Antivirus en FortiGate

El antivirus en FortiGate es una función clave de seguridad que analiza el tráfico en busca de amenazas, malware y archivos maliciosos antes de que lleguen a los dispositivos de la red. Funciona como una protección en tiempo real basada en firmas y análisis heurístico. Se configura mediante perfiles de seguridad de antivirus y tiene las siguientes características:

  1. Inspección en Tiempo Real: Examina archivos y tráfico HTTP, HTTPS, SMTP, POP3, IMAP y FTP.
  2. Basado en Firmas: Utiliza una base de datos de amenazas conocida que se actualiza regularmente.
  3. Análisis Heurístico: Detecta malware desconocido mediante comportamiento sospechoso.
  4. Prevención de Exploits: Bloquea archivos maliciosos antes de que se ejecuten en la red.
  5. Sandboxing (FortiSandbox): Para amenazas avanzadas, envía archivos sospechosos a un entorno aislado para un análisis más profundo.
  6. Inspección SSL/TLS: Puede analizar tráfico cifrado si se configura adecuadamente.

🔹 Base de Datos de Firmas Antivirus en FortiGate

FortiGate utiliza una base de datos de firmas antivirus proporcionada por FortiGuard, el servicio de seguridad de Fortinet, para identificar y bloquear virus y malware conocido. Esta base de datos contiene millones de firmas de virus y malware conocidos y se actualiza continuamente para proteger contra amenazas emergentes.
Tipos de Bases de Datos de Firmas en FortiGate

📌 1. Extended Database

  • Base de datos completa con firmas de malware y amenazas conocidas.
  • Se usa en entornos con suficiente capacidad de almacenamiento y rendimiento.
  • Es la usada por defecto

📌 2. Extreme DB

  • Incluye la base de datos regular + firmas adicionales para amenazas menos comunes.
  • Ofrece mayor cobertura, pero consume más recursos.
  • Útil en entornos de alta seguridad o donde se necesita protección máxima.
  • Solo se puede usar en algunos modelo de Fortigate.
  • Solo es posible activar por CLI.

🔹 Técnicas de escaneado antivirus

1. Antivirus Scan (Escaneo tradicional de malware)

  • Escanea archivos y tráfico en busca de malware conocido usando firmas actualizadas.
  • Funciona en protocolos como HTTP, HTTPS (con inspección SSL), SMTP, POP3, IMAP y FTP.
  • Detecta virus, gusanos, troyanos y otras amenazas tradicionales.

2. Grayware Scan (Software no malicioso pero no deseado)

  • Identifica software potencialmente no deseado (PUA – Potentially Unwanted Applications), como adware, spyware y herramientas de administración remota sospechosas.
  • No siempre son malware, pero pueden representar un riesgo de seguridad.
  • Se usa para mejorar la higiene de la red y evitar programas intrusivos.

3. AI-Based Scan (Detección con Inteligencia Artificial)

  • Usa inteligencia artificial y machine learning para detectar malware desconocido o de día cero (zero-day) basado en comportamiento.
  • Mejora la detección de amenazas emergentes que no tienen firmas conocidas.
  • Requiere FortiGuard AI (necesita licencia activa para aprovechar su potencial).
  • Por defecto esta desactivado y si hay que activarlo se debe de hacer por CLI.

4. Sandboxing en FortiGate: Análisis de Amenazas Avanzado

FortiGate integra sandboxing como parte de su sistema de protección contra amenazas desconocidas (zero-day), trabajando junto al antivirus tradicional, grayware y AI.

4.1. ¿Qué es Sandboxing en FortiGate?

Un entorno aislado y controlado donde se ejecutan archivos sospechosos para detectar comportamientos maliciosos antes de que lleguen a la red.

  • Tecnología usada:
    • FortiSandbox (solución dedicada) o FortiGate Cloud Sandbox (integrado en modelos compatibles).
  • Qué analiza:
    • Archivos ejecutables (.exe.dll).
    • Documentos (.pdf.docx.xlsx).
    • Scripts (.js.vbs, macros en Office).

4.2. ¿Cómo Funciona?

  1. Detección inicial:
    • El antivirus/flujo de inspección marca un archivo como sospechoso.
  2. Envía a la sandbox:
    • El archivo se ejecuta en un entorno virtualizado (sin riesgo para la red real).
  3. Análisis de comportamiento:
    • Monitoriza acciones como:
      • Conexiones a C&C (comando y control).
      • Intentos de cifrado (ransomware).
      • Modificaciones no autorizadas.
  4. Resultado:
    • Si es malicioso, se bloquea y se añade a la base de datos de FortiGuard.

4.3. Configuración en FortiGate

Opciones de Sandboxing
  • Local (FortiSandbox físico): Requiere un dispositivo dedicado.
  • Cloud (FortiGuard Sandbox): Usa la nube de Fortinet (más común en FortiGate).

🔹 Cómo Configurar el Antivirus en FortiGate:

1️⃣ Habilitar el Perfil de Antivirus:

  • Ir a Security Profiles > Antivirus en la interfaz de FortiGate (Remarcado en azul en el gráfico de abajo).
  • Crear o modificar un perfil de antivirus.
  • Introducimos un nombre para el perfil tal como se muestra remarcado en naranja en el gráfico de abajo
  • Habilitar la inspección de tráfico en protocolos deseados (Tal como aparece remarcado en naranja el gráfico de abajo).

2️⃣ Aplicar a una Política de Firewall

  • Ir a Policy & Objects > Firewall Policy.
  • Seleccionar la política de tráfico relevante.
  • En la pestaña Security Profiles, habilitar el perfil de antivirus.

La política en FortiGate puede estar en dos modos de inspección y el antivirus funciona en función de ella:

Flow-based (Modo por defecto en todos los equipos)

Cuando el cliente solicita un archivo, el FortiGate almacena en el búfer todos los paquetes del archivo y transmite al cliente simultáneamente excepto el ultimo paquete, cuando todo el archivo esta en el búfer el motor de antivirus comienza el análisis, si el archivo esta infectado, FortiGate envía un reset al cliente y cancela la descarga del archivo, si no esta, FortiGate envía el ultimo paquete y el cliente completa la descarga.

Proxy-based (Modo no permitido en equipos pequeños con <2G de RAM, IOS 7.4.4+)

Cuando el cliente solicita un archivo, el FortiGate almacena en el búfer todos los paquetes del archivo y y no transmite al cliente simultáneamente nada, cuando todo el archivo esta en el búfer el motor de antivirus comienza el análisis, si el archivo esta infectado, FortiGate envía un reset al cliente y cancela la descarga del archivo, si no esta, FortiGate envía paquete a paquete como indica en la figura de abajo.

3️⃣ Activar FortiSandbox (Opcional)

  • Si se tiene una licencia de FortiSandbox, se puede activar para inspección de amenazas avanzadas.

4️⃣ Monitoreo y Logs

  • Ir a Log & Report > AntiVirus Log para revisar eventos detectados.

🔹 Beneficios del Antivirus en FortiGate:

✅ Protección en tiempo real contra amenazas.
✅ Integración con FortiSandbox para análisis profundo.
✅ Inspección en tráfico cifrado (con SSL Deep Inspection).
✅ Bloqueo de archivos sospechosos en distintos protocolos.

Política de privacidad Funciona gracias a WordPress