Em novembro de 2024, grupos de ameaça começaram a varrer a internet em busca de FortiGates com a interface de gestão exposta. Encontraram dezenas de milhares. Exploraram a CVE-2024-55591 — uma falha crítica de bypass de autenticação com CVSS 9.6 — e obtiveram acesso de superadministrador sem precisar de senha, criando usuários privilegiados, modificando políticas de firewall e estabelecendo acesso persistente via SSL-VPN. A Fortinet confirmou a exploração ativa. A CISA emitiu alerta. E em abril de 2025, a CISA publicou um novo alerta: os mesmos atacantes haviam deixado arquivos maliciosos que persistiam mesmo após o patch, exigindo atualização para versões específicas do FortiOS e reset completo de credenciais.
O FortiGate é um dos firewalls mais robustos do mercado. Mas um NGFW poderoso com configuração padrão ou mal-aplicada oferece proteção muito inferior ao seu potencial — e pode ter a própria interface de gestão transformada em vetor de ataque. Hardening não é opcional. Este checklist cobre os 7 blocos essenciais de configuração baseados na documentação oficial de Best Practices do FortiOS 7.6, nas diretrizes do CIS Benchmark para Fortinet e nos padrões de exploração documentados em CVEs ativos. Cada bloco começa com a ameaça real que ele mitiga.
Por que hardening não é “deixar como está”
A Fortinet define hardening como o processo de “reduzir o risco de segurança eliminando potenciais vetores de ataque e encolhendo a superfície de ataque do sistema”. O ponto crítico dessa definição é que a superfície de ataque de um FortiGate recém-instalado é maior do que deveria ser para produção. Existem protocolos de acesso habilitados por padrão que não precisam estar ativos. Portas de administração abertas em interfaces que não deveriam tê-las. Criptografias fracas aceitas por compatibilidade legada. E funcionalidades como a SSL-VPN que, se mal configuradas, transformam o próprio dispositivo de segurança em ponto de entrada para invasores.
O histórico de CVEs críticos do FortiOS entre 2022 e 2026 é uma evidência direta de que configuração importa tanto quanto a versão de firmware. A CVE-2022-42475, a CVE-2023-27997, a CVE-2024-21762 e a CVE-2024-55591 — todas exploradas em ataques reais — tinham em comum um fator: eram mais fáceis de explorar em dispositivos sem hardening adequado, particularmente aqueles com interfaces de administração acessíveis pela internet ou SSL-VPN sem MFA.
O checklist abaixo não é uma lista exaustiva de todas as opções de configuração do FortiOS — é uma priorização dos itens de maior impacto de segurança para empresas de médio porte operando o FortiGate como firewall de borda corporativa.
Bloco 1 — Acesso Administrativo: feche a porta principal antes de tudo
A ameaça que este bloco mitiga: A CVE-2024-55591 (CVSS 9.6) explorou FortiGates com a interface de gestão HTTP/HTTPS exposta diretamente à internet, permitindo que atacantes remotos obtivessem acesso de superadministrador via requisições manipuladas ao módulo websocket — sem nenhuma credencial. A exploração ativa começou em novembro de 2024 e seguiu um ciclo de quatro fases: varredura, reconhecimento, configuração de SSL-VPN e movimentação lateral.
✅ Nunca expor a interface de gestão à internet. A interface de administração do FortiGate — GUI web e CLI via SSH — não deve ser acessível por nenhuma interface WAN diretamente da internet. Isso é inegociável. O acesso remoto à administração deve ser feito exclusivamente via VPN IPSec estabelecida previamente.
✅ Restringir acesso administrativo a IPs confiáveis (Trusted Hosts). Para cada perfil de administrador, configure os Trusted Hosts — os endereços IP ou subnets a partir dos quais aquele administrador pode fazer login. Mesmo que a interface esteja acessível internamente, um invasor que obteve acesso à rede interna não conseguirá usar credenciais administrativas a partir de um host não listado. Configuração via GUI em System > Administrators > [perfil] > Restrict login to trusted hosts.
✅ Desabilitar HTTP, Telnet e PING nas interfaces externas. Cada protocolo de acesso habilitado em uma interface é uma superfície de ataque. Para interfaces WAN e DMZ, desabilite HTTP (use apenas HTTPS), desabilite Telnet (use apenas SSH) e desabilite PING — a menos que seja operacionalmente necessário para monitoramento específico. Mantenha apenas o mínimo de protocolos necessários em cada interface.
✅ Alterar portas padrão de administração. Manter HTTPS na porta 443 e SSH na porta 22 facilita a detecção e o ataque automatizado por scanners. Altere para portas não-padrão (por exemplo, 4343 para HTTPS e 2222 para SSH). É segurança por obscuridade — não elimina a ameaça, mas reduz significativamente o volume de tentativas automatizadas.
✅ Configurar Local-In Policies para controle granular de acesso administrativo. As Local-In Policies controlam tráfego destinado ao próprio FortiGate — não tráfego passando por ele. Use Local-In Policies para definir explicitamente quais IPs podem acessar a GUI via HTTPS, quais podem usar SSH, e bloqueie todo o resto. A partir do FortiOS 7.6.0, as Local-In Policies podem ser configuradas diretamente pela GUI em Policy & Objects > Local-In Policy.
✅ Habilitar MFA para todos os administradores. Cada FortiGate registrado inclui dois FortiTokens gratuitos. Use-os. MFA elimina o vetor de comprometimento por força bruta, credential stuffing e phishing de credenciais administrativas. O FortiOS suporta FortiToken (hardware e mobile), autenticação via e-mail e integração com FortiAuthenticator para ambientes com múltiplos administradores.
✅ Definir política de senha forte e timeout de sessão. Configure senha mínima de 12 caracteres com complexidade (maiúsculas, minúsculas, números, caracteres especiais). Defina timeout de sessão inativo — recomendado entre 5 e 15 minutos para sessões administrativas. Configure também o lockout após tentativas de login com falha:
config system global
set admin-lockout-threshold 3
set admin-lockout-duration 300
set admintimeout 10
endBloco 2 — Firmware e Patches: a janela de exploração é medida em dias
A ameaça que este bloco mitiga: A CISA emitiu alerta em abril de 2025 sobre um ator de ameaça que usou exploração das CVEs 2024-21762, 2023-27997 e 2022-42475 — todas previamente corrigidas — para criar arquivos maliciosos persistentes que permaneciam mesmo após o patch. A solução exigiu atualização para FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 ou 6.4.16 especificamente, além de revisão completa de configuração e reset de credenciais. A janela típica entre divulgação pública de uma vulnerabilidade e início de exploração ativa em firewalls é de dias a semanas.
✅ Manter firmware na versão de patch mais recente da branch em uso. A Fortinet recomenda sempre operar na última versão de patch da branch atual — ela contém as correções de segurança e bugs mais recentes. Leia sempre as release notes antes de atualizar para identificar known issues que podem afetar seu ambiente específico. Verifique o portal PSIRT da Fortinet regularmente para novos advisories.
✅ Habilitar atualização automática de firmware para FortiGates standalone. O FortiOS permite habilitar atualizações automáticas de firmware — restrito a patches de menor versão (por exemplo, de 7.6.1 para 7.6.2, nunca de 7.6 para 7.8). Isso garante que correções de segurança críticas sejam aplicadas sem depender de intervenção manual. Para ambientes com FortiManager, use o gerenciamento centralizado de firmware com janelas de manutenção definidas.
✅ Verificar integridade do firmware após atualização. Após cada atualização, verifique que o FortiGate está rodando a versão correta e que a configuração não foi alterada de forma inesperada. Em dispositivos que possam ter sido comprometidos por CVEs de leitura de arquivo de sistema (como as mencionadas pela CISA), revise usuários administrativos existentes, políticas de firewall e configurações de SSL-VPN antes de considerar o dispositivo limpo.
✅ Habilitar virtual patching como mitigação temporária. Quando não é possível aplicar um patch imediatamente, o FortiOS 7.6 oferece virtual patching via Local-In Policies — permitindo bloquear tentativas de exploração de vulnerabilidades conhecidas em nível de rede enquanto o patch formal está pendente. Esta é uma mitigação temporária, não substituta da atualização.
✅ Não operar firmware em End of Support. Versões de FortiOS fora do ciclo de suporte não recebem patches de segurança. Verifique o Product Life Cycle > Software na documentação Fortinet para identificar a data de End of Support da versão em uso e planeje a atualização antes dessa data — não depois.
Bloco 3 — SSL-VPN: o vetor mais explorado dos últimos quatro anos
A ameaça que este bloco mitiga: A SSL-VPN do FortiGate foi alvo dos CVEs mais críticos do ecossistema Fortinet entre 2022 e 2025: CVE-2022-42475 (RCE sem autenticação), CVE-2023-27997 (heap overflow via SSL-VPN), CVE-2024-21762 (out-of-bounds write via sslvpnd) e CVE-2024-55591 (autenticação bypass via websocket). Todos foram explorados ativamente antes ou logo após a divulgação pública. A SSL-VPN exposta sem controles adequados é, historicamente, o caminho mais rápido para comprometimento de um FortiGate.
✅ Se não usa SSL-VPN, desabilite ou remova a interface de escuta. Por padrão, a configuração da SSL-VPN existe mas não escuta em nenhuma interface até ser configurada. Se a sua empresa não usa SSL-VPN — usando IPSec VPN ou ZTNA em vez disso — verifique que não há interface de escuta configurada em VPN > SSL-VPN Settings e que não existem políticas de firewall referenciando ssl.root.
✅ Alterar a porta padrão da SSL-VPN (443 ou 10443). Alterar para uma porta não-padrão alta não elimina o risco, mas reduz o volume de tentativas automatizadas — a maioria dos scanners verifica as portas padrão primeiro. Combine isso com as outras medidas deste bloco para criar camadas de proteção.
✅ Habilitar MFA para todos os usuários de VPN. Qualquer forma de MFA é melhor que nenhuma. Com MFA ativo, credenciais comprometidas via phishing ou força bruta não são suficientes para estabelecer acesso VPN. O FortiGate inclui dois FortiTokens gratuitos por dispositivo registrado — use-os para os usuários mais privilegiados se não tiver tokens para todos.
✅ Restringir acesso SSL-VPN por país de origem (Geo-IP filtering). Se seus usuários de VPN estão no Brasil, não há razão para aceitar conexões SSL-VPN originadas da Rússia, China ou outros países. Configure políticas de firewall para bloquear geograficamente o acesso à interface SSL-VPN de países onde você não tem usuários legítimos. No FortiOS, use Address Objects do tipo Geography e aplique em uma política de Deny antes da regra de permitir SSL-VPN.
✅ Desabilitar TLS 1.0 e 1.1 na SSL-VPN. O FortiOS por padrão pode aceitar TLS 1.1 por compatibilidade legada. Desabilite versões abaixo de TLS 1.2 — e prefira TLS 1.3 quando possível. Via CLI:
config vpn ssl settings
set tlsv1-0 disable
set tlsv1-1 disable
set tlsv1-2 enable
set tlsv1-3 enable
end✅ Configurar DoS policies para bloquear força bruta na SSL-VPN. Políticas de DoS específicas para a interface SSL-VPN detectam e bloqueiam padrões de força bruta e scanning de porta antes que atinjam o daemon da VPN. O FortiGate desconecta conexões inativas após 300 segundos por padrão — mantenha esse comportamento e considere limitar o número de conexões simultâneas por IP de origem.
✅ Considerar migração de SSL-VPN para IPSec ou ZTNA. O histórico de CVEs críticos na SSL-VPN do FortiGate não tem paralelo no daemon IPSec da mesma plataforma. Para ambientes novos ou em processo de revisão de arquitetura, considere migrar acesso remoto para IPSec VPN com FortiClient ou para ZTNA — que tem o benefício adicional de implementar o modelo Zero Trust com verificação de postura de dispositivo a cada acesso.
Bloco 4 — Políticas de Firewall: fechar o que está aberto demais
A ameaça que este bloco mitiga: Regras permissivas — allow any from any to any ou equivalentes — são o erro de configuração mais comum encontrado em auditorias de FortiGate. Elas deixam o firewall funcionando como roteador, não como NGFW, anulando o valor do investimento em licenças FortiGuard e nas funcionalidades avançadas do equipamento.
✅ Substituir regras permissivas por políticas de identidade. Cada regra de firewall deve especificar: quem (usuário ou grupo de usuários), de onde (subnet ou zona de origem), para onde (destino específico), com quê (aplicação ou serviço específico) e quando (schedule, se aplicável). Regras do tipo “allow any” devem ser eliminadas progressivamente e substituídas por regras com escopo definido.
✅ Aplicar o princípio de acesso mínimo necessário (Least Privilege). Um usuário de contabilidade não precisa de acesso à rede de servidores de desenvolvimento. A equipe de atendimento não precisa acessar sistemas de produção. Mapeie os fluxos de tráfego legítimos e crie políticas que permitam apenas o necessário — bloqueando explicitamente o restante com uma regra de Deny final.
✅ Ativar perfis de segurança (Security Profiles) nas políticas relevantes. Uma política de firewall sem um Security Profile associado permite o tráfego mas não inspeciona o conteúdo — ela é funcionalmente equivalente a um firewall stateful básico. Para aproveitar as licenças FortiGuard, cada política de tráfego sainte à internet e tráfego entrante de zonas menos confiáveis deve ter um Security Profile com IPS, Antivírus e Controle de Aplicações habilitados.
✅ Habilitar inspeção SSL/TLS nas políticas de acesso à internet. Mais de 90% do tráfego de rede é criptografado. Sem inspeção SSL ativa, o IPS e o antivírus do FortiGate são cegos para esse tráfego. Configure um perfil de SSL Inspection (deep inspection para tráfego sainte de usuários, certificate inspection para tráfego sensível) e aplique nas políticas de acesso à internet. Esta é a configuração omitida com mais frequência e que mais reduz o valor efetivo do equipamento.
✅ Usar NAT mode para tráfego cross-zone. Para tráfego originado em zonas menos seguras acessando zonas mais seguras, use NAT mode para traduzir endereços. Isso oculta a topologia interna de possíveis invasores e facilita o monitoramento, pois o tráfego aparece com o IP traduzido nos logs — identificando a origem com mais clareza.
✅ Revisar e remover políticas obsoletas regularmente. Regras de firewall acumulam histórico: liberações temporárias que nunca foram removidas, acesso para sistemas que foram descomissionados, políticas de projetos encerrados. Realize auditoria trimestral das políticas existentes, identificando regras sem hit count nos últimos 90 dias — candidatas à remoção após validação com as áreas de negócio.
Bloco 5 — Criptografia e Protocolos: force o que é forte, elimine o que é fraco
A ameaça que este bloco mitiga: Criptografia fraca ou algoritmos legados criam vulnerabilidade a ataques de downgrade, interceptação man-in-the-middle e decifração de tráfego capturado. O FortiOS habilita strong-crypto por padrão nas versões recentes — mas ambientes que vêm de versões antigas ou que foram configurados com compatibilidade legada podem ter essa proteção desativada.
✅ Verificar e habilitar strong-crypto globalmente. O strong-crypto no FortiOS força o uso de algoritmos de criptografia robustos em todas as conexões de gestão e serviços internos. Deve estar habilitado:
config system global
set strong-crypto enable
set ssl-static-key-ciphers disable
set dh-params 8192
end✅ Usar apenas HTTPS para acesso à GUI (desabilitar HTTP). O protocolo HTTP transmite credenciais e sessões de administração em texto claro. Nunca deve estar habilitado em nenhuma interface de produção. Verifique cada interface e desabilite HTTP onde estiver ativo.
✅ Usar SSH em vez de Telnet. Telnet transmite tudo em texto claro, incluindo senhas. Está desabilitado por padrão no FortiGate — mantenha assim. Se SSH for necessário, use-o com autenticação por chave pública em vez de senha quando possível, e restrinja o acesso aos Trusted Hosts configurados no perfil do administrador.
✅ Configurar VPN IPSec com AES-256 e autenticação por certificado. Para VPNs site-to-site, use AES-256 como algoritmo de criptografia e SHA-256 ou superior para hash. Substitua pre-shared keys por certificados quando possível — chaves compartilhadas são mais suscetíveis a comprometimento em ambientes com rotatividade de equipe. Para acesso remoto de usuários, combine IPSec com FortiClient e MFA.
✅ Desabilitar instalação automática de firmware e configuração via USB. Por padrão, essas funções estão desabilitadas no FortiGate — mas verifique que permanecem assim. Acesso físico ao dispositivo com USB permite carregar firmware alternativo ou configurações não autorizadas. Confirme com o CLI:
config system auto-install
set auto-install-config disable
set auto-install-image disable
endBloco 6 — Logging, Alertas e Visibilidade: se não registra, não existe
A ameaça que este bloco mitiga: Um dispositivo sem logging adequado é uma caixa preta. Ataques de dwell time — onde um invasor permanece na rede por semanas ou meses antes de agir — só são detectáveis através da análise de logs históricos. Sem logs centralizados e retenção adequada, a empresa não consegue identificar quando o comprometimento começou, quais sistemas foram afetados nem qual é o escopo real do incidente.
✅ Habilitar logging para todos os eventos relevantes. Por padrão, o FortiGate pode não estar logando todos os tipos de evento. Configure logging para: eventos de sistema (login, logout, mudanças de configuração), tentativas de login com falha, tráfego bloqueado por políticas de firewall, eventos de IPS e antivírus, e atividades de VPN. Em Log & Report > Log Settings, verifique que todos os níveis relevantes estão ativos.
✅ Configurar logging centralizado no FortiAnalyzer ou syslog externo. Logs armazenados apenas localmente no FortiGate têm retenção limitada e não são suficientes para conformidade ou análise forense. Configure envio em tempo real para o FortiAnalyzer ou, no mínimo, para um servidor syslog externo. A configuração básica via CLI:
config log fortianalyzer setting
set status enable
set server "[IP do FortiAnalyzer]"
set upload-option realtime
set reliable enable
end
config log fortianalyzer filter
set severity information
set forward-traffic enable
set local-traffic enable
set sniffer-traffic disable
end✅ Configurar alertas para eventos críticos. O FortiGate permite configurar alertas por e-mail ou webhook para eventos específicos — tentativas de login administrativo com falha repetidas, detecção de malware, alertas de IPS de alta severidade, mudanças de política fora do horário comercial. Configure pelo menos os eventos mais críticos para notificação imediata da equipe de segurança.
✅ Habilitar o Security Rating e revisar periodicamente. O Security Rating é um recurso nativo do FortiOS que avalia automaticamente a postura de segurança do FortiGate contra as melhores práticas da Fortinet. Acesse em Security Fabric > Security Rating. O relatório aponta lacunas de configuração com nível de risco e link direto para a configuração relevante — é o ponto de partida mais prático para identificar desvios de hardening sem auditar manualmente cada configuração.
✅ Registrar mudanças de configuração com trilha de auditoria. Toda alteração de configuração no FortiGate deve ser registrada com identificação do administrador responsável. Com o FortiManager, esse controle é nativo e inclui aprovação de mudanças e histórico de versões de política. Em ambientes com gestão direta no FortiGate, verifique que os logs de evento de sistema estão habilitados e retidos por período suficiente.
Bloco 7 — Serviços, Segmentação e Proteção de Superfície
A ameaça que este bloco mitiga: Cada serviço habilitado desnecessariamente — SNMP, FTP, HTTP admin, UPnP — é um vetor potencial de ataque. A segmentação insuficiente permite que um dispositivo comprometido se mova lateralmente pela rede sem obstáculos. Ambientes sem segmentação adequada amplificam o impacto de qualquer comprometimento.
✅ Desabilitar serviços não utilizados. Em System > Feature Visibility, desabilite funcionalidades que não estão em uso no ambiente. Serviços que geralmente podem ser desabilitados em ambientes corporativos comuns: Endpoint Control (se não usa FortiClient integrado), WAN Opt & Cache, Voice over IP, e quaisquer serviços de protocolo legado. Cada serviço desabilitado reduz a superfície de ataque.
✅ Configurar segmentação de rede com zonas distintas. A rede corporativa não deve ser plana. Crie zonas com políticas de acesso explícitas entre elas: zona de usuários finais, zona de servidores, zona de gestão de rede, zona de OT/IoT (se aplicável), DMZ para serviços publicados. O tráfego entre zonas deve ser explicitamente permitido apenas para o necessário, com inspeção de segurança em cada passagem.
✅ Configurar políticas de DoS para proteção de borda. As DoS policies do FortiGate detectam padrões de tráfego anômalos — scanning de portas, flood de conexões, ataques SYN — antes de chegarem às políticas de segurança mais intensivas. Habilite anomaly logging e configure como monitor inicialmente para calibrar limiares sem impactar tráfego legítimo, depois ative bloqueio automático.
✅ Atualizar os bancos de dados do FortiGuard regularmente. As assinaturas de IPS, o banco de definições de antivírus e a base de URLs categorização web são atualizados continuamente pelo FortiGuard Labs. Verifique em System > FortiGuard que todos os serviços estão com assinatura ativa, comunicação com os servidores FortiGuard estabelecida e bases atualizadas. Configure alertas para notificar se os bancos ficarem desatualizados.
✅ Garantir segurança física do appliance. A documentação oficial de hardening da Fortinet inclui segurança física como primeiro item: um FortiGate acessível fisicamente pode ser bypassado ou ter firmware alternativo carregado após reboot manual. Instale o equipamento em rack com acesso controlado, em datacenter ou sala de servidores com controle de acesso físico.
✅ Habilitar 802.1x nas portas LAN para controle de acesso de dispositivos. Em ambientes que precisam controlar quais dispositivos podem se conectar à rede via cabo, o FortiGate suporta 802.1x para autenticação de porta — impedindo que dispositivos não autorizados simplesmente conectem um cabo e obtenham acesso à rede interna.
Hardening é processo, não evento único
O checklist acima não é uma lista para marcar uma vez e arquivar. O cenário de ameaças muda, novos CVEs são publicados, a rede corporativa evolui e configurações corretas em uma versão de FortiOS podem precisar de ajuste após uma atualização. Hardening é um processo contínuo — não um projeto com data de conclusão.
Na prática, o que funciona para empresas de médio porte é uma rotina estruturada de revisão: verificação mensal do PSIRT da Fortinet, revisão trimestral do Security Rating, auditoria semestral de políticas de firewall com remoção de regras obsoletas e revisão anual de toda a arquitetura de segurança com olhos frescos. Com o FortiAnalyzer, parte dessas verificações pode ser automatizada via relatórios agendados — liberando a equipe de TI de tarefas manuais repetitivas para análise de resultados.
Como parceira certificada Fortinet, a InfoB realiza diagnósticos de segurança em ambientes FortiGate que cobrem todos os blocos deste checklist, além de análise de configuração comparada com o CIS Benchmark para Fortinet e as diretrizes do FortiOS Best Practices. O resultado é um relatório priorizado por criticidade — identificando o que precisa de ação imediata, o que é melhoria recomendada e o que já está correto. Fale com um especialista InfoB e agende seu diagnóstico gratuito.
Perguntas Frequentes sobre Hardening FortiGate
O que é hardening de FortiGate?
Hardening de FortiGate é o processo de configurar o dispositivo de forma a reduzir sua superfície de ataque — eliminando vetores de acesso desnecessários, fortalecendo a autenticação, restringindo serviços expostos e garantindo que as funcionalidades de segurança estejam de fato ativas e atualizadas. A Fortinet define hardening como “reduzir o risco de segurança eliminando potenciais vetores de ataque e encolhendo a superfície de ataque do sistema”.
Por que a interface de gestão do FortiGate não deve ser exposta à internet?
A CVE-2024-55591 (CVSS 9.6), explorada ativamente desde novembro de 2024, visava especificamente FortiGates com interface de gestão exposta à internet. Os atacantes obtiveram acesso de superadministrador sem autenticação via requisições manipuladas ao módulo websocket. A Fortinet e a CISA recomendam explicitamente que a interface de gestão nunca seja acessível diretamente pela internet — o acesso remoto deve ser exclusivamente via VPN.
MFA é obrigatório no FortiGate?
MFA não é habilitado por padrão, mas é fortemente recomendado pelas melhores práticas para todos os acessos administrativos e VPN. Cada FortiGate registrado inclui dois FortiTokens gratuitos. O FortiOS também suporta MFA via e-mail e integração com FortiAuthenticator para ambientes corporativos.
Qual é o risco de manter a SSL-VPN ativa sem hardening?
A SSL-VPN do FortiGate foi o vetor mais explorado em CVEs críticos entre 2022 e 2025, incluindo CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762. Em 2025, a CISA emitiu alerta sobre arquivos maliciosos persistentes criados via exploração dessas vulnerabilidades que permanecem mesmo após o patch — exigindo atualização para versões específicas e reset de credenciais. SSL-VPN sem MFA, sem restrição de IP de origem e com TLS desatualizado é um risco crítico.
Com que frequência o firmware do FortiGate deve ser atualizado?
A Fortinet recomenda manter sempre a última versão de patch da branch em uso. Para FortiGates standalone, existe a opção de habilitar atualizações automáticas de firmware (restrito a patches de menor versão). Consulte o portal PSIRT da Fortinet regularmente para novos advisories e aplique patches críticos no menor prazo possível após publicação.
O FortiGate tem um relatório de avaliação de segurança integrado?
Sim. O Security Rating é um recurso nativo do FortiOS que avalia automaticamente a postura de segurança do FortiGate contra as melhores práticas da Fortinet, gerando um score e destacando lacunas. Acesse em Security Fabric > Security Rating. É o ponto de partida mais prático para identificar desvios de hardening sem auditar manualmente cada configuração.