Está en la página 1de 67

FortiGate I

Introduction to FortiGate

FortiGate 5.4.1
© Copyright Fortinet Inc. All rights reserved. Last Modified: 27 June 2017
1
Objectives
• Identificar las principales características de FortiGate
• Diferenciar las consultas y paquetes de FortiGuard
• Elegir un modo de operación
• Restringir la administración al acceso a través de redes de
administración
• Crear cuentas de administrador con permisos específicos
• Restablecer una contraseña de administrador perdida
• Ejecutar el servidor DNS integrado en una interfaz
• Ejecute el servidor DHCP incorporado en una interfaz
• Copia de seguridad y restauración de archivos de configuración
• Instale el nuevo firmware de FortiGate

2
What Makes FortiGate Different?
Para empezar, hablemos de cómo FortiGate es diferente de los firewalls tradicionales u
otros proveedores con los que puede haber trabajado.

Desde el principio, FortiGate ha sido sinónimo de gestión unificada de amenazas (UTM): un


cortafuegos tradicional con dispositivos de seguridad especializados, como pasarelas VPN y
sensores IPS integrados en un solo dispositivo. FortiGate UTM resultó popular entre las
pequeñas y medianas empresas (SMB) y las empresas o campus que tienen muchas
sucursales. Sin embargo, para los proveedores de servicios de seguridad administrados
(MSSP) y centros de datos que buscan el mejor rendimiento, los chips FortiASIC de Fortinet
y las características de cortafuegos de última generación han sido populares en su lugar.
¿Cómo puede FortiGate servir a todos estos tipos de redes?
Platform Design

FortiGuard Subscription Services


Threat Intelligence • Centralized Management

Next Gen. Web


FortiClient Firewall
Antivirus
Filter
IPS … FortiWeb

FortiSandbox FortiMail
FortiOS

FortiASIC Optimized Hardware / Hypervisor

Integration

4
En este diagrama de arquitectura, puede ver cómo las plataformas FortiGate aumentan la fuerza, sin comprometer la flexibilidad. Al igual que
los dispositivos de seguridad separados y dedicados, FortiGates sigue siendo modular internamente. Más:

Los dispositivos añaden duplicación. A veces, la dedicación no significa eficiencia. Si está sobrecargado, ¿puede un dispositivo pedir prestado
RAM libre de otros nueve? ¿Desea configurar políticas, registro y enrutamiento en 10 dispositivos distintos? ¿10 veces la duplicación le trae 10
veces el beneficio, o es una molestia? Para pequeñas y medianas empresas o sucursales de la empresa, UTM es a menudo una solución
superior en comparación con aparatos separados dedicados.
El hardware de FortiGate no sólo está disponible. Es portador de grado. Por debajo, la mayoría de los modelos de FortiGate tienen uno o más
circuitos especializados llamados ASICs que son diseñados por Fortinet. Por ejemplo, un chip CP o NP gestiona la criptografía y el reenvío de
paquetes de manera más eficiente. En comparación con un dispositivo de un solo propósito con sólo una CPU, FortiGate puede tener un
rendimiento mucho mejor. Esto es especialmente crítico para los centros de datos y las compañías donde el rendimiento es crítico para los
negocios. (La excepción: las plataformas de virtualización - VMware, Citrix Xen, Microsoft o Oracle Virtual Box tienen vCPUs de uso general.
Como la computación distribuida y la seguridad basada en la nube.)
FortiGate es flexible. Si todo lo que necesita es firewalling rápido y antivirus, FortiGate no requerirá que se pierda CPU, RAM y electricidad en
otras funciones. En cada política de cortafuegos, los módulos UTM y de cortafuegos de próxima generación se pueden habilitar o deshabilitar.
Además, no pagará más por agregar licencias de asientos VPN más tarde. ¿Qué requiere una suscripción? Solo servicios de suscripción en
curso de FortiGuard.
FortiGate coopera. Una preferencia por estándares abiertos en lugar de protocolos propietarios significa menos bloqueo de proveedores y más
opciones para integradores de sistemas. Y, a medida que su red crece, FortiGate puede aprovechar otros productos de Fortinet como
FortiSandbox y FortiWeb para distribuir el procesamiento para una seguridad más profunda y un rendimiento óptimo - un enfoque de tejido de
seguridad total.

5
Topology in the Cloud
• Deploy FortiGate in FortiGate VM Specifications
virtualized networks
Max. 1 / 2 / 4 / 8
o FortiGate VM – Same Licenses
vCPU
FortiGate
features as physical Connector FortiGate VMware, Hyper-V,
appliance except FortiASIC KVM, Citrix Xen
deployment VMX or VM
Server,
Hypervisor
o FortiGate VMX – Subset of Open Source Xen,
features for VMware NSX Azure, Amazon AWS
BYOL & on-demand
(East-West) data flows
Memory Max. 1/4/8/12 GB
o FortiGate Connector for
Cisco ACI – Subset for 10/100/1000
2-4 virtual NICs
Cisco ACI (North-South) Interfaces

data flows… Integrates Storage Capacity 40+ GB


physical or virtual appliance

• Faster setup & teardown:


SDN + VMs

6
• Si implementa FortiGates como dispositivos virtualizados -no físicos- esa plataforma todavía estará familiarizada.

• Las máquinas virtuales FortiGate (VM) tienen las mismas características que un FortiGate físico, excepto la aceleración por
hardware. ¿Por qué? En primer lugar, el software de capa de abstracción de hardware de los hypervisors es fabricado por
VMware, Xen y otros fabricantes de hipervisor, no por Fortinet. Los otros fabricantes no fabrican los chips FortiASIC ​de
Fortinet. Pero hay otra razón, también. El propósito de las CPU virtuales genéricas de hypervisors y otros chips virtuales es
abstraer los detalles del hardware. De esta forma, todos los sistemas operativos invitados VM pueden ejecutarse en una
plataforma común, independientemente del hardware en el que se instalen los hipervisores. A diferencia de las vCPUs o
vGPUs que usan RAM y vCPUs genéricos y no óptimos para la abstracción, los chips FortiASIC ​son circuitos optimizados
especializados (por definición). Por lo tanto, un chip ASIC virtualizado no tendría los mismos beneficios de rendimiento que un
chip físico ASIC.

• Si el rendimiento en hardware equivalente es menor, puede preguntarse, ¿por qué alguien usaría una VM FortiGate? En las
redes de gran escala que cambian rápidamente y pueden tener muchos inquilinos, la potencia de procesamiento y la
distribución equivalentes pueden lograrse utilizando mayores cantidades de hardware más económico y de uso general.
Además, el comercio de algunos resultados de otros beneficios pueden valer la pena. El propietario puede beneficiarse
fuertemente de un despliegue y desmontaje más rápido de la red y los dispositivos.

• FortiGate VMX y el Conector FortiGate para Cisco ACI amplían esta visión. Son una versión especializada de FortiOS y una
API que le permiten orquestar rápidos cambios de red a través de estándares, como OpenStack para redes SDN (software-
defined networking). Asi que:
• FortiGate VM se implementa como una VM invitada en el hipervisor.
• FortiGate VMX se despliega dentro de las vNetworks de un hipervisor, entre VMs invitadas.
• FortiGate Connector para Cisco ACI permite a ACI desplegar virtuales FortiGate físicas o virtuales para el tráfico Norte / Sur.

7
FortiGuard Subscription Services
• Internet connection and contract required
• Provided by FortiGuard Distribution Network (FDN)
o Major data centers in North America, Asia, and Europe
• Or, from FDN through your FortiManager
o FortiGate prefers data center in nearest time zone,
but will adjust by server load
• Package updates: FortiGuard Antivirus and IPS
o update.fortiguard.net
o TCP port 443 (SSL)
• Live queries: FortiGuard Web Filtering and Antispam
o service.fortiguard.net
o Proprietary protocol on UDP port 53 or 8888

8
• Los servicios de suscripción de FortiGuard le dan a FortiGate el acceso a actualizaciones de
seguridad 24x7 impulsadas por los investigadores de Fortinet. Su FortiGate utiliza FortiGuard
de dos maneras:

• Solicitando periódicamente paquetes que contengan un motor nuevo y muchas firmas, y


• Consultando el FDN en una dirección URL individual o nombre de host.

• Las consultas son en tiempo real, es decir, FortiGate pregunta al FDN cada vez que busca
sitios web filtrados o de spam. Además, las consultas utilizan UDP para el transporte - no
tienen conexión y el protocolo no está diseñado para tolerancia a fallos, sino para la
velocidad. Por lo tanto, requieren que su FortiGate tenga una conexión a Internet confiable.

• Paquetes descargados como antivirus e IPS, sin embargo, no son tan frecuentes. Utilizan
TCP para un transporte fiable. Sus características asociadas de FortiGate continúan
funcionando incluso si FortiGate no tiene conectividad confiable de Internet. Tenga en
cuenta, sin embargo, que usted debe evitar las interrupciones. Si su FortiGate debe probar
varias veces para descargar actualizaciones, no puede detectar nuevas amenazas durante
ese tiempo.

9
Modes of Operation
NAT Transparent

• FortiGate is an OSI Layer 3 • FortiGate is an OSI Layer 2


router switch or bridge
• Interfaces have IP addresses • Interfaces do not have IPs
• Packets are routed by IP • Cannot route packets, only
forward or not

10
• Así que ahora has visto una visión general simplificada de la arquitectura del
software. ¿Qué pasa con la arquitectura de red? ¿Dónde encaja FortiGate?

• Al implementar FortiGate, puede elegir en el salpicadero entre dos modos: NAT o


transparente.

• En modo NAT, FortiGate envía paquetes basados en la capa 3, como un enrutador.


Cada una de sus interfaces de red lógica tiene una dirección IP.
• En modo transparente, FortiGate envía paquetes en la capa 2, como un
conmutador. Por lo tanto, a excepción de la interfaz de gestión, sus interfaces no
tienen dirección IP.

• Sin embargo, las interfaces pueden ser excepciones al modo de funcionamiento del
enrutador frente al modo de conmutación. Los mostraremos más tarde.

11
Operation Modes & the OSI Model

NAT

NAT

Transparent

12
¿Qué significa eso para su tráfico, en términos del modelo OSI de 7 capas? ¿Qué modo de operación debe elegir?

El modo NAT es la opción más común. En modo NAT, la dirección de destino es la dirección de FortiGate. Por lo general, FortiGate
reescribirá la dirección de destino y / o el número de puerto y la dirección de origen en la capa de red IP en la dirección de red privada del
servidor antes de reenviar el paquete, es decir, aplicará NAT y reenvío de puertos. Dependiendo de su presentación y protocolos de capa
de aplicación, también podría:

Finalizar las sesiones SSL o TLS para que los servidores back-end no necesiten descifrar
Modifique las direcciones en los encabezados de la capa de aplicación, como las direcciones Host y X-Forwarded-For en el encabezado
HTTP

Por lo tanto, el modo NAT funciona bien para la seguridad de borde o puerta de enlace, donde se divide su red IPv4 privada de una red
externa, como Wi-Fi o Internet.

En modo transparente, la dirección de destino es la dirección del servidor, no la interfaz de FortiGate. Como resultado, por lo general no
necesita volver a escribir capas encapsuladas - con la excepción del análisis TCP SYN-related. Sólo se reescribe la dirección MAC en el
marco. Por lo tanto, en entornos IP complejos como MSSP o compañías de telefonía móvil, esto simplifica el despliegue. Sólo la interfaz
de gestión necesita una dirección IP. Pero debido a que las interfaces de cara a la red no tienen una dirección IP, debe verificar que su
topología no tiene bucles en la capa 2 - Ethernet.

13
Factory Default Settings
• port1 / internal interface IP: 192.168.1.99/24
• PING, HTTP, HTTPS, and SSH protocol management enabled
• Built-in DHCP server is enabled on port1 / internal interface
o Only on low-end models that support DHCP server
• Default login:
User: admin
Password: (blank)
o Both are case sensitive
o Modify the default (blank)
root password!

14
• El modo NAT es el modo de operación predeterminado. ¿Cuáles son las otras configuraciones
predeterminadas? Una vez que hayas quitado tu FortiGate de su caja, ¿qué haces después?

• Echemos un vistazo a cómo configurar un FortiGate.

• Conecte el cable de red de su computadora al puerto 1 o los puertos internos del switch
(dependiendo de su modelo) para comenzar la configuración. En la mayoría de los modelos de
gama baja, hay un servidor DHCP en esa interfaz, por lo tanto, si la configuración de red de su
equipo tiene habilitada DHCP, su computadora debe obtener automáticamente una IP y puede
comenzar a configurar rápidamente.

• Para acceder a la GUI en FortiGate o FortiWifi, abra un navegador web y vaya a http://192.168.1.99.

• Recuerde: el inicio de sesión predeterminado es conocimiento disponible públicamente. ¡Nunca deje


la contraseña por defecto en blanco! Su red es tan segura como la cuenta de administrador de
FortiGate. Antes de conectar su FortiGate a su red general, debe establecer una contraseña
compleja. También debe restringirlo para que FortiGate permita conexiones administrativas sólo
desde su consola local o subred de administración.

15
Resetting a Lost admin Password
User: maintainer
Password: bcpb<serial-number>
All letters in <serial-number> must be upper case: “FGT60…” etc.

• All FortiGate models and some other Fortinet device types


• Only after hard power cycle
o Soft cycle (reboot) does not work for security reasons
• Only during first 30 seconds after boot (varies by model)
o Tip: Copy serial number into terminal buffer, then paste
• Only through hardware console port
o Requires physical access for security reasons
o If compliance/risk of physical access requires, maintainer can be disabled
config sys global
set admin-maintainer disable
end

16
• ¿Qué ocurre si olvida la contraseña de su cuenta de administrador o si un empleado hostil la
cambia?

• Este método de recuperación está disponible en todos los dispositivos FortiGate e incluso
algunos dispositivos que no sean FortiGate como FortiMail. Es una cuenta temporal, sólo
disponible a través del puerto de consola local, y sólo después de un duro reinicio,
interrumpiendo la alimentación desconectando o desconectando la alimentación y
restaurándola. FortiGate debe estar físicamente apagado, luego encendido - no simplemente
reiniciado a través de la CLI. Esa es la diferencia entre un arranque duro y un arranque
suave.

• Incluso entonces, el inicio de sesión del mantenedor sólo estará disponible para iniciar
sesión durante unos 30 segundos después de que se complete el inicio.

• Si no puede garantizar la seguridad física o tiene requisitos de cumplimiento, puede


desactivar la cuenta del mantenedor. Tenga cuidado: si deshabilita el mantenedor y luego
pierde su contraseña de administrador, no podrá recuperar el acceso a su FortiGate.

17
Console Port
• Each FortiGate ships with a console cable
• Console connection requires a terminal emulator
o PuTTY
o Tera Term
• Type varies by model
o Oldermodels: serial port with null model cable
o Newer models
• RJ-45 port with RJ-45-to-serial cable, or
• USB 2 port to FortiExplorer

18
• Todos los modelos FortiGate tienen un puerto de consola. Esto proporciona
acceso a CLI sin una red.

• En los modelos más antiguos, es un puerto serie. Se puede utilizar un cable de


módem nulo estándar para conectar el puerto serie al puerto serie de su
computadora.
• En los modelos más nuevos, es un puerto RJ-45. Acceda conectando un cable
RJ-45-a-serie desde el puerto serie de su computadora al puerto RJ-45 del
FortiGate.
• En algunos modelos más nuevos, el puerto de consola es un puerto USB2. En
ese caso, conecte el cable USB y abra FortiExplorer.

• Cada dispositivo viene con su cable apropiado.

• Los puertos serie en las computadoras son cada vez menos comunes. Si su
computadora tiene uno, puede comprar un adaptador de USB a serie.

19
Administration Methods

GUI
FortiExplorer, Web Browser (HTTP, HTTPS)

CLI
Console, SSH, Telnet, GUI Widget

20
La mayoría de las funciones están disponibles tanto en la GUI como en la CLI, pero hay algunas excepciones. Por
ejemplo, los informes no se pueden ver en la CLI. Además, las configuraciones avanzadas y los comandos de
diagnóstico raramente utilizados para usuarios avanzados normalmente no están disponibles en la GUI.

¿Qué pasa si no desea usar la GUI?

También hay un CLI. A medida que se familiarice con FortiGate, y especialmente si desea programar su
configuración, es posible que desee utilizar la CLI además de la GUI. Puede acceder a la CLI a través del widget
JavaScript en la GUI denominada CLI Console, oa través de un emulador de terminal como Tera Term
(http://ttssh2.sourceforge.jp/index.html.en) o PuTTY (http: //
Www.chiark.greenend.org.uk/~sgtatham/putty/download.html). Su emulador de terminal puede conectarse a
través de la red - SSH o telnet - o el puerto de consola local.

SNMP y algunos otros protocolos administrativos también son compatibles, pero son de sólo lectura. No se
pueden utilizar para la configuración básica. Vamos a centrarnos en la configuración ahora.

21
Administrator Profiles
• System > Administrator

22
• Sea cual sea el método que utilice, inicie iniciando sesión como admin. Comience creando
cuentas para otros administradores.

• No se muestra aquí, pero en lugar de crear cuentas en FortiGate sí mismo, podría configurar
FortiGate para consultar un servidor de autenticación remota. También puede requerir
certificados personales autenticados a través de la autoridad de certificación PKI, en lugar de
contraseñas.

• Elija contraseñas fuertes y complejas. Por ejemplo, puede usar varias palabras entrelazadas
con mayúsculas variadas y insertar aleatoriamente números y signos de puntuación. No
utilice contraseñas cortas o contraseñas que contengan nombres, fechas o palabras que
existan en cualquier diccionario. Estos serán muy débiles contra los ataques de fuerza bruta.
Para auditar la fuerza de sus contraseñas, utilice herramientas como L0phtcrack
(http://www.l0phtcrack.com/) o John the Ripper (http://www.openwall.com/john/). El riesgo de
los atacantes de forzar su firewall es especialmente alto si conecta el puerto de
administración a Internet.

• Para restringir el acceso a funciones específicas, puede asignar permisos.

23
Administrator Profiles: Permissions

None Read Read-Write


System Configuration
Network Configuration
Firewall Configuration
VPN Configuration
WiFi Controller
Log & Report

24
Al asignar permisos en un perfil de administrador, puede especificar lectura-y-escritura, sólo lectura o ningún acceso a cada área.

De forma predeterminada, hay un perfil especial denominado super_admin, que es utilizado por la cuenta denominada admin. No se
puede cambiar. Proporciona acceso completo a todo, haciendo que la cuenta de administrador sea similar a una cuenta de superusuario
root.

Prof_admin es otro perfil predeterminado. También proporciona acceso completo, pero a diferencia de super_admin, sólo se aplica a su
dominio virtual, no a los ajustes globales del FortiGate. Además, sus permisos pueden ser cambiados.

No es necesario que utilice un perfil predeterminado. Por ejemplo, puede crear un perfil denominado auditor_access con permisos de
sólo lectura. Restringir los permisos de una persona a los necesarios para su trabajo es una buena práctica, porque incluso si esa cuenta
está comprometida, el compromiso no está completo. Para ello, cree perfiles administrativos de administración y, a continuación,

seleccione el perfil adecuado al configurar una cuenta .

25
Administrator Profiles: Hierarchy

super_admin custom_profile1 prof_admin


Full global access Partial global access Full access in virtual domain

Partial access in VDOM


custom_profile2

26
¿Cuáles son los efectos de los perfiles de administración?

En realidad, es más que solo acceso de lectura o escritura.

Dependiendo del tipo de perfil de administrador que asigne, es posible que cada administrador no pueda acceder
a todo el FortiGate. Por ejemplo, puede configurar una cuenta que sólo pueda ver mensajes de registro. Es
posible que los administradores no puedan acceder a la configuración global fuera de su dominio virtual asignado.
Los dominios virtuales (VDOM) son una forma de subdividir los recursos y configuraciones en un FortiGate único.
Los VDOMs se explican con mayor detalle en la lección FortiGate II: Virtual Domains.

Los administradores con un ámbito de permisos más pequeño no pueden crear o incluso ver cuentas con más
permisos. Por ejemplo, un administrador que utiliza prof_admin o un perfil personalizado no puede ver ni
restablecer la contraseña de las cuentas que utilizan el perfil super_admin.

27
Two-Factor Authentication

Password (one factor)


+
FortiToken (two factor)

28
Para asegurar aún más el acceso a la seguridad de su red, utilice la autenticación de dos factores.

La autenticación de dos factores significa que en lugar de utilizar un único método para verificar su identidad,
normalmente una contraseña o un certificado personal, verifica la identidad de dos maneras. En el ejemplo
mostrado aquí, la autenticación de dos factores significaría una contraseña más un número RSA generado
aleatoriamente de un FortiToken sincronizado con FortiGate.

29
Other Two-Factor Authentication

30
FortiToken no es la única opción si desea utilizar la autenticación de dos factores. Recuerde que el factor de dos
factores significa que utiliza dos métodos para verificar la identidad de una persona.

Alternativamente, en lugar de usar FortiToken, FortiGate puede enviar un correo electrónico a la dirección del
administrador, o enviar un mensaje de texto como una forma de autenticación.

Para poder hacer esto, primero debe configurar FortiGate con la configuración de un servidor de correo (para que
pueda usarlo para enviar correo electrónico), o un servidor de SMS. El servidor de correo se puede configurar en
la página Avanzada de la GUI o en la CLI. Sin embargo, la configuración de SMS sólo es CLI.

31
Administrative Access: Trusted Sources
•Administrative access is
denied for connections
coming from IP addresses
that are not in any of the
trusted host subnets

32
• Otra forma de proteger su FortiGate es definir qué hosts o subredes son
fuentes de confianza de intentos de inicio de sesión.

• Defina los tres, para todas las cuentas. (Si deja cualquier dirección IPv4 como
0.0.0.0/0, significa que las conexiones de cualquier IP de origen se permitirá -
obviamente no lo que desea.) Tenga en cuenta que cada cuenta puede definir
su gestión de acogida o subred de manera diferente. Esto es especialmente
útil si va a configurar VDOMs en su FortiGate, donde los administradores de
VDOM pueden incluso no pertenecer a la misma organización.

• Ahora intente acceder a la GUI o CLI de FortiGate desde una IP externa.


¿Funciona? No. Si su conexión proviene de una dirección IP que no aparece
como de confianza en ninguna de las cuentas de administrador, FortiGate no
responderá. La conexión de su navegador se agotará.

33
Administrative Access: Ports and Password
• Port numbers are
customizable
• Only using secure
access (SSH, HTTPS)
is recommended

34
• También puede personalizar los números de puerto de los protocolos
administrativos.

• También puede elegir si desea permitir sesiones simultáneas. Esto


puede usarse para evitar la sobrescritura accidental de la
configuración, si por lo general mantiene abiertas varias pestañas del
explorador o si deja accidentalmente una sesión de CLI abierta sin
guardar la configuración, inicie una sesión GUI y edite
accidentalmente la misma configuración de forma diferente.

• Para una mejor seguridad, use sólo protocolos seguros y refuerce la


complejidad y los cambios de la contraseña.

35
Administrative Access: Protocols
• Enable acceptable
management protocols on each
interface independently
o Separate IPv4 and IPv6
o IPv6 options hidden by default
• Also protocols where FortiGate
is the destination IP
o FortiTelemetry

o CAPWAP

o FortiManager

36
• Hemos definido la subred de administración, es decir, los hosts de confianza, para cada cuenta de
administrador. ¿Cómo habilita o deshabilita los protocolos de gestión?

• Esto es específico para cada interfaz. Por ejemplo, si sus administradores se conectan a FortiGate
sólo desde port1, debe desactivar todo el acceso administrativo en todos los demás puertos. Esto
evita intentos de fuerza bruta y también acceso inseguro.

• Observe que algunos protocolos como FortiTelemetry no son realmente para acceso
administrativo, sino que, al igual que el acceso GUI y CLI, son protocolos donde los paquetes
tendrán FortiGate como IP de destino. No sólo usar FortiGate como el siguiente salto o puente.

• Para una mejor seguridad, siempre es mejor usar sólo métodos seguros y cifrados de acceso.
Algunos protocolos, como telnet, ICMP, HTTP y SNMP versión 1, no tienen cifrado ni siquiera
autenticación. Por lo tanto, nunca deben estar habilitados en redes públicas no confiables.

• Los protocolos IPv4 e IPv6 están separados. Es posible, por ejemplo, tener direcciones IPv4 e
IPv6 en una interfaz, pero sólo responder a pings en IPv6. Sin embargo, IPv6 está oculto en la GUI
de forma predeterminada. ¿Cómo muestra la configuración de IPv6?

37
Features Hidden by Default
• By default, some features
like IPv6 are hidden in GUI
o Hidden features are not disabled
• Hide/show via System >
Feature Select
o In Feature Select, select to
hide/show groups of features
commonly used together

38
• FortiGate tiene cientos de características. Si no las usa todas, ocultar
características que no usa hace que sea más fácil centrarse en su
trabajo.

• Ocultar una función en la GUI no lo deshabilita. Todavía es funcional y


aún se puede configurar a través de la CLI.

• Algunas funciones avanzadas o menos utilizadas, como IPv6, se ocultan


de forma predeterminada.

• Para mostrar las funciones ocultas, vaya a la página Selección de


funciones.

39
Link Aggregation
•Bundles several
physical ports to
form a single point-
to-point logical
channel with
greater bandwidth
o Increases
redundancy for
higher availability

40
• La agregación de enlaces es cuando varias interfaces físicas
están enlazadas de forma lógica a un único canal. La agregación
de vínculos aumenta el ancho de banda y proporciona
redundancia entre dos dispositivos de red.

41
Interface IPs
• In NAT mode,
interfaces can’t be
used until they have an
IP address
o Manually assigned
o Automatic
• DHCP
• PPPoE
(configured through CLI)
• Exceptions: One-Arm
Sniffer or FortiSwitch

42
• Una vez que tenga cuentas de administrador, puede configurar las interfaces de red.

• Recuerde, cuando el dispositivo FortiGate está en modo NAT, cada interfaz que maneja el tráfico debe tener una dirección IP.
Hay dos excepciones a esta regla, que cubriremos a continuación. Cuando está en modo NAT, la dirección IP permite que los
paquetes con esta interfaz tengan una fuente y un destino en la capa IP. Hay varias maneras de obtener una dirección IP:

• Manual
• Automático, utilizando DHCP o PPPoE (PPPoE se configura a través de la CLI)

• Como mencionamos anteriormente, hay dos excepciones al requisito de dirección IP: Un-Arm Sniffer y Dedicate to FortiSwitch
interfaces. A estas interfaces no se les asigna una dirección.

• Cuando One-Arm Sniffer se selecciona como modo de direccionamiento, funciona en modo promiscuo. Como resultado,
independientemente de la dirección de destino de cada paquete, FortiGate puede inspeccionar todo el tráfico que llega. Por lo
tanto, aunque el FortiGate en general está en modo NAT, actuando como un enrutador, el interfaz One-Arm Sniffer no actúa
como un enrutador. Recibe tráfico, pero no puede enviar. Hay más consideraciones, que se encuentran en la lección del
Sistema de Prevención de Intrusos FortiGate II.
• Cuando se selecciona Dedicado a FortiSwitch como modo de direccionamiento, FortiGate asigna automáticamente una
dirección IP a esta interfaz. El Dedicado a FortiSwitch es un ajuste de interfaz que se utiliza para administrar FortiSwitch desde
FortiGate.

43
Interface Role Compared to Alias
• Role defines groups of interface Network > Interfaces
settings typically together
o Avoids accidental misconfiguration
o Four types:
• WAN
• LAN
• DMZ
• Undefined (show all settings)
o Not in list of policies Alias
Alias Role

Policy &Objects > IPv4 Policy


• Alias is nickname for interface
o Used in list of policies to
label interfaces by purpose

44
• ¿Cuántas veces has visto problemas de red causados por un servidor DHCP - no
cliente - activado en la interfaz WAN?

• A partir de FortiOS 5.4.0, puede configurar el rol de la interfaz. Los roles muestran
sólo la configuración normal de la interfaz para esa parte de una topología. Los
ajustes que no se aplican al rol actual se ocultan. Esto evita una mala configuración
accidental.

• Por ejemplo, cuando el rol está configurado como WAN, no hay ningún servidor
DHCP, detección de dispositivos y configuración de direcciones IP secundarias
disponibles. La detección de dispositivos se utiliza generalmente para detectar
dispositivos internamente en su LAN; Es decir, no ofrecerá direcciones IP a todos
los hosts en Internet, y así sucesivamente.

• Si hay un caso inusual, y necesita usar una opción que está oculta por el rol actual,
siempre puede cambiar el rol a No definido. Esto muestra todas las opciones.

45
FortiGate as a DHCP Server

46
• Los clientes inalámbricos no son los únicos que pueden utilizar
FortiGate como su servidor DHCP.

• Para una interfaz (como port3), seleccione la opción Manual,


ingrese una IP estática y luego active la opción Servidor DHCP.
Aparecerán opciones para el servidor DHCP incorporado, incluidas
las características de aprovisionamiento, como las opciones de
DHCP y la reserva de MAC. También puede bloquear direcciones
MAC específicas, como si hubiera una directiva de firewall de capa
2.

47
DHCP Server: IP Reservation
• Reservations re-assign IP
address to the same host
o To reserve, select IP address or
choose existing DHCP lease
o Identify reservation as either:
• Regular (over Ethernet)
• Over IPSec
• FortiGate uses host’s MAC
address to look up its IP
address in reservation table
• Actions if MAC is unknown

48
• Para el servidor DHCP incorporado, puede reservar direcciones IP
específicas para dispositivos con direcciones MAC específicas.
Estos dispositivos recibirán siempre el mismo contrato de
arrendamiento, a menos que el número de dispositivos exceda el
tamaño del grupo de direcciones IP.

49
FortiGate as a DNS Server
• Resolves DNS lookups from internal network
o Enabled per interface
o Not appropriate for Internet service due to load

• One DNS database can be shared by all FortiGate interfaces


o Can be separate per VDOM
• Resolution methods:
o Forward — Relay requests to the next server (in DNS settings)
o Non-recursive — Use FortiGate DNS database only; drop unresolvable
queries
o Recursive — Use FortiGate DNS database first; relay unresolvable queries
to next server (in DNS settings)

50
• Al igual que con DHCP, también puede configurar FortiGate para actuar como su servidor
DNS local. Puede habilitar y configurar DNS por separado, en cada interfaz.

• Un servidor DNS local puede mejorar el rendimiento de su FortiMail u otros dispositivos que
usan frecuentemente consultas DNS. Si su FortiGate ofrece DHCP a su red local, DHCP se
puede utilizar para configurar los hosts para utilizar FortiGate tanto como la puerta de enlace
y el servidor DNS.

• FortiGate puede responder a las consultas DNS de una de tres maneras:

• Mediante la retransmisión de todas las consultas - es decir, actuando como un relé de DNS
en lugar de un servidor DNS,
• Mediante la retransmisión sólo de las consultas que no puede resolver al servidor DNS de su
ISP, o
• Devolviendo una respuesta nula si no puede resolver las consultas en sí.

• A partir de FortiOS 5.4, puede configurar todos los modos en la GUI, sin utilizar la CLI.

51
DNS Forwarding
• Forwarding allows DNS control without local FQDN database
• Sends query to external DNS server

52
• Si elige la opción de reenvío DNS, puede controlar las
consultas DNS dentro de su propia red, sin tener que introducir
ningún nombre DNS en el servidor DNS de FortiGate.

53
DNS Database: Configuration
• Add DNS zones
o Eachzone has its own domain name
o RFC 1034 and1035

• Add DNS entries to each zone


o Host name
o IP address it resolves to
o Types supported:
• IPv4 address (A) or IPv6 address (AAAA)
• Name server (NS)
• Canonical name (CNAME)
• Mail exchange (MX) server
• IPv4 (PTR) or IPv6 (PTR)

54
• Si elige que su servidor DNS resuelva consultas o elija un DNS
dividido, debe configurar una base de datos DNS en su
FortiGate.

• Esto define los nombres de host que FortiGate resolverá las


consultas para. Utilice la sintaxis de archivo de zona descrita
por RFC 1034 y 1035.

55
Static Gateway
• Must be at least one
default gateway
• If the interface is DHCP
or PPPoE, the gateway
can be added
dynamically

56
• Por último, antes de integrar FortiGate en su red, FortiGate debe tener una puerta de enlace
predeterminada.

• Si FortiGate obtiene su dirección IP a través de un método dinámico como DHCP o PPPoE, también
recuperará la puerta de enlace predeterminada.

• De lo contrario, debe configurar una ruta estática. Sin esto, FortiGate no podrá responder a
paquetes fuera de las subredes directamente conectados a sus propias interfaces. Es probable que
tampoco pueda conectarse a FortiGuard para actualizaciones y que no pueda enrutar correctamente
el tráfico.

• Los detalles del enrutamiento se tratan en otra lección. Por ahora, normalmente debe asegurarse de
que FortiGate tiene una ruta que coincide con todos los paquetes (destino es 0.0.0.0/0), y los envía
a través de la interfaz de red que está conectada a Internet, a la dirección IP del próximo enrutador.

• El enrutamiento completa la configuración básica de red que se requiere para poder configurar las
directivas de cortafuegos.

57
Configuration Files

• Configuration can be saved to an external device


o Optionalencryption
o Can back up automatically
• Upon logout
• Not available on all models
• To restore a previous configuration, upload file
o Reboots FortiGate

58
• Ahora que FortiGate tiene configuraciones de red básicas y cuentas administrativas, veamos
cómo hacer una copia de seguridad de la configuración.

• Si es necesario, puede cifrar los archivos de configuración con una contraseña. Además de
asegurar la privacidad de su configuración, también tiene algunos efectos que no puede
esperar. Una vez cifrado, el archivo de configuración no se puede descifrar sin la contraseña
y un FortiGate del mismo modelo y firmware. Esto significa que si envía un archivo de
configuración cifrado al Soporte Técnico de Fortinet, incluso si le da la contraseña, no podrá
cargar su configuración hasta que tenga acceso al mismo modelo de FortiGate. Esto puede
causar retrasos innecesarios al resolver su boleto.

• Incluso si la configuración no está encriptada como un todo, cada contraseña se cifra


individualmente. Por lo tanto, en muchos casos, no es necesario cifrar todo el archivo de
configuración.

• Si habilita dominios virtuales, subdividiendo los recursos y la configuración de su FortiGate,


cada administrador de VDOM puede realizar copias de seguridad y restaurar sus propias
configuraciones. No es necesario realizar copias de seguridad de toda la configuración de
FortiGate.

59
Configuration File Format
Plain Text Encrypted
Build Number
#config-version=FWF60D-5.04-FW-build1064-
131031:opmode=0:vdom=0:user=admin#conf_file_ver=10488 #FGBK|3|FWF60D|5|04|1064|
925954160275734#buildno=1064#global_vdom=1
Model
Firmware Major Version

• Only non-default and important settings (smaller file size)


• Header shows device model and firmware
• After the header, the encrypted file is not readable
• Restoring configuration
o Encrypted?Same device/model + build + password required
o Unencrypted? Same model required
• Different build OK if upgrade path is supported

60
• Si abre el archivo de configuración en un editor de texto, verá que los archivos de
configuración cifrados y no cifrados contienen un encabezado de texto claro que contiene
información básica sobre el dispositivo. El diagrama mostrado aquí muestra qué información
se incluye.

• Para restaurar una configuración cifrada, debe cargarla al mismo modelo de FortiGate, con la
misma versión de firmware, y proporcionar la contraseña.

• Para restaurar un archivo de configuración sin cifrar, solo es necesario que coincida con el
modelo FortiGate. Si el firmware es diferente, FortiGate intentará actualizar la configuración,
similar a cómo utiliza los scripts de actualización en la configuración existente al actualizar el
firmware.

• Por lo general, el archivo de configuración sólo contiene valores no predeterminados,


además de algunos parámetros predeterminados, pero cruciales. Esto minimiza el tamaño de
la copia de seguridad, que de lo contrario podría tener varios MB de tamaño.

61
Upgrade

1. Back up configuration (full config backup from CLI).


2. Download copy of current firmware in case reversion is needed.
3. Have physical access, or terminal server connected to local console,
in case reversion is needed.
4. READ RELEASE NOTES (upgrade path, other useful information).
5. Upgrade.

62
• La actualización del firmware en un FortiGate es simple. El
método más sencillo es hacer clic en el enlace Actualizar en el
widget Información del sistema en el panel de control y, a
continuación, elija un archivo de firmware que haya descargado
de support.fortinet.com.

• Si desea realizar una instalación limpia sobrescribiendo el


firmware existente y su configuración actual, puede hacerlo
utilizando la CLI de la consola local, dentro del menú del
cargador de arranque, mientras que FortiGate está reiniciando.
Sin embargo, este no es el método habitual.

63
Downgrade

1. Get the pre-upgrade configuration file.


2. Download a copy of current firmware in case reversion is needed.
3. Have physical access, or terminal server connected to local console, in
case reversion is needed.
4. READ RELEASE NOTES (Does downgrade preserve config?).
5. Downgrade.
6. If required, upload configuration that matches firmware version.
64
• También puede degradar el firmware. Dado que los ajustes cambian en cada versión de firmware, debe tener un
archivo de configuración en la sintaxis que sea compatible con el firmware.

• Recuerde leer las notas de la versión. A veces, una degradación entre versiones de firmware que preserva la
configuración no es posible, como cuando el SO cambió de 32 bits a 64 bits. En esa situación, la única forma de
degradar es formatear el disco y volver a instalarlo.

• Una vez que haya determinado que la rebaja es posible, vuelva a verificarlo todo y, a continuación, inicie la
degradación. Una vez finalizada la degradación, restaure una copia de seguridad de configuración que sea
compatible con esa versión.

• ¿Por qué debe mantener el firmware de emergencia y el acceso físico?

• Las versiones de firmware antiguas no saben cómo convertir configuraciones futuras. Además, al actualizar a través
de una ruta que no es compatible con las secuencias de comandos de traducción de configuración, es posible que
pierda todas las configuraciones excepto las configuraciones básicas de acceso, como cuentas de administrador y
direcciones IP de la interfaz de red. Otro escenario raro, pero posible, es que el firmware podría estar dañado cuando
se está cargando. Por todas estas razones, siempre debe tener acceso a la consola local durante una actualización,
en caso de emergencia. Sin embargo, en la práctica, si usted lee las notas de la versión y tiene una conexión
confiable con la GUI o CLI, normalmente no debería ser necesario.

65
Review
 Key FortiGate features
 FortiGuard services
 Administrators and permissions
 Operating mode differences
 Basic network settings
 Console ports
 How to show and hide features in the GUI
 Built-in DHCP and DNS servers
 Configuration backup and restoration
 Upgrade and downgrade

66
 Para revisar, estos son los temas de los que acabamos de hablar.

 Hemos estudiado cómo FortiGate puede reemplazar múltiples


dispositivos de un solo propósito, sin embargo, aumentar la
eficiencia energética y el rendimiento. Explicamos las diferencias
entre los servicios de FortiGuard y cómo éstos forman parte de la
arquitectura UTM. Mostramos cómo configurar cuentas de
administrador, permisos y cómo endurecer el acceso administrativo.
También explicamos cómo elegir el modo de operación basado en
el comportamiento que necesita para cada interfaz de red, cómo
configurar la configuración de red y, finalmente, cómo realizar una
copia de seguridad de la configuración e instalar el firmware.
67

También podría gustarte