Preparado para

Consalud S.A.
Secure SD-WAN Preparado por
German Villavicencio Donoso

Reporte de evaluación Fortinet

Fecha del informe
20 julio 2022
Resumen Ejecutivo
Agrupamos los hallazgos clave de nuestra evaluación de Secure SD-WAN en el siguiente Resumen Ejecutivo. Aunque aquí se
mencionan los aspectos más destacados, más adelante se ofrece una vista más detallada de cada sección. Asegúrese de
revisar la página Acciones Recomendadas al final de este informe, para conocer las acciones que puede implementar su
organización para optimizar su red para el acceso directo a Internet (Direct Internet Access; DIA), proteger a su organización
de amenazas y, en última instancia, ahorrar dinero.

Aplicaciones
69 0.1 % 0.1 %
Aplicaciones Porcentaje de tráfico Porcentaje de tráfico
externas (DIA de TI en la nube de VoIP / audio /
potencial) video

El uso de aplicaciones debería tener una gran influencia en la arquitectura de su red. Conocer y entender el tipo de
aplicaciones que están utilizando y específicamente el rendimiento de las aplicaciones comerciales puede mejorar la
experiencia y la productividad del usuario.

Seguridad
26,953 0 3
Ataques de Malware y/o botnets Aplicaciones de alto
vulnerabilidad de descubiertos riesgo detectadas
aplicaciones
detectados

Mantener una completa estructura de seguridad en el borde de la WAN es fundamental en cualquier implementación de SD-
WAN donde se aprovechan los circuitos públicos de Internet. Tenga en cuenta que las amenazas observadas en este informe
han atravesado de manera efectiva su puerta de enlace (gateway) de seguridad de red existente, por lo que estas amenazas
deben considerarse activas y con la capacidad de generar un mayor riesgo (como una violación de datos).

Utilización
120.9 GB 0.3 % 65.3%
Ancho de banda total Porcentaje de tráfico Porcentaje de tráfico
utilizado no comercial cifrado SSL

Además de las aplicaciones individuales, entender la utilización general puede ayudar con la planificación de la capacidad, la
selección de circuitos y la optimización del tráfico de red a lo largo del tiempo. Este conocimiento también puede ayudar a
reducir los costos operativos asociados con el tráfico de retorno (backhauling) a través de enlaces WAN más costosos (como
el MPLS).

Cyber Threat Assessment Report 2

Aplicaciones
Estadísticas 69 aplicaciones externas (DIA potencial)
rápidas 67.4% porcentaje de tráfico externo
0.1% porcentaje de tráfico de TI en la
nube
32.6%
32.6% Interno (39.5 GB)
67.4% Externo (81.5 GB)
67.4%
Ruptura de tráfico externo
Al categorizar los hosts internos que se comunican con
servidores externos, puede tener una idea general de los
requerimientos de ancho de banda y cómo le gustaría asignar
prioridades para las aplicaciones DIA dentro de una
implementación de SD-WAN. Las aplicaciones comerciales que
se comunican directamente con Internet podrían enrutarse a
través de un circuito de banda ancha en lugar de regresar al
centro de datos a través de un enlace dedicado como MPLS.
Esto puede generar ahorros significativos sin mencionar un
mayor rendimiento y una menor latencia. Las aplicaciones de
red y no comerciales que se comunican externamente pueden
priorizarse y enrutarse de manera similar.
Cyber Threat Assessment Report
0.1% porcentaje de tráfico de VoIP / audio / video
LLMNR es la aplicación/protocolo externo más utilizado
Network.Service es la principal categoría de
aplicaciones
Tráfico interno vs. externo
Antes de configurar una arquitectura SD-WAN, es útil conocer y
entender los flujos de tráfico de alto nivel. Al examinar las
aplicaciones que se comunican externamente, puede
comenzar a calcular los costos asociados con los enlaces
WAN (como las líneas MPLS que son generalmente más caras).
El tráfico de red con una dirección de origen o de destino a
una dirección IP externa generalmente se puede considerar
tráfico externo, que es como hemos calculado el gráfico de la
izquierda. El tráfico externo puede beneficiarse enormemente
de la utilización de circuitos de banda ancha para Acceso
directo a Internet (Direct Internet Access; DIA).
2.4%
0.2%
97.3% De negocio (79.2 GB)
0.2% No de negocio (203.6 MB)
2.4% Servicio de red (2 GB)
97.3%
3
Aplicaciones
Aplicaciones de negocio potencialmente DIA
Este gráfico ilustra un desglose de aplicaciones comerciales importantes específicas para su red clasificadas por ancho de
banda y agrupadas de acuerdo a las cinco categorías de aplicaciones principales. No incluye aplicaciones que no son de
negocios (como YouTube, Spotify, etc.) o de servicio de red (como DNS, NTP, etc.) que podrían afectar el ancho de banda
general. En cambio, se trata de aplicaciones cuyo rendimiento se puede mejorar aprovechando las estrategias de dirección
de aplicaciones SD-WAN y los acuerdos de nivel de servicio (SLA) para elegir de forma dinámica su ruta óptima a Internet.

MS.Windows.Update (6.9 GB)

Microsoft.Office.Online (3.5 GB)

Update (7.2 GB) Root.Certificate.URL (369.3 MB)

Adobe.Update (3.8 MB)
Microsoft.Office.Update (274.3 KB)

Microsoft.Portal (2.3 GB)

Microsoft.SharePoint (1023.4 MB)

Microsoft.Office.365.Portal (775.2 MB)

External (19.3 GB)
Microsoft.Teams (681.3 MB)
Microsoft.Authentication (382.9 MB)
Microsoft.CDN (93.5 MB)
Collaboration (8.8 GB) Collaboration Others (78.6 MB)
Intel.Services (1 GB)

Adobe.Web (1 GB)

Microsoft.Outlook.Office.365 (699.8 MB)

Google.Services (290.5 MB)
Google.Accounts (11.1 MB)
Google.Ads (3.2 MB)
Microsoft.Store (1.2 MB)
Google.Play (978.3 KB)
General.Interest (2.4 GB) General.Interest Others (1 MB)
Microsoft.Outlook (23.2 MB)
Gmail (1.4 MB)
Mailchimp (201.5 KB)
Microsoft.Outlook.Web.App (15 KB)
Email (724.6 MB) OneDrive (207.4 MB)
Slideshare (995.9 KB)
Storage.Backup (208.8 MB) Acrobat.Cloud (371.6 KB)
Google.Drive (66.1 KB)

Cyber Threat Assessment Report 4

Aplicaciones
Principales aplicaciones comerciales Principales aplicaciones de TI en la nube

MS.Windows.Update 6.9 GB
Amazon.AWS 66.6 MB
Microsoft.Office.Online 3.5 GB
Microsoft.Portal 2.3 GB Amazon.CloudFront 37.3 MB
Intel.Services 1 GB
Adobe.Web 1 GB Microsoft.Azure 17.1 MB

Microsoft.SharePoint 1023.4 MB
Godaddy 113.7 KB
Others 3.7 GB

0 2.8 GB 5.6 GB 8.4 GB 0 19.1 MB 38.1 MB 76.3 MB

Principales aplicaciones de almacenamiento Principales aplicaciones de colaboración

de respaldo
Microsoft.Office.Online 3.5 GB
OneDrive 207.4 MB Microsoft.Portal 2.3 GB
Microsoft.SharePoint 1023.4 MB
Slideshare 995.9 KB Microsoft.Office.365.Portal 775.2 MB
Microsoft.Teams 681.3 MB
Acrobat.Cloud 371.6 KB
Microsoft.Authentication 382.9 MB
Others 173.5 MB
Google.Drive 66.1 KB
0 1.4 GB 2.8 GB 4.2 GB
0 76.3 MB 152.6 MB 228.9 MB

Principales aplicaciones de VoIP / Audio / Principales aplicaciones de redes sociales

Video
Facebook 7.3 MB
SIP 102.7 MB
Twitter 5.5 MB
TikTok 9.6 MB
RTP LinkedIn 5.1 MB
4.9 MB
YouTube 1.5 MB Instagram 1 MB

RTCP 242.1 KB Snapchat 71.7 KB

Vimeo 31.6 KB Pinterest 26.4 KB
Others 2 KB
0 2.9 MB 5.7 MB 8.6 MB
0 38.1 MB 76.3 MB 114.4 MB

Cyber Threat Assessment Report 5

Seguridad
Estadísticas 26,953 ataques de vulnerabilidad de 0 sitios web de phishing (suplantación de
rápidas aplicaciones detectados identidad) detectados
0 botnet conocido detectado 0 malware conocido detectado
3 sitios web maliciosos detectados 92 archivos analizados por sandbox
3 aplicación de alto riesgo detectada 0 archivos sospechosos detectados por sandbox

Aplicaciones de alto riesgo

El equipo de investigación de FortiGuard asigna una calificación de riesgo de 1 a 5 a una aplicación según las características
de comportamiento de la aplicación. La clasificación de riesgo puede ayudar a los administradores a identificar rápidamente
las aplicaciones de alto riesgo y tomar una mejor decisión sobre la política de control de aplicaciones. A las siguientes
aplicaciones se les asignó una calificación de riesgo de 4 o más.
# Riesgo Aplicación Categoría Tecnología Usuarios Ancho de banda Sesiones
1 DameWare Remote.Access Client-Server 7 33.54 MB 13
2 Telnet Remote.Access Client-Server 1 93 B 1
3 ISL.Light Remote.Access Client-Server 1 11.46 KB 1

Principales vulnerabilidades de aplicación detectadas

Las ganancias de rendimiento y los ahorros en costos al aprovechar los circuitos públicos de Internet en una implementación
de SD-WAN deben protegerse mediante una estructura de seguridad completa en el borde de la WAN. Las vulnerabilidades
de las aplicaciones en la sucursal se pueden usar (explotar) para comprometer la seguridad de toda su red. El equipo de
investigación de FortiGuard analiza estas vulnerabilidades y luego desarrolla firmas para detectarlas. FortiGuard actualmente
aprovecha una base de datos de más de 5,800 amenazas de aplicaciones conocidas para detectar ataques que logran evadir
a los sistemas de firewall tradicionales. Para obtener más información sobre las vulnerabilidades de las aplicaciones, consulte
FortiGuard en: http://www.fortiguard.com/intrusion.
# Riesgo Nombre de la amenaza Tipo Víctimas Fuentes Cuenta
1 TFN.2k.Icmp Malware 5 25 578
2 Traceroute Information Disclosure 101 126 24,882
3 NBSS.Invalid.Fragment Anomaly 3 9 46
4 NBSS.Zero.Sized.PDU DoS 2 7 24
5 TCP.Overlapping.Fragments Buffer Errors 209 21 739
6 SSL.Anonymous.Ciphers.Negotiation Other 136 16 634
7 TCP.Out.Of.Range.Timestamp DoS 2 1 34
8 NBSS.Invalid.PDU.Size Anomaly 3 7 14

Cyber Threat Assessment Report 6

Seguridad
Principales Malware, Botnets y Spyware/Adware detectados
Son muchos los canales que utilizan los ciberdelincuentes para distribuir malware. Los métodos más comunes motivan a los
usuarios a abrir un archivo infectado que llega como adjunto en un correo electrónico, descargar un archivo infectado o hacer
clic en un enlace que conduce a un sitio malicioso. Durante la evaluación de seguridad, Fortinet identificó una serie de
eventos relacionados con malware y botnet que indican descargas de archivos maliciosos o conexiones a sitios de control y
comando de botnet.
No se han encontrado registros.

Dispositivos y hosts en riesgo

Basándonos en los tipos de actividad exhibidos por un host individual, podemos estimar la confiabilidad de cada cliente
individual. La reputación de este cliente se basa en factores clave como los sitios web navegados, las aplicaciones utilizadas
y los destinos entrantes/salientes utilizados. En última instancia, podemos crear una puntuación general de amenazas al
observar la actividad agrupada utilizada por cada host individual.

VDMAR-44062 26,035
VALPO-44184 22,770
VDMAR-16786 21,090
VDMAR-16531 20,580
VDMAR-16751 5,730
172.40.0.11 3,200
VDMAR-53925 2,180
10.8.1.66 860
172.20.9.47 860
172.20.9.53 805

0 10 K 20 K 30 K

Cyber Threat Assessment Report 7

Seguridad
Malware desconocido
Las amenazas son cada vez más sofisticadas y pueden enmascarar su malicia y eludir la seguridad tradicional antimalware.
Los motores antimalware convencionales son, en el tiempo concedido y con la certeza requerida, a menudo incapaces de
clasificar ciertas cargas útiles como buenas o malas; de hecho, se desconoce su intención. El sandboxing ayuda a resolver
este problema: atrae archivos desconocidos para que se ejecuten en un entorno protegido, observa su comportamiento
resultante y clasifica su riesgo en función de ese comportamiento. Con esta funcionalidad habilitada para su evaluación,
hemos examinado más de cerca los archivos que pasan por su red.
No se han encontrado registros.

Archivos sospechosos y maliciosos

No se han encontrado registros.

Cyber Threat Assessment Report 8

Utilización
Estadísticas 120.9 GB ancho de banda total utilizado
rápidas 0.3% porcentaje de tráfico no comercial
65.3% porcentaje de tráfico cifrado SSL
7pm - 8pm es el pico de uso diario más alto
10.5.4.24 es la fuente de ancho de banda de
sesión más alta
10.5.4.41 es la fuente de recuento de sesiones
más alta
18.6 tasa de registro promedio por segundo
1.1% uso promedio de CPU de FortiGate
27.7% uso promedio de memoria de FortiGate

Ubicación de fuentes principales

Al observar el tráfico IP de origen, podemos determinar el país de origen de cualquier solicitud en particular. Ciertos botnets,
funciones de comando y control e incluso el acceso remoto, pueden tener una gran cantidad de sesiones y ser un indicador
de ataques dirigidos o amenazas persistentes de los estados nación. Este gráfico es representativo del tráfico basado en el
país; la actividad de países de origen específicos puede ser anómala y justificar una mayor investigación.
# País Ancho de banda
1 United States 1,018.79 MB

Principales fuentes / destinos que consumen ancho de banda

Una de las formas más reveladoras de analizar el ancho de banda es observar los destinos y las fuentes que generan la
mayor parte del tráfico. Los sitios de destino comunes (por ejemplo, sitios web externos), como los de actualizaciones de
firmware / sistema operativo, se pueden limitar para dar prioridad al tráfico crítico del negocio. Internamente, los hosts con
mucho tráfico se pueden optimizar mediante la configuración del tráfico o de las políticas de uso corporativo.

3.tlu.dl.delivery.mp.microsoft.com 2.3 GB
prod-streaming-video-msn-com.akamaized.net 1.7 GB
4.tlu.dl.delivery.mp.microsoft.com 1.5 GB
res.cdn.office.net 1.5 GB
release.consalud.net 1.3 GB
statics.teams.cdn.office.net 1.3 GB
2.tlu.dl.delivery.mp.microsoft.com 1.2 GB
www.consalud.cl 1.2 GB
betaportal.consalud.net 1.1 GB
dsadata.intel.com 1 GB

0 667.6 MB 1.3 GB 2 GB 2.6 GB

Cyber Threat Assessment Report 9

Utilización
Ancho de banda promedio por hora
Al observar el uso del ancho de banda cuando se distribuye en un día promedio, los administradores pueden comprender
mejor la conexión de su ISP organizacional y los requerimientos de velocidad de la interfaz. El ancho de banda también se
puede optimizar en función de la aplicación (mediante desaceleración), se puede dar prioridad a usuarios específicos durante
las horas pico de tráfico y las actualizaciones se pueden reprogramar fuera del horario laboral.

12a 1a 2a 3a 4a 5a 6a 7a 8a 9a 10a 11a 12p 1p 2p 3p 4p 5p 6p 7p 8p 9p 10p 11p

Sun
Mon
Tue
Wed
Thu
Fri
Sat

<1.8 GB 1.8 GB-3.6 GB 3.6 GB-5.4 GB 5.4 GB-7.2 GB >7.2 GB

Tasa de registro promedio por hora

Comprender las tasas de registro promedio es extremadamente beneficioso al dimensionar un entorno de seguridad desde
el punto de vista del rendimiento. Las tasas de registro promedio más altas aplicadas a horas específicas generalmente
indican un uso y rendimiento de tráfico pico. El cálculo de las tasas de registro en toda la empresa también puede ayudar a la
hora de dimensionar dispositivos de análisis / registro ascendentes como FortiAnalyzer. Tenga en cuenta que las tasas de
registro que se presentan aquí tienen todas las funciones de registro de FortiGate habilitadas e incluirán todos los tipos de
registros (tráfico, antivirus, aplicaciones, IPS, eventos web y del sistema).
32

28

24

20

16

12

8
m
1 am
2 am
3 am
4 am
5 am
6 am
7a m
8 am
9 am

m
m
m
1pm

m
m
m
m
m
7p m

m
m

m
m
1 2a

10a
11a
1 2p

2p
3p
4p
5p
6p

8p
9p
10p
11p

Cyber Threat Assessment Report 10

Utilización
Uso promedio del CPU de FortiGate por hora
La utilización del CPU de un FortiGate se usa a menudo para dimensionar correctamente una solución final. Al observar un
desglose por hora de las estadísticas de utilización del CPU, es fácil tener una buena idea de cómo funcionará FortiGates en
la red de destino. Normalmente, con mayor rendimiento, se generan más registros. Si se mantiene el 75% o más de utilización
durante un largo período, es posible que se requiera un modelo más potente o una arquitectura revisada para la
implementación final.
100%

75%

50%

25%

0%
m
1 am
2 am
3 am
4 am
5 am
6 am
7a m
8 am
9 am

m
m
m
1pm

m
m
m
m
m
7p m

m
m

m
m
1 2a

10a
11a
1 2p

2p
3p
4p
5p
6p

8p
9p
10p
11p
Uso promedio de la memoria de FortiGate por hora
Del mismo modo, el uso de la memoria a lo largo del tiempo es un indicador de la sostenibilidad de FortiGate en el entorno
de red objetivo. El uso de la memoria puede permanecer alto incluso cuando el rendimiento es relativamente bajo debido a la
actividad de registro (o actividad de registro en cola) a lo largo del tiempo.
100%

75%

50%

25%

0%
m
1 am
2 am
3 am
4 am
5 am
6 am
7a m
8 am
9 am

m
m
m
1pm

m
m
m
m
m
7p m

m
m

m
m
1 2a

10a
11a
1 2p

2p
3p
4p
5p
6p

8p
9p
10p
11p

Cyber Threat Assessment Report 11

Recomendaciones
1. Aproveche el acceso directo a Internet para el tráfico externo
Aproximadamente 67.4% de todo el tráfico organizativo se clasificó como externo. Si aún no lo ha hecho, evalúe el
enrutamiento del tráfico externo de forma remota frente al retorno del tráfico (backhauling) a través de una puerta de
enlace centralizada. Esto optimizará los flujos de tráfico y reducirá los costos operativos generales.

2. Genere acuerdos de nivel de servicio (SLAs) para aplicaciones clave

Se detectó un número significativo de aplicaciones que se comunican con servidores externos (por ejemplo,
basados en la nube). Al diseñar una implementación de SD-WAN, asegúrese de que estas aplicaciones seleccionen
enlaces WAN que cumplan con los criterios de rendimiento (latencia, fluctuación y pérdida de paquetes).

3. Inspeccione el tráfico cifrado

Una parte importante del tráfico de la red de su organización está cifrada. Considere la implementación de la
inspección SSL para garantizar la visibilidad total de la aplicación y la inspección del tráfico.

Cyber Threat Assessment Report 12