Fortimanager

Resumen de funcionalidades

Índice

1. Introducción
2. Funcionalidades de fortimanager
3. Teoria de la gestion de fortinet
4. Modo workflow
5. Opciones de sistema
6. Plantillas de provisión
7. Asistentes fortimanager
8. Configuraciones de dispositivos
9. Scripts
10. Políticas y objetos
11. Consola de gestión central de FortiAPs
12. Consola de gestión central de FortiSwitches
13. Consola central de vpn
14. Consola de gestión central de FortiExtender
15. Fabric View
16. Gestión de fortiguard
17. Alta disponibilidad
18. Funcionalidades de FortiAnalyzer
19. Documentación
20. Familia de productos

INTRODUCCIÓN

Este documento tiene como objetivo mostrar las funcionalidades y características de FortiManager.

Los equipos FortiManager permiten gestionar de manera centralizada cualquier número de dispositivos de seguridad Fortinet, desde unos pocos hasta varios miles, incluidos FortiGate, FortiWifi y FortiCarrier, así como los productos que éstos gestionen, FortiAP, FortiSwitch y FortiExtender. Los administradores de red pueden controlar mejor sus redes agrupando sus dispositivos en dominios de administración (ADOMS), aplicando políticas de forma más eficiente y distribuyendo actualizaciones de firmware y contenidos de seguridad. FortiManager es uno de los dispositivos de seguridad más versátiles que proporciona una diversa gama de despliegues, flexibilidad de crecimiento, personalización avanzada por medio de APIs y licenciamiento sencillo.

FUNCIONALIDADES DE FORTIMANAGER

FortiManager proporciona las siguientes funcionalidades:

• Proporciona configuraciones centralizadas, políticas de provisión, gestión de actualizaciones y monitorización extremo a extremo para tu infraestructura Fortinet.
• Separa de una forma fácil y segura la gestión de grandes entornos agrupando los dispositivos y agentes en dominios de administración geográficos o funcionales.
• Reduce tu carga de administración y costes de operación con una provisión rápida de agentes y dispositivos, seguimiento detallado de revisiones y capacidad de auditoría profunda.
• Administración sencilla de entornos VPN complejos en malla y en estrella al tiempo que aprovecha FortiManager como el punto local de distribución de actualizaciones de software y políticas.
• La perfecta integración con FortiAnalyzer permite el descubrimiento, análisis, priorización e informes de los eventos de seguridad de la red.
• Permite a su vez trabajar como FortiAnalyzer, utilizando su propio sistema de almacenamiento en incorpora las funcionalidades de FortiView, registro de eventos, vista de logs y Reportes.
• Rápida creación y modificación de objetos y políticas con un editor visual consolidado y con capacidades de arrastrar y soltar.
• Provisión de dispositivos programable y automática, instalación de políticas, etc. con una API JSON o capacidad para construir portales web personalizados con el API XML.
• Aprovisionamiento y configuración masivos de dispositivos gestionados aprovechando las capacidades para crear completos perfiles de dispositivos.
• Control centralizado de actualizaciones de firmware y contenidos de seguridad para dispositivos gestionados.
• Posibilidad de despliegue en físico y también en virtual con múltiples opciones para aumentar el almacenamiento de forma dinámica.

TEORÍA DE LA GESTIÓN DE FORTINET

FortiManager es una plataforma integrada para la administración centralizada de productos en una infraestructura de seguridad de Fortinet. FortiManager proporciona gestión centralizada de la implantación, configuración y actualización para dispositivos FortiGates (incluyendo FortiGate, FortiWifi y FortiGate VM), FortiSwitch, FortiAP y FortiCarrier. Además, podemos crear dominios de administración dedicados a otras tecnologías como FortiDeceptor, FortiAnalyzer, FortiAuthenticator, Forticache, FortiClient, FortiDDoS, FortiMail, FortiNAC, FortiProxy, FortiSandbox y FortiWeb.

Para reducir latencias en la red y el uso del acceso a Internet, FortiManager también puede funcionar como servidor de distribución de FortiGuard (FDS) para que los dispositivos gestionados y los FortiClient se puedan descargar actualizaciones de sus firmas de antivirus y ataques y puedan usar los servicios de web filtering y email filtering.

Desde un FortiManager se pueden administrar hasta 10.000 dispositivos y virtual domains (VDOMS) desde una única interfaz de gestión. Está diseñado principalmente para medianas y grandes empresas y proveedores de servicios de seguridad.

El uso de un FortiManager en una infraestructura de seguridad Fortinet puede ayudar a minimizar los costes tanto de los despliegues como de la operación. Permite una rápida provisión de dispositivos, seguimiento detallado de versiones y una minuciosa auditoría.

A continuación, se indican algunas de las funcionalidades de FortiManager:

• Control y seguimiento de configuraciones. El FortiManager guarda y mantiene el historial de todos los cambios de configuración que se hacen a lo largo del tiempo. Estos cambios se pueden programar para que se apliquen de forma automática.
• Gestión centralizada. FortiManager puede gestionar de forma centralizada la configuración de múltiples equipos desde una misma consola. Las configuraciones se pueden compilar en un repositorio centralizado y desplegar en múltiples dispositivos cuando sea requerido.
• Dominios de administración: FortiManager puede dividir la administración de grandes entornos agrupando equipos en dominios de administración a nivel geográfico o funcional.
• Provisión local del servicio FortiGuard: Un FortiGate puede utilizar un FortiManager para optimizar el rendimiento en la búsqueda de clasificaciones y la descarga de definiciones y firmas para antivirus, IPS, web filtering y email filtering.
• Gestión de firmwares: FortiManager puede gestionar de forma centralizada imágenes de firmware y programar la actualización de dispositivos gestionados.
• Scripting: FortiManager soporta scripts de CLI o TCL para simplificar el despliegue de configuraciones.
• Informes y logging: FortiManager también se puede utilizar para logar tráfico de los equipos administrados y generar informes basados en consultas SQL. El FortiManager también incluye las características de logs e informes de FortiAnalyzer.
• Gestión del ciclo de vida de dispositivos Fortinet: Las tareas de administración de dispositivos Fortinet siguen un ciclo de vida típico: Despliegue, monitorización, mantenimiento y actualización.

MODO WORKFLOW

El modo Workflow es un nuevo modo global para definir aprobaciones o notificaciones de flujos de trabajo cuando se quieren crear e instalar políticas o modificar objetos. El modo Workflow únicamente se puede habilitar por CLI. Cuando está habilitado, un administrador con los permisos adecuados será capaz de aprobar o denegar sesiones de flujos de trabajo antes de que se implementen en la base de datos.

OPCIONES DE SISTEMA

La pestaña Opciones de Sistema posibilita la administración y configuración de las opciones básicas del sistema. Esto incluye las opciones básicas de red para conectar el equipo a la red corporativa, configuración de los administradores y sus permisos de acceso, gestión y actualización del firmware para el equipo y configuración de logs y acceso al servicio de actualización de Fortiguard.

La pestaña de Opciones de Sistema proporciona acceso a los siguientes menús y submenús:

Dashboard	La página del Dashboard muestra widgets que proporcionan información sobre rendimiento y estado del sistema y permiten configurar las opciones básicas del sistema.
Loggin Topology	Muestra la topología física de los dispositivos en el Security Fabric
RAID Management	Esta página muestra información sobre el estado del RAID, asi como el tipo de RAID que se ha seleccionado y cuanto espacio en disco se está consumiendo en cada momento.
Network	Esta página proporciona opciones sobre la gestión de las interfaces, los accesos administrativos, el enrutamiento o los DNSs. También proporciona acceso a herramientas de diagnóstico, como la captura de paquetes, y un listado detallado de todas las interfaces configuradas en cada momento.
High availability	La página de HA permite configurar el modo de operación y los parámetros del cluster.
Admin	Bajo este menú se configuran las cuentas de usuarios de administración, asi como parámetros administrativos globales del FortiManager. AdministratorProfileWorkspaceRemote authentication serverAdministrator settingsSAML SSO
Certificates	La sección de certificados permite configurar certificados locales y CA, así como listas de revocación de certificados (CRLs).
Event log	Permite ver mensajes de log que están almacenados en la memoria o en el disco duro local. En esta página se pueden ver logs en tiempo real o históricos y descargar logs de eventos.
Task monitor	Esta página permite ver el estado de las tareas que se hayan ejecutado.
Administrative Domains	Permite gestionar los ADOMs, pudiendo crearlos, borrarlos o modificarlos, identificando qué firmware de dispositivo va a gestionar, si va a gestionar de manera centralizada VPNs, FortiAPs o FortiSwitches,
Fetcher Management	Se utiliza para recuperar logs archivados de un dispositivo FortiManager a otro. Esto permite a los administradores ejecutar consultas e informes contra los datos históricos, que pueden ser útiles para el análisis forense. Puede recuperar los datos de logs para un dispositivo y un período de tiempo específicos. Los datos recuperados se indexan y se pueden utilizar para el análisis de datos e informes. La obtención de registros sólo puede realizarse en dos dispositivos FortiManager que ejecuten el mismo firmware.
SNMP	Es posible habilitar el agente SNMP en el FortiManager para que pueda enviar traps y recibir consultas del SNMP manager. Esto permite monitorizar el FortiManager con un SNMP manager. Se pueden definir las comunidades SNMP en v1, v2c y v3. La implementación SNMP de FortiManager es de sólo lectura a la información del propio sistema FortiManager.
Mail Server	Se puede configurar un servidor de correo para permitir al FortiManager enviar emails, como notificaciones cuando se ejecutan informes o se producen eventos específicos.
Syslog Server	También es posible configurar un servidor de Syslog para el envío de logs a una plataforma Syslog externa.
Meta Fields	Los Meta Fields permiten a los administradores añadir información extra al configurar, añadir o mantener FortiGates o añadir nuevos administradores. Estos Meta Fields pueden ser obligatorios u opcionales.
Device Logs	FortiManager permite registrar los eventos del sistema en el disco. Se puede controlar el tamaño de los archivos de logs del dispositivo y el uso del espacio de disco del FortiManager configurando la grabación de logs y programando la subida de logs a un servidor.
File Management	Permite configurar la eliminación automática de archivos de logs, archivos en cuarentena, informes y archivos de contenido después de un período de tiempo determinado.
Advanced Settings	A través de esta opción se permite configurar: Modo OfflineModo ADOM (Normal o Advanced)Descargar el fichero WSDLGestión de chasisSi aceptar manual o automáticamente los cambios recibidos desde un FortiGateDefinir el tamaño de la lista de tareasSi hacer una preview de la instalación antes de procederSi gestionar e instalar sólo las políticas basadas en interfaz, en lugar de toda la configuración de dispositivos y políticas.Si mostrar las pestañas de Policy Packages y Object Configurations e un solo panel en el módulo de Policy & ObjetsSi mostrar los dispositivos y grupos dentro de un único menú e incluir los comandos Add Device e Install Wizard en el menú de botón derecho

Plantillas de provisión

Con esta funcionalidad podremos realizar despliegues masivos de diferentes tipos de configuración:

Plantillas de grupo:

Podemos agrupar en una plantilla varios tipos de plantilla para abordar despliegues masivos con dispositivos de distinta índole. FortiManager se asegurará de instalarlas en el correcto orden.

Plantilla de sistema:

El menú Plantillas de sistema permite crear y gestionar perfiles de dispositivos. Una plantilla de sistema es un subconjunto de la configuración de un dispositivo modelo. Cada dispositivo o grupo de dispositivos puede vincularse con una plantilla de sistema. Cuando se vincula, los ajustes seleccionados proceden de la plantilla y no de la base de datos del Administrador de dispositivos.

Por defecto, hay un perfil genérico definido. Las plantillas de sistema se gestionan de forma similar a los paquetes de políticas. Puede utilizar los menús contextuales para crear nuevos perfiles de dispositivo. Puede configurar los ajustes en el widget o importar los ajustes de un dispositivo específico.

Podremos detallar la configuración de parámetros como; servidor DNS, NTP, Email Alert, Opciones de Administrador, o SNMP, entre otros.

Plantilla de Túnel IPSec

Puede aprovisionar túneles IPsec a los dispositivos FortiGate utilizando una plantilla IPsec. Puede guardar una configuración de VPN IPsec, aplicarla a uno o más FortiGates, o reutilizar la misma configuración una y otra vez. Puede nombrar específicamente las interfaces de túnel IPsec usando los metadatos soportados, y las interfaces de túnel pueden ser posteriormente mapeadas a interfaces normalizadas, o usadas en políticas y también en widgets SD-WAN.

Plantillas de SD-WAN

Se pueden utilizar plantillas de SD-WAN para configurar uno o múltiples dispositivos, cuando se aplican estas plantillas se utiliza la gestión centralizada de SD-WAN.

Si queremos utilizar SD-WAN por dispositivo, no utilizaremos estas plantillas.

Las plantillas SD-WAN nos ayudan con:

• Despliegue una única plantilla SD-WAN desde FortiManager en varios dispositivos FortiGate
• Realice un despliegue sin necesidad de configuración manual localmente en los dispositivos FortiGate
• Despliegue una configuración SD-WAN uniforme en toda la red.
• Eliminar los errores en la configuración de SD-WAN a través de múltiples dispositivos FortiGate ya que la plantilla de SD-WAN se aplica de forma centralizada desde FortiManager.
• Monitorizar el SLA de rendimiento de la red a través de múltiples dispositivos FortiGate de forma centralizada desde FortiManager.
• Monitorizar el rendimiento de su SD-WAN con múltiples vistas.

Plantillas de Enrutamiento estático

Podemos provisionar el enrutamiento estático en FortiGate usando esta plantilla.

Cuando creamos rutas estáticas para IPv4 y subredes, podemos usar las variables presentes en los metadatos y aplicarlos por VDOM.

Plantilla de BGP

FortiManager incluye plantillas de BGP para aplicar las opciones de este enrutamiento a través de varios FortiGates.

Plantilla de certificados

Este menú nos permite crear plantillas de certificado para Autoridad Certificadora externa o para la propia que tiene el FortiManager.

FortiManager dispone de un Servidor de Autoridad Certificadora por cada ADOM. Cuando un ADOM es creado, se crea una clave pública y otra privada para el ADOM. Este par de claves es automáticamente utilizado para ser usado en configuraciones de tipo IPSec y SSL VPN.

Cuando se añade un dispositivo a una topología VPN IPsec o SSL-VPN con una plantilla de certificado que utiliza la CA de FortiManager, se utiliza automáticamente la CA local de FortiManager. No se genera ninguna solicitud de clave precompartida (PSK). Cuando la topología IPsec VPN o SSL-VPN se instala en el dispositivo, el siguiente proceso se completa automáticamente:

• El dispositivo FortiGate genera un archivo de solicitud de firma de certificado (CSR).
• FortiManager firma el archivo CSR y lo instala en el dispositivo FortiGate.
• El certificado de la CA con la clave pública se instala en el dispositivo FortiGate.

Plantillas de peso de la amenaza

Antes de tomar una decisión, se necesita saber que el problema está ocurriendo. La ponderación de las amenazas nos permite obtener información y análisis de riesgos en nuestros dispositivos al poder evaluar con un criterio propio como de crítica es una amenaza.

Por ello es interesante poder modificar estos valores que nos permitan adecuar la vista que queremos obtener en base al tipo de amenaza detectada a lo largo de nuestros dispositivos.

Plantillas de CLI

Podemos crear plantillas de CLI y asignarlas a dispositivos. También podemos crear grupos de plantilla de CLI y agrupar diferentes tipos de scripts y asignar este grupo a los dispositivos, en vez de asignar scripts individuales equipo por equipo.

Plantillas de Servicio NSX-T

Las plantillas de servicio de NSX-T le permiten gestionar varias máquinas virtuales de FortiGate que se ejecutan en NSX-T aplicando automáticamente los ajustes de configuración, políticas y VDOM a cada máquina virtual que pertenezca al mismo servicio registrado.

Hay dos casos de uso principales para esta función:

• Necesita desplegar una VM adicional en NSX-T. Cuando se autoriza una nueva VM en FortiManager, no tiene ninguna configuración ni política. Utilizando la plantilla de NSX-T, FortiManager crea automáticamente los VDOM, los vincula a un paquete de políticas y configura la asociación perfil de servicio/VDOM, los ajustes de registro, etc.
• Es necesario cambiar la configuración existente, por ejemplo, añadir un VDOM. FortiManager aplica el mismo cambio a todas las VM del mismo servicio donde se aplica la plantilla.

Plantillas de Firmware

Las plantillas de firmware definen qué versión de firmware debe instalarse en las puertas FortiGate y en todos los dispositivos de acceso, como FortiAP, FortiSwitch y FortiExtender. Puede asignar las plantillas a uno o más dispositivos.

Después de asignar la plantilla a un dispositivo, se requiere que el dispositivo tenga instalada la versión especificada. Puede utilizar la columna Plantilla de firmware en el panel Administrador de dispositivos > Dispositivos y grupos para ver el estado del dispositivo con la versión de firmware especificada en la plantilla asignada.

La plantilla puede incluir una programación para iniciar automáticamente las actualizaciones de firmware, o puede iniciar manualmente las actualizaciones de firmware.

Asistentes de FortiManager

La pestaña de Device Manager proporciona asistentes de instalación y de dispositivos para ayudar en varias tareas administrativas y de mantenimiento. El uso de estas herramientas puede ayudar a acortar la cantidad de tiempo que llevaría realizar tareas habituales.

FortiManager ofrece los siguientes asistentes:

• ●        Add device wizard.
  • Discover. Se sondea el dispositivo usando la IP y las credenciales que se han proporcionado para determinar el modelo y otro tipo de información útil.
  • Add Model Device. Se añade el dispositivo de manera offline usando el número de serie o una preshared key, además del modelo de dispositivo y otra información introducida de manera explícita. También se puede asignar una plantilla de sistema al equipo provisionado, un paquete de políticas, una plantilla de comandos CLI, una plantilla de IPsec, o forzarle a que cumpla una cierta versión de firmware.
  • Adding a Model FortiGate HA cluster. Se puede añadir un clúster de HA de FortiGate offline de manera similar al caso anterior cuando se utiliza los números de serie.
• Install wizard.
  • Install Policy Package & Device Settings: Instala un paquete de políticas específico. También instala cualquier parámetro específico de los dispositivos asociados con la política. También se puede modificar la política y programar el momento en el que se quiere instalar, o incluso realizar una revisión del ADOM. La opción de Install Preview permite visualizar previamente lo que se va a instalar, para facilitar la tarea y la detección de errores.
  • Install Device Settings (only). Instala únicamente los ajustes del dispositivo para un conjunto de dispositivos. No se aplicarán cambios en los objetos y políticas. Esta opción está disponible únicamente cuando se lanza el Install Wizard en la pestaña de Device Manager.
• Import Configuration Wizard
  • Import policies and objects.  Permite importar paquetes de políticas y objetos, además de permitir especificar mapeos de interfaces por dispositivo o por plataforma.
  • Import AP profiles and FortiSwitch templates. Permite importar perfiles de AP y plantillas de FortiSwitch.
• Import policy wizard
  • Import Device
• Re-install policy
  • Re-install Policy Package. Se puede pulsar botón derecho sobre el icono de la columna de Config Status para ejecutar una instalación rápida de una política sin lanzar el asistente de instalación.
• Adding FortiAnalyzer

En la pestaña de Policy & Objects también dispone de un asistente:

• Install wizard.
  • Install Policy Package & Device Settings: Instala un paquete de políticas específico. También instala cualquier parámetro específico de los dispositivos asociados con la política. También se puede modificar la política y programar el momento en el que se quiere instalar, o incluso realizar una revisión del ADOM. La opción de Install Preview permite visualizar previamente lo que se va a instalar, para facilitar la tarea y la detección de errores.
  • Install Device Settings (only). Instala únicamente los ajustes del dispositivo para un conjunto de dispositivos. No se aplicarán cambios en los objetos y políticas.

CONFIGURACIONES DE DISPOSITIVOS

FortiManager mantiene un repositorio de configuraciones para gestionar las revisiones de las configuraciones de los equipos. Después de modificar una configuración, se puede guardar en el repositorio e instalar la configuración modificada a equipos individuales o a grupos de equipos. También se puede recuperar la configuración de un equipo, o revertir la configuración de un dispositivo a una versión anterior. Además, se pueden ejecutar las siguientes acciones:

Comprobar el estado de la configuración de un dispositivo

En la pestaña Device Manager, cuando se selecciona un dispositivo, se puede ver la información básica del dispositivo en el panel del dispositivo. También se puede comprobar si el archivo de la configuración actual del dispositivo almacenado en el repositorio del FortiManager esta sincronizada con el que está en ejecución en el dispositivo.

Si se hace cualquier cambio de la configuración directamente en el dispositivo, en lugar de hacerla a través del FortiManager, la configuración del dispositivo y la configuración que está almacenada en el repositorio del FortiManager estarán des-sincronizadas. En ese caso se puede re-sincronizar con el dispositivo recuperando la configuración del mismo y guardándola en el repositorio del FortiManager.

Gestionar el historial de revisiones de configuración

El repositorio almacena todas las revisiones de la configuración de los dispositivos y marca cada revisión con un número de revisión/ID. Se puede ver el historial de versiones, inspeccionar los cambios en las configuraciones, importar archivos desde un ordenador local, ver parámetros de configuración, comparar diferentes versiones, revertir los parámetros anteriores y descargar archivos de configuración al ordenador local.

SCRIPTS

Los scripts del FortiManager permiten crear, ejecutar y ver los resultados de la ejecución de un script en un FortiGate de políticas, bases de datos de ADOMs, la política global, o la base de datos. Los scripts también se pueden filtrar en base a cierta información del dispositivo, como el tipo de SO y la plataforma.

Los scripts se pueden escribir de dos maneras:

• Una secuencia de comandos de CLI, de la misma forma que se escribirían en un CLI real. Una línea comentada empieza por #, y no será ejecutada.
• Comandos de TCL para proporcionar más funcionalidades a los scripts, incluyendo variables globales y estructuras de decisión.

Políticas y objetos

La pestaña de Policy&Objects permite gestionar y configurar de forma centralizada los equipos que son gestionados por el FortiManager. Esto incluye los parámetros básicos de red para conectar el equipo a la red corporativa, definición de Antivirus, firmas de IPS, reglas de acceso y la gestión y actualización del firmware de los equipos.

1. Sobre políticas

FortiManager proporciona a los administradores la posibilidad de personalizar las políticas de su organización como ellos deseen implementar. Generalmente, los administradores podrán personalizar el acceso y estas políticas basadas en factores como la geografía, requerimientos de seguridad específicos, o requerimientos legales.

En un único ADOM, los administradores pueden crear múltiples paquetes de políticas. El FortiManager provee de la capacidad de personalizar los paquetes de políticas de cada dispositivo o incluso un VDOM en un ADOM específico. También es posible aplicar un único paquete de políticas a todos los equipos del mismo ADOM. Estos paquetes de políticas personalizados pueden ser objetivo de un único equipo, varios equipos, un único VDOM, varios VDOMs o todos los equipos dentro del mismo ADOM.

Definiendo el alcance de los paquetes de políticas, los administradores pueden modificar o editar las políticas en un paquete manteniendo el resto de los paquetes sin cambios.

• Teoría de políticas

Las políticas de seguridad controlan todo el tráfico que intenta atravesar un equipo entre interfaces, zonas y subinterfaces VLAN.

Las políticas de seguridad son instrucciones que usan los equipos para decidir la aceptación de conexiones y el procesado de los paquetes que intentan pasar. Cuando el firewall recibe un paquete de conexión, analiza la dirección de origen, la dirección de destino y el servicio (número de puerto), e intenta encontrar una política de seguridad que se ajuste con la información del paquete.

Las políticas de seguridad pueden contener varias instrucciones que el dispositivo debe seguir cuando un paquete se ajusta a esa política. Algunas instrucciones como descartar o aceptar y procesar el paquete son necesarias, mientras que otras como la autenticación o el logging son opcionales.

Las políticas pueden incluir NAT (Network Address Translation), PAT (Port Address Translation) o pueden utilizar VIPs (Virtual IPs) o rangos de IP para convertir las direcciones IP de origen y destino y los números de puerto.

Las políticas pueden incluir también perfiles de seguridad, los cuales pueden incluir inspección en la capa de aplicación u otras protecciones y logging específicos de protocolos, así como inspección IPS en la capa de transporte.

Las acciones tomadas sobre los paquetes pueden ser: ACCEPT, DENY, IPsec o SSL-VPN.

ACCEPT: la política permite las comunicaciones y opcionalmente puede incluir otras instrucciones como requerir autenticación o aplicar perfiles de seguridad.

DENY: la política bloquea las comunicaciones.

IPsec and SSL-VPN: políticas que aplican sobre un túnel IPsec o SSL-VPN respectivamente.

• Flujo de trabajo de políticas

Un administrador generalmente lleva principalmente a cabo dos funciones en sus equipos gestionados por el FortiManager: provisionar nuevos equipos o VDOMs en la red y gestionar el día a día de la operación de los dispositivos y VDOMs.

• Gestión de paquetes de políticas

Los paquetes de políticas pueden ser creados y editados, y posteriormente asignados a equipos específicos en un ADOM. Las carpetas pueden ser creadas por los paquetes de políticas para ayudar a la organización y administración de los paquetes.

• Gestión de políticas

Las políticas en los paquetes de políticas pueden ser creadas y administradas independientemente dentro de cada ADOM. Posteriormente, dentro el ADOM se mostrará cada paquete de políticas y cada una de sus reglas.

Existen una gran variedad de políticas que pueden ser configuradas en cada paquete de políticas, entre las que destacan: políticas IP, políticas de NAT, SNAT, DNAT, políticas locales y políticas de proxy entre otras.

Entre las funcionalidades más importantes del FortiManager se puede destacar:

Creación de políticas: la creación de políticas depende del tipo de política que se necesite crear.

Los pasos más básicos son:

• Creación de un paquete de políticas en el ADOM seleccionado.

• Dentro del paquete de políticas, podremos seleccionar el tipo de política que se requiere crear.
  • En la actualidad, la interfaz para crear una política desde el FortiManager no difiere en gran medida de la interfaz del FortiGate.

• Instalación de la política configurada.

Es necesario que el paquete de políticas donde se ha creado la política esté asignado a un dispositivo o dispositivos FortiGate en la opción de Installation targets. Es posible programar la instalación de las políticas a una hora e incluso un día determinado.

Una vez seleccionado los parámetros deseados, antes de la instalación de la política configurada, será posible revisar la configuración para comprobar las diferencias entre la configuración actual y la nueva. Una vez validada la información, se completará la instalación y aplicación de la política.

• Gestión de objetos y objetos dinámicos

Todos los objetos en un ADOM son gestionados por una única base de datos en ese ADOM. Los objetos dentro de esa base de datos pueden incluir direcciones, servicios, firmas de antivirus, perfiles de filtrado web, etc.

Varios objetos incluyen ahora la opción de mapeado dinámico. Es posible crear nuevos mapas dinámicos. Cuando esta funcionalidad está habilitada, una tabla muestra la información del mapeo. También es posible elegir añadir objetos a grupos y añadir etiquetas.

Cuando se hacen cambios en un objeto de la base de datos, las modificaciones se reflejan inmediatamente en la tabla de políticas de la GUI; no es necesario copiarlo en la base de datos. Si la instalación parcial está habilitada, el objeto editado puede ser configurado en todos los equipos que actualmente lo usen.

Los objetos dinámicos se utilizan para asignar un único objeto lógico a una definición única por dispositivo. Las direcciones, las interfaces, las IPs virtuales y un pool de IPs pueden ser direccionados dinámicamente.

Los objetos se utilizan para definir políticas, y las políticas se ensamblan en paquetes de políticas que se pueden instalar en los dispositivos.

Los objetos y los objetos dinámicos se gestionan desde el menú de Object Configurations que se encuentra dentro de la pestaña de Policy&Objects. Los objetos disponibles varían dependiendo del ADOM seleccionado.

Consola de gestión Central de FortiAPs

La pestaña de gestión Central de FortiAPs permite administrar los puntos de acceso FortiAP que son controlados por los dispositivos FortiGate, que a su vez son administrados por el FortiManager. Esta consola permite dos modos de gestión: gestión centralizada y gestión por dispositivo de los puntos de acceso administrados.

La consola de gestión Central de FortiAPs incluye:

• Dispositivos & Grupos: muestra los FortiAPs autorizados y no autorizados.
• Vista de Mapa: muestra la localización de los FortiAPs en Google Maps. Existen dos tipos de mapas en esta vista, Google Map y Floor Map (mapa personalizado de una construcción, edificio, planta, etc.).
• Perfiles WiFi para gestión centralizada: cuando la gestión central está activada, se puede ver, crear, editar e importar perfiles. Los perfiles WiFi comparten una base de datos en común. Los perfiles pueden ser aplicados sobre cualquier dispositivo, independientemente de sobre qué controladora FortiGate esté conectado.

Consola de gestión Central de FortiSwitches

La consola de gestión de FortiSwitches permite administrar los FortiSwitches que son controlados por los dispositivos FortiGate, que a su vez son administrados por FortiManager. Esta consola permite dos modos de gestión: gestión centralizada y gestión por dispositivo de los switches administrados.

Cuando la gestión centralizada está habilitada, la consola de gestión Central de FortiSwitches incluye:

• Dispositivos & Grupos: muestra los FortiSwitches autorizados y no autorizados. Se puede mostrar, autorizar y editar equipos autorizados, así como aplicar plantillas sobre los mismos.
• Plantillas FortiSwitch: permite ver, crear y editar plantillas de FortiSwitch, VLANs, políticas de seguridad y comandos personalizados. Las plantillas pueden ser importadas.

Cuando la gestión por dispositivo está habilitada, la consola de gestión Central de FortiSwitches incluye:

• Dispositivos & Grupos: muestra los FortiSwitches autorizados y no autorizados. Se puede mostrar, autorizar y editar equipos autorizados, así como configurar los puertos de todos los switches administrados esta consola. También es posible mostrar, crear y editar VLANs, políticas de NAC, políticas de seguridad, perfiles LLDP, políticas de QoS y comandos personalizados.

CONSOLA CENTRAL DE VPN

Cuando se activa la gestión central de VPN se puede utilizar el panel VPN Manager para configurar los ajustes de VPN IPsec que se pueden instalar en uno o varios dispositivos. Estos ajustes se almacenan como objetos en la base de datos de objetos. Así, es posible seleccionar los objetos en las políticas en los Policy Package. La configuración de VPN IPsec se puede instalar en uno o más equipos simplemente instalando el paquete de políticas en los dispositivos.

Se puede activar la gestión centralizada de la VPN desde el panel VPN Manager > IPsec VPN.

También se puede habilitar editando el ADOM.

En VPN Manager > IPsec VPN se puede crear la topología de la VPN. Después se definen los parámetros de Autenticación y Encriptación, los parámetros de la fase 1 y fase 2, los gateways de la VPN indicando sus roles de hub o spoke y sus redes protegidas, su interfaz de comunicación, etc.

Y por último se definen las políticas de seguridad que definirán el comportamiento de las VPNs (tanto VPNs basadas en políticas como en rutas).

Igualmente, también es posible gestionar las VPN SSL desde el panel VPN Manager > SSL-VPN.

CONSOLA DE GESTIÓN CENTRAL DE FORTIEXTENDER

El módulo Extender Manager permite gestionar los FortiExtender conectados para crear plantillas personalizadas, perfiles SIM y planes de datos para hasta dos módems.

A través del panel Managed Extenders se puede configurar módems, asociar planes de datos a un dispositivo y autorizar dispositivos.

Los perfiles de Extender Manager permiten configurar los ajustes de un dispositivo FortiExtender de forma remota, creando un perfil SIM y un plan de datos y luego asignándoles a una plantilla de perfil. Una vez configurada la plantilla, esta ya puede ser asignada a un dispositivo.

FABRIC VIEW

A través del módulo de Fabric View se pueden ver las distintas topologías del Security Fabric. Estas pueden ser la topología física, la lógica o realizar filtrados en función de dispositivo, vulnerabilidad, o de opciones de tráfico.

Además de esto, también es posible ver los resultados de la evaluación del Security Rating, ya sea para un dispositivo individual o para un grupo de equipos del Security Fabric.

Por último, también es posible crear Fabric Connectors de tipo:

• Public and private SDN: pueden ser para CISCO ACI, AWS, Microsoft Azure, VMware NSX, Nuage, OpenStack, Oracle Cloud, VMWare ESXi o VMware vCentre)
• Threat Feeds: para importar dinámicamente una block list externa que se puede utilizar luego para denegar el acceso a las direcciones IP de origen o destino en los perfiles de filtro web y DNS, las exenciones de inspección SSL y como fuentes o destinos en las políticas de proxy
• Endpoint/Identity: pueden ser para FortiNAC, Poll Active Directory Server, Fortinet Single Sing-On Agent, RADIUS Single Sing-On Agent, User pxGrid, User ClearPass, VMware NSX-T, VMware vCenter, Symantec Endpoint Protection o Exchange Server.

Gestión de FortiGuard

FortiGuard Distribution Network (FDN) proporciona servicios de FortiGuard dentro de FortiManager y de sus dispositivos administrados y agentes de FortiClient. La FDN es una red mundial de servidores de distribución de FortiGuard (FDS) que actualiza todos los servicios de FortiGuard en FortiManager de manera regular para que FortiManager esté protegido contra las nuevas amenazas.

Los servicios de FortiGuard disponibles en FortiManager son:

1. Firmas y motores tanto de AntiVirus como IPS.
2. Calificación y bases de datos tanto para filtrado web como filtrado de correo.
3. Escaneo de vulnerabilidad y soporte de administración para FortiAnalyzer

En FortiGuard Management, puedes configurar FortiManager para que actúe como FDS local o que use un proxy para conectarse al FDN. Al actuar como FDS local sincroniza los paquetes de actualización de FortiGuard con el FDN, una vez realizado este paso, buscan respuesta de los dispositivos FortiGate dentro de la red privada. De esta forma obtenemos ventajas como una conexión más rápida, aplicación de actualizaciones frecuentes, firmas y antivirus de todos nuestros dispositivos FortiGate.

Por ejemplo, puedes habilitar los servicios de FortiGuard en FortiGate en el FDS integrado y luego especificar la dirección IP del FortiManager. De esta forma, evitamos sobrecargar la conexión a internet con todos los equipos descargando al mismo tiempo, siendo más fácil que FortiManager realice una sola descarga y que los equipos se actualicen a nivel local obteniendo estos paquetes del FortiManager.

Alta Disponibilidad HA

La alta disponibilidad (HA) de FortiManager brinda una solución para un requisito clave en caso de que las operaciones normales continúen si falla una unidad de FortiManager. Esto se puede lograr mediante una copia de seguridad dinámica de los cambios de la base de datos de FortiManager en una o más unidades de copia de seguridad de FortiManager. Luego, si la unidad operativa de FortiManager falla, una unidad de backup de FortiManager puede tomar el lugar de la primaria.

Se puede configurar un clúster de hasta cinco FortiManager’s del mismo modelo. Uno de los equipos actúa como primario o “master” del clúster y los demás actúan de backup. Todos los equipos son visibles en la red. Los integrantes del clúster pueden estar en la misma red o en redes geográficamente separadas, siempre y cuando exista comunicación entre ellos (Sobre una LAN, WAN, Internet, etc…).

*Anotaciones:

No es necesario reiniciar FortiManager cuando se ha realizado una copia de seguridad a la unidad principal.

Cuando se usan dispositivos con diferentes licencias para crear un clúster HA, se usa la licencia que permite la menor cantidad de dispositivos administrados.

Funcionalidades como FortiAnalyzer

FortiManager también se puede utilizar para registrar el tráfico de dispositivos administrados y generar informes basados en lenguaje de consulta estructurado (SQL). Además, integra funciones de logs e informes de FortiAnalyzer.

*Anotación:

Los servicios de FortiAnalyzer en FortiManager no están disponibles con la licencia TRIAL.

Las funciones de FortiAnalyzer en FortiManager se pueden usar para ver y analizar logs de dispositivos con log habilitado que son administrados por FortiManager. Cuando las funciones se habilitan manualmente, los logs se almacenan y las funciones de FortiAnalyzer se configuran en FortiManager.

Cuando las características de FortiAnalyzer están habilitadas, disponemos de los siguientes módulos:

• FortiView -> Un resumen de visibilidad de amenazas, direcciones origen y destino y tráfico de nuestra red.
• NOC-SOC -> Visualización de paneles de actividad de la red, incluida la supervisión de la seguridad de la red, la seguridad WiFi y el rendimiento del sistema.
• LogView -> Acceso a logs de tráfico, logs de eventos o la información del registro de seguridad.
• EventManager -> Monitorización de eventos.
• Reports -> General todo tipo de reportes a partir de los logs obtenidos.

Dentro de los ajustes de sistema podemos encontrar las siguientes características:

• Dashboard Widgets -> Tablero para añadir widgets y obtener acceso a cierta información con mayor rapidez.
• Logging Topology -> Acceso a la topología de todos los logs.
• Storage Info -> Ver y gestionar políticas de almacenamiento de logs.
• Fetcher Management -> Configuraciones relacionadas con la obtención de logs.
• Device Log Settings -> Configure el tamaño del archivo de logs del dispositivo, el log continuo y las cargas programadas a un servidor.
• File Management -> Configuración de la eliminación automática de logs, archivos en cuarentena, informes y archivos de almacenamiento de contenido después de un período de tiempo establecido.

DOCUMENTACIÓN

La Guía de Administración de FortiManager y la Guía de referencia GUI, se encuentran publicadas en el siguiente enlace: https://docs.fortinet.com/product/fortimanager/7.0

Familia de productos

FortiManager se encuentra disponible tanto en formato físico (appliance) como en formato máquina virtual para distintos Hipervisores y nubes públicas.

En formato físico existen varios modelos que se diferencian por la cantidad de equipos/VDOMS gestionables, tamaño de logs por día, número de interfaces, etc.  En la siguiente tabla comparativa, se muestran todos los modelos y sus características técnicas:

En formato Virtual (VM) existe una máquina trial sin coste con una capacidad de gestión de hasta 3 dispositivos y 3 ADOMs, la cual no dispone de soporte, la cual a través de licencias apilables se puede ir ampliando el nº de equipos a gestionar, mientras que el límite de Logs por día no es apilable.