Sistema UTM
Roberto Pérez Ruiz
[email protected] 01/2012
Fortigate 50B
1 OBJETIVOS • • •
Configurar y conocer opciones comunes de UTMs. Conocer la gestión básica de Fortigate 50B. Crear VPNs
2 PASOS A REALIZAR Práctica uno Configura una solución que controle y deniegue el paso de virus, de correos no deseados y de sitios web no deseados Práctica dos Guarda los registros que genera el dispositivo en un almacenamiento físico y no en la memoria RAM del mismo. Práctica tres Consigue crear políticas de cortafuegos que se validen contra un servidor de autentificación a tu elección. Práctica cuatro VPN's EN FORTIGATE FORTIGATE Configurar una VPN por IPSEC para conectar con un cliente de la misma casa, Forticlient. Práctica cinco Configura un cliente para realizar conexiones VPN IPSec sobre un servidor VPN Fortigate 50B Práctica extra Crear una restricción de velocidad y de descarga total en un día para para programas p2p.
3 BIBLIOGRAFIA Y RECURSOS Debido a la cantidad de aspectos que un sistema UTM maneja se hará necesario acceder a todo tipo de recursos re cursos y documentación técnica. Exist Existe e un una a gran gran cant cantid idad ad de inform información ación técni técnica ca accesi accesible ble desde desde la página ofici oficial al del producto. Es de aquí donde he realizado todas las consultas para terminar la tarea. Está en Inglés. Para acceder a información en español existe un foro no oficial para Fortinet. Para asuntos concretos siempre se puede utilizar el buscador de su preferencia.
Se da permiso para copiar, copiar, distribuir o modificar este documento en los términos que establece la licencia Creative Commons Reconocimiento-CompartirIgual 3.0. Este documento es © de su autor
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Activa el escaneo antivirus y antispam en fortigate. Activar el escaneo antivirus y antispam en nuestro fortigate
Se crea un perfil de protección en el que se activa el escaneo antivirus y el escaneo antispam a los protocolos adecuados.
Al
marcar las casillas Comfort Clients en http y ftp realizamos un pequeño gesto para los clientes, de modo que la descarga no sea capturada por el firewall y una vez analizado lo descargue al cliente que es lo que haría si no se marcara esta casilla.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Marcando los protocolos elegidos en Email Filtering indicamos que sean revisados. Luego tenemos que indicar cómo queremos que q ue se revise. En este caso con listas negras y listas blancas de direcciones direcciones de correo y con listas listas de palabras prohibidas.
La opción Threshold permite marcar un límite de contenido prohibido. Funciona del siguiente modo, en la lista de palabras palabras prohibidas las palabras tienen una puntuación. Threshold define el tope de puntuación que puede tener un correo para que sea considerado spam. De este modo un correo que contenga una o dos palabras prohibidas pase el filtro Antispam y un correo enviado al jefe por su pareja pueda llegarle aunque aparezca aparezca la palabra sexo sexo o viagra.. Luego se edita el filtrado web e indico que se aplique la lista de palabras prohibidas con el ya conocido limite Threshold y para que se aplique el filtro por ulr
Luego tenemos que configurar los filtros que serán usados y en que protocolos. Después podemos elegir qué contenidos se van a bloquear. bloquear. En este caso se bloquean los contenidos de tema hacking
Esto sirve si las licencias del equipo están activas. Para Para los casos en los que no están activas siempre se pueden crear listas manualmente. Esto se hace desde el menú UTM - Web Filter -Create new
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Una vez creado el filtro lo llenamos. Pincho en create new e introduzco los datos que desee.
A la de
definir el patrón puedo configurar: Que se bloquee o que se le permita. Indicamos el patrón de texto que se va a filtrar se pueden aplicar comodines e incluso expresiones regulares (regex) Indicamos el conjunto de caracteres. El valor que se tendrá en cuenta al calcular el Threshold en los casos que proceda si está habilitado o no.
hora
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
También se pueden bloquear URLs que pueden ser definidas con una escritura directa, con comodines o con regex.
Ahora hay que configurar el antivirus ya que lo vamos a utilizar. utilizar.
Se tiene que indicar que se utilizarán los nuevos objetos para los filtros en el protección profile que creamos antes.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Una ve configurado todo tenemos que crear una política en el cortafuegos en la que usemos el perfil creado con nuestras condiciones de uso de la red.
Las políticas del cortafuegos de Fortigate son un conjunto de reglas que se aplican sobre objetos. Es tos objetos son definidos por el administrador o importados
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Intento acceder a la página www.facebook.com que la hemos puesto en la lista de URLs bloqueadas.
Ahora pongo a prueba el filtro de web por palabras con una búsqueda en Google con la palabra hack.
Para configurar como gestionará Fortigate los registros hay que ir a Log & Report e indicar de que modo almacenaremos dichos logs. Esto se puede hacer en servicios de pago que ofrece Fortigate, en la memoria del dispositivo (es RAM con lo que eso significa) o en un servidor syslog. Opción económica, fiable y configurable en extremo.
Para ello se marca la opción syslog, se indica la ip del servidor y el puerto. puer to. Se indica el nivel de registro mínimo que se va a enviar. enviar. Para poder distinguir un dispositivo de otro se utiliza la etiqueta Facility. Facility. También También se puede dar formato CSV a los registros, cosa que puede facilitar su posterior tratamiento como información en texto plano al organizar la información en campos.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Luego hay que configurar que registros se van a enviar
Una vez preparado el dispositivo voy a instalar un servidor en un debian6.0 que hará de servidor de syslog.
Luego hay que editar el archivo de configuración de syslog-ng en /etc/syslog-ng/syslogng.conf para que pueda recoger logs de sistemas remotos.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Esta configuración es la más sencilla que hay y por defecto, puesto que no es la intención i ntención de configurar un sistema de registros remotos. Compruebo que el demonio está a la escucha en el puerto udp 514 que es el puerto por defecto.
Podemos ver como empiezan a llegar registros del de l appliance nada más reiniciar el servidor syslog-ng
Voy a validar una de las políticas de cortafuegos que ya tengo contra un servidor de directorio activo LDAP con un usuario creado para tal efecto.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Para validar contra un servidor LDAP hay que crear en e l dispositivo un usuario del directorio. Para ello en users creamos un usuario remoto de LDAP. LDAP. Se puede observar que se pueden crear usuarios para otros servicios de validación como AD o Radius.
Luego hay que crear un grupo para este usuario, o los que sean.
Vemos que está creado correctamente
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Aplico esta validación a la navegación normal en una de las políticas del cortafuegos. Se debería validar el usuario para poder navegar normalmente.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Efectivamente nos pide un usuario y una contraseña, la introduzco y efectivamente valida el usuario.
Muestro que ocurre si introduzco usuario y contraseña no válidos
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
La potencia de este appliance es e s la posibilidad de utilizar esto a las políticas que quieras. A la administración del aparato, a las VPNs y aquello que se nos ocurra. OJO! En este caso es una práctica pr áctica no pensada para ser segura si no para demostrar su funcionamiento. Si se implementa seguridad en LDAP se pueden realizar las validaciones de modo seguro marcando el check-box Secure Conection al crear el usuario remoto. Aquí todas las consultas se realizan en texto plano como se puede observar en la captura inferior. inferior.
Configurar una VPN en Fortigate puede hacerse de dos manearas: por SSL y mediante IPSec. En esta práctica vamos a emplear el último método. Lo haré con un escenario de red con la interfaz interna con la ip 192.168.1.1 y la interfaz wan2 con la 10.150.150.254
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Para simplificar la administración administración de la VPN se va a otorgar a los clientes conectados a ella e lla dirección IP dinámica. Configuro un conjunto de direcciones para para ellos. Desde firewall -> address -> address Otorgo el rango 10.56.56.1-10, también se pueden otorgar rango en el segmento de la red local.
Ahora el servidor DHCP en el que indico que se asignen en el tipo IPSec
Sistema UTM Fortigate 50B
Queda del siguiente modo
Luego a crear los usuarios. Desde User -> Local
Roberto Pérez Ruiz
[email protected] 01/2012
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Los usuarios no pueden manejarse individualmente de modo que luego hay que darle un grupo. Desde user -> user group. El tipo tiene que ser firewall.
Ahora toca la configuración del servidor VPN. Se hace de sde VPN ->IPSec. La opción Dialup User permite conexión a cualquier usuario. La opción elegida en XAUTH, Enable as a server, server, permite al dispositivo gestionar la autentificación contra sus usuarios, en este caso los usuarios que estén incluidos en el grupo creado anteriormente VPN-IPSec-Group.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Después de crear esta primera parte hay que crear la segunda. Se define un nombre, se asocia con una primera fase y marcamos la opción DHCP-IPSec
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Por último hay que configurar el cortafuego para que permita las conexiones que hemos creado. Configuramos Action como IPSec para para que se encargue de aplicar seguridad a la comunicación y definimos que túnel vamos a utilizar. utilizar.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Fortigate tiene una aplicación de seguridad para estaciones de trabajo que combina solución cortafuegos, antivirus, filtrado web y cliente VPN: Forticlient. Para esta práctica voy a utilizar esta herramienta que en su instalación permite instalar sólamente la parte del cliente VPN. Lo demás son varios aceptar. aceptar. Para el cliente desde VPN -> Conection -> Advanced -> Add... creamos una nueva conexión.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Ahora se configura la dirección del servidor VPN, la red local a la que accedemos y el modo de autentificación, en este caso clave compartida.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Para terminar de configurar la conexión pinchamos en Advanced y marcamos las dos checkbox del bloque advanced.
También hay que asegurarse de que las opciones del bloque Policy de la captura anterior sean las mismas que las indicadas en la creación del túnel en phase1. Para ver y modificar estas opciones en forticlient hay que acceder al botón Config.
Sistema UTM Fortigate 50B
Roberto Pérez Ruiz
[email protected] 01/2012
Una vez introducidos el usuario y la contraseña el acceso se realiza con éxito.