Traducido del inglés al español - www.onlinedoctranslator.

com

Seguridad de FortiGate
Introducción y configuración inicial

FortiOS 6.4

© Copyright Fortinet Inc. Todos los derechos reservados. Última modificación: 8 de septiembre de 2020
Resumen de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Funciones de alto nivel

Objetivos
• Identificar las características de diseño de la plataforma de FortiGate

• Identificar características de FortiGate en redes virtualizadas y la nube

• Comprender las unidades de procesamiento de seguridad (SPU) de FortiGate
El contexto moderno de la seguridad de la red

• Los cortafuegos son más que guardianes en el perímetro de la red

• Los firewalls actuales están diseñados en respuesta a entornos multifacéticos y
multidispositivo sin perímetro identificable:
• Fuerza laboral móvil
• Socios que acceden a sus servicios de red
• Nubes públicas y privadas
• Internet de las cosas (IoT)
• Traiga su propio dispositivo (BYOD)
• Se espera que los firewalls realicen diferentes funciones dentro de una red.
• Diferentes modos de implementación:
• Cortafuegos empresarial distribuido
• Cortafuegos de próxima generación

• Cortafuegos de segmentación interna

• Cortafuegos del centro de datos

• DNS, DHCP, filtro web, sistema de prevención de intrusiones (IPS), etc.

4
Diseño de plataforma

Servicios de suscripción de FortiGuard

• Inteligencia de amenazas • Gestión centralizada

Web FortiWeb
IPS ...
Próxima generación.
FortiClient cortafuegos
Antivirus
filtrar

FortiSandbox FortiMail
FortiOS

Unidades de procesamiento de seguridad (SPU)

Integración

5
Topología en la nube
• Implemente FortiGate Especificaciones de FortiGate VM
envirtualizado redes
• FortiGate VM - Las mismas Licencias Max. 1/2/4/8 vCPU
características que las físicas FortiGate
aparato excepto SPU Conector FortiGate VMware, Hyper-V,
KVM, Citrix Xen
• FortiGate VMX - Subconjunto despliegue VMX o VM Servidor,
de funciones para datos de Hipervisor
Xen de código abierto,
VMware NSX (este-oeste) Azure, Amazon AWS
fluye BYOL y bajo demanda

• Conector FortiGate para

Memoria Max. 1/4/8/12 GB
Cisco ACI - Subconjunto de
flujos de datos de Cisco 10/100/1000
ACI (norte-sur). Integra Interfaces
2-4 NIC virtuales
físico o virtual
aparato. Capacidad de almacenamiento 40+ GB

• Configuración y desmontaje
más rápidos: SDN + VM

6
SPU
• La aceleración de hardware descarga
el procesamiento intensivo de recursos
de la CPU

• Procesadores involucrados:
• Procesadores de contenido (CP)
• Procesadores de seguridad (SP)
• Procesadores de red (NP)

• Las sesiones NP7 y NP6

descargadas se pueden ver
Porcentaje de la Porcentaje de la
habilitando por sesión El numero total de sesiones que son sesiones que son
contabilidad sesiones Sesiones SPU Sesiones nturbo

7
SPU (cont.)
• Procesador de contenido
• Inspección de contenido de alta velocidad
• No vinculado a la interfaz, más cerca de las aplicaciones
• Cifrado y descifrado (SSL)
• Antivirus

• Procesador de seguridad
SP3 E / S INTERNAS
• Conectado directamente a interfaces de red SoC PCI / RAM / FLASH
• Aumente el rendimiento del sistema acelerando IPS FortiSPU
General
CP
Objetivo
• Procesador de red FortiSPU
Procesador
• Procesamiento de paquetes
notario público

• NP6 proporcionado NTurbo E / S EXTERNAS

ETHERNET / SERIE / USB
• Conectado directamente a la interfaz de red

• Procesador de sistema en un chip

• Rendimiento optimizado para el nivel de entrada
• Las plataformas SoC4 incluyen NTurbo

8
Verificación de conocimientos

1. ¿Cuál es una descripción más precisa de un firewall moderno?

UNA. Un dispositivo que inspecciona el tráfico de la red en un punto de entrada a Internet y dentro de un perímetro de red
simple y fácilmente definible.
B. Un dispositivo multifuncional que inspecciona el tráfico de la red desde el perímetro o internamente, dentro de una red
que tiene muchos puntos de entrada diferentes.

2. ¿Qué solución, específica de Fortinet, mejora el rendimiento y reduce la latencia para

funciones y tráfico específicos?
UNA. Hardware de aceleración, llamado SPU
B. Mayor potencia de RAM y CPU

9
Progreso de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Decisiones de configuración

Objetivos
• Identificar los valores predeterminados de fábrica

• Seleccione un modo de funcionamiento

• Comprender la relación de FortiGate con FortiGuard y distinguir

entre consultas en vivo y actualizaciones de paquetes
Modos de operacion

NAT Transpagno son

• FortiGate es un OSI Layer 3 enrutador • FortiGate es una capa 2 de OSI cambiar o

puente
• Las interfaces tienen direcciones IP

• Los paquetes se enrutan por IP

• Las interfaces hacen no tienen IP

• Configurado por VDOM • No se pueden enrutar paquetes, solo reenviar o

bloquear

• Configurado por VDOM

12
Configuración predeterminada de fábrica

• IP: 192.168.1.99/24
• Interfaz MGMT en modelos de gama alta y gama media
• Port1 o interfaz interna en modelos de nivel de entrada

• Gestión de protocolos PING, HTTP, HTTPS y SSH habilitada

• El servidor DHCP incorporado está habilitado en el puerto 1 o en la interfaz interna
• Solo en modelos de nivel de entrada que admiten el servidor DHCP

• Inicio de sesión predeterminado:

Usuario: administración

Contraseña: (blanco)
• Ambos distinguen entre mayúsculas y minúsculas

• Modificar la contraseña
predeterminada (en blanco)

• Puede acceder a FortiGate en la CLI

• Consola: sin red
• Widget de consola CLI y emulador de terminal, como PuTTY o Tera Term
13
Servicios de suscripción de FortiGuard
• Requiere conexión a Internet y contrato
• Proporcionado por FortiGuard Distribution Network (FDN)
• Principales centros de datos en América del Norte, Asia y Europa
• O desde FDN a través de su FortiManager
• FortiGate prefiere el centro de datos en la zona horaria más cercana, pero se
ajustará según la carga del servidor

• Actualizaciones del paquete: antivirus e IPS de FortiGuard

• update.fortiguard.net
• Puerto TCP 443 (SSL)
• Consultas en vivo: filtrado web FortiGuard, filtrado DNS y antispam
• service.fortiguard.net para protocolo propietario en el puerto UDP 53 o 8888
• securewf.fortiguard.net para HTTPS a través del puerto 443, 53 o 8888

14
Servicios de suscripción de FortiGuard (cont.)
• Verificación de certificado SSL de terceros de FortiGuard y verificación de grapado OCSP
• El modo de acceso predeterminado de FortiGuard es anycast

• Optimice el rendimiento del enrutamiento a los servidores FortiGuard

• FortiGate obtiene una única dirección IP para el nombre de dominio de cada servicio FortiGuard
• Los servidores de FortiGuard consultan al respondedor OCSP de CA cada cuatro horas
• Hacer cumplir una conexión para usar el protocolo HTTPS y el puerto 443

Servidor Nombre de dominio y dirección IP

Descarga de objetos globalupdate.fortinet.net - 173.243.140.6

Servicio de consultas (filtrado web,
antispam)
Registro de FortiGate Cloud
Gestión de FortiGate Cloud
Mensajería en la nube de FortiGate
Caja de arena de FortiGate Cloud
El producto utilizado por el registro de
OCVPN y la descarga del icono de GUI
globalguardservice.fortinet.net - 173.243.140.16
globallogctrl.fortinet.net - 173.243.132.25
globalmgrctrl.fortinet.net - 173.243.132.26
globalmsgctrl.fortinet.net - 173.243.132.27
globalaptctrl.fortinet.net - 184.94.112.22
globalproductapi.fortinet.net - 66.35.17.252
15
Verificación de conocimientos

1. ¿Qué protocolo usa FortiGate para descargar paquetes de antivirus e IPS?

UNA. UDP
B. TCP

2. ¿Cómo comprueba FortiGate el contenido en busca de spam o sitios web maliciosos?

UNA. Consultas en vivo a FortiGuard a través de UDP o HTTPS
B. Verificación local usando una base de datos de filtro web descargada localmente en FortiGate

dieciséis
Progreso de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Administración básica
Objetivos
• Gestionar perfiles de administrador
• Gestionar usuarios administrativos
• Definir el método de configuración para usuarios administrativos.
• Controlar el acceso administrativo a la GUI y la CLI de FortiGate
• Gestionar aspectos específicos de las interfaces de red.
Métodos de administración

CLI
Consola, SSH, Telnet, widget de GUI

GUI
FortiExplorer, navegador web (HTTP, HTTPS)

19
 Comandos básicos de la CLI

• Utilice los siguientes comandos para verificar el estado del sistema y enumerar todos o solo los valores de
atributo no predeterminados para una interfaz

• Utilice <conjunto de comandos>? para enumerar los comandos que puede usar con él. Por ejemplo,
obtener ? y enumere los subcomandos en <conjunto de comandos> <comando>
• Por ejemplo, ejecutar copia de seguridad?

Qué investigar ... Comandos CLI para usar ...

¿Cuál es el estado actual de FortiGate? obtener el estado del sistema

¿Cuáles son todos los valores de los atributos de la interfaz del muestre la interfaz del sistema de configuración completa <puerto>
sistema?

¿Cuáles son los valores de atributo no predeterminados muestre la interfaz del sistema <port>
para la interfaz del sistema?

20
Crear un usuario administrativo

Sistema > Administradores

21
Perfiles de administrador: permisos
Sistema > Perfiles de administrador

22
Perfiles de administrador: jerarquía

super_admin custom_profile1 prof_admin

Acceso global completo Acceso global parcial Acceso completo en dominio virtual

Acceso parcial en VDOM

custom_profile2

23
Autenticación de dos factores

Contraseña (un factor)

+
FortiToken (dos factores)

24
Restablecimiento de una contraseña de administrador perdida

Usuario: mantenedor
Contraseña: bcpb <número de serie>
Todas las letras en <número de serie> debe ser mayúsculas, por ejemplo, FGT60

• Todos los modelos de dispositivos FortiGate y algunos otros tipos de dispositivos Fortinet

• Sin procedimiento de mantenimiento en VM, revertir a instantánea o reaprovisionar VM

• Solo después de un ciclo de energía fuerte

• El ciclo suave (reinicio) no funciona por razones de seguridad.

• Solo durante los primeros 60 segundos después bota (varía según el modelo)
• Propina: Copie el número de serie en el búfer del terminal y luego péguelo

• Solo a través del puerto de la consola de hardware

• Requiere acceso físico por razones de seguridad
• Si el cumplimiento / riesgo de acceso físico lo requiere, el mantenedor puede desactivarse
config sys global
establecer administrador-mantenedor deshabilitar
final

25
Acceso administrativo: fuentes confiables
Sistema > Administradores

Si admin1 intenta iniciar sesión en la GUI de FortiGate desde cualquier

IP distinta a 10.0.1.10, ellos reciben este mensaje

26
Acceso administrativo: puertos y contraseña
Sistema > Ajustes
• Los números de puerto son personalizables.

• Se recomienda utilizar solo

acceso seguro (SSH, HTTPS).
• Defecto Tiempo de inactividad son 5 minutos.

27
Acceso administrativo: protocolos
La red > Interfaces
• Habilite protocolos de administración
aceptables en cada interfaz
independientemente:
• IPv4 e IPv6 separados
• Opciones de IPv6 ocultas por defecto
• También protocolos donde FortiGate es la
IP de destino:
• Tela de seguridad:
• CAPWAP
• FortiTelemetría
• Acceso FMG
• FTM
• Contabilidad RADIUS
• Soporte LLDP
• Detección de un Security Fabric FortiGate
ascendente a través de LLDP

28
Funciones ocultas por defecto
• De forma predeterminada, algunas
Sistema > Visibilidad de funciones
funciones como IPv6 están ocultas en la GUI
• Las funciones ocultas no están deshabilitadas

• En Visibilidad de funciones, seleccione si

desea ocultar o mostrar grupos de
funciones que se usan comúnmente juntas.

29
IP de interfaz
• En el modo NAT, las interfaces no se pueden La red > Interfaces
utilizar hasta que tengan una dirección IP: Tenga en cuenta que el Uno-

• Asignado manualmente
Sniffer de brazos es
disponible solo cuando
• Automático editar un
• DHCP sin referencia
• PPPoE interfaz

• Excepción: Sniffer de un brazo

30
Función de interfaz en comparación con alias
La red > Interfaces
• El rol define la configuración de la
interfaz normalmente agrupada:
o Evita una configuración incorrecta accidental
o Cuatro tipos:
• PÁLIDO
• LAN
• DMZ
• Indefinido (mostrar todas las configuraciones)
Alias Papel
o No en la lista de políticas

• Alias es un descriptor amigable para la

Política y objetos > Política de IPv4
interfaz:
o Usado en la lista de políticas para etiquetar
interfaces por propósito

31
Puerta de enlace estática

• Debe ser al menos una puerta de enlace

predeterminada

• Si la interfaz es DHCP o PPPoE, la

puerta de enlace se puede
agregar dinámicamente

La red > Rutas estáticas

32
Agregar un link
• Agrupa varios puertos físicos para
formar un solo punto a punto
canal lógico con mayor ancho
de banda
• Aumenta la redundancia para una mayor
disponibilidad

La red > Interfaces

33
Verificación de conocimientos

1. ¿Cómo restringe los inicios de sesión en FortiGate solo desde direcciones IP específicas?
UNA. Cambiar la dirección IP de la interfaz de administración de FortiGate
B. Configurar host de confianza

2. Como mejor práctica de seguridad al configurar el acceso administrativo a FortiGate,

¿qué protocolo debería deshabilitar?
UNA. Telnet
B. SSH

34
Progreso de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Servidores integrados

Objetivos
• Habilite el servicio DHCP en FortiGate
• Habilite el servicio DNS en FortiGate
• Comprender las posibilidades de configuración y algunas de sus
implicaciones.
FortiGate como servidor DHCP
La red > Interfaces

37
Servidor DHCP: regla de asignación de dirección IP

• Asignar, bloquear o reservar la La red > Interfaces

dirección IP al host
• Para asignar, escriba la dirección MAC y seleccione
el tipo de acción Asignar IP o elija una concesión
DHCP existente
• Para bloquear, escriba la dirección MAC y seleccione el tipo
de acción para bloquear

• Para reservar, escriba la dirección MAC, seleccione el

tipo de acción y luego agregue la dirección IP

• FortiGate usa la dirección MAC del

host para buscar su dirección IP en la
tabla de reservas
• Acciones si se desconoce MAC

38
FortiGate como servidor DNS
• Resuelve las búsquedas de DNS de la red interna:
• Habilitado por interfaz
• No es apropiado para el servicio de Internet debido a la carga y, por lo tanto, no debe estar orientado al público.
• Todas las interfaces de FortiGate pueden compartir una base de datos DNS:
• Puede ser separado por VDOM
• Métodos de resolución:
• Reenviar: retransmite las solicitudes al siguiente servidor (en la configuración de DNS)

• No recursivo: use la base de datos DNS de FortiGate solo para intentar resolver consultas
• Recursivo: use primero la base de datos DNS de FortiGate; retransmitir consultas irresolubles al siguiente servidor (en la configuración de
DNS)

39
 Reenvío de DNS
• El reenvío permite el control de DNS sin la base de datos local de FQDN
• Envía la consulta al servidor DNS externo
La red > Servidores DNS Haga doble clic en el campo de la interfaz o
seleccionar y hacer clic Editar.

Para ver Servidores DNS en La red, debes hacerlo visible en

Sistema > Visibilidad de funciones > Base de datos DNS

40
Base de datos DNS: configuración
• Agregar zonas DNS:
• Cada zona tiene su propio nombre de dominio
• RFC 1034 y 1035
• Agregue entradas de DNS a cada zona:
• Nombre de host
• Dirección IP a la que se resuelve
• Tipos admitidos:
• Dirección IPv4 (A) o dirección IPv6 (AAAA)
• Servidor de nombres (NS)

• Nombre canónico (CNAME)

• Servidor de intercambio de correo (MX)

• IPv4 (PTR) o IPv6 (PTR)

41
Verificación de conocimientos

1. Al configurar FortiGate como servidor DHCP, para restringir el acceso por

dirección MAC, ¿qué Asignar IP opción hacer?
UNA. Asigna una dirección IP específica a una dirección MAC
B. Asigna dinámicamente una IP a una dirección MAC

2. Al configurar FortiGate como servidor DNS, ¿qué método de resolución utiliza la base de
datos DNS de FortiGate solo para intentar resolver consultas?
UNA. No recursivo
B. Recursivo

42
Progreso de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Mantenimiento fundamental

Objetivos
• Hacer una copia de seguridad y restaurar los archivos de configuración del sistema

• Comprender los requisitos de restauración para texto sin formato y archivos de

configuración cifrados.

• Identificar la versión de firmware actual

• Actualización de firmware

• Actualización de firmware
Archivo de configuración: copia de seguridad y restauración

• La configuración se puede guardar en un dispositivo externo

• Cifrado opcional
• Puede realizar copias de seguridad automáticamente
• Al cerrar la sesión

• No disponible en todos los modelos

• Para restaurar una configuración anterior, cargue el archivo

• Reinicia FortiGate

45
Formato de archivo de configuración

Texto sin formato

Modelo
# config-version = FGVM64 - 6.4.0 - FW- build1579 - 191203: opmode = 0: vdom = 0: usuario = administrador
# conf_file_ver = 204466213140978
# buildno = 1519
# global_vdom = 1 Construir

número Construir

Versión principal del firmware número

• Solo configuraciones importantes y no predeterminadas (tamaño de archivo más pequeño) Cifrado

• El encabezado muestra el modelo y el firmware del dispositivo
• Después del encabezado, el archivo cifrado no se puede leer # FGBK | 3 | FGVM64 | 6 | 04 |1579|

• Restaurando la configuración
• Cifrado? Se requiere el mismo dispositivo / modelo + compilación + contraseña
• ¿Sin cifrar? Se requiere el mismo modelo
Versión principal del firmware
Modelo

46
Actualización de firmware
Sistema > Firmware
• La versión de firmware actual se
puede ver en el tablero o en Sistema
> Firmware (o en la CLI: obtener el
estado del sistema)
• Si hay una versión de firmware
actualizada, se le notificará
• El firmware se puede actualizar haciendo clic en
Cargar firmware o seleccionando la sección de
opciones de actualización

• Asegúrese de leer las notas de la versión

para verificar la ruta de actualización y otros
detalles

47
Actualizar el proceso de firmware

1. Haga una copia de seguridad de la configuración (copia de seguridad de configuración completa en GUI o CLI)

2. Descargue una copia del firmware actual, en caso de que sea necesaria una reversión

3. Tener acceso físico, o un servidor terminal conectado a la consola local, en caso de que sea
necesaria una reversión
4. Leer el Notas de lanzamiento; Incluyen la ruta de actualización y otra
información útil.
5. Realizar la actualización

48
Proceso de degradación de firmware

1. Obtenga el archivo de configuración previa a la actualización

2. Descargue una copia del firmware actual, en caso de que sea necesaria una reversión

3. Tener acceso físico, o un servidor terminal conectado a la consola local, en caso de que sea
necesaria una reversión
4. Leer el Notas de lanzamiento (¿La degradación conserva la configuración?)
5. Bajar el firmware
6. Si es necesario, cargue la configuración que coincida con la versión de firmware

49
Verificación de conocimientos

1. Al restaurar un archivo de configuración del sistema cifrado, además de necesitar el modelo de

FortiGate y la versión de firmware desde el momento en que se produjo el archivo de
configuración, ¿qué debe proporcionar también?
UNA. La contraseña para descifrar el archivo.
B. La clave de descifrado privada para descifrar el archivo.

2. ¿Qué documento debería consultar para aumentar las posibilidades de éxito antes de
actualizar o degradar el firmware?
UNA. Libro de cocina

B. Notas de lanzamiento

50
Progreso de la lección

Funciones de alto nivel

Decisiones de configuración

Administración básica

Servidores integrados

Mantenimiento fundamental
Revisar

✓ Identifique las características, los servicios y los servidores integrados clave de FortiGate
✓ Identificar las diferencias entre los dos modos operativos y la
relación entre FortiGate y FortiGuard
✓ Identificar los valores predeterminados de fábrica, la configuración de red básica y los puertos de la consola.

✓ Ejecutar la administración básica, como la creación de permisos y usuarios

administrativos
✓ Ejecute tareas de copia de seguridad y restauración y analice los requisitos
para restaurar un archivo de configuración cifrado
✓ Iniciar una actualización y degradación del firmware