Este artículo aborda un conjunto de recursos relacionados con el soporte de los Estándares Federales de Procesamiento de Información (FIPS) en FortiGate y FortiOS (también conocidos como FIPS 140-2/140-3 y FIPS-CC o Criterios Comunes). Comprender estos recursos es fundamental para garantizar la conformidad con los estándares de seguridad requeridos en entornos gubernamentales y empresariales. Aquí proporcionaremos información útil para activar, verificar y solucionar problemas comunes al trabajar con FIPS en FortiGate.
Índice
Descripción del problema
La implementación de FIPS en los dispositivos FortiGate plantea varios desafíos que los administradores deben enfrentar. Esto incluye configuraciones específicas, actualizaciones de firmware y requisitos de compatibilidad que son esenciales para el cumplimiento normativo y la seguridad operativa en entornos críticos.
Alcance
Este artículo se centra en FortiGate y FIPS, proporcionando recursos clave y artículos de conocimientos que abordan la implementación y gestión de FIPS.
Diagnóstico paso a paso
Al diagnosticar problemas relacionados con FIPS en FortiGate, es importante realizar un seguimiento de una serie de pasos que pueden incluir:
- Verificación de la versión de FortiOS en uso.
- Comprobación de las configuraciones de los modos FIPS-CC y cifrado.
- Revisión de los certificados instalados y su cumplimiento con los requisitos de FIPS.
Solución recomendada
A continuación, se presenta una tabla con artículos de la base de conocimientos relacionados con FIPS:
| Artículos de la Base de Conocimientos relacionados con FIPS |
| Título y enlaces | Descripción |
| Consejo Técnico: Cómo habilitar el modo FIPS-CC | Activar el modo FIPS-CC en un FortiGate por primera vez. |
| Consejo Técnico: Habilitación del modo de cifrado FIPS en FortiGate-VM desplegado en AWS | Habilitación del modo de cifrado FIPS en FortiGate-VM basados en la nube (un modo que no es equivalente al modo FIPS-CC y solo impone restricciones de cifrado). |
| Consejo Técnico: Primeros pasos con FIPS-CC habilitado | Consejos iniciales para comenzar con el modo FIPS-CC, incluyendo un comportamiento esperado donde las interfaces están administrativamente deshabilitadas por defecto. |
| Consejo Técnico: Actualización del firmware de FortiOS cuando FIPS-CC está habilitado | Información sobre los diferentes tipos de firmware de FortiOS que se pueden utilizar (GA, Certificado por FIPS, y parcheado CVE) así como orientación sobre la realización de actualizaciones de firmware mientras está en modo FIPS-CC. |
| Consejo Técnico: Cómo verificar si una imagen de FortiOS FIPS-CC está certificada o parcheada | Orientación para encontrar, verificar y obtener las últimas versiones de firmware certificadas por FIPS y parcheadas por CVE para FortiOS. |
| Consejo Técnico: Sellos a prueba de manipulación para el FortiGate FIPS 140-2 | Notas sobre los sellos a prueba de manipulación requeridos en dispositivos FortiGate de hardware para cumplir con la normativa FIPS 140-2/140-3 del Nivel 2. |
| Consejo Técnico: FortiSwitches no FIPS están desconectados cuando son gestionados por FortiGate configurado en modo FIPS-CC | Comportamiento conocido al gestionar FortiSwitches no habilitados para FIPS con FortiGates habilitados para FIPS. |
| Consejo de Solución de Problemas: No se puede eliminar políticas de firewall con ID 5 o 6 en modo FIPS-CC | Problema conocido que afecta a ciertas Políticas de Firewall al actualizar de FortiOS 6.2 a 6.4 mientras el modo FIPS-CC está habilitado. |
| Consejo de Solución de Problemas: Suites de cifrado y versiones de TLS no soportadas por servidores virtuales en FIPS-CC | Problema conocido donde ciertos cifrados no funcionan cuando se utilizan con Servidores Virtuales en FortiGates habilitados para FIPS. |
| Consejo Técnico: FortiGate en modo FIPS-CC no puede importar certificados si los certificados CA raíz/intermedios no están instalados | Comportamiento conocido donde FortiGates habilitados para FIPS no pueden importar certificados si los certificados CA Raíz/Intermedios no están instalados primero. |
| Consejo Técnico: No se puede importar un certificado remoto a FortiGate habilitado para FIPS-CC para autenticación SAML | Comportamiento conocido donde FortiGates habilitados para FIPS no pueden importar certificados remotos de IdPs SAML si carecen de la extensión de Restricciones Básicas. |
| Consejo de Solución de Problemas: Solucionando el error ‘Las restricciones básicas están ausentes para CA/LOCAL/REMOTE cert’ | Comportamiento esperado donde FortiGates habilitados para FIPS no pueden importar certificados locales que carecen de la extensión de Restricciones Básicas. |
| Consejo Técnico: FortiGates habilitados para FIPS-CC no soportan la función de cifrado de datos privados | Comportamiento esperado donde FortiGates habilitados para FIPS no soportan la función de cifrado de datos privados. |
Comandos CLI utilizados
A continuación se presentan algunos comandos CLI útiles para gestionar y diagnosticar configuraciones en FortiGate:
get system performance status– Muestra el estado general del rendimiento del sistema.show firewall policy– Muestra las políticas de firewall configuradas.diagnose debug enable– Habilita el modo de depuración para diagnóstico detallado.
Buenas prácticas y recomendaciones
Para asegurar el cumplimiento con FIPS y optimizar el rendimiento de su dispositivo FortiGate, considere las siguientes mejores prácticas:
- Mantener siempre el firmware del dispositivo actualizado a la última versión FIPS certificada.
- Realizar copias de seguridad de la configuración antes de aplicar cambios significativos.
- Realizar auditorías periódicas de los certificados y la configuración de seguridad.
Notas adicionales
Para una implementación exitosa de FIPS en FortiGate, es crucial familiarizarse con los requisitos de certificación y mantenerse actualizado sobre los cambios normativos que puedan afectar la configuración del sistema.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!