Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Firewall Multiservicios-Fortigate 60E y Software 5.4
Firewall Multiservicios-Fortigate 60E y Software 5.4
Página 1 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
Historial del documento
Título Fecha de Emisión
Firewall Multiservicios - FORTINET 10/11/2016
No. Emisor Fecha de Aplicación
1 Paulina Morales 10/11/2016
Versión Sustituye a Vigencia
Página 2 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN 1
FIREWALL MULTISERVICIOS - FORTINET 1
(BASADO EN EL FORTIGATE 60E Y SOFTWARE 5.4) 1
HISTORIAL DEL DOCUMENTO 2
FIREWALL MULTISERVICIOS – FORTINET 4
PROPÓSITO 4
ALCANCE 4
LIMITACIONES 4
DESCRIPCIÓN DE LA SOLUCIÓN 4
INSTALACIÓN 6
CONFIGURACIÓN 6
SOPORTE TÉCNICO Y CONTACTOS 33
ANEXO 1 ALTA DISPONIBILIDAD 34
ANEXO 2 PROTECCIÓN ACME 38
ANEXO 3 SOPORTE AL PBR 43
ANEXO 4 AUTENTIFICACIÓN CON RADIUS 45
Página 3 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Propósito
Contar con firewall CPE que permita entregar servicios Symphony, servicios iNet.
Alcance
Este documento aplica para la familia de Firewall Fortigate con software 5.4 incluido entre ellos el
Firewall Fortigate 60 D
Limitaciones
Esta solución es exclusiva para usarse del lado del cliente. No debe usarse para dar servicio a más
de un cliente y se recomienda para Symphony+iNet.
En especial, este modelo debe usarse para conectar hasta 150 teléfonos VoIP y para entregar hasta
600 Mbps de iNet.
Con relación a la seguridad administrada tomar en cuenta que se activa la parte de UTN, lo cual
merma el desempeño de los puertos de un 75 a 80% por lo cual no deberá ser tomado en cuenta
para anchos de banda mayores a 180Mbps.
Las características del equipo con respecto a los usuarios que soporta,mac address, tabla de
ARP,etc...Queda exactamente de la misma manera, el único parámetro que se ve afectado es el
ancho de banda.
Consultar tabla al final del documento.
Descripción de la Solución
El firewall se instala normalmente entre el switch de acceso de MCM y la red LAN del cliente. El
firewall puede realizar funciones de NAT, esto para que muchas PCs/Laptops dentro de la LAN
puedan salir con una misma dirección IP hacia Internet y puedan navegar (servicio iNet requerido).
También realiza la función de NAT para los teléfonos VoIP (servicio Symphony requerido).
Este firewall también tiene la capacidad de realizar mapeos estáticas de direcciones IPs, función
conocida como MIPs en los firewall Juniper.
También permite realizar la limitante del ancho de banda del servicio iNet (Internet).
Soporta IPv6 y DHCP6
Página 4 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Los datos importantes a considerar es que se trata de un firewall de tamaño similar al FG- 60 D el
número de parte exacto es FG-60E, tiene 7 puertos GE (Gigaethernet) dedicados a la LAN, 1 puerto
GE dedicado a la zona DMZ y 2 puertos GE dedicados a la WAN. El firewall es alimentado de un
eliminador de corriente alterna, y tiene un consumo de 14 Watts. El sistema operativo es FortiOS 5.
En el firewall el puerto WAN1 recibe la conexión del switch de acceso, por el puerto DMZ se
entrega el servicio iNet y por el puerto Internal-Sym el servicio Symphony
Página 5 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Instalación
Contar con una laptop/PC con el software FortiExplorer y cable USB para conectarse al equipo y
realizar la configuración que se detalla adelante.
El equipo se monta en charola, y trabaja con una sola fuente de alimentación de corriente alterna.
Se debe contar con cables UTP pequeños para hacer las conexiones básicas del firewall, mínimo 2
cables por switch.
Configuración
ACCESO
Conectar una PC/Laptop en el puerto mini USB del firewall
Para entrar por primera vez, el usuario es “admin” y no tiene contraseña (no usar las comillas)
La mayor parte de la configuración se ingresa mediante la opción “Web-based Manager”. Opción disponible
mediante el software FortiExplorer.
Parte de la configuración (avanzada) se introduce mediante la opción “Command-line Interface” (CLI). Opción
disponible mediante el software FortiExplorer.
Para una introducción a la línea de comando (CLI) acceder a: http://forti.net/cli
Esta configuración se aplicó sobre la siguiente versión de software y hardware del Fortigate 60E
Página 6 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
En el primer cambio de contraseña del usuario dejar en blanco “old password” e ingresar el nuevo
sobre “New password” confirmar sobre “Confirm password” hacer clic en “ok”
Página 7 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Crear la comunidad “mcm-mex-public” (v1 y v2c) y añadir los hosts 200.66.85.9 y 200.66.85.10
Activar el agente de SNMP
Un detalle a considerar es que si se aplica un filtro por limitar el acceso desde solamente las
direcciones IP de nuestros sistemas de administración, también se afectará la contestación de pings
hacia todos las IPs; por lo mismo no se configura esta función. Sin embargo, se restringe el acceso
mediante la activación de servicios en los puertos WAN, como se verá más adelante.
Página 8 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
C) Configuración de zona horaria y configuración del servidor externo de NTP por WEB
Entrar a Dashboard
Página 9 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
La zona horario debe ser “Mexico City” y el servidor NTP el 200.66.81.96, sincronizándose con este
último cada 480 minutos (8 horas)
Via CLI
FGT60E4Q16011633 # config system ntp
Página 10 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 11 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
El puerto dmz se utiliza para el servicio iNet. En este caso se configura el direccionamiento IP
192.168.10.1/24 pero puede usarse alguna IP de la red LAN del cliente ó direccionamiento válido de
Internet (en este último caso no se hace NAT en las políticas involucradas con la DMZ)
Se asigna también un rango de direcciones IPv6, en este caso es el 2806:240:240::1/64 (Este rango
es asignado por el área de Soluciones).
Se deja activo solamente el servicio de PING, y adicionalmente se activa el servicio de DHCP Server.
Como se puede observar, existe cambio significativo en la interface de administración gráfica (GUI),
entre versiones 5.2 y 5.4. Un cambio detectado en este menú es la opción de “Role”, aquí debemos
seleccionar LAN, de lo contario no aparecerán las opciones para activar el servicio de DHCP.
El “Role” de cada puerto a configurar es importante, tomarlo en cuenta en cada puerto que se
menciona en el presente documento.
Página 12 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Se asigna también un rango de direcciones IPv6, este rango es asignado por el área de Soluciones.
Se deja activo solamente el servicio de PING, y adicionalmente se activa el servicio de DHCP.
El puerto wan1 se utiliza para conectar los equipos de acceso de la red de MCM. Dentro de esta
puerto se configuran 3 vlans: Monitoreo (tag 4), iNet (tag 5), Symphony (tag 3). Borrar la asignación
IP original del puerto (esto se logra configurando el puerto para que tome dirección por DHCP).
El puerto Monitoreo se crea como VLAN teniendo como interface el puerto wan1, la asignación del
rango es responsabilidad del área de Soluciones. Este es el único puerto que permitirá la
Administración Remota, la cual se realizará mediante HTTPS, PING, SSH, SNMP.
Página 13 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Una mejora en esta versión, es la capacidad de agregar IPs secundarias vía GUI, vía este mismo
menú, sin la necesidad de hacerlo vía CLI.
Página 14 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
El puerto iNet se crea como VLAN teniendo como interface el puerto wan1, la asignación del rango
es responsabilidad del área de Soluciones. Se asigna tanto un rango IPv4 como un rango IPv6.
Página 15 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
El puerto Symphony se crea como VLAN teniendo como interface el puerto WAN1, la asignación
del rango IP es responsabilidad del área de Soluciones.
El equipo de fábrica viene con una interface “Hardware switch” creada que hace referencia a los
puertos “internal1” a “Internal7” Es necesario, eliminar la política que viene por dafault, y que hace
referencia a la interface “Internal”para posteriormente, entrar a la interface “Intrernal” y desvincular
los puertos, para poder crear las diferentes interface “Hardware switch” que se mencionan a
continuación.
El puerto Internal-Sym se crea como “Hardware Switch no se asigna ningún rango de direcciones
IP, solamente se asignan los puertos “internal5” e “internal4” al grupo.
Página 16 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Otro cambio en esta versión, es que ya no es necesario cambiar vía CLI el modo “internal-switch-
mode” a “interface”, ya que esta es la configuración por default.
El puerto Sym-Trust se crea como VLAN teniendo como interface el puerto Internal-Sym. El rango
de direcciones IP es el 192.168.9.1/24 y el tag es el 9.
Página 17 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Los Gateway cambiarán y esto dependerá de las asignaciones de IP realizadas por el área de
Soluciones
Nota: Agregar ruta estática adicional para considerar el SBC de acceso de Metaswitch
Destination: 172.31.255.0 255.255.255.240
Gateway: 172.18.1.1
Device:Symphony
Página 19 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Deben crearse todos los que aparecen en la siguiente imagen. Algunos ya aparecen por default.
Página 20 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Deben crearse todos los que aparecen en la siguiente imagen. Algunos ya aparecen por default.
Página 21 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 22 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Normalmente se usan para poder monitorear algún switch PoE del servicio Symphony, o para que
el cliente puede instalar un servidor dentro de su servicio iNet..
K) IP Pool
Policy&Objects > Ip Pool
IP Pool, este pool debe rutearse, con ruta estática, hacia el firewall.
Los pasos anteriores solo muestran como crear los objetos y hace falta aplicarlos a las políticas
correspondientes.
Página 23 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 24 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Las secuencias #2, 3,7 son Obligatorias, mientras que las secuencias #1, 5,6 son Opcionales
(dependen de si se requieren crear VIPs).
Nota sobre la política 2 (Navegar en IPv4). Dado el agotamiento de las direcciones IPv4, se podrá
contemplar el escenario de usar direcciones IP no váldas de Internet en la interface iNet-UnTrust.
Para realizar lo anterior no se debe hacer NAT con la opción de “Use Outgoing Interface Address”
sino con la opción “Use Dynamic IP Pool” y es aquí donde el inciso K resulta de utilidad, dado que
el IP Pool sí es una rango válido de direcciones de Internet.
Página 25 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Nótese que las políticas que emplean una VIP no llevan activa la función de NAT, mientras que
todas las demás sí.
Deben agregarse dos secuencias adicionales para aprovechar una función de los SBC´s de
nuestra plataforma Symphony, este función es conocida normalmente como “Media Release on
LAN” y permite que los flujos de voz entre las distintas redes LAN del cliente se establezcan de
forma directa de dispositivo final a dispositivo final sin depender del SBC. Son las secuencias que
en la figura anterior aparecen como 4 y 7 (aunque el número de secuencia no es importante, es
importante solamente para efectos explicativos de este documento).
Para lograr lo anterior debe permitirse todo el tráfico UDP (all a all, Service ALL_UDP) de la zona
Sym-Trust a la zona dmz (iNet-Trust) y sin realizar NAT. Adicionalmente debe permitirse todo el
tráfico UDP (all a all) de la zona dmz (iNet-Trust) a la zona Sym-Trust también sin realizar NAT.
Página 26 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
En especial, estas 2 secuencias son vitales cuando el cliente tiene Broadphones y la solución del
cliente no cuenta con un switch LAN con fuciones de PBR (Policy Based Routing).
Página 27 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 28 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Creación de perfil Traffic Shaper
Dentro del equipo GUI Fortigate “Policy and objects>Traffic Shapper”
Hacer click en “Create new” para generar un Nuevo perfil de Traffic Shapper.
Página 29 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 30 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 31 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Adicionalmente deben agregarse las siguientes líneas dentro de la interface “dmz” (config system
interfaces):
config ipv6
set ip6-allowaccess ping capwap
set ip6-address 2806:240:240::1/64
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
end
next
end
Página 32 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Ingresar a https://support.fortinet.com
Usuario: jgarza@mcmtelecom.com.mx
Contraseña: ***********
Es importante que el área de Instalación a Clientes (IC) registre en la página web todas las firewalls
que configuren e instalen, de esta forma el firewall tendrá activo el soporte técnico y se llevará un
control de los equipos operando en la red.
Desde esta página web se pueden abrir tickets de falla directamente con el fabricante y dar
seguimiento a los mismos.
cferreira@fortinet.com
Direct: +52 (55) 55248480+
Mobile: +52 (155) 5545674925
Erika Rivera
evriera@fortinet.com
Direct: +52 (55) 55248480
Mobile: +52 (155) 45599489
Distribuidor
Westcon Group
Christian Granados
Christian.granados@westcon.com
Direct: +52 (55)50014950 Ext 4742
Mobile: +52 (55) 48902963
http://docs.fortinet.com/fortigate/reference
http://docs.fortinet.com/d/fortigate-the-fortigate-cookbook-5.4
Página 33 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Para activar la alta disponibilidad es necesario que los firewalls sean de la misma versión del
Software y Hardware
Adicionalmente se requiere un cable Ethernet cruzado para conectar los equipos entre ellos
Para comenzar a configurar el arreglo es necesario que los equipos no tengan ninguna IP
configurada por DHCP, todas las interfaces deben cambiarse a modo manual.
A) Poner Host Name diferente a cada unidad que formará parte del cluster, esto por WEB
En la parte de Dashborad -> “Status” debe configurarse un nombre diferente a cada equipo.
Por ejemplo:
Firewall master: FGT-MASTER
Firewall esclavo: FGT-SLAVE
El Group Name debe identificar al Cluster y debe ser idéntico en ambos firewalls. Sin embargo,
esto no impedirá que pueda generarse un problema cuando exista más de un cluster dentro del
mismo anillo colector (por duplicidad de la MAC virtual). Para resolver lo anterior aplicar el paso
que consiste en cambiar el Group-ID
El Password debe ser diferente entre los distintos clusters, de manera que debe documentarse esa
información, el formato puede ser el siguiente: mcm-cliente
Página 34 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Adicional se debe ingresar el comando de Override que es una anulación que se activa desde el
CLI
Esta anulación nos permitirá aumentar la prioridad del dispositivo, esto significa que la unidad que
determinemos como master siempre será la primaria
config system ha
set override enable
end
C) Una vez configurados los 2 firewalls conectar el cable Ethernet entre los puertos WAN2
Es en este punto que se crea el cluster. De preferencia usar un cable Ethernet cruzado, pero
también es soportado un cable Ethernet directo.
Conectarse al firewall maestro vía USB y verificar que el cluster se haya formado.
Página 35 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Esta topología tiene un problema todavía, ya que la conmutación entre los firewalls se hará
únicamente por falla de los propios firewalls y no por falla del switch externo (en stack) o por el
switch interno (en stack).
Por ejemplo: si falla del lado WAN el switch primario del stack (donde está conectado el firewall
primario), entonces el firewall primario (master) seguirá trabajando y dejará sin servicio al cliente;
ya que no habrá conmutación hacia el firewall de respaldo (slave).
Para resolver lo anterior aplicar el paso de Link-Failover
E) Notas sobre la configuración de los switches en stack, tanto internos como externos
El switch interno en stack debe proveer 1 puerto a cada firewall para el servicio iNet .
El primer puerto, el puerto principal, debe salir del switch maestro del stack y conectarse al puerto
DMZ del firewall maestro.
El segundo puerto, el puerto de respaldo, debe salir del switch esclavo del stack y conectarse al
puerto DMZ del firewall esclavo.
El switch interno en stack debe proveer 1 puerto a cada firewall para el servicio Symphony.
Página 36 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
El primer puerto, el puerto principal, debe salir del switch maestro del stack y conectarse al puerto
internal5 del firewall maestro.
El segundo puerto, el puerto de respaldo, debe salir del swtich esclavo del stack y conectase al
puerto internal5 del firewall esclavo.
El switch externo en stack debe proveer 1 puerto a cada firewall para todos los servicios (iNet,
Symphony, Monitoreo).
El primer puerto, puerto principal, debe salir del switch maestro del stack y conectarse al puerto
WAN1 del firewall maestro.
El segundo puerto, puerto de respaldo, debe salir del swich esclavo del stack y conectase al puerto
WAN1 del firwewall esclavo.
Página 37 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Este Anexo se usa para proteger el equipo ACME de posibles Loops generados en las redes LAN
de los clientes, ya que pudiera llegar a saturar de peticiones de registro de teléfonos.
Esta protección se lleva acabo limitando el número de sesiones del Firewall cuando estas llevan
como destino ACME.
La Protección DoS se encuentra desactivada en el Firewall por default y debe ser activada vía GUI
Página 38 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Para crear una nueva política de DoS IPv4 en el menú Policy & Objects > IPv4 DoS Policy hacer
clic en “Create New” e ingresar la siguiente información:
Incoming Interface
Source Address
Destination Address
Service
Activar Anomalías
Tcp_syn_flod
En acciones seleccionar “Block” y Threshold en 2000.
Página 39 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Una vez dentro de la configuración de DoS-policy se introduce “edit 1” y la dar <enter> se añade
automáticamente lo siguiente:
(DoS-policy) # show
config firewall DoS-policy
edit 1
config anomaly
edit "tcp_syn_flood"
set threshold 2000
next
edit "tcp_port_scan"
set threshold 1000
Página 40 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
next
edit "tcp_src_session"
set threshold 5000
next
edit "tcp_dst_session"
set threshold 5000
next
edit "udp_flood"
set threshold 2000
next
edit "udp_scan"
set threshold 2000
next
edit "udp_src_session"
set threshold 5000
next
edit "udp_dst_session"
set threshold 5000
next
edit "icmp_flood"
set threshold 250
next
edit "icmp_sweep"
set threshold 100
next
edit "icmp_src_session"
set threshold 300
next
edit "icmp_dst_session"
set threshold 1000
next
edit "ip_src_session"
set threshold 5000
next
edit "ip_dst_session"
set threshold 5000
next
edit "sctp_flood"
set threshold 2000
next
edit "sctp_scan"
set threshold 1000
next
edit "sctp_src_session"
set threshold 5000
next
edit "sctp_dst_session"
set threshold 5000
next
end
next
end
Sin salirse del “edit 1” se complementa la configuración con las siguientes líneas:
Página 41 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Adicionalmente debemos configurar las anomalías, en el caso del tcp_syn_flood debe quedar de la
siguiente forma:
config anomaly
edit "tcp_syn_flood"
set status enable
set action block
set threshold 8
next
end
Al finalizar la configuración escribir “end”, y “end”, con esto se activarán los cambios.
Página 42 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
PBR (Policy Based Routing) es una función que se activa en el switch central dentro de la red LAN
del cliente. Esta función es realizada por un switch de MCM. Aplicable cuando la solución cuenta
con Broadviews.
NOTA: Solamente aplicar PBR en el switch y ruta estática en el firewall Fortigate cuando el servicio
iNet pasa a través de un Firewall ó Ruteador administrado por el propio cliente.
(Cuando el servicio iNet se entrega directo del Firewall hacia la LAN del cliente, entonces no aplicar
PBR en el switch LAN central ni ruta estática en firewall Fortigate).
Es importante mencionar que se requiere conocer la red IP LAN del cliente donde se encuentran
conectadas las PCs, esto para poder configurar al Firewall y al switch LAN central.
Una vez conocida este red, la cual suponemos es la 192.168.10.0/24 entonces configuramos una
ruta estática hacia esa red en el Fortigate, para esto entramos vía WEB al equipo.
Página 43 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Referencia:
Líneas de configuración en switch LAN central (Huawei S33/S37) para la función de PBR
interface Vlanif9
description Monitoreo-por-Symphony
ip address 192.168.9.4 255.255.255.0
interface Vlanif10
ip address 192.168.10.150 255.255.255.0
De ser necesario, para desactivar la función PBR en el switch utilizar el siguiente comando:
undo traffic-redirect vlan 10 inbound acl name PBR-Symp
Página 44 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 45 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
B) Vía web, crear los Grupos de Usuarios de Administración “Administrative-Radius” y con
“User-Radius”. El primero tendrá permisos de Administración, mientras que el segundo de
lectura solamente
Página 46 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
System >Administrators
Página 47 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
System>Admin Profile
Página 48 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 49 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Página 50 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Alcance
Este documento aplica para la familia de Firewall Fortigate con software 5.4 incluido entre ellos el
Firewall Fortigate 60 D como se comenta al principio de este documento.
Página 51 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1