NS4 Security 201-250

Machine Translated by Google
Traducción de direcciones de red (NAT)
NO REIMPRIMIR
© FORTINET
Utilice las siguientes prácticas recomendadas al implementar NAT:
• Evite configurar incorrectamente un rango de grupo de IP:

• Vuelva a verificar las direcciones IP de inicio y finalización de cada
conjunto de direcciones IP. • Asegúrese de que el conjunto de IP no se superponga con las direcciones asignadas a las interfaces de FortiGate o a cua
hosts en redes conectadas directamente.
•
Si tiene usuarios internos y externos que acceden a los mismos servidores, use DNS dividido para ofrecer una IP interna a
los usuarios internos para que no tengan que usar el VIP externo.
• No configure una regla NAT para el tráfico entrante a menos que lo requiera una aplicación. Por ejemplo, si hay
una regla NAT coincidente para el tráfico SMTP entrante, el servidor SMTP podría actuar como una retransmisión abierta.
• Debe programar una ventana de mantenimiento para cambiar del modo NAT central al modo NAT de política de firewall, o del modo NAT de
política de firewall al modo NAT central. Cambiar entre los modos NAT puede crear una interrupción de la red.
Guía de estudio de FortiGate Security 7.0 201

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo comprender y configurar NAT para que pueda usarlo en su
red.

Machine Translated by Google Autenticación de cortafuegos
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá a usar la autenticación en las políticas de firewall de FortiGate.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Autenticación de cortafuegos
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en los métodos de autenticación de firewall, podrá describir e identificar los métodos admitidos de
autenticación de firewall disponibles en FortiGate.

NO REIMPRIMIR
© FORTINET
El firewall tradicional otorga acceso a la red mediante la verificación de la dirección IP y el dispositivo de

origen. Esto es inadecuado y puede representar un riesgo de seguridad, porque el firewall no puede determinar quién
está usando el dispositivo al que otorga acceso.
FortiGate incluye autenticación de usuarios y grupos de usuarios. Como resultado, puede seguir a las personas en
varios dispositivos.
Cuando el acceso está controlado por un usuario o grupo de usuarios, los usuarios deben autenticarse ingresando
credenciales válidas (como nombre de usuario y contraseña). Después de que FortiGate valida al usuario, FortiGate
aplica políticas y perfiles de firewall para permitir o denegar el acceso a recursos de red específicos.

NO REIMPRIMIR
© FORTINET
FortiGate admite múltiples métodos de autenticación de firewall:
• Autenticación de contraseña local

• Autenticación de contraseña basada en servidor (también llamada autenticación de contraseña remota)
• Autenticación de dos factores
Este es un sistema de autenticación que se habilita sobre un método existente; no se puede habilitar sin
configurar primero uno de los otros métodos. Requiere algo que sepa, como una contraseña, y algo que tenga,
como un token o certificado.
Durante esta lección, aprenderá en detalle cada método de autenticación de firewall.

NO REIMPRIMIR
© FORTINET
El método más simple de autenticación es la autenticación de contraseña local. La información de la cuenta de usuario
(nombre de usuario y contraseña) se almacena localmente en el dispositivo FortiGate. Este método funciona bien para una
sola instalación de FortiGate.
Las cuentas locales se crean en la página Definición de usuario, donde un asistente lo guía a través del proceso. Para la
autenticación de contraseña local, seleccione Usuario local como tipo de usuario y cree un nombre de usuario y una
contraseña. Si lo desea, también puede agregar información de correo electrónico y SMS a la cuenta, habilitar la
autenticación de dos factores y agregar el usuario a un grupo de usuarios preconfigurado.
Después de crear el usuario, puede agregar el usuario, o cualquier grupo de usuarios preconfigurado del que el
usuario sea miembro, a una política de firewall para autenticarse. Aprenderá sobre grupos de usuarios y políticas de firewall
en esta lección.

NO REIMPRIMIR
© FORTINET
Cuando se utiliza la autenticación de contraseña basada en servidor, un servidor de autenticación remoto autentica a los usuarios. Este
método es deseable cuando varios dispositivos FortiGate necesitan autenticar a los mismos usuarios o grupos de usuarios, o cuando se
agrega FortiGate a una red que ya contiene un servidor de autenticación.
Cuando utiliza un servidor de autenticación remota para autenticar a los usuarios, FortiGate envía las credenciales ingresadas por
el usuario al servidor de autenticación remota. El servidor de autenticación remota responde indicando si las credenciales son
válidas o no. Si es válido, FortiGate consulta su configuración para hacer frente al tráfico.
Tenga en cuenta que es el servidor de autenticación remota, no FortiGate, el que evalúa las credenciales del usuario.
Cuando se utiliza el método de autenticación de contraseña basado en servidor, FortiGate no almacena toda (o, en el caso de algunas
configuraciones, ninguna) la información del usuario localmente.

NO REIMPRIMIR
© FORTINET
FortiGate brinda soporte para muchos servidores de autenticación remotos, incluidos POP3, RADIUS, LDAP y TACACS+.
POP3 es el único servidor que requiere una dirección de correo electrónico como credencial de inicio de sesión. Todos los demás
servidores de autenticación remota utilizan el nombre de usuario. Algunos servidores POP3 requieren el correo electrónico completo con
dominio (usuario@ejemplo.com), otros requieren solo el sufijo, mientras que otros aceptan ambos formatos. Este requisito está
determinado por la configuración del servidor y no es una configuración en FortiGate. Puede configurar la autenticación POP3 solo a través
de la CLI. Tenga en cuenta que puede configurar LDAP para validar con el correo electrónico, en lugar del nombre de usuario.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiGate para usar servidores de autenticación externos de las siguientes dos maneras:
• Crear cuentas de usuario en FortiGate. Con este método, debe seleccionar el tipo de servidor de autenticación remota
(RADIUS, TACACS+ o LDAP), dirigir FortiGate a su servidor de autenticación remota preconfigurado y agregar el usuario
a un grupo adecuado. Esto generalmente se hace cuando desea agregar autenticación de dos factores a sus usuarios
remotos. Recuerde, POP3 solo se puede configurar a través de la CLI.
• Agregar el servidor de autenticación remota a los grupos de usuarios. Con este método, debe crear un grupo de usuarios
y agregar el servidor remoto preconfigurado al grupo. En consecuencia, cualquier usuario que tenga una cuenta en el
servidor de autenticación remota puede autenticarse. Si utiliza otros tipos de servidor remoto, como un servidor LDAP,
como servidor de autenticación remota, puede controlar el acceso a grupos LDAP específicos, tal como se define en el
servidor LDAP.
De manera similar a la autenticación de contraseña local, debe agregar el grupo de usuarios preconfigurado (del cual el
usuario es miembro) a una política de firewall para poder autenticarse. Aprenderá acerca de los grupos de usuarios y las
políticas de firewall más adelante en esta lección.

NO REIMPRIMIR
© FORTINET
La autenticación de usuario tradicional requiere su nombre de usuario más algo que sepa, como una contraseña. La
debilidad de este método tradicional de autenticación es que si alguien obtiene su nombre de usuario, solo necesita su
contraseña para comprometer su cuenta. Además, dado que las personas tienden a usar la misma contraseña en varias
cuentas (algunos sitios tienen más vulnerabilidades de seguridad que otros), las cuentas son vulnerables a los ataques,
independientemente de la seguridad de la contraseña.
La autenticación de dos factores, por otro lado, requiere algo que sepa, como una contraseña, y algo que tenga,
como un token o certificado. Debido a que este método le da menos importancia a las contraseñas, a menudo vulnerables,
hace que comprometer la cuenta sea más complejo para un atacante. Puede usar la autenticación de dos factores en
FortiGate con cuentas de usuario y de administrador. El usuario (o grupo de usuarios al que pertenece el usuario) se agrega a
una política de firewall para autenticarse. Tenga en cuenta que no puede usar la autenticación de dos factores con proxies
explícitos.
Puede usar contraseñas de un solo uso (OTP) como su segundo factor. Las OTP son más seguras que las
contraseñas estáticas porque el código de acceso cambia a intervalos regulares y es válido solo por un corto período de tiempo.
Una vez que usa la OTP, no puede volver a usarla. Entonces, incluso si es interceptado, es inútil. FortiGate puede entregar
OTP a través de tokens, como FortiToken 200 (token de hardware) y FortiToken Mobile (token de software), así como a través
de correo electrónico o SMS. Para entregar una OTP por correo electrónico o SMS, la cuenta de usuario debe contener
información de contacto del usuario.
Los FortiTokens y OTP entregados por correo electrónico y SMS se basan en el tiempo. FortiTokens, por ejemplo, genera
una nueva contraseña de seis dígitos cada 60 segundos (de forma predeterminada). Se recomienda encarecidamente un
servidor NTP para garantizar que las OTP permanezcan sincronizadas. FortiToken Mobile Push permite a los usuarios aceptar
la solicitud de autorización desde su aplicación móvil FortiToken, sin necesidad de ingresar un código adicional.

NO REIMPRIMIR
© FORTINET
Los tokens utilizan un algoritmo específico para generar una OTP. El algoritmo consta de:
• Una semilla: un número único generado aleatoriamente que no cambia con el tiempo
• La hora: obtenida de un reloj interno preciso
Tanto la semilla como el tiempo pasan por un algoritmo que genera una OTP (o código de acceso) en el token. El
código de acceso tiene una vida útil corta, generalmente medida en segundos (60 segundos para FortiToken 200,
posiblemente más o menos para otros generadores de claves RSA). Una vez que finaliza la vida útil, se genera un nuevo código de acceso
Cuando se usa la autenticación de dos factores con un token, el usuario primero debe iniciar sesión con una contraseña
estática seguida del código de acceso generado por el token. Un servidor de validación (FortiGate) recibe las credenciales
del usuario y primero valida la contraseña estática. El servidor de validación luego procede a validar el código de acceso. Lo
hace regenerando el mismo código de acceso utilizando la semilla y la hora del sistema (que está sincronizada con la del
token) y comparándola con la recibida del usuario. Si la contraseña estática es válida y la OTP coincide, el usuario se autentica
correctamente. Nuevamente, tanto el token como el servidor de validación deben usar la misma semilla y tener los relojes del
sistema sincronizados. Como tal, es crucial que configure la fecha y la hora correctamente en FortiGate, o que lo vincule a un
servidor NTP (lo cual se recomienda).

NO REIMPRIMIR
© FORTINET
Puede agregar un FortiToken 200 o FortiToken Mobile a FortiGate en la página de FortiTokens.
Un token duro tiene un número de serie que le proporciona a FortiGate detalles sobre el valor semilla inicial. Si
tiene varios tokens duros para agregar, puede importar un archivo de texto, donde se enumera un número de serie por línea.
Un token de software requiere un código de activación. Tenga en cuenta que cada FortiGate (y FortiGate VM)
proporciona dos activaciones gratuitas de FortiToken Mobile. Debe comprar tokens adicionales de Fortinet.
No puede registrar el mismo FortiToken en más de un FortiGate. Si desea utilizar el mismo FortiToken para la
autenticación en varios dispositivos FortiGate, debe utilizar un servidor de validación central, como FortiAuthenticator.
En ese caso, los FortiTokens se registran y asignan a los usuarios en FortiAuthenticator, y FortiGate usa
FortiAuthenticator como su servidor de validación.
Una vez que haya registrado los dispositivos FortiToken con FortiGate, puede asignarlos a los usuarios para que los
usen como su método de autenticación de segundo factor. Para asignar un token, edite (o cree) la cuenta de usuario y
seleccione Habilitar autenticación de dos factores. En la lista desplegable Token, seleccione el token registrado que desea asignar.

NO REIMPRIMIR
© FORTINET
Todos los métodos de autenticación que ha aprendido (autenticación de contraseña local, autenticación basada en servidor
y autenticación de dos factores) usan autenticación activa. La autenticación activa significa que se solicita a los usuarios que ingresen
manualmente sus credenciales de inicio de sesión antes de que se les conceda acceso.
Pero no todos los usuarios se autentican de la misma manera. A algunos usuarios se les puede otorgar acceso de forma transparente,
porque la información del usuario se determina sin pedirle al usuario que ingrese sus credenciales de inicio de sesión. Esto se conoce
como autenticación pasiva. La autenticación pasiva se produce con el método de inicio de sesión único para la autenticación de contraseña
basada en servidor: FSSO, RSSO y NTLM.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de la autenticación de firewall.
Ahora, aprenderá acerca de los servidores de autenticación remota.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en servidores de autenticación remotos, podrá configurar la autenticación de firewall utilizando
cuentas de usuario remotas definidas en un servidor de autenticación remoto.

NO REIMPRIMIR
© FORTINET
El Protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación utilizado para acceder y mantener
servicios de información de directorio distribuidos.
El protocolo LDAP se usa para mantener datos de autenticación que pueden incluir departamentos, personas, grupos
de personas, contraseñas, direcciones de correo electrónico e impresoras. LDAP consta de un esquema de
representación de datos, un conjunto de operaciones definidas y una red de solicitud y respuesta.
El protocolo LDAP incluye una serie de operaciones que un cliente puede solicitar, como buscar, comparar y agregar o
eliminar una entrada. El enlace es la operación en la que el servidor LDAP autentica al usuario. Si el usuario se autentica
correctamente, la vinculación le permite acceder al servidor LDAP, según los permisos de ese usuario.

NO REIMPRIMIR
© FORTINET
La raíz del árbol de directorios LDAP representa a la propia organización y se define como un componente de dominio (DC). El DC suele ser
un dominio DNS, como ejemplo.com. (Debido a que el nombre contiene un punto, se escribe en dos partes separadas por una coma:
dc=example,dc=com). Puede agregar entradas adicionales, conocidas como objetos, a la jerarquía según sea necesario. Generalmente, dos
tipos de objetos componen la mayoría de las entradas: contenedores y hojas.
Los contenedores son objetos que pueden incluir otros objetos, de forma similar a una carpeta en un sistema de archivos. Los contenedores
de ejemplo incluyen:
• País (representado como c)
• Unidad organizativa (representada como ou)
• Organización (representada como o)
Las hojas son objetos al final de una rama y no tienen objetos subordinados. Las hojas de ejemplo incluyen:
• ID de usuario (representado como uid)
• Nombre común (representado como cn)

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una jerarquía LDAP simple.
Debe configurar el dispositivo FortiGate (que actúa como un cliente LDAP) solicitando autenticación para dirigir su
solicitud a la parte de la jerarquía donde existen registros de usuario: ya sea el componente de dominio o un contenedor
específico donde existe el registro. Al igual que los usuarios, los contenedores tienen DN y, en este ejemplo, el DN es
ou=personas,dc=ejemplo,dc=com.
La solicitud de autenticación también debe especificar la entrada de la cuenta de usuario. Esta puede ser una
de muchas opciones, incluido el nombre común (cn) o, en una red informática, el ID de usuario (uid), que es la
información que usan los usuarios para iniciar sesión. Tenga en cuenta que si el nombre del objeto incluye un espacio,
como John Smith, debe encerrar el texto entre comillas dobles cuando realice pruebas en la CLI. Por ejemplo: cn=“Juan Smith”.

NO REIMPRIMIR
© FORTINET
En la página Servidores LDAP, puede configurar FortiGate para que apunte a un servidor LDAP para la autenticación
de contraseña basada en el servidor. La configuración depende en gran medida del esquema del servidor y la configuración de seguridad.
Windows Active Directory (AD) es muy común.
La configuración del identificador de nombre común es el nombre de atributo que utiliza para encontrar el nombre de
usuario. Algunos esquemas le permiten usar el atributo uid. AD suele utilizar sAMAccountName o cn, pero también puede
utilizar otros.
La configuración de nombre distinguido identifica la parte superior del árbol donde se encuentran los usuarios, que
generalmente es el valor dc; sin embargo, puede ser un contenedor específico o ou. Debe utilizar el formato X.500 o LDAP correcto.
La configuración del tipo de enlace depende de la configuración de seguridad del servidor LDAP. Debe usar la
configuración Regular (para especificar un enlace regular) si busca en varios dominios y necesita las credenciales de un
usuario autorizado para realizar consultas LDAP (por ejemplo, un administrador LDAP).
Si desea tener una conexión segura entre FortiGate y el servidor LDAP remoto, habilite Conexión segura e incluya el
protocolo del servidor LDAP (LDAPS o STARTTLS), así como el certificado CA que verifica el certificado del servidor.
Tenga en cuenta que el botón Probar conectividad solo prueba si la conexión al servidor LDAP es exitosa o no. Para probar
si las credenciales de un usuario pueden autenticarse correctamente, puede usar el botón Probar credenciales de usuario o
puede usar la CLI.

NO REIMPRIMIR
© FORTINET
Utilice el comando diagnostic test authserver en la CLI para probar si las credenciales de un usuario pueden autenticarse
correctamente. Desea asegurarse de que la autenticación sea exitosa antes de implementarla en cualquiera de sus políticas de firewall.
La respuesta del servidor informa sobre el éxito, el fracaso y los detalles de pertenencia al grupo.

NO REIMPRIMIR
© FORTINET
RADIUS es muy diferente de LDAP, porque no hay que tener en cuenta una estructura de árbol de directorios. RADIUS es
un protocolo estándar que proporciona servicios de autenticación, autorización y contabilidad (AAA).
Cuando un usuario se está autenticando, el cliente (FortiGate) envía un paquete de SOLICITUD DE ACCESO al servidor
RADIUS. La respuesta del servidor es una de las siguientes:
• ACCESO-ACEPTAR, lo que significa que las credenciales de usuario están bien

• ACCESO-RECHAZO, lo que significa que las credenciales son incorrectas
• DESAFÍO DE ACCESO, lo que significa que el servidor está solicitando un identificador de contraseña, token o
certificado secundario. Esta suele ser la respuesta del servidor cuando se utiliza la autenticación de dos factores.
No todos los clientes RADIUS admiten el método de desafío RADIUS.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiGate para que apunte a un servidor RADIUS para la autenticación de contraseña basada en servidor a través de la
página Servidores RADIUS.
La configuración IP/Nombre del servidor primario es la dirección IP o FQDN del servidor RADIUS.
La configuración del secreto del servidor principal es el secreto que se configuró en el servidor RADIUS para permitir consultas
remotas desde este cliente. Se pueden definir servidores de respaldo (con secretos separados) en caso de que falle el servidor principal.
Tenga en cuenta que FortiGate debe aparecer en el servidor RADIUS como cliente de ese servidor RADIUS o, de lo contrario, el servidor
no responderá a las consultas realizadas por FortiGate.
La configuración del método de autenticación se refiere al protocolo de autenticación que admite el servidor RADIUS.
Las opciones incluyen chap, pap, mschap y mschap2. Si selecciona Predeterminado, FortiGate usará pap, mschap2 y chap (en ese
orden).
A diferencia de las configuraciones de LDAP, el botón Probar conectividad que se usa en el ejemplo que se muestra en esta diapositiva
puede probar las credenciales reales del usuario, pero, al igual que LDAP, también puede probar esto usando la CLI.
La opción Incluir en cada grupo de usuarios agrega el servidor RADIUS y todos los usuarios que pueden autenticarse contra él, a cada grupo
de usuarios creado en FortiGate. Por lo tanto, debe habilitar esta opción solo en escenarios muy específicos
(por ejemplo, cuando solo los administradores pueden autenticarse en el servidor RADIUS y las políticas se ordenan de menos restrictivas
a más restrictivas).

NO REIMPRIMIR
© FORTINET
Probar RADIUS es muy similar a probar LDAP. Utilice el comando diagnostic test authserver en la CLI para probar si las credenciales de un
usuario pueden autenticarse correctamente. Nuevamente, debe hacer esto para asegurarse de que la autenticación sea exitosa antes de
implementarla en cualquiera de sus políticas de firewall.
Al igual que LDAP, informa sobre el éxito, el fracaso y los detalles de pertenencia a grupos, según la respuesta del servidor.
La solución de problemas más profunda generalmente requiere acceso al servidor RADIUS.
Tenga en cuenta que Fortinet tiene un diccionario de atributos específicos del proveedor (VSA) para identificar los atributos RADIUS propiedad
de Fortinet. Esta capacidad le permite ampliar la funcionalidad básica de RADIUS. Puede obtener el diccionario VSA de Fortinet en la base de
conocimiento de Fortinet (kb.fortinet.com).

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de los servidores de autenticación remota.
Ahora, aprenderá acerca de los grupos de usuarios.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en grupos de usuarios, podrá configurar grupos de usuarios para administrar de manera eficiente las políticas
de firewall.

NO REIMPRIMIR
© FORTINET
FortiGate permite a los administradores asignar usuarios a grupos. Por lo general, los grupos se utilizan para administrar
de manera más efectiva a las personas que tienen algún tipo de relación compartida. Es posible que desee agrupar a los
empleados por área empresarial, como finanzas o recursos humanos, o por tipo de empleado, como contratistas o invitados.
Después de crear grupos de usuarios, puede agregarlos a las políticas de firewall. Esto le permite controlar el acceso a los
recursos de la red, porque las decisiones de política se toman en el grupo como un todo. Puede definir grupos de usuarios
locales y remotos en un dispositivo FortiGate. Hay cuatro tipos de grupos de usuarios:
• Cortafuegos
• Huésped
• Inicio de sesión único de Fortinet (FSSO)
• Inicio de sesión único de RADIUS (RSSO)
Los grupos de usuarios de firewall en FortiGate no necesitan coincidir con ningún tipo de grupo que ya exista en un servidor
externo, como un servidor LDAP. Los grupos de usuarios de cortafuegos existen únicamente para facilitar la configuración de
las políticas de cortafuegos.
La mayoría de los tipos de autenticación tienen la opción de tomar decisiones basadas en el usuario individual, en lugar de
solo en grupos de usuarios.

NO REIMPRIMIR
© FORTINET
Los grupos de usuarios invitados son diferentes de los grupos de usuarios de cortafuegos porque contienen exclusivamente
cuentas de usuarios invitados temporales (toda la cuenta, no solo la contraseña). Los grupos de usuarios invitados se utilizan
más comúnmente en redes inalámbricas. Las cuentas de invitados caducan después de un período de tiempo predeterminado.
Los administradores pueden crear manualmente cuentas de invitados o crear muchas cuentas de invitados a la vez utilizando
ID de usuario y contraseñas generadas aleatoriamente. Esto reduce la carga de trabajo del administrador para eventos grandes.
Una vez creado, puede agregar cuentas al grupo de usuarios invitados y asociar el grupo con una política de firewall.
Puede crear administradores de gestión de invitados que solo tengan acceso para crear y administrar cuentas de usuarios
invitados.

NO REIMPRIMIR
© FORTINET
Puede configurar grupos de usuarios en la página Grupos de usuarios. Debe especificar el tipo de grupo de usuarios y agregar
usuarios al grupo. Dependiendo del grupo que cree, necesitará diferentes configuraciones. Para el grupo de usuarios del cortafuegos,
por ejemplo, los miembros pueden ser usuarios locales, usuarios del mismo nivel de PKI y usuarios de uno o más servidores de
autenticación remotos. Si su servidor de autenticación remota es un servidor LDAP, puede seleccionar grupos LDAP específicos para
agregar a su grupo de usuarios, como se define en el servidor LDAP. Tenga en cuenta que también puede seleccionar grupos RADIUS,
pero esto requiere una configuración adicional en su servidor RADIUS y FortiGate (consulte la Base de conocimiento de Fortinet en
kb.fortinet.com).
Los grupos de usuarios simplifican su configuración si desea tratar a usuarios específicos de la misma manera, por ejemplo, si desea
proporcionar acceso a los mismos recursos de red a todo el departamento de capacitación. Si desea tratar a todos los usuarios de manera
diferente, debe agregar a todos los usuarios a las políticas de firewall por separado.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de los grupos de usuarios.
Ahora, aprenderá sobre el uso de políticas de firewall para la autenticación.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia con las políticas de firewall, podrá configurar políticas de firewall para aplicar la autenticación en usuarios y
grupos de usuarios específicos.

NO REIMPRIMIR
© FORTINET
Una política de firewall consta de reglas de acceso e inspección (conjuntos de instrucciones compartimentadas) que le indican a
FortiGate cómo manejar el tráfico en la interfaz cuyo tráfico filtran. Después de que el usuario realiza un intento de conexión inicial,
FortiGate verifica las políticas del firewall para determinar si acepta o deniega la sesión de comunicación. Sin embargo, una política
de firewall también incluye una serie de otras instrucciones, como las que se ocupan de la autenticación. Puede usar la fuente de una
política de firewall para este propósito. El origen de una política de firewall debe incluir la dirección de origen (dirección IP), pero también
puede incluir el usuario y el grupo de usuarios. De esta forma, cualquier usuario o grupo de usuarios que esté incluido en la definición de
origen de la política de firewall puede autenticarse correctamente.
Los objetos de usuario y grupo de usuarios pueden consistir en cuentas de firewall locales, cuentas de servidores externos, usuarios de
PKI y usuarios de FSSO.

NO REIMPRIMIR
© FORTINET
Una política de firewall también verifica el servicio para transportar los protocolos nombrados o el grupo de protocolos.
No se permite ningún servicio (con la excepción de DNS) a través de la política de firewall antes de que el usuario se
autentique correctamente. HTTP generalmente usa DNS para que las personas puedan usar nombres de dominio para sitios
web, en lugar de su dirección IP. El DNS está permitido porque es un protocolo base y lo más probable es que sea necesario
para ver inicialmente el tráfico del protocolo de autenticación adecuado. La resolución del nombre de host es casi siempre un requisito pa
Sin embargo, el servicio DNS aún debe estar definido en la política como permitido, para que se apruebe.
En el ejemplo que se muestra en esta diapositiva, la secuencia de políticas 1 (Full_Access) permite a los usuarios
usar servidores DNS externos para resolver nombres de host, antes de una autenticación exitosa. El DNS también está
permitido si la autenticación no tiene éxito, porque los usuarios deben poder intentar autenticarse nuevamente. Cualquier
servicio que incluya DNS funcionaría de la misma manera, como el servicio TODO predeterminado.
El servicio HTTP es el puerto TCP 80 y no incluye DNS (puerto UDP 53).

NO REIMPRIMIR
© FORTINET
Además del servicio DNS, la política de firewall debe especificar los protocolos permitidos, como HTTP, HTTPS, FTP y Telnet.
Si la política de firewall que tiene habilitada la autenticación no permite al menos uno de los protocolos admitidos que se usan
para obtener las credenciales del usuario, el usuario no podrá autenticarse.
Se requieren protocolos para todos los métodos de autenticación que usan autenticación activa (autenticación de
contraseña local, autenticación de contraseña basada en servidor y autenticación de dos factores). La autenticación activa
solicita al usuario las credenciales de usuario en función de lo siguiente:
• El protocolo del tráfico

• La política de cortafuegos
La autenticación pasiva, por otro lado, determina la identidad del usuario entre bastidores y no requiere que se permita
ningún servicio específico dentro de la política.

NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, suponiendo que se utilice la autenticación activa, cualquier
tráfico inicial de LOCAL_SUBNET no coincidirá con la secuencia de política 17 (Invitado). La secuencia de política 17 busca
tanto la IP como el usuario y la información del grupo de usuarios (LOCAL_SUBNET y Guest-group respectivamente) y dado
que el usuario aún no se ha autenticado, el aspecto del tráfico del grupo de usuarios no coincide. Dado que la coincidencia de
la política no está completa, FortiGate continúa su búsqueda en la lista de secuencias para ver si hay una coincidencia completa.
Luego, FortiGate evalúa la secuencia de políticas 18 para ver si el tráfico coincide. No lo hará por la misma razón que no coincidió
con 17.
Finalmente, FortiGate evalúa la secuencia de políticas 19 para ver si el tráfico coincide. Cumple con todos los criterios, por lo
que se permite el tráfico sin necesidad de autenticación.
Cuando usa solo la autenticación activa, si todas las políticas posibles que podrían coincidir con la IP de origen
tienen la autenticación habilitada, el usuario recibirá una solicitud de inicio de sesión (suponiendo que use un protocolo
de inicio de sesión aceptable). En otras palabras, si la secuencia de políticas 19 también tuviera habilitada la autenticación, los
usuarios recibirían solicitudes de inicio de sesión.
Si utiliza la autenticación pasiva y puede obtener con éxito los detalles del usuario, el tráfico de
LOCAL_SUBNET con usuarios que pertenecen al grupo de invitados se aplicará a la secuencia de políticas 17, aunque la
secuencia de políticas 19 no tenga la autenticación habilitada.
Si usa tanto la autenticación activa como la pasiva, y FortiGate puede identificar las credenciales de un usuario a través
de la autenticación pasiva, el usuario nunca recibe una solicitud de inicio de sesión, independientemente del orden de las políticas de firewall
Esto se debe a que FortiGate no necesita solicitar al usuario las credenciales de inicio de sesión cuando puede identificar quién
es el usuario de forma pasiva. Cuando combina métodos de autenticación activos y pasivos, la autenticación activa es

NO REIMPRIMIR
© FORTINETdestinado a ser utilizado como una copia de seguridad, para ser utilizado sólo cuando falla la autenticación pasiva.

NO REIMPRIMIR
© FORTINET
Como se mencionó anteriormente, hay tres formas diferentes de modificar el comportamiento de autenticación activa.
Si tiene una política de firewall de autenticación activa seguida de una política de falla que no tiene habilitada la
autenticación, entonces todo el tráfico utilizará la política de falla. Esto significa que no se pide a los usuarios que se
autentiquen. De forma predeterminada, todo el tráfico pasa por la política catch-all sin ser autenticado. Puede modificar
este comportamiento habilitando la autenticación en todas las políticas de firewall. Cuando habilita la autenticación,
todos los sistemas deben autenticarse antes de que el tráfico se coloque en la interfaz de salida.
Alternativamente, solo en la CLI, puede cambiar la opción de autenticación a pedido a siempre. Esto le indica a
FortiGate que active una solicitud de autenticación, si hay una política de firewall con la autenticación activa habilitada.
En este caso, se permite el tráfico hasta que la autenticación sea exitosa.
Si desea que todos los usuarios se conecten a una interfaz específica, es mejor habilitar la autenticación del
portal cautivo en el nivel de la interfaz. De esta manera, todos los dispositivos deben autenticarse antes de que se les
permita acceder a cualquier recurso.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende cómo usar las políticas de firewall para la autenticación.
Ahora, aprenderá a autenticarse a través del portal cautivo.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el portal cautivo, podrá configurar la autenticación a través de un portal cautivo.

NO REIMPRIMIR
© FORTINET
Si desea que a todos los usuarios que se conecten a la red se les soliciten sus credenciales de inicio de sesión
(autenticación activa), puede habilitar el portal cautivo. El portal cautivo es una forma conveniente de autenticar a los usuarios web en
redes cableadas o Wi-Fi a través de un formulario HTML que solicita un nombre de usuario y una contraseña.
Puede alojar un portal cautivo en FortiGate o un servidor de autenticación externo, como FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
Habilita el portal cautivo, tanto para redes cableadas como Wi-Fi, en el nivel de la interfaz, independientemente
de la política de firewall que lo permita o del puerto por el que finalmente sale (la autenticación habilitada o
deshabilitada en la política no es un factor). Esto es cierto para cualquier interfaz de red, incluidas las interfaces
Wi-Fi y VLAN. En la red local, debe habilitar la configuración del portal cautivo en el puerto de entrada.
Puede configurar un portal cautivo en la página Interfaces. Seleccione la interfaz requerida. En la sección
Red, habilite el Modo de seguridad y, en la lista desplegable, seleccione Portal cautivo. Tenga en cuenta
que si está configurando un portal cautivo para una red Wi-Fi, primero debe existir el SSID de Wi-Fi.
Los portales cautivos no son compatibles con interfaces en modo DHCP.

NO REIMPRIMIR
© FORTINET
En la sección Red, también restringe el acceso de usuarios del portal cautivo.
Seleccione Restringido a grupos para controlar el acceso desde la configuración del portal cautivo.
Utilice la configuración del modo de seguridad y de los grupos de seguridad en las configuraciones de puertos para
realizar los mismos cambios en la CLI.

NO REIMPRIMIR
© FORTINET
Puede seleccionar Permitir a todos para permitir el acceso a los miembros de cualquier grupo configurado en las políticas de firewall
después de la autenticación.
Utilice la configuración de portal cautivo en modo de seguridad en las configuraciones de puertos para aplicar el acceso al portal cautivo
mediante la CLI. Al omitir la configuración de grupos de seguridad, la configuración de acceso de usuario se establece en Permitir todo.

NS4 Security 201-250

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NS4 Security 201-250

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Traducción de direcciones de red (NAT)

Utilice las siguientes prácticas recomendadas al implementar NAT:

• Evite configurar incorrectamente un rango de grupo de IP:

Guía de estudio de FortiGate Security 7.0 201

Guía de estudio de FortiGate Security 7.0 202

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 203

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 204

En esta lección, aprenderá a usar la autenticación en las políticas de firewall de FortiGate.

Guía de estudio de FortiGate Security 7.0 205

Guía de estudio de FortiGate Security 7.0 206

Guía de estudio de FortiGate Security 7.0 207

El firewall tradicional otorga acceso a la red mediante la verificación de la dirección IP y el dispositivo de

Guía de estudio de FortiGate Security 7.0 208

FortiGate admite múltiples métodos de autenticación de firewall:

• Autenticación de contraseña local

Durante esta lección, aprenderá en detalle cada método de autenticación de firewall.

Guía de estudio de FortiGate Security 7.0 209

Guía de estudio de FortiGate Security 7.0 210

Guía de estudio de FortiGate Security 7.0 211

Guía de estudio de FortiGate Security 7.0 212

Guía de estudio de FortiGate Security 7.0 213

Guía de estudio de FortiGate Security 7.0 214

Guía de estudio de FortiGate Security 7.0 215

Puede agregar un FortiToken 200 o FortiToken Mobile a FortiGate en la página de FortiTokens.

Guía de estudio de FortiGate Security 7.0 216

Guía de estudio de FortiGate Security 7.0 217

Guía de estudio de FortiGate Security 7.0 218

¡Buen trabajo! Ahora comprende los conceptos básicos de la autenticación de firewall.

Ahora, aprenderá acerca de los servidores de autenticación remota.

Guía de estudio de FortiGate Security 7.0 219

Guía de estudio de FortiGate Security 7.0 220

Guía de estudio de FortiGate Security 7.0 221

Guía de estudio de FortiGate Security 7.0 222

Esta diapositiva muestra un ejemplo de una jerarquía LDAP simple.

Guía de estudio de FortiGate Security 7.0 223

Guía de estudio de FortiGate Security 7.0 224

Guía de estudio de FortiGate Security 7.0 225

• ACCESO-ACEPTAR, lo que significa que las credenciales de usuario están bien

No todos los clientes RADIUS admiten el método de desafío RADIUS.

Guía de estudio de FortiGate Security 7.0 226

Guía de estudio de FortiGate Security 7.0 227

Guía de estudio de FortiGate Security 7.0 228

Guía de estudio de FortiGate Security 7.0 229

Ahora, aprenderá acerca de los grupos de usuarios.

Guía de estudio de FortiGate Security 7.0 230

Guía de estudio de FortiGate Security 7.0 231

Guía de estudio de FortiGate Security 7.0 232

Guía de estudio de FortiGate Security 7.0 233

Guía de estudio de FortiGate Security 7.0 234

Guía de estudio de FortiGate Security 7.0 235

Ahora, aprenderá sobre el uso de políticas de firewall para la autenticación.

Guía de estudio de FortiGate Security 7.0 236

Guía de estudio de FortiGate Security 7.0 237

Guía de estudio de FortiGate Security 7.0 238

El servicio HTTP es el puerto TCP 80 y no incluye DNS (puerto UDP 53).

Guía de estudio de FortiGate Security 7.0 239

• El protocolo del tráfico

Guía de estudio de FortiGate Security 7.0 240

Guía de estudio de FortiGate Security 7.0 241