla desde la ms especfica a
la ms general
Soporta mltiples gateways para cualquier ruta esttica
Deteccin del estado del gateway basado en pings personalizables
Failover automtico hacia el siguiente gateway cuando el primero falla

Creacin de backup de rutas hacia Internet:


ISP1

Internet

Intranet

ISP2
Fortinet Confidential

Caractersticas de Routing

Static routing Policy-based routes


Rutas basadas en
Direccin de origen
Protocolo, tipo de servicio o rango
Interface entrante

Poltica de rutas chequeada antes de las rutas de destino


Creacin de mltiples rutas hacia Internet
Static load-sharing:

RealReal-time
traffic (HTTP)
ISP1

Internet

Intranet

ISP2
Fortinet Confidential

Other
traffic

Aspectos Clave: VPN

ICSA-certified IPSec VPN

VPN NAT traversal

Protocolos soportados:

Dead peer detection (DPD)

Dial-up monitor/Remote VPN


client

Authentication:

IPsec, PPTP
L2TP/Passthrough of IPSec and
PPTP

Encriptacin Hardware:

Support for Xauth over Radius

DES, 3DES y AES

x.509 Certificate auth

Trfico IPSec VPN controlado por


las polticas de firewall

Tneles VPN desencriptados y


enrutados a travs del firewall y
para el escaneo de AV

Interoperabilidad con la
mayora de los fabricantes
VPN

Soporta arquitectura Hub y


Spoke

Fortinet Confidential

LDAP for user authentication

Aspectos Clave: Deteccin de Intrusiones

Certificacin ICSA

Mximo rendimiento
IDS basado en ASIC

Base de datos de 1,400 ataques

Actualizacin automtica de las firmas


FortiResponse Distribution Network

Alertas customizables
Segn diferentes tipos de ataques

Muy sencilla de configurar y mantener

CAPEX y OPEX notablemente menores que cualquier otra


solucin de NIDS basada en appliance

Fortinet Confidential

Aspectos Clave: Deteccin de Intrusiones

Lista de ataques customizables para habilitar o


deshabilitar firmas

Soporte para autodefinicin de firmas por los usuarios

Configuracin para la proteccin de los


perfiles

Mtodos de
Deteccin:
Firmas
Anomalias
Scanning attacks
Flooding attacks

IDS basado en polticas

Scanning de
trfico selectivo

Slo donde sea


necesario

Mxima
granularidad
IDS no limitado a
n de interfaces o
VLANs

Optimizacin de
los recursos

Prevencin en tiempo real

Prevencin Total automtica contra ataques sin intervencin


humana

Deteccin y Respuesta en Tiempo Real

Cualquier tipo de ataque puede ser bloqueado

Aspectos Clave: Filtrado Web

Filtrado de contenidos basado en polticas


Slo donde sea necesario
Scanning, bloqueo o permisin selectiva segn los diferentes
tipos de contenidos para usuarios o grupos

Bloqueo de Scripts (Java, ActiveX, cookies)

Filtrado Web nativo


Black List (gratis):
SquidGuard (URLs lists)
DansGuardian (banned words)

Por categoras web


Bloqueo de Contenido (banned words)
Bloqueo de URL y Pattern

Fortinet Confidential

Proteccin Spam Filtrado Mensajes


SPA

Filtrado Mensajes
Chequear la informacin del emisor/receptor contra email
de black/white lists de forma esttica
Chequear que el dominio del email de retorno tenga MX
(Mail Exchange) y/o A (Audio) record
Chequear cabeceras contra pares de key-value
predefinidas
La lista es esttica

Chequear las cabeceras de los mensajes, asunto y cuerpo


para palabras baneadas
Expresiones regulares que provienen de una lista localmente
actualizada

Fortinet Confidential

Proteccin SPAM Filtrado SMTP


SPA

Filtrado de servidores SMTP:


White y black list esttica
IP addresses or hostnames

Real-Time Blackhole List (RBL) y Open Relay Database (ORDB) checks


Support ad-hoc syntax of standard for DNS-based BL queries
Support any BL that supports it. For example - http://mail-abuse.org/rbl
Senders IP address is check against publicly accessible databases of RBL and
ORDB servers
Static database of well-known RBL servers
Can be user modified

Reverse DNS lookup


When receiving a HELO from an SMTP client
HELO commands carries a domain name which is reversed

Fortinet Confidential

Gestin FortiGate

CLI Command-line Interface


Security through SSH

Web GUI
Security through SSL

Fortinet Confidential

Acceso CLI desde Telnet/SSH/GUI

Web GUI Configuracin

Web GUI Localizacin

GUI en 6
idiomas

Gestin basada en roles

Web GUI Monitorizacin

Backup y restore

Backup/restore la
configuracin
completa

Backup/restore
cualquier parte
de la
configuracin

Backup realizado
en formato de
fichero de texto

Familia de Productos
Familia de Productos FortiGate
SOHO

Branch Office

Medium Enterprise

Service Provider/Telco

Large Enterprise

FortiGateFortiGate-4000

FortiGateFortiGate-3600

FortiManager

FortiGateFortiGate-3000

FortiLog

THROUGHPUT

Redundant PS, VDom


FortiGateFortiGate-1000
FortiGate 800
FortiGate 500

Gigabit perf
Gigabit Eth

High port density

FortiGateFortiGate-400
FortiGateFortiGate-300
FortiGateFortiGate-200
FortiGateFortiGate-100
FortiGateFortiGate-60 / FortiWifi
FortiGateFortiGate-50A

High Availability
Integrated Logging, VLAN support

FortiGate Rendimientos

FortiGate Performance Summary


Producto

Nodos

AV HTTP Perf

FG-50

1 hasta 5

1MB

FG-60

1 hasta 25

5MB

FG-100

25 hasta
35

9MB

FG-200

25 hasta
50

11MB

FG-300

50-100

FG400

AV Mail Perf

Firewall

VPN

Sesiones

10MB

20

3K

70MB

40

50K

95MB

40 / 80

50K / 200K

2500 MM

120MB

100

400K

20MB

3000 MM

200MB

1.5K

400K

50-100

25 MB

3500 MM

280MB

2K

400K

FG-500

100-150

25MB

4000 MM

280MB

2K

400K

FG-800 / FG-1000

100-250

45MB / 50MB

600MB / 1 GB

2K/3K

400K/600K

FG-3000

200-750

110MB

2.25 GB

5K

975K

FG-3600

500-1500

130MB

4 GB

5K

1MB

1500 MM

Gracias
Preguntas?