Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
Seguridad de FortiGate
Introducción y configuración inicial
FortiOS 6.4
© Copyright Fortinet Inc. Todos los derechos reservados. Última modificación: 8 de septiembre de 2020
Resumen de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Funciones de alto nivel
Objetivos
• Identificar las características de diseño de la plataforma de FortiGate
4
Diseño de plataforma
Web FortiWeb
IPS ...
Próxima generación.
FortiClient cortafuegos
Antivirus
filtrar
FortiSandbox FortiMail
FortiOS
Integración
5
Topología en la nube
• Implemente FortiGate Especificaciones de FortiGate VM
envirtualizado redes
• FortiGate VM - Las mismas Licencias Max. 1/2/4/8 vCPU
características que las físicas FortiGate
aparato excepto SPU Conector FortiGate VMware, Hyper-V,
KVM, Citrix Xen
• FortiGate VMX - Subconjunto despliegue VMX o VM Servidor,
de funciones para datos de Hipervisor
Xen de código abierto,
VMware NSX (este-oeste) Azure, Amazon AWS
fluye BYOL y bajo demanda
• Configuración y desmontaje
más rápidos: SDN + VM
6
SPU
• La aceleración de hardware descarga
el procesamiento intensivo de recursos
de la CPU
• Procesadores involucrados:
• Procesadores de contenido (CP)
• Procesadores de seguridad (SP)
• Procesadores de red (NP)
7
SPU (cont.)
• Procesador de contenido
• Inspección de contenido de alta velocidad
• No vinculado a la interfaz, más cerca de las aplicaciones
• Cifrado y descifrado (SSL)
• Antivirus
• Procesador de seguridad
SP3 E / S INTERNAS
• Conectado directamente a interfaces de red SoC PCI / RAM / FLASH
• Aumente el rendimiento del sistema acelerando IPS FortiSPU
General
CP
Objetivo
• Procesador de red FortiSPU
Procesador
• Procesamiento de paquetes
notario público
8
Verificación de conocimientos
9
Progreso de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Decisiones de configuración
Objetivos
• Identificar los valores predeterminados de fábrica
12
Configuración predeterminada de fábrica
• IP: 192.168.1.99/24
• Interfaz MGMT en modelos de gama alta y gama media
• Port1 o interfaz interna en modelos de nivel de entrada
Usuario: administración
Contraseña: (blanco)
• Ambos distinguen entre mayúsculas y minúsculas
• Modificar la contraseña
predeterminada (en blanco)
14
Servicios de suscripción de FortiGuard (cont.)
• Verificación de certificado SSL de terceros de FortiGuard y verificación de grapado OCSP
• El modo de acceso predeterminado de FortiGuard es anycast
dieciséis
Progreso de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Administración básica
Objetivos
• Gestionar perfiles de administrador
• Gestionar usuarios administrativos
• Definir el método de configuración para usuarios administrativos.
• Controlar el acceso administrativo a la GUI y la CLI de FortiGate
• Gestionar aspectos específicos de las interfaces de red.
Métodos de administración
CLI
Consola, SSH, Telnet, widget de GUI
GUI
FortiExplorer, navegador web (HTTP, HTTPS)
19
Comandos básicos de la CLI
• Utilice los siguientes comandos para verificar el estado del sistema y enumerar todos o solo los valores de
atributo no predeterminados para una interfaz
• Utilice <conjunto de comandos>? para enumerar los comandos que puede usar con él. Por ejemplo,
obtener ? y enumere los subcomandos en <conjunto de comandos> <comando>
• Por ejemplo, ejecutar copia de seguridad?
¿Cuáles son todos los valores de los atributos de la interfaz del muestre la interfaz del sistema de configuración completa <puerto>
sistema?
¿Cuáles son los valores de atributo no predeterminados muestre la interfaz del sistema <port>
para la interfaz del sistema?
20
Crear un usuario administrativo
21
Perfiles de administrador: permisos
Sistema > Perfiles de administrador
22
Perfiles de administrador: jerarquía
23
Autenticación de dos factores
24
Restablecimiento de una contraseña de administrador perdida
Usuario: mantenedor
Contraseña: bcpb <número de serie>
Todas las letras en <número de serie> debe ser mayúsculas, por ejemplo, FGT60
• Todos los modelos de dispositivos FortiGate y algunos otros tipos de dispositivos Fortinet
• Solo durante los primeros 60 segundos después bota (varía según el modelo)
• Propina: Copie el número de serie en el búfer del terminal y luego péguelo
25
Acceso administrativo: fuentes confiables
Sistema > Administradores
26
Acceso administrativo: puertos y contraseña
Sistema > Ajustes
• Los números de puerto son personalizables.
27
Acceso administrativo: protocolos
La red > Interfaces
• Habilite protocolos de administración
aceptables en cada interfaz
independientemente:
• IPv4 e IPv6 separados
• Opciones de IPv6 ocultas por defecto
• También protocolos donde FortiGate es la
IP de destino:
• Tela de seguridad:
• CAPWAP
• FortiTelemetría
• Acceso FMG
• FTM
• Contabilidad RADIUS
• Soporte LLDP
• Detección de un Security Fabric FortiGate
ascendente a través de LLDP
28
Funciones ocultas por defecto
• De forma predeterminada, algunas
Sistema > Visibilidad de funciones
funciones como IPv6 están ocultas en la GUI
• Las funciones ocultas no están deshabilitadas
29
IP de interfaz
• En el modo NAT, las interfaces no se pueden La red > Interfaces
utilizar hasta que tengan una dirección IP: Tenga en cuenta que el Uno-
• Asignado manualmente
Sniffer de brazos es
disponible solo cuando
• Automático editar un
• DHCP sin referencia
• PPPoE interfaz
30
Función de interfaz en comparación con alias
La red > Interfaces
• El rol define la configuración de la
interfaz normalmente agrupada:
o Evita una configuración incorrecta accidental
o Cuatro tipos:
• PÁLIDO
• LAN
• DMZ
• Indefinido (mostrar todas las configuraciones)
Alias Papel
o No en la lista de políticas
31
Puerta de enlace estática
32
Agregar un link
• Agrupa varios puertos físicos para
formar un solo punto a punto
canal lógico con mayor ancho
de banda
• Aumenta la redundancia para una mayor
disponibilidad
33
Verificación de conocimientos
1. ¿Cómo restringe los inicios de sesión en FortiGate solo desde direcciones IP específicas?
UNA. Cambiar la dirección IP de la interfaz de administración de FortiGate
B. Configurar host de confianza
34
Progreso de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Servidores integrados
Objetivos
• Habilite el servicio DHCP en FortiGate
• Habilite el servicio DNS en FortiGate
• Comprender las posibilidades de configuración y algunas de sus
implicaciones.
FortiGate como servidor DHCP
La red > Interfaces
37
Servidor DHCP: regla de asignación de dirección IP
38
FortiGate como servidor DNS
• Resuelve las búsquedas de DNS de la red interna:
• Habilitado por interfaz
• No es apropiado para el servicio de Internet debido a la carga y, por lo tanto, no debe estar orientado al público.
• Todas las interfaces de FortiGate pueden compartir una base de datos DNS:
• Puede ser separado por VDOM
• Métodos de resolución:
• Reenviar: retransmite las solicitudes al siguiente servidor (en la configuración de DNS)
• No recursivo: use la base de datos DNS de FortiGate solo para intentar resolver consultas
• Recursivo: use primero la base de datos DNS de FortiGate; retransmitir consultas irresolubles al siguiente servidor (en la configuración de
DNS)
39
Reenvío de DNS
• El reenvío permite el control de DNS sin la base de datos local de FQDN
• Envía la consulta al servidor DNS externo
La red > Servidores DNS Haga doble clic en el campo de la interfaz o
seleccionar y hacer clic Editar.
40
Base de datos DNS: configuración
• Agregar zonas DNS:
• Cada zona tiene su propio nombre de dominio
• RFC 1034 y 1035
• Agregue entradas de DNS a cada zona:
• Nombre de host
• Dirección IP a la que se resuelve
• Tipos admitidos:
• Dirección IPv4 (A) o dirección IPv6 (AAAA)
• Servidor de nombres (NS)
41
Verificación de conocimientos
2. Al configurar FortiGate como servidor DNS, ¿qué método de resolución utiliza la base de
datos DNS de FortiGate solo para intentar resolver consultas?
UNA. No recursivo
B. Recursivo
42
Progreso de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Mantenimiento fundamental
Objetivos
• Hacer una copia de seguridad y restaurar los archivos de configuración del sistema
• Actualización de firmware
Archivo de configuración: copia de seguridad y restauración
45
Formato de archivo de configuración
número Construir
• Restaurando la configuración
• Cifrado? Se requiere el mismo dispositivo / modelo + compilación + contraseña
• ¿Sin cifrar? Se requiere el mismo modelo
Versión principal del firmware
Modelo
46
Actualización de firmware
Sistema > Firmware
• La versión de firmware actual se
puede ver en el tablero o en Sistema
> Firmware (o en la CLI: obtener el
estado del sistema)
• Si hay una versión de firmware
actualizada, se le notificará
• El firmware se puede actualizar haciendo clic en
Cargar firmware o seleccionando la sección de
opciones de actualización
47
Actualizar el proceso de firmware
1. Haga una copia de seguridad de la configuración (copia de seguridad de configuración completa en GUI o CLI)
2. Descargue una copia del firmware actual, en caso de que sea necesaria una reversión
3. Tener acceso físico, o un servidor terminal conectado a la consola local, en caso de que sea
necesaria una reversión
4. Leer el Notas de lanzamiento; Incluyen la ruta de actualización y otra
información útil.
5. Realizar la actualización
48
Proceso de degradación de firmware
2. Descargue una copia del firmware actual, en caso de que sea necesaria una reversión
3. Tener acceso físico, o un servidor terminal conectado a la consola local, en caso de que sea
necesaria una reversión
4. Leer el Notas de lanzamiento (¿La degradación conserva la configuración?)
5. Bajar el firmware
6. Si es necesario, cargue la configuración que coincida con la versión de firmware
49
Verificación de conocimientos
2. ¿Qué documento debería consultar para aumentar las posibilidades de éxito antes de
actualizar o degradar el firmware?
UNA. Libro de cocina
B. Notas de lanzamiento
50
Progreso de la lección
Decisiones de configuración
Administración básica
Servidores integrados
Mantenimiento fundamental
Revisar
✓ Identifique las características, los servicios y los servidores integrados clave de FortiGate
✓ Identificar las diferencias entre los dos modos operativos y la
relación entre FortiGate y FortiGuard
✓ Identificar los valores predeterminados de fábrica, la configuración de red básica y los puertos de la consola.