UNIVERSIDAD GERARDO BARRIOS

SEDE CENTRAL SAN MIGUEL /CENTRO REGIONAL USULUTAN

Datos Generales

Facultad Ciencia y Tecnología

Asignatura Seguridad Informática

Docente Edwin Portillo

No. de Unidad 3

Contenido a desarrollar Alta Disponibilidad Fortinet

COMPETENCIAS DE LA ASIGNATURA

Identifica pruebas y prácticas de ingeniería social considerando las pruebas de

conceptos realizados por expertos, trabajando en equipos.

Desarrolla procedimientos y pruebas de auditorías basándose en la infraestructura

empresarial y aplicándose las políticas y estándares internacionales, trabajando en
pequeños grupos.

Elabora listas de riesgos de seguridad de la información junto a las políticas y

procedimientos que deben ser implementados a partir de los conceptos básicos de
seguridad informática, trabajando individualmente.
 SEMANA 18: DEL 21 DE NOVIEMBRE AL 27 DE NOVIEMBRE

CONTENIDO

La capacidad de trabajar en clúster de alta disponibilidad (HA) dota a los equipos

FortiGate de redundancia ante fallos. Además el clúster puede configurarse en modo
activo-activo haciendo balanceo de carga del tráfico, en modo activo/pasivo en la
que un único equipo procesa el tráfico de la red y es monitorizado por los demás para
sustituirle en caso de caída, o en modo Virtual Cluster (solo para 2 nodos), que permite
establecer diferentes clusters activo/pasivo a nivel de VDOM.
Todos los modelos de FortiGate pueden ser configurados en clúster, proporcionando
escenarios de alta disponibilidad mediante la utilización de varios equipos
redundantes entre sí, empleando un protocolo específico para la sincronización del
clúster (Fortigate Cluster Protocol / FGCP)
FGCP está diseñado para poder formar clúster de hasta 32 equipos, si bien es
recomendable no utilizar más de 4.
Cada miembro del clúster debe ser del mismo modelo y revisión de hardware así
como tener instalada la misma versión del Sistema Operativo FortiOS (firmware)
Otras características del HA en FortiGate:

• Modo NAT y modo transparente

• Protocolo FRUP (Fortinet Redundant UTM Protocol) disponible en FortiGate 100D
• Soporte de sincronización de la configuración en modo standalone
(sincronizacion sin clúster)
• Soporte HA para autenticación VPN SSL

HA Heartbeat
Los miembros del clúster se comunican entre ellos a través de un protocolo propietario
denominado HA Heartbeat. Este protocolo se utiliza para:
• Sincronizar la configuración entre los equipos
• Sincronizar la tabla de sesiones activas tanto de firewall como de VPN
• Informar a los otros miembros del clúster del estado del equipo y sus enlaces
Los interfaces empleados para el intercambio de información entre los equipos del
clúster son definidos por el administrador del equipo, si bien no existe la necesidad de
que sean enlaces dedicados a esta función y permiten que dichos enlaces sean
empleados para transmitir tráfico de producción, es recomendable establecer
interfaces dedicados siempre que sea posible.
Igualmente es recomendable que los interfaces empleados para la transmisión de
esta información sean configurados en modo redundante, es decir, que el
administrador defina varios enlaces para realizar esta función, de modo que si alguno
fallara la información pasaría a transmitirse de forma automática por otro enlace al
que se le haya asignado esta tarea.

Dado que los equipos que forman parte del clúster se intercambian información sobre
las sesiones Firewall y VPN activas, la caída de un equipo o un enlace no afecta a
estas sesiones, realizándose una protección ante fallos completamente transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar con
objeto de determinar cuándo debe cambiarse el equipo que actúa como activo en
el cluster, en el supuesto caso de una caída de alguno de los interfaces monitorizados.

Modos Activo-Activo y Activo-Pasivo

Los equipos configurados en alta disponibilidad pueden trabajar en modo activo-
activo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados
tanto en modo transparente como en modo NAT (router).
 Configuración de Alta Disponibilidad
Un clúster activo-pasivo consiste en un equipo FortiGate primario que procesa todo el
tráfico y uno o más equipos subordinados que están conectados a la red y al equipo
primario, pero no procesan tráfico alguno. No obstante los nodos secundarios pueden
tener una copia de la tabla de sesiones si se habilita la opción “Enable Session Pick-
up”
El modo activo-activo permite balancear la carga de tráfico entre las diferentes
unidades que componen el clúster. Cada FortiGate procesa activamente las
conexiones existentes y monitoriza el estado de los otros nodos del clúster. El nodo
primario procesa el tráfico y redistribuye el tráfico entre los diferentes equipos que
forman parte del clúster.
Virtual Clustering
Cuando 2 equipos configurados en alta disponibilidad existen diferentes Dominios
Virtuales definidos, existe la posibilidad de establecer un balanceo de carga entre los
equipos que forman el clúster, configurándolos en modo activo-pasivo pero
estableciendo diferentes nodos activos para cada grupo de Dominios Virtuales o
VDOMs. De este modo, el tráfico de un grupo de dominios virtuales será procesado
por uno de los nodos, mientras que el otro grupo de VDOMs enviará su tráfico hacia
el otro nodo, estableciéndose de este modo un balanceo de carga en función del
dominio virtual.

Compartir solo la tabla de sesiones

Este modo de configuración especial permite compartir la tabla de sesiones entre dos
equipos FortiGate sin necesidad de que estos formen un clúster entre sí. También es
posible configurar este modo de manera que los equipos FortiGate compartan un
único fichero de configuración, aportando al administrador la posibilidad de realizar
los cambios de forma centralizada, como si de un clúster se tratara, pero sin existir
mecanismos de monitorización entre los nodos, como si ocurre en un clúster
tradicional FGCP.
VRRP (Virtual Router Redundancy Protocol)
Es posible configurar el protocolo VRRP entre equipos FortiGate e incluso entre equipos
de otro fabricante y un dispositivo FortiGate. Este protocolo solo trabaja a nivel de
routing, por lo que no es posible compartir la tabla de sesiones cuando se hace uso
del mismo.

Importante: Descargue e instala la imagen de Fortinet según le convenga.

Imagen qemu para Eve-ng: https://bit.ly/3g6KB1R
Imagen VMWare: https://bit.ly/3UUFh0A
Imagen VirtualBox: https://bit.ly/3EvVAvu

ACTIVIDAD DE EVALUACIÓN DE LA SEMANA

Nombre de la Actividad Fortinet
Tipo de Actividad Buzón de tarea
Tipo de Participación Individual
• Lea y analice el material proporcionado de la semana.
• El trabajo es de carácter individual y deberá completarlo
en la sesión práctica presencial.
• En caso de dudas utilice el Foro Consultas de la semana
Instrucciones para la o enviar un mensaje a través de la plataforma.
actividad • Para participar en la sesión de videoconferencia deberá
consultar el enlace de la clase teórica en el contenido de
la semana. Recuerde que su asistencia a las sesiones es de
carácter importante, vinculante y pletórico con las
actividades de la materia.
Última fecha para presentar el informe es el domingo 27 de
Fecha de Entrega
Noviembre a las 11:59pm.
✓ Puntualidad: 20%
Ponderación ✓ Funcionamiento: 60%
✓ Documentación detallada: 20%
 RECURSOS COMPLEMENTARIOS
Recurso Titulo Cita Referencial
Sitio Web Cuadrante de Gartner https://bit.ly/3Afit3I

Sitio Web Documents library Fortinet https://docs.fortinet.com/

Sitio Web FortiClient https://bit.ly/3ULZN3u