Cómo resolver el problema del filtro de archivos que no detecta ni bloquea archivos enviados por HTTPS en Fortinet

Este artículo aborda un problema común en la seguridad de archivos al utilizar filtros para detectar o bloquear archivos enviados o recibidos a través de HTTPS. La capacidad de controlar dicho tráfico es crucial para proteger la información sensible de las organizaciones. Aquí se explicarán los pasos para configurar filtros de archivos en entornos FortiGate, facilitando así la implementación de políticas de seguridad efectivas.

Descripción del problema

Los filtros de archivos son herramientas esenciales para gestionar el tráfico de archivos en redes seguras. Sin embargo, configurar adecuadamente estos filtros para que funcionen con protocolos HTTPS puede ser un desafío. Esta funcionalidad es importante para detectar y prevenir transferencias de archivos no autorizados o maliciosos, lo que puede comprometer la seguridad de la red.

Alcance

Este artículo se aplica a los dispositivos FortiGate que ejecutan la versión v6.4 y versiones superiores.

Diagnóstico paso a paso

Para utilizar un filtro de archivos que detecte archivos enviados o recibidos a través de HTTPS, se requiere un filtro de archivos en modo proxy, junto con un perfil de inspección profunda SSL/SSH.

  1. Por defecto, el modo de inspección se establece como modo de flujo en la política de firewall y también es el conjunto de características por defecto en el filtro de archivos. Para cambiar el modo de inspección del firewall, modifique la opción del conjunto de características en el perfil de filtro de archivos en la GUI: Perfiles de Seguridad -> Filtro de Archivos. Edite el perfil de filtro de archivos y active la opción basada en Proxy:
Artículos relacionados  Cómo resolver el problema de la opción de edición en gris de FortiGate como controlador de FortiSwitch

2024-12-09 17 21 51.png

Si la opción del conjunto de características no es visible en la GUI, ingrese el siguiente comando en la CLI:

config system settings

set gui-proxy-inspection enable

end

  1. La activación de la inspección profunda requiere la importación de un certificado (Fortinet_CA_SSL) en la máquina del usuario. Consulte este enlace sobre cómo habilitar la inspección profunda e importar un certificado en el navegador.

Solución recomendada

La solución incluye la correcta configuración del filtro de archivos en modo proxy y la habilitación de la inspección profunda, lo que permitirá una gestión eficaz de los archivos transmitidos a través de HTTPS.

Comandos CLI utilizados

A continuación se presentan los comandos utilizados durante la configuración:

config system settings

set gui-proxy-inspection enable

end

Buenas prácticas y recomendaciones

Es importante considerar que el filtro de archivos puede no funcionar en algunas aplicaciones que utilizan cifrados de extremo a extremo. Para mitigar este problema, se recomienda utilizar software de seguridad en los endpoints, como FortiClient o FortiEDR. Alternativamente, se puede emplear la función DLP (Prevención de Pérdida de Datos) de FortiGate, que requiere una licencia adicional.

Notas adicionales

Recuerde siempre mantener su firmware actualizado y revisar las políticas de seguridad de su organización para maximizar la efectividad de los filtros de archivos y otras medidas de seguridad implementadas.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *