O FortiGate é uma das soluções de firewall mais populares em PMEs portuguesas — e com razão. Combina firewall de próxima geração, VPN, filtragem de conteúdo, prevenção de intrusões e antivírus numa única plataforma gerível com uma interface centralizada. Mas ter um FortiGate instalado e ter uma postura de segurança adequada são coisas muito diferentes.
Este artigo apresenta as configurações mais importantes que são frequentemente ignoradas ou mal implementadas, e que fazem a diferença entre um FortiGate que protege e um FortiGate que dá uma falsa sensação de segurança.
Por que ter um FortiGate não é garantia de segurança
A firewall é tão eficaz quanto as políticas que a configuram. Um FortiGate com configuração de fábrica ou configuração mínima é essencialmente um router caro. As funcionalidades de segurança — IPS, Application Control, SSL Inspection, Web Filtering, Antivirus — têm de ser explicitamente configuradas e activadas para fazer efeito.
Nas auditorias que realizamos a PMEs com FortiGate instalado, os problemas mais comuns são: políticas de firewall excessivamente permissivas (‘allow all’ na zona interna), perfis de segurança (IPS, AV, Web Filter) não associados às políticas, actualização de firmware ignorada há meses ou anos, e falta de alertas e monitorização configurados.
Um FortiGate desactualizado com configuração de fábrica pode ser mais perigoso do que não ter firewall — cria uma confiança injustificada que faz com que outros controlos de segurança sejam negligenciados.
Política de firewall: o que activar imediatamente
A política de firewall define que tráfego é permitido entre que zonas de rede. A maioria das PMEs tem políticas excessivamente permissivas — especialmente na direcção LAN para WAN (tráfego interno para internet).
Configuração recomendada: criar zonas de rede distintas (LAN, DMZ, Guest WiFi, Servidores), definir políticas de menor privilégio entre zonas, e associar perfis de segurança (IPS, Application Control, Web Filter, Antivirus) a todas as políticas activas.
Exemplo de política correcta para tráfego LAN -> WAN
- Source: LAN, Destination: WAN, Action: Accept
- Security Profiles: IPS (modo prevenção), Web Filter (categoria block), Application Control, Antivirus
- Log: All Sessions ou Security Events (não ‘Disable’)
- NAT: Enable (com IP de saída configurado)
IPS e Application Control: como configurar sem impactar produtividade
O IPS (Intrusion Prevention System) analisa o tráfego de rede em tempo real e bloqueia tráfego que corresponde a assinaturas de ataques conhecidos. É uma das funcionalidades mais importantes do FortiGate e uma das mais frequentemente mal configuradas.
O erro mais comum: activar IPS em modo ‘monitor’ (apenas alerta, não bloqueia) e nunca migrar para modo ‘prevenir’ porque ‘pode bloquear tráfego legítimo’. Este medo é compreensível mas resulta num IPS que não protege.
Abordagem correcta: activar IPS com perfil default em modo ‘monitor’ durante 2 semanas, analisar os alertas gerados, criar excepções para os falsos positivos identificados, e migrar para modo ‘prevenir’. Rever mensalmente os logs de IPS para identificar novos falsos positivos.
Application Control permite bloquear ou controlar aplicações específicas independentemente de porta ou protocolo. Configurações recomendadas para PMEs: bloquear aplicações P2P e torrents, bloquear proxies anónimos, controlar redes sociais se política da empresa o determinar, e bloquear aplicações de acesso remoto não autorizadas (TeamViewer pessoal, AnyDesk não gerido).
SSL Inspection: quando activar e como gerir os riscos
A maioria do tráfego web actual é encriptado (HTTPS). Sem SSL Inspection, o FortiGate não consegue inspecionar o conteúdo deste tráfego — malware pode ser descarregado em sessões HTTPS sem ser detectado.
SSL Inspection desencripta o tráfego HTTPS, inspecciona-o, e volta a encriptá-lo com um certificado do FortiGate. Para funcionar correctamente, o certificado CA do FortiGate tem de ser instalado em todos os dispositivos da rede (via GPO em ambientes Active Directory).
Considerações ao implementar SSL Inspection: alguns sites e aplicações não funcionam correctamente com SSL Inspection (banking online, aplicações que fazem certificate pinning). Criar exceções para estas categorias. Comunicar à equipa que o tráfego web está a ser inspeccionado — tem implicações de privacidade que devem ser abordadas na política de uso aceitável.
Segmentação de rede com VLANs no FortiGate
O FortiGate suporta configuração de VLANs e pode actuar como router entre VLANs com políticas de segurança entre elas. Esta capacidade deve ser usada para segmentar a rede em zonas com diferentes níveis de confiança.
Segmentação mínima recomendada para PMEs: VLAN de utilizadores (acesso a internet e serviços internos necessários), VLAN de servidores (acesso restrito, apenas portas e protocolos necessários), VLAN de gestão (equipamentos de rede, acesso muito restrito), e VLAN de convidados (acesso apenas a internet, isolada da rede interna).
Logs e alertas: o que monitorizar semanalmente
Um FortiGate sem monitorização de logs é cego. As funcionalidades de segurança podem estar a bloquear ataques constantemente sem que ninguém saiba — ou a falhar sem alertas. Configurar logs e alertas é tão importante quanto configurar as políticas.
- Activar FortiCloud ou FortiAnalyzer para retenção de logs centralizados
- Configurar alertas por email para eventos críticos: login falhado repetido, IPS com severidade alta, VPN com autenticação falhada
- Rever semanalmente: top bloqueados por IPS, top bloqueados por Web Filter, tentativas de acesso à firewall
- Configurar relatório mensal automático para gestão: disponibilidade, top ameaças, top utilizadores
Actualização de firmware: o erro que coloca tudo em risco
O Fortinet publica actualizações de firmware regularmente, incluindo patches de segurança para vulnerabilidades críticas. Em 2023 e 2024, várias vulnerabilidades críticas no FortiOS foram activamente exploradas por atacantes para comprometer firewalls — afectando especialmente equipamentos com firmware desactualizado.
Política de actualização recomendada: subscrever as notificações de segurança do Fortinet PSIRT, aplicar patches de segurança críticos em 7 dias, actualizações de funcionalidades em 30 a 60 dias. Testar sempre actualizações em ambiente de teste ou em janela de manutenção fora do horário de trabalho.
>>> A JL Suporte & Consultoria audita a configuração do seu FortiGate e identifica lacunas de segurança. Relatório gratuito entregue em 24 horas. Fale connosco.
