GUÍA DEL ESTUDIANTE
10-Sep-18
FortiGate 6.0.X Esta guía describe una serie de tareas administrativas para configurar su FortiGate, las mejores prácticas y ejemplos de consejos de configuración, también incluye numerosos temas que abarcan componentes de FortiOS que se pueden utilizar para configurar su red y firewall.
Guía del Estudiante
CONTENTS VIRTUAL LABS BASICS............. ............. ............. .............. ............. ............. .............. ............. ............. ...... 4
Network Topology ............................................................................................................................................................... ............................................................................................................................................................... 4 LAB1. INTRODUCCION A FORTIGATE ..................................................................................................... 5
Objetivos .................................................................................. .................................................................................................................................................................... .......................................................................................... ........5 Tiempo estimado ....................................................................................................................................... ............................................................................................................................................................... ........................ 5 Trabajando con la Linea de Comando (CLI) ....................................................................... .................................................................................................................. ........................................... 6 Backups de Configuraciones........................................................................... ........................................................................................................................................... ................................................................ 11 Restaurando una Configuracion desde un Backup .................................................................................. ................................................................................................. ............... 11 Realizando un Backup de Configuracion ................................................................................................................. ................................................................................................................. 13 Restaurando un Archivo de Configuracion Encriptado .......................................................................... .......................................................................................... ................ 14 Compare las dos Configuraciones ......................................................................... ............................................................................................................................. .................................................... 14 Cuentas Administrativas .................................................................................... ................................................................................................................................................... ............................................................... 15 Creando un Perfil de Administrador ................................................................................... ......................................................................................................................... ...................................... 15 Creando una Cuenta de Administrador ................................................................................................................... ................................................................................................................... 15 Comprobando la Nueva Cuenta de Administracion ............................................................................... .............................................................................................. ............... 16 LAB2. LOGGING Y MONITOREO ........................................................................................................... 17
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 17 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 17 Configuracion de Logs en el Fortigate .................................................................................. ......................................................................................................................... ....................................... 18 Configure Logs Settings ................................................................................ ................................................................................................................................................ ................................................................ 18 Configuracion de Threat Weight (Peso de Amenazas)............................................. Amenazas)......................................................................................... ............................................ 18 Habilite Logging en la Politica de Firewall ................................................................................................ ............................................................................................................. ............. 20 Generando Trafico en el Fortigate ........................................................................................................................... ........................................................................................................................... 22 Revisando los Logs en la GUI del Fortigate ............................................................................................................ ............................................................................................................ 24 Observando Logs en FortiView ............................................................................................. .................................................................................................................................. ..................................... 25 LAB3. POLITICAS DE FIREWALL ............................................................................................................. 26
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 26 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 26 Creando Objetos de Direccion y Politicas de Firewall.............................................................................. ............................................................................................. ............... 27 Creando Objetos de direccion ........................................................................................................... ................................................................................................................................... ........................ 27 Creando una Politica de Firewall .............................................................................................................................. .............................................................................................................................. 28 Probando la Politica ..................................................................................................................................................... ..................................................................................................................................................... 29 Identificación de Dispositivos.......................................................................... .......................................................................................................................................... ................................................................ 30 Configurando y probando la politica por dispositivo............................................................................ ........................................................................................... ............... 31 Reconfigurando la identificacion de dispositivos............................................. dispositivos.................................................................................................... ....................................................... 33 Viendo el detalle de un dispositivo identificado ........................................................................ .................................................................................................... ............................ 34
Page 1
Guía del Estudiante LAB3.1 POLITICAS DE FIREWALL ........................................................................................................... 36 LAB4. NETWORK ADDRESS TRANSLATION (NAT) ................................................................................ 38
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 38 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 38 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 38 Acceso Utilizando VIPs .................................................................................................... ..................................................................................................................................................... ................................................. 39 Creando una VIP ......................................................................................................................... ........................................................................................................................................................... .................................. 39 Creando la Politica de Firewall ................................................................................................................................. ...................................................................................................................... ........... 40 Validando nuestra politica con c on destino VIP .................................................................................. ............................................................................................................. ........................... 41 NAT Dinamicos usando IP POOL ................................................................................................................................... ................................................................................................................................... 42 Creando un IP Pool............................................................................ ........................................................................................................................................................ ............................................................................ 42 Editando la politica para usar su IP Pool ......................................................................... ................................................................................................................. ........................................ 42 Probando su Politica de IP Pool ....................................................................................................................... ................................................................................................................................. .......... 43 LAB5. WEB FILTER .................................................................................................................................. 45
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 45 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 45 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 45 Fortiguard Web Filtering ............................................................................................................ ................................................................................................................................................ .................................... 46 Configurando Perfiles de Filtrado web basados en categorias de FortiGuard............................................. 46 Aplicando el perfil de Web Filter a la politica de Firewall............................................................................. ................................................................................ ... 48 Probando el Filtrado de Contenido .......................................................................................................................... .......................................................................................................................... 48 Creando un Web Rating Override ........................................................................................................................... ........................................................................................................................... 50 Probando su Web Rating Override ................................................................................... .......................................................................................................................... ....................................... 51 LAB5.1 WEB FILTER ................................................................................................................................ 52 LAB6. APPLICATION CONTROL............................................................................................................. 53
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 53 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 53 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 53 Creando un perfil de control de aplicaciones .............................................................................................. ............................................................................................................ .............. 54 Configurando Overrides O verrides de Aplicaciones ........................................................................ ................................................................................................................ ........................................ 54 Verificando que el Perfil de Control de Aplicaciones esta siendo Aplicado ................................................... 55 Probando el Perfil de Control de Aplicaciones .......................................................................... ...................................................................................................... ............................ 56 Revisando Logs ............................................................................................................... ............................................................................................................................................................... ................................................ 57 Limitando el trafico de una aplicación usando Traffic Shapers .... ............................................................................. ......................................................................... 58 Modificando el Override de la aplicación dailymotion ....................................................................................... ....................................................................................... 58 Creando el perfil de Traffic Shaper .................................................................................. ......................................................................................................................... ....................................... 58 Configurando la Politica de Traffic Tr affic Shaper ............................................................................................................ ............................................................................................................ 59 Probando el Traffic Shaper .................................................................................................... ........................................................................................................................................ .................................... 59 LAB6.1 APPLICATION CONTROL .......................................................................................................... 60
Page 2
Guía del Estudiante LAB7. FIREWALL AUTHENTICATION – LOCAL ....................................................................................... 61
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 61 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 61 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 61 Autenticacion Local ........................................................................................................................................................... ........................................................................................................................................................... 62 Configurando su Fortigate........................................................................... ........................................................................................................................................... ................................................................ 62 Asignando Usuarios Loc ales a un Grupo de Firewall ............................................................................ ............................................................................................ ................ 63 Portal Captivo ................................................................................................................................................................... .................................................................................................................... ............................................... 64 Habilitando Portal Captivo ................................................................................................................................ ......................................................................................................................................... ......... 64 Autenticando usuarios y Monitoreando .................................................................................................................... .................................................................................................................... 65 LAB8. SDWAN ....................................................................................................................................... 66
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 66 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 66 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 66 Enlaces de Internet usando SDWAN......................................................................... ............................................................................................................................. .................................................... 67 Configurando nuestros dos enlaces a Internet ........................................................................................................ ........................................................................................................ 67 LAB9. SSL VPN.............. ............. ............. .............. ............. ............. .............. ............. ............. .............. . 70
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 70 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 70 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 70 Conexiones SSL usando FortiClient ............................................................................................................................... 71 Configurando Nuestro N uestro Enlace VPN-SSL ............................................................................. .................................................................................................................... ....................................... 71 LAB10. IPSEC VPN ................................................................................................................................. 77
Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 77 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 77 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 77 Route-Based IPSec VPN...................................................................... ................................................................................................................................................... ............................................................................. 78 Usando el Wizard de VPNs ....................................................................... ........................................................................................................................................ ................................................................. 78
Page 3
Guía del Estudiante
VIRTUAL LABS BASICS
NOTA
En esta clase, usará el laboratorio virtual para ejercicios prácticos. Esta sección explica Si usted tiene alguna duda sobre cómo conectarse al laboratorio y a sus máquinas virtuales. También muestra la topología como ingresar a su ambiente de de red de las máquinas virtuales en el laboratorio.
Laboratorio, favor de solicitar ayuda a su instructor
NETWORK TOPOLOGY
Desde su PC conectarse por RDP (Remote Desktop Connection) a la IP de Administración de su bastion
LA DIRECCION IP DE SU BASTION LA ENCONTRARA EN LA GUIA DEL ESTUDIANTE EN LA TABLA DE
ISP WAN1 IP: 190.5.24.169
ACCESOS
ISP WAN2 IP: 138.99.3.169 FORTIGATE LAN IP: 192.168.1.1 WAN1: 190.5.24.170 WAN2: 138.99.3.170
192.9.200.0/24
Administration IP: 172.30.5.X LAN IP: DHCP
Page 4
LAN 192.168.1.0/24
DMZ 10.0.1.0/24
LINUX DNS-WEBSERVER IP: 10.0.1.243
WAN Empresarial
Guía del Estudiante
LAB1. INTRODUCCION A FORTIGATE
Este laboratorio provee instrucciones de como ingresar a la administración de su FortiGate usando la CLI (Línea de Comando) y la GUI (Interfaz Gráfica de Usuario). Adicional a esto el Laboratorio lo guiara a través de como ejecutar un backup y una restauración de forma correcta de su configuración, de igual manera crearemos una nueva cuenta de administración y modificaremos los permisos de acceso de dicha c uenta.
OBJETIVOS
• • • • •
Acceder a la CLI (Línea de comando) de su FortiGate Backup y Restore de archivos de Configuración Encontrar el modelo de su FortiGate y la versión de FortiOS Firmware dentro del archivo de configuración Crear un usuario administrativo Restringir accesos administrativos
TIEMPO ESTIMADO •
30 minutos
Page 5
Guía del Estudiante
TRABAJANDO CON LA LINEA DE COMANDO (CLI)
Usted iniciara ingresando a su FortiGate usando la Línea de Comando (CLI)
Existen múltiples maneras de poder ingresar a la CLI, las cuales son: • • • •
Usando cable de Consola Serial Por medio de SSH o Telnet Desde la misma GUI Usando FortiExplorer (solo ciertos modelos)
En este laboratorio utilizaremos Kitty (Putty) y crearemos una sesión SSH hacia la interfaz LAN del Firewall. Para activar la administración por SSH seguimos los siguientes pasos: 1. Primeramente, ingrese a la GUI (Interfaz Gráfica de Usuario) usando la siguiente URL: https://192.168.1.1 2. Digite el usuario: admin (todo en minúscula) y deje la casilla de password en blanco, es decir sin contraseña. Por ser la primera vez que ingresa a su equipo debe definir un password para el usuario admin (favor de ingresar el password: 123456) luego tendrá que ingresar el usuario admin con el password que definió en este paso
3. Ingrese al menú de NETWORK INTERFACES 4. Seleccionamos la Interface LAN (port1) y damos click en EDIT
5. Entre las opciones de ADMINISTRATIVE ACCESS seleccionamos SSH y la marcamos.
Page 6
Guía del Estudiante
6. Le damos click al Botón de OK 7. En el escritorio de la PC Windows (Bastión) seleccionamos KITTY (Cliente SSH similar a Putty) e ingresamos la IP de la interface LAN de nuestro FortiGate, nos aseguramos de que tengamos el puerto 22 definido y apretamos la tecla de ENTER
8. Ingresamos el usuario: admin con el password que hemos definido en el paso 3 (123456) e inmediatamente iniciaremos la sesión de administración por SSH contra nuestro FortiGate
Page 7
Guía del Estudiante
9. Ingresamos el siguiente comando: get sys status
Este comando muestra la información básica del status de su equipo, el output incluye el número de serie de su FortiGate, modo de operación y demás información. Cuando aparezca --More-- en la CLI presione la barra espaciadora de su teclado para continuar avanzando, presione Enter para avanzar una línea a la vez o presione Q para salir.
10. Ingrese el siguiente comando: get ?
NOTA
El carácter ? no es mostrado dentro de la pantalla
Este comando muestra todas las opciones que la CLI aceptará después de digitar el comando GET, dependiendo del comando, usted tendrá que ingresar alguna palabra adicional para especificar las o pciones de la configuración.
11. Presione la tecla hacia arriba esta acción mostrara el ultimo comando digitado. Trate las siguientes combinaciones que se muestran a continuación:
Acción
Comando
Comando anterior Comando siguiente Inicio de línea Final de la línea Retrocede una palabra Avanza una palabra Borra el carácter actual Limpia la pantalla Comando para abortar y salir
CTRL+A CTRL+E CTRL+B CTRL+F CTRL+D CTRL+L CTRL+C
12. Ingrese el comando: execute execute ?
Esto muestra todas las opciones que la CLI ace ptara luego del comando execute
Page 8
Guía del Estudiante
13. Digite exe seguido de la tecla TAB, note que la CLI completa el comando 14. Luego de tener el comando execute (del paso anterior) presione la barra espaciadora y presione la tecla TAB tres veces. Cada vez que usted presiona la tecla TAB, la CLI reemplaza la segunda palabra con la siguiente posible opción para el comando execute, en modo alfabético.
NOTA La mayoría de los comandos pueden ser abreviados, en los siguientes Labs, muchos de los comandos serán digitados de manera abreviada. Use esta técnica para reducir el número de teclas que son requeridas para ingresar comandos. De esta manera, expertos pueden configurar el fortigate de manera más rápida por CLI que por GUI Si algún otro comando posee en un inicio los mismos caracteres que otro, la abreviatura deberá de ser lo suficientemente larga para que su unidad fortigate pueda distinguir entre una y otra, de lo contrario la CLI mostrara un error de comando ambiguo.
Page 9
Guía del Estudiante
15. Ingrese el siguiente comando en la CLI para revisar la configuración del puerto LAN show system interface port1
16. Ingrese el siguiente comando: show full-configuration system interface port1
Deténgase y Piense Compare los dos outputs de los comandos digitados en el paso 15 y 16, ¿en que son diferentes? El comando show full-configuration system interface port1 muestra todos los settings de configuración para la interface port1 (LAN), el comando show muestra únicamente los valores que son diferentes al valor default de configuración
Page 10
Guía del Estudiante
BACKUPS DE CONFIGURACIONES
Durante este ejercicio usted aprenderá como generar y restaurar configuraciones de backups en texto plano y enc riptados.
RESTAURANDO UNA CONFIGURACION DESDE UN BACKUP
En este procedimiento realizaremos una restauración de un backup en su FortiGate
1. Ingrese a su FortiGate usando el usuario admin ju nto con el password que ha definido. 2. Vaya al dashboard MAIN (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate) 3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION RESTORE
4. Click en UPLOAD y seleccione el archivo de backup que va a restaurar
NOTA El backup está situado en el escritorio de su Bastión en el folder: DESKTOP BACKUPS Y se llama: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
Page 11
Guía del Estudiante
5. Luego de haber seleccionado su archivo de configuración a restaurar el FortiGate mostrara una alerta, ya que esta acción causa que el equipo se reinicie de manera automática
6. Ingrese a NETWORK INTERFACES y verifique que los permisos administrativos de sus interfaces fueron restaurados
Page 12
Guía del Estudiante
REALIZANDO UN BACKUP DE CONFIGURACION
1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco. 2. Vaya al dashboard - Main (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate) 3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION BACKUP
4. Habilite ENCRYPTION 5. Ingrese el password: “fortinet” (sin las comillas) dos vece s y seleccione OK 6. Guarde el archivo de configuración encriptado en el folder de BACKUPS de su Bastión.
NOTA NO
existe manera de recuperar una contraseña olvidada de un archivo de configuración, si usted no recuerda la contraseña en un backup, quedara inservible.
AL ERTA Siempre guarde un backup de su configuración antes de cualquier cambio (incluso si es un cambio menor o sin importancia), no existe manera de deshacer los cambios (undo). Restaurar un backup le permitirá revertir cambios si descubre algún problema con la nueva configuración
Page 13
Guía del Estudiante
RESTAURANDO UN ARCHIVO DE CONFIGURACION ENCRIPTADO
Para restaurar un archivo de configuración encriptado nec esitamos: 1. 2. 3. 4.
Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco. Vaya al dashboard (debería de ser la pantalla de inicio lue go de haber ingresado al FortiGate) En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION RESTORE Click en el botón de UPLOAD y seleccione el archivo que encripto en la sección anterior (Realizando un Backup de Configuración) 5. Click OK
Nótese que esta vez usted debe de ingresar el password “fortinet” (sin comillas)
COMPARE LAS DOS CONFIGURACIONES
1. Inicie Notepad++ dándole doble click en el icono de su escritorio: 2. Abra el archivo de configuración que encriptó en la sección “Realizando un Backup de Configuración” 3. Inicie otra instancia de Notepad++ y abra el backup inicial que restauro en la sección “Restaurando una Configuración desde un Backup” 4. Compare los detalles del contenido de ambos archivos
NOTA En ambos archivos los headers listan el firmware y la información de a qué modelo pertenece la configuración
Page 14
Guía del Estudiante
CUENTAS ADMINISTRATIVAS
FortiGate ofrece una gran flexibilidad para configurar privilegios de administrador. Usted puede especificar la IP desde la cual los administradores pueden conectarse a su equipo. Este Lab incluye el procedimiento relacionado de cómo trabajar con cuentas de administración.
CREANDO UN PERFIL DE ADMINISTRADOR
Para configurar un perfil de administrador se requiere de los siguientes pasos:
1. 2. 3. 4.
Desde la GUI de su FortiGate ingrese al menú SYSTEM ADMIN PROFILE Click en CREATE NEW y cree un nuevo perfil llamado Security_Admin_Profile Seleccione la opción de SECURITY PROFILE en READ-WRITE, pero seleccione los otros permisos como READ Click OK y guarde los cambios
CREANDO UNA CUENTA DE ADMINISTRADOR
1. Desde la GUI de su FortiGate ingrese al menú SYSTEM ADMINISTRATORS 2. Click en CREATE NEW y cree una nueva cuenta de administrador configurando los siguientes parámetros
NOTA Los nombres de usuarios de administración son case sensitive, es decir que respetan las mayúsculas y minúsculas. No puede incluir en los nombres o contraseñas de administrador caracteres especiales como <>()#”. Espacios están permitidos, pero no como el primero ni el ultimo carácter
3. Click OK y guarde los cambios
Page 15
Guía del Estudiante
COMPROBANDO LA NUEVA CUENTA DE ADMINISTRACION
1. Desde la GUI del FortiGate salga de la sesión de admin con la cual ingreso
2. Ingrese como “Security_Admin” con el password “fortinet” (sin comillas) 3. Valide los accesos de administrador: trate de crear o modificar las configuraciones de red en el menú NETWORK INTERFACES
Page 16
Guía del Estudiante
LAB2. LOGGING Y MONITOREO
En este Lab, usted configurará logueo de eventos en su FortiGate y podrá visualizar logs para Troubleshooting.
OBJETIVOS
• • • •
Configurar logs en su FortiGate para que pueda comprender como el appliance interpreta el trafico Configurar Threat Weight (Peso de amenazas) Monitorear logs a través de la GUI Ver logs en la GUI de su FortiGate
TIEMPO ESTIMADO •
20 Minutos
Page 17
Guía del Estudiante
CONFIGURACION DE LOGS EN EL FORTIGATE
Configurar los Settings de logs en el FortiGate no genera logs automáticamente, sino más bien define como los logs serán tratados. Por ejemplo, enviar logs en tiempo real hacia un FortiAnalyzer, habilitar el logueo de forma local o habilitar histórico para su uso en FortiView.
CONFIGURE LOGS SETTINGS
1. Ingrese a la GUI de su FortiGate usando la url: https://192.168.1.1 con el usuario admin (sin contraseña) 2. Ingrese al menú de LOG & REPORT LOG SETTINGS 3. Asegúrese que al logueo en disco este habilitado
4. Bajo LOG SETTINGS asegúrese que LOCAL TRAFFIC LOG esta deshabilitado ya que esta opción puede llenar el disco del FortiGate si no es debidamente configurado y monitoreado. Asegure que la opción EVENT LOGGING está habilitado y ENABLE ALL seleccionado
5. Ingrese a las GUI PREFERENCES y complete lo siguiente:
6. Click en APPLY
CONFIGURACION DE THREAT WEIGHT (PESO DE AMENAZAS)
Page 18
Guía del Estudiante
El peso de las amenazas le permite configurar el valor del riesgo de una amenaza en bajo, media, alta y niveles críticos y luego aplicar un peso par categorías específicas.
1. En la GUI del FortiGate ingrese al meno de LOG & REPORT THREAT WEIGHT 2. Bajo la opción de WEB ACTIVITY deslice la barra hasta el valor critico de 50 para las siguientes categorías: o o o o
MALICIOUS WEBSITES HACKING EXPLICIT VIOLENCE PORNOGRAPHY
3. Click en APPLY
Page 19
Guía del Estudiante
HABILITE LOGGING EN LA POLITICA DE FIREWALL
Ahora que ya tenemos las configuraciones de LOG configuradas, debemos de habilitar la opción de logueo en la política de firewall. Hasta que habilitamos el logueo en la política de firewall es entonces que se registran y se generan los mensajes de logs
1. En la política de firewall situada en POLICY & OBJECTS IPV4 POLICY edite la política que va de la LAN hacia INTERNET
2. Bajo la opción de SECURITY PROFILE, habilite la opción de WEB FILTER y seleccione la categoría de MONITOR_ALL. Note que las casillas de PROXY OPTIONS y SSL INSPECTION se marcan automáticamente
Page 20
Guía del Estudiante ALL SESSIONS, recuerde,
3. Bajo las opciones de LOGGING OPTIONS habilite LOG ALLOWED TRAFFIC y seleccione usted no tendrá logs de ningún tipo si LOG ALLOWED TRAFFIC no está habilitado en las políticas
4. Click OK. Con esto usted ya configuro logs en la política. Más adelante en este Lab usted hará pruebas de estas configuraciones
Page 21
Guía del Estudiante
GENERANDO TRAFICO EN EL FORTIGATE
Para poder generar logs hacia múltiples sitios de manera rápida utilizaremos WEBTIMER de cacheflow (Webtimer es un software gratis que puede ser descargado de internet) 1. Ejecute el programa WebTimer dándole doble click en el icono que está en el escritorio de su Bastión.
2. Seleccione la lista de URLs por default que trae el programa dándole click en el menú FILE SELECT URL LIST
Page 22
Guía del Estudiante
3. Inicie el proceso de cacheo de sitios dándole click al botón de PLAY en el WebTimer
NOTA Si le aparece un mensaje de alerta de que la versión del navegador que está utilizando esta desactualizado, dele click en continuar
Page 23
Guía del Estudiante
REVISANDO LOS LOGS EN LA GUI DEL FORTIGATE
1. Ingrese al menú de LOG & REPORT
FORWARD TRAFFIC para
1. Ingrese al menú de LOG & REPORT categoría de FortiGuard
WEB FILTER
ver el tráfico que está atravesando el FortiGate
donde podrá ver los logs de sitios permitidos y bloqueados por
NOTA Los logs de web filter no serán mostrados sino existe ningún evento de Webfilter
Page 24
Guía del Estudiante
OBSERVANDO LOGS EN FORTIVIEW
WEB SITES por default los logs mostrados son de ahorita o NOW, si 1. En la GUI ingresamos al menú FORTIVIEW WebTimer dejo de generar hits hacia páginas web es muy probable que no se muestren logs, esto es normal y esperado, habrá que ajustar el tiempo para 5 minutos, 1 hora o 24 horas. Luego verifique el menú de FORTIVIEW THREATS para determinar las amenazas de navegación en su red.
2. Dele click en el icono y seleccione BUBBLE CHART 3. Use la opción de SORT BY para mostrar la información por THREAT SCORE, SESSIONS o por BYTES
Page 25
Guía del Estudiante
LAB3. POLITICAS DE FIREWALL
OBJETIVOS
• • • • • • • •
Configurar objetos de firewall y políticas de firewall Configurar opciones disponibles en las políticas usando diferentes orígenes de trafico Aplicar servicios y horarios de firewall en políticas Configurar logueo en políticas de firewall Configurar políticas de firewall basadas en dispositivos Reordenar las políticas Leer y entender logs Uso de Policy Lookup para encontrar políticas que hagan match
TIEMPO ESTIMADO •
40 Minutos
Page 26
Guía del Estudiante
CREANDO OBJETOS DE DIRECCION Y POLITICAS DE FIREWALL
En este ejercicio usted aprenderá a configurar objetos de dirección, también aprenderá a configurar políticas de IPv4 donde se aplicarán los objetos de firewall junto con horarios, servicios y opciones de logs. Luego usted validara las políticas generando tráfico a través de ellas y revisando los logs de tráfico del FortiGate.
Como usted sabe, FortiGate en su Core es un firewall, por tanto, casi todo lo que se aplica a su tráfico de red está directamente relacionado con políticas de firewall.
CREANDO OBJETOS DE DIRECCION
Su FortiGate por default trae pre configurado múltiples objetos de dirección, sin embargo, si estos no cumplen los requerimientos de su organización usted puede configurar muchos más y de diferentes tipos.
Para crear un objeto de firewall siga los siguientes pasos: 1. En la GUI de su FortiGate ingrese al menú de POLICY & OBJECTS ADDRESSES 2. Dele click en el botón de CREATE NEW ADDRESS 3. Configure los siguientes parámetros para su nuevo objeto de dirección
CAMPO Name Type Subnet/IP range Interface
VALOR RED_LOCAL IP/Netmask 192.168.1.0/24 any
4. Click en el botón de OK
Page 27
Guía del Estudiante
CREANDO UNA POLITICA DE FIREWALL Primeramente, usted deberá de deshabilitar la política de firewall dándole click derecho a la política con secuencia 3 que va desde la LAN hacia la Interface de INTERNET (source all, destination all, schedule always, service all, action Accept, NAT e nable)
Para crear una nueva política seguiremos los siguientes pasos: IPv4 POLICY le damos click al botón de CREATE NEW para agregar una nueva 1. En el menú POLICY & OBJECTS política de firewall. 2. Luego configuramos nuestra política con los siguientes valores
CAMPO
Page 28
VALOR
Name
Internet_Access
Incoming Interface
LAN
Outgoing Interface
INTERNET
Source
Red_Local
Destination Address
all
Schedule
always
Service
HTTP, HTTPS, ALL_ICMP, SSH
Action
ACCEPT
NAT
Enable
Log Allowed Traffic
Enable and select ALL SESSIONS
Generate Logs when Session Starts
Enable
Enable Policy
Enable
Guía del Estudiante
Deténgase y Piense ¿Cuál piensa usted que es la razón por la cual no agregamos el servicio de DNS a la política, si es un servicio clave para que los usuarios de su red local puedan navegar a Internet y resuelvan nombres de sitios web en internet, en lugar de ingresar IPs para navegar?
3. Deje las demás opciones por default y dele click en el botón de OK
PROBANDO LA POLITICA
Ahora que usted ha configurado la política de firewall, la probaremos generando tráfico hacia internet y revisando los logs de la política.
1. Desde su Bastión trate de navegar a www.fortinet.com o a cualquier otro sitio que usted desee (de preferencia navegue en varios sitios diferentes donde no ha navegado anteriormente antes de revisar los logs) 2. En la GUI ingrese al menú POLICY & OBJECTS IPv4 POLICY 3. Dele click derecho al número de secuencia (SEQ.#) de la nueva política que acaba de crear con nombre INTERNET ACCESS
4. Luego seleccione el menú SHOW MATCHING LOGS
5. Identifique la entrada de log de su navegación a internet. Con su configuración actual usted tendrá muchas entradas de logs con mensajes ACCEPT: SESSION START en la columna de resultados, estos son logs de inicio de la sesión, cuando la sesión se cierre usted tendrá otra entrada con la cantidad de data enviada y recibida.
NOTA LOGGING SESSION START genera el doble de entradas de logs, usted debe de utilizar esta opciónUNICAMENTE cuando el nivel de detalle de log sea necesario (Troubleshooting)
Page 29
Guía del Estudiante
NOTA Cuando usted le da click en SHOW MATCHING LOGS en la política de firewall se agrega un filtro UUID en la ventana de Forward Traffic
Cuando usted remueve el filtro de UUID, los logs serán mostrados sin ningún filtro y en su totalidad tomando en cuenta los logs de las demás políticas de firewall que tienen activo esta opción. Estos lo gs los usaremos en los laboratorios de más adelante. 6. Cierre todas las ventanas a excepción de la GUI de su FortiGate
NOTA Para reordenar las políticas basta con arrastrarlas al lugar o secuencia deseada. OJO, no podemos mover políticas de una sección a otra dentro del gestor de políticas, únicamente las podemos mover dentro de la sección que contenga las interfaces de origen y destino.
IDENTIFICACIÓN DE DISPOSITIVOS
FortiGate tiene la habilidad de detectar tráfico por el tipo de dispositivos que lo genera, hay dos maneras de poder detectar dispositivos: • •
Agentless Device identification, usa el tráfico de los dispositivos y los indexa por MAC Address Agent-based Device identification, usa FortiClient quien envía un ID único al FortiGate para identificar el dispositivo
En este laboratorio usaremos la técnica de Agent-based Device identification. Usted agregara un dispositivo en el campo de origen de la política actual de firewall que creamos en el lab anterior y observara como hace match el dispositivo de origen con la política.
Page 30
Guía del Estudiante
CONFIGURANDO Y PROBANDO LA POLITICA POR DISPOSITIVO
1. Como primer paso usaremos la política que creamos anteriormente que decía así:
CAMPO
VALOR
Name
Internet_Access
Incoming Interface
LAN
Outgoing Interface
SD-WAN
Source
Red_Local
Destination Address
all
Schedule
always
Service
HTTP, HTTPS, ALL_ICMP, SSH
Action
ACCEPT
NAT
Enable
Log Allowed Traffic
Enable and select ALL SESSIONS
Generate Logs when Session Starts
Enable
Enable Policy
Enable
2. Abra una ventana de DOS y deje un ping continuo a 8.8.8.8 ingresando: ping 8.8.8.8 –t
IPv4 POLICY dele click 3. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS derecho al número de ID de la Policita INTERNET_ACCESS 4. Seleccione la opción de EDIT 5. Seleccione SOURCE 6. Del lado derecho seleccione DEVICE y dele click en LINUX PC (Usted está seleccionando un dispositivo que no hace match su máquina bastión – Windows)
Page 31
Guía del Estudiante
7. Click OK 8. Regrese a la ventana de comandos de DOS en su Bastión donde estaba corriendo un ping continuo, usted debería de ver que el trafico está siendo bloqueado 9. Trate de navegar a cualquier sitio de internet y debería de ver el timeout default del navegador de no poder ingresar. El tráfico es bloqueado debido a que el dispositivo de origen en la política de firewall es una PC Linux, el cual no hace match con su máquina windows desde donde está generando el tráfico
Page 32
Guía del Estudiante
RECONFIGURANDO LA IDENTIFICACION DE DISPOSITIVOS
IPv4 POLICY dele click 1. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS derecho al número de ID de la política INTERNET_ACCESS 2. Seleccione la opción de EDIT 3. Seleccione SOURCE 4. Del lado derecho seleccione DEVICE y dele click en WINDOWS PC 5. Luego dele click en LINUX PC para quitarlo del campo de Source o dele click en la X al lado del objeto LINUX PC 6. Dele click en OK
Para confirmar que el trafico está siendo permitido por la política, seguimos los siguientes pasos: 1. Desde su Bastión, revise el Ping extendido que tenía en la línea de comandos de DOS, y usted debería de ver el trafico permitido y tener respuesta del host 8.8.8.8 2. Cierre la ventana de línea de comandos 3. Abra su navegador y trate de ingresar a cualquier sitio en internet al que no haya navegado con anterioridad 4. Confirme que puede navegar sin ningún problema
Page 33
Guía del Estudiante
VIENDO EL DETALLE DE UN DISPOSITIVO IDENTIFICADO
1. Ingrese desde la GUI a USER & DEVICES windows
DEVICE INVENTORY y dele click
al signo + para expandir las maquinas
2. Revise los detalles de su bastión y c omo fue detectado por el FortiGate utilizando la ayuda de FortiClient 3. Abramos una sesión de SSH usando putty y conéctese a la sesión que ya está salvada y que tiene por nombre LOCALFORTIGATE Ingrese el usuario admin con contraseña 123456 4. Ejecute el siguiente comando: diagnose user device list
Page 34
Guía del Estudiante
NOTA OJO… Device detection sin FortiClient funciona únicamente en una red CAPA 2, si usted esta siendo ruteado, la detección del dispositivo no podrá realizarse a menos que sus usuarios tenga el cliente endpoint instalados en sus PCs y en la interface está habilitada la opción de TELEMETRI. En el método de Agentless Device, los dispositivos se detectan a través de la mac address, por tanto, si existe un appliance capa 3 o router en medio de la comunicación, el FortiGate detectara la mac address de dicho appliance.
Adicional usted puede agregar dispositivos nuevo s de manera manual ingresando al menú USER DEVICES & GROUPS y le da clic en el botón de CREATE NEW
Deténgase y Piense ¿Cuál cree usted que serían las ventajas y desventajas entre las técnicas de Agentless y Agent-Based Device Identification?
¿Dónde se activa la identificación de dispositivos en el FortiGate?
Page 35
Guía del Estudiante
LAB3.1 POLITICAS DE FIREWALL
A continuación, validaremos los conocimientos que acaba de adquirir creando la siguiente política de Firewall
EJERCICIO 1 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cree una política de acceso a internet que vaya desde su red local única mente hacia sitios web alojados en el Salvador 3. Valide el funcionamiento de la política que acaba de crear tratando de ingresar a www.mh.gob.sv www.elsalvador.com www.uca.edu.sv www.ufg.edu.sv 4. Explique el resultado del fallo de algunas paginas ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________
EJERCICIO 2 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cree una política hacia internet (all to all) donde el servicio será únicamente ALL_TCP 3. Trate de navegar hacia cualquier sitio en internet y valide el funcionamiento de la política 4. Abra una ventana de DOS y trate de hacer ping a 8.8.8.8 5. Explique el resultado ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________
Page 36
Guía del Estudiante
EJERCICIO 3 1. Cargue el backup de su folder de Backups llamado: EJERCICIO3_POLITICAS.CONF 2. Planteamiento del problema: Son las 7:40 am día lunes inicio de semana y la junta directiva tiene una reunión a las 8:00 am donde se presentarán nuevos planes estratégicos y es necesario que todos los gerentes y directores que asistan a la reunión posean acceso a internet Cuando usted llego a su oficina uno de los gerentes le informo que no tienen internet en la sala de reuniones ni en ningún otro lugar dentro de su oficina. Cuando usted revisa se da cuenta que efectivamente nadie posee internet y cree que fue a partir de un cambio realizado el fin de semana dentro del firewall que no fue debidamente documentado ni tampoco se sacó un backup antes de realizarlo. Analice el problema y haga el Troubleshooting necesario para determinar dónde está el error antes que de inicio la reunión Sugerencias: • • • •
Apóyese en los logs Valide resolución de nombres y si puede alcanzar su DNS server Valide si puede hacer ping Revise si tiene internet desde el mismo FortiGate ejecutando el comando: exe ping 8.8.8.8
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de Backups
Page 37
Guía del Estudiante
LAB4. NETWORK ADDRESS TRANSLATION (NAT)
NAT es utilizado para traducir orígenes y destinos para el tráfico que cruza el FortiGate. Existen dos maneras de configurar, Source NAT (SNAT) y Destination NAT (DNAT). • •
Firewall Policy NAT Central NAT
En este Lab usted aprenderá a configurar y validar políticas de NAT para SNAT usando IP Pool y DNAT usando Virtual IP (VIP)
OBJETIVOS
• •
Configurar Destination NAT usando VIPs Configurar Source NAT usando overload IP Pools
TIEMPO ESTIMADO •
45 Minutos
REQUISITOS
1. Haber completado el LAB de Políticas de Firewall 2.
Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” el cual regresara nuestra configuración a su estado inicial
Page 38
Guía del Estudiante
ACCESO UTILIZANDO VIPS
Direcciones de VIP son típicamente usados en NAT externos o IPs publicas hacia la red interna o IPs privadas de nuestra red. En este ejercicio usted configurara una VIP para su página web en su servidor de dominio. Luego usted creara una política de externa-a-interna donde aplicara el uso de la VIP. Esto permitirá conexiones entrantes desde internet hacia du server IIS en su controlador de dominio, también verificaremos el comportamiento del Destination NAT y Source NAT usando la Línea de comandos CLI de su FortiGate.
CREANDO UNA VIP En su FortiGate, una VIP es un destino (DNAT) y puede ser únicamente seleccionada en una política de firewall en el campo de destino.
En este procedimiento usted configurara una VIP para mapear su controlador de dominio el c ual es parte de su DMZ, usted puede referirse al diagrama de red de su ambiente de Laboratorio.
Para crear una VIP seguimos los siguientes pasos: 1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS 2. Le damos click al botón de CREATE NEW y seleccionamos VIRTUAL IP 3. Configuramos los siguientes campos: CAMPO
VIRTUAL IPS
VALOR
Name
VIP-INTERNAL-HOST
Interface
INTERNET (este puerto está conectado a sus enlaces públicos de internet con direcciones 190.5.24.170/30 y 138.99.3.170/30)
External IP Address/Range
190.5.24.170 (Este es una IP de su enlace principal de internet en la WAN1)
Mapped IP Address/Range
10.0.1.243
4. Click OK
Page 39
Guía del Estudiante
CREANDO LA POLITICA DE FIREWALL
Usted debe de configurar una política de firewall donde utilizaremos la VIP que acaba de crear en el campo destino de la política.
1. Ingresamos al menú POLICY & OBJECTS IPv4 POLICY 2. Le damos click al botón de CREATE NEW 3. Procedemos a configurar los siguientes campos de nuestra política: CAMPO
VALOR
Name
Web-Server-Access
Incoming Interface
SD-WAN
Outgoing Interface
DMZ
Source
all
Destination Address
VIP-INTERNAL-HOST TIP: Esta listado bajo la sección de Virtual IP
Schedule
always
Service
HTTP TIP: Utilice la opción de SEARCH para localizar los servicios
Action
ACCEPT
NAT
Disable
Log Allowed Traffic
Enable and select ALL SESSIONS
Enable Policy
Enable
Deténgase y Piense ¿Cuál cree usted que es la razón por la cual deshabilitamos la opción de NAT en la política cuando usamos VIPs?
Discútalo con el grupo
4. Click en OK
Page 40
Guía del Estudiante
VALIDANDO NUESTRA POLITICA CON DESTINO VIP
1. Desde su Bastión abra una ventana de línea de comando de DOS e ingrese los siguientes comandos: a) nslookup b) webserver.lab.local (valide que la entrada de DNS esta correcta y que resuelve la IP de su VIP 190.5.24.170)
2. Cierre la ventana de DOS y abra una ventana en su navegador. En la barra de direcciones ingrese la siguiente URL: http://webserver.lab.local o en su defecto la IP de su VIP http://190.5.24.170 3. Si la operación de la VIP es exitosa debería de aparecerla la página default de Apache si utiliza la IP o la pagina de inicio de WordPress si lo accede por nombre
4. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 5. Ejecute el siguiente comando: get system session list 6. Usted notara que la dirección destino 190.5.24.170 es NATeada con la dirección 10.0.1.243 la cual es su dirección mapeada en su VIP
NOTA Además de las sesiones hacia su VIP pod rá ver todas las sesiones atravesando su FortiGate, esto es normal.
Page 41
Guía del Estudiante
NAT DINAMICOS USANDO IP POOL
Los IP Pools son usados para trasladar las direcciones de origen hacia una dirección del pool definido en lugar de la IP que la interface tiene configurada.
Actualmente para llegar a su DMZ no posee ningún tipo de NAT dinámico, es decir que llega con la IP real de su Bastión.
En este ejercicio usted aprenderá a crear un IP Pool y aplicarlo en la política de firewall para trasladar la dirección de su Bastión a otra del Pool perteneciente a su DMZ y podrá verificar el DNAT desde la CLI o línea de comando de su FortiGate.
CREANDO UN IP POOL
1. Ingrese a la GUI de su FortiGate y vaya al menú POLICY & OBJECTS IP POOLS 2. Dele click en el botón de CREATE NEW y configure los siguientes campos CAMPO
VALOR
Name
INTERNAL-HOST-EXT-IP
Type
Overload
External IP Range/Subnet
10.0.1.50-10.0.1.50
3. Click en el botón de OK
EDITANDO LA POLITICA PARA USAR SU IP POOL
1. Ingresamos al menú POLICY & OBJECTS IPv4 POLICY 2. Editamos la política que va desde su LAN hacia la DMZ 3. Procedemos a configurar los siguientes campos de nuestra política:
4. Y configuramos los siguientes parámetros para la política:
Page 42
Guía del Estudiante
CAMPO
VALOR
NAT
ENABLE
IP Pool Configuration
USE DYNAMIC IP POOL Click + y seleccione INTERNAL-HOST-EXT-IP
5. Su configuración debe de verse similar a e sta:
6. Click en el botón de OK
PROBANDO SU POLITICA DE IP POOL
1. Abra una ventana de DOS y deje un ping continuo a 10.0.1.243 ingresando: ping 10.0.1.243 –t
2. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 3. Ejecute el siguiente comando: diagnose system session clear
NOTA El comando anterior de CLI del FortiGate limpia toda la tabla de sesiones, esto causara que su Kitty (putty) se desconecte, este resultado es el normal del comando ejecutado. (No debe de utilizarlo en un ambiente de producción solo en caso de troubleshooting)
Page 43
Guía del Estudiante
4. Cierre Kitty (Putty) y vuélvalo abrir para crear una nueva sesión de SSH, conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 5. Ejecute el siguiente comando: get system session list 6. Ahora puede ver que el origen (IP de su Bastión) es traducida al pool que acabamos de crear.
7. Cierre Kitty (Putty) 8. Cierre todas las ventanas de su navegador, a excepción de la GUI de su FortiGate.
Deténgase y Piense ¿Cuál es la diferencia entre una VIP y un IP POOL? ¿En qué escenarios cree usted que debe de utilizar cada uno de los objetos VIP y IP POOL?
Discútalo con el grupo…
Page 44
Guía del Estudiante
LAB5. WEB FILTER
En este lab usted aprenderá como configurar perfiles de filtrado web incluyendo categorías de filtrado web de FortiGuard, aplicar los perfiles a una política de firewall y Troubleshooting básico.
También aprenderá a sobrescribir categorías y a ejecutar overrides en el perfil de seguridad. Web Filter overrides permite ejecutar acciones diferentes, en lugar de la configurada en el perfil de filtrado web.
OBJETIVOS
• • • • •
Configurar perfiles de web filter en su FortiGate Aplicar filtrados basados en categorías de FortiGuard para su filtro web Troubleshooting de web filter Leer e interpretar logs de filtrado web Configurar web filter overrides
TIEMPO ESTIMADO •
50 Minutos
REQUISITOS
1.
Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” el cual regresara nuestra configuración a su estado inicial
Page 45
Guía del Estudiante
FORTIGUARD WEB FILTERING
Para poder configurar perfiles de filtrado web utilizando las categorías de FortiGuard, usted debe de asegurarse que su FortiGate posee licencias de suscripción válidas. El licenciamiento provee capacidades de hacer filtrado web necesarias para protegerse de websites inapropiados para su organización. Luego usted debe de configurar perfiles de filtrado web basados en categorías en fu FortiGate y aplicarlas a políticas de firewall para que pueda inspeccionar tráfico HTTP y HTTPS Finalmente usted podrá probar diferentes acciones que puede tomar el FortiGate de acuerdo al rating de los sitios web visitados y que pertenecen a una categoría de FortiGuard.
CONFIGURANDO PERFILES DE FILTRADO WEB BASADOS EN CATEGORIAS DE FORTIGUARD
1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES
WEB FILTER
NOTA Usted recibirá una alerta diciendo que su FortiGate no tiene licencias validas de filtrado web. Esto es normal ya que usted no ha configurado en ninguna política algún perfil de filtro web, cuando usted termine el lab ya no se presentará ninguna alerta.
2. Del menú de drop-down en la parte superior derecha, asegúrese que el perfil DEFAULT este seleccionado como su perfil de filtrado web a editar:
3. Habilite FORTIGUARD CATEGORY BASED FILTER
Page 46
Guía del Estudiante
4. Verifique la acción predefinida para cada una de las categorías globales y configúrelas de la siguiente manera:
CATEGORIA Local Categories Potentially Liable Adult/Mature Content Bandwidth Consuming
Security Risk General Interest - Personal General Interest - Business Unrated
ACCION Monitor Block Block: Other Adult Material y Pornography Monitor: Todas las otras subcategorías Block: Streaming Media and Download Warning: todas las demás subcategories (Definir un intervalo de 5 min – default) Block Monitor Monitor Monitor
5. Expanda la categoría principal GENERAL INTEREST – BUSINESS Luego dele click derecho a la sub categoría SEARCH ENGINES AND PORTALS y seleccione ALLOW
6. Click APPLY
Page 47
Guía del Estudiante
APLICANDO EL P ERFIL DE WEB FILTER A LA POLITICA DE FIREWALL 1. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS
IPV4 POLICY y
edite la política llamada LAN A
INTERNET
2. Bajo la sección SECURITY PROFILES habilite WEB FILTER y seleccione el perfil llamado DEFAULT. Note que esta acción habilita los perfiles de PROXY OPTIONS y CERTIFICATE-INSPECTION de manera automática
3. En la sección de LOGGING OPTIONS , habilite LOG ALLOWED TRAFFIC, y seleccione SECURITY EVENTS para habilitar los logs de UTM (esta opción solo loguea eventos de UTM, ALL SESSIONS loguea trafico permitido o negado y además logs de UTM)
4. Mantenga todas las demás opciones default y dele c lick en el botón de OK
PROBANDO EL FILTRADO DE CONTENIDO
El propósito de este lab es que usted revise el rating de los sitios web y pruebe el perfil de filtrado web para cada categoría configurada. 1. Desde su Bastión ingrese a https://www.fortiguard.com/webfilter
Page 48
Guía del Estudiante
2. Busque a que categoría pertenece: http://www.playboy.com
Este es uno de los sitios con el que usted hará pruebas más adelante con su perfil de filtrado web. Como puede ver, Playboy esta categorizado como PORNOGRAPHY 3. Use nuevamente la herramienta de FortiGuard Web Filter para buscar a que categorías pertenecen los siguientes sitios web: a. www.magicjack.com b. www.bing.com La siguiente tabla muestra la categoría asignada a cada URL y la acción que se tomara cada vez que usted visite estos sitios de acuerdo a la configuración de su perfil de filtrado web
WEBSITE www.playboy.com www.magicjack.com www.bing.com
CATEGORIA Pornography Internet Telephony Search engines and portals
ACCION Block Warning Allow
4. En su máquina bastión ingrese a www.playboy.com (recuerde que este es un laboratorio donde simulamos escenarios de la vida real). La página de bloqueo deberá de aparecer de acuerdo a la acción configurada para la categoría en pornografía en el perfil de Webfilter
Page 49
Guía del Estudiante
5. Abra otra ventana de su navegador e ingrese a www.magicjack.com Una pagina de advertencia aparecerá de acuerdo a la acción configurada en el perfil de web filter
6. Dele click en PROCEED para aceptar la advertencia e ingresar al sitio web 7. Abra otra ventana de su navegador e ingrese a www.bing.com, el sitio web debe de aparecer normalmente ya que la acción configurada en el filtrado web es ALLOW
CREANDO UN WEB RATING OVERRIDE
En este procedimiento usted re categorizara la página de www.bing.com
1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES WEB RATING OVERRIDES 2. Dele click en el botón de CREATE NEW y configure los siguientes parámetros:
CAMPO URL Category Sub-Category 3. Click OK
Page 50
VALOR www.bing.com Security Risk Malicious Websites
Guía del Estudiante
PROBANDO SU WEB RATING OVERRIDE
1. Abramos una sesión de SSH usando Kitty (putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin con contraseña 123456 2. Ejecute el siguiente comando:
diagnose debug application urlfilter -1 diagnose debug enable
3. cierre todas las ventanas de su navegador y solo deje una para tratar de ingresar a la página de www.bing.com 4. Regrese a la sesión de SSH en el Kitty (putty) y digite el comando diagnose debug disable y observe el output, debería ser similar a la siguiente imagen:
El diagnostico muestra que la URL hace match en una categoría de local rating en FortiGuard. Así que www.bing.com es bloqueado porque usted tiene override en este rating de categoría
Page 51
Guía del Estudiante
LAB5.1 WEB FILTER
EJERCICIO 1 1. Elimine todas las políticas que van desde su red local hacia internet 2. Planteamiento del problema: Necesita darle accesos a un grupo de IPs de su empresa (La IP de su Bastión) para que puedan acceder a 4 sitios únicamente, usando una combinación entre FortiGuard Webfilter y URL Filter permita el tráfico hacia: o o o o
bancoagricola.com davivienda.com.sv mh.gob.sv equifax.com
EJERCICIO 2 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cargue el backup de su carpeta de Backups llamado: EJERCICIO5_WEBFILTER.CONF 3. Planteamiento del problema: El gerente de Recursos Humanos se ha quejado porque ha visto a usuarios con acceso limitado ingresando a sitios como www.facebook.com, www.twitter.com, www.instagram.com, otras redes sociales y correo web. Le ha solicitado al departamento de TI que bloquee de manera inmediata el acceso a esos sitios y que ningún usuario pueda ingresar a navegar a ellos. Usted como encargado del departamento está seguro que posee un web filter donde se bloquean las categorías de redes sociales, pornografía, consumo de ancho de banda, entre o tras. ¿Porque razón no está funcionando el perfil de filtrado web si sus licencias están validas, y efectivamente usted está consiente que las categorías están siendo filtradas y la acción es BLOCK? Sugerencias: • • • •
Valide el funcionamiento del Webfilter ingresando a la página www.playboy.com Verifique las licencias en el dashboard Verifique si es bloqueado cuando ingresa algún sitio web de alguna red social o correo web como Hotmail Apóyese en los Logs para validar la política por la cual están saliendo los usuarios
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de Backups
Page 52
Guía del Estudiante
LAB6. APPLICATION CONTROL
En este lab usted aprenderá a configurar y usar control de aplicaciones para tomar acciones apropiadas basados en sus aplicaciones. Usted revisara los logs y monitoreo del FortiView, también aprenderemos a cómo controlar el tráfico de una aplicación usando calidad de servicio (traffic Shapping)
OBJETIVOS
• • •
Configurar perfiles de control de aplicaciones Leer y entender logs de control de aplicaciones desde FortiView Configurar y monitoreas calidad de servicio en perfiles de co ntrol de aplicaciones
TIEMPO ESTIMADO •
30 Minutos
REQUISITOS
1.
Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” el cual regresara nuestra configuración a su estado inicial
Page 53
Guía del Estudiante
CREANDO UN PERFIL DE CONTROL DE APLICACIONES
En este ejercicio usted creara un perfil de application control. El FortiGate hace match en el tráfico en el siguiente orden: • • •
Application Overrides Filter Overrides Categorías
Usted también vera el log de control de aplicaciones desde su FortiView para confirmar que las aplicaciones estén siendo logueadas de manera correcta
CONFIGURANDO OVERRIDES DE APLICACIONES
En la configuración de su FortiGate ya tenemos un perfil de aplicaciones que está configurado como “monitor”, esto permite a la aplicación pasar a través del FortiGate, pero genera un mensaje de log. En este ejercicio usted configurara un override de aplicaciones para que to me precedencia sobre las categorías de aplicaciones.
1. Desde su bastión, ingrese a la GUI de su FortiGate 2. Ingrese al menú SECURITY PROFILES APPLICATION CONTROL 3. Revise como está configurado el perfil DEFAULT
4. En la página EDIT APPLICATION SENSOR , click en ADD SIGNATURE en el apartado APPLICATION OVERRIDES para agregar una firma de aplicación 5. Click en NAME y digite DAILYMOTION en el campo de búsqueda 6. Click en DAILYMOTION :
7. Luego dele click en el botón USE SELECTED SIGNATURES . Su configuración debería de verse de la siguiente manera:
Page 54
Guía del Estudiante
8. La acción debe de mostrarse como BLOCK por default, dele click en el botón de APPLY
VERIFICANDO QUE EL PERFIL DE CONTROL DE APLICACIONES ESTA SIENDO APLICADO
1. Desde la GUI de su FortiGate ingrese al menú POLICY & OBJECTS IPV4 POLICY 2. Dele click en la columna de ID de la política que va de la LAN hacia INTERNET y seleccione EDIT
3. Bajo la sección de SECURITY PROFILES active la opción de APPLICATION CONTROL y verifique que este seleccionado el perfil DEFAULT
Page 55
Guía del Estudiante
4. Asegúrese que la política tenga las opciones de Logging activas de la siguiente manera:
5. Click en el Botón de OK
PROBANDO EL PERFIL DE CONTROL DE APLICACIONES
1. Desde su Bastión, abra una ventana de su navegador e ingrese a la URL: http://dailymotion.com 2. Usted debería de ver un mensaje de bloqueo indicando que la aplicación está bloqueada
Page 56
Guía del Estudiante
REVISANDO LOGS
1. Desde la GUI del FortiGate ingrese al menú LOG & REPORT
APPLICATION CONTROL
NOTA La sección de LOGS de APPLICATION CONTROL no será mostrada hasta que se genere un evento de control de aplicaciones. FortiGate lo mostrara luego de haber creado el Log. Si este menú no es mostrado, refresque la ventana de su navegador.
2. Busque la entrada donde se confirme que DAILYMOTION fue bloqueado
FORWARD TRAFFIC y busque la entrada de DAILYMOTION (asegúrese de no tener 3. Ingrese a LOG & REPORT ningún filtro y estar viendo los logs del disco duro del FortiGate), usted puede ver más detalle acerca del log así como la IP NATeada, bytes enviados y recibidos, la acción y la aplicación
Page 57
Guía del Estudiante
LIMITANDO EL TRAFICO DE UNA APLICACIÓN USANDO TRAFFIC SHAPERS
Usted puede limitar el tráfico de una o varias aplicaciones o categorías usando calidad de servicio. Usted debe de asegurarse que los parámetros configurados hagan match con la política donde usted quiere aplicar el traffic shaper
MODIFICANDO EL OVERRIDE DE LA APLICACIÓN DAILYMOTION
1. Desde la GUI de su FortiGate ingrese al menú SECURITY PROFILES APPLICATION CONTROL 2. Verifique que tenga seleccionado el perfil DEFAULT en la esquina superior derecha 3. Bajo la sección de APPLICATION OVERRIDE dele click derecho a DAILYMOTION y click en MONITOR, esto cambiara la acción de BLOCK a MONITOR 4. Click en el botón de APPLY NOTA Para que nuestro traffic shaper funcione debemos de permitir que el tráfico fluya a través del FortiGate en lugar de bloquearlo.
CREANDO EL PERFIL DE TRAFFIC SHAPER
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS 2. Le damos click al botón de CREATE NEW 3. A continuación, configuraremos los siguientes campos:
CAMPO Type Name Traffic Priority Max Bandwidth
VALOR Shared Dailymotion_Shaper Low 128 Kbps
4. Click en el botón de OK
Page 58
TRAFFIC SHAPERS
Guía del Estudiante
CONFIGURANDO LA POLITICA DE TRAFFIC SHAPER
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS el botón de CREATE NEW 2. Configuramos los siguientes campos:
CAMPO Source Destination Service Application Outgoing Interface Reverse Shaper
Enable this policy
TRAFFIC SHAPING POLICY y
dele click en
VALOR all all ALL Dailymotion SD-WAN Habilite el Traffic Shaper creado en el paso anterior DAILYMOTION_SHAPER Enable
PROBANDO EL TRAFFIC SHAPER
Ahora que ya ha realizado la configuración completa, ingrese a dailymotion.com y mire un video.
1. Desde su Web browser ingrese a la página http://dailymotion.com 2. Trate de ver algún video del sitio web Usted podrá notar que el acceso al sitio es lento y que el video está tomando mucho en cargar 3. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS TRAFFIC SHAPERS 4. Revise la cantidad de paquetes DROPPED para el traffic shaper configurado, usted se puede fijar que su FortiGate está botando paquetes de la aplicación Dailymotion
Page 59
Guía del Estudiante
LAB6.1 APPLICATION CONTROL
1. Elimine todas las políticas que van desde su red local hacia internet 2. Planteamiento del problema: La Gerencia de su empresa requiere que todas las aplicaciones en la categoría de sean bloqueadas para todos los usuarios, pero se necesita que se permita el acceso a YouTube de manera controlada donde no sobrepase los 128kbps de tráfico para dicha aplicación 3. Cree una política y asigne un perfil de Application Control para cumplir el requerimiento de gerencia
Page 60
Guía del Estudiante
LAB7. FIREWALL AUTHENTICATION – LOCAL
En este lab usted aprenderá a configurar su FortiGate para sirva como un servidor de autenticación local, de igual manera configurará un portal captivo en su interface de salida a internet para que le solicite credenciales para navegación (autenticación activa)
OBJETIVOS
• •
Configurar autenticación de forma local Configurar un portal captivo parta forzar que los usuarios se autentiquen cuando quieran navegar a internet
TIEMPO ESTIMADO •
60 Minutos
REQUISITOS
1.
Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” el cual regresara nuestra configuración a su estado inicial
Page 61
Guía del Estudiante
AUTENTICACION LOCAL
En este ejercicio usted aprenderá a configurar su FortiGate para autenticación de usuarios de forma loc al.
CONFIGURANDO SU FORTIGATE
1. Desde la GUI de su FortiGate ingrese al menú USER & DEVICE
USER DEFINITION y dele click al botón de CREATE
NEW
2. Configure los siguientes parámetros:
CAMPO User Type Username Password Email Address SMS Two-factor Authentication User Account Status User Group
VALOR Local User usuario_local 123456 Deje este parámetro por default
Enable Deje este parámetro por default
3. Click SUBMIT 4. Ahora tendrá dos usuarios dentro de su base de datos local de usuarios.
5. Click en el botón de OK
Page 62
Guía del Estudiante
ASIGNANDO USUARIOS LOCALES A UN GRUPO DE FIREWALL
1. Desde la GUI ingrese al menú USER & DEVICE 2. Dele click en el botón de CREATE NEW 3. Configure los siguientes campos:
USER GROUPS
CAMPO
VALOR Name Local-Users Type firewall En el apartado de MEMBERS seleccionamos: Members Usuario_local
4. Click en el botón de OK
Page 63
Guía del Estudiante
PORTAL CAPTIVO
En este ejercicio usted configurara un portal captivo para restringir el acceso en la navegación para que solo un grupo de usuarios pueda acceder a internet. Portales captivos es conveniente para autenticar usuarios en la navegación o redes wireless. Una forma en HTML será presentada al usuario donde estos tendrán que ingresar un usuario y password válidos para poder continuar.
HABILITANDO PORTAL CAPTIVO
Como la finalidad es habilitar la autentic ación local para un grupo específico de usuarios a través de un portal captivo, usaremos el grupo que creamos en el apartado anterior
1. Ingresamos desde nuestra GUI al menú NETWORK INTERFACES y editamos el puerto LAN (port1). Este es su puerto de tráfico entrante, para más información revise la topología de red de su laboratorio. 2. Complete las siguientes configuraciones en el apartado ADMISSION CONTROL :
CAMPO Security Mode Authentication Portal User Access User Groups
3. Click OK para guardar los cambios.
Page 64
VALOR Captive Portal Local Restricted to Groups Local-Users
Guía del Estudiante
AUTENTICANDO USUARIOS Y MONITOREANDO
Ahora que ya tenemos nuestro portal captivo funcionando, usted puede probar la autenticación local de usuario usando portal captivo.
1. Abra una ventana de su navegador y trate de navegar a www.bbc.com o a cualquier otro sitio web 2. Cuando le aparezca el portal captivo ingrese las credenciales siguientes (Respetando las mayúsculas y minúsculas): Usuario: usuario_local o Password: 123456 o
3. Regrese a la GUI de su FortiGate, dejando las ventanas abiertas de los sitios donde navegó, e ingrese al menú MONITOR
FIREWALL USER MONITOR
4. Seleccione en la ventana a su usuario, luego click derecho y seleccione DE-AUTHENTICATE para que manualmente le dé “de baja” a la sesión de autenticación que acaba de iniciar 5. Click en OK 6. Cierre su navegador
Page 65
Guía del Estudiante
LAB8. SDWAN En este lab validaremos el funcionamiento de un enlace de internet secundario o de backup para redundancia de navegación
OBJETIVOS
• • • • • • • • •
Configurar un enlace principal de internet con su respectiva ruta Configurar un enlace secundario de internet con su respectiva ruta Determinar el uso de distancia y prioridad en las rutas estáticas Configurar una interface de SDWAN Aplicar políticas de Performance de SLA Monitorear el uso de sus enlaces a través de la interface de SDWAN Crear políticas de SDWAN para navegación Balancear tráfico entre sus dos enlaces de internet Simular falla de los enlaces para validar el funcionamiento de fail-over
TIEMPO ESTIMADO •
40 minutos
REQUISITOS
1.
Debemos de hacer la restauración del backup llamado: “EJERCICIO8_SDWAN.conf” el cual adecuara la configuración para el lab de SDWAN
Page 66
Guía del Estudiante
ENLACES DE INTERNET USANDO SDWAN
Durante este laboratorio usted configurara dos enlaces de internet destinados para la navegación a internet, además configuraremos una interface de SDWAN para el balanceo, fail-over y monitoreo de dichos enlaces a internet.
CONFIGURANDO NUESTROS DOS ENLACES A INTERNET
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO8_SDWAN.conf” usando el usuario “admin” y password “123456”
Deténgase y Observe Revise si posee navegación hacia internet desde su bastión. Observe su gestor de políticas y valide si existen permisos de navegación para su red local y para su servidor de DNS (Controlador de Dominio en su DMZ) Verifique si los enlaces (principal y secundario) está configurado en el port3 (como VLANs en dicho puerto dándole click e el signo “+” al lado izquierdo dl port3) Valide las rutas estáticas en su FortiGate y revise si existen rutas hacia sus dos enlaces de internet (Network Static Routes) adicionales a las rutas de administración (172.30.1.0/24 y 192.168.0.0/16 no modificar)
1. Ingrese al menú NETWORK STATIC ROUTES 2. Deberá de agregar una ruta defaults adicional a la WAN1 la cual pertenece a su enlace de respaldo o de backup dándole click al botón de CREATE NEW para su nuevo enlace de Internet de la siguiente manera: WAN 1 (YA CONFIGURADA)
WAN 2 (NUEVO ENLACE)
Page 67
Guía del Estudiante
Deténgase y Piense ¿Qué entiende por distancia y prioridad en las rutas estáticas?
3. Ingrese al menú NETWORK SD-WAN 4. Dele click al botón de ENABLE y en el cuadro de selección (SD-WAN Interface Members) dele click en el signo “+” y configure su puerto de WAN1 con su respectivo Gateway o puerta de enlace y haga lo mismo con su WAN2 luego dele click en el botón de APPLY
5. Luego tenemos que configurar nuestro FortiGate para que detecte cuando uno de nuestros dos e nlaces se caiga para realizar el fail-over automáticamente. Ingrese al menú NETWORK PERFORMANCE SLA y le damos click en el botón de CREATE NEW NOTA Con esta configuración estamos midiendo: PROTOCOL A través de ping miraremos la disponibilidad del enlace haciéndole ping a un server en internet (en este caso el DNS 8.8.8.8 y 4.2.2.2) por cada uno de sus enlaces a internet SLA TARGETS Mediremos el estado del enlace a través de valores como Latencia, Jitter y la perdida de paquetes por cada interface a monitorear, esto sirve para que su FortiGate tome una decisión por cual enlace enviara el tráfico, en este caso por la que cumpla las SLA definidas LINK STATUS El intervalo en el cual se hará la verificación (ping) hacia el server en internet definido en “server”, cuantos pings se deben de perder para hacer el fail-over (failures before inactive) y cuantos pings se requieren para volver a utilizar el enlace (restauración del enlace), por último, se hará una actualización de la tabla de rutas para eliminar o agregar la ruta de cada enlace monitoreado en caso de caída o de restauración de la comunicación.
Page 68
Guía del Estudiante
6. Ya teniendo nuestros valores de monitoreo para ambas interfaces procedemos a crear las políticas para acceso de Internet para la DMZ y para la red loc al. Creamos dos políticas: •
•
La primera que permita acceso desde la DMZ hacia la interface SD-WAN, origen all, destino all, horario always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor) La segunda que permita acceso desde la LAN hacia la interface SD-WAN, origen all, destino all, horario always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)
7. Abra una ventana de MS-DOS y deje un ping extendido a 8.8.8.8 y solicite a su instructor que de de baja al enlace primario de internet (ISP) para validar la prueba de fail-over (Si los demás asistentes aun no t erminan la configuración, navegue a internet para generar trafico y valide el performance de su SD-WAN) 8. Ingrese al menú NETWORK SD-WAN y verifique el uso de sus interfaces de Internet 9. Ingrese al menú NETWORK PERFORMANCE SLA y verifique el estado del monitoreo para la WAN1
Page 69
Guía del Estudiante
LAB9. SSL VPN En este lab configuraremos una VPN SSL móvil utilizando su FortiGate y el FortiClient instalado en su bastión
OBJETIVOS
• • • •
Aprender a como configurar una VPN SSL para acceso desde su FortiClient o vía Web Conocer las ventajas de tener una interface de LoopBack para validar la conectividad en una VPN Definir políticas de autenticación de usuarios remotos para uso en FortiClient Aprender a como configurar un FortiClient para conexiones de VPN SSL
TIEMPO ESTIMADO •
40 minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet. 2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra configuración para el LAB de VPNSSL y VPN IPSEC
Page 70
Guía del Estudiante
CONEXIONES SSL USANDO FORTICLIENT
Durante este laboratorio usted configurara una VPN SSL a través de autenticación local utilizando como cliente móvil el FortiClient para acceder a redes remotas a través de internet o de enlaces dedicados. Notara que existen dos nuevas interfaces a) LAN_VPN (LOOPBACK) La ventaja de una interfaz de loopback es que esta interfaz lógica siempre está activa (sin dependencia del enlace físico) y las subredes conectadas siempre están presentes en la tabla de enrutamiento. b) port10 (WAN EMPRESARIAL)
CONFIGURANDO NUESTRO ENLACE VPN-SSL
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO9-EJERCICIO10_VPNs.conf ” usando el usuario “admin” y password “123456” 1. Este laboratorio lo haremos en parejas para validar la conectividad entre los FortiGate y clientes móviles usando FortiClient 2. Como primer paso de la configuración vamos a crear un grupo de usuario local en el FortiGate y un usuario local al cual haremos miembro del grupo que acabamos de crear. Ingresamos al menú de USER & DEVICE --> USER GROUPS --> CREATE NEW
3. Luego de crear nuestro grupo de usuarios que nos servirá para autenticar a los clientes móviles, crearemos a nuestro usuario para hacerlo miembro del grupo de autenticación. Ingresamos al menú de USER & DEVICE --> USER DEFINITION --> CREATE NEW a) User type: Local User b) Username : vpn c) Password: 123456 d) Contact Info (dejarlo por default) e) Extra Info: UserGroup --> SSL_VPN_GROUP
Page 71
Guía del Estudiante
4. Debemos de crear un objeto de dirección con la red LAN_VPN local de su FortiGate (LOOPBACK) que nos servirá para agregar la ruta en el cliente móvil. Ingrese al menú POLICY & OBJECTS --> ADDRESSES --> CREATE NEW (Nótese que en el campo de SUBNET / IP RANGE debe de ingresar la red local del a interface LAN_VPN, la imagen muestra la LAN del instructor, usted debe de ingresar su propia red de acuerdo a la configuración de su FortiGate) y creamos un nuevo objeto de Direccion llamado LOCAL_NETWORK y definimos la red 172.16.X.0/24 (donde la X definen el tercer octeto de la red a la que quiere acceder desde el FortiClient VPN.
5. Ingrese al menú VPN --> SSL-VPN PORTALS y editamos el portal default FULL-ACCESS. Nos aseguramos que SPLIT TUNNELING este seleccionado y definimos la red local a la cual los usuarios móviles podrán tener acceso desde la VPN (Objeto que creamos en el paso anterior L OCAL_NETWORK) luego le damos click al botón de OK
Page 72
Guía del Estudiante
6. Ingrese al menú VPN --> SSL-VPN SETTI NGS donde debemos de definir: a) La interface por la cual permitiremos conexiones SSL (PORT10) b) Modificamos el puerto default de 443 a 10443 (ya que si lo dejamos en 443 perderemos la administración de nuestro FortiGate ya que a través de dicho puerto solamente se permitirán conexiones SSL). c) En la opción de RESTRICT ACCESS seleccionamos la opción de ALLOW ACCESS FROM ANY HOST d) En la opción de ADDRESS RANGE seleccionamos que automáticamente asigne una Direccion IP a nuestros clientes móviles. e) Por último, agregamos nuestro grupo de usuarios para autenticación y definimos un portal default para todos los demás grupos. En el apartado AUTHENTICATION/PORTAL MAPPING damos click en el botón de CREATE NEW y seleccionamos nuestro grupo de usuarios que creamos en el paso 2 y definimos como portal para dicho grupo el portal FULL-ACCESS f) Editamos el grupo ALL OTHER USERS/GROUP y definimos el portal WEB-ACCESS g) Aplicamos las configuraciones dando click al botón de APPLY
Page 73
Guía del Estudiante
h)
Page 74
Por último, luego de guardar nuestras configuraciones, aparecerá una alerta en la parte superior de SSLVPN SETTINGS donde nos alerta que no existen políticas que permitan acceso a la red local (loopback) a la que tiene acceso la VPN. Le damos click en la alerta y definimos nuestra política de la siguiente manera:
Guía del Estudiante
7. Debemos de configurar una política que permita el trafico desde su red LAN hacia la WAN EMPRESARIAL para que su FortiClient se pueda conectar al firewall remoto y poder establecer la VPN (debe de utilizar NAT en dicha polític a – puede ayudarse del LAB.3 – Políticas) 8. Ahora es momento de configurar el FortiClient en la PC Bastión de su compañero de trabajo de la siguiente manera: a) Iniciamos nuestro FortiClient dándole click al botón en la barra de tareas cerca del reloj de Windows
b) Seleccionamos la opción de REMOTE ACCESS y agregamos una nueva configuración de la siguiente manera (Donde 192.9.200.X, es la IP del puerto10 de su c ompañero):
Page 75
Guía del Estudiante
c) ingresamos el usuario y password definidos en el paso 6 d) Abrimos una ventana de DOS y hagamos ping a la IP 172.16.X.1 (siendo X el tercer octeto de la red del FortiGate a la que se quiere conectar el cliente móvil
Page 76
Guía del Estudiante
LAB10. IPSEC VPN
En este lab configuraremos una VPN de punto a punto utilizando su FortiGate y otro firewall en internet o a través de un enlace dedicado
OBJETIVOS
• • •
•
Identificar las fases de Internet Key Exchange ( IKEv1) Identificar la necesidad de rutas para las VPNs en modo Interface Desplegar una VPN site-to-site entre su FortiGate y otro firewall en la nube de internet o la de su proveedor de enlaces dedicados Monitorear los túneles VPNs
TIEMPO ESTIMADO •
60 Minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet. 2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra configuración para el LAB de VPNSSL y VPN IPSEC
Page 77
Guía del Estudiante
ROUTE-BASED IPSEC VPN
Durante este laboratorio usted configurara un túnel IPSec entre su FortiGate y otro firewall o concentrador de VPN para poder comunicar su bastión y otra red completamente diferente (FortiGate de su Compañero)
USANDO EL WIZARD DE VPNS
Abra una ventana de DOS y trate de hacerle ping a la IP remota 172.16.X.1 (Donde X es el tercer octeto de la red local loopback- de su compañero), usted puede ver que no tiene respuesta desde ese host, la finalidad de la VPN es poder tener acceso a la red remota a través de una conexión segura.
1. Desde la GUI de su FortiGate ingrese al menú VPN 2. Dele click en el botón de CREATE NEW 3. Configure los siguientes parámetros:
CAMPO Name Template Type Remote Device Type NAT Configuration
IPSEC TUNNELS
VALOR Hacia_Remoto Site to Site FortiGate No NAT between sites
4. Click en NEXT 5. A continuación, configure los siguientes parámetros:
CAMPO Remote Device IP Address Outgoing Interface
Authentication Method
Page 78
VALOR IP Address 192.9.200.X (IP FortiGate Remoto) WAN EMPRESARIAL (PORT10) debería de seleccionarla automáticamente, en caso de no hacerlo seleccionarla manualmente Pre-shared Key
Guía del Estudiante
Pre-shared Key
Fortinet$$ (Respetando las mayúsculas y minúsculas)
6. Click NEXT 7. Prosiga en el wizard y configure los siguientes campos:
CAMPO Local Interface Local Subnets
Remote Subnets
VALOR LAN_VPN (LoopBack) 172.16.X.0/24 (El Wizard la debería de seleccionar de manera automática sino defínala manalmente) 172.16.X.0/24 Red remota de la interface LAN_VPN del FortiGate de su compañero la cual es diferente en el tercer octeto a la de su FortiGate
8. Click en CREATE, usted debería de ver la siguiente ventana:
9. Click en SHOW TUNNEL LIST usted podrá ver el túnel que acaba de crear.
Notara que el status de la VPN esta INACTIVE 10. Ingrese al menú MONITOR IPSEC MONITOR y dele click derecho a la VPN y levántela de manera manual (siempre y cuando este configurado de la misma manera en el FortiGate de su compañero, la VPN debería de levantar automáticamente)
Page 79
Guía del Estudiante
11. Abra una ventana de KITTY (SSH Client similar a Putty) y digite los siguientes comandos exe ping-options source 172.16.X.1
Con el comando anterior forzaremos a nuestro FortiGate hacer ping desde la IP de su interface de LoopBack, sustituyendo la X por el tercer octeto de su red de LoopBack exe ping 172.16.X.1
Con este comando haremos ping a la inte rface de LoopBack del sitio remoto (Interface del FortiGate de su compañero), sustituyendo la X por el tercer octeto de la red de LoopBack de su compañero
Debería de poder hacerle ping a la interface remota a través de la VPN ADDRESS y observe dos nuevos objetos que fueron creados de manera 12. Ingrese al menú POLICY & OBJECTS automática por el Wizard Hacia_Remoto_local o Hacia_Remoto_remote o 13. Ingrese al menú POLICY & OBJECTS IPV4 y observe dos nuevas políticas:
14. Ingrese a NETWORK
Page 80
STATIC ROUTES y
verifique la ruta estática ingresada por el wizard