NS4 Security 251-300

Machine Translated by Google Autenticación de cortafuegos
NO REIMPRIMIR
© FORTINET
Puede configurar una política de firewall para suprimir el portal cautivo para direcciones o servicios específicos. Esto
es útil para dispositivos que no pueden autenticarse de forma activa, como impresoras y máquinas de fax, pero que aún
deben recibir el permiso de la política de firewall. Cuando se suprime, el tráfico que coincide con el origen o el destino
no se presenta en la página de inicio de sesión del portal cautivo.
Hay dos formas de evitar el portal cautivo:
• A través de una lista de exenciones de seguridad en la GUI o la CLI en config user security-exempt-list
• A través de la política de firewall. En la CLI, edite la política e ingrese el comando set captive-portal except enable.
Todo el tráfico que coincida con esta política ahora está exento de tener que autenticarse a través del portal
cautivo.
Guía de estudio de FortiGate Security 7.0 251

NO REIMPRIMIR
© FORTINET
Si desea habilitar un descargo de responsabilidad de los términos de servicio para que se use en combinación con la
autenticación del portal cautivo, puede hacerlo mediante la política de firewall de configuración y establecer los comandos de habilitación
de descargo de responsabilidad en la CLI. El descargo de responsabilidad de los términos de servicio establece las responsabilidades
legales del usuario y la organización anfitriona. Cuando habilita el descargo de responsabilidad, el usuario debe aceptar los términos
descritos en la declaración para continuar con la URL solicitada. Cuando está habilitado, el descargo de responsabilidad de los términos
del servicio se abre inmediatamente después de una autenticación exitosa.
Ni una lista de exenciones de seguridad ni una exención de portal cautivo en un firewall pueden eludir un descargo de responsabilidad.

NO REIMPRIMIR
© FORTINET
FortiGate le permite personalizar los mensajes del portal, que incluyen la página de inicio de sesión y la página de exención
de responsabilidad. Puede personalizar los mensajes en la página Mensajes de reemplazo.
La página de descargo de responsabilidad está en HTML, por lo que debe tener conocimientos de HTML para personalizar el mensaje.
El diseño predeterminado es Vista simple, que oculta la mayoría de los mensajes de reemplazo. Use la vista extendida para
mostrar todos los mensajes de reemplazo editables.

NO REIMPRIMIR
© FORTINET
Un tiempo de espera de autenticación es útil por motivos de seguridad. Minimiza el riesgo de que alguien utilice la IP del usuario autenticado
legítimo. También garantiza que los usuarios no se autentiquen y luego permanezcan en la memoria indefinidamente. Si los usuarios permanecieran
en la memoria para siempre, eventualmente conduciría al agotamiento de la memoria.
Hay tres opciones para el comportamiento del tiempo de espera:
• Inactivo: mira los paquetes de la IP del host. Si no hay paquetes generados por el dispositivo host en el período de tiempo configurado,
entonces se cierra la sesión del usuario.
• Duro: el tiempo es un valor absoluto. Independientemente del comportamiento del usuario, el temporizador se inicia tan pronto como el usuario
se autentica y caduca después del valor configurado.
• Nueva sesión: incluso si el tráfico se genera en los canales de comunicación existentes, la autenticación caduca si no se crean nuevas
sesiones a través del firewall desde el dispositivo host dentro del valor de tiempo de espera configurado.
Elija el tipo de tiempo de espera que mejor se adapte a las necesidades de autenticación de su entorno.

NO REIMPRIMIR
© FORTINET

Machine Translated by Google
Autenticación de cortafuegos
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende la autenticación a través de portales cautivos.
Ahora, aprenderá sobre el monitoreo y la resolución de problemas.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en el monitoreo y la resolución de problemas, podrá monitorear a los usuarios autenticados y solucionar
cualquier problema que pueda ocurrir.

NO REIMPRIMIR
© FORTINET
Puede monitorear a los usuarios que se autentican a través de sus políticas de firewall utilizando la página Panel >
Usuarios y dispositivos > Usuarios de firewall. Muestra el usuario, el grupo de usuarios, la duración, la dirección IP, el
volumen de tráfico y el método de autenticación.
No incluye administradores, porque no se están autenticando a través de políticas de firewall que permitan el tráfico.
Están iniciando sesión directamente en FortiGate.
Esta página también le permite desconectar a un usuario o varios usuarios al mismo tiempo.

NO REIMPRIMIR
© FORTINET
En el administrador basado en web, una buena herramienta para solucionar problemas es la columna Bytes en la página de la
política de seguridad, que se abre al hacer clic en Política y objetos > Política de firewall. Esta columna muestra el número de
bytes que han pasado a través de esta política. Esta es información valiosa para tener cuando está solucionando problemas.
Cuando esté probando su configuración (conectividad de extremo a extremo, autenticación de usuario y uso de
políticas), observar el recuento de bytes para ver si aumenta puede ayudar con la resolución de problemas. Un aumento
indica si la política en cuestión está viendo algún tráfico, lo cual es información útil si espera que un usuario requiera
autenticación, pero nunca se le solicita.
Utilice los siguientes comandos de CLI para recopilar más información sobre los usuarios y los intentos de autenticación de
usuarios para ayudar a solucionar los intentos de autenticación fallidos:
• lista de autenticación de firewall de diagnóstico: muestra los usuarios autenticados y su dirección IP.
• borrar autenticación de cortafuegos de diagnóstico: borra todos los usuarios autorizados de la lista actual. Esto es útil
cuando necesite obligar a los usuarios a volver a autenticarse después de cambios en el sistema o en el grupo. Sin embargo, este
comando puede resultar fácilmente en que muchos usuarios tengan que volver a autenticarse, así que utilícelo con cuidado.
• diagnosticar la aplicación de depuración fnbamd -1: use este comando para solucionar problemas de autenticación activa,
(Debe usarlo junto con la habilitación de depuración de diagnóstico).
• diagnostic test authserver radius-direct <ip> <puerto> <secreto>: comprueba la clave precompartida
entre FortiGate y el servidor RADIUS.
• diagnostic test authserver ldap <nombre_servidor> <nombreusuario> <contraseña>: prueba la autenticación LDAP para la
cuenta de usuario especificada.

NO REIMPRIMIR
© FORTINET
Use las mejores prácticas enumeradas en esta diapositiva para evitar problemas innecesarios al configurar la
autenticación de firewall.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo usar la autenticación en las políticas de firewall de FortiGate.

Registro y Monitoreo
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo configurar el inicio de sesión local y remoto en FortiGate; ver, buscar y
monitorear registros; y proteja sus datos de registro.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en los conceptos básicos de registro, podrá analizar de manera más efectiva los datos de registro
de su base de datos.

NO REIMPRIMIR
© FORTINET
Cuando el tráfico pasa a través de FortiGate a su red, FortiGate analiza el tráfico y luego toma medidas en función de las
políticas de firewall vigentes. Esta actividad se registra y la información se incluye en un mensaje de registro. El mensaje
de registro se almacena en un archivo de registro. Luego, el archivo de registro se almacena en un dispositivo capaz de
almacenar registros. FortiGate puede almacenar registros localmente en su propio espacio en disco o puede enviar registros a un dispositivo
como FortiAnalyzer.
El propósito de los registros es ayudarlo a monitorear el tráfico de su red, localizar problemas, establecer líneas de base y
más. Los registros le brindan una mayor perspectiva de su red, lo que le permite realizar ajustes en la seguridad de su red, si es
necesario.
Algunas organizaciones tienen requisitos legales en lo que respecta al registro, por lo que es importante conocer las políticas
de su organización durante la configuración.
Para un registro efectivo, la fecha y la hora de su sistema FortiGate deben ser precisas. Puede configurar manualmente la
fecha y la hora del sistema o configurar FortiGate para mantener su hora correcta automáticamente mediante la sincronización
con un servidor de protocolo de tiempo de red (NTP). Se recomienda encarecidamente un servidor NTP.

NO REIMPRIMIR
© FORTINET
Para FortiGate, hay tres tipos diferentes de registros: registros de tráfico, registros de eventos y registros de seguridad. Cada tipo se divide
a su vez en subtipos.
Los registros de tráfico registran información sobre el flujo de tráfico, como una solicitud HTTP/HTTPS y su respuesta, si corresponde.
Contiene subtipos denominados forward, local y sniffer. • Los registros de tráfico de reenvío contienen información sobre el tráfico que
FortiGate aceptó o rechazó según
una política de cortafuegos.
• Los registros de tráfico local contienen información sobre el tráfico directamente hacia y desde la IP de administración de FortiGate
direcciones. También incluyen conexiones a la GUI y consultas de FortiGuard.
• Los registros del rastreador contienen información relacionada con el tráfico visto por el rastreador de un brazo.
Los registros de eventos registran eventos administrativos y del sistema, como agregar o modificar una configuración o actividades
del demonio. Contiene subtipos denominados control de punto final, alta disponibilidad, sistema, usuario, enrutador, VPN, WAD e inalámbrico.
• Los registros de eventos del sistema contienen información relacionada con las operaciones, como actualizaciones automáticas de FortiGuard y
GUI logins.
• Los registros de usuario contienen eventos de inicio y cierre de sesión para políticas de firewall con autenticación
de usuario. • Los subtipos de enrutador, VPN, WAD e inalámbrico incluyen registros para esas funciones. Por ejemplo, VPN contiene
entradas de registro IPsec y SSL VPN.
Finalmente, los registros de seguridad registran eventos de seguridad, como ataques de virus e intentos de intrusión. Contienen entradas
de registro basadas en el tipo de perfil de seguridad (tipo de registro = utm), incluido el control de aplicaciones, antivirus, DLP, antispam
(filtro de correo electrónico), filtro web, protección contra intrusiones, anomalías (política DoS) y WAF. Los registros y subtipos de seguridad
solo son visibles en la GUI si se crean registros dentro de ella; si no existen registros de seguridad, el elemento del menú no aparece.

NO REIMPRIMIR
© FORTINET
Cada entrada de registro incluye un nivel de registro (o nivel de prioridad) que varía en orden de importancia desde
emergencia hasta información.
También hay un nivel de depuración. Pone información de diagnóstico en el registro de eventos. El nivel de depuración rara
vez se usa, a menos que esté investigando activamente un problema con el soporte de Fortinet. Por lo general, el nivel más
bajo que desea utilizar es información, pero incluso este nivel genera muchos registros y puede causar fallas prematuras en el disco duro.
Según el tipo de registro y las necesidades de su organización, es posible que desee registrar solo niveles de notificación o
superiores.
Usted y las políticas de su organización dictan lo que se debe registrar.

NO REIMPRIMIR
© FORTINET
Cada mensaje de registro tiene un diseño estándar que consta de dos secciones: un encabezado y un cuerpo.
El encabezado contiene campos que son comunes a todos los tipos de registro, como fecha y hora de origen, identificador de
registro, categoría de registro, nivel de gravedad y dominio virtual (VDOM). Sin embargo, el valor de cada campo es específico
del mensaje de registro. En el ejemplo de entrada de registro sin procesar que se muestra en esta diapositiva, el tipo de registro
es UTM, el subtipo es filtro web y el nivel es advertencia. El tipo y subtipo de registros determina qué campos aparecen en el
cuerpo del registro.
El cuerpo, por lo tanto, describe el motivo por el cual se creó el registro y las acciones realizadas por FortiGate. Estos
campos varían según el tipo de registro. En el ejemplo que se muestra en esta diapositiva, los campos son los siguientes:
• El campo policyid indica qué regla de firewall coincidió con el tráfico

• El campo srcip indica la dirección IP de origen
• El campo dstip indica la dirección IP de destino
• El campo de nombre de host indica la URL o IP del host
• El campo de acción indica lo que hizo FortiGate cuando encontró una política que coincidía con el tráfico
• El campo msg indica el motivo de la acción realizada. En este ejemplo, la acción está bloqueada, lo que
significa que FortiGate evitó que pasara este paquete IP, y el motivo es que pertenecía a una categoría denegada en la
política del firewall.
Si inicia sesión en un dispositivo de terceros, como un servidor syslog, conocer la estructura del registro es crucial para la integración.
Para obtener información sobre estructuras de registro y significados asociados, visite http://docs.fortinet.com.

NO REIMPRIMIR
© FORTINET
Es importante recopilar registros de los dispositivos en su Security Fabric. Esta es la razón por la que dos o
más dispositivos FortiGate y un FortiAnalyzer, un dispositivo de registro remoto, son productos necesarios en
el núcleo de la solución Security Fabric. Con FortiGate, puede habilitar diferentes funciones de seguridad, como
antivirus, filtrado web, prevención de intrusiones (IPS) y control de aplicaciones, en diferentes firewalls en la
estructura. Por ejemplo, en el firewall de segmentación interna (ISFW), puede habilitar solo antivirus, mientras que en
el firewall de próxima generación (NGFW) frente a Internet, puede habilitar el filtrado web, IPS y control de aplicaciones.
Esto significa que no tiene que duplicar escaneos y registros del mismo flujo de tráfico cuando pasa a través de múltiples firewal
Security Fabric puede proporcionar una vista de topología de red (física y lógica), y los dispositivos FortiGate
pueden compartir información relacionada con la red. Por ejemplo, los dispositivos conectados a dispositivos FortiGate aguas ab
visible en el dispositivo ascendente también (debe habilitar la detección de dispositivos en la página Interfaces
de la GUI de FortiGate). En resumen, los administradores pueden ver los registros y los dispositivos conectados a
la red iniciando sesión en el FortiGate raíz en Security Fabric. Esta información se comparte de forma segura mediante FortiTelem
protocolo.

NO REIMPRIMIR
© FORTINET
Es importante recordar que cuantos más registros se generen, mayor será el costo de su CPU, memoria y recursos de disco.
Almacenar registros durante un período de tiempo también requiere espacio en disco, al igual que acceder a ellos. Por lo
tanto, antes de configurar el registro, asegúrese de que los recursos adicionales valgan la pena y que su sistema pueda
manejar la afluencia.
También es importante tener en cuenta el comportamiento de registro con perfiles de seguridad. Los perfiles de
seguridad pueden, según la configuración de registro, crear eventos de registro cuando se detecta un tráfico que coincide con
el perfil. Según la cantidad de tráfico que tenga y la configuración de registro que esté habilitada, sus registros de tráfico pueden
aumentar y, en última instancia, afectar el rendimiento de su firewall.
Desde la CLI de FortiGate, puede habilitar el registro de estadísticas de rendimiento para dispositivos de registro remoto,
como FortiAnalyzer y syslog, cada 1 a 15 minutos (0 para deshabilitar). Esto no está disponible para el registro de disco local o
FortiCloud.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de registro.
Ahora, aprenderá sobre el registro local.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el registro local, podrá almacenar con éxito registros en el disco local y conservar
esos registros, según sus requisitos.

NO REIMPRIMIR
© FORTINET
El almacenamiento de registros en FortiGate se conoce como registro local. Puede almacenar registros en el disco duro del dispositivo.
Por lo general, los FortiGates de gama media a alta tienen un disco duro. El registro en un disco duro se conoce como registro en disco.
Dependiendo de la serie de modelos, el registro de disco puede estar habilitado de manera predeterminada.
FortiGate puede almacenar todos los tipos de registro, incluidos los archivos de registro y los registros de tráfico, localmente. Los registros de
tráfico y los archivos de registro son archivos más grandes y necesitan mucho espacio cuando FortiGate los registra.
Bajo un uso intensivo de registros, cualquier registro en FortiGate (disco) tendrá como resultado un impacto en el rendimiento.
Si está utilizando el disco duro local en un dispositivo para la optimización de WAN, no puede iniciar sesión también en el disco (a menos que su
dispositivo tenga dos discos separados: puede usar uno con optimización de WAN y el otro para iniciar sesión). Si está utilizando el disco duro local
para la optimización de WAN, puede iniciar sesión en dispositivos FortiAnalyzer remotos o servidores syslog.

NO REIMPRIMIR
© FORTINET
Si desea almacenar registros localmente en FortiGate, debe habilitar el registro en disco desde la página Configuración de registro. Solo ciertos
modelos de FortiGate admiten el registro de disco. Si su FortiGate no admite el registro de disco, puede iniciar sesión en un dispositivo externo.
Aprenderá sobre el registro remoto más adelante en esta lección.
El registro de disco debe estar habilitado para que la información aparezca en los paneles de FortiView. Si está deshabilitado, los registros se muestran
solo en tiempo real. También puede habilitar esta configuración mediante el comando de configuración de disco de registro de configuración de la CLI.
De manera predeterminada, los registros con más de siete (7) días se eliminan del disco (la antigüedad del registro se puede configurar).

NO REIMPRIMIR
© FORTINET
Si decide iniciar sesión localmente en FortiGate, tenga en cuenta que todo el espacio del disco no está disponible para almacenar
registros. El sistema FortiGate reserva aproximadamente el 25 % de su espacio en disco para el uso del sistema y el desbordamiento
inesperado de la cuota.
Para determinar la cantidad de espacio reservado en su FortiGate, use el comando CLI para diagnosticar el uso del disco
de registro del sistema. Reste el espacio de registro total del espacio total en disco para calcular el espacio reservado.

NO REIMPRIMIR
© FORTINET
Si almacenar registros localmente no se ajusta a sus requisitos, puede almacenar registros externamente. Puede configurar
FortiGate para almacenar registros en servidores syslog, FortiCloud, FortiSIEM, FortiAnalyzer o FortiManager. Estos
dispositivos de registro también se pueden usar como una solución de respaldo.
Syslog es un servidor de registro que se utiliza como depósito central para dispositivos en red.
FortiCloud es un servicio de retención de registros y administración de seguridad alojado basado en suscripción de Fortinet que
ofrece almacenamiento a largo plazo de registros con generación de informes. Si tiene una red más pequeña, FortiCloud suele ser
más factible que comprar un dispositivo de registro dedicado. Tenga en cuenta que cada FortiGate ofrece un nivel gratuito y
mantendrá registros durante siete días. Debe actualizar al servicio de pago para conservar los registros durante un año.
FortiSIEM proporciona correlación de eventos unificada y administración de riesgos que pueden recopilar, analizar, normalizar,
indexar y almacenar registros de seguridad.
FortiAnalyzer y FortiManager son dispositivos de registro externos con los que FortiGate puede comunicarse. Puede colocar
FortiAnalyzer o FortiManager en la misma red que FortiGate, o fuera de ella. Si bien FortiAnalyzer y FortiManager comparten una
plataforma común de hardware y software y ambos pueden tomar entradas de registro, FortiAnalyzer y FortiManager en realidad
tienen diferentes capacidades que vale la pena mencionar. El propósito principal de FortiManager es administrar de forma centralizada
múltiples dispositivos FortiGate. Como tal, los volúmenes de registro están limitados a una cantidad fija por día, que es menor que el
tamaño equivalente de FortiAnalyzer. Por otro lado, el propósito principal de FortiAnalyzer es almacenar y analizar registros, por lo
que el límite de registro es mucho más alto (aunque el límite es modelo).
dependiente). Tenga en cuenta que el disco local o el registro no son necesarios para configurar el registro en FortiAnalyzer o
FortiManager.

NO REIMPRIMIR
© FORTINET
El proceso para configurar FortiGate para enviar registros a FortiAnalyzer o FortiManager es idéntico. Para que
FortiGate envíe registros a cualquiera de los dispositivos, debe registrar FortiGate con FortiAnalyzer o FortiManager. Una vez
registrado, FortiAnalyzer o FortiManager pueden comenzar a aceptar registros entrantes de FortiGate.
Puede configurar el registro remoto en FortiAnalyzer o FortiManager mediante la GUI y la CLI.
• GUI: en la página Configuración de registro, habilite el registro en FortiAnalyzer/FortiManager y escriba la dirección IP de

el dispositivo de registro remoto.
• CLI: tanto para FortiAnalyzer como para FortiManager, use el comando de configuración config log fortianalyzer.
Aunque FortiManager no se menciona explícitamente en el comando, también se usa para FortiManager. Usando
la CLI, se pueden agregar hasta tres dispositivos separados o una instancia de FortiAnalyzer en la nube para aumentar
la redundancia para la protección de los datos de registro. Los comandos para los tres dispositivos no son acumulativos.
La generación de registros utiliza recursos del sistema, por lo que si FortiGate crea y envía registros con frecuencia a
varios lugares, aumenta el uso de CPU y RAM.
Tenga en cuenta que la función Probar conectividad en la GUI informará que falla hasta que FortiGate se registre en
FortiAnalyzer o FortiManager, porque aún no está autorizado para enviar registros.

NO REIMPRIMIR
© FORTINET
FortiGate permite la carga casi en tiempo real y la compresión y el análisis constantes de alta
velocidad en FortiAnalyzer y FortiManager.
En la GUI, las opciones de carga incluyen Tiempo real, Cada minuto y Cada 5 minutos (predeterminado).
Si su modelo de FortiGate incluye un disco duro interno, también tiene la opción de almacenar y cargar. Esto le
permite almacenar registros en el disco y luego cargarlos en FortiAnalyzer o FortiManager en un horario
programado (generalmente un horario de ancho de banda bajo). Puede configurar la opción de almacenar y cargar,
así como un programa, solo en la CLI.

NO REIMPRIMIR
© FORTINET
Si FortiAnalyzer deja de estar disponible para FortiGate por algún motivo, FortiGate utiliza su proceso miglogd para almacenar en
caché los registros. Hay un valor máximo para el tamaño de la memoria caché, y el proceso miglogd comenzará a descartar los
registros almacenados en la memoria caché (los más antiguos primero) una vez que se alcance este valor. Cuando se restablece la
conexión entre los dos dispositivos, el proceso miglogd comienza a enviar los registros almacenados en caché a FortiAnalyzer. Por
lo tanto, el búfer de FortiGate mantiene registros durante el tiempo suficiente para permitir un reinicio de su FortiAnalyzer (si está
actualizando el firmware, por ejemplo), pero no está diseñado para una interrupción prolongada de FortiAnalyzer.
En FortiGate, el comando CLI diagnostic test application miglogd 6 muestra estadísticas para el proceso miglogd, incluido el
tamaño total de la memoria caché y el tamaño actual de la memoria caché.
El comando CLI diagnostic log kernel-stats mostrará un aumento en el registro fallido si el caché está lleno y necesita eliminar
registros.
Los dispositivos FortiGate con un disco SSD tienen un búfer de registro configurable. Cuando no se puede acceder a la conexión
con FortiAnalyzer, FortiGate puede almacenar registros en el disco si el búfer de registro de la memoria está lleno. Los registros
en cola en el búfer del disco se pueden enviar correctamente después de restaurar la conexión a FortiAnalyzer.

NO REIMPRIMIR
© FORTINET
Al igual que FortiAnalyzer y FortiManager, puede configurar el registro remoto en FortiCloud en la página Configuración
de registro o la CLI. Sin embargo, primero debe activar su cuenta de FortiCloud, para que FortiGate pueda comunicarse
con su cuenta de FortiCloud. Una vez completado, puede habilitar el registro de FortiCloud y configurar la opción de carga. Si
desea almacenar sus registros en el disco primero y luego cargarlos en FortiCloud, debe especificar un cronograma. Cuando
el uso del disco se establece en la optimización de WAN (wanopt), se elimina la opción de almacenamiento y carga para iniciar
sesión en FortiCloud.
También puede configurar el registro remoto en syslog y FortiSIEM en la página Configuración de registro o la CLI. Puede
configurar FortiGate para enviar registros a hasta cuatro servidores syslog o dispositivos FortiSIEM mediante el comando de CLI
config log syslogd.
FortiGate admite el envío de registros a syslog en formato CSV y CEF, un estándar abierto de administración de registros que
brinda interoperabilidad de información relacionada con la seguridad entre diferentes dispositivos y aplicaciones de red.
Los datos de CEF se pueden recopilar y agregar para su análisis por parte de la gestión empresarial o los sistemas de gestión
de eventos e información de seguridad (SIEM), como FortiSIEM. Puede configurar cada servidor syslog por separado para
enviar mensajes de registro en formato CEF o CSV.
Puede configurar un syslog individual para usar el formato CSV y CEF mediante la CLI. El ejemplo que se muestra en esta
diapositiva es para syslogd3. Todas las demás configuraciones de syslog se pueden configurar según sea necesario,
independientemente del formato del mensaje de registro, incluida la dirección del servidor y el protocolo de transporte (UDP o TCP).

NO REIMPRIMIR
© FORTINET
Si tiene un FortiGate con dominios virtuales (VDOM) configurados, puede agregar globalmente
varios FortiAnalyzers y servidores syslog. Puede configurar hasta tres dispositivos FortiAnalyzer y hasta
cuatro servidores syslog en la configuración global.

NO REIMPRIMIR
© FORTINET
FortiGate usa el puerto UDP 514 (o el puerto TCP 514, si el registro confiable está habilitado) para la transmisión de registros.
Los mensajes de registro se almacenan en el disco y se transmiten a FortiAnalyzer como texto sin formato en formato comprimido LZ4.
Esto reduce el tamaño del registro del disco y reduce el tiempo de transmisión del registro y el uso del ancho de banda.

NO REIMPRIMIR
© FORTINET
Cuando habilita el inicio de sesión confiable en FortiGate, el método de entrega de transporte de registros cambia de UDP
(Protocolo de datagramas de usuario) a TCP (Protocolo de control de transmisión). TCP proporciona una transferencia de
datos confiable, garantizando que los datos transferidos permanezcan intactos y lleguen en el mismo orden en que fueron enviados.
Si habilita el registro en FortiAnalyzer o FortiManager mediante la GUI, el registro confiable se habilita

automáticamente. Si habilita el registro mediante la CLI, debe habilitar el registro confiable mediante el comando CLI que se
muestra en esta diapositiva.
Iniciar sesión en FortiCloud usa TCP, y puede configurar el algoritmo de cifrado usando la CLI (la configuración predeterminada
es alta).
Opcionalmente, si usa un registro confiable, puede encriptar las comunicaciones usando tráfico OFTP encriptado con
SSL, de modo que cuando se genera un mensaje de registro, se transmite de manera segura a través de una red no
segura. Puede cifrar las comunicaciones mediante OFTP con seguridad SSL configurando el parámetro enc-algorithm en la CLI.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende el registro remoto.
Ahora, aprenderá acerca de la configuración de registro.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la configuración de registro, podrá habilitar con éxito el inicio de sesión en su
FortiGate y asegurarse de que se generen registros en el tráfico causado por el tráfico que pasa a través de sus políticas de firewa

NO REIMPRIMIR
© FORTINET
La página Configuración de registro le permite decidir si se almacena un registro, dónde y cómo.
Como se mencionó anteriormente, debe configurar si desea almacenar registros localmente en su disco FortiGate o de forma
remota en un dispositivo externo, como FortiAnalyzer.
También debe configurar qué registros de eventos y registros de tráfico local capturar. Los registros de tráfico local brindan
información sobre el tráfico directamente hacia y desde FortiGate. De forma predeterminada, esta opción está deshabilitada debido
a la gran cantidad de registros que pueden generar. Los registros de eventos brindan toda la información del sistema generada
por FortiGate, como los inicios de sesión del administrador, los cambios de configuración realizados por los administradores, la
actividad del usuario y las operaciones diarias del dispositivo; no son causados directamente por el tráfico que pasa a través de
las políticas del firewall. Por ejemplo, el cierre de las VPN IPsec o la actividad del protocolo de enrutamiento no son causados por
el tráfico que pasa a través de una política de firewall. Una excepción podría ser el registro de usuario, ya que registra los eventos
de inicio y cierre de sesión del usuario en el tráfico que pasa a través de las políticas. Los registros de eventos que elija habilitar
dependen de las características que esté implementando y de la información que necesite obtener de los registros.
La función Resolver nombres de host resuelve las direcciones IP en nombres de host. Esto requiere que FortiGate realice
búsquedas DNS inversas para todas las direcciones IP. Si su servidor DNS no está disponible o tarda en responder, puede afectar
su capacidad para revisar los registros, ya que las solicitudes expirarán.

NO REIMPRIMIR
© FORTINET
Si bien la configuración de registro en la GUI le permite configurar qué registros de eventos y registros de tráfico local
capturar, también puede establecer opciones más sólidas y granulares mediante la CLI.
Anteriormente, mencionamos que puede configurar hasta cuatro servicios de registro para syslog y FortiSIEM usando la
configuración del comando config log syslogd, y hasta cuatro dispositivos FortiAnalyzer o FortiManager usando la
configuración de config log fortianalyzer. Puede controlar qué registros se envían a cada uno de estos dispositivos por
separado, utilizando el comando config log syslogd filter para syslog remoto o FortiSIEM, y el comando config log
fortianalyzer filter para dispositivos FortiAnalyzer o FortiManager.
De esta forma, puede configurar los dispositivos en diferentes niveles de registro y/o enviar solo ciertos tipos de registros
a un dispositivo y otros tipos (o todos los registros) a otros. Por ejemplo, puede enviar todos los registros en el nivel de
información y superior a fortianalyzer, el nivel de alerta y superior a fortianalyzer2 y solo los registros de tráfico a fortianalyzer3.

NO REIMPRIMIR
© FORTINET
Después de configurar todos los ajustes de registro, puede habilitar el inicio de sesión en sus políticas de firewall. Solo cuando está habilitado
en una política de firewall, se puede generar un mensaje de registro, causado por el tráfico que pasa a través de esa política de firewall.
En general, si configura FortiGate para inspeccionar el tráfico, también debe habilitar el registro para esa función de seguridad para ayudarlo a
rastrear y depurar su flujo de tráfico. A excepción de las infracciones que considere de baja gravedad, querrá saber si FortiGate bloquea los
ataques. La mayoría de los ataques no provocan una brecha de seguridad en el primer intento. Un enfoque proactivo, cuando detecta un atacante
persistente cuyos métodos parecen estar evolucionando, puede evitar una brecha de seguridad. Para recibir advertencias tempranas como esta,
habilite el registro para sus perfiles de seguridad.
Para habilitar el inicio de sesión en el tráfico que pasa a través de una política de firewall, debe hacer lo siguiente:
1. Habilite los perfiles de seguridad deseados en su política de firewall.

2. Habilite Registrar tráfico permitido en esa política de firewall. Esta configuración es vital. Si está deshabilitado, no recibirá
registros de cualquier tipo, incluso si ha habilitado un perfil de seguridad en su política de firewall. Puede optar por registrar solo los eventos
de seguridad o registrar todas las sesiones:
• Eventos de seguridad: si está habilitado (junto con uno o más perfiles de seguridad), los eventos del registro de seguridad aparecen
en el registro de tráfico de reenvío y en el registro de seguridad. Se genera un registro de tráfico de reenvío para los paquetes que
provocan un evento de seguridad.
• Todas las sesiones: si está habilitado, se genera un registro de tráfico de reenvío para cada sesión. Si uno o más perfiles de
seguridad también están habilitados, los eventos del registro de seguridad aparecen en el registro de tráfico de reenvío y en el
registro de seguridad.

NO REIMPRIMIR
© FORTINET
En FortiGate, puede ocultar los nombres de usuario en los registros de tráfico y UTM, de modo que el nombre de
usuario aparezca como anónimo. Esto es útil porque algunos países no permiten el registro no anónimo.
Para anonimizar los nombres de usuario, use el comando CLI set user-anonymize enable.
Se supone que el registro está habilitado en las políticas de firewall y los perfiles de seguridad, y que las políticas basadas
en identidad están configuradas en FortiGate.

NO REIMPRIMIR
© FORTINET
Puede acceder a sus registros en la GUI en el menú Registro e informe. Las opciones que aparecen en este menú dependen de
su configuración. Los registros de seguridad aparecen solo si existen eventos de seguridad.
Seleccione el tipo de registro que desea ver, como Reenviar tráfico. Los registros en la GUI aparecen en una vista de tabla formateada. La
vista formateada es más fácil de leer que la vista sin procesar y le permite filtrar la información al ver los mensajes de registro. Para ver
los detalles del registro, seleccione el registro en la tabla. Los detalles del registro luego aparecen en el panel Detalles del registro en el
lado derecho de la ventana.
Si el archivado está habilitado en los perfiles de seguridad que lo admiten (como DLP), la información archivada aparece en el panel
Detalles del registro en la sección Datos archivados. Los registros archivados también se registran cuando se usa FortiAnalyzer o
FortiCloud.
Si configura FortiGate para iniciar sesión en varias ubicaciones, puede cambiar la ubicación de visualización del registro en esta sección.
En el ejemplo que se muestra en esta diapositiva, la ubicación del registro se establece en Disco. Si inicia sesión en un syslog, debe
ver los registros en el syslog en su lugar.

NO REIMPRIMIR
© FORTINET
Dependiendo de su configuración, su FortiGate podría registrar un gran volumen de registros. Esto puede dificultar la localización
de un registro específico, especialmente durante una investigación.
Para navegar por los registros de manera más eficiente, puede configurar filtros de registro. Cuanta más información especifique en
el filtro, más fácil será encontrar la entrada de registro precisa. Los filtros se pueden configurar para cada columna de datos de registro en la pantall
Haga clic en Agregar filtro para seleccionar el filtro de la lista desplegable que aparece. Si ya ve datos que desea filtrar en un registro
en la tabla, puede hacer clic con el botón derecho en esos datos para seleccionar la opción de filtro rápido. Por ejemplo, si ve un
registro de antivirus en la tabla con un nombre de botnet específico, haga clic con el botón derecho en el nombre de la botnet en la
tabla y aparecerá una opción de filtro rápido que le permite filtrar todos los registros con ese nombre de botnet.
De forma predeterminada, se muestran las columnas más comunes y se ocultan las columnas menos comunes. En consecuencia,
si filtra datos en función de una columna que está oculta, asegúrese de agregar la columna como una columna seleccionada.
Para agregar columnas, haga clic con el botón derecho en cualquier campo de columna y, en el menú emergente que aparece,
seleccione la columna en la sección Columnas disponibles.
Si sus filtros de búsqueda no devuelven ningún resultado cuando los datos de registro existen, es posible que el filtro no esté bien formado.
FortiGate busca una coincidencia exacta en el registro, por lo que debe formar la cadena de búsqueda correctamente.

NO REIMPRIMIR
© FORTINET
También puede acceder a los mensajes de registro generados por políticas individuales. Haga clic con el botón derecho en la
política para la que desea ver todos los registros asociados y, en el menú emergente, seleccione Mostrar registros coincidentes.
FortiGate lo lleva a la página de tráfico de reenvío, donde se configura automáticamente un filtro basado en el UUID de la política.

NO REIMPRIMIR
© FORTINET
No tiene restricciones para ver los mensajes de registro en la GUI. También puede ver los mensajes de
registro en la CLI mediante el comando de visualización de registro de ejecución. Este comando le permite
ver mensajes de registro específicos que ya configuró dentro del comando ejecutar filtro de registro. El filtro de registro d
El comando configura qué mensajes de registro verá, cuántos mensajes de registro puede ver a la vez (un
máximo de 1000 líneas de mensajes de registro) y el tipo de mensajes de registro que puede ver.
Los registros aparecen en la vista de formato sin procesar. El formato sin formato muestra los registros tal como aparecen en el archivo de registro.
De forma similar a la GUI, si ha configurado un servidor syslog o SIEM, no podrá ver los mensajes de
registro en la CLI.

NO REIMPRIMIR
© FORTINET
Debido a que no siempre puede estar observando físicamente los registros en el dispositivo, puede monitorear los eventos configurando
un correo electrónico de alerta. Los correos electrónicos de alerta brindan un método eficiente y directo para notificar eventos a un administrador.
Antes de configurar el correo electrónico de alerta, primero debe configurar su propio servidor SMTP en su FortiGate. FortiGate
tiene un servidor SMTP preconfigurado, pero se recomienda que use su servidor de correo electrónico interno si tiene uno.
Puede configurar correos electrónicos de alerta mediante la CLI. Puede activar correos electrónicos de alerta según el evento (por
ejemplo, cada vez que se detecta una intrusión o el filtro web bloquea el tráfico) o según el nivel mínimo de gravedad del registro
(como todos los registros en el nivel de Alerta o superior). Puede configurar hasta tres destinatarios.

NO REIMPRIMIR
© FORTINET
Para priorizar la resolución de los problemas más relevantes fácilmente, puede configurar niveles de gravedad para firmas
IPS, categorías web y aplicaciones asociadas con un peso (o puntuación) de amenaza.
En la página Peso de la amenaza, puede aplicar un valor de riesgo de bajo, medio, alto o crítico a cada elemento basado en
categoría. Cada uno de estos niveles incluye un peso de amenaza. De forma predeterminada, bajo = 5, medio = 10, alto = 30 y crítico
= 50. Puede ajustar estos pesos de amenazas en función de los requisitos de su organización.
Después de configurar el peso de la amenaza, puede ver todas las amenazas detectadas en la página Seguridad. También puedes buscar
para los registros mediante el filtrado de puntuación de amenazas.
Tenga en cuenta que el peso de la amenaza es solo para fines informativos. FortiGate no tomará ninguna medida en función del
peso de la amenaza.

NO REIMPRIMIR
© FORTINET

NS4 Security 251-300

Cargado por

Copyright:

Formatos disponibles

NS4 Security 251-300

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NS4 Security 251-300

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google Autenticación de cortafuegos

Hay dos formas de evitar el portal cautivo:

Guía de estudio de FortiGate Security 7.0 251

Guía de estudio de FortiGate Security 7.0 252

Guía de estudio de FortiGate Security 7.0 253

Hay tres opciones para el comportamiento del tiempo de espera:

Guía de estudio de FortiGate Security 7.0 254

Guía de estudio de FortiGate Security 7.0 255

¡Buen trabajo! Ahora comprende la autenticación a través de portales cautivos.

Ahora, aprenderá sobre el monitoreo y la resolución de problemas.

Guía de estudio de FortiGate Security 7.0 256

Guía de estudio de FortiGate Security 7.0 257

Guía de estudio de FortiGate Security 7.0 258

Guía de estudio de FortiGate Security 7.0 259

Guía de estudio de FortiGate Security 7.0 260

Guía de estudio de FortiGate Security 7.0 261

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 262

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 263

Guía de estudio de FortiGate Security 7.0 264

Guía de estudio de FortiGate Security 7.0 265

Guía de estudio de FortiGate Security 7.0 266

Guía de estudio de FortiGate Security 7.0 267

Guía de estudio de FortiGate Security 7.0 268

Usted y las políticas de su organización dictan lo que se debe registrar.

Guía de estudio de FortiGate Security 7.0 269

• El campo policyid indica qué regla de firewall coincidió con el tráfico

Guía de estudio de FortiGate Security 7.0 270

Guía de estudio de FortiGate Security 7.0 271

Guía de estudio de FortiGate Security 7.0 272

Guía de estudio de FortiGate Security 7.0 273

¡Buen trabajo! Ahora comprende los conceptos básicos de registro.

Ahora, aprenderá sobre el registro local.

Guía de estudio de FortiGate Security 7.0 274

Guía de estudio de FortiGate Security 7.0 275

Guía de estudio de FortiGate Security 7.0 276

Guía de estudio de FortiGate Security 7.0 277

Guía de estudio de FortiGate Security 7.0 278

Guía de estudio de FortiGate Security 7.0 279

Puede configurar el registro remoto en FortiAnalyzer o FortiManager mediante la GUI y la CLI.

• GUI: en la página Configuración de registro, habilite el registro en FortiAnalyzer/FortiManager y escriba la dirección IP de

Guía de estudio de FortiGate Security 7.0 280

Guía de estudio de FortiGate Security 7.0 281

Guía de estudio de FortiGate Security 7.0 282

Guía de estudio de FortiGate Security 7.0 283

Guía de estudio de FortiGate Security 7.0 284

Guía de estudio de FortiGate Security 7.0 285

Si habilita el registro en FortiAnalyzer o FortiManager mediante la GUI, el registro confiable se habilita

Guía de estudio de FortiGate Security 7.0 286

Guía de estudio de FortiGate Security 7.0 287

¡Buen trabajo! Ahora comprende el registro remoto.

Ahora, aprenderá acerca de la configuración de registro.

Guía de estudio de FortiGate Security 7.0 288

Guía de estudio de FortiGate Security 7.0 289

La página Configuración de registro le permite decidir si se almacena un registro, dónde y cómo.

Guía de estudio de FortiGate Security 7.0 290

Guía de estudio de FortiGate Security 7.0 291