Cómo solucionar el bloqueo de extensiones de archivos .BAK utilizando un perfil DLP en Fortinet

Este artículo aborda la configuración de una regla de Prevención de Pérdida de Datos (DLP) para bloquear archivos con extensión .BAK. Este problema es relevante porque los archivos .BAK pueden contener información sensible y es esencial prevenir su transferencia no autorizada en entornos de red. A lo largo de este artículo, proporcionaremos un paso a paso detallado sobre cómo implementar esta configuración en dispositivos FortiGate, asegurando un nivel óptimo de seguridad en la gestión de datos.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
- 3.1 Configuración a través de la CLI
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Los archivos con extensión .BAK son copias de seguridad y pueden contener información crítica. La falta de control sobre su transferencia puede resultar en filtraciones de datos y comprometer la integridad de la información en una organización. Por ello, la instalación de reglas de DLP es crucial para mitigar este riesgo.

Alcance

Este artículo es aplicable a las versiones FortiGate v7.2.x y FortiGate v7.4.x, y está diseñado para ayudar a los administradores en la configuración adecuada de DLP para tipos específicos de archivos.

Diagnóstico paso a paso

A continuación, se detallan los pasos necesarios para bloquear archivos .BAK mediante la configuración de un perfil DLP en FortiGate.

Configuración a través de la CLI

Abra la consola CLI de FortiGate. Para obtener información sobre cómo acceder, consulte este artículo.

1. Crear un patrón de archivo DLP:

Los patrones de archivo DLP permiten seleccionar tipos específicos de archivos y patrones de nombres de archivo. Dado que los archivos ‘.bak’ pueden tener múltiples tipos de archivo legítimos, se recomienda bloquearlos basándose en el nombre del archivo.

Asegúrese de que no haya otras reglas de patrones de archivo con el número 10. Si existe una, utilice un número diferente.

config dlp filepattern
edit 10
set name "bak"
config entries
edit "*.bak"
next
end
next
end

Los nombres de archivo se verificarán contra la entrada de patrón de archivo ‘*.bak’.

2. Crear un perfil DLP:

conf dlp profile
edit "DLP_BAK"
config rule
edit 1
set proto http-get http-post
set file-type 10
set action block
next
end
next
end

El perfil DLP anteriormente descrito escanea las solicitudes HTTP/HTTPS GET y POST. Si es necesario, se pueden escanear otros protocolos de transferencia de archivos. Para escanear tráfico SMB encriptado, el protocolo CIFS debe incluirse como ‘proto’ y configurar las credenciales CIFS correspondientes. Consulte .

3. Crear una política de firewall con inspección proxy, habilitar el perfil DLP y configurar la inspección profunda dentro del perfil SSL.

Asegúrese de que la política de firewall esté configurada de acuerdo con la topología de red.

config firewall policy
edit 100
set name "DLP_policy"
set srcintf "port2"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set inspection-mode proxy
set ssl-ssh-profile "deep-inspection"
set dlp-profile "DLP_BAK"
set nat enable
next
end

Con esta configuración, los archivos .BAK podrán ser bloqueados por el perfil DLP.

Solución recomendada

Para visualizar los perfiles de Prevención de Pérdida de Datos en la GUI, habilite ‘Prevención de Pérdida de Datos’ en Sistema > Visibilidad de Funciones.

Después de habilitar, los Perfiles DLP pueden revisarse en la interfaz gráfica de usuario (GUI).

Habilitar GUI DLP

Perfiles DLP en GUI

Comandos CLI utilizados

Los comandos CLI mostrados anteriormente permiten configurar de manera efectiva tanto los patrones de archivo DLP como las políticas de firewall necesarias para proteger la red contra la transferencia de archivos .BAK. Es fundamental seguir cada paso con atención para asegurar la correcta implementación.

Buenas prácticas y recomendaciones

Revise periódicamente las configuraciones de DLP para adaptarse a nuevas amenazas y necesidades de la organización.
Documente cada cambio realizado en las configuraciones para una mejor gestión del sistema.
Pruebe las configuraciones en un entorno controlado antes de implementarlas en producción.

Notas adicionales

La página de DLP también es accesible añadiendo ‘/utm/dlp‘ a la URL o dirección IP utilizada para acceder a FortiGate, por ejemplo: ‘https://x.x.x.x/utm/dlp‘.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo acceder al puerto de la consola en el módulo de administración del chasis fortigate-7000
Descripción Este artículo proporciona una guía paso a paso sobre el acceso a la consola del chasis Fortigate-7000. Solución Todos los chasis FortiGate-7000 incluyen un módulo de administración del panel frontal (también llamado administrador de estantes) en el panel frontal del chasis. El siguiente diagrama muestra el panel frontal del módulo de administración del FortiGate Leer
Cómo resolver el modo de conservación en FortiGate 7.4.3 por alto uso de memoria de AnonPages y Active(anon)
Este artículo aborda un problema técnico que afecta a dispositivos con FortiOS 7.4.3, relacionado con el alto uso de memoria, que puede comprometer el rendimiento de la unidad FortiGate. Entender esta situación es crucial para evitar que los dispositivos entren en un estado de conservación de memoria, lo que podría afectar las operaciones diarias. A Leer
Cómo solucionar el problema de control de aplicaciones que no dirige el tráfico según la política de SD-WAN en Fortinet
Este artículo aborda un problema común en los dispositivos FortiGate: la incapacidad del control de aplicaciones para redirigir el tráfico según la política de SD-WAN. Abordar este problema es crucial para optimizar la gestión del tráfico, garantizando que se utilicen los recursos de red de manera eficiente. A continuación, se presentan los pasos para diagnosticar Leer
Cómo mostrar la ruta del núcleo
Hola amig@s 👏, por si no me conocéis soy César Sánchez y vengo a ayudaros con: 👇 Cómo mostrar la ruta del núcleo De CLI: # get router info kernel Muestra de salida: Alza-kvm12 # get router info kernel tab=255 vf=0 scope=253 type=3 proto=2 prio=0.0.0.0/0.0.0/0->10.47.0.0/32 pref=10.47.1.42 gwy=0.0.0.0 dev=3(port1) tab=255 vf=0 scope=254 type=2 proto=2 prio=0.0.0.0/0.0.0->10.47.1.42/32 pref=10.47.1.42 Leer
Cómo resolver problemas con la actualización de paquetes de despliegue en Fortinet EMS
En este artículo, abordaremos un problema técnico relacionado con el servidor FortiEMS detrás de un cortafuegos FortiGate, específicamente un error al negociar la versión del protocolo FCP, indicado como server- ERR_NETWORK. Este problema es importante ya que puede interrumpir la sincronización de actualizaciones y la gestión eficiente de endpoints, lo que afecta a la seguridad Leer