MANUAL DE CONFIGURACION

FORTIDECEPTOR.

Lima,01 de agosto del 2022

NOTA IMPORTANTE DE CONFIDENCIALIDAD
La información contenida en la totalidad de este documento contiene un procedimiento
manejado por BIGSECURE S.A.C. en propósito de brindar un mejor servicio,
guardando la confidencialidad de toda la información expuesta.

-- CONFIDENCIAL --
INTRODUCCIÓN
El objetivo de este documento es detallar la configuración necesaria que se requiere
para realizar el despliegue y configuración de la solución FortiDeceptor Vm.

-- CONFIDENCIAL --

Pág.| 0
DESCRIPCION DEL EQUIPO.

FortiDeceptor VM es una versión de dispositivo virtual de 64 bits.

FortiDeceptor. Se despliega en un entorno de máquina virtual. Una vez que el
dispositivo virtual está implementado y configurado, puede administrar
FortiDeceptor VM a través de su GUI en un navegador web en su computadora
de administración.

-- CONFIDENCIAL --

Pág.| 1
 ESPPECIFICACIONES TECNICAS PARA CONFIGURAR FORRTIDECEPTOR VM

Al configurar su máquina virtual FortiDeceptor, asegúrese de configurar los ajustes de hardware

como se describe en la siguiente tabla y considere una expansión futura. Comuníquese con su

revendedor autorizado de Fortinet para obtener más información.

Especificación técnica Detalles

Soporte de hipervisor VMware ESXi versión 5.1, 5.5 o 6.0 y posterior

Kernel Virtual Machine (KVM)

CPU virtuales (mín./máx.) 12 / Ilimitado*

Interfaces de red virtual 6

Memoria virtual (mín./máx.) 16GB / Ilimitado**

Almacenamiento virtual (mín./máx.) 200 GB/16 TB***

-- CONFIDENCIAL --
Requerimientos mínimos del sistema

Antes de implementar el dispositivo virtual FortiDeceptor VM, se debe instalar y

configurar VMware vSphere Hypervisor.
Asegúrese de que se cumplan los siguientes requisitos previos antes de instalar FortiDeceptor VM:
yo El software del hipervisor VMware vSphere ESXi debe estar instalado y configurado.
yo ESXi versión 5.1: Hardware versión 9 ESXi
yo versión 5.5: Hardware versión 9 o 10
yo ESXi versión 6.0, 6.5 y 6.7: versión de hardware 9, 10 u 11
yo El cliente de VMware vSphere está instalado en la computadora de administración.

Registro de su máquina virtual FortiDeceptor

Para registrar su máquina virtual FortiDeceptor:

1.Inicie sesión en el portal de soporte y servicio al cliente de Fortinet usando una cuenta de
soporte existente, o seleccione Crea una cuenta para crear una nueva cuenta.
2.En la barra de herramientas, seleccione Activo > Registrar/Renovar. Los Asistente de registro se abre
3.Ingrese el código de registro del Certificado de licencia de VM de FortiDeceptor que se le envió
por correo electrónico, luego seleccione próximo. los Información de registro se muestra la
página.
4.Ingrese su número de contrato de soporte, descripción del producto, socio de Fortinet y

dirección IP en los campos obligatorios, luego seleccione próximo.

-- CONFIDENCIAL --
 5.Sobre el Acuerdo de registro de productos de Fortinet página, seleccione la casilla de
verificación para indicar que ha leído, entendido y aceptado el contrato de servicio,
luego seleccione próximo para continuar a la Verificación página.
6.La página de verificación muestra el derecho del producto. Seleccione la casilla de
verificación para indicar que acepta los términos y luego seleccione Confirmar para
presentar la solicitud.
7.Desde el Registro completado página, puede descargar el archivo de licencia de
FortiDeceptor VM, seleccione Registrarse Más para registrar otra máquina virtual
FortiDeceptor, o seleccione Finalizar para completar el proceso de registro.
Seleccione Descarga del archivo de licencia para guardar el archivo de licencia

-- CONFIDENCIAL --
Implementación de máquina virtual FortiDeceptor en VMware

Cuando hayas descargado elFDC_VM-v3xx-build0xxx-FORTINET.out.ovf.zipy extrajo el

contenido del paquete a una carpeta en su computadora de administración, puede implementar el
paquete OVF en su entorno de VMware.

Implementación del archivo OVF mediante la GUI web de ESXi

Para implementar el archivo OVF mediante la GUI web de ESXi:

1.En un navegador web, vaya a la dirección URL o IP del servidor o host vCenter e inicie sesión.
2.Hacer clicCrear/Registrar VMpara iniciar el asistente.

3.En elSeleccione el tipo de creacióncuadro de diálogo, haga clic en Implementar una máquina virtual
desde un archivo OVF u OVA. Hacer clicpróximo.
4.Ingrese un nombre para la máquina virtual y luego seleccione los archivos OVF y VMDK. Hacer
clicpróximo.
5.Seleccione el almacén de datos. Hacer clicpróximo.
6.Lea y acepte los acuerdos de licencia. Hacer clicpróximo.
7.Selecciona uno de los siguientes:
yo Provisión gruesa Lazy Zeroed: asigna el espacio en disco de forma estática (ningún otro

volumen puede ocupar el espacio), pero no escribe ceros en los bloques, hasta que se realiza

la primera escritura en ese bloque durante el tiempo de ejecución (que incluye un formato de

disco completo).

-- CONFIDENCIAL --
 yo Provisión gruesa ansiosa puesta a cero: asigna el espacio en disco de forma estática
(ningún otro volumen puede ocupar el espacio) y escribe ceros en todos los bloques.
yo Aprovisionamiento fino: asigna el espacio en disco solo cuando se produce una escritura

en un bloque, pero el sistema de archivos de máquina virtual (VMFS) informa el tamaño

total del volumen al sistema operativo. Otros volúmenes pueden ocupar el espacio restante.

Esto le permite hacer flotar el espacio entre sus servidores y expandir su almacenamiento

cuando su control de tamaño indica que hay un problema. Tenga en cuenta que una vez que

se asigna un bloque de aprovisionamiento delgado, permanece en el volumen

independientemente de si ha eliminado datos.

8.Termine de crear la máquina virtual.

9.Vaya al panel y seleccione la máquina virtual que creó.
10Seleccione los adaptadores de red que necesita.
Para usar el modo sniffer, el modo promiscuo debe estar habilitado en un puerto.

-- CONFIDENCIAL --
 11Utilice la consola para realizar la configuración básica.

Configuración de los ajustes iniciales

Antes de poder conectarse a la VM de FortiDeceptor, debe configurar la configuración básica a través de la

consola CLI. Una vez configurado, puede conectarse a la GUI de FortiDeceptor VM y cargar el archivo de
licencia de FortiDeceptor VM que descargó

Habilitación del acceso a la GUI

Para habilitar el acceso de la GUI a la VM de FortiDeceptor, debe configurar la dirección IP del

puerto 1 y la máscara de red de la VM de FortiDeceptor.

Para configurar la dirección IP y la máscara de red del puerto 1:

1.En su administrador de hipervisor, inicie la máquina virtual FortiDeceptor y acceda a la ventana

de la consola. Es posible que deba presionar Ingresarpara ver la solicitud de inicio de sesión.

-- CONFIDENCIAL --
 2.En el indicador de inicio de sesión de FortiDeceptor VM, ingrese el

nombre de usuarioadministración, entonces presioneIngresar. Por

defecto, no hay contraseña.

3.Configure la dirección IP y la máscara de red del puerto 1 con el siguiente comando:

establecer port1-ip <dirección IP>/<máscara de red>
4.Configure la ruta estática para la puerta de enlace predeterminada mediante el
siguiente comando:
establecer default-gw <puerta de enlace predeterminada>

Conexión a la GUI

Una vez que haya configurado la dirección IP y la máscara de red del puerto 1,

inicie un navegador web e ingrese la dirección IP que configuró para la interfaz de

administración del puerto. De forma predeterminada, se puede acceder a la GUI a

través de HTTPS. En la página de inicio de sesión, ingrese el nombre de

usuarioadministracióny sin contraseña, luego seleccioneAcceso.

Subiendo el archivo de licencia

Antes de usar FortiDeceptor VM, debe ingresar el archivo de licencia que

descargó de laAtención al cliente y soporteportal al registrarse.

Para cargar el archivo de licencia:

1.Inicie sesión en la interfaz gráfica de usuario de FortiDeceptor VM y busque

elInformación del sistemawidget en el tablero.
2.En elLicencia de máquina virtualcampo, seleccioneSubir Licencia.losCarga de licencia
de máquina virtualse abre la página.

-- CONFIDENCIAL --

Pág.| 8
 3.SeleccioneNavegar, busque el archivo de licencia de la máquina virtual

(.licencia)en su computadora, luego seleccioneOKpara cargar el

archivo de licencia. Se mostrará un mensaje de reinicio, luego el

sistema FortiDeceptor VM se reiniciará y cargará el archivo de

licencia.

4.Actualice su navegador y vuelva a iniciar sesión en FortiDeceptor VM (nombre de

usuarioadministración, Sin contraseña).
El estado de registro de la VM aparece como válido en elInformación del sistemawidget una
vez validada la licencia.

Activación de máquinas virtuales engañosas

Las máquinas virtuales de Deception deben activarse antes de que puedan usarse en la
red.

Para activar máquinas virtuales engañosas:

1.Descargue el archivo de licencia clave de laAtención al cliente y soporte de

Fortinetportal.
2.Inicie sesión en la interfaz gráfica de usuario de FortiDeceptor VM y busque
elInformación del sistemawidget en el tablero.
3.En elLicencia de firmwarecampo, seleccioneCargar licencia. losCarga de licencia de
firmwarese abre el panel.
4.Busque el archivo de licencia en la computadora de administración y luego haga clic
enEnviar. La VM de Deception se reiniciará.
Una vez que se activa la licencia para Deception VM, la red debe configurarse
con acceso a Internet para activar la licencia del sistema operativo Windows para
Windows Deception VM. El sistema operativo Ubuntu para Linux Deception VM
no necesita activación.

-- CONFIDENCIAL --

Pág.| 9
Configuración de la red de máquinas virtuales de FortiDeceptor

Para simplificar la configuración, recomendamos usar un vSwitch dedicado para los

segmentos de señuelo y monitoreados.
El siguiente diagrama muestra la relación de los puertos vSwitch.

En ESXi, configure elvSwitch_ FDC_SeñuelosvSwitch para conectar ambas

VLAN a FortiDeceptor VM. Luego configure tres grupos de puertos de red:
1.FDC_tronco–Grupo de puertos para la interfaz troncal real entre FortiDeceptor VM y
vSwitch.
2.VLAN11–Grupo de puertos para conectar VLAN11 a vSwitch.
3.VLAN21–Grupo de puertos para conectar VLAN21 a vSwitch.

-- CONFIDENCIAL --

Pág.| 10
Para configurar el vSwitch:

1.En el cliente ESXi, vaya aRedes > Conmutadores virtualesy agregue un conmutador
virtual estándar.
Solo configura elNombre de vSwtich, elimine el enlace ascendente (a

menos que lo necesite) y use los valores predeterminados para las

otras opciones.

2.IrRedes > Grupos de puertosy agregue los grupos de puertos.

Los grupos de puertos para VLAN11 y VLAN21 son similares. Para cada

grupo de puertos, especifique unNombre, configurar elID de VLANy

seleccione el Conmutador virtual.

-- CONFIDENCIAL --

Pág.| 11
3.Para el puerto FDC Trunk, configure un grupo de puertos especial.
En ESXi, no necesita configurar 802.1Q. Solo necesita configurar el grupo
de puertos para que sea una interfaz promiscua y especificar4095Para elID
de VLANpara que el vSwitch pueda enviar y recibir tráfico de las VLAN
configuradas en FortiDeceptor VM.
Selecciona elConmutador virtualy establecer todoSeguridadopciones paraAceptar.

4.Para verificar la configuración, verifique la topología del conmutador virtual y

asegúrese de que todos los dispositivos estén conectados a este conmutador.

-- CONFIDENCIAL --

Pág.| 12
5.Pruebe la conectividad desde FortiDeceptor VM a los servidores web, y desde
cada servidor web a los señuelos conectados a la misma VLAN.
yo Desde la máquina virtual de FortiDeceptor.

yo Desde el servidor web 1.

-- CONFIDENCIAL --

Pág.| 13
FortiDeceptor crea una red de máquinas virtuales señuelo para atraer a los atacantes y
monitorear sus actividades en la red. Cuando los atacantes atacan máquinas virtuales Decoy,
sus acciones se analizan para proteger la red.

Las características clave de FortiDeceptor incluyen:

 Sistema operativo Deception: las imágenes del sistema operativo Windows, Linux
o SCADA están disponibles para crear máquinas virtuales Decoy.
 Máquinas virtuales señuelo: las máquinas virtuales señuelo que se comportan
como terminales reales se pueden implementar a través de FortiDeceptor .
 Señuelos: los señuelos son servicios, aplicaciones o usuarios agregados a una VM
Decoy para simular un entorno de usuario real.
 Paquete de tokens de FortiDeceptor : Instale un paquete de tokens
de FortiDeceptor para agregar migas de pan en puntos finales reales y atraer a un
atacante a una máquina virtual señuelo. Los tokens normalmente se distribuyen
dentro de los puntos finales reales y otros activos de TI en la red para maximizar la
superficie de engaño. Use fichas para influir en los movimientos y actividades
laterales de los atacantes. Los ejemplos de lo que puede usar en un token incluyen:
credenciales almacenadas en caché, conexiones de bases de datos, recursos
compartidos de red, archivos de datos y archivos de configuración.
 Supervisar las acciones del hacker: Supervisar incidentes , eventos y campañas .
 Un evento representa una sola acción, por ejemplo, un evento de inicio
y cierre de sesión en un host víctima.
 Un incidente representa todas las acciones en un solo host de la
víctima, por ejemplo, un inicio y cierre de sesión, un cambio en el
sistema de archivos, una modificación del registro y una visita al sitio
web en un solo host de la víctima.
 Una Campaña representa el movimiento lateral del hacker. Todos
los incidentes relacionados son una campaña . Por ejemplo, un
atacante inicia sesión en un sistema utilizando las credenciales
encontradas en otro sistema.
 Registrar eventos: registra todos los eventos del sistema FortiDeceptor .

-- CONFIDENCIAL --

Pág.| 14
Cambiar el nombre de host del sistema

El widget Información del sistema muestra el nombre de host completo. Puede

cambiar el nombre de host de FortiDeceptor.

Para cambiar el nombre de host:

1. Vaya a Panel de control , widget de información del sistema .

2. Haga clic en Cambiar junto a Nombre de host .
3. En el campo Nuevo nombre , escriba un nuevo nombre de host.
El nombre de host puede comenzar con un carácter o un dígito y no
puede terminar con un guión. Se permiten AZ, az, 0-9 o guión (se
distingue entre mayúsculas y minúsculas). No se permiten otros
símbolos, signos de puntuación o espacios en blanco.
4. Haga clic en Aplicar .

Cambiar la contraseña de administrador

De forma predeterminada, puede iniciar sesión en la GUI usando admin y sin

contraseña. Se recomienda encarecidamente que agregue una contraseña a la
cuenta de administrador . Para mayor seguridad, cambie regularmente la
contraseña de la cuenta de administrador y las contraseñas de cualquier otra cuenta
de administrador que agregue.

Para cambiar la contraseña del administrador conectado:

1. En el banner de FortiDeceptor en la parte superior, haga clic en el nombre de

usuario y seleccione Cambiar contraseña .
2. Cambie la contraseña y haga clic en Aceptar .

Para cambiar la contraseña de administrador en la página Administradores:

1. Vaya a Sistema > Administradores .

2. Seleccione un administrador y haga clic en Editar .
3. Cambie la contraseña y haga clic en Aceptar .

-- CONFIDENCIAL --

Pág.| 15
Configurar la hora del sistema

Puede cambiar la hora del sistema FortiDeceptor en el Panel de control . Puede

configurar la hora del sistema FortiDeceptor manualmente o sincronizar con un
servidor NTP.

Para configurar la hora del sistema:

1. Vaya a Panel de control , widget de información del sistema .

2. Haga clic en Cambiar junto a Hora del sistema .
3. Configure la hora del sistema y haga clic en Aplicar .
Es posible que deba iniciar sesión nuevamente.

-- CONFIDENCIAL --

Pág.| 16
 Configuración de puertos troncales en FortiDeceptor VM

Esta sección describe cómo configurar puertos troncales para extender VLAN
entre FortiDeceptorVM y ESXi vSwitch usando una sola interfaz.
Esta configuración requiere FortiDeceptor VM v3.1 build 0061 y vSwitch ESXi v6.7.0 build
13006603.
Configure un solo host ESXi con las siguientes cargas de trabajo.
 1 FortiDeceptor VM con un señuelo que monitorea dos segmentos de red.
 2 servidores web en diferentes VLANs/segmentos de red.
 1 vSwitch dedicado a conectar el señuelo FortiDeceptor a los segmentos de red.

-- CONFIDENCIAL --

Pág.| 17
FortiDeceptor VM tiene puertos de red internos. Configure FortiDeceptor VM con lo
siguiente.
 Reserve el puerto 1 para la gestión de dispositivos.
 Utilice los otros puertos para desplegar señuelos de engaño.

Cuando configura inicialmente FortiDeceptor , la configuración de la interfaz en Red >

Interfacesse aprovisiona automáticamente. No necesita cambiar esta sección ya que esta
configuración de red es solo para uso interno. Las interfaces de red engañosas reales que se
conectan a los segmentos supervisados se configuran en Decepción > Red de
implementación .
En este entorno, el puerto 3 se usa para implementar una VM engañosa basada en Linux
(señuelo). El objetivo es monitorear la actividad de la red en dos VLAN diferentes donde
residen los servidores de producción: WebServer-1 (192.168.11.11/24) en VLAN11 y
WebServer-2 (192.168.21.21/24) en VLAN21.

-- CONFIDENCIAL --

Pág.| 18
La VM engañosa tiene una sola interfaz de red para monitorear dos VLAN diferentes, por lo
que es necesario configurar el enlace troncal de VLAN entre el puerto 3 y el puerto ESXi
vSwitch. Solo hay un vSwitch para conectar todos los dispositivos usando diferentes puertos
virtuales para cada dispositivo.

Configuración de FortiDeceptor

Configure FortiDeceptor para monitorear las redes de subred, una para cada VLAN, usando
el mismo puerto de red3.

Para configurar FortiDeceptor :

1. Vaya a Engaño > Red de implementación y haga clic en Agregar nueva

Vlan/Subred para agregar los segmentos monitoreados.

-- CONFIDENCIAL --

Pág.| 19
2. Use la etiqueta VLAN para cada subred monitoreada para
que FortiDeceptor pueda diferenciar el tráfico entre ellos.
Verifique que ambas VLAN usen el puerto 3.
3. Especifique la máscara/IP de red de implementación que la VM engañosa usa
para monitorear sus señuelos en cada segmento.
Asegúrese de que estas direcciones IP sean únicas y pertenezcan a las subredes
supervisadas.
4. Vaya a Engaño > Asistente de implementación para implementar la VM de
engaño real y adjuntar los segmentos monitoreados.

-- CONFIDENCIAL --

Pág.| 20
5. Especifique la configuración de red para los señuelos.
FortiDeceptor automatiza la creación de máquinas virtuales engañosas y servicios
de señuelo para atraer y exponer a los atacantes; por lo tanto, los servicios de
señuelo en cada segmento requieren direcciones IP dedicadas para interactuar con
los atacantes.
Si desea utilizar una dirección IP estática para los servicios de señuelo, haga clic
en Estática y, a continuación, especifique una única dirección IP o rango de
direcciones IP en Rangos de IP .

6. Después de completar la implementación de la VM, vaya a Decoy & Lure

Status para validar la configuración.

-- CONFIDENCIAL --

Pág.| 21
 7. Pruebe la conectividad haciendo ping al señuelo y las direcciones IP de
monitoreo y verifique que sean accesibles.
No se puede acceder a los servidores web porque ESXi aún no está configurado.

Desde la perspectiva de la red, FortiDeceptor está listo para monitorear ambas VLAN a

través del puerto 3. Sin embargo, para activar la interfaz de enlace
lógico, FortiDeceptor necesita recibir tráfico de enlace troncal de VLAN desde el puerto
vSwitch.
Si tiene un conmutador físico conectado al host ESXi, debe configurar 802.1Q en el puerto
del conmutador que está conectado al enlace ascendente del host.

-- CONFIDENCIAL --

Pág.| 22
THE END.

-- CONFIDENCIAL --

Pág.| 23