guia estudiante fortigate

GUÍA DEL ESTUDIANTE

10-Sep-18

FortiGate 6.0.X Esta guía describe una serie de tareas administrativas para configurar su FortiGate, las mejores prácticas y ejemplos de consejos de configuración, también incluye numerosos temas que abarcan componentes de FortiOS que se pueden utilizar para configurar su red y firewall.

Guía del Estudiante

CONTENTS VIRTUAL LABS BASICS............. ............. ............. .............. ............. ............. .............. ............. ............. ...... 4

Network Topology ............................................................................................................................................................... ............................................................................................................................................................... 4 LAB1. INTRODUCCION A FORTIGATE ..................................................................................................... 5

Objetivos .................................................................................. .................................................................................................................................................................... .......................................................................................... ........5 Tiempo estimado ....................................................................................................................................... ............................................................................................................................................................... ........................ 5 Trabajando con la Linea de Comando (CLI) ....................................................................... .................................................................................................................. ........................................... 6 Backups de Configuraciones........................................................................... ........................................................................................................................................... ................................................................ 11 Restaurando una Configuracion desde un Backup .................................................................................. ................................................................................................. ............... 11 Realizando un Backup de Configuracion ................................................................................................................. ................................................................................................................. 13 Restaurando un Archivo de Configuracion Encriptado .......................................................................... .......................................................................................... ................ 14 Compare las dos Configuraciones ......................................................................... ............................................................................................................................. .................................................... 14 Cuentas Administrativas .................................................................................... ................................................................................................................................................... ............................................................... 15 Creando un Perfil de Administrador ................................................................................... ......................................................................................................................... ...................................... 15 Creando una Cuenta de Administrador ................................................................................................................... ................................................................................................................... 15 Comprobando la Nueva Cuenta de Administracion ............................................................................... .............................................................................................. ............... 16 LAB2. LOGGING Y MONITOREO ........................................................................................................... 17

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 17 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 17 Configuracion de Logs en el Fortigate .................................................................................. ......................................................................................................................... ....................................... 18 Configure Logs Settings ................................................................................ ................................................................................................................................................ ................................................................ 18 Configuracion de Threat Weight (Peso de Amenazas)............................................. Amenazas)......................................................................................... ............................................ 18 Habilite Logging en la Politica de Firewall ................................................................................................ ............................................................................................................. ............. 20 Generando Trafico en el Fortigate ........................................................................................................................... ........................................................................................................................... 22 Revisando los Logs en la GUI del Fortigate ............................................................................................................ ............................................................................................................ 24 Observando Logs en FortiView ............................................................................................. .................................................................................................................................. ..................................... 25 LAB3. POLITICAS DE FIREWALL ............................................................................................................. 26

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 26 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 26 Creando Objetos de Direccion y Politicas de Firewall.............................................................................. ............................................................................................. ............... 27 Creando Objetos de direccion ........................................................................................................... ................................................................................................................................... ........................ 27 Creando una Politica de Firewall .............................................................................................................................. .............................................................................................................................. 28 Probando la Politica ..................................................................................................................................................... ..................................................................................................................................................... 29 Identificación de Dispositivos.......................................................................... .......................................................................................................................................... ................................................................ 30 Configurando y probando la politica por dispositivo............................................................................ ........................................................................................... ............... 31 Reconfigurando la identificacion de dispositivos............................................. dispositivos.................................................................................................... ....................................................... 33 Viendo el detalle de un dispositivo identificado ........................................................................ .................................................................................................... ............................ 34

Page 1

Guía del Estudiante LAB3.1 POLITICAS DE FIREWALL ........................................................................................................... 36 LAB4. NETWORK ADDRESS TRANSLATION (NAT) ................................................................................ 38

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 38 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 38 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 38 Acceso Utilizando VIPs .................................................................................................... ..................................................................................................................................................... ................................................. 39 Creando una VIP ......................................................................................................................... ........................................................................................................................................................... .................................. 39 Creando la Politica de Firewall ................................................................................................................................. ...................................................................................................................... ........... 40 Validando nuestra politica con c on destino VIP .................................................................................. ............................................................................................................. ........................... 41 NAT Dinamicos usando IP POOL ................................................................................................................................... ................................................................................................................................... 42 Creando un IP Pool............................................................................ ........................................................................................................................................................ ............................................................................ 42 Editando la politica para usar su IP Pool ......................................................................... ................................................................................................................. ........................................ 42 Probando su Politica de IP Pool ....................................................................................................................... ................................................................................................................................. .......... 43 LAB5. WEB FILTER .................................................................................................................................. 45

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 45 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 45 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 45 Fortiguard Web Filtering ............................................................................................................ ................................................................................................................................................ .................................... 46 Configurando Perfiles de Filtrado web basados en categorias de FortiGuard............................................. 46 Aplicando el perfil de Web Filter a la politica de Firewall............................................................................. ................................................................................ ... 48 Probando el Filtrado de Contenido .......................................................................................................................... .......................................................................................................................... 48 Creando un Web Rating Override ........................................................................................................................... ........................................................................................................................... 50 Probando su Web Rating Override ................................................................................... .......................................................................................................................... ....................................... 51 LAB5.1 WEB FILTER ................................................................................................................................ 52 LAB6. APPLICATION CONTROL............................................................................................................. 53

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 53 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 53 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 53 Creando un perfil de control de aplicaciones .............................................................................................. ............................................................................................................ .............. 54 Configurando Overrides O verrides de Aplicaciones ........................................................................ ................................................................................................................ ........................................ 54 Verificando que el Perfil de Control de Aplicaciones esta siendo Aplicado ................................................... 55 Probando el Perfil de Control de Aplicaciones .......................................................................... ...................................................................................................... ............................ 56 Revisando Logs ............................................................................................................... ............................................................................................................................................................... ................................................ 57 Limitando el trafico de una aplicación usando Traffic Shapers .... ............................................................................. ......................................................................... 58 Modificando el Override de la aplicación dailymotion ....................................................................................... ....................................................................................... 58 Creando el perfil de Traffic Shaper .................................................................................. ......................................................................................................................... ....................................... 58 Configurando la Politica de Traffic Tr affic Shaper ............................................................................................................ ............................................................................................................ 59 Probando el Traffic Shaper .................................................................................................... ........................................................................................................................................ .................................... 59 LAB6.1 APPLICATION CONTROL .......................................................................................................... 60

Page 2

Guía del Estudiante LAB7. FIREWALL AUTHENTICATION – LOCAL ....................................................................................... 61

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 61 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 61 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 61 Autenticacion Local ........................................................................................................................................................... ........................................................................................................................................................... 62 Configurando su Fortigate........................................................................... ........................................................................................................................................... ................................................................ 62 Asignando Usuarios Loc ales a un Grupo de Firewall ............................................................................ ............................................................................................ ................ 63 Portal Captivo ................................................................................................................................................................... .................................................................................................................... ............................................... 64 Habilitando Portal Captivo ................................................................................................................................ ......................................................................................................................................... ......... 64 Autenticando usuarios y Monitoreando .................................................................................................................... .................................................................................................................... 65 LAB8. SDWAN ....................................................................................................................................... 66

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 66 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 66 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 66 Enlaces de Internet usando SDWAN......................................................................... ............................................................................................................................. .................................................... 67 Configurando nuestros dos enlaces a Internet ........................................................................................................ ........................................................................................................ 67 LAB9. SSL VPN.............. ............. ............. .............. ............. ............. .............. ............. ............. .............. . 70

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 70 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 70 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 70 Conexiones SSL usando FortiClient ............................................................................................................................... 71 Configurando Nuestro N uestro Enlace VPN-SSL ............................................................................. .................................................................................................................... ....................................... 71 LAB10. IPSEC VPN ................................................................................................................................. 77

Objetivos .................................................................................. .................................................................................................................................................................... ....................................................................................... ..... 77 Tiempo estimado .............................................................................................. ............................................................................................................................................................ .............................................................. 77 Requisitos......................................................................................................................................................................... ......................................................................................................................................................................... 77 Route-Based IPSec VPN...................................................................... ................................................................................................................................................... ............................................................................. 78 Usando el Wizard de VPNs ....................................................................... ........................................................................................................................................ ................................................................. 78

Page 3


VIRTUAL LABS BASICS

NOTA

En esta clase, usará el laboratorio virtual para ejercicios prácticos. Esta sección explica Si usted tiene alguna duda sobre cómo conectarse al laboratorio y a sus máquinas virtuales. También muestra la topología como ingresar a su ambiente de de red de las máquinas virtuales en el laboratorio.

Laboratorio, favor de solicitar ayuda a su instructor

NETWORK TOPOLOGY

Desde su PC conectarse por RDP (Remote Desktop Connection) a la IP de Administración de su bastion

LA DIRECCION IP DE SU BASTION LA ENCONTRARA EN LA GUIA DEL ESTUDIANTE EN LA TABLA DE

ISP WAN1 IP: 190.5.24.169

ACCESOS

ISP WAN2 IP: 138.99.3.169 FORTIGATE LAN IP: 192.168.1.1 WAN1: 190.5.24.170 WAN2: 138.99.3.170

192.9.200.0/24

Administration IP: 172.30.5.X LAN IP: DHCP

Page 4

LAN 192.168.1.0/24

DMZ 10.0.1.0/24

LINUX DNS-WEBSERVER IP: 10.0.1.243

WAN Empresarial


LAB1. INTRODUCCION A FORTIGATE

Este laboratorio provee instrucciones de como ingresar a la administración de su FortiGate usando la CLI (Línea de Comando) y la GUI (Interfaz Gráfica de Usuario). Adicional a esto el Laboratorio lo guiara a través de como ejecutar un backup y una restauración de forma correcta de su configuración, de igual manera crearemos una nueva cuenta de administración y modificaremos los permisos de acceso de dicha c uenta.

OBJETIVOS

• • • • •

Acceder a la CLI (Línea de comando) de su FortiGate Backup y Restore de archivos de Configuración Encontrar el modelo de su FortiGate y la versión de FortiOS Firmware dentro del archivo de configuración Crear un usuario administrativo Restringir accesos administrativos

TIEMPO ESTIMADO •

30 minutos

Page 5


TRABAJANDO CON LA LINEA DE COMANDO (CLI)

Usted iniciara ingresando a su FortiGate usando la Línea de Comando (CLI)

Existen múltiples maneras de poder ingresar a la CLI, las cuales son: • • • •

Usando cable de Consola Serial Por medio de SSH o Telnet Desde la misma GUI Usando FortiExplorer (solo ciertos modelos)

En este laboratorio utilizaremos Kitty (Putty) y crearemos una sesión SSH hacia la interfaz LAN del Firewall. Para activar la administración por SSH seguimos los siguientes pasos: 1. Primeramente, ingrese a la GUI (Interfaz Gráfica de Usuario) usando la siguiente URL: https://192.168.1.1 2. Digite el usuario: admin (todo en minúscula) y deje la casilla de password en blanco, es decir sin contraseña. Por ser la primera vez que ingresa a su equipo debe definir un password para el usuario admin (favor de ingresar el password: 123456) luego tendrá que ingresar el usuario admin con el password que definió en este paso

3. Ingrese al menú de NETWORK  INTERFACES 4. Seleccionamos la Interface LAN (port1) y damos click en EDIT

5. Entre las opciones de ADMINISTRATIVE ACCESS seleccionamos SSH y la marcamos.

Page 6


6. Le damos click al Botón de OK 7. En el escritorio de la PC Windows (Bastión) seleccionamos KITTY (Cliente SSH similar a Putty) e ingresamos la IP de la interface LAN de nuestro FortiGate, nos aseguramos de que tengamos el puerto 22 definido y apretamos la tecla de ENTER

8. Ingresamos el usuario: admin con el password que hemos definido en el paso 3 (123456) e inmediatamente iniciaremos la sesión de administración por SSH contra nuestro FortiGate

Page 7


9. Ingresamos el siguiente comando: get sys status

Este comando muestra la información básica del status de su equipo, el output incluye el número de serie de su FortiGate, modo de operación y demás información. Cuando aparezca --More-- en la CLI presione la barra espaciadora de su teclado para continuar avanzando, presione Enter para avanzar una línea a la vez o presione Q para salir.

10. Ingrese el siguiente comando: get ?

NOTA

El carácter ? no es mostrado dentro de la pantalla

Este comando muestra todas las opciones que la CLI aceptará después de digitar el comando GET, dependiendo del comando, usted tendrá que ingresar alguna palabra adicional para especificar las o pciones de la configuración.

11. Presione la tecla hacia arriba esta acción mostrara el ultimo comando digitado. Trate las siguientes combinaciones que se muestran a continuación:

Acción

Comando

Comando anterior Comando siguiente Inicio de línea Final de la línea Retrocede una palabra Avanza una palabra Borra el carácter actual Limpia la pantalla Comando para abortar y salir

CTRL+A CTRL+E CTRL+B CTRL+F CTRL+D CTRL+L CTRL+C

12. Ingrese el comando: execute execute ?

Esto muestra todas las opciones que la CLI ace ptara luego del comando execute

Page 8


13. Digite exe seguido de la tecla TAB, note que la CLI completa el comando 14. Luego de tener el comando execute (del paso anterior) presione la barra espaciadora y presione la tecla TAB tres veces. Cada vez que usted presiona la tecla TAB, la CLI reemplaza la segunda palabra con la siguiente posible opción para el comando execute, en modo alfabético.

NOTA La mayoría de los comandos pueden ser abreviados, en los siguientes Labs, muchos de los comandos serán digitados de manera abreviada. Use esta técnica para reducir el número de teclas que son requeridas para ingresar comandos. De esta manera, expertos pueden configurar el fortigate de manera más rápida por CLI que por GUI Si algún otro comando posee en un inicio los mismos caracteres que otro, la abreviatura deberá de ser lo suficientemente larga para que su unidad fortigate pueda distinguir entre una y otra, de lo contrario la CLI mostrara un error de comando ambiguo.

Page 9


15. Ingrese el siguiente comando en la CLI para revisar la configuración del puerto LAN show system interface port1

16. Ingrese el siguiente comando: show full-configuration system interface port1

Deténgase y Piense Compare los dos outputs de los comandos digitados en el paso 15 y 16, ¿en que son diferentes? El comando show full-configuration system interface port1 muestra todos los settings de configuración para la interface port1 (LAN), el comando show muestra únicamente los valores que son diferentes al valor default de configuración

Page 10


BACKUPS DE CONFIGURACIONES

Durante este ejercicio usted aprenderá como generar y restaurar configuraciones de backups en texto plano y enc riptados.

RESTAURANDO UNA CONFIGURACION DESDE UN BACKUP

En este procedimiento realizaremos una restauración de un backup en su FortiGate

1. Ingrese a su FortiGate usando el usuario admin ju nto con el password que ha definido. 2. Vaya al dashboard MAIN (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate) 3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION RESTORE

4. Click en UPLOAD y seleccione el archivo de backup que va a restaurar

NOTA El backup está situado en el escritorio de su Bastión en el folder: DESKTOP  BACKUPS Y se llama: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”

Page 11


5. Luego de haber seleccionado su archivo de configuración a restaurar el FortiGate mostrara una alerta, ya que esta acción causa que el equipo se reinicie de manera automática

6. Ingrese a NETWORK  INTERFACES y verifique que los permisos administrativos de sus interfaces fueron restaurados

Page 12


REALIZANDO UN BACKUP DE CONFIGURACION

1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco. 2. Vaya al dashboard - Main (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate) 3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION BACKUP

4. Habilite ENCRYPTION 5. Ingrese el password: “fortinet” (sin las comillas) dos vece s y seleccione OK 6. Guarde el archivo de configuración encriptado en el folder de BACKUPS de su Bastión.

NOTA NO

existe manera de recuperar una contraseña olvidada de un archivo de configuración, si usted no recuerda la contraseña en un backup, quedara inservible.

AL ERTA Siempre guarde un backup de su configuración antes de cualquier cambio (incluso si es un cambio menor o sin importancia), no existe manera de deshacer los cambios (undo). Restaurar un backup le permitirá revertir cambios si descubre algún problema con la nueva configuración

Page 13


RESTAURANDO UN ARCHIVO DE CONFIGURACION ENCRIPTADO

Para restaurar un archivo de configuración encriptado nec esitamos: 1. 2. 3. 4.

Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco. Vaya al dashboard (debería de ser la pantalla de inicio lue go de haber ingresado al FortiGate) En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION RESTORE Click en el botón de UPLOAD y seleccione el archivo que encripto en la sección anterior (Realizando un Backup de Configuración) 5. Click OK

Nótese que esta vez usted debe de ingresar el password “fortinet” (sin comillas)

COMPARE LAS DOS CONFIGURACIONES

1. Inicie Notepad++ dándole doble click en el icono de su escritorio: 2. Abra el archivo de configuración que encriptó en la sección “Realizando un Backup de Configuración” 3. Inicie otra instancia de Notepad++ y abra el backup inicial que restauro en la sección “Restaurando una Configuración desde un Backup” 4. Compare los detalles del contenido de ambos archivos

NOTA En ambos archivos los headers listan el firmware y la información de a qué modelo pertenece la configuración

Page 14


CUENTAS ADMINISTRATIVAS

FortiGate ofrece una gran flexibilidad para configurar privilegios de administrador. Usted puede especificar la IP desde la cual los administradores pueden conectarse a su equipo. Este Lab incluye el procedimiento relacionado de cómo trabajar con cuentas de administración.

CREANDO UN PERFIL DE ADMINISTRADOR

Para configurar un perfil de administrador se requiere de los siguientes pasos:

1. 2. 3. 4.

Desde la GUI de su FortiGate ingrese al menú SYSTEM ADMIN PROFILE Click en CREATE NEW y cree un nuevo perfil llamado Security_Admin_Profile Seleccione la opción de SECURITY PROFILE en READ-WRITE, pero seleccione los otros permisos como READ Click OK y guarde los cambios

CREANDO UNA CUENTA DE ADMINISTRADOR

1. Desde la GUI de su FortiGate ingrese al menú SYSTEM ADMINISTRATORS 2. Click en CREATE NEW y cree una nueva cuenta de administrador configurando los siguientes parámetros

NOTA Los nombres de usuarios de administración son case sensitive, es decir que respetan las mayúsculas y minúsculas. No puede incluir en los nombres o contraseñas de administrador caracteres especiales como <>()#”. Espacios están permitidos, pero no como el primero ni el ultimo carácter

3. Click OK y guarde los cambios

Page 15


COMPROBANDO LA NUEVA CUENTA DE ADMINISTRACION

1. Desde la GUI del FortiGate salga de la sesión de admin con la cual ingreso

2. Ingrese como “Security_Admin” con el password “fortinet” (sin comillas) 3. Valide los accesos de administrador: trate de crear o modificar las configuraciones de red en el menú NETWORK INTERFACES

Page 16




LAB2. LOGGING Y MONITOREO

En este Lab, usted configurará logueo de eventos en su FortiGate y podrá visualizar logs para Troubleshooting.

OBJETIVOS

• • • •

Configurar logs en su FortiGate para que pueda comprender como el appliance interpreta el trafico Configurar Threat Weight (Peso de amenazas) Monitorear logs a través de la GUI Ver logs en la GUI de su FortiGate

TIEMPO ESTIMADO •

20 Minutos

Page 17


CONFIGURACION DE LOGS EN EL FORTIGATE

Configurar los Settings de logs en el FortiGate no genera logs automáticamente, sino más bien define como los logs serán tratados. Por ejemplo, enviar logs en tiempo real hacia un FortiAnalyzer, habilitar el logueo de forma local o habilitar histórico para su uso en FortiView.

CONFIGURE LOGS SETTINGS

1. Ingrese a la GUI de su FortiGate usando la url: https://192.168.1.1 con el usuario admin (sin contraseña) 2. Ingrese al menú de LOG & REPORT LOG SETTINGS 3. Asegúrese que al logueo en disco este habilitado

4. Bajo LOG SETTINGS asegúrese que LOCAL TRAFFIC LOG esta deshabilitado ya que esta opción puede llenar el disco del FortiGate si no es debidamente configurado y monitoreado. Asegure que la opción EVENT LOGGING está habilitado y ENABLE ALL seleccionado

5. Ingrese a las GUI PREFERENCES y complete lo siguiente:

6. Click en APPLY

CONFIGURACION DE THREAT WEIGHT (PESO DE AMENAZAS)

Page 18


El peso de las amenazas le permite configurar el valor del riesgo de una amenaza en bajo, media, alta y niveles críticos y luego aplicar un peso par categorías específicas.

1. En la GUI del FortiGate ingrese al meno de LOG & REPORT THREAT WEIGHT 2. Bajo la opción de WEB ACTIVITY deslice la barra hasta el valor critico de 50 para las siguientes categorías: o o o o

MALICIOUS WEBSITES HACKING EXPLICIT VIOLENCE PORNOGRAPHY

3. Click en APPLY

Page 19


HABILITE LOGGING EN LA POLITICA DE FIREWALL

Ahora que ya tenemos las configuraciones de LOG configuradas, debemos de habilitar la opción de logueo en la política de firewall. Hasta que habilitamos el logueo en la política de firewall es entonces que se registran y se generan los mensajes de logs

1. En la política de firewall situada en POLICY & OBJECTS  IPV4 POLICY edite la política que va de la LAN hacia INTERNET

2. Bajo la opción de SECURITY PROFILE, habilite la opción de WEB FILTER y seleccione la categoría de MONITOR_ALL. Note que las casillas de PROXY OPTIONS y SSL INSPECTION se marcan automáticamente

Page 20

Guía del Estudiante ALL SESSIONS, recuerde,

3. Bajo las opciones de LOGGING OPTIONS habilite LOG ALLOWED TRAFFIC y seleccione usted no tendrá logs de ningún tipo si LOG ALLOWED TRAFFIC no está habilitado en las políticas

4. Click OK. Con esto usted ya configuro logs en la política. Más adelante en este Lab usted hará pruebas de estas configuraciones

Page 21


GENERANDO TRAFICO EN EL FORTIGATE

Para poder generar logs hacia múltiples sitios de manera rápida utilizaremos WEBTIMER de cacheflow (Webtimer es un software gratis que puede ser descargado de internet) 1. Ejecute el programa WebTimer dándole doble click en el icono que está en el escritorio de su Bastión.

2. Seleccione la lista de URLs por default que trae el programa dándole click en el menú FILE  SELECT URL LIST

Page 22


3. Inicie el proceso de cacheo de sitios dándole click al botón de PLAY en el WebTimer

NOTA Si le aparece un mensaje de alerta de que la versión del navegador que está utilizando esta desactualizado, dele click en continuar

Page 23


REVISANDO LOS LOGS EN LA GUI DEL FORTIGATE

1. Ingrese al menú de LOG & REPORT

FORWARD TRAFFIC para

1. Ingrese al menú de LOG & REPORT categoría de FortiGuard

WEB FILTER

ver el tráfico que está atravesando el FortiGate

donde podrá ver los logs de sitios permitidos y bloqueados por

NOTA Los logs de web filter no serán mostrados sino existe ningún evento de Webfilter

Page 24


OBSERVANDO LOGS EN FORTIVIEW

WEB SITES por default los logs mostrados son de ahorita o NOW, si 1. En la GUI ingresamos al menú FORTIVIEW WebTimer dejo de generar hits hacia páginas web es muy probable que no se muestren logs, esto es normal y esperado, habrá que ajustar el tiempo para 5 minutos, 1 hora o 24 horas. Luego verifique el menú de FORTIVIEW THREATS para determinar las amenazas de navegación en su red.

2. Dele click en el icono y seleccione BUBBLE CHART 3. Use la opción de SORT BY para mostrar la información por THREAT SCORE, SESSIONS o por BYTES

Page 25


LAB3. POLITICAS DE FIREWALL

OBJETIVOS

• • • • • • • •

Configurar objetos de firewall y políticas de firewall Configurar opciones disponibles en las políticas usando diferentes orígenes de trafico Aplicar servicios y horarios de firewall en políticas Configurar logueo en políticas de firewall Configurar políticas de firewall basadas en dispositivos Reordenar las políticas Leer y entender logs Uso de Policy Lookup para encontrar políticas que hagan match

TIEMPO ESTIMADO •

40 Minutos

Page 26


CREANDO OBJETOS DE DIRECCION Y POLITICAS DE FIREWALL

En este ejercicio usted aprenderá a configurar objetos de dirección, también aprenderá a configurar políticas de IPv4 donde se aplicarán los objetos de firewall junto con horarios, servicios y opciones de logs. Luego usted validara las políticas generando tráfico a través de ellas y revisando los logs de tráfico del FortiGate.

Como usted sabe, FortiGate en su Core es un firewall, por tanto, casi todo lo que se aplica a su tráfico de red está directamente relacionado con políticas de firewall.

CREANDO OBJETOS DE DIRECCION

Su FortiGate por default trae pre configurado múltiples objetos de dirección, sin embargo, si estos no cumplen los requerimientos de su organización usted puede configurar muchos más y de diferentes tipos.

Para crear un objeto de firewall siga los siguientes pasos: 1. En la GUI de su FortiGate ingrese al menú de POLICY & OBJECTS ADDRESSES 2. Dele click en el botón de CREATE NEW ADDRESS 3. Configure los siguientes parámetros para su nuevo objeto de dirección

CAMPO Name Type Subnet/IP range Interface

VALOR RED_LOCAL IP/Netmask 192.168.1.0/24 any

4. Click en el botón de OK

Page 27


CREANDO UNA POLITICA DE FIREWALL Primeramente, usted deberá de deshabilitar la política de firewall dándole click derecho a la política con secuencia 3 que va desde la LAN hacia la Interface de INTERNET (source all, destination all, schedule always, service all, action Accept, NAT e nable)

Para crear una nueva política seguiremos los siguientes pasos: IPv4 POLICY le damos click al botón de CREATE NEW para agregar una nueva 1. En el menú POLICY & OBJECTS política de firewall. 2. Luego configuramos nuestra política con los siguientes valores

CAMPO

Page 28

VALOR

Name

Internet_Access

Incoming Interface

LAN

Outgoing Interface

INTERNET

Source

Red_Local

Destination Address

all

Schedule

always

Service

HTTP, HTTPS, ALL_ICMP, SSH

Action

ACCEPT

NAT

Enable

Log Allowed Traffic

Enable and select ALL SESSIONS

Generate Logs when Session Starts

Enable

Enable Policy

Enable


Deténgase y Piense ¿Cuál piensa usted que es la razón por la cual no agregamos el servicio de DNS a la política, si es un servicio clave para que los usuarios de su red local puedan navegar a Internet y resuelvan nombres de sitios web en internet, en lugar de ingresar IPs para navegar?

3. Deje las demás opciones por default y dele click en el botón de OK

PROBANDO LA POLITICA

Ahora que usted ha configurado la política de firewall, la probaremos generando tráfico hacia internet y revisando los logs de la política.

1. Desde su Bastión trate de navegar a www.fortinet.com o a cualquier otro sitio que usted desee (de preferencia navegue en varios sitios diferentes donde no ha navegado anteriormente antes de revisar los logs) 2. En la GUI ingrese al menú POLICY & OBJECTS IPv4 POLICY 3. Dele click derecho al número de secuencia (SEQ.#) de la nueva política que acaba de crear con nombre INTERNET ACCESS

4. Luego seleccione el menú SHOW MATCHING LOGS

5. Identifique la entrada de log de su navegación a internet. Con su configuración actual usted tendrá muchas entradas de logs con mensajes ACCEPT: SESSION START en la columna de resultados, estos son logs de inicio de la sesión, cuando la sesión se cierre usted tendrá otra entrada con la cantidad de data enviada y recibida.

NOTA LOGGING SESSION START genera el doble de entradas de logs, usted debe de utilizar esta opciónUNICAMENTE cuando el nivel de detalle de log sea necesario (Troubleshooting)

Page 29


NOTA Cuando usted le da click en SHOW MATCHING LOGS en la política de firewall se agrega un filtro UUID en la ventana de Forward Traffic

Cuando usted remueve el filtro de UUID, los logs serán mostrados sin ningún filtro y en su totalidad tomando en cuenta los logs de las demás políticas de firewall que tienen activo esta opción. Estos lo gs los usaremos en los laboratorios de más adelante. 6. Cierre todas las ventanas a excepción de la GUI de su FortiGate

NOTA Para reordenar las políticas basta con arrastrarlas al lugar o secuencia deseada. OJO, no podemos mover políticas de una sección a otra dentro del gestor de políticas, únicamente las podemos mover dentro de la sección que contenga las interfaces de origen y destino.

IDENTIFICACIÓN DE DISPOSITIVOS

FortiGate tiene la habilidad de detectar tráfico por el tipo de dispositivos que lo genera, hay dos maneras de poder detectar dispositivos: • •

Agentless Device identification, usa el tráfico de los dispositivos y los indexa por MAC Address Agent-based Device identification, usa FortiClient quien envía un ID único al FortiGate para identificar el dispositivo

En este laboratorio usaremos la técnica de Agent-based Device identification. Usted agregara un dispositivo en el campo de origen de la política actual de firewall que creamos en el lab anterior y observara como hace match el dispositivo de origen con la política.

Page 30


CONFIGURANDO Y PROBANDO LA POLITICA POR DISPOSITIVO

1. Como primer paso usaremos la política que creamos anteriormente que decía así:

CAMPO

VALOR

Name

Internet_Access

Incoming Interface

LAN

Outgoing Interface

SD-WAN

Source

Red_Local

Destination Address

all

Schedule

always

Service

HTTP, HTTPS, ALL_ICMP, SSH

Action

ACCEPT

NAT

Enable

Log Allowed Traffic


Generate Logs when Session Starts

Enable

Enable Policy

Enable

2. Abra una ventana de DOS y deje un ping continuo a 8.8.8.8 ingresando: ping 8.8.8.8 –t

IPv4 POLICY dele click 3. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS derecho al número de ID de la Policita INTERNET_ACCESS 4. Seleccione la opción de EDIT 5. Seleccione SOURCE 6. Del lado derecho seleccione DEVICE y dele click en LINUX PC (Usted está seleccionando un dispositivo que no hace match su máquina bastión – Windows)

Page 31


7. Click OK 8. Regrese a la ventana de comandos de DOS en su Bastión donde estaba corriendo un ping continuo, usted debería de ver que el trafico está siendo bloqueado 9. Trate de navegar a cualquier sitio de internet y debería de ver el timeout default del navegador de no poder ingresar. El tráfico es bloqueado debido a que el dispositivo de origen en la política de firewall es una PC Linux, el cual no hace match con su máquina windows desde donde está generando el tráfico

Page 32


RECONFIGURANDO LA IDENTIFICACION DE DISPOSITIVOS

IPv4 POLICY dele click 1. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS derecho al número de ID de la política INTERNET_ACCESS 2. Seleccione la opción de EDIT 3. Seleccione SOURCE 4. Del lado derecho seleccione DEVICE y dele click en WINDOWS PC 5. Luego dele click en LINUX PC para quitarlo del campo de Source o dele click en la X al lado del objeto LINUX PC 6. Dele click en OK

Para confirmar que el trafico está siendo permitido por la política, seguimos los siguientes pasos: 1. Desde su Bastión, revise el Ping extendido que tenía en la línea de comandos de DOS, y usted debería de ver el trafico permitido y tener respuesta del host 8.8.8.8 2. Cierre la ventana de línea de comandos 3. Abra su navegador y trate de ingresar a cualquier sitio en internet al que no haya navegado con anterioridad 4. Confirme que puede navegar sin ningún problema

Page 33


VIENDO EL DETALLE DE UN DISPOSITIVO IDENTIFICADO

1. Ingrese desde la GUI a USER & DEVICES windows

DEVICE INVENTORY y dele click

al signo + para expandir las maquinas

2. Revise los detalles de su bastión y c omo fue detectado por el FortiGate utilizando la ayuda de FortiClient 3. Abramos una sesión de SSH usando putty y conéctese a la sesión que ya está salvada y que tiene por nombre LOCALFORTIGATE Ingrese el usuario admin con contraseña 123456 4. Ejecute el siguiente comando: diagnose user device list

Page 34


NOTA OJO… Device detection sin FortiClient funciona únicamente en una red CAPA 2, si usted esta siendo ruteado, la detección del dispositivo no podrá realizarse a menos que sus usuarios tenga el cliente endpoint instalados en sus PCs y en la interface está habilitada la opción de TELEMETRI. En el método de Agentless Device, los dispositivos se detectan a través de la mac address, por tanto, si existe un appliance capa 3 o router en medio de la comunicación, el FortiGate detectara la mac address de dicho appliance.

Adicional usted puede agregar dispositivos nuevo s de manera manual ingresando al menú USER DEVICES & GROUPS y le da clic en el botón de CREATE NEW

Deténgase y Piense ¿Cuál cree usted que serían las ventajas y desventajas entre las técnicas de Agentless y Agent-Based Device Identification?

¿Dónde se activa la identificación de dispositivos en el FortiGate?

Page 35


LAB3.1 POLITICAS DE FIREWALL

A continuación, validaremos los conocimientos que acaba de adquirir creando la siguiente política de Firewall

EJERCICIO 1 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cree una política de acceso a internet que vaya desde su red local única mente hacia sitios web alojados en el Salvador 3. Valide el funcionamiento de la política que acaba de crear tratando de ingresar a www.mh.gob.sv www.elsalvador.com www.uca.edu.sv www.ufg.edu.sv 4. Explique el resultado del fallo de algunas paginas ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________

EJERCICIO 2 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cree una política hacia internet (all to all) donde el servicio será únicamente ALL_TCP 3. Trate de navegar hacia cualquier sitio en internet y valide el funcionamiento de la política 4. Abra una ventana de DOS y trate de hacer ping a 8.8.8.8 5. Explique el resultado ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ ____________________________________________________________________________________________________

Page 36


EJERCICIO 3 1. Cargue el backup de su folder de Backups llamado: EJERCICIO3_POLITICAS.CONF 2. Planteamiento del problema: Son las 7:40 am día lunes inicio de semana y la junta directiva tiene una reunión a las 8:00 am donde se presentarán nuevos planes estratégicos y es necesario que todos los gerentes y directores que asistan a la reunión posean acceso a internet Cuando usted llego a su oficina uno de los gerentes le informo que no tienen internet en la sala de reuniones ni en ningún otro lugar dentro de su oficina. Cuando usted revisa se da cuenta que efectivamente nadie posee internet y cree que fue a partir de un cambio realizado el fin de semana dentro del firewall que no fue debidamente documentado ni tampoco se sacó un backup antes de realizarlo. Analice el problema y haga el Troubleshooting necesario para determinar dónde está el error antes que de inicio la reunión Sugerencias: • • • •

Apóyese en los logs Valide resolución de nombres y si puede alcanzar su DNS server Valide si puede hacer ping Revise si tiene internet desde el mismo FortiGate ejecutando el comando: exe ping 8.8.8.8

Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de Backups

Page 37


LAB4. NETWORK ADDRESS TRANSLATION (NAT)

NAT es utilizado para traducir orígenes y destinos para el tráfico que cruza el FortiGate. Existen dos maneras de configurar, Source NAT (SNAT) y Destination NAT (DNAT). • •

Firewall Policy NAT Central NAT

En este Lab usted aprenderá a configurar y validar políticas de NAT para SNAT usando IP Pool y DNAT usando Virtual IP (VIP)

OBJETIVOS

• •

Configurar Destination NAT usando VIPs Configurar Source NAT usando overload IP Pools

TIEMPO ESTIMADO •

45 Minutos

REQUISITOS

1. Haber completado el LAB de Políticas de Firewall 2.

Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” el cual regresara nuestra configuración a su estado inicial

Page 38


ACCESO UTILIZANDO VIPS

Direcciones de VIP son típicamente usados en NAT externos o IPs publicas hacia la red interna o IPs privadas de nuestra red. En este ejercicio usted configurara una VIP para su página web en su servidor de dominio. Luego usted creara una política de externa-a-interna donde aplicara el uso de la VIP. Esto permitirá conexiones entrantes desde internet hacia du server IIS en su controlador de dominio, también verificaremos el comportamiento del Destination NAT y Source NAT usando la Línea de comandos CLI de su FortiGate.

CREANDO UNA VIP En su FortiGate, una VIP es un destino (DNAT) y puede ser únicamente seleccionada en una política de firewall en el campo de destino.

En este procedimiento usted configurara una VIP para mapear su controlador de dominio el c ual es parte de su DMZ, usted puede referirse al diagrama de red de su ambiente de Laboratorio.

Para crear una VIP seguimos los siguientes pasos: 1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS 2. Le damos click al botón de CREATE NEW y seleccionamos VIRTUAL IP 3. Configuramos los siguientes campos: CAMPO

VIRTUAL IPS

VALOR

Name

VIP-INTERNAL-HOST

Interface

INTERNET (este puerto está conectado a sus enlaces públicos de internet con direcciones 190.5.24.170/30 y 138.99.3.170/30)

External IP Address/Range

190.5.24.170 (Este es una IP de su enlace principal de internet en la WAN1)

Mapped IP Address/Range

10.0.1.243

4. Click OK

Page 39


CREANDO LA POLITICA DE FIREWALL

Usted debe de configurar una política de firewall donde utilizaremos la VIP que acaba de crear en el campo destino de la política.

1. Ingresamos al menú POLICY & OBJECTS IPv4 POLICY 2. Le damos click al botón de CREATE NEW 3. Procedemos a configurar los siguientes campos de nuestra política: CAMPO

VALOR

Name

Web-Server-Access

Incoming Interface

SD-WAN

Outgoing Interface

DMZ

Source

all

Destination Address

VIP-INTERNAL-HOST TIP: Esta listado bajo la sección de Virtual IP

Schedule

always

Service

HTTP TIP: Utilice la opción de SEARCH para localizar los servicios

Action

ACCEPT

NAT

Disable

Log Allowed Traffic


Enable Policy

Enable

Deténgase y Piense ¿Cuál cree usted que es la razón por la cual deshabilitamos la opción de NAT en la política cuando usamos VIPs?

Discútalo con el grupo

4. Click en OK

Page 40


VALIDANDO NUESTRA POLITICA CON DESTINO VIP

1. Desde su Bastión abra una ventana de línea de comando de DOS e ingrese los siguientes comandos: a) nslookup b) webserver.lab.local (valide que la entrada de DNS esta correcta y que resuelve la IP de su VIP 190.5.24.170)

2. Cierre la ventana de DOS y abra una ventana en su navegador. En la barra de direcciones ingrese la siguiente URL: http://webserver.lab.local o en su defecto la IP de su VIP http://190.5.24.170 3. Si la operación de la VIP es exitosa debería de aparecerla la página default de Apache si utiliza la IP o la pagina de inicio de WordPress si lo accede por nombre

4. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 5. Ejecute el siguiente comando: get system session list 6. Usted notara que la dirección destino 190.5.24.170 es NATeada con la dirección 10.0.1.243 la cual es su dirección mapeada en su VIP

NOTA Además de las sesiones hacia su VIP pod rá ver todas las sesiones atravesando su FortiGate, esto es normal.

Page 41


NAT DINAMICOS USANDO IP POOL

Los IP Pools son usados para trasladar las direcciones de origen hacia una dirección del pool definido en lugar de la IP que la interface tiene configurada.

Actualmente para llegar a su DMZ no posee ningún tipo de NAT dinámico, es decir que llega con la IP real de su Bastión.

En este ejercicio usted aprenderá a crear un IP Pool y aplicarlo en la política de firewall para trasladar la dirección de su Bastión a otra del Pool perteneciente a su DMZ y podrá verificar el DNAT desde la CLI o línea de comando de su FortiGate.

CREANDO UN IP POOL

1. Ingrese a la GUI de su FortiGate y vaya al menú POLICY & OBJECTS IP POOLS 2. Dele click en el botón de CREATE NEW y configure los siguientes campos CAMPO

VALOR

Name

INTERNAL-HOST-EXT-IP

Type

Overload

External IP Range/Subnet

10.0.1.50-10.0.1.50


EDITANDO LA POLITICA PARA USAR SU IP POOL

1. Ingresamos al menú POLICY & OBJECTS IPv4 POLICY 2. Editamos la política que va desde su LAN hacia la DMZ 3. Procedemos a configurar los siguientes campos de nuestra política:

4. Y configuramos los siguientes parámetros para la política:

Page 42


CAMPO

VALOR

NAT

ENABLE

IP Pool Configuration

USE DYNAMIC IP POOL Click + y seleccione INTERNAL-HOST-EXT-IP

5. Su configuración debe de verse similar a e sta:


PROBANDO SU POLITICA DE IP POOL

1. Abra una ventana de DOS y deje un ping continuo a 10.0.1.243 ingresando: ping 10.0.1.243 –t

2. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 3. Ejecute el siguiente comando: diagnose system session clear

NOTA El comando anterior de CLI del FortiGate limpia toda la tabla de sesiones, esto causara que su Kitty (putty) se desconecte, este resultado es el normal del comando ejecutado. (No debe de utilizarlo en un ambiente de producción solo en caso de troubleshooting)

Page 43


4. Cierre Kitty (Putty) y vuélvalo abrir para crear una nueva sesión de SSH, conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña 5. Ejecute el siguiente comando: get system session list 6. Ahora puede ver que el origen (IP de su Bastión) es traducida al pool que acabamos de crear.

7. Cierre Kitty (Putty) 8. Cierre todas las ventanas de su navegador, a excepción de la GUI de su FortiGate.

Deténgase y Piense ¿Cuál es la diferencia entre una VIP y un IP POOL? ¿En qué escenarios cree usted que debe de utilizar cada uno de los objetos VIP y IP POOL?

Discútalo con el grupo…

Page 44


LAB5. WEB FILTER

En este lab usted aprenderá como configurar perfiles de filtrado web incluyendo categorías de filtrado web de FortiGuard, aplicar los perfiles a una política de firewall y Troubleshooting básico.

También aprenderá a sobrescribir categorías y a ejecutar overrides en el perfil de seguridad. Web Filter overrides permite ejecutar acciones diferentes, en lugar de la configurada en el perfil de filtrado web.

OBJETIVOS

• • • • •

Configurar perfiles de web filter en su FortiGate Aplicar filtrados basados en categorías de FortiGuard para su filtro web Troubleshooting de web filter Leer e interpretar logs de filtrado web Configurar web filter overrides

TIEMPO ESTIMADO •

50 Minutos

REQUISITOS

1.


Page 45


FORTIGUARD WEB FILTERING

Para poder configurar perfiles de filtrado web utilizando las categorías de FortiGuard, usted debe de asegurarse que su FortiGate posee licencias de suscripción válidas. El licenciamiento provee capacidades de hacer filtrado web necesarias para protegerse de websites inapropiados para su organización. Luego usted debe de configurar perfiles de filtrado web basados en categorías en fu FortiGate y aplicarlas a políticas de firewall para que pueda inspeccionar tráfico HTTP y HTTPS Finalmente usted podrá probar diferentes acciones que puede tomar el FortiGate de acuerdo al rating de los sitios web visitados y que pertenecen a una categoría de FortiGuard.

CONFIGURANDO PERFILES DE FILTRADO WEB BASADOS EN CATEGORIAS DE FORTIGUARD

1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES

WEB FILTER

NOTA Usted recibirá una alerta diciendo que su FortiGate no tiene licencias validas de filtrado web. Esto es normal ya que usted no ha configurado en ninguna política algún perfil de filtro web, cuando usted termine el lab ya no se presentará ninguna alerta.

2. Del menú de drop-down en la parte superior derecha, asegúrese que el perfil DEFAULT este seleccionado como su perfil de filtrado web a editar:

3. Habilite FORTIGUARD CATEGORY BASED FILTER

Page 46


4. Verifique la acción predefinida para cada una de las categorías globales y configúrelas de la siguiente manera:

CATEGORIA Local Categories Potentially Liable Adult/Mature Content Bandwidth Consuming

Security Risk General Interest - Personal General Interest - Business Unrated

ACCION Monitor Block Block: Other Adult Material y Pornography Monitor: Todas las otras subcategorías Block: Streaming Media and Download Warning: todas las demás subcategories (Definir un intervalo de 5 min – default) Block Monitor Monitor Monitor

5. Expanda la categoría principal GENERAL INTEREST – BUSINESS Luego dele click derecho a la sub categoría SEARCH ENGINES AND PORTALS y seleccione ALLOW

6. Click APPLY

Page 47


APLICANDO EL P ERFIL DE WEB FILTER A LA POLITICA DE FIREWALL 1. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS

IPV4 POLICY y

edite la política llamada LAN A

INTERNET

2. Bajo la sección SECURITY PROFILES habilite WEB FILTER y seleccione el perfil llamado DEFAULT. Note que esta acción habilita los perfiles de PROXY OPTIONS y CERTIFICATE-INSPECTION de manera automática

3. En la sección de LOGGING OPTIONS , habilite LOG ALLOWED TRAFFIC, y seleccione SECURITY EVENTS para habilitar los logs de UTM (esta opción solo loguea eventos de UTM, ALL SESSIONS loguea trafico permitido o negado y además logs de UTM)

4. Mantenga todas las demás opciones default y dele c lick en el botón de OK

PROBANDO EL FILTRADO DE CONTENIDO

El propósito de este lab es que usted revise el rating de los sitios web y pruebe el perfil de filtrado web para cada categoría configurada. 1. Desde su Bastión ingrese a https://www.fortiguard.com/webfilter

Page 48


2. Busque a que categoría pertenece: http://www.playboy.com

Este es uno de los sitios con el que usted hará pruebas más adelante con su perfil de filtrado web. Como puede ver, Playboy esta categorizado como PORNOGRAPHY 3. Use nuevamente la herramienta de FortiGuard Web Filter para buscar a que categorías pertenecen los siguientes sitios web: a. www.magicjack.com b. www.bing.com La siguiente tabla muestra la categoría asignada a cada URL y la acción que se tomara cada vez que usted visite estos sitios de acuerdo a la configuración de su perfil de filtrado web

WEBSITE www.playboy.com www.magicjack.com www.bing.com

CATEGORIA Pornography Internet Telephony Search engines and portals

ACCION Block Warning Allow

4. En su máquina bastión ingrese a www.playboy.com (recuerde que este es un laboratorio donde simulamos escenarios de la vida real). La página de bloqueo deberá de aparecer de acuerdo a la acción configurada para la categoría en pornografía en el perfil de Webfilter

Page 49


5. Abra otra ventana de su navegador e ingrese a www.magicjack.com Una pagina de advertencia aparecerá de acuerdo a la acción configurada en el perfil de web filter

6. Dele click en PROCEED para aceptar la advertencia e ingresar al sitio web 7. Abra otra ventana de su navegador e ingrese a www.bing.com, el sitio web debe de aparecer normalmente ya que la acción configurada en el filtrado web es ALLOW

CREANDO UN WEB RATING OVERRIDE

En este procedimiento usted re categorizara la página de www.bing.com

1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES WEB RATING OVERRIDES 2. Dele click en el botón de CREATE NEW y configure los siguientes parámetros:

CAMPO URL Category Sub-Category 3. Click OK

Page 50

VALOR www.bing.com Security Risk Malicious Websites


PROBANDO SU WEB RATING OVERRIDE

1. Abramos una sesión de SSH usando Kitty (putty) y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin con contraseña 123456 2. Ejecute el siguiente comando:  

diagnose debug application urlfilter -1 diagnose debug enable

3. cierre todas las ventanas de su navegador y solo deje una para tratar de ingresar a la página de www.bing.com 4. Regrese a la sesión de SSH en el Kitty (putty) y digite el comando diagnose debug disable y observe el output, debería ser similar a la siguiente imagen:

El diagnostico muestra que la URL hace match en una categoría de local rating en FortiGuard. Así que www.bing.com es bloqueado porque usted tiene override en este rating de categoría

Page 51


LAB5.1 WEB FILTER

EJERCICIO 1 1. Elimine todas las políticas que van desde su red local hacia internet 2. Planteamiento del problema: Necesita darle accesos a un grupo de IPs de su empresa (La IP de su Bastión) para que puedan acceder a 4 sitios únicamente, usando una combinación entre FortiGuard Webfilter y URL Filter permita el tráfico hacia: o o o o

bancoagricola.com davivienda.com.sv mh.gob.sv equifax.com

EJERCICIO 2 1. Elimine todas las políticas que van desde su red local hacia internet 2. Cargue el backup de su carpeta de Backups llamado: EJERCICIO5_WEBFILTER.CONF 3. Planteamiento del problema: El gerente de Recursos Humanos se ha quejado porque ha visto a usuarios con acceso limitado ingresando a sitios como www.facebook.com, www.twitter.com, www.instagram.com, otras redes sociales y correo web. Le ha solicitado al departamento de TI que bloquee de manera inmediata el acceso a esos sitios y que ningún usuario pueda ingresar a navegar a ellos. Usted como encargado del departamento está seguro que posee un web filter donde se bloquean las categorías de redes sociales, pornografía, consumo de ancho de banda, entre o tras. ¿Porque razón no está funcionando el perfil de filtrado web si sus licencias están validas, y efectivamente usted está consiente que las categorías están siendo filtradas y la acción es BLOCK? Sugerencias: • • • •

Valide el funcionamiento del Webfilter ingresando a la página www.playboy.com Verifique las licencias en el dashboard Verifique si es bloqueado cuando ingresa algún sitio web de alguna red social o correo web como Hotmail Apóyese en los Logs para validar la política por la cual están saliendo los usuarios

Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de Backups

Page 52


LAB6. APPLICATION CONTROL

En este lab usted aprenderá a configurar y usar control de aplicaciones para tomar acciones apropiadas basados en sus aplicaciones. Usted revisara los logs y monitoreo del FortiView, también aprenderemos a cómo controlar el tráfico de una aplicación usando calidad de servicio (traffic Shapping)

OBJETIVOS

• • •

Configurar perfiles de control de aplicaciones Leer y entender logs de control de aplicaciones desde FortiView Configurar y monitoreas calidad de servicio en perfiles de co ntrol de aplicaciones

TIEMPO ESTIMADO •

30 Minutos

REQUISITOS

1.


Page 53


CREANDO UN PERFIL DE CONTROL DE APLICACIONES

En este ejercicio usted creara un perfil de application control. El FortiGate hace match en el tráfico en el siguiente orden: • • •

Application Overrides Filter Overrides Categorías

Usted también vera el log de control de aplicaciones desde su FortiView para confirmar que las aplicaciones estén siendo logueadas de manera correcta

CONFIGURANDO OVERRIDES DE APLICACIONES

En la configuración de su FortiGate ya tenemos un perfil de aplicaciones que está configurado como “monitor”, esto permite a la aplicación pasar a través del FortiGate, pero genera un mensaje de log. En este ejercicio usted configurara un override de aplicaciones para que to me precedencia sobre las categorías de aplicaciones.

1. Desde su bastión, ingrese a la GUI de su FortiGate 2. Ingrese al menú SECURITY PROFILES APPLICATION CONTROL 3. Revise como está configurado el perfil DEFAULT

4. En la página EDIT APPLICATION SENSOR , click en ADD SIGNATURE en el apartado APPLICATION OVERRIDES para agregar una firma de aplicación 5. Click en NAME y digite DAILYMOTION en el campo de búsqueda 6. Click en DAILYMOTION :

7. Luego dele click en el botón USE SELECTED SIGNATURES . Su configuración debería de verse de la siguiente manera:

Page 54


8. La acción debe de mostrarse como BLOCK por default, dele click en el botón de APPLY

VERIFICANDO QUE EL PERFIL DE CONTROL DE APLICACIONES ESTA SIENDO APLICADO

1. Desde la GUI de su FortiGate ingrese al menú POLICY & OBJECTS IPV4 POLICY 2. Dele click en la columna de ID de la política que va de la LAN hacia INTERNET y seleccione EDIT

3. Bajo la sección de SECURITY PROFILES active la opción de APPLICATION CONTROL y verifique que este seleccionado el perfil DEFAULT

Page 55


4. Asegúrese que la política tenga las opciones de Logging activas de la siguiente manera:

5. Click en el Botón de OK

PROBANDO EL PERFIL DE CONTROL DE APLICACIONES

1. Desde su Bastión, abra una ventana de su navegador e ingrese a la URL: http://dailymotion.com 2. Usted debería de ver un mensaje de bloqueo indicando que la aplicación está bloqueada

Page 56


REVISANDO LOGS

1. Desde la GUI del FortiGate ingrese al menú LOG & REPORT

APPLICATION CONTROL

NOTA La sección de LOGS de APPLICATION CONTROL no será mostrada hasta que se genere un evento de control de aplicaciones. FortiGate lo mostrara luego de haber creado el Log. Si este menú no es mostrado, refresque la ventana de su navegador.

2. Busque la entrada donde se confirme que DAILYMOTION fue bloqueado

FORWARD TRAFFIC y busque la entrada de DAILYMOTION (asegúrese de no tener 3. Ingrese a LOG & REPORT ningún filtro y estar viendo los logs del disco duro del FortiGate), usted puede ver más detalle acerca del log así como la IP NATeada, bytes enviados y recibidos, la acción y la aplicación

Page 57


LIMITANDO EL TRAFICO DE UNA APLICACIÓN USANDO TRAFFIC SHAPERS

Usted puede limitar el tráfico de una o varias aplicaciones o categorías usando calidad de servicio. Usted debe de asegurarse que los parámetros configurados hagan match con la política donde usted quiere aplicar el traffic shaper

MODIFICANDO EL OVERRIDE DE LA APLICACIÓN DAILYMOTION

1. Desde la GUI de su FortiGate ingrese al menú SECURITY PROFILES APPLICATION CONTROL 2. Verifique que tenga seleccionado el perfil DEFAULT en la esquina superior derecha 3. Bajo la sección de APPLICATION OVERRIDE dele click derecho a DAILYMOTION y click en MONITOR, esto cambiara la acción de BLOCK a MONITOR 4. Click en el botón de APPLY NOTA Para que nuestro traffic shaper funcione debemos de permitir que el tráfico fluya a través del FortiGate en lugar de bloquearlo.

CREANDO EL PERFIL DE TRAFFIC SHAPER

1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS 2. Le damos click al botón de CREATE NEW 3. A continuación, configuraremos los siguientes campos:

CAMPO Type Name Traffic Priority Max Bandwidth

VALOR Shared Dailymotion_Shaper Low 128 Kbps


Page 58

TRAFFIC SHAPERS


CONFIGURANDO LA POLITICA DE TRAFFIC SHAPER

1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS el botón de CREATE NEW 2. Configuramos los siguientes campos:

CAMPO Source Destination Service Application Outgoing Interface Reverse Shaper

Enable this policy

TRAFFIC SHAPING POLICY y

dele click en

VALOR all all ALL Dailymotion SD-WAN Habilite el Traffic Shaper creado en el paso anterior DAILYMOTION_SHAPER Enable

PROBANDO EL TRAFFIC SHAPER

Ahora que ya ha realizado la configuración completa, ingrese a dailymotion.com y mire un video.

1. Desde su Web browser ingrese a la página http://dailymotion.com 2. Trate de ver algún video del sitio web Usted podrá notar que el acceso al sitio es lento y que el video está tomando mucho en cargar 3. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS TRAFFIC SHAPERS 4. Revise la cantidad de paquetes DROPPED para el traffic shaper configurado, usted se puede fijar que su FortiGate está botando paquetes de la aplicación Dailymotion

Page 59


LAB6.1 APPLICATION CONTROL

1. Elimine todas las políticas que van desde su red local hacia internet 2. Planteamiento del problema: La Gerencia de su empresa requiere que todas las aplicaciones en la categoría de sean bloqueadas para todos los usuarios, pero se necesita que se permita el acceso a YouTube de manera controlada donde no sobrepase los 128kbps de tráfico para dicha aplicación 3. Cree una política y asigne un perfil de Application Control para cumplir el requerimiento de gerencia

Page 60


LAB7. FIREWALL AUTHENTICATION – LOCAL

En este lab usted aprenderá a configurar su FortiGate para sirva como un servidor de autenticación local, de igual manera configurará un portal captivo en su interface de salida a internet para que le solicite credenciales para navegación (autenticación activa)

OBJETIVOS

• •

Configurar autenticación de forma local Configurar un portal captivo parta forzar que los usuarios se autentiquen cuando quieran navegar a internet

TIEMPO ESTIMADO •

60 Minutos

REQUISITOS

1.


Page 61


AUTENTICACION LOCAL

En este ejercicio usted aprenderá a configurar su FortiGate para autenticación de usuarios de forma loc al.

CONFIGURANDO SU FORTIGATE

1. Desde la GUI de su FortiGate ingrese al menú USER & DEVICE

USER DEFINITION y dele click al botón de CREATE

NEW

2. Configure los siguientes parámetros:

CAMPO User Type Username Password Email Address SMS Two-factor Authentication User Account Status User Group

VALOR Local User usuario_local 123456 Deje este parámetro por default

Enable Deje este parámetro por default

3. Click SUBMIT 4. Ahora tendrá dos usuarios dentro de su base de datos local de usuarios.


Page 62


ASIGNANDO USUARIOS LOCALES A UN GRUPO DE FIREWALL

1. Desde la GUI ingrese al menú USER & DEVICE 2. Dele click en el botón de CREATE NEW 3. Configure los siguientes campos:

USER GROUPS

CAMPO

VALOR Name Local-Users Type firewall En el apartado de MEMBERS seleccionamos: Members Usuario_local


Page 63


PORTAL CAPTIVO

En este ejercicio usted configurara un portal captivo para restringir el acceso en la navegación para que solo un grupo de usuarios pueda acceder a internet. Portales captivos es conveniente para autenticar usuarios en la navegación o redes wireless. Una forma en HTML será presentada al usuario donde estos tendrán que ingresar un usuario y password válidos para poder continuar.

HABILITANDO PORTAL CAPTIVO

Como la finalidad es habilitar la autentic ación local para un grupo específico de usuarios a través de un portal captivo, usaremos el grupo que creamos en el apartado anterior

1. Ingresamos desde nuestra GUI al menú NETWORK INTERFACES y editamos el puerto LAN (port1). Este es su puerto de tráfico entrante, para más información revise la topología de red de su laboratorio. 2. Complete las siguientes configuraciones en el apartado ADMISSION CONTROL :

CAMPO Security Mode Authentication Portal User Access User Groups

3. Click OK para guardar los cambios.

Page 64

VALOR Captive Portal Local Restricted to Groups Local-Users


AUTENTICANDO USUARIOS Y MONITOREANDO

Ahora que ya tenemos nuestro portal captivo funcionando, usted puede probar la autenticación local de usuario usando portal captivo.

1. Abra una ventana de su navegador y trate de navegar a www.bbc.com o a cualquier otro sitio web 2. Cuando le aparezca el portal captivo ingrese las credenciales siguientes (Respetando las mayúsculas y minúsculas): Usuario: usuario_local o Password: 123456 o

3. Regrese a la GUI de su FortiGate, dejando las ventanas abiertas de los sitios donde navegó, e ingrese al menú MONITOR

FIREWALL USER MONITOR

4. Seleccione en la ventana a su usuario, luego click derecho y seleccione DE-AUTHENTICATE para que manualmente le dé “de baja” a la sesión de autenticación que acaba de iniciar 5. Click en OK 6. Cierre su navegador

Page 65


LAB8. SDWAN En este lab validaremos el funcionamiento de un enlace de internet secundario o de backup para redundancia de navegación

OBJETIVOS

• • • • • • • • •

Configurar un enlace principal de internet con su respectiva ruta Configurar un enlace secundario de internet con su respectiva ruta Determinar el uso de distancia y prioridad en las rutas estáticas Configurar una interface de SDWAN Aplicar políticas de Performance de SLA Monitorear el uso de sus enlaces a través de la interface de SDWAN Crear políticas de SDWAN para navegación Balancear tráfico entre sus dos enlaces de internet Simular falla de los enlaces para validar el funcionamiento de fail-over

TIEMPO ESTIMADO •

40 minutos

REQUISITOS

1.

Debemos de hacer la restauración del backup llamado: “EJERCICIO8_SDWAN.conf” el cual adecuara la configuración para el lab de SDWAN

Page 66


ENLACES DE INTERNET USANDO SDWAN

Durante este laboratorio usted configurara dos enlaces de internet destinados para la navegación a internet, además configuraremos una interface de SDWAN para el balanceo, fail-over y monitoreo de dichos enlaces a internet.

CONFIGURANDO NUESTROS DOS ENLACES A INTERNET

Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO8_SDWAN.conf” usando el usuario “admin” y password “123456”

Deténgase y Observe Revise si posee navegación hacia internet desde su bastión. Observe su gestor de políticas y valide si existen permisos de navegación para su red local y para su servidor de DNS (Controlador de Dominio en su DMZ) Verifique si los enlaces (principal y secundario) está configurado en el port3 (como VLANs en dicho puerto dándole click e el signo “+” al lado izquierdo dl port3) Valide las rutas estáticas en su FortiGate y revise si existen rutas hacia sus dos enlaces de internet (Network  Static Routes) adicionales a las rutas de administración (172.30.1.0/24 y 192.168.0.0/16 no modificar)

1. Ingrese al menú NETWORK STATIC ROUTES 2. Deberá de agregar una ruta defaults adicional a la WAN1 la cual pertenece a su enlace de respaldo o de backup dándole click al botón de CREATE NEW para su nuevo enlace de Internet de la siguiente manera: WAN 1 (YA CONFIGURADA)

WAN 2 (NUEVO ENLACE)

Page 67


Deténgase y Piense ¿Qué entiende por distancia y prioridad en las rutas estáticas?

3. Ingrese al menú NETWORK SD-WAN 4. Dele click al botón de ENABLE y en el cuadro de selección (SD-WAN Interface Members) dele click en el signo “+” y configure su puerto de WAN1 con su respectivo Gateway o puerta de enlace y haga lo mismo con su WAN2 luego dele click en el botón de APPLY

5. Luego tenemos que configurar nuestro FortiGate para que detecte cuando uno de nuestros dos e nlaces se caiga para realizar el fail-over automáticamente. Ingrese al menú NETWORK PERFORMANCE SLA y le damos click en el botón de CREATE NEW NOTA Con esta configuración estamos midiendo: PROTOCOL A través de ping miraremos la disponibilidad del enlace haciéndole ping a un server en internet (en este caso el DNS 8.8.8.8 y 4.2.2.2) por cada uno de sus enlaces a internet SLA TARGETS Mediremos el estado del enlace a través de valores como Latencia, Jitter y la perdida de paquetes por cada interface a monitorear, esto sirve para que su FortiGate tome una decisión por cual enlace enviara el tráfico, en este caso por la que cumpla las SLA definidas LINK STATUS El intervalo en el cual se hará la verificación (ping) hacia el server en internet definido en “server”, cuantos pings se deben de perder para hacer el fail-over (failures before inactive) y cuantos pings se requieren para volver a utilizar el enlace (restauración del enlace), por último, se hará una actualización de la tabla de rutas para eliminar o agregar la ruta de cada enlace monitoreado en caso de caída o de restauración de la comunicación.

Page 68


6. Ya teniendo nuestros valores de monitoreo para ambas interfaces procedemos a crear las políticas para acceso de Internet para la DMZ y para la red loc al. Creamos dos políticas: •

•

La primera que permita acceso desde la DMZ hacia la interface SD-WAN, origen all, destino all, horario always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor) La segunda que permita acceso desde la LAN hacia la interface SD-WAN, origen all, destino all, horario always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)

7. Abra una ventana de MS-DOS y deje un ping extendido a 8.8.8.8 y solicite a su instructor que de de baja al enlace primario de internet (ISP) para validar la prueba de fail-over (Si los demás asistentes aun no t erminan la configuración, navegue a internet para generar trafico y valide el performance de su SD-WAN) 8. Ingrese al menú NETWORK SD-WAN y verifique el uso de sus interfaces de Internet 9. Ingrese al menú NETWORK PERFORMANCE SLA y verifique el estado del monitoreo para la WAN1

Page 69


LAB9. SSL VPN En este lab configuraremos una VPN SSL móvil utilizando su FortiGate y el FortiClient instalado en su bastión

OBJETIVOS

• • • •

Aprender a como configurar una VPN SSL para acceso desde su FortiClient o vía Web Conocer las ventajas de tener una interface de LoopBack para validar la conectividad en una VPN Definir políticas de autenticación de usuarios remotos para uso en FortiClient Aprender a como configurar un FortiClient para conexiones de VPN SSL

TIEMPO ESTIMADO •

40 minutos

REQUISITOS

1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet. 2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra configuración para el LAB de VPNSSL y VPN IPSEC

Page 70


CONEXIONES SSL USANDO FORTICLIENT

Durante este laboratorio usted configurara una VPN SSL a través de autenticación local utilizando como cliente móvil el FortiClient para acceder a redes remotas a través de internet o de enlaces dedicados. Notara que existen dos nuevas interfaces a) LAN_VPN (LOOPBACK) La ventaja de una interfaz de loopback es que esta interfaz lógica siempre está activa (sin dependencia del enlace físico) y las subredes conectadas siempre están presentes en la tabla de enrutamiento. b) port10 (WAN EMPRESARIAL)

CONFIGURANDO NUESTRO ENLACE VPN-SSL

Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO9-EJERCICIO10_VPNs.conf ” usando el usuario “admin” y password “123456” 1. Este laboratorio lo haremos en parejas para validar la conectividad entre los FortiGate y clientes móviles usando FortiClient 2. Como primer paso de la configuración vamos a crear un grupo de usuario local en el FortiGate y un usuario local al cual haremos miembro del grupo que acabamos de crear. Ingresamos al menú de USER & DEVICE --> USER GROUPS --> CREATE NEW

3. Luego de crear nuestro grupo de usuarios que nos servirá para autenticar a los clientes móviles, crearemos a nuestro usuario para hacerlo miembro del grupo de autenticación. Ingresamos al menú de USER & DEVICE --> USER DEFINITION --> CREATE NEW a) User type: Local User b) Username : vpn c) Password: 123456 d) Contact Info (dejarlo por default) e) Extra Info: UserGroup --> SSL_VPN_GROUP

Page 71


4. Debemos de crear un objeto de dirección con la red LAN_VPN local de su FortiGate (LOOPBACK) que nos servirá para agregar la ruta en el cliente móvil. Ingrese al menú POLICY & OBJECTS --> ADDRESSES --> CREATE NEW (Nótese que en el campo de SUBNET / IP RANGE debe de ingresar la red local del a interface LAN_VPN, la imagen muestra la LAN del instructor, usted debe de ingresar su propia red de acuerdo a la configuración de su FortiGate) y creamos un nuevo objeto de Direccion llamado LOCAL_NETWORK y definimos la red 172.16.X.0/24 (donde la X definen el tercer octeto de la red a la que quiere acceder desde el FortiClient VPN.

5. Ingrese al menú VPN --> SSL-VPN PORTALS y editamos el portal default FULL-ACCESS. Nos aseguramos que SPLIT TUNNELING este seleccionado y definimos la red local a la cual los usuarios móviles podrán tener acceso desde la VPN (Objeto que creamos en el paso anterior L OCAL_NETWORK) luego le damos click al botón de OK

Page 72


6. Ingrese al menú VPN --> SSL-VPN SETTI NGS donde debemos de definir: a) La interface por la cual permitiremos conexiones SSL (PORT10) b) Modificamos el puerto default de 443 a 10443 (ya que si lo dejamos en 443 perderemos la administración de nuestro FortiGate ya que a través de dicho puerto solamente se permitirán conexiones SSL). c) En la opción de RESTRICT ACCESS seleccionamos la opción de ALLOW ACCESS FROM ANY HOST d) En la opción de ADDRESS RANGE seleccionamos que automáticamente asigne una Direccion IP a nuestros clientes móviles. e) Por último, agregamos nuestro grupo de usuarios para autenticación y definimos un portal default para todos los demás grupos. En el apartado AUTHENTICATION/PORTAL MAPPING damos click en el botón de CREATE NEW y seleccionamos nuestro grupo de usuarios que creamos en el paso 2 y definimos como portal para dicho grupo el portal FULL-ACCESS f) Editamos el grupo ALL OTHER USERS/GROUP y definimos el portal WEB-ACCESS g) Aplicamos las configuraciones dando click al botón de APPLY

Page 73


h)

Page 74

Por último, luego de guardar nuestras configuraciones, aparecerá una alerta en la parte superior de SSLVPN SETTINGS donde nos alerta que no existen políticas que permitan acceso a la red local (loopback) a la que tiene acceso la VPN. Le damos click en la alerta y definimos nuestra política de la siguiente manera:


7. Debemos de configurar una política que permita el trafico desde su red LAN hacia la WAN EMPRESARIAL para que su FortiClient se pueda conectar al firewall remoto y poder establecer la VPN (debe de utilizar NAT en dicha polític a – puede ayudarse del LAB.3 – Políticas) 8. Ahora es momento de configurar el FortiClient en la PC Bastión de su compañero de trabajo de la siguiente manera: a) Iniciamos nuestro FortiClient dándole click al botón en la barra de tareas cerca del reloj de Windows

b) Seleccionamos la opción de REMOTE ACCESS y agregamos una nueva configuración de la siguiente manera (Donde 192.9.200.X, es la IP del puerto10 de su c ompañero):

Page 75


c) ingresamos el usuario y password definidos en el paso 6 d) Abrimos una ventana de DOS y hagamos ping a la IP 172.16.X.1 (siendo X el tercer octeto de la red del FortiGate a la que se quiere conectar el cliente móvil

Page 76


LAB10. IPSEC VPN

En este lab configuraremos una VPN de punto a punto utilizando su FortiGate y otro firewall en internet o a través de un enlace dedicado

OBJETIVOS

• • •

•

Identificar las fases de Internet Key Exchange ( IKEv1) Identificar la necesidad de rutas para las VPNs en modo Interface Desplegar una VPN site-to-site entre su FortiGate y otro firewall en la nube de internet o la de su proveedor de enlaces dedicados Monitorear los túneles VPNs

TIEMPO ESTIMADO •

60 Minutos

REQUISITOS

1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet. 2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra configuración para el LAB de VPNSSL y VPN IPSEC

Page 77


ROUTE-BASED IPSEC VPN

Durante este laboratorio usted configurara un túnel IPSec entre su FortiGate y otro firewall o concentrador de VPN para poder comunicar su bastión y otra red completamente diferente (FortiGate de su Compañero)

USANDO EL WIZARD DE VPNS

Abra una ventana de DOS y trate de hacerle ping a la IP remota 172.16.X.1 (Donde X es el tercer octeto de la red local loopback- de su compañero), usted puede ver que no tiene respuesta desde ese host, la finalidad de la VPN es poder tener acceso a la red remota a través de una conexión segura.

1. Desde la GUI de su FortiGate ingrese al menú VPN 2. Dele click en el botón de CREATE NEW 3. Configure los siguientes parámetros:

CAMPO Name Template Type Remote Device Type NAT Configuration

IPSEC TUNNELS

VALOR Hacia_Remoto Site to Site FortiGate No NAT between sites

4. Click en NEXT 5. A continuación, configure los siguientes parámetros:

CAMPO Remote Device IP Address Outgoing Interface

Authentication Method

Page 78

VALOR IP Address 192.9.200.X (IP FortiGate Remoto) WAN EMPRESARIAL (PORT10) debería de seleccionarla automáticamente, en caso de no hacerlo seleccionarla manualmente Pre-shared Key


Pre-shared Key

Fortinet$$ (Respetando las mayúsculas y minúsculas)

6. Click NEXT 7. Prosiga en el wizard y configure los siguientes campos:

CAMPO Local Interface Local Subnets

Remote Subnets

VALOR LAN_VPN (LoopBack) 172.16.X.0/24 (El Wizard la debería de seleccionar de manera automática sino defínala manalmente) 172.16.X.0/24 Red remota de la interface LAN_VPN del FortiGate de su compañero la cual es diferente en el tercer octeto a la de su FortiGate

8. Click en CREATE, usted debería de ver la siguiente ventana:

9. Click en SHOW TUNNEL LIST usted podrá ver el túnel que acaba de crear.

Notara que el status de la VPN esta INACTIVE 10. Ingrese al menú MONITOR IPSEC MONITOR y dele click derecho a la VPN y levántela de manera manual (siempre y cuando este configurado de la misma manera en el FortiGate de su compañero, la VPN debería de levantar automáticamente)

Page 79


11. Abra una ventana de KITTY (SSH Client similar a Putty) y digite los siguientes comandos exe ping-options source 172.16.X.1

Con el comando anterior forzaremos a nuestro FortiGate hacer ping desde la IP de su interface de LoopBack, sustituyendo la X por el tercer octeto de su red de LoopBack exe ping 172.16.X.1

Con este comando haremos ping a la inte rface de LoopBack del sitio remoto (Interface del FortiGate de su compañero), sustituyendo la X por el tercer octeto de la red de LoopBack de su compañero

Debería de poder hacerle ping a la interface remota a través de la VPN ADDRESS y observe dos nuevos objetos que fueron creados de manera 12. Ingrese al menú POLICY & OBJECTS automática por el Wizard Hacia_Remoto_local o Hacia_Remoto_remote o 13. Ingrese al menú POLICY & OBJECTS  IPV4 y observe dos nuevas políticas:

14. Ingrese a NETWORK

Page 80

STATIC ROUTES y

verifique la ruta estática ingresada por el wizard

guia estudiante fortigate

Recommend Documents