Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • NSE4-Lab 7

    Cargado por

    cesar noa
    30 vistas18 páginas

    Título original

    NSE4-Lab_7

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    30 vistas18 páginas

    NSE4-Lab 7

    Cargado por

    cesar noa

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    Laboratorio No.

    7
    Operaciones con Certificados

    PROCEDIMIENTO

    A. Utilizacion de certificados para ayudar a la inspección.

    1024 Mb

    ROUTER VMNET0 port1 FW


    port2

    512 Mb WIN-XP
    Lan
    VMNET1
    rdp tcp3389
    ftp tcp20/21

    En este laboratorio haremos uso del certificado que trae consigo el


    propio equipo FortiGate y como este nos ayuda a aplicar un mejor
    reconocimiento de los servicios hacia Internet.

    Para este laboratorio requerimos de los siguiente elementos:

    - Firewall FortiGate
    - Estacion cliente WinXP

    Configure las interfaces WAN (port1) y LAN (port2), recuerde el valor


    de su red en base a su código (si no lo tiene consulte con el instructor)

    Interface: port1 (WAN) Interface: port2 (LAN)


    IP: Cada participante IP: 10.1X.1X.1/24
    Mask: Cada participante Mask: 255.255.255.0
    DHCP: Rango 100-150

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -1-
    Para fines de verificación de los modulos anteriores, configure un NAT
    para que pueda accesar mediante RDP y pueda realizar las operaciones
    correspondientes con el uso de certificados.

    1- Configure objeto VIP (NAT) de acuerdo a los siguientes


    detalles:
    1.1- Creacion de objeto VIP con el nombre “CLIENTEXP”
    1.2- La interface a utilizar será el puerto WAN (port1)
    1.3- Establezca como dirección externa, la IP WAN de su Firewall
    1.4- Establezca como dirección interna, la IP de su Cliente XP
    1.5- Habilite la opción port-forwarding
    1.6- Seleccione el puerto 3389 como externo
    1.7- Seleccione el puerto 3389 como interno

    2- Cree la política de seguridad que permita el acceso al objeto


    VIP:
    2.1- Cree la política que permita el acceso al objeto VIP con el
    nombre “CLIENTEXP”
    2.2- La política tendrá que ser de WAN  LAN
    2.3- Habilite el origen a todos (all)
    2.4- Habilite el destino al objeto VIP creado “CLIENTEXP”
    2.5- Que se ejecute siembre (Always)
    2.6- Habilite el servicio RDP
    2.7- Habilite la acción ACCEPT
    2.8- Desactive la opción de NAT
    2.9- Habilite el registro de toda la actividad (All Sessions)

    Para un adecuado manejo de la estación cliente, desde su PC real


    conectese por RDP al objeto VIP recientemente creado.

    Desde esta sesión RDP se realizaran las operaciones de control para el


    adecuado uso del certificado.

    La inspección profunda de SSL en el tráfico de salida permite al


    Firewall Fortigate inspeccionar el tráfico de Internet que se encuentra
    cifrado y le permitirá aplicar perfiles de seguridad a ese tráfico para
    proteger su red y a los usuarios finales. El firewall Fortigate emplea un
    ataque man-in-the-middle (MITM) para inspeccionar el tráfico y aplicar
    perfiles de seguridad como antivirus, filtro web y control de
    aplicaciones.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -2-
    Ejemplo de creación de objeto VIP:

    Ejemplo de creación de la regla de acceso al objeto VIP:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -3-
    3- Configure la política de salida del CienteXP
    3.1- Crear una política con el nombre Salida-Internet
    3.2- Defina como origen la interface LAN (port2)
    3.3- Defina como destino la interface WAN (port1)
    3.4- Establezca como origen todo (all)
    3.5- Establezca como destino todo (all)
    3.6- Que se ejecute siempre (always)
    3.7- Habilite el servicio a ALL
    3.8- Habilite la acción ACCEPT
    3.9- Active la opción de NAT
    3.10- Habilite el registro de toda la actividad (All Sessions)

    Ejemplo de la política creada:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -4-
    Note que la parte de SSL Inspection, debe estar con el filtro “no-
    inspection”, tal cual el grafico anterior.

    4- Verifique la salida a Internet desde el acceso RDP


    4.1- Abra el software browser Firefox
    4.2- Verifique que se aperture la pagina “http://ident.me”
    4.3- Aperture las siguientes paginas:
     https://cloud-lamb.com/
     https://fglabpe.float-zone.com/
     https://nodistribute.com/
     https://crackstation.net/
     https://www.extractmetadata.com/es.html
     http://www.hi5.com/

    Confirme que la visualización del contenido ha sido accesado sin


    inconveniente alguno.

    5- Descargar el certificado SSL del equipo Firewall al cliente


    WINXP:
    5.1- Ingrese a la administración del Firewall FortiGate
    5.2- Dirijase a la opción System + Certificates:

    5.3- Ubique el certificado “Fortinet_CA_SSL”

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -5-
    5.4- Descargue el certificado seleccionado “Fortinet_CA_SSL”

    5.5- Guarde el certificado en su PC real

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -6-
    5.6- Ubique el archivo recientemente descargado y llévelo a la PC
    WindowsXP cliente.
    5.7- Recuerde que el cliente WINXP, tiene un servicio FTP, por lo
    que debera activarlo.

    5.8- Ahora configure una VIP asociado al servicio FTP (TCP 21),
    tome como referencia el paso 1 de este laboratorio,
    posteriormente active la política de seguridad, tome como
    referencial el paso 2 de este laboratiorio.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -7-
    5.9- Desde su PC real, ingrese al servicio FTP y suba el cetificado
    que ha descargado del Firewall (realizado en el paso 5.5) y
    envíelo al cliente WINXP, mediante el servicio FTP.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -8-
    5.10- Estando en la sesión RDP, ubique el archivo
    “Fortinet_CA_SSL.cer” en el directorio C:/FTP

    6- Importar el certificado del Firewall al software browser Firefox

    6.1- Ingrese a las opciones del Firefox, tome como referencia la


    siguiente secuencia:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -9-
    6.2- Dirijase a la opción de ver certificados, tome como referencial
    la siguiente secuencia:

    Avanzadas + Certificados + Ver Certificados:

    6.3- Le aparecerá la siguiente ventana en donde tendrá que


    importar el certificado que ha descargado del Firewall (y lo
    movio mediane servicio FTP)

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 10 -
    6.4- Importe el certificado extraido del Firewall FortiGate.

    6.5- Autorice la confianza con el certificado importado del Firewall

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 11 -
    7- Habilite el certificado de inspección completa en la política de
    salida a Internet

    7.1- Ubique la política de salida a Internet que utiliza el cliente


    WINXP.
    7.2- En la parte de SSL Inspection, seleccione el certificado
    “custom-deep-inspection”

    Aplique los cambios con el botón Ok.

    7.3- Aperture las siguientes paginas:


     https://cloud-lamb.com/
     https://fglabpe.float-zone.com/
     https://nodistribute.com/
     https://crackstation.net/
     https://www.extractmetadata.com/es.html
     http://www.hi5.com/

    Detecta algún cambio?

    7.4- Dirijase a la misma política que habilito el certificado de


    inspección completa “custom-deep-inspection” y active el
    modulo de control de aplicación con el perfil “block-high-risk”

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 12 -
    7.5- Aperture las siguientes paginas:
     https://cloud-lamb.com/
     https://fglabpe.float-zone.com/
     https://nodistribute.com/
     https://crackstation.net/
     https://www.extractmetadata.com/es.html
     http://www.hi5.com/

    Detecta algún cambio?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 13 -
    7.6- Verificaremos el acceso mediante la inspección de trafico SSL,
    para lo cual en la ventana del navegador Firefox observaremos
    lo siguiente:

    A lo cual deberá seleccionar el botón Avanzadas y presionar el


    botón agregar excepcion.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 14 -
    Asegurese de no guardar permanentemente la excepcion
    realizada (1).

    Presione el botón confirmar excepcion de seguridad (2)

    Note que en la barra de dirección, se tiene el siguiente icono:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 15 -
    Haga click en el referido icono para la visualización de mas
    detalles de la inspección SSL.

    Presione el botón de “Mas informacion”, para analizar el


    certificado que se muestra ahora al momento de ingresar a las
    paginas anteriores.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 16 -
    Analice el contenido del certificado que se ha generado al
    momento de ingresar a las paginas indicadas:

    Note el valor que se muestra

    .
    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/
    - 17 -
    Con la actividad anterior, Ud acaba de realizar el ejercicio de inspección
    SSL, esta actividad se utiliza para complementar el nivel de control que
    requieren los filtros de NGFW tales como filtro web, control de
    aplicaciones y antivirus.

    Al finalizar el laboratorio modifique la política y retire el filtro del control


    de aplicaciones y el filtro de inspección a profundidad.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 18 -

    También podría gustarte