Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • NSE4-Lab 12

    Cargado por

    cesar noa
    10 vistas11 páginas
    trt

    Título original

    NSE4-Lab_12

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    trt

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    10 vistas11 páginas

    NSE4-Lab 12

    Cargado por

    cesar noa
    trt

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    Laboratorio No.

    12
    Servicio VPN SSL

    PROCEDIMIENTO

    A. Revisaremos el servio de VPN/SSL, los cuales permiten


    acceso a la red corporativa mediante el establecimiento de
    un túnel encriptado.

    User02
    VPN/IPSEC
    User01
    VPN/IPSEC Ubuntu
    http tcp80

    VPN
    ssh tcp22
    512 Mb
    Win2k8
    VMNET2 ens33

    IPSEC 1024 Mb 1024 Mb

    INTERNET Lan

    ROUTER VMNET0 port1 FW port3

    port2

    512 Mb WIN-XP
    Lan
    VMNET1
    rdp tcp3389
    ftp tcp20/21

    Para la realización de este laboratorio, se debe


    considerar que la característica de VPN/SSL requiere
    contar con el certificado autofirmado que se habilita con
    una licencia para maquinas virtuales (nuestro caso), en
    el caso de los equipos Firewall (Hardware) ya incluyen
    este funcionamiento de manera nativa.

    En este laboratorio se proporciona a los usuarios


    remotos, acceso a la red corporativa mediante SSL VPN
    y conectarse a Internet a través de la unidad de
    FortiGate corporativa. La funcionalidad del servicio
    VPN/SSL permite la interconexión de cualquier
    dispositivo que soporte un browser con características
    de SSL y permitirá que se pueda conectar a la red
    corporativa.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -1-
    1.Creando un Portal SSL VPN para usuarios remotos

    Ir a VPN > SSL-VPN Portals

    Cree un portal en base a su grupo que tiene asignado,


    en este caso el perfil VPNSSL_GRUPO0X, donde X
    representa el numero de su grupo. El portal full-access
    permite el uso de VPN en modo tunnel y modo web. En
    este escenario utilizaremos ambos modos.

    Enable Split Tunneling no debe estar habilitado, esto


    permitirá que todo el trafico de internet del usuario salga
    por el equipo FortiGate, haciendo que su navegación a
    internet cumpla con las políticas de seguridad de la
    empresa.

    Asegurese que el perfil creado tenga la siguiente


    estructura:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -2-
    Al finalizar, deberá tener los siguientes perfiles creados:

    2. Creando un Usuario y Grupo de Usuario.

    Ir a User & Device > User > User Definition.

    Utilice los usuarios y grupos creados en el laboratorio de


    autenticación (Laboratorio 5).

    3. Separar el servicio VPN/SSL de la administración del


    Firewall

    El servicio VPN/SSL opera sobre el servicio TCP 443 y por


    defecto el servicio de administración opera en el mismo
    puerto TCP 443, para evitar conflictos del funcionamiento
    de ambos, se requiere modificar el puerto de servicio de
    la administración del firewall al puerto TCP 10443, para
    lo cual deberá realizar la siguiente configuración que a
    continuación se mostrará.

    Ir a System > Settings > Administration Settings

    y modificar el valor del puerto de la opción “HTTPS port”,


    tal como se aprecia en el siguiente grafico:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -3-
    4. Configurando el servicio VPN-SSL

    Ir a VPN > SSL-VPN Settings y configurar Listen on


    Interface(s) seleccionando la interface que hace
    referencia a su wan1.

    Tome como referencia la siguiente pantalla:

    En la 2da parte de la actual configuración, seleccionar la


    opción ”Automatically assing addresses”, tal como se
    muestra el siguiente gráfico:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -4-
    En la 3ra parte de la actual configuración, defina los
    grupos que se autenticaran al servicio de VPN/SSL.

    Bajo Authentication/Portal Mapping, agregar los


    grupos de usuarios SSL VPN, en este caso los
    referenciados en el paso 2.

    Presione el botón y complete los campos de


    acuerdo a los grupos que se tienene habilitados:

    Hasta que tenga la siguiente distribución:

    Asegure establecer el perfil web-access al “All Other


    Users/Groups” y al finalizar presione el botón Apply y
    confirme la siguiente ventana:

    Note que en la actual pagina de configuración del servicio


    VPN/SSL le aparecerá el siguiente mensaje:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -5-
    5. Configurar la política de acceso al servicio VPN/SSL (Internet –>
    LAN).
    Presione la opción anteriormente mostrada:

    En la página que aparecerá, complete los campos vacios


    de acuerdo al siguiente grafico:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -6-
    Confirme los valores anteriormente ingresados en la
    siguiente ventana:

    Al confirmar, le aparecerá la siguiente ventana:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -7-
    Ahora diríjase a las políticas de seguridad Policy &
    Objects > IPv4 Policy

    Note que ahora tiene una politica de seguridad asociada


    al servicio VPN/SSL que acaba de configurar:

    Pregunte al instructor: Que es la interface ssl.root?

    6. Verificando el acceso al servicio

    Instale el aplicativo cliente FortiClient y configure el


    servicio de acceso VPN/SSL.

    Indique los siguientes valores:

    Nombre de Conexión: VPN-SSL-GRUPO0X

    Gateway Remoto: IP_PUBLICA_PAIS

    Personalizar puerto: 443

    Certificado de Cliente: Ninguno

    Autenticación: Preguntar en el login

    No advertir de Certificado de Servidor Inválido: Activado

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -8-
    Verifique conexión al servicio VPN/SSL:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -9-
    Como se aprecia la conexion VPN/SSL fue satisfactoria:

    Preguntas:

    Su PC tiene acceso a Internet?

    7. VPN-SSL en modo split

    Ir a Policy & Objects > Addresses.

    Agregar la dirección para la red local. Configurar Subnet


    / IP Range con los valores de la red local y asociar la
    red a la Interface que la utilizara.

    Si se habilita Enable Split Tunneling, el trafico hacia la


    red corporativa será encriptada y reenviada al firewall en
    la comunidad VPN-SSL, sin embargo cualquier otro
    trafico que no sea la red corporativa será enviado a su
    propia ruta default.

    En este caso, deberías seleccionar Routing Address. El


    Routing Address es la dirección de tu red corporativa
    (en este caso es, Local LAN).
    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/
    - 10 -
    Esto permitirá que el trafico destinado a tu red LAN
    corporativa será anunciadapor el Tunel.

    Modifique la política de seguridad con datos similares al


    siguiente grafico:

    Verifique nuevamente el acceso y confirme si la salida de


    Internet de su PC se ha interrumpido.

    Noto la diferencia del VPN/SSL en modo Split-tunel y sin


    Split-Tunel?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 11 -

    También podría gustarte