Está en la página 1de 82

GUÍA DEL ESTUDIANTE

10-Sep-18 FortiGate 6.0.X

Esta guía describe una serie de tareas administrativas para configurar su


FortiGate, las mejores prácticas y ejemplos de consejos de configuración, también
incluye numerosos temas que abarcan componentes de FortiOS que se pueden
utilizar para configurar su red y firewall.
Guía del Estudiante

CONTENTS

VIRTUAL LABS BASICS ............................................................................................................................. 4


Network Topology ...............................................................................................................................................................4

LAB1. INTRODUCCION A FORTIGATE ..................................................................................................... 5


Objetivos ............................................................................................................................................................................5
Tiempo estimado ...............................................................................................................................................................5
Trabajando con la Linea de Comando (CLI) .................................................................................................................. 6
Backups de Configuraciones........................................................................................................................................... 11
Restaurando una Configuracion desde un Backup ................................................................................................. 11
Realizando un Backup de Configuracion ................................................................................................................. 13
Restaurando un Archivo de Configuracion Encriptado .......................................................................................... 14
Compare las dos Configuraciones ............................................................................................................................. 14
Cuentas Administrativas................................................................................................................................................... 15
Creando un Perfil de Administrador ......................................................................................................................... 15
Creando una Cuenta de Administrador ................................................................................................................... 15
Comprobando la Nueva Cuenta de Administracion .............................................................................................. 16

LAB2. LOGGING Y MONITOREO ........................................................................................................... 17


Objetivos ......................................................................................................................................................................... 17
Tiempo estimado ............................................................................................................................................................ 17
Configuracion de Logs en el Fortigate ......................................................................................................................... 18
Configure Logs Settings ................................................................................................................................................ 18
Configuracion de Threat Weight (Peso de Amenazas)......................................................................................... 18
Habilite Logging en la Politica de Firewall ............................................................................................................. 20
Generando Trafico en el Fortigate ........................................................................................................................... 22
Revisando los Logs en la GUI del Fortigate ............................................................................................................ 24
Observando Logs en FortiView .................................................................................................................................. 25

LAB3. POLITICAS DE FIREWALL ............................................................................................................. 26


Objetivos ......................................................................................................................................................................... 26
Tiempo estimado ............................................................................................................................................................ 26
Creando Objetos de Direccion y Politicas de Firewall............................................................................................. 27
Creando Objetos de direccion ................................................................................................................................... 27
Creando una Politica de Firewall .............................................................................................................................. 28
Probando la Politica ..................................................................................................................................................... 29
Identificación de Dispositivos.......................................................................................................................................... 30
Configurando y probando la politica por dispositivo........................................................................................... 31
Reconfigurando la identificacion de dispositivos.................................................................................................... 33
Viendo el detalle de un dispositivo identificado .................................................................................................... 34

Page 1
Guía del Estudiante
LAB3.1 POLITICAS DE FIREWALL ........................................................................................................... 36
LAB4. NETWORK ADDRESS TRANSLATION (NAT) ................................................................................ 38
Objetivos ......................................................................................................................................................................... 38
Tiempo estimado ............................................................................................................................................................ 38
Requisitos ......................................................................................................................................................................... 38
Acceso Utilizando VIPs ..................................................................................................................................................... 39
Creando una VIP ........................................................................................................................................................... 39
Creando la Politica de Firewall ................................................................................................................................. 40
Validando nuestra politica con destino VIP ............................................................................................................. 41
NAT Dinamicos usando IP POOL ................................................................................................................................... 42
Creando un IP Pool........................................................................................................................................................ 42
Editando la politica para usar su IP Pool ................................................................................................................. 42
Probando su Politica de IP Pool ................................................................................................................................. 43

LAB5. WEB FILTER .................................................................................................................................. 45


Objetivos ......................................................................................................................................................................... 45
Tiempo estimado ............................................................................................................................................................ 45
Requisitos ......................................................................................................................................................................... 45
Fortiguard Web Filtering ................................................................................................................................................ 46
Configurando Perfiles de Filtrado web basados en categorias de FortiGuard ............................................. 46
Aplicando el perfil de Web Filter a la politica de Firewall................................................................................ 48
Probando el Filtrado de Contenido .......................................................................................................................... 48
Creando un Web Rating Override ........................................................................................................................... 50
Probando su Web Rating Override .......................................................................................................................... 51

LAB5.1 WEB FILTER ................................................................................................................................ 52


LAB6. APPLICATION CONTROL............................................................................................................. 53
Objetivos ......................................................................................................................................................................... 53
Tiempo estimado ............................................................................................................................................................ 53
Requisitos ......................................................................................................................................................................... 53
Creando un perfil de control de aplicaciones ............................................................................................................ 54
Configurando Overrides de Aplicaciones ................................................................................................................ 54
Verificando que el Perfil de Control de Aplicaciones esta siendo Aplicado ................................................... 55
Probando el Perfil de Control de Aplicaciones ...................................................................................................... 56
Revisando Logs ............................................................................................................................................................... 57
Limitando el trafico de una aplicación usando Traffic Shapers ............................................................................. 58
Modificando el Override de la aplicación dailymotion ....................................................................................... 58
Creando el perfil de Traffic Shaper ......................................................................................................................... 58
Configurando la Politica de Traffic Shaper ............................................................................................................ 59
Probando el Traffic Shaper ........................................................................................................................................ 59

LAB6.1 APPLICATION CONTROL .......................................................................................................... 60

Page 2
Guía del Estudiante
LAB7. FIREWALL AUTHENTICATION – LOCAL ....................................................................................... 61
Objetivos ......................................................................................................................................................................... 61
Tiempo estimado ............................................................................................................................................................ 61
Requisitos ......................................................................................................................................................................... 61
Autenticacion Local ........................................................................................................................................................... 62
Configurando su Fortigate........................................................................................................................................... 62
Asignando Usuarios Locales a un Grupo de Firewall ............................................................................................ 63
Portal Captivo ................................................................................................................................................................... 64
Habilitando Portal Captivo ......................................................................................................................................... 64
Autenticando usuarios y Monitoreando .................................................................................................................... 65
LAB8. SDWAN ....................................................................................................................................... 66
Objetivos ......................................................................................................................................................................... 66
Tiempo estimado ............................................................................................................................................................ 66
Requisitos ......................................................................................................................................................................... 66
Enlaces de Internet usando SDWAN............................................................................................................................. 67
Configurando nuestros dos enlaces a Internet ........................................................................................................ 67

LAB9. SSL VPN....................................................................................................................................... 70


Objetivos ......................................................................................................................................................................... 70
Tiempo estimado ............................................................................................................................................................ 70
Requisitos ......................................................................................................................................................................... 70
Conexiones SSL usando FortiClient ............................................................................................................................... 71
Configurando Nuestro Enlace VPN-SSL .................................................................................................................... 71

LAB10. IPSEC VPN ................................................................................................................................. 77


Objetivos ......................................................................................................................................................................... 77
Tiempo estimado ............................................................................................................................................................ 77
Requisitos ......................................................................................................................................................................... 77
Route-Based IPSec VPN................................................................................................................................................... 78
Usando el Wizard de VPNs ........................................................................................................................................ 78

Page 3
Guía del Estudiante

VIRTUAL LABS BASICS

NOTA
En esta clase, usará el laboratorio virtual para ejercicios prácticos. Esta sección explica Si usted tiene alguna duda sobre
cómo conectarse al laboratorio y a sus máquinas virtuales. También muestra la topología como ingresar a su ambiente de
de red de las máquinas virtuales en el laboratorio.
Laboratorio, favor de solicitar
ayuda a su instructor

NETWORK TOPOLOGY

Desde su PC conectarse por RDP (Remote


Desktop Connection) a la IP de Administración
de su bastion

LA DIRECCION IP DE SU BASTION LA
ISP WAN1
ENCONTRARA EN LA GUIA DEL
IP: 190.5.24.169
ESTUDIANTE EN LA TABLA DE
ACCESOS
ISP WAN2
IP: 138.99.3.169
FORTIGATE
LAN IP: 192.168.1.1
WAN1: 190.5.24.170
WAN2: 138.99.3.170

192.9.200.0/24 WAN Empresarial

LAN
192.168.1.0/24 DMZ LINUX
Administration IP: 172.30.5.X 10.0.1.0/24 DNS-WEBSERVER
LAN IP: DHCP IP: 10.0.1.243

Page 4
Guía del Estudiante

LAB1. INTRODUCCION A FORTIGATE

Este laboratorio provee instrucciones de como ingresar a la administración de su FortiGate usando la CLI (Línea de Comando)
y la GUI (Interfaz Gráfica de Usuario). Adicional a esto el Laboratorio lo guiara a través de como ejecutar un backup y una
restauración de forma correcta de su configuración, de igual manera crearemos una nueva cuenta de administración y
modificaremos los permisos de acceso de dicha cuenta.

OBJETIVOS

• Acceder a la CLI (Línea de comando) de su FortiGate


• Backup y Restore de archivos de Configuración
• Encontrar el modelo de su FortiGate y la versión de FortiOS Firmware dentro del archivo de configuración
• Crear un usuario administrativo
• Restringir accesos administrativos

TIEMPO ESTIMADO

• 30 minutos

Page 5
Guía del Estudiante

TRABAJANDO CON LA LINEA DE COMANDO (CLI)

Usted iniciara ingresando a su FortiGate usando la Línea de Comando (CLI)

Existen múltiples maneras de poder ingresar a la CLI, las cuales son:

• Usando cable de Consola Serial


• Por medio de SSH o Telnet
• Desde la misma GUI
• Usando FortiExplorer (solo ciertos modelos)

En este laboratorio utilizaremos Kitty (Putty) y crearemos una sesión SSH hacia la interfaz LAN del Firewall. Para activar la
administración por SSH seguimos los siguientes pasos:

1. Primeramente, ingrese a la GUI (Interfaz Gráfica de Usuario) usando la siguiente URL: https://192.168.1.1
2. Digite el usuario: admin (todo en minúscula) y deje la casilla de password en blanco, es decir sin contraseña. Por ser la
primera vez que ingresa a su equipo debe definir un password para el usuario admin (favor de ingresar el password:
123456) luego tendrá que ingresar el usuario admin con el password que definió en este paso

3. Ingrese al menú de NETWORK  INTERFACES


4. Seleccionamos la Interface LAN (port1) y damos click en EDIT

5. Entre las opciones de ADMINISTRATIVE ACCESS seleccionamos SSH y la marcamos.

Page 6
Guía del Estudiante

6. Le damos click al Botón de OK


7. En el escritorio de la PC Windows (Bastión) seleccionamos KITTY (Cliente SSH similar a Putty) e ingresamos la IP de la
interface LAN de nuestro FortiGate, nos aseguramos de que tengamos el puerto 22 definido y apretamos la tecla de
ENTER

8. Ingresamos el usuario: admin con el password que hemos definido en el paso 3 (123456) e inmediatamente iniciaremos
la sesión de administración por SSH contra nuestro FortiGate

Page 7
Guía del Estudiante

9. Ingresamos el siguiente comando:

get sys status

Este comando muestra la información básica del status de su equipo, el output incluye el número de serie de su
FortiGate, modo de operación y demás información. Cuando aparezca --More-- en la CLI presione la barra
espaciadora de su teclado para continuar avanzando, presione Enter para avanzar una línea a la vez o presione Q
para salir.

10. Ingrese el siguiente comando:

get ? NOTA
El carácter ? no es mostrado dentro de
la pantalla

Este comando muestra todas las opciones que la CLI aceptará después de digitar el comando GET, dependiendo del
comando, usted tendrá que ingresar alguna palabra adicional para especificar las opciones de la configuración.

11. Presione la tecla hacia arriba esta acción mostrara el ultimo comando digitado. Trate las siguientes
combinaciones que se muestran a continuación:

Acción Comando
Comando anterior

Comando siguiente
Inicio de línea CTRL+A
Final de la línea CTRL+E
Retrocede una palabra CTRL+B
Avanza una palabra CTRL+F
Borra el carácter actual CTRL+D
Limpia la pantalla CTRL+L
Comando para abortar y salir CTRL+C

12. Ingrese el comando:

execute ?

Esto muestra todas las opciones que la CLI aceptara luego del comando execute

Page 8
Guía del Estudiante
13. Digite exe seguido de la tecla TAB, note que la CLI completa el comando

14. Luego de tener el comando execute (del paso anterior) presione la barra espaciadora y presione la tecla TAB tres
veces. Cada vez que usted presiona la tecla TAB, la CLI reemplaza la segunda palabra con la siguiente posible opción
para el comando execute, en modo alfabético.

NOTA
La mayoría de los comandos pueden ser abreviados, en los siguientes Labs, muchos de los comandos serán digitados de manera
abreviada. Use esta técnica para reducir el número de teclas que son requeridas para ingresar comandos. De esta manera, expertos
pueden configurar el fortigate de manera más rápida por CLI que por GUI
Si algún otro comando posee en un inicio los mismos caracteres que otro, la abreviatura deberá de ser lo suficientemente larga para
que su unidad fortigate pueda distinguir entre una y otra, de lo contrario la CLI mostrara un error de comando ambiguo.

Page 9
Guía del Estudiante

15. Ingrese el siguiente comando en la CLI para revisar la configuración del puerto LAN

show system interface port1

16. Ingrese el siguiente comando:

show full-configuration system interface port1

Deténgase y Piense
Compare los dos outputs de los comandos digitados en el paso 15 y 16, ¿en que son diferentes?
El comando show full-configuration system interface port1 muestra todos los settings de configuración
para la interface port1 (LAN), el comando show muestra únicamente los valores que son diferentes al
valor default de configuración

Page 10
Guía del Estudiante

BACKUPS DE CONFIGURACIONES

Durante este ejercicio usted aprenderá como generar y restaurar configuraciones de backups en texto plano y encriptados.

RESTAURANDO UNA CONFIGURACION DESDE UN BACKUP

En este procedimiento realizaremos una restauración de un backup en su FortiGate

1. Ingrese a su FortiGate usando el usuario admin junto con el password que ha definido.
2. Vaya al dashboard MAIN (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  RESTORE

4. Click en UPLOAD y seleccione el archivo de backup que va a restaurar

NOTA
El backup está situado en el escritorio de su Bastión en el folder: DESKTOP  BACKUPS
Y se llama: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”

Page 11
Guía del Estudiante

5. Luego de haber seleccionado su archivo de configuración a restaurar el FortiGate mostrara una alerta, ya que esta
acción causa que el equipo se reinicie de manera automática

6. Ingrese a NETWORK  INTERFACES y verifique que los permisos administrativos de sus interfaces fueron restaurados

Page 12
Guía del Estudiante

REALIZANDO UN BACKUP DE CONFIGURACION

1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.


2. Vaya al dashboard - Main (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  BACKUP

4. Habilite ENCRYPTION
5. Ingrese el password: “fortinet” (sin las comillas) dos veces y seleccione OK
6. Guarde el archivo de configuración encriptado en el folder de BACKUPS de su Bastión.

NOTA
NO existe manera de recuperar una contraseña
olvidada de un archivo de configuración, si usted no
recuerda la contraseña en un backup, quedara
inservible.

ALERTA
Siempre guarde un backup de su configuración antes de cualquier cambio (incluso si es un cambio menor
o sin importancia), no existe manera de deshacer los cambios (undo). Restaurar un backup le permitirá
revertir cambios si descubre algún problema con la nueva configuración

Page 13
Guía del Estudiante

RESTAURANDO UN ARCHIVO DE CONFIGURACION ENCRIPTADO

Para restaurar un archivo de configuración encriptado necesitamos:

1. Ingrese a su FortiGate usando el usuario admin y dejando el campo de password en blanco.


2. Vaya al dashboard (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION  RESTORE
4. Click en el botón de UPLOAD y seleccione el archivo que encripto en la sección anterior (Realizando un Backup de
Configuración)
5. Click OK

Nótese que esta vez usted debe de ingresar el password “fortinet” (sin comillas)

COMPARE LAS DOS CONFIGURACIONES

1. Inicie Notepad++ dándole doble click en el icono


de su escritorio:
2. Abra el archivo de configuración que encriptó en la
sección “Realizando un Backup de Configuración”
3. Inicie otra instancia de Notepad++ y abra el
backup inicial que restauro en la sección
“Restaurando una Configuración desde un Backup”
4. Compare los detalles del contenido de ambos
archivos

NOTA
En ambos archivos los headers listan el firmware y la
información de a qué modelo pertenece la
configuración

Page 14
Guía del Estudiante

CUENTAS ADMINISTRATIVAS

FortiGate ofrece una gran flexibilidad para configurar privilegios de administrador. Usted puede especificar la IP desde la
cual los administradores pueden conectarse a su equipo. Este Lab incluye el procedimiento relacionado de cómo trabajar con
cuentas de administración.

CREANDO UN PERFIL DE ADMINISTRADOR

Para configurar un perfil de administrador se requiere de los siguientes pasos:

1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMIN PROFILE


2. Click en CREATE NEW y cree un nuevo perfil llamado Security_Admin_Profile
3. Seleccione la opción de SECURITY PROFILE en READ-WRITE, pero seleccione los otros permisos como READ
4. Click OK y guarde los cambios

CREANDO UNA CUENTA DE ADMINISTRADOR

1. Desde la GUI de su FortiGate ingrese al menú SYSTEM  ADMINISTRATORS


2. Click en CREATE NEW y cree una nueva cuenta de administrador configurando los siguientes parámetros

NOTA
Los nombres de usuarios de administración son case sensitive, es decir que respetan las mayúsculas y minúsculas. No puede incluir
en los nombres o contraseñas de administrador caracteres especiales como <>()#”. Espacios están permitidos, pero no como el primero
ni el ultimo carácter

3. Click OK y guarde los cambios

Page 15
Guía del Estudiante

COMPROBANDO LA NUEVA CUENTA DE ADMINISTRACION

1. Desde la GUI del FortiGate salga de la sesión de admin con la cual ingreso

2. Ingrese como “Security_Admin” con el password “fortinet” (sin comillas)


3. Valide los accesos de administrador: trate de crear o modificar las configuraciones de red en el menú NETWORK 
INTERFACES

Page 16
Guía del Estudiante

LAB2. LOGGING Y MONITOREO

En este Lab, usted configurará logueo de eventos en su FortiGate y podrá visualizar logs para Troubleshooting.

OBJETIVOS

• Configurar logs en su FortiGate para que pueda comprender como el appliance interpreta el trafico
• Configurar Threat Weight (Peso de amenazas)
• Monitorear logs a través de la GUI
• Ver logs en la GUI de su FortiGate

TIEMPO ESTIMADO

• 20 Minutos

Page 17
Guía del Estudiante

CONFIGURACION DE LOGS EN EL FORTIGATE

Configurar los Settings de logs en el FortiGate no genera logs automáticamente, sino más bien define como los logs serán
tratados. Por ejemplo, enviar logs en tiempo real hacia un FortiAnalyzer, habilitar el logueo de forma local o habilitar histórico
para su uso en FortiView.

CONFIGURE LOGS SETTINGS

1. Ingrese a la GUI de su FortiGate usando la url: https://192.168.1.1 con el usuario admin (sin contraseña)
2. Ingrese al menú de LOG & REPORT  LOG SETTINGS
3. Asegúrese que al logueo en disco este habilitado

4. Bajo LOG SETTINGS asegúrese que LOCAL TRAFFIC LOG esta deshabilitado ya que esta opción puede llenar el disco
del FortiGate si no es debidamente configurado y monitoreado. Asegure que la opción EVENT LOGGING está
habilitado y ENABLE ALL seleccionado

5. Ingrese a las GUI PREFERENCES y complete lo siguiente:

6. Click en APPLY

CONFIGURACION DE THREAT WEIGHT (PESO DE AMENAZAS)

Page 18
Guía del Estudiante

El peso de las amenazas le permite configurar el valor del riesgo de una amenaza en bajo, media, alta y niveles críticos y
luego aplicar un peso par categorías específicas.

1. En la GUI del FortiGate ingrese al meno de LOG & REPORT  THREAT WEIGHT
2. Bajo la opción de WEB ACTIVITY deslice la barra hasta el valor critico de 50 para las siguientes categorías:
o MALICIOUS WEBSITES
o HACKING
o EXPLICIT VIOLENCE
o PORNOGRAPHY

3. Click en APPLY

Page 19
Guía del Estudiante

HABILITE LOGGING EN LA POLITICA DE FIREWALL

Ahora que ya tenemos las configuraciones de LOG configuradas, debemos de habilitar la opción de logueo en la política de
firewall. Hasta que habilitamos el logueo en la política de firewall es entonces que se registran y se generan los mensajes de
logs

1. En la política de firewall situada en POLICY & OBJECTS  IPV4 POLICY edite la política que va de la LAN hacia
INTERNET

2. Bajo la opción de SECURITY PROFILE, habilite la opción de WEB FILTER y seleccione la categoría de MONITOR_ALL.
Note que las casillas de PROXY OPTIONS y SSL INSPECTION se marcan automáticamente

Page 20
Guía del Estudiante
3. Bajo las opciones de LOGGING OPTIONS habilite LOG ALLOWED TRAFFIC y seleccione ALL SESSIONS, recuerde,
usted no tendrá logs de ningún tipo si LOG ALLOWED TRAFFIC no está habilitado en las políticas

4. Click OK. Con esto usted ya configuro logs en la política. Más adelante en este Lab usted hará pruebas de estas
configuraciones

Page 21
Guía del Estudiante

GENERANDO TRAFICO EN EL FORTIGATE

Para poder generar logs hacia múltiples sitios de manera rápida utilizaremos WEBTIMER de cacheflow (Webtimer es un
software gratis que puede ser descargado de internet)

1. Ejecute el programa WebTimer dándole doble click en el icono que está en el escritorio de su Bastión.

2. Seleccione la lista de URLs por default que trae el programa dándole click en el menú FILE  SELECT URL LIST

Page 22
Guía del Estudiante

3. Inicie el proceso de cacheo de sitios dándole click al botón de PLAY en el WebTimer

NOTA
Si le aparece un mensaje de alerta de que la versión del navegador que está utilizando esta desactualizado, dele click en continuar

Page 23
Guía del Estudiante

REVISANDO LOS LOGS EN LA GUI DEL FORTIGATE

1. Ingrese al menú de LOG & REPORT  FORWARD TRAFFIC para ver el tráfico que está atravesando el FortiGate

1. Ingrese al menú de LOG & REPORT  WEB FILTER donde podrá ver los logs de sitios permitidos y bloqueados por
categoría de FortiGuard

NOTA
Los logs de web filter no serán mostrados sino existe ningún evento de Webfilter

Page 24
Guía del Estudiante

OBSERVANDO LOGS EN FORTIVIEW

1. En la GUI ingresamos al menú FORTIVIEW  WEB SITES por default los logs mostrados son de ahorita o NOW, si
WebTimer dejo de generar hits hacia páginas web es muy probable que no se muestren logs, esto es normal y
esperado, habrá que ajustar el tiempo para 5 minutos, 1 hora o 24 horas. Luego verifique el menú de FORTIVIEW 
THREATS para determinar las amenazas de navegación en su red.

2. Dele click en el icono y seleccione BUBBLE CHART


3. Use la opción de SORT BY para mostrar la información por THREAT SCORE, SESSIONS o por BYTES

Page 25
Guía del Estudiante

LAB3. POLITICAS DE FIREWALL

OBJETIVOS

• Configurar objetos de firewall y políticas de firewall


• Configurar opciones disponibles en las políticas usando diferentes orígenes de trafico
• Aplicar servicios y horarios de firewall en políticas
• Configurar logueo en políticas de firewall
• Configurar políticas de firewall basadas en dispositivos
• Reordenar las políticas
• Leer y entender logs
• Uso de Policy Lookup para encontrar políticas que hagan match

TIEMPO ESTIMADO

• 40 Minutos

Page 26
Guía del Estudiante

CREANDO OBJETOS DE DIRECCION Y POLITICAS DE FIREWALL

En este ejercicio usted aprenderá a configurar objetos de dirección, también aprenderá a configurar políticas de IPv4 donde
se aplicarán los objetos de firewall junto con horarios, servicios y opciones de logs. Luego usted validara las políticas generando
tráfico a través de ellas y revisando los logs de tráfico del FortiGate.

Como usted sabe, FortiGate en su Core es un firewall, por tanto, casi todo lo que se aplica a su tráfico de red está directamente
relacionado con políticas de firewall.

CREANDO OBJETOS DE DIRECCION

Su FortiGate por default trae pre configurado múltiples objetos de dirección, sin embargo, si estos no cumplen los requerimientos
de su organización usted puede configurar muchos más y de diferentes tipos.

Para crear un objeto de firewall siga los siguientes pasos:

1. En la GUI de su FortiGate ingrese al menú de POLICY & OBJECTS  ADDRESSES


2. Dele click en el botón de CREATE NEW  ADDRESS
3. Configure los siguientes parámetros para su nuevo objeto de dirección

CAMPO VALOR
Name RED_LOCAL
Type IP/Netmask
Subnet/IP range 192.168.1.0/24
Interface any
4. Click en el botón de OK

Page 27
Guía del Estudiante

CREANDO UNA POLITICA DE FIREWALL


Primeramente, usted deberá de deshabilitar la política de firewall dándole click derecho a la política con secuencia 3 que va
desde la LAN hacia la Interface de INTERNET (source all, destination all, schedule always, service all, action Accept, NAT enable)

Para crear una nueva política seguiremos los siguientes pasos:

1. En el menú POLICY & OBJECTS  IPv4 POLICY le damos click al botón de CREATE NEW para agregar una nueva
política de firewall.
2. Luego configuramos nuestra política con los siguientes valores

CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface INTERNET
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Log Allowed Traffic Enable and select ALL SESSIONS
Generate Logs when Session Starts Enable
Enable Policy Enable

Page 28
Guía del Estudiante

Deténgase y Piense
¿Cuál piensa usted que es la razón por la cual no agregamos el servicio de DNS a la política, si es un
servicio clave para que los usuarios de su red local puedan navegar a Internet y resuelvan nombres de sitios
web en internet, en lugar de ingresar IPs para navegar?

3. Deje las demás opciones por default y dele click en el botón de OK

PROBANDO LA POLITICA

Ahora que usted ha configurado la política de firewall, la probaremos generando tráfico hacia internet y revisando los logs
de la política.

1. Desde su Bastión trate de navegar a www.fortinet.com o a cualquier otro sitio que usted desee (de preferencia navegue
en varios sitios diferentes donde no ha navegado anteriormente antes de revisar los logs)
2. En la GUI ingrese al menú POLICY & OBJECTS  IPv4 POLICY
3. Dele click derecho al número de secuencia (SEQ.#) de la nueva política que acaba de crear con nombre INTERNET
ACCESS
4. Luego seleccione el menú SHOW MATCHING LOGS

5. Identifique la entrada de log de su navegación a internet.

Con su configuración actual usted tendrá muchas entradas de logs con mensajes ACCEPT: SESSION START en la
columna de resultados, estos son logs de inicio de la sesión, cuando la sesión se cierre usted tendrá otra entrada con
la cantidad de data enviada y recibida.

NOTA
LOGGING SESSION START genera el doble de entradas de logs, usted debe de utilizar esta opción UNICAMENTE cuando el nivel de
detalle de log sea necesario (Troubleshooting)

Page 29
Guía del Estudiante

NOTA
Cuando usted le da click en SHOW MATCHING LOGS en la política de firewall se agrega un filtro UUID en la ventana de Forward
Traffic

Cuando usted remueve el filtro de UUID, los logs serán mostrados sin ningún filtro y en su totalidad tomando en cuenta los logs
de las demás políticas de firewall que tienen activo esta opción. Estos logs los usaremos en los laboratorios de más adelante.

6. Cierre todas las ventanas a excepción de la GUI de su FortiGate

NOTA
Para reordenar las políticas basta con arrastrarlas al lugar o secuencia deseada. OJO, no podemos mover políticas de una sección a
otra dentro del gestor de políticas, únicamente las podemos mover dentro de la sección que contenga las interfaces de origen y destino.

IDENTIFICACIÓN DE DISPOSITIVOS

FortiGate tiene la habilidad de detectar tráfico por el tipo de dispositivos que lo genera, hay dos maneras de poder detectar
dispositivos:

• Agentless Device identification, usa el tráfico de los dispositivos y los indexa por MAC Address
• Agent-based Device identification, usa FortiClient quien envía un ID único al FortiGate para identificar el dispositivo

En este laboratorio usaremos la técnica de Agent-based Device identification. Usted agregara un dispositivo en el campo de
origen de la política actual de firewall que creamos en el lab anterior y observara como hace match el dispositivo de origen
con la política.

Page 30
Guía del Estudiante

CONFIGURANDO Y PROBANDO LA POLITICA POR DISPOSITIVO

1. Como primer paso usaremos la política que creamos anteriormente que decía así:

CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface SD-WAN
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Log Allowed Traffic Enable and select ALL SESSIONS
Generate Logs when Session Starts Enable
Enable Policy Enable

2. Abra una ventana de DOS y deje un ping continuo a 8.8.8.8 ingresando:

ping 8.8.8.8 –t

3. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS  IPv4 POLICY dele click
derecho al número de ID de la Policita INTERNET_ACCESS
4. Seleccione la opción de EDIT
5. Seleccione SOURCE
6. Del lado derecho seleccione DEVICE y dele click en LINUX PC (Usted está seleccionando un dispositivo que no hace
match su máquina bastión – Windows)

Page 31
Guía del Estudiante

7. Click OK
8. Regrese a la ventana de comandos de DOS en su Bastión donde estaba corriendo un ping continuo, usted debería de
ver que el trafico está siendo bloqueado
9. Trate de navegar a cualquier sitio de internet y debería de ver el timeout default del navegador de no poder ingresar.
El tráfico es bloqueado debido a que el dispositivo de origen en la política de firewall es una PC Linux, el cual no
hace match con su máquina windows desde donde está generando el tráfico

Page 32
Guía del Estudiante

RECONFIGURANDO LA IDENTIFICACION DE DISPOSITIVOS

1. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS  IPv4 POLICY dele click
derecho al número de ID de la política INTERNET_ACCESS
2. Seleccione la opción de EDIT
3. Seleccione SOURCE
4. Del lado derecho seleccione DEVICE y dele click en WINDOWS PC
5. Luego dele click en LINUX PC para quitarlo del campo de Source o dele click en la X al lado del objeto LINUX PC
6. Dele click en OK

Para confirmar que el trafico está siendo permitido por la política, seguimos los siguientes pasos:

1. Desde su Bastión, revise el Ping extendido que tenía en la línea de comandos de DOS, y usted debería de ver el
trafico permitido y tener respuesta del host 8.8.8.8
2. Cierre la ventana de línea de comandos
3. Abra su navegador y trate de ingresar a cualquier sitio en internet al que no haya navegado con anterioridad
4. Confirme que puede navegar sin ningún problema

Page 33
Guía del Estudiante
VIENDO EL DETALLE DE UN DISPOSITIVO IDENTIFICADO

1. Ingrese desde la GUI a USER & DEVICES  DEVICE INVENTORY y dele click al signo + para expandir las maquinas
windows

2. Revise los detalles de su bastión y como fue detectado por el FortiGate utilizando la ayuda de FortiClient
3. Abramos una sesión de SSH usando putty y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-
FORTIGATE Ingrese el usuario admin con contraseña 123456
4. Ejecute el siguiente comando: diagnose user device list

Page 34
Guía del Estudiante

NOTA
OJO… Device detection sin FortiClient funciona únicamente en una red CAPA 2, si usted esta siendo ruteado, la detección del
dispositivo no podrá realizarse a menos que sus usuarios tenga el cliente endpoint instalados en sus PCs y en la interface está
habilitada la opción de TELEMETRI. En el método de Agentless Device, los dispositivos se detectan a través de la mac address,
por tanto, si existe un appliance capa 3 o router en medio de la comunicación, el FortiGate detectara la mac address de dicho
appliance.

Adicional usted puede agregar dispositivos nuevos de manera manual ingresando al menú USER DEVICES & GROUPS y le da
clic en el botón de CREATE NEW

Deténgase y Piense
¿Cuál cree usted que serían las ventajas y desventajas entre las técnicas de Agentless y Agent-Based
Device Identification?

¿Dónde se activa la identificación de dispositivos en el FortiGate?

Page 35
Guía del Estudiante

LAB3.1 POLITICAS DE FIREWALL

A continuación, validaremos los conocimientos que acaba de adquirir creando la siguiente política de Firewall

EJERCICIO 1

1. Elimine todas las políticas que van desde su red local hacia internet

2. Cree una política de acceso a internet que vaya desde su red local únicamente hacia sitios web alojados en el Salvador

3. Valide el funcionamiento de la política que acaba de crear tratando de ingresar a www.mh.gob.sv


www.elsalvador.com www.uca.edu.sv www.ufg.edu.sv

4. Explique el resultado del fallo de algunas paginas

____________________________________________________________________________________________________

____________________________________________________________________________________________________

____________________________________________________________________________________________________

____________________________________________________________________________________________________

EJERCICIO 2

1. Elimine todas las políticas que van desde su red local hacia internet

2. Cree una política hacia internet (all to all) donde el servicio será únicamente ALL_TCP

3. Trate de navegar hacia cualquier sitio en internet y valide el funcionamiento de la política

4. Abra una ventana de DOS y trate de hacer ping a 8.8.8.8

5. Explique el resultado

____________________________________________________________________________________________________

____________________________________________________________________________________________________

____________________________________________________________________________________________________

____________________________________________________________________________________________________

Page 36
Guía del Estudiante

EJERCICIO 3

1. Cargue el backup de su folder de Backups llamado: EJERCICIO3_POLITICAS.CONF

2. Planteamiento del problema:

Son las 7:40 am día lunes inicio de semana y la junta directiva tiene una reunión a las 8:00 am donde se presentarán nuevos
planes estratégicos y es necesario que todos los gerentes y directores que asistan a la reunión posean acceso a internet

Cuando usted llego a su oficina uno de los gerentes le informo que no tienen internet en la sala de reuniones ni en ningún otro
lugar dentro de su oficina. Cuando usted revisa se da cuenta que efectivamente nadie posee internet y cree que fue a partir
de un cambio realizado el fin de semana dentro del firewall que no fue debidamente documentado ni tampoco se sacó un
backup antes de realizarlo.

Analice el problema y haga el Troubleshooting necesario para determinar dónde está el error antes que de inicio la reunión

Sugerencias:

• Apóyese en los logs


• Valide resolución de nombres y si puede alcanzar su DNS server
• Valide si puede hacer ping
• Revise si tiene internet desde el mismo FortiGate ejecutando el comando: exe ping 8.8.8.8

Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups

Page 37
Guía del Estudiante

LAB4. NETWORK ADDRESS TRANSLATION (NAT)

NAT es utilizado para traducir orígenes y destinos para el tráfico que cruza el FortiGate. Existen dos maneras de configurar,
Source NAT (SNAT) y Destination NAT (DNAT).

• Firewall Policy NAT


• Central NAT

En este Lab usted aprenderá a configurar y validar políticas de NAT para SNAT usando IP Pool y DNAT usando Virtual IP (VIP)

OBJETIVOS

• Configurar Destination NAT usando VIPs


• Configurar Source NAT usando overload IP Pools

TIEMPO ESTIMADO

• 45 Minutos

REQUISITOS

1. Haber completado el LAB de Políticas de Firewall


2. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial

Page 38
Guía del Estudiante

ACCESO UTILIZANDO VIPS

Direcciones de VIP son típicamente usados en NAT externos o IPs publicas hacia la red interna o IPs privadas de nuestra red.
En este ejercicio usted configurara una VIP para su página web en su servidor de dominio. Luego usted creara una política de
externa-a-interna donde aplicara el uso de la VIP. Esto permitirá conexiones entrantes desde internet hacia du server IIS en su
controlador de dominio, también verificaremos el comportamiento del Destination NAT y Source NAT usando la Línea de
comandos CLI de su FortiGate.

CREANDO UNA VIP


En su FortiGate, una VIP es un destino (DNAT) y puede ser únicamente seleccionada en una política de firewall en el campo
de destino.

En este procedimiento usted configurara una VIP para mapear su controlador de dominio el cual es parte de su DMZ, usted
puede referirse al diagrama de red de su ambiente de Laboratorio.

Para crear una VIP seguimos los siguientes pasos:

1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  VIRTUAL IPS
2. Le damos click al botón de CREATE NEW y seleccionamos VIRTUAL IP
3. Configuramos los siguientes campos:

CAMPO VALOR
Name VIP-INTERNAL-HOST
Interface INTERNET (este puerto está conectado a sus
enlaces públicos de internet con direcciones
190.5.24.170/30 y 138.99.3.170/30)
External IP Address/Range 190.5.24.170 (Este es una IP de su enlace
principal de internet en la WAN1)
Mapped IP Address/Range 10.0.1.243

4. Click OK

Page 39
Guía del Estudiante

CREANDO LA POLITICA DE FIREWALL

Usted debe de configurar una política de firewall donde utilizaremos la VIP que acaba de crear en el campo destino de la
política.

1. Ingresamos al menú POLICY & OBJECTS  IPv4 POLICY


2. Le damos click al botón de CREATE NEW
3. Procedemos a configurar los siguientes campos de nuestra política:

CAMPO VALOR
Name Web-Server-Access
Incoming Interface SD-WAN
Outgoing Interface DMZ
Source all
Destination Address VIP-INTERNAL-HOST
TIP: Esta listado bajo la sección de Virtual
IP
Schedule always
Service HTTP
TIP: Utilice la opción de SEARCH para
localizar los servicios
Action ACCEPT
NAT Disable
Log Allowed Traffic Enable and select ALL SESSIONS
Enable Policy Enable

Deténgase y Piense
¿Cuál cree usted que es la razón por la cual deshabilitamos la opción de NAT en la política cuando usamos
VIPs?

Discútalo con el grupo

4. Click en OK

Page 40
Guía del Estudiante
VALIDANDO NUESTRA POLITICA CON DESTINO VIP

1. Desde su Bastión abra una ventana de línea de comando de DOS e ingrese los siguientes comandos:
a) nslookup
b) webserver.lab.local (valide que la entrada de DNS esta correcta y que resuelve la IP de su VIP 190.5.24.170)

2. Cierre la ventana de DOS y abra una ventana en su navegador. En la barra de direcciones ingrese la siguiente URL:
http://webserver.lab.local o en su defecto la IP de su VIP http://190.5.24.170
3. Si la operación de la VIP es exitosa debería de aparecerla la página default de Apache si utiliza la IP o la pagina
de inicio de WordPress si lo accede por nombre

4. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Usted notara que la dirección destino 190.5.24.170 es NATeada con la dirección 10.0.1.243 la cual es su dirección
mapeada en su VIP

NOTA
Además de las sesiones hacia su VIP podrá
ver todas las sesiones atravesando su
FortiGate, esto es normal.

Page 41
Guía del Estudiante

NAT DINAMICOS USANDO IP POOL

Los IP Pools son usados para trasladar las direcciones de origen hacia una dirección del pool definido en lugar de la IP que la
interface tiene configurada.

Actualmente para llegar a su DMZ no posee ningún tipo de NAT dinámico, es decir que llega con la IP real de su Bastión.

En este ejercicio usted aprenderá a crear un IP Pool y aplicarlo en la política de firewall para trasladar la dirección de su
Bastión a otra del Pool perteneciente a su DMZ y podrá verificar el DNAT desde la CLI o línea de comando de su FortiGate.

CREANDO UN IP POOL

1. Ingrese a la GUI de su FortiGate y vaya al menú POLICY & OBJECTS  IP POOLS


2. Dele click en el botón de CREATE NEW y configure los siguientes campos

CAMPO VALOR
Name INTERNAL-HOST-EXT-IP
Type Overload
External IP Range/Subnet 10.0.1.50-10.0.1.50
3. Click en el botón de OK

EDITANDO LA POLITICA PARA USAR SU IP POOL

1. Ingresamos al menú POLICY & OBJECTS  IPv4 POLICY


2. Editamos la política que va desde su LAN hacia la DMZ
3. Procedemos a configurar los siguientes campos de nuestra política:

4. Y configuramos los siguientes parámetros para la política:

Page 42
Guía del Estudiante

CAMPO VALOR
NAT ENABLE
IP Pool Configuration USE DYNAMIC IP POOL
Click + y seleccione INTERNAL-HOST-EXT-IP
5. Su configuración debe de verse similar a esta:

6. Click en el botón de OK

PROBANDO SU POLITICA DE IP POOL

1. Abra una ventana de DOS y deje un ping continuo a 10.0.1.243 ingresando:

ping 10.0.1.243 –t

2. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
3. Ejecute el siguiente comando: diagnose system session clear

NOTA
El comando anterior de CLI del FortiGate limpia toda la tabla de sesiones, esto causara que su Kitty (putty) se desconecte, este resultado
es el normal del comando ejecutado. (No debe de utilizarlo en un ambiente de producción solo en caso de troubleshooting)

Page 43
Guía del Estudiante

4. Cierre Kitty (Putty) y vuélvalo abrir para crear una nueva sesión de SSH, conéctese a la sesión que ya está salvada y
que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Ahora puede ver que el origen (IP de su Bastión) es traducida al pool que acabamos de crear.

7. Cierre Kitty (Putty)


8. Cierre todas las ventanas de su navegador, a excepción de la GUI de su FortiGate.

Deténgase y Piense
¿Cuál es la diferencia entre una VIP y un IP POOL?
¿En qué escenarios cree usted que debe de utilizar cada uno de los objetos VIP y IP POOL?

Discútalo con el grupo…

Page 44
Guía del Estudiante

LAB5. WEB FILTER

En este lab usted aprenderá como configurar perfiles de filtrado web incluyendo categorías de filtrado web de FortiGuard,
aplicar los perfiles a una política de firewall y Troubleshooting básico.

También aprenderá a sobrescribir categorías y a ejecutar overrides en el perfil de seguridad. Web Filter overrides permite
ejecutar acciones diferentes, en lugar de la configurada en el perfil de filtrado web.

OBJETIVOS

• Configurar perfiles de web filter en su FortiGate


• Aplicar filtrados basados en categorías de FortiGuard para su filtro web
• Troubleshooting de web filter
• Leer e interpretar logs de filtrado web
• Configurar web filter overrides

TIEMPO ESTIMADO

• 50 Minutos

REQUISITOS

1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial

Page 45
Guía del Estudiante

FORTIGUARD WEB FILTERING

Para poder configurar perfiles de filtrado web utilizando las categorías de FortiGuard, usted debe de asegurarse que su
FortiGate posee licencias de suscripción válidas. El licenciamiento provee capacidades de hacer filtrado web necesarias para
protegerse de websites inapropiados para su organización.

Luego usted debe de configurar perfiles de filtrado web basados en categorías en fu FortiGate y aplicarlas a políticas de
firewall para que pueda inspeccionar tráfico HTTP y HTTPS

Finalmente usted podrá probar diferentes acciones que puede tomar el FortiGate de acuerdo al rating de los sitios web visitados
y que pertenecen a una categoría de FortiGuard.

CONFIGURANDO PERFILES DE FILTRADO WEB BASADOS EN CATEGORIAS DE FORTIGUARD

1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES  WEB FILTER

NOTA
Usted recibirá una alerta diciendo que su FortiGate no tiene licencias validas
de filtrado web. Esto es normal ya que usted no ha configurado en ninguna
política algún perfil de filtro web, cuando usted termine el lab ya no se
presentará ninguna alerta.

2. Del menú de drop-down en la parte superior derecha, asegúrese que el perfil DEFAULT este seleccionado como su
perfil de filtrado web a editar:

3. Habilite FORTIGUARD CATEGORY BASED FILTER

Page 46
Guía del Estudiante

4. Verifique la acción predefinida para cada una de las categorías globales y configúrelas de la siguiente manera:

CATEGORIA ACCION
Local Categories Monitor
Potentially Liable Block
Adult/Mature Content Block: Other Adult Material y Pornography
Monitor: Todas las otras subcategorías
Bandwidth Consuming Block: Streaming Media and Download
Warning: todas las demás subcategories
(Definir un intervalo de 5 min – default)
Security Risk Block
General Interest - Personal Monitor
General Interest - Business Monitor
Unrated Monitor

5. Expanda la categoría principal GENERAL INTEREST – BUSINESS Luego dele click derecho a la sub categoría SEARCH
ENGINES AND PORTALS y seleccione ALLOW

6. Click APPLY

Page 47
Guía del Estudiante

APLICANDO EL PERFIL DE WEB FILTER A LA POLITICA DE FIREWALL


1. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  IPV4 POLICY y edite la política llamada LAN A
INTERNET

2. Bajo la sección SECURITY PROFILES habilite WEB FILTER y seleccione el perfil llamado DEFAULT. Note que esta acción
habilita los perfiles de PROXY OPTIONS y CERTIFICATE-INSPECTION de manera automática

3. En la sección de LOGGING OPTIONS, habilite LOG ALLOWED TRAFFIC, y seleccione SECURITY EVENTS para habilitar
los logs de UTM (esta opción solo loguea eventos de UTM, ALL SESSIONS loguea trafico permitido o negado y además
logs de UTM)

4. Mantenga todas las demás opciones default y dele click en el botón de OK

PROBANDO EL FILTRADO DE CONTENIDO

El propósito de este lab es que usted revise el rating de los sitios web y pruebe el perfil de filtrado web para cada categoría
configurada.

1. Desde su Bastión ingrese a https://www.fortiguard.com/webfilter

Page 48
Guía del Estudiante

2. Busque a que categoría pertenece: http://www.playboy.com

Este es uno de los sitios con el que usted hará pruebas más adelante con su perfil de filtrado web. Como puede ver,
Playboy esta categorizado como PORNOGRAPHY
3. Use nuevamente la herramienta de FortiGuard Web Filter para buscar a que categorías pertenecen los siguientes
sitios web:
a. www.magicjack.com
b. www.bing.com
La siguiente tabla muestra la categoría asignada a cada URL y la acción que se tomara cada vez que usted visite
estos sitios de acuerdo a la configuración de su perfil de filtrado web

WEBSITE CATEGORIA ACCION


www.playboy.com Pornography Block
www.magicjack.com Internet Telephony Warning
www.bing.com Search engines and portals Allow

4. En su máquina bastión ingrese a www.playboy.com (recuerde que este es un laboratorio donde simulamos escenarios
de la vida real). La página de bloqueo deberá de aparecer de acuerdo a la acción configurada para la categoría
en pornografía en el perfil de Webfilter

Page 49
Guía del Estudiante

5. Abra otra ventana de su navegador e ingrese a www.magicjack.com Una pagina de advertencia aparecerá de
acuerdo a la acción configurada en el perfil de web filter

6. Dele click en PROCEED para aceptar la advertencia e ingresar al sitio web


7. Abra otra ventana de su navegador e ingrese a www.bing.com, el sitio web debe de aparecer normalmente ya que
la acción configurada en el filtrado web es ALLOW

CREANDO UN WEB RATING OVERRIDE

En este procedimiento usted re categorizara la página de www.bing.com

1. En la GUI de su FortiGate ingrese al menú SECURITY PROFILES  WEB RATING OVERRIDES


2. Dele click en el botón de CREATE NEW y configure los siguientes parámetros:

CAMPO VALOR
URL www.bing.com
Category Security Risk
Sub-Category Malicious Websites
3. Click OK

Page 50
Guía del Estudiante
PROBANDO SU WEB RATING OVERRIDE

1. Abramos una sesión de SSH usando Kitty (putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin con contraseña 123456
2. Ejecute el siguiente comando:
 diagnose debug application urlfilter -1
 diagnose debug enable
3. cierre todas las ventanas de su navegador y solo deje una para tratar de ingresar a la página de www.bing.com
4. Regrese a la sesión de SSH en el Kitty (putty) y digite el comando diagnose debug disable y observe el output,
debería ser similar a la siguiente imagen:

El diagnostico muestra que la URL hace match en una categoría de local rating en FortiGuard. Así que www.bing.com es
bloqueado porque usted tiene override en este rating de categoría

Page 51
Guía del Estudiante

LAB5.1 WEB FILTER

EJERCICIO 1

1. Elimine todas las políticas que van desde su red local hacia internet

2. Planteamiento del problema:

Necesita darle accesos a un grupo de IPs de su empresa (La IP de su Bastión) para que puedan acceder a 4 sitios únicamente,
usando una combinación entre FortiGuard Webfilter y URL Filter permita el tráfico hacia:

o bancoagricola.com
o davivienda.com.sv
o mh.gob.sv
o equifax.com

EJERCICIO 2

1. Elimine todas las políticas que van desde su red local hacia internet

2. Cargue el backup de su carpeta de Backups llamado: EJERCICIO5_WEBFILTER.CONF

3. Planteamiento del problema:

El gerente de Recursos Humanos se ha quejado porque ha visto a usuarios con acceso limitado ingresando a sitios como
www.facebook.com, www.twitter.com, www.instagram.com, otras redes sociales y correo web.

Le ha solicitado al departamento de TI que bloquee de manera inmediata el acceso a esos sitios y que ningún usuario pueda
ingresar a navegar a ellos.

Usted como encargado del departamento está seguro que posee un web filter donde se bloquean las categorías de redes
sociales, pornografía, consumo de ancho de banda, entre otras.

¿Porque razón no está funcionando el perfil de filtrado web si sus licencias están validas, y efectivamente usted está consiente
que las categorías están siendo filtradas y la acción es BLOCK?

Sugerencias:

• Valide el funcionamiento del Webfilter ingresando a la página www.playboy.com


• Verifique las licencias en el dashboard
• Verifique si es bloqueado cuando ingresa algún sitio web de alguna red social o correo web como Hotmail
• Apóyese en los Logs para validar la política por la cual están saliendo los usuarios

Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups

Page 52
Guía del Estudiante

LAB6. APPLICATION CONTROL

En este lab usted aprenderá a configurar y usar control de aplicaciones para tomar acciones apropiadas basados en sus
aplicaciones. Usted revisara los logs y monitoreo del FortiView, también aprenderemos a cómo controlar el tráfico de una
aplicación usando calidad de servicio (traffic Shapping)

OBJETIVOS

• Configurar perfiles de control de aplicaciones


• Leer y entender logs de control de aplicaciones desde FortiView
• Configurar y monitoreas calidad de servicio en perfiles de control de aplicaciones

TIEMPO ESTIMADO

• 30 Minutos

REQUISITOS

1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial

Page 53
Guía del Estudiante

CREANDO UN PERFIL DE CONTROL DE APLICACIONES

En este ejercicio usted creara un perfil de application control. El FortiGate hace match en el tráfico en el siguiente orden:

• Application Overrides
• Filter Overrides
• Categorías

Usted también vera el log de control de aplicaciones desde su FortiView para confirmar que las aplicaciones estén siendo
logueadas de manera correcta

CONFIGURANDO OVERRIDES DE APLICACIONES

En la configuración de su FortiGate ya tenemos un perfil de aplicaciones que está configurado como “monitor”, esto permite a
la aplicación pasar a través del FortiGate, pero genera un mensaje de log.

En este ejercicio usted configurara un override de aplicaciones para que tome precedencia sobre las categorías de aplicaciones.

1. Desde su bastión, ingrese a la GUI de su FortiGate


2. Ingrese al menú SECURITY PROFILES  APPLICATION CONTROL
3. Revise como está configurado el perfil DEFAULT

4. En la página EDIT APPLICATION SENSOR, click en ADD SIGNATURE en el apartado APPLICATION OVERRIDES
para agregar una firma de aplicación
5. Click en NAME y digite DAILYMOTION en el campo de búsqueda
6. Click en DAILYMOTION

7. Luego dele click en el botón USE SELECTED SIGNATURES. Su configuración debería de verse de la siguiente manera:

Page 54
Guía del Estudiante

8. La acción debe de mostrarse como BLOCK por default, dele click en el botón de APPLY

VERIFICANDO QUE EL PERFIL DE CONTROL DE APLICACIONES ESTA SIENDO APLICADO

1. Desde la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  IPV4 POLICY
2. Dele click en la columna de ID de la política que va de la LAN hacia INTERNET y seleccione EDIT

3. Bajo la sección de SECURITY PROFILES active la opción de APPLICATION CONTROL y verifique que este
seleccionado el perfil DEFAULT

Page 55
Guía del Estudiante

4. Asegúrese que la política tenga las opciones de Logging activas de la siguiente manera:

5. Click en el Botón de OK

PROBANDO EL PERFIL DE CONTROL DE APLICACIONES

1. Desde su Bastión, abra una ventana de su navegador e ingrese a la URL: http://dailymotion.com


2. Usted debería de ver un mensaje de bloqueo indicando que la aplicación está bloqueada

Page 56
Guía del Estudiante

REVISANDO LOGS

1. Desde la GUI del FortiGate ingrese al menú LOG & REPORT  APPLICATION CONTROL

NOTA
La sección de LOGS de APPLICATION CONTROL no será mostrada hasta que se genere un evento de control de aplicaciones.
FortiGate lo mostrara luego de haber creado el Log. Si este menú no es mostrado, refresque la ventana de su navegador.

2. Busque la entrada donde se confirme que DAILYMOTION fue bloqueado

3. Ingrese a LOG & REPORT  FORWARD TRAFFIC y busque la entrada de DAILYMOTION (asegúrese de no tener
ningún filtro y estar viendo los logs del disco duro del FortiGate), usted puede ver más detalle acerca del log así como
la IP NATeada, bytes enviados y recibidos, la acción y la aplicación

Page 57
Guía del Estudiante

LIMITANDO EL TRAFICO DE UNA APLICACIÓN USANDO TRAFFIC SHAPERS

Usted puede limitar el tráfico de una o varias aplicaciones o categorías usando calidad de servicio. Usted debe de asegurarse
que los parámetros configurados hagan match con la política donde usted quiere aplicar el traffic shaper

MODIFICANDO EL OVERRIDE DE LA APLICACIÓN DAILYMOTION

1. Desde la GUI de su FortiGate ingrese al menú SECURITY PROFILES  APPLICATION CONTROL


2. Verifique que tenga seleccionado el perfil DEFAULT en la esquina superior derecha
3. Bajo la sección de APPLICATION OVERRIDE dele click derecho a DAILYMOTION y click en MONITOR, esto cambiara
la acción de BLOCK a MONITOR
4. Click en el botón de APPLY

NOTA
Para que nuestro traffic shaper
funcione debemos de permitir que el
tráfico fluya a través del FortiGate en
lugar de bloquearlo.

CREANDO EL PERFIL DE TRAFFIC SHAPER

1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  TRAFFIC SHAPERS
2. Le damos click al botón de CREATE NEW
3. A continuación, configuraremos los siguientes campos:

CAMPO VALOR
Type Shared
Name Dailymotion_Shaper
Traffic Priority Low
Max Bandwidth 128 Kbps

4. Click en el botón de OK

Page 58
Guía del Estudiante

CONFIGURANDO LA POLITICA DE TRAFFIC SHAPER

1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS  TRAFFIC SHAPING POLICY y dele click en
el botón de CREATE NEW
2. Configuramos los siguientes campos:

CAMPO VALOR
Source all
Destination all
Service ALL
Application Dailymotion
Outgoing SD-WAN
Interface
Reverse Shaper Habilite el Traffic Shaper
creado en el paso
anterior
DAILYMOTION_SHAPER
Enable this policy Enable

PROBANDO EL TRAFFIC SHAPER

Ahora que ya ha realizado la configuración completa, ingrese a dailymotion.com y mire un video.

1. Desde su Web browser ingrese a la página http://dailymotion.com


2. Trate de ver algún video del sitio web
Usted podrá notar que el acceso al sitio es lento y que el video está tomando mucho en cargar
3. En la GUI de su FortiGate ingrese al menú POLICY & OBJECTS  TRAFFIC SHAPERS
4. Revise la cantidad de paquetes DROPPED para el traffic shaper configurado, usted se puede fijar que su FortiGate
está botando paquetes de la aplicación Dailymotion

Page 59
Guía del Estudiante

LAB6.1 APPLICATION CONTROL

1. Elimine todas las políticas que van desde su red local hacia internet

2. Planteamiento del problema:

La Gerencia de su empresa requiere que todas las aplicaciones en la categoría de sean bloqueadas para
todos los usuarios, pero se necesita que se permita el acceso a YouTube de manera controlada donde no sobrepase los
128kbps de tráfico para dicha aplicación

3. Cree una política y asigne un perfil de Application Control para cumplir el requerimiento de gerencia

Page 60
Guía del Estudiante

LAB7. FIREWALL AUTHENTICATION – LOCAL

En este lab usted aprenderá a configurar su FortiGate para sirva como un servidor de autenticación local, de igual manera
configurará un portal captivo en su interface de salida a internet para que le solicite credenciales para navegación
(autenticación activa)

OBJETIVOS

• Configurar autenticación de forma local


• Configurar un portal captivo parta forzar que los usuarios se autentiquen cuando quieran navegar a internet

TIEMPO ESTIMADO

• 60 Minutos

REQUISITOS

1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial

Page 61
Guía del Estudiante

AUTENTICACION LOCAL

En este ejercicio usted aprenderá a configurar su FortiGate para autenticación de usuarios de forma local.

CONFIGURANDO SU FORTIGATE

1. Desde la GUI de su FortiGate ingrese al menú USER & DEVICE  USER DEFINITION y dele click al botón de CREATE
NEW
2. Configure los siguientes parámetros:

CAMPO VALOR
User Type Local User
Username usuario_local
Password 123456
Email Address Deje este parámetro por default
SMS
Two-factor Authentication
User Account Status Enable
User Group Deje este parámetro por default
3. Click SUBMIT
4. Ahora tendrá dos usuarios dentro de su base de datos local de usuarios.

5. Click en el botón de OK

Page 62
Guía del Estudiante

ASIGNANDO USUARIOS LOCALES A UN GRUPO DE FIREWALL

1. Desde la GUI ingrese al menú USER & DEVICE  USER GROUPS


2. Dele click en el botón de CREATE NEW
3. Configure los siguientes campos:

CAMPO VALOR
Name Local-Users
Type firewall
En el apartado de MEMBERS seleccionamos:
Members Usuario_local

4. Click en el botón de OK

Page 63
Guía del Estudiante

PORTAL CAPTIVO

En este ejercicio usted configurara un portal captivo para restringir el acceso en la navegación para que solo un grupo de
usuarios pueda acceder a internet. Portales captivos es conveniente para autenticar usuarios en la navegación o redes wireless.
Una forma en HTML será presentada al usuario donde estos tendrán que ingresar un usuario y password válidos para poder
continuar.

HABILITANDO PORTAL CAPTIVO

Como la finalidad es habilitar la autenticación local para un grupo específico de usuarios a través de un portal captivo,
usaremos el grupo que creamos en el apartado anterior

1. Ingresamos desde nuestra GUI al menú NETWORK  INTERFACES y editamos el puerto LAN (port1). Este es su puerto
de tráfico entrante, para más información revise la topología de red de su laboratorio.
2. Complete las siguientes configuraciones en el apartado ADMISSION CONTROL:

CAMPO VALOR
Security Mode Captive Portal
Authentication Portal Local
User Access Restricted to Groups
User Groups Local-Users

3. Click OK para guardar los cambios.

Page 64
Guía del Estudiante

AUTENTICANDO USUARIOS Y MONITOREANDO

Ahora que ya tenemos nuestro portal captivo funcionando, usted puede probar la autenticación local de usuario usando portal
captivo.

1. Abra una ventana de su navegador y trate de navegar a www.bbc.com o a cualquier otro sitio web
2. Cuando le aparezca el portal captivo ingrese las credenciales siguientes (Respetando las mayúsculas y minúsculas):
o Usuario: usuario_local
o Password: 123456

3. Regrese a la GUI de su FortiGate, dejando las ventanas abiertas de los sitios donde navegó, e ingrese al menú
MONITOR  FIREWALL USER MONITOR

4. Seleccione en la ventana a su usuario, luego click derecho y seleccione DE-AUTHENTICATE para que manualmente le
dé “de baja” a la sesión de autenticación que acaba de iniciar
5. Click en OK
6. Cierre su navegador

Page 65
Guía del Estudiante

LAB8. SDWAN
En este lab validaremos el funcionamiento de un enlace de internet secundario o de backup para redundancia de navegación

OBJETIVOS

• Configurar un enlace principal de internet con su respectiva ruta


• Configurar un enlace secundario de internet con su respectiva ruta
• Determinar el uso de distancia y prioridad en las rutas estáticas
• Configurar una interface de SDWAN
• Aplicar políticas de Performance de SLA
• Monitorear el uso de sus enlaces a través de la interface de SDWAN
• Crear políticas de SDWAN para navegación
• Balancear tráfico entre sus dos enlaces de internet
• Simular falla de los enlaces para validar el funcionamiento de fail-over

TIEMPO ESTIMADO

• 40 minutos

REQUISITOS

1. Debemos de hacer la restauración del backup llamado: “EJERCICIO8_SDWAN.conf” el cual adecuara la configuración
para el lab de SDWAN

Page 66
Guía del Estudiante
ENLACES DE INTERNET USANDO SDWAN

Durante este laboratorio usted configurara dos enlaces de internet destinados para la navegación a internet, además
configuraremos una interface de SDWAN para el balanceo, fail-over y monitoreo de dichos enlaces a internet.

CONFIGURANDO NUESTROS DOS ENLACES A INTERNET

Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO8_SDWAN.conf” usando el usuario “admin” y password
“123456”

Deténgase y Observe
Revise si posee navegación hacia internet desde su bastión.
Observe su gestor de políticas y valide si existen permisos de navegación para su red local y para su servidor
de DNS (Controlador de Dominio en su DMZ)
Verifique si los enlaces (principal y secundario) está configurado en el port3 (como VLANs en dicho puerto
dándole click e el signo “+” al lado izquierdo dl port3)
Valide las rutas estáticas en su FortiGate y revise si existen rutas hacia sus dos enlaces de internet (Network
 Static Routes) adicionales a las rutas de administración (172.30.1.0/24 y 192.168.0.0/16 no modificar)

1. Ingrese al menú NETWORKSTATIC ROUTES


2. Deberá de agregar una ruta defaults adicional a la WAN1 la cual pertenece a su enlace de respaldo o de backup
dándole click al botón de CREATE NEW para su nuevo enlace de Internet de la siguiente manera:

WAN 1 (YA CONFIGURADA) WAN 2 (NUEVO ENLACE)

Page 67
Guía del Estudiante

Deténgase y Piense
¿Qué entiende por distancia y prioridad en las rutas estáticas?

3. Ingrese al menú NETWORKSD-WAN


4. Dele click al botón de ENABLE y en el cuadro de selección (SD-WAN Interface Members) dele click en el signo “+” y
configure su puerto de WAN1 con su respectivo Gateway o puerta de enlace y haga lo mismo con su WAN2 luego
dele click en el botón de APPLY

5. Luego tenemos que configurar nuestro FortiGate para que detecte cuando uno de nuestros dos enlaces se caiga para
realizar el fail-over automáticamente. Ingrese al menú NETWORKPERFORMANCE SLA y le damos click en el botón
de CREATE NEW
NOTA
Con esta configuración estamos midiendo:
PROTOCOL
A través de ping miraremos la disponibilidad del enlace haciéndole ping a un
server en internet (en este caso el DNS 8.8.8.8 y 4.2.2.2) por cada uno de sus
enlaces a internet
SLA TARGETS
Mediremos el estado del enlace a través de valores como Latencia, Jitter y la
perdida de paquetes por cada interface a monitorear, esto sirve para que su
FortiGate tome una decisión por cual enlace enviara el tráfico, en este caso por
la que cumpla las SLA definidas
LINK STATUS
El intervalo en el cual se hará la verificación (ping) hacia el server en internet
definido en “server”, cuantos pings se deben de perder para hacer el fail-over
(failures before inactive) y cuantos pings se requieren para volver a utilizar el
enlace (restauración del enlace), por último, se hará una actualización de la tabla
de rutas para eliminar o agregar la ruta de cada enlace monitoreado en caso de
caída o de restauración de la comunicación.

Page 68
Guía del Estudiante

6. Ya teniendo nuestros valores de monitoreo para ambas interfaces procedemos a crear las políticas para acceso de
Internet para la DMZ y para la red local.

Creamos dos políticas:

• La primera que permita acceso desde la DMZ hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)

• La segunda que permita acceso desde la LAN hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)

7. Abra una ventana de MS-DOS y deje un ping extendido a 8.8.8.8 y solicite a su instructor que de de baja al enlace
primario de internet (ISP) para validar la prueba de fail-over (Si los demás asistentes aun no terminan la configuración,
navegue a internet para generar trafico y valide el performance de su SD-WAN)
8. Ingrese al menú NETWORKSD-WAN y verifique el uso de sus interfaces de Internet
9. Ingrese al menú NETWORKPERFORMANCE SLA y verifique el estado del monitoreo para la WAN1

Page 69
Guía del Estudiante

LAB9. SSL VPN


En este lab configuraremos una VPN SSL móvil utilizando su FortiGate y el FortiClient instalado en su bastión

OBJETIVOS

• Aprender a como configurar una VPN SSL para acceso desde su FortiClient o vía Web
• Conocer las ventajas de tener una interface de LoopBack para validar la conectividad en una VPN
• Definir políticas de autenticación de usuarios remotos para uso en FortiClient
• Aprender a como configurar un FortiClient para conexiones de VPN SSL

TIEMPO ESTIMADO

• 40 minutos

REQUISITOS

1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC

Page 70
Guía del Estudiante
CONEXIONES SSL USANDO FORTICLIENT

Durante este laboratorio usted configurara una VPN SSL a través de autenticación local utilizando como cliente móvil el
FortiClient para acceder a redes remotas a través de internet o de enlaces dedicados.

Notara que existen dos nuevas interfaces

a) LAN_VPN (LOOPBACK) La ventaja de una interfaz de loopback es que esta interfaz lógica siempre está activa
(sin dependencia del enlace físico) y las subredes conectadas siempre están presentes en la tabla de enrutamiento.
b) port10 (WAN EMPRESARIAL)

CONFIGURANDO NUESTRO ENLACE VPN-SSL

Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO9-EJERCICIO10_VPNs.conf” usando el usuario “admin”
y password “123456”

1. Este laboratorio lo haremos en parejas para validar la conectividad entre los FortiGate y clientes móviles usando
FortiClient
2. Como primer paso de la configuración vamos a crear un grupo de usuario local en el FortiGate y un usuario local al
cual haremos miembro del grupo que acabamos de crear. Ingresamos al menú de USER & DEVICE --> USER GROUPS
--> CREATE NEW

3. Luego de crear nuestro grupo de usuarios que nos servirá para autenticar a los clientes móviles, crearemos a nuestro
usuario para hacerlo miembro del grupo de autenticación. Ingresamos al menú de USER & DEVICE --> USER DEFINITION
--> CREATE NEW
a) User type: Local User
b) Username : vpn
c) Password: 123456
d) Contact Info (dejarlo por default)
e) Extra Info: UserGroup --> SSL_VPN_GROUP

Page 71
Guía del Estudiante

4. Debemos de crear un objeto de dirección con la red LAN_VPN local de su FortiGate (LOOPBACK) que nos servirá
para agregar la ruta en el cliente móvil. Ingrese al menú POLICY & OBJECTS --> ADDRESSES --> CREATE NEW
(Nótese que en el campo de SUBNET / IP RANGE debe de ingresar la red local del a interface LAN_VPN, la imagen
muestra la LAN del instructor, usted debe de ingresar su propia red de acuerdo a la configuración de su FortiGate) y
creamos un nuevo objeto de Direccion llamado LOCAL_NETWORK y definimos la red 172.16.X.0/24 (donde la X
definen el tercer octeto de la red a la que quiere acceder desde el FortiClient VPN.

5. Ingrese al menú VPN --> SSL-VPN PORTALS y editamos el portal default FULL-ACCESS. Nos aseguramos que SPLIT
TUNNELING este seleccionado y definimos la red local a la cual los usuarios móviles podrán tener acceso desde la
VPN (Objeto que creamos en el paso anterior LOCAL_NETWORK) luego le damos click al botón de OK

Page 72
Guía del Estudiante

6. Ingrese al menú VPN --> SSL-VPN SETTINGS donde debemos de definir:


a) La interface por la cual permitiremos conexiones SSL (PORT10)
b) Modificamos el puerto default de 443 a 10443 (ya que si lo dejamos en 443 perderemos la administración
de nuestro FortiGate ya que a través de dicho puerto solamente se permitirán conexiones SSL).
c) En la opción de RESTRICT ACCESS seleccionamos la opción de ALLOW ACCESS FROM ANY HOST
d) En la opción de ADDRESS RANGE seleccionamos que automáticamente asigne una Direccion IP a nuestros
clientes móviles.
e) Por último, agregamos nuestro grupo de usuarios para autenticación y definimos un portal default para todos
los demás grupos. En el apartado AUTHENTICATION/PORTAL MAPPING damos click en el botón de CREATE
NEW y seleccionamos nuestro grupo de usuarios que creamos en el paso 2 y definimos como portal para
dicho grupo el portal FULL-ACCESS
f) Editamos el grupo ALL OTHER USERS/GROUP y definimos el portal WEB-ACCESS
g) Aplicamos las configuraciones dando click al botón de APPLY

Page 73
Guía del Estudiante
h) Por último, luego de guardar nuestras configuraciones, aparecerá una alerta en la parte superior de SSL-
VPN SETTINGS donde nos alerta que no existen políticas que permitan acceso a la red local (loopback) a la
que tiene acceso la VPN. Le damos click en la alerta y definimos nuestra política de la siguiente manera:

Page 74
Guía del Estudiante

7. Debemos de configurar una política que permita el trafico desde su red LAN hacia la WAN EMPRESARIAL para que
su FortiClient se pueda conectar al firewall remoto y poder establecer la VPN (debe de utilizar NAT en dicha política
– puede ayudarse del LAB.3 – Políticas)
8. Ahora es momento de configurar el FortiClient en la PC Bastión de su compañero de trabajo de la siguiente manera:
a) Iniciamos nuestro FortiClient dándole click al botón en la barra de tareas cerca del reloj de Windows

b) Seleccionamos la opción de REMOTE ACCESS y agregamos una nueva configuración de la siguiente manera
(Donde 192.9.200.X, es la IP del puerto10 de su compañero):

Page 75
Guía del Estudiante
c) ingresamos el usuario y password definidos en el paso 6
d) Abrimos una ventana de DOS y hagamos ping a la IP 172.16.X.1 (siendo X el tercer octeto de la red del
FortiGate a la que se quiere conectar el cliente móvil

Page 76
Guía del Estudiante

LAB10. IPSEC VPN

En este lab configuraremos una VPN de punto a punto utilizando su FortiGate y otro firewall en internet o a través de un
enlace dedicado

OBJETIVOS

• Identificar las fases de Internet Key Exchange (IKEv1)


• Identificar la necesidad de rutas para las VPNs en modo Interface
• Desplegar una VPN site-to-site entre su FortiGate y otro firewall en la nube de internet o la de su proveedor de
enlaces dedicados
• Monitorear los túneles VPNs

TIEMPO ESTIMADO

• 60 Minutos

REQUISITOS

1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC

Page 77
Guía del Estudiante

ROUTE-BASED IPSEC VPN

Durante este laboratorio usted configurara un túnel IPSec entre su FortiGate y otro firewall o concentrador de VPN para
poder comunicar su bastión y otra red completamente diferente (FortiGate de su Compañero)

USANDO EL WIZARD DE VPNS

Abra una ventana de DOS y trate de hacerle ping a la IP remota 172.16.X.1 (Donde X es el tercer octeto de la red local -
loopback- de su compañero), usted puede ver que no tiene respuesta desde ese host, la finalidad de la VPN es poder tener
acceso a la red remota a través de una conexión segura.

1. Desde la GUI de su FortiGate ingrese al menú VPN  IPSEC TUNNELS


2. Dele click en el botón de CREATE NEW
3. Configure los siguientes parámetros:

CAMPO VALOR
Name Hacia_Remoto
Template Type Site to Site
Remote Device Type FortiGate
NAT Configuration No NAT between sites
4. Click en NEXT
5. A continuación, configure los siguientes parámetros:

CAMPO VALOR
Remote Device IP Address
IP Address 192.9.200.X (IP FortiGate Remoto)
Outgoing Interface WAN EMPRESARIAL (PORT10) debería de
seleccionarla automáticamente, en caso de
no hacerlo seleccionarla manualmente
Authentication Method Pre-shared Key

Page 78
Guía del Estudiante

Pre-shared Key Fortinet$$


(Respetando las mayúsculas y minúsculas)
6. Click NEXT
7. Prosiga en el wizard y configure los siguientes campos:

CAMPO VALOR
Local Interface LAN_VPN (LoopBack)
Local Subnets 172.16.X.0/24 (El Wizard la
debería de seleccionar de manera
automática sino defínala
manalmente)
Remote Subnets 172.16.X.0/24 Red remota de la
interface LAN_VPN del FortiGate
de su compañero la cual es
diferente en el tercer octeto a la
de su FortiGate
8. Click en CREATE, usted debería de ver la siguiente ventana:

9. Click en SHOW TUNNEL LIST usted podrá ver el túnel que acaba de crear.

Notara que el status de la VPN esta INACTIVE

10. Ingrese al menú MONITOR  IPSEC MONITOR y dele click derecho a la VPN y levántela de manera manual (siempre
y cuando este configurado de la misma manera en el FortiGate de su compañero, la VPN debería de levantar
automáticamente)

Page 79
Guía del Estudiante

11. Abra una ventana de KITTY (SSH Client similar a Putty) y digite los siguientes comandos

exe ping-options source 172.16.X.1

Con el comando anterior forzaremos a nuestro FortiGate hacer ping desde la IP de su interface de LoopBack, sustituyendo la
X por el tercer octeto de su red de LoopBack

exe ping 172.16.X.1

Con este comando haremos ping a la interface de LoopBack del sitio remoto (Interface del FortiGate de su compañero),
sustituyendo la X por el tercer octeto de la red de LoopBack de su compañero

Debería de poder hacerle ping a la interface remota a través de la VPN

12. Ingrese al menú POLICY & OBJECTS  ADDRESS y observe dos nuevos objetos que fueron creados de manera
automática por el Wizard
o Hacia_Remoto_local
o Hacia_Remoto_remote
13. Ingrese al menú POLICY & OBJECTS  IPV4 y observe dos nuevas políticas:

14. Ingrese a NETWORK  STATIC ROUTES y verifique la ruta estática ingresada por el wizard

Page 80
Guía del Estudiante

Deténgase y Piense
¿Para qué cree usted que el wizard agrega una ruta de Blackhole?

Page 81

También podría gustarte