Fortinet

Un n u ev o acFortinet er c am i en t o a l a

& Seminario Pr o t ecc cci Actualización i ó n d e r ed es

Mayo 2004

Fortinet 

Cre rea ada en el el 20 2000 por Ke Ken n Xie Xie y Joe Wells Fundador de Ne NetScreen tScreen y Director irecto r de d e I+ I+D de Trend Trend Micro icr o e IBM IBM (NASDAQ: NSCN) NSCN) 



Cuartel Cuar tel Gener General al en Santa Clar Clara, a, CA (200 emplea empleados); dos); Prese Presencia ncia Mundi Mundial al Oficinas Oficinas en Australia, Australia, Canada, Canada, China, Francia, Francia, Alemania, Alemania, Japón,



Korea, UK y España 

Obje Ob jeti tivo vo:: prot protec ecci ción ón de red red en en tiem tiempo po re real al dem deman anda dada da po porr el mer merca cado do El primer primer gateway gateway de protección protección en tiempo tiempo real con antivirus antivirus basado



en ASI ASICs Cs e IDS IDS y Filt Filtra rado do de de URL URL como como serv servic icio ios s de val valor or añad añadid ido o sin sin cost coste e adic adicio iona nall 

Obje Ob jeti tivo vo:: Su Supe pera rarr la las s lilimi mita taci cion ones es de la las s so solu luci cion ones es co conv nven enci cion onal ales es Rendimient Rendimiento, o, gestió gestión, n, coste. coste. ¡¡¡30.000 ¡¡¡30.000 unidades unidades desde mayo 2002!!! 2002!!!



Fortinet 

Cre rea ada en el el 20 2000 por Ke Ken n Xie Xie y Joe Wells Fundador de Ne NetScreen tScreen y Director irecto r de d e I+ I+D de Trend Trend Micro icr o e IBM IBM (NASDAQ: NSCN) NSCN) 



Cuartel Cuar tel Gener General al en Santa Clar Clara, a, CA (200 emplea empleados); dos); Prese Presencia ncia Mundi Mundial al Oficinas Oficinas en Australia, Australia, Canada, Canada, China, Francia, Francia, Alemania, Alemania, Japón,



Korea, UK y España 

Obje Ob jeti tivo vo:: prot protec ecci ción ón de red red en en tiem tiempo po re real al dem deman anda dada da po porr el mer merca cado do El primer primer gateway gateway de protección protección en tiempo tiempo real con antivirus antivirus basado



en ASI ASICs Cs e IDS IDS y Filt Filtra rado do de de URL URL como como serv servic icio ios s de val valor or añad añadid ido o sin sin cost coste e adic adicio iona nall 

Obje Ob jeti tivo vo:: Su Supe pera rarr la las s lilimi mita taci cion ones es de la las s so solu luci cion ones es co conv nven enci cion onal ales es Rendimient Rendimiento, o, gestió gestión, n, coste. coste. ¡¡¡30.000 ¡¡¡30.000 unidades unidades desde mayo 2002!!! 2002!!!



Fortinet se ha posicionado como empresa visionaria en las necesidades sobre seguridad que están demandando las organizaciones “ Fortinet has demonstrated its investment in powerful network processing technology by fil tering viruses in-line, whic h requir es an unp recedented level of packet assembly and filt ering.”

“…Firewalls must  provide a wider range of intrusion prevention capabilities, or face extinction…”

 Arquitectura Fortigate– Completa y en tiempo real

Fort inet Chip (Propietario) •

FortiASIC™ Procesador 

FortiOS™ Sistema Operativo

Sistema Operativo Securizado (Propietario) • • • •

Sistema operativo en tiempo real  Alto r endimiento Robusto Contru do espec ficamente para ser gestionado en remoto sin p rdidas de rendimiento

• •

Scanning (Hw) Encriptaci n (Hw)  An lisis de Contenidos en en tiempo real (Hw)

La serie Fortigate es la primera que proporciona al mercado: •

Protección antivirus de tiempo real basada en ASIC

•

Filtrado de contenido en tiempo real basado en ASIC

•

La gama completa de servicios de seguridad perimetral de forma integrada*:  – Firewall  – VPN  – Detección de intrusiones  – Gestión del ancho de banda

*El modo “Transparent Mode” del fortigate, permite una sencilla integración con los firewall, VPN, y resto de el to de se ridad istent

Versión 2.8 Nuevas características

 Aspectos Clave: Antivirus

•

El único AV del mercado basado en ASIC con la certificación ICSA

•

3 tipos de servicios:

•

•

 –

Detección de Virus

 –

Bloqueo de Ficheros y Correo (oversized files or pattern matching file names)

 –

Cuarentena

Protocolos soportados:  –

Correo: SMTP, POP3, IMAP

 –

Web: HTTP (contenido, downloads y web mail)

 –

FTP

 –

Soporte en puertos no standard (SMTP, POP3, IMAP, HTTP)

Método de Scanning  –

Basado en firmas

 –

Scanning de Macros

 –

Heurístico (executable PE files)

 Aspectos Clave: Antivirus

•

Cobertura total para los virus incluídos en la WildList  –

•

Modo Transparente  –

•

No se requiere ninguna configuración especial por parte del usuario

Máxima eficacia en el Scanning  –

•

Incluyendo virus polymorphic

Scanning Contextual – compara los datos con el método más apropiado y la base de datos más apropiada de acuerdo a la naturaleza de los mismos

 Alto Rendimiento  –

Unica solución basada en ASIC-para acelerar el scanning en tiempo real

 –

Scanning del tráfico Web en tiempo real sin latencias

 –

No comparable a cualquier otro Gateway de AV del mercado

 –

Hasta 10x más rápido que cualquier otra solución basda en SW

•

Customización en las firmas para los correos salientes

•

Customización en los mensajes (mail, FTP, Web)

Configuración para la protección de los perfiles

 Aspectos Clave: Antivirus

•

Encriptación y Desencriptación del tráfico VPN para scanning de virus y worms

•

Scanning d e ficheros macros de Microsoft encriptados

•

Capacidad para hacer scanning hasta 12 niveles de comprensión (ej: LZH compresión)

•

Logs del AV scanning enviados al administrador nada más suceder el evento

•  Actualización FortiProtect Distribution Network (FDN)  – Update manual  – Por fechas  – “Push” • Más efectivo • Mensaje UDP enviado via FDN a las unidades FortiGate por el puerto 9443

Con la infraestructura FortiProtect™, se asegura el menor tiempo de respuesta del mercado ante FortiProtect Web Portal & Boletines y nuevas amenazas Red de Servidores email diarios sobre el status de las distribuídos para una rápida actualización

 Alta Disponibilidad, Gran Capacidad (Updates para TODOS las unidades FortiGate, en menos de 5 minutos)

amenazas (Antiguo FortiResponse)

 Aspectos Clave: Firewall

•

ICSA-certified Stateful Inspection Firewall

•

 – Many-to-one (PAT)  – Many-to-many NAT

•  Alto rendimiento

 – H.323 NAT Traversal

 – Más de 4 Gbps en FG3600

•

Modo Route y mode transparente

•

User group-based authentication  – Local database

•  Aplicación de políticas firewall en túneles VPN •  Aplicación de AV y de filtrado de contenidos como parte de las políticas de firewall

Policy-based NAT

 – Radius authentication  – LDAP authentication  – SecureID authentication

•

IP/MAC Binding

Soporte 802.1Q VLAN

•

FortiGate 200 y superior 

•

Multiple VLAN basadas en sub-interfaces  – Definibles en cada puerto físico  – Soporte para overlapped IP addresses con diferentes VLAN tags

•

Inter-(sub) interface security policies  – VLAN based AV  – VLAN based NIDS  – VLAN based content filtering  – VLAN based VPN construction  – VLAN based firewall policy y traffic shaping

•

Virtual Domain

Definición de las políticas de routing

Caracterísiticas de Routing

•

Soporte de RIP v1 y RIP v2

•

Rutas estáticas – destino basado en rutas  – Las rutas pueden recogerse en forma de tabla desde la más específica a la más general  – Soporta múltiples gateways para cualquier ruta estática • Detección del estado del gateway basado en pings personalizables • Failover automático hacia el siguiente gateway cuando el primero falla

 – Creación de backup de rutas hacia Internet:

ISP1

Internet

Intranet

ISP2

Características de Routing

•

Static routing – Policy-based routes  – Rutas basadas en • Dirección de origen • Protocolo, tipo de servicio o rango • Interface entrante

 – Política de rutas chequeada antes de las rutas de destino  – Creación de múltiples rutas hacia Internet  – Static load-sharing:

RealReal-time traff ic (HTTP) ISP1

Internet

Intranet

ISP2

Other traffic

 Aspectos Clave: VPN

•

ICSA-certified IPSec VPN

•

VPN NAT traversal

•

Protocolos soportados:

•

Dead peer detection (DPD)

•

Dial-up monitor/Remote VPN client

 – IPsec, PPTP  – L2TP/Passthrough of IPSec and PPTP

•

•  Authentication:

Encriptación Hardware:  – DES, 3DES y AES

• •

Tráfico IPSec VPN controlado por  las políticas de firewall • Túneles VPN desencriptados y enrutados a través del firewall y para el escaneo de AV •

 – Support for Xauth over Radius  – x.509 Certificate auth  – LDAP for user authentication

Interoperabilidad con la mayoría de los fabricantes VPN Soporta arquitectura Hub y Spoke

Aspectos Clave: Detección de Intrusiones

•

Certificación ICSA

•

Máximo rendimiento  – IDS basado en ASIC

•

Base de datos de 1,400 ataques

•  Actualización automática de las firmas  – FortiResponse Distribution Network

•  Alertas customizables  – Según diferentes tipos de ataques

•

Muy sencilla de configurar y mantener 

•

CAPEX y OPEX notablemente menores que cualquier otra solución de NIDS basada en appliance

Aspectos Clave: Detección de Intrusiones •

Lista de ataques customizables para habilitar o deshabilitar firmas

•

Soporte para autodefinición de firmas por los usuarios

Configuración para la protección de los perfiles

•

Métodos de Detección:  – Firmas  – Anomalias • Scanning attacks • Flooding attacks

IDS basado en políticas

•

Scanning de tráfico selectivo

•

Sólo donde sea necesario

•

Máxima granularidad  – IDS no limitado a nº de interfaces o VLANs

•

Optimización de los recursos

Prevención en tiempo real •

Prevención Total automática contra ataques sin intervención humana

•

Detección y Respuesta en Tiempo Real

•

Cualquier tipo de ataque puede ser bloqueado

 Aspectos Clave: Filtrado Web •

Filtrado de contenidos basado en políticas  – Sólo donde sea necesario  – Scanning, bloqueo o permisión selectiva según los diferentes tipos de contenidos para usuarios o grupos

•

Bloqueo de Scripts (Java, ActiveX, cookies)

•

Filtrado Web nativo  – Black List (gratis): • SquidGuard (URLs lists) • DansGuardian (banned words)

 – Por categorías web  – Bloqueo de Contenido (banned words)  – Bloqueo de URL y Pattern

Protección Spam – Filtrado Mensajes S P  A M 

• Filtrado Mensajes  – Chequear la información del emisor/receptor contra email de black/white lists de forma estática  – Chequear que el dominio del email de retorno tenga MX (Mail Exchange) y/o A (Audio) record  – Chequear cabeceras contra pares de key-value predefinidas • La lista es estática

 – Chequear las cabeceras de los mensajes, asunto y cuerpo para palabras baneadas • Expresiones regulares que provienen de una lista localmente actualizada

Protección SPAM – Filtrado SMTP S P  A M 

•

Filtrado de servidores SMTP:  – White y black list estática • IP addresses or hostnames

 – Real-Time Blackhole List (RBL) y Open Relay Database (ORDB) checks • Support ad-hoc syntax of standard for DNS-based BL queries • Support any BL that supports it. For example - http://mail-abuse.org/rbl • Sender’s IP address is check against publicly accessible databases of RBL and ORDB servers • Static database of well-known RBL servers • Can be user modified

 – Reverse DNS lookup • When receiving a HELO from an SMTP client • HELO commands carries a domain name which is reversed

Gestión FortiGate

• CLI – Command-line Interface  – Security through SSH

• Web GUI  – Security through SSL

 Acceso CLI desde Telnet/SSH/GUI

Web GUI – Configuración

Web GUI – Localización

• GUI en 6 idiomas

Gestión basada en roles

Web GUI – Monitorización

Backup y restore

•

Backup/restore la configuración completa

•

Backup/restore cualquier parte de la configuración

•

Backup realizado en formato de fichero de texto

Familia de Productos Familia de de Productos  FortiGate FortiGate SOHO

Branch Office

Mediu m Enterprise

Service Servi ce Provider/Telco Provi der/Telco

Large Enterpris e Enterprise

FortiGateFortiGate-4000

FortiGateFortiGate-3600

FortiManager 

FortiGateFortiGate-3000

FortiLog

 

Redundant PS, VDom

      T       U       P       H       G       U       O       R       H       T

FortiGateFortiGate-1000 FortiGate 800 FortiGate 500

Gigabit perf  Gigabit Eth

High po rt density

FortiGateFortiGate-400 FortiGateFortiGate-300 FortiGateFortiGate-200 FortiGateFortiGate-100 FortiGateFortiGate-60 / FortiWifi FortiGateFortiGate-50A

High Availability Integrated Logging, VLAN support

FortiGate – Rendimientos

FortiGate  Performance Performance Summary Producto

 

Nodos

 AV AV Mail Perf    AV HTTP Perf   AV

FG-50

1 hasta 5

1MB

FG-60

1 hasta 25

5MB

1500 MM

Firewall

VPN

 

Sesiones

10MB

20

3K

70MB

40

50K

95MB

40 / 80

50K / 200K

25 hasta FG-100

35

9MB

25 hasta FG-200

50

11MB

2500 MM

120MB

100

400K

FG-300

50-100

20MB

3000 MM

200MB

1.5K

400K

FG400

50-100

25 MB

3500 MM

280MB

2K

400K

FG-500

100-150

25MB

4000 MM

280MB

2K

400K

FG-800 / FG-1000

100-250

45MB / 50MB

600MB / 1 GB

2K/3K

400K/600K

FG-3000

200-750

110MB

2.25 GB

5K

975K

FG-3600

500-1500

130MB

4 GB

5K

1MB