Este artículo aborda un problema común en dispositivos FortiGate: la necesidad de bloquear todos los archivos .exe mientras se permite la descarga de un archivo específico desde una URL sin habilitar múltiples otras características UTM. Este tema es crucial para mantener la seguridad de la red sin comprometer la funcionalidad necesaria. A continuación, se detallarán los pasos para configurar esta solución de manera efectiva y precisa.
Índice
Descripción del problema
La gestión de archivos .exe en redes corporativas puede ser un desafío. Aunque es fundamental bloquear la mayoría de estos archivos para proteger la red contra malware, puede haber ocasiones en las que se necesite permitir la descarga de archivos .exe de fuentes específicas. Esto se complica cuando se utilizan perfiles de seguridad UTM, ya que a menudo requieren configuraciones detalladas para cada excepción.
Alcance
Este artículo aplica a dispositivos FortiGate que utilizan el firmware 7.4 en adelante.
Diagnóstico paso a paso
1. Bloquear todos los archivos .exe
Para comenzar, se debe crear un perfil de filtro que impida la descarga de archivos .exe. Esto se logra mediante los siguientes pasos:
- Accede a Perfiles de Seguridad → Filtro → Crear.
- Proporciona un Nombre para el perfil y selecciona los protocolos que se escanearán (HTTP, FTP, etc.).
- Configura la Dirección a Ambos y el tipo de archivo como Archivo exe, estableciendo la acción a Bloquear.
2. Verificación del bloqueo
Una vez creado el perfil, todos los archivos .exe deberían estar bloqueados, de acuerdo con las expectativas:
Prueba la descarga utilizando un archivo de 7 zip y observa que la descarga falla:
3. Permitir descarga desde URL específica
Para permitir la descarga de un archivo .exe solo desde una URL específica sin crear otros perfiles UTM, se debe agregar la URL a la Inspección SSL/SSH → Excepción de Inspección SSL en el perfil de Inspección SSL/SSH ya habilitado en la política:
- Primero, encuentra la URL en Registros e Informes → Eventos de Seguridad y busca la URL que está bloqueada. En este ejemplo, es objects.githubusercontent.com.
- Agrega un objeto de dirección URL con FQDN.
Aplicar el objeto de dirección
Aplica el objeto de dirección al perfil de Inspección SSL/SSH usado en la política:
4. Verificación final
Una vez aplicado el objeto de dirección y guardados los cambios, prueba la descarga desde la URL nuevamente:
Deberías poder descargar el archivo:
Solución recomendada
La solución a este problema implica la creación de un perfil de filtro para bloquear archivos .exe, seguido de la aplicación de excepciones adecuadas en la Inspección SSL/SSH para permitir descargas de fuentes específicas. Este enfoque garantiza que se mantenga la seguridad de la red sin sacrificar la funcionalidad necesaria.
Comandos CLI utilizados
# Configuración del filtro para archivos .exe
config firewall profile
edit "Bloquear exe"
set http true
set ftp true
set file-ext "exe"
set action block
end
Buenas prácticas y recomendaciones
- Realiza pruebas exhaustivas después de aplicar cambios para garantizar que la configuración funcione como se espera.
- Documenta todas las configuraciones y excepciones para facilitar la resolución de problemas en el futuro.
- Mantén actualizados los perfiles de seguridad y las excepciones conforme cambian tus necesidades y la arquitectura de la red.
Notas adicionales
Recuerda que las excepciones deben ser limitadas y solo aplicadas a fuentes confiables. Esto minimiza la posibilidad de introducir vulnerabilidades en la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!