Fortigate: Configuración

inicial y puesta en marcha

Publicada en 26/10/2017 por ragasys
Hola a tod@s.
En este post vamos a ver como realizar la configuración inicial y puesta en marcha para
empezar a funcionar con un firewall Fortigate de la empresa norteamericana Fortinet,
dedicada al desarrollo y comercialización de software, dispositivos y servicios de
ciberseguridad, como firewalls, antivirus, prevención de intrusiones y seguridad en dispositivos
de usuario, entre otros.
La topología utilizada es sencillita y será la siguiente, un puerto del Fortigate para la salida a
Internet (WAN1) y otro puerto para la red interna (LAN_RAGASYS):

 Lo primero que haremos será conectarnos a nuestro Fortigate con el cable de consola y
loguearnos, con el usuario admin y password en blanco:
 Una vez logueados, con el siguiente comando vemos el estado de las interfaces:
 Como podemos ver el port1 tiene permitido el acceso a los protocolos ICMP (Ping), HTTP,
HTTPS, SSH y FGFM, todo ello, para que una vez que le asignemos una dirección IP
podamos administrar el Fortigate a través de esa dirección, de todas formas, una vez que
accedamos al firewall a través de la interface web podemos habilitar todos estos accesos
en los puertos que nos interesen, también lo podemos hacer a través de la CLI, eso a
gusto del consumidor.

 Ahora vamos a asignar las direcciones IP correspondientes para las interfaces

LAN_RAGASYS y WAN1, para ello hacemos lo siguiente:
 Una vez asignadas las direcciones IP ya podemos acceder al Fortigate a través del portal
web, en mi caso, como buena práctica, siempre me creo un registro del tipo A estático en
mi servidor DNS, para así poder acceder al dispositivo a través de su nombre:
 Una vez que hemos accedido al Fortigate podemos ver el direccionamiento asignado a las
dos interfaces:
 Como buena práctica lo primero que vamos a realizar será deshabilitar todos los puertos
que no vamos a utilizar y a medida que los vayamos necesitando los iremos habilitando,
para ello editamos cada puerto y deshabilitamos:
 Realizamos la misma operación para todos los demás puertos y nos quedaría así:

 Ahora editamos el port1 y el port8:

 Ahora vamos a configurar el hostname y la hora del sistema, para ello accedemos a
“System > Settings”:

 El siguiente paso será configurar los DNS, en “Network > DNS”:

 Ahora vamos a asignar un password al usuario administrador que viene definido por
defecto en el Fortigate, ya que de fábrica no tiene asignada contraseña:

 Ahora nos crearemos perfiles para administrar el Fortigate, asignándole los permisos que
nos interesen a cada perfil, en mi caso crearé un perfil para los Administradores de
Ragasys Sistemas:
 Una vez creado los perfiles, ya podemos crear usuarios y asignarlos a los perfiles que nos
interesen:
 El siguiente paso será crearnos una ruta por defecto para la salida a Internet, para ello nos
vamos a “Network > Static Routes”:
 Como podemos ver el firewall ya tiene conexión a Internet, nuestros equipos todavía no
van a tener conexión hacia Internet, necesitamos configurar las políticas, que lo veremos
en los siguientes puntos:

 Ahora vamos a configurar algunas políticas para que los equipos de nuestra red local
tengan salida a Internet, aunque antes veremos que por defecto viene configurada una
política implícita denegando todo el tráfico desde cualquier origen a cualquier destino y
con cualquier servicio, nosotros iremos añadiendo políticas y permitiendo el tráfico que
nos vaya interesando:

 Para configurar las políticas, lo primero que vamos a realizar será configurar las
direcciones, en este caso voy a englobar todas las direcciones pertenecientes a la red
interna LAN_RAGASYS:
 Ahora nos crearemos un grupo y añadimos estas direcciones LANRAGASYS, que incluiría
toda la red al completo:
 Una vez creada las direcciones y el grupo, vamos a crear los grupos de servicios para
aplicarlos a nuestras políticas, como lo que queremos es darle acceso a Internet a todos
los equipos de nuestra red interna nos vamos a crear un grupo de servicios llamado “Web
Access”, en el cuál vamos a incluir los servicios DNS, HTTP y HTTPS para que los
equipos puedan navegar, la mayoría de los servicios ya vienen definidos en el firewall
como pueden ser FTP, SMB, HTTP, HTTPS, POP3, SMTP, DNS, etc… :
 Una vez creados los grupos de servicios, habilitamos las políticas que nos vayan
interesando, en este caso vamos a habilitar una política para que todos los equipos de
nuestra red interna puedan navegar por Internet:
 Con esto ya tendríamos acceso a Internet desde cualquier equipo de nuestra red interna.

 Ahora vamos a crearnos otro grupo de servicios llamado ICMP Access, en el cuál vamos a
incluir el servicio “ALL_ICMP”:
 Una vez creados el grupo de servicios, habilitamos la política, en este caso vamos a
habilitar una política para que todos los equipos de nuestra red interna puedan hacer ping
a cualquier dirección IP en Internet y comprobar su estado:
 Como podemos ver desde el equipo con Windows 10 desde el que estoy configurando el
Fortigate ya podemos realizar un ping a cualquier dirección en Internet: