En FOS 4.3 con el comando de CLI: «diag hardware deviceinfo nic ”, se podían ver los errores de CRC de un interface, en cambio en versión 5.0 con este comando aparecen los paquetes enviados y transmitidos, pero no la información de CRC.
Para poder ver esta información en versión 5, se pueden utilizar los siguientes comandos:
diagnose ip router command show show int
diagnose netlink device list
Fuente: fortixpert
Una herramienta que proporciona una flexibilidad extraordinaria es la capacidad de crear firmas de IPS personalizadas. Esta capacidad de los equipos FortiGate puede ser importante para detectar ataques a aplicaciones específicas que solo se encuentran en algunos entornos.
Para simplificar el aprendizaje de esta herramienta, Fortinet dispone de los siguientes recursos:
Vídeos de aprendizaje de esta funcionalidad:
o http://video.fortinet.com/video/131
o https://www.youtube.com/watch?v=APyiWyNqS6M
Documento de referencia para esta herramienta. Contiene información útil como el formato de algunos paquetes y protocolos habituales:
o http://docs.fortinet.com/documents/IPS-Signature-Syntax-Guide.pdf
Fuente: fortixpert
Una de las herramientas más útiles para la resolución de problemas de comunicaciones es la herramienta de diagnóstico de flujos. Esta secuencia de comandos de debug es muy útil para conocer si determinados paquetes son procesados en el FortiGate y de que forma es su procesamiento.
Un ejemplo de utilización de esta herramienta es diagnosticar las peticiones DNS para el servidor 194.79.69.129:
Fortinet es el único fabricante que ofrece un sistema Antivirus de red con capacidad de inspección en modo proxy o en modo flujo, pudiendo optar por uno u otro método indistintamente, a nivel de cada política de seguridad.
Por lo tanto Fortinet proporciona la mejor solución para la protección de malware Zero Day. Antes de nada, conviene señalar las diferencias con el resto de tecnologías basadas en inspección en modo “flujo”. Este modo de inspección no re-emsambla el fichero completo y por lo tanto depende de firmas y checksums para analizar los paquetes, y no los ficheros completos. Debido a esto, se deben crear numerosas firmas y checksums cada vez que hay una nueva variante de un virus conocido. Un atacante puede tomar una porción de un malware conocido y re-empaquetarlo; aprovechando las redes de botnet pueden generar cientos de variantes. Con un simple re-empaquetado del malware, el checksum cambia y también se reducen drásticamente las probabilidades de que una firma sea capaz de identificarlo.
Está disponible en Youtube un video explicativo que indica en que consiste FortiGuard.
Este video puede servir para mejorar vuestro discurso a la hora de explicar que es y en que consiste el servicio de actualizaciones de seguridad FortiGuard.
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en contactarnos.
