Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Recuerde, los VDOM son solo una separación lógica: cada VDOM comparte recursos físicos con los
demás.
Para ajustar el rendimiento, puede configurar límites de recursos para cada función (túneles IPsec,
objetos de dirección, etc.) a nivel global y en cada nivel de VDOM. Esto controla llaa relación entre el
uso de recursos de cada sistema VDOMS y el total de recursos disponibles.
Por ejemplo, en este FortiGate, el hardware es lo suficientemente potente como para manejar hasta
2000 túneles VPN IPsec. FortiGate está configurado con tres VDOM.
VDOM1 y VDOM2 no usan túneles VPN IPsec con frecuencia. Por lo tanto, se les permite tener hasta
50 túneles cada uno. Sin embargo, VDOM3 utiliza VPN de forma extensiva. Por lo tanto, este
FortiGate se configurará para permitir que VDOM3 tenga hasta 1900 túneles. Además, se
garantizarán 1000 de esos túneles.
Configure su FortiGate con límites globales para funciones críticas como sesiones, políticas y otras.
Luego, configure cada VDOM con sus propias cuotas y mínimos, dentro de los límites globales.
En la GUI, puede hacer clic en Global> Sistema> VDOM para ver el monitor VDOM. Muestra el uso
de CPU y memoria para cada VDOM.
Mejores prácticas
o Cree una cuenta de administrador específica de VDOM para cada VDOM.
o Evite dar acceso de súper administrador.
Con los VDOM configurados, los administradores tienen una capa adicional de permisos y pueden
tener problemas para acceder a la información deseada.
Confirme el VDOM del administrador: cada cuenta de administrador, que no sea la cuenta
super_admin, está vinculada a uno o más VDOM específicos. Ese administrador no puede
acceder a ningún otro VDOM. Es posible que estén intentando acceder al VDOM incorrecto
(uno para el que no tienen permisos).
Confirme las interfaces del VDOM: Un administrador puede acceder a su VDOM solo a
través de las interfaces que están asignadas a ese VDOM. Si las interfaces en ese VDOM
están deshabilitadas o no disponibles, su administrador local no podrá acceder a ese VDOM.
Se requerirá que el super_admin abra las interfaces, arregle las interfaces o mueva otra
interfaz a ese VDOM para restaurar el acceso.
Confirme el acceso de administrador de VDOM: como con todos los dispositivos FortiGate,
el acceso de administración en las interfaces de VDOM debe estar habilitado para que los
administradores de ese VDOM obtengan acceso. Por ejemplo, si SSH no está habilitado, no
está disponible para los administradores. Para habilitar el acceso de administrador, el
super_admin hace clic en Global> Red> Interfaces y habilita el acceso de administrador para
la interfaz en cuestión.
Las mejores prácticas indican que, por lo general, debe evitar los agujeros de seguridad innecesarios.
No proporcione acceso super_admin si es posible. En su lugar, restrinja a cada administrador a su
dominio relevante. De esa forma, no pueden afectar accidental o maliciosamente
mali ciosamente a otros VDOM, y
cualquier daño o error tendrá un alcance limitado.
de VDOM.
Realice un rastreo de rastreo.
Realice un rastreo de rastreo: al solucionar problemas de redes, es útil mirar dentro de los
encabezados de los paquetes para determinar si viajan solos por la ruta esperada. El rastreo de
paquetes también se puede llamar toma de red, captura de paquetes o análisis lógico. el rastreador
también indica qué tráfico entra o sale de las interfaces de entrada y salida en todos los VDOMS.
Esto lo hace extremadamente útil para solucionar problemas de enrutamiento entre VDOM.
Verificación de conocimientos.
1. De estas opciones, ¿cuál es una posible razón por la que un administrador podría no tener acceso
a un VDOM específico?
A. El administrador está usando una dirección IP que no está especificada como host confiable.
B. El administrador está usando el perfil Super_Admin.
Conmutación de capa 2.
o
Cada segmento
Etiquetas forma
de VLAN un dominio
agregadas a las de difusión
tramas paraindependiente.
identificar sus segmentos de red.
Las VLAN dividen su LAN física en varias LAN lógicas. En el modo de funcionamiento NAT, cada VLAN
forma un dominio de difusión independiente. Varias VLAN pueden coexistir en la misma interfaz
física, siempre que tengan diferentes ID de VLAN. De esta manera, una interfaz física se divide en
interfaces más lógicas. Se agrega una etiqueta a cada trama de Ethernet para identificar la VLAN a
la que pertenece.
Las etiquetas VLAN agregan una extensión de 4 bytes a una trama Ethernet.
Los dispositivos de capa 2 pueden agregar o eliminar etiquetas.
Los dispositivos
o FortiGatedeescapa 3 pueden reescribir
un dispositivo de capa 3las
enetiquetas
modo NAT antes del enrutamiento
Esta imagen muestra una trama de Ethernet. La trama contiene las direcciones MAC de origen y
destino, el tipo, la carga útil de datos y el código CRC para confirmar que no está dañado.
En el caso de tramas Ethernet con etiquetado VLAN, según el estándar 802.1q, se insertan cuatro
bytes más después de la dirección MAC. Contienen un número de identificación que identifica la
VLAN.
Un dispositivo de Capa 3, como enrutador o FortiGate, puede cambiar la etiqueta VLAN antes de
proceder a enrutar el paquete. De esta forma, pueden enrutar el tráfico entre VLAN.
Cuando opera en modo NAT, FortiGate opera como un enrutador OSI de capa 3 en su configuración
más básica. En este modo, una VLAN es una interfaz en el dispositivo. Las etiquetas VLAN se pueden
agregar al salir, quitar al ingresar o reescribir según una decisión de enrutamiento. FortiGate no
agrega etiquetas VLAN al ingresar (esta es la responsabilidad de un dispositivo anterior).
En este ejemplo que se muestra en esta imagen del modo de operación NAT, un host en la VLAN
100 envía una trama a un host en la VLAN 300. El conmutador A recibe la trama en la interfaz VLAN
100 sin etiquetar. Después de eso, agrega
ag rega la etiqueta VLAN 100 en el enlace troncal etiquetado entre
el switch A y FortiGate.
Creación de VLAN.
Las tramas enviadas o recibidas por el segmento de interfaz física nunca se etiquetan; pertenecen a
la VLAN nativa.
Para crear una VLAN usando la GUI, haga clic en Crear nueva, seleccione Interfaz y luego, en la lista
desplegable Tipo, seleccione VLAN. Debe especificar el ID de VLAN y la interfaz física a la que se
vinculará la VLAN. Las tramas que pertenecen a interfaces de ese tipo siempre están etiquetadas.
Tenga en cuenta que en un entorno de múltiples VDOM, la interfaz física y su subinterfaz VLAN
pueden estar en VDOM separados.
Verificación de conocimientos.
1. ¿En qué modo debe estar funcionando FortiGate VDOM para enrutar el tráfico entre las VLAN?
A. Modo transparente.
B. Modo NAT
Modo de operación.
El modo de operación define cómo FortiGate maneja el tráfico.
o Modo NAT:
Rutas según OSI Layer 3 (direcciones IP), como enrutador.
o Modo transparente:
Reenvía de acuerdo con OSI Layer 2 (direcciones MAC), como un puente
transparente.
Las requiere
No
interfacescambios
de FortiGate generalmente
de direcciones IP en no tienen direcciones IP.
la red.
Los firewalls IPv4 tradicionales y los dispositivos FortiGate en modo NAT manejan el tráfico de la
misma manera que lo hacen los enrutadores. Cada interfaz debe estar en subredes diferentes y cada
subred forma un dominio de broadcats diferente. FortiGate enruta los paquetes IP según la
información del encabezado IP, sobrescribiendo la dirección
dirección MAC de origen.
origen . Entonces, si un cliente
envía un paquete a un servidor conectado a una interfaz de FortiGate diferente, el paquete llegará
al servidor con una dirección MAC de FortiGate, en lugar de la dirección MAC del cliente.
En el modo de operación transparente, FortiGate reenvía tramas sin cambiar las direcciones MAC.
Cuando el cliente recibe un paquete de un servidor conectado a una interfaz FortiGate diferente, el
marco contiene la dirección MAC real del servidor; FortiGate no reescribe el encabezado MAC.
FortiGate es un puente o conmutador de capa 2. Por tanto, las interfaces no tienen direcciones
direcciones IP y,
por defecto, todas pertenecen al mismo dominio de difusión.
Esto significa que puede instalar un FortiGate en modo transparente en la red de un cliente sin tener
que cambiar el plan de direcciones IP del cliente. Algunos clientes, especialmente las grandes
organizaciones, no desean reconfigurar miles de dispositivos para definir una nueva red interna que
esté separada de su red externa.
FortiGate tiene tres puertos conectados, cada uno con subredes IP independientes. Todas las
interfaces de FortiGate tienen direcciones IP y, en este caso, NAT se traduce entre redes. Las
políticas de firewall permiten que el tráfico fluya entre redes.
FortiGate maneja los paquetes de acuerdo con sus rutas. En la mayoría de los casos, las rutas se
basan en la dirección IP de destino (en la capa 3 del modelo OSI).
Los clientes en cada subred envían tramas que están destinadas a una dirección MAC de FortiGate,
no a la dirección MAC real del servidor.
Tenga en cuenta que las interfaces físicas en FortiGate no tienen direcciones IP. Por lo tanto,
FortiGate no responderá a la solicitud de ARP. Sin embargo, hay algunas excepciones. Por ejemplo,
al cambiar al modo de operación transparente, debe especificar una dirección IP de administración
para recibir conexiones de sus administradores de red y enviar mensajes de registro, trampas SNMP,
correo electrónico de alerta, etc. Esta dirección IP no está asignada a una interfaz específica. Se
asigna a las configuraciones de VDOM. La dirección IP de administración no tiene ningún efecto
sobre el tráfico que pasa por FortiGate.
Un modo transparente en FortiGate actúa como un puente transparente. ¿Qué significa eso?
Significa que FortiGate tiene una tabla de direcciones MAC que contiene, entre otras cosas, la
interfaz que debe usarse para llegar a cada dirección MAC. FortiGate completa esta tabla con
información extraída de la dirección MAC de origen de cada trama.
Reenvía dominios.
De forma predeterminada, todas las interfaces de un VDOM pertenecen al mismo dominio
de difusión; incluso interfaces con diferentes ID de VLAN.
o Los dominios de difusión que contienen múltiples interfaces pueden ser muy
grandes y agregar tráfico de difusión innecesario a algunos segmentos de la LAN.
Utilice este comando para subdividir un VDOM en varios dominios de transmisión:
De forma predeterminada, en el modo de funcionamiento transparente, cada VDOM forma un
dominio directo independiente;
independiente; sin embargo, las interfaces no lo hacen. ¿Cómo afecta esto a la red?
Esta imagen ilustra un problema: una transmisión con todas las interfaces en el dominio directo 0
(predeterminado). Un dispositivo envía una solicitud ARP. Llega a FortiGate a través de una de las
interfaces del VDOM.
Debido a que todas las interfaces pertenecen al mismo dominio de reenvío, FortiGate retransmite
a todas las demás interfaces, incluso a interfaces que pertenecen a diferentes VLAN. Esto genera
tráfico innecesario. Después de eso, la respuesta ARP seguirá llegando a una sola interfaz, y
FortiGate aprenderá que la MAC está en esa interfaz.
Como aprendió anteriormente en esta lección, los dominios de reenvío son como dominios de
transmisión.
El ejemplo de esta diapositiva muestra la misma red que antes, pero se asignan diferentes ID de
dominio de reenvío a cada VLAN.
El tráfico que llega a una interfaz se difunde solo a las interfaces que se encuentran en el mismo ID
de dominio directo.
Este comando de depuración enumera la tabla de direcciones MAC en un VDOM que o opera
pera en modo
transparente. La tabla que se muestra en esta imagen
imag en contiene las interfaces saliente
salientess para llegar a
cada dirección MAC aprendida.
Verificación de conocimientos.
1.
A. ¿Qué
Tieneafirmación sobre
una dirección el funcionamiento
IP de administración.de FortiGate en modo transparente es verdadera?
B. Cada interfaz tiene su propia dirección
dir ección IP.
2. ¿Cómo puede un administrador configurar FortiGate para tener cuatro interfaces en el mismo
dominio de transmisión?
A. Cree una política de firewall en cada una de las cuatro iinterfaces.
nterfaces.
B. Configure el modo de operación como transparente y use el mismo ID de dominio directo .
Puede usar el emparejamiento de cables virtual cuando solo es necesario conectar dos interfaces
físicas al mismo dominio de transmisión. El ejemplo más frecuente de esto es FortiGate conectado
entre la red interna y el enrutador del ISP.
Cuando configura
lógicamente, el emparejamiento
actuando como un cabledeocables
tuberíavirtuales,
filtrada.dos puertos
Todo están
el tráfico vinculados
que o vinculados
llegó a un puerto se
reenvía al otro puerto. Esto evita problemas relacionados con tormentas de transmisión o alteración
de direcciones MAC
Esta imagen muestra un ejemplo de dos pares de cables virtuales utilizados en FortiGate en modo
transparente.
Este FortiGate tiene cuatro puertos, cada uno conectado a diferentes ubicaciones físicas, pero no se
permite que el tráfico fluya entre las cuatro ubicaciones. El emparejamiento de cables virtuales
permite el tráfico solo entre puertos del mismo par: entre el port1 y el port2, y entre el port3 y el
wan1.
Entonces, en este ejemplo, la red en el port3 puede acceder a Internet a través de wan1. Sin
embargo, las redes del port2 y del port1 no pueden acceder a Internet. Solo pueden alcanzarse
entre sí.
Esta imagen muestra un ejemplo de un par de cables virtual en FortiGate que funciona en modo
NAT. En este ejemplo, los paquetes IP que ingresan a las interfaces wan1 e internal se enrutan
utilizando la información del encabezado IP. Esas dos interfaces tienen diferentes direcciones IP y
cada una forma un dominio de difusión independiente.
El caso de las interfaces wan2 y dmz es diferente. Debido a que estas interfaces están configuradas
como un par de puertos virtuales, no tienen direcciones IP asignadas y forman un solo dominio de
transmisión. Observe las direcciones IP del servidor y el enrutador conectado a wan2. Ambos deben
pertenecer a la misma subred.
Por lo tanto, el emparejamiento de cables virtual ofrece una forma de mezclar las funciones del
modo NAT con algunas funciones del modo transparente en el mismo VDOM.
Este escenario se usa más
m ás comúnmente como firewall de segmentación. Esta configuración permite
integrar FortiGate en una red existente donde el servidor web está en una dirección IP pública. Evita
la necesidad de utilizar una IP virtual y proporciona aislamiento del resto de la red. También permite
la integración inmediata de FortiGate en una red establecida y proporciona una ruta de migración
mig ración a
la infraestructura de FortiGate.
Cuando crea un par de cables virtual, debe seleccionar dos interfaces físicas, ni más ni menos.
Después de seleccionar las dos interfaces, crea las políticas de par de cables virtuales que
inspeccionan el tráfico que cruza el par de cables virtual. La configuración de LAN comodín especifica
cómo se aplican esas políticas a las diferentes VLAN cuyo tráfico fluye entre el par:
Si la VLAN comodín está habilitada, las políticas de pares de cables virtuales se aplican por
igual a las interfaces físicas y las VLAN.
Si la VLAN comodín está deshabilitada, las políticas de pares de cables virtuales se aplican
solo a las interfaces físicas. Se deniega el tráfico con cualquier etiqueta de VLAN.
Debe habilitar la Opción avanzada de política en Visibilidad de funciones para ver el par de cables
virtuales del firewall en el Menú Políticas.
Verificación de conocimientos.
1. ¿Qué ajuste de configuración se debe habilitar para permitir el tráfico etiquetado con VLAN a
través de un par de cables virtual?
A. Puente transparente.
B. VLAN comodín.
Software Switch.
Puede agrupar varias interfaces físicas e inalámbricas
inalámbri cas en una única interfaz de conmutador
virtual.
Solo se admite en modo NAT.
Actúa como un interruptor de capa 2 tradicional.
Las interfaces:
o Comparte la misma dirección IP.
Pertenecen al mismo dominio de difusión.
o
Un software switch agrupa varias interfaces para formar un switch virtual, que actúa como un switch
tradicional de capa 2. Esto significa que todas las interfaces del switch forman parte del mismo
dominio de difusión.
Cada software switch tiene una interfaz virtual asociada. La dirección IP es compartida por todas las
interfaces físicas del switch y los SSID miembros. Utilice esta interfaz virtual en las políticas de
firewall y la configuración de enrutamiento.
En este ejemplo, el administrador agrupó una interfaz inalámbrica con port1 y port2 para formar un
software switch. Estas tres interfaces forman parte del mismo dominio de difusión. Todos los
dispositivos conectados
conectados a las interfaces del switch pertenecen a la misma subred IP: 192.168.1.0/24 .
Esto permite que FortiGate reenvíe el tráfico de transmisión de los clientes inalámbricos al port1 y
port2.
La propia interfaz del software switch tiene una dirección IP, que también se encuentra en la misma
subred: 192.168.1.0/24. Esta es la dirección IP de la puerta de enlace predeterminada para todos
los dispositivos conectados al software switch.
swi tch.
El servidor 10.0.1.1 está conectado a una interfaz (dmz) que no forma parte del software switch.
Por lo tanto, pertenece a un dominio de transmisión y una subred IP diferentes.
Tormentas de transmisión.
Cuando un conmutador recibe un mensaje de transmisión directa, ese mensaje se envía a
todos los puertos.
Con una ruta redundante, esto puede provocar una tormenta de difusión.
Siempre que sea posible, los diseñadores de redes intentan proporcionar redundancia en sus redes.
Cuanto mayor sea la red,
r ed, más crítica será la necesidad de redundancia. Sin embargo, la
l a redundancia
presenta sus propios problemas
Cuando un switch Ethernet recibe una trama, la reenvía a todos los puertos del mismo dominio de
difusión, excepto al puerto en el que recibió la trama. Si hay una ruta redundante en la red, la trama
se transmitirá por ambos enlaces. Esto crearía lo que se llama una tormenta de transmisión, que
eventualmente conducirá a un colapso completo de la red a medida que la trama se retransmite
una y otra vez, a través de cada puerto.
Habilitar STP.
STP proporciona un mecanismo dinámico y automático para evitar tormentas de difusión.
STP funciona eligiendo primero un switch en el dominio de difusión para que sirva como puente
raíz. Luego, los switches comienzan a intercambiar paquetes especiales llamados unidades de datos
de protocolo de puente o BPDU. Estas BPDU proporcionan a cada switch información sobre sus
vecinos y sus interfaces vecinas. Cuando se conocen todas las rutas, los switches identifican los
bucles potenciales y designan un puerto raíz, según el costo de reenvío más bajo, que será la ruta
principal. Los otros puertos, que podrían resultar en un
u n bucle, están bloqueados.
Debido a que las BPDU se envían cada dos segundos, los switches pueden detectar cualquier
interrupción de la red y desbloquear los puertos según sea necesario para restaurar una ruta
alternativa alrededor de la interrupción.
Configuración STP.
Para configurar FortiGate para participar en STP:
Para permitir que FortiGate participe en el árbol STP, use el comando config system stp en la CLI.
Tenga en cuenta que esto solo es compatible con modelos que tienen interfaces de switch físico,
como FortiGate 30D, 60D, 60E y 90D.
Reenvío STP.
Configure cada interfaz para bloquear (predeterminado) o reenviar STP.
Para las interfaces que no son interfaces de conmutador físico, puede reenviar o bloquear las BPDU
de STP.
Verificación de conocimientos.
1. ¿Cuál es el modo STP predeterminado para FortiGate?
A. FortiGate reenvía pasivamente BPDU.
B. FortiGate tiene todas las funciones de STP
ST P deshabilitadas.
Mejores prácticas.
Cree dominios de reenvío cuando se utilicen VLAN y configure vlanforward para que se
desactive en todas las interfaces físicas relevantes
El ID de dominio de reenvío puede ser diferente del ID de VLAN, pero se recomienda para
¿Qué es IPsec?
Une redes y hosts remotos en una red privada.
Generalmente proporciona:
o Autenticación.
o Integridad de los datos (a prueba de manipulaciones).
o
Confidencialidad de los datos (cifrado).
En teoría, IPsec admite el cifrado nulo, es decir, puede crear VPN que no cifren el tráfico. IPsec
también admite la integridad de datos nulos. ¿Pero eso ofrece alguna ventaja sobre el tráfico
normal? No. Nadie puede confiar en el tráfico que pueda haber sido inyectado por un atacante. Rara
vez la gente quiere que los datos sean enviados por una fuente desconocida. La mayoría de las
personas también
crédito y los quieren
registros quepermanezcan
médicos, los datos de red privados, como las transacciones con tarjetas de
privados.
Independientemente del proveedor, las VPN IPsec casi siempre tienen configuraciones que les
permiten brindar tres beneficios importantes:
Autenticación: para verificar la identidad de ambos extremos.
Integridad de los datos (o HMAC): Para demostrar que los datos encapsulados no han sido
manipulados al cruzar una red potencialmente hostil.
Confidencialidad (o encriptación): para asegurarse de que solo el destinatario previsto
pueda leer el mensaje.
Si está pasando su VPN a través de firewalls, es útil saber qué protocolos permitir.
Por lo tanto, si necesita pasar el tráfico IPsec a través de un firewall, recuerde que permitir solo un
protocolo o número de puerto generalmente no es suficiente.
Tenga en cuenta que IPsec RFC menciona AH; sin embargo, AH no ofrece cifrado, un beneficio
importante. Por tanto, FortiGate no utiliza AH. Como resultado, no necesita permitir el protocolo IP
AH (51)
Para hacer una VPN, debe configurar ajustes coincidentes en ambos extremos, ya sea que la VPN
esté entre dos dispositivos FortiGate, un FortiGate y FortiClient, o un dispositivo de terceros y un
FortiGate. Si la configuración no coincide, la configuración del túnel fallará.
Capa IP adicional en modo túnel, luego
TCP / UDP.
IPsec proporciona servicios en la capa de IP (red). Durante el establecimiento del túnel, ambos
¿Qué está encapsulado? Depende del modo de encapsulación que se utilice. IPsec puede funcionar
en dos modos, modo de transporte y modo de túnel.
El modo de transporte encapsula y protege directamente la cuarta capa (transporte) y
superior. El encabezado de IP original no está protegido y no se agrega
agreg a ningún encabezado
de IP adicional.
El modo túnel es un verdadero túnel. Todo el paquete IP está encapsulado y se agrega un
nuevo encabezado IP al principio. Una vez que el paquete IPsec llega a la LAN remota y se
desenvuelve, el paquete original puede continuar su viaje.
Tenga en cuenta que después de eliminar los encabezados relacionados con VPN, un paquete de
modo de transporte no se puede transmitir más, no tiene un segundo encabezado IP en su interior,
por lo que no es enrutable. Por esa razón, este modo generalmente se usa solo para VPN de un
extremo a otro (o de cliente a cliente).
¿Qué es IKE?
Utiliza el puerto UDP 500 (y el puerto UDP 4500 al cruzar NAT).
Negocia las claves privadas, la autenticación y el cifrado de un túnel.
Etapas:
o
Fase 1.
o Fase 2.
Versiones:
o IKEv1 (legado, adopción más amplia).
o IKEv2 (adopción nueva y más sencilla).
IKE usa el puerto UDP 500. Si NAT-T está habilitado en un escenario NAT, IKE usa el puerto UDP
4500.
IKE establece un túnel VPN IPsec. FortiGate usa IKE para negociar con el par y determinar la
asociación de seguridad (SA) de IPsec. IPsec SA define la autenticación,
aut enticación, las claves y la configuración
que se utilizará para cifrar y descifrar los paquetes de ese par. Se basa en el Protocolo de
administración de claves y asociación de seguridad de Internet (ISAKMP).
Negociación-SA.
IKE permite a las partes involucradas en una transacción configurar sus SA.
o Las SA son la base para construir funciones de seguridad en IPsec.
o En el tráfico bidireccional normal, el intercambio está protegido por un par de SA.
o Los administradores de IPsec deciden los algoritmos de encriptación y autenticación
que se pueden utilizar en el intercambio.
IKE utiliza dos fases distintas:
o Resultado de la fase 1: IKE SA.
o Resultado de la fase 2: IPsec SA.
Para crear un túnel IPsec, ambos dispositivos deben establecer sus SA y claves secretas, que se
facilitan mediante el protocolo IKE.
La arquitectura de IPsec utiliza SA como base para construir funciones de seguridad en IPsec. Una
SA es simplemente el conjunto de algoritmos y parámetros que se utilizan para cifrar y autenticar
los datos que viajan a través del túnel. En el tráfico bidireccional normal, este intercambio está
protegido por un par de SA. uno para cada sentido del tráfico Esencialmente, ambos lados del túnel
deben acordar las reglas de seguridad. Si ambos lados no pueden ponerse de acuerdo sobre las
reglas para enviar datos y verificar la identidad de los demás entonces no se establecerá el túnel.
Los SA caducan y los pares deben renegociarlos una vez que hayan alcanzado su vida útil.
IKE utiliza dos fases distintas: fase 1 y fase 2. Cada fase negocia diferentes tipos de SA. La SA
negociada durante la fase 1 se llama IKE SA y la SA negociada durante la fase 2 se llama IPsec SA. Las
SA de IKE se utilizan para configurar un canal seguro para
p ara negociar las claves que se utilizan para la
negociación de SA de IPsec Las SA de IPsec se utilizan para cifrar y descifrar los datos enviados y
recibidos, respectivamente, a través del túnel.
Los VPN de acceso remoto se utilizan cuando los usuarios de Internet remotos necesitan conectarse
de forma segura a la oficina para acceder a los recursos
re cursos corporativos. El usuario remoto se conecta
a un servidor VPN ubicado en las instalaciones corporativas, como FortiGate, para establecer un
túnel seguro. Una vez que el usuario está autenticado, FortiGate proporciona acceso a los recursos
de la red, según los permisos otorgados a ese usuario.
En una VPN de acceso remoto, FortiGate generalmente se configura como un servidor de acceso
telefónico. Aprenderá más sobre las VPN de acceso telefónico en esta lección. La dirección IP del
usuario de Internet remoto suele ser dinámica. Debido a que FortiGate no conoce la dirección IP del
usuario remoto, solo el usuario remoto puede iniciar una solicitud de conexión VPN.
En el lado del usuario remoto, se necesita un cliente VPN, como FortiClient. FortiClient debe
configurarse para que coincida con la configuración del servidor VPN y se encarga de establecer el
túnel, así como enrutar el tráfico destinado al sitio remoto a través del túnel.
Además, una configuración de VPN de acceso remoto en su FortiGate se puede usar para muchos
usuarios remotos, y para cada uno de ellos, se establece un túnel separado.
La VPN de sitio a sitio también se conoce como VPN de LAN a LAN. Una implementación simple de
sitio a sitio involucra a dos pares que se comunican directament
directamentee para conectar dos redes ubicadas
en diferentes oficinas.
Cuando es necesario conectar más de dos ubicaciones, se puede utilizar una topología de
concentrador
concentrad or y radio.
r adio. En hub-and-spoke, todos los clientes se conectan a través de un hub central.
En el ejemplo que se muestra en esta imagen, los radios de los clientes son dispositivos FortiGate
de sucursales. Para que cualquier sucursal llegue a otra sucursal, su tráfico debe pasar por el
concentrador. Una ventaja de esta topología es que la configuración necesaria es fácil de
administrar. Otra ventaja es que solo FortiGate en HQ debe ser muy poderoso porque maneja todos
los túneles simultáneamente, mientras que los dispositivos FortiGate de la sucursal requieren
muchos menos recursos porque mantienen solo un túnel. Una desventaja es que la comunicación
entre las sucursales a través de HQ es más lenta que en una conexión directa, especialmente si su
HQ está físicamente distante. Además, si el FortiGate en HQ falla, la falla de la VPN afectará a toda
la empresa
En una topología de malla, puede conectar dispositivos FortiGate directamente y, por lo tanto,
omitir HQ. Existen dos variaciones de topología de malla: malla completa y malla parcial. La malla
completa conecta cada ubicación con cualquier otra ubicación. Cuanto mayor sea el número de
dispositivos FortiGate, mayor será el número de túneles para configurar en cada FortiGate. Por
ejemplo, en una topología con cinco dispositivos FortiGate, necesitaría configurar cuatro túneles en
cada dispositivo, para un total de 20 túneles. Esta topología provoca menos latencia y requiere
mucho menos ancho de banda HQ que el hub-and-speak, pero requiere que cada FortiGate sea más
potente. La malla parcial intenta comprometer la minimización de los recursos necesarios, pero
también la latencia. La malla parcial puede ser apropiada si no se requiere comunicación entre todas
las ubicaciones. Sin embargo, la configuración de cada FortiGate es más compleja que en hub-and-
speak. El enrutamiento, especialmente, puede requerir una planificación extensa.
Por lo general, cuantas más ubicaciones tenga, el concentrador y radio será más económico, pero
más lento, que una topología de malla. La malla ejerce menos presión sobre la ubicación central, es
más tolerante a fallas, pero también más cara.
Para revisar, esta tabla muestra una comparación de alto nivel de topologías VPN. Debe elegir la
topología que sea más adecuada para su situación.
ADVPN es una función de FortiGate que logra losl os beneficios de una topología de malla completa con
la configuración más sencilla y los beneficios de escalabilidad de las topologías de hub y radio y de
malla parcial.
Primero, agrega las configuraciones de VPN para construir una topología de concentrador y radio o
una topología de malla parcial a los dispositivos FortiGate. Luego, habilita ADVPN en las VPN. ADVPN
negocia dinámicamente túneles entre radios (sin tenerlos preconfigurados) para obtener los
beneficios de una topología de malla completa.
ADVPN requiere un protocolo de enrutamiento dinámico que se ejecute sobre los túneles Psec para
que los radios puedan aprender las rutas a otros radios, después de que las VPN dinámicas hayan
negociado.
Verificación de conocimientos.
1. ¿Qué protocolo IPsec no es compatible con FortiGate?
A. IKEv2.
B. AH.
Asistente de IPsec.
Cuando crea un túnel IPsec en la GUl, FortiGate lo redirige al Asistente de IPsec. El asistente
simplifica la creación de la nueva VPN al guiarlo a través de un proceso de tres a cuatro pasos. El
primer paso es seleccionar un tipo de plantilla. Si desea configurar manualmente su VPN, puede
seleccionar Personalizado como tipo de plantilla, tras lo cual FortiGate lo lleva directamente a la
configuración de la fase 1 y la fase 2 de la nueva VPN.
Además, el asistente muestra un diagrama de red que cambia según la entrada proporcionada. El
propósito del diagrama es que el administrador tenga una
u na comprensión visual de la implementación
de VPN IPsec que el asistente configurará en función de la entrada recibida.
Si es nuevo en FortiGate o no tiene mucha experiencia con las VPN IPsec, se recomienda utilizar el
asistente de IPsec. Posteriormente, puede ajustar la configuración aplicada por el asistente para que
coincida con sus necesidades específicas.
Un uso común del asistente de IPsec es configurar una VPN de acceso remoto para los usuarios de
FortiClient. Aprenderá más sobre la configuración del modo IKE y XAuth
XA uth en esta lección.
Las imágenes anteriores muestran el proceso de cuatro pasos utilizado por el asistente de IPsec para
asignar al administrador la configuración de FortiClient VPN.
El asistente de IPsec utiliza una de las plantillas que se muestran en esta imagen al aplicar la
configuración para el nuevo túnel IPsec. Puede revisar la configuración de una plantilla
seleccionando la plantilla y luego haciendo clic en Ver. La configuración de la plantilla no se puede
cambiar.
La fase 1 tiene lugar cuando cada par del túnel, el iniciador y el respondedor, se conecta y comienza
a configurar la VPN. El iniciador es el par que inicia la negociación de la fase 1, mientras que el
respondedor es el par que responde a la solicitud del iniciador.
i niciador.
Cuando los pares se conectan por primera vez, el canal no es seguro. Un atacante en el medio podría
interceptar claves no cifradas. Ninguno de los pares tiene
tie ne una garantía sólida de la identidad de los
demás, entonces, ¿cómo pueden intercambiar claves privadas sensibles? No pueden. Primero,
ambos pares crean un canal seguro. Utilizarán este canal seguro para proteger la autenticación
fuerte y negociarán las claves reales para el túnel más tarde.
El propósito de la fase 1 es autenticar a los pares y configurar un canal seguro para negociar las SA
de la fase 2 (o SA IPsec) que luego se utilizan para cifrar y descifrar el tráfico entre los pares. para
establecer este canal seguro, los pares negocian una SA de fase 1. Esta SA se denomina IKE SA y es
bidireccional.
Para autenticarse entre sí, los pares utilizan dos métodos: clave precompartida o firma digital.
También se puede habilitar un método de autenticación adicional, XAuth, para mejorar la
autenticación.
En IKE v1, hay dos modos posibles en los que puede tener lugar la negociación de IKE SA: modo
principal y modo agresivo. Los ajustes en ambos extremos deben coincidir; de lo contrario, la
negociación de la fase 1 fallará y ambos pares de IPsec no podrán establecer un canal seguro.
Al final de la fase 1, la SA IKE
I KE negociada se utiliza para negociar las claves DH que se utilizarán en la
fase 2. DH utiliza la clave pública (que ambos extremos conocen) más un factor matemático llamado
nonce, para generar una llave privada común. Con DH, incluso si un atacante puede escuchar los
mensajes que contienen las claves públicas, no puede determinar la clave secreta.
Fase 1 - Red.
La sección que se muestra en esta imagen corresponde a la configuración de red. La sección incluye
la configuración relacionada con la conectividad del túnel IPsec:
Versión de IP: seleccione la versión de IP que se utilizará para el túnel IPsec. Tenga en cuenta
que esto solo define la versión IP de la capa exterior del túnel (después de la encapsulación).
Los paquetes que se encapsulan (tráfico protegido) pueden ser IPv4 o IPv6, y su versión de
IP se define en los selectores de la fase 2.
Puerta de enlace remota: define el tipo de puerta de enlace remota. Hay tres tipos:
dirección IP estática, usuario de acceso telefónico y DNS dinámico. Aprenderá más sobre
estos tipos en esta lección.
Dirección IP: Dirección IP de la puerta de enlace remota Este campo solo aparece cuando
selecciona Dirección IP estática como Puerta de enlace remota.
Interfaz: Se refiere a la interfaz donde termina el túnel IPsec en el FortiGate local. Por lo
general, esta es la interfaz conectada a Internet o WAN. Debe asegurarse de que haya una
ruta activa a la puerta de enlace remota a través de esta interfaz; de lo contrario, el túnel
no se activará.
Puerta de enlace local: habilite esta configuración cuando la interfaz donde termina el túnel
tenga varias direcciones asignadas y desee especificar qué dirección usar para el túnel.
Cuando habilite esta configuración, verá tres opciones: IP principal, IP secundaria y
Especificar. Seleccione Especificar si desea utilizar
utili zar una dirección IP diferente de la dirección
IP principal o secundaria.
Mode Config: habilita la configuración automática a través de IKE. FortiGate actúa como
cliente de configuración del modo IKE cuando
cuando habilita la configuración del Modo Config y
configura la puerta de enlace remota en dirección IP estática o DNS dinámico. Si configura
una puerta de enlace remota en Dialup User, FortiGate actúa como servidor de
configuración del modo IKE y aparecen más opciones de configuración en la GUL. Aprenderá
más sobre Mode Config en esta lección.
A continuación, se muestran las otras opciones disponibles en la GUI para la sección Red.
Tiene tres opciones al configurar el tipo de puerta de enlace remota de su VPN: usuario de acceso
telefónico, dirección IP estática y DNS dinámico.
El usuario de acceso telefónico se utiliza cuando se desconoce la dirección IP del par remoto. El par
remoto cuya dirección IP se desconoce actúa como cliente de acceso telefónico, y este suele ser el
caso de las sucursales y los clientes de VPN móviles que utilizan direcciones IP dinámicas y no DNS
dinámico.
que actúa El cliente
como de acceso
servidor telefónico
de acceso debe conocer
telefónico. Debidolaadirección IP o FODN
que el servidor del gateway
de acceso remoto,
telefónico no
conoce la dirección de los pares remotos, solo el cliente de acceso telefónico puede iniciar el túnel
VPN.
Por lo general, los clientes de acceso telefónico son empleados móviles y remotos con FortiClient
en su computadora o dispositivos portátiles. También puede tener un dispositivo FortiGate que
actúe como un cliente de acceso telefónico para una oficina remota. Una configuración de servidor
de acceso telefónico en su FortiGate se puede utilizar para múltiples túneles IPsec desde muchas
oficinas o usuarios remotos.
La dirección IP estática o el DNS dinámico se utilizan cuando conoce la dirección del par remoto. Si
selecciona una dirección
dirección IP estática, debe proporcionar una dirección IP. Si selecciona DNS dinámico,
debe proporcionar
resolver ese FODN. un nombre
Cuando de dominio
ambos completo
pares conocen (FQDN) ydel
la dirección asegurarse de que
par remoto, estoFortiGate pueda
es, la puerta de
enlace remota en ambos pares está configurada para una dirección IP estática o DNS dinámico,
entonces cualquier
cualquier par puede iniciar el túnel VPN.
Tenga en cuenta que, en una configuración de acceso telefónico, el cliente de acceso telefónico es
solo un par VPN con la puerta de enlace remota, configurado en una dirección IP estática o DNS
dinámico. Al configurar su VPN, puede combinar diferentes tipos de puertas de enlace remotas. Por
razones obvias, un túnel en el que ambos pares tienen la puerta de enlace remota configurada para
el usuario de acceso telefónico no funcionará.
La configuración del modo IKE es similar a DHCP, porque un servidor asigasigna
na la configuración de red,
como la dirección IP, la máscara de red y los servidores DNS, a los clientes. Esta asignación se realiza
a través de mensajes IKE.
Cuando habilita la configuración del modo en un FortiGate que actúa como servidor de acceso
telefónico, envía laser
telefónico suelen configuración de red apero
pares de Forticlient, los clientes
tambiéndepueden
accesoser
telefónico.
pares deLos clientes de acceso
FortiGate.
Para que la configuración del modo IKE funcione, debe habilitar la función en ambos pares. En
FortiClient, la configuración del modo está habilitada de forma predeterminada, pero en FortiGate,
debe habilitarla manualmente.
Tenga en cuenta que los ajustes de configuración del modo IKE solo se muestran en la GUI cuando
la puerta de enlace remota está configurada como usuario de acceso telefónico. En FortiGate que
actúa como cliente de acceso telefónico, puede marcar la opción Configuración de modo en la GUI,
pero no se mostrarán
m ostrarán configuraciones adicionales.
El protocolo ESP generalmente tiene problemas para cruzar dispositivos que realizan NAT. Una de
las razones es que ESP no tiene números de puerto, como lo hacen TCP y UDP, para diferenciar el
tráfico de un túnel u otro.
Para solucionar esto, se agregó NAT transversal (NAT-T) a las especificaciones de IPsec. Cuando
NAT-T está habilitado en ambos extremos, los pares pueden detectar cualquier dispositivo NAT a
Por lo tanto, si tiene dos dispositivos FortiGate que están detrás, por ejemplo, un módem ISP que
tiene NAT, probablemente necesitará habilitar esta configuración.
Después de que se negocian las SA de IPsec de un túnel y, por lo tanto, el túnel se considera activo,
los pares no suelen negociar otra SA de IPsec hasta que expira. En la mayoría de los casos, IPsec SA
caduca cada pocas horas. Esto significa que, si hay una interrupción de la red a lo largo de la ruta
del túnel antes de que expire IPsec SA, los pares continuarán enviando tráfico a través del túnel,
aunque se interrumpa la comunicación entre los sitios.
Cuando DPD está habilitado, se envían sondas DPD para detectar un túnel fallado (o inactivo) y
derribarlo antes de que expiren sus SA IPsec. Este mecanismo de detección de fallas es muy útil
cuando tiene rutas redundantes al mismo destino y desea realizar una conmutación por error para
una conexión de respaldo cuando la conexión principal falla para mantener la conectividad entre
los sitios.
Bajo demanda: FortiGate envía sondas DPD si solo hay tráfico saliente a través del túnel, pero no
entrante. Debido a que las aplicaciones de red suelen ser bidireccionales, observar solo el tráfico
en la dirección de salida podría ser una indicación de una falla en la rred.
ed.
En reposo: FortiGate envía sondas DPD cuando no se observa tráfico en el túnel. Un túnel inactivo
no significa necesariamente que el túnel esté muerto. Evite este modo si tiene muchos túneles,
porque la sobrecarga introducida por DPD puede consumir muchos
m uchos recursos.
Deshabilitado: FortiGate solo responde a las sondas DPD recibidas. FortiGate nunca envía sondas
DPD al par remoto y, por lo tanto, no puede detectar un túnel muerto.
El modo DPD predeterminado es On Demand. En términos de escalabilidad, On Demand es una
mejor opción que On Idle.
Fase 1: autenticación.
Versión: le permite seleccionar la versión de IKE a utilizar. Al seleccionar la versión 2, los modos
agresivo y principal desaparecen porque no se aplican a IKEv2.
Modo : se refiere
ID). Aprenderá al modo
más IKEv1.modos
sobre estos Hay dos
enopciones disponibles: agresivo y principal (protección de
esta lección.
l ección.
Agresivo.
No es tan seguro como el modo principal.
Negociación más rápida (tres paquetes intercambiados).
Se utiliza principalmente para acceso telefónico.
IKE admite dos modos de negociación diferentes: principal y agresivo. ¿Cuál deberías utilizar?
Para responder a esa pregunta, podemos analizar tres categorías: seguridad, rendimiento e
implementación.
En cuanto a la seguridad, el modo principal se considera más seguro porque el hash de la clave
precompartida se intercambia cifrado, mientras que, en el modo agresivo, el hash se intercambia
sin cifrar, el hecho de que el hash de la clave previamente compartida se haya cifrado en modo
principal reduce considerablemente las posibilidades de un ataque exitoso.
En términos de rendimiento, el modo agresivo puede ser una mejor opción. Esto se debe a que la
negociación se completa después de que solo se intercambian tres paquetes, mientras que, en el
modo principal, se intercambian seis paquetes. Por esta razón, es posible que desee utilizar el modo
agresivo cuando una gran cantidad de túneles terminan en el mismo dispositivo FortiGate y el
rendimiento es una preocupación.
Otro caso de uso para el modo agresivo es cuando hay más de un túnel de acceso telefónico que
termina en la misma dirección IP de FortiGate y el par remoto se autentica mediante un par ID
porque su dirección IP es dinámica. Debido a que la información de ID de peer se envía en el primer
paquete en una negociación de modo agresivo, FortiGate puede hacer coincidir al peer remoto con
el túnel de acceso telefónico correcto. Esto último no es posible en el modo principal porque la
información de ID de peer se envía en el último paquete, y después de que se haya identificado el
túnel.
Sin embargo, si desea implementar túneles IPsec de sitio a sitio, y para cada túnel, FortiGate está
configurado con la dirección IP del par remoto, entonces FortiGate puede identificar a los pares
remotos por sus direcciones IP y, como resultado, asociarlos a la
l a dirección correcta del túnel IPsec.
Ahora, conocerá la sección Propuesta de fase 1 sobre la configuración de la fase 1. Esta sección le
permite habilitar las diferentes propuestas que FortiGate soporta a la hora de negociar el IKE SA (o
fase 1 SA). Puede combinar diferentes parámetros para satisfacer sus necesidades de seguridad.
Debe configurar al menos una combinación de algoritmos de cifrado y autenticación, o varios.
Cifrado: seleccione el algoritmo que se utilizará para cifrar y descifrar los datos.
Autenticación: seleccione el algoritmo de autenticación que se utilizará para verificar la
integridad y autenticidad de los datos.
Grupos Diffie-Hellman: Habilitar Diffie-Hellman (DH) es opcional pero recomendable.
Cuando habilita DH, las claves secretas utilizadas en la fase 2 se intercambian de una
manera más segura.
Vida útil de la clave: defina la vida útil de IKE SA. Al final de la vida útil, se negocia una
nueva IKE SA.
Identificación local: si el par acepta una identificación de par específica, ingrese la misma
La fase 1 admite dos tipos de autenticación: claves previamente compartidas y firmas digitales. La
extensión XAuth, a veces denominada fase 1.5, obliga a los usuarios remotos a autenticarse
adicionalmente con sus credenciales (nombre de usuario y contraseña). Por lo tanto, se
intercambian paquetes de autenticación adicionales si la habilita. ¿Cuál es el beneficio?
Autenticación más sólida.
Cuando Remote Gateway está configurado en Dialup User, FortiGate actúa como el servidor de
autenticación y la sección XAUTH muestra las opciones de tipo de servidor de autenticación: PAP
Server, CHAP Server y Auto Server. En el ejemplo que se muestra en esta diapositiva, se selecciona
Auto Server, lo que significa que FortiGate detecta automáticamente el protocolo de autenticación
utilizado por el cliente.
La otra forma de autenticar a los usuarios de VPN con XAuth es seleccionando Heredar de la
política. Cuando selecciona esta opción, FortiGate autentica a los usuarios según su política IPsec
coincidente y como resultado. la configuración para controlar el acceso a la red es más sencilla. Es
decir, usted controla el acceso a la red configurando múltiples políticas para diferentes grupos de
usuarios, en lugar de configurar múltiples túneles para diferentes grupos de usuarios. La opción
Heredar de la política sigue un enfoque de autenticación similar que se utiliza para los usuarios
remotos de SSL VPN. Aprenderá más sobres obre SSL VPN en otra lección.
Cuando Remote Gateway está configurado en Static IP Address o Dynamic DNS, FortiGate actúa
como el cliente, y la sección XAUTH muestra la opción Client como Type. Luego, puede configurar
las credenciales que FortiGate usa para autenticarse contra el par remoto a través de XAuth.
Una vez que la fase 1 ha establecido un canal seguro para intercambiar datos, comienza la fase 2.
La fase 2 negocia los parámetros de seguridad para dos SA de IPsec a través del canal seguro
establecido durante la fase 1. ESP utiliza las SA de IPsec para cifrar y descifrar el tráfico
intercambiado entre sitios.
La fase 2 no termina cuando comienza el ESP. La fase 2 renegocia periódicamente las SA de IPsec
para mantener la seguridad. Si habilita Perfect Forward Secrecy, cada vez que expire la fase 2,
FortiGate usará DH para recalcular nuevas claves secretas. De esta manera, las claves nuevas no se
derivan de claves más antiguas, lo que dificulta mucho más que un atacante rompa el túnel.
Cada fase 1 puede tener varias fases 2. ¿Cuándo pasaría esto? Por ejemplo, es posible que desee
utilizar diferentes claves de cifrado para cada subred cuyo tráfico cruza el túnel. ¿Cómo selecciona
FortiGate qué fase 2 usar? Comprobando qué selector de fase 2 (o selector de modo rápido)
coincide con el tráfico.
FortiGate es la
configuración de destino
en el otro.
Seleccione qué selector usar usando:
o Dirección local y remota.
o Número de protocolo.
Puerto local y puerto remoto.
o
En la fase 2, debe definir el dominio de cifrado (o tráfico interesante) de su túnel IPsec El dominio
de cifrado se refiere al tráfico que desea proteger con IPsec, y está determinado por la configuración
del selector de la fase 2
Puede configurar varios selectores para tener un control más granular sobre el tráfico. Cuando
configura un selector de fase 2, especifica el dominio de cifrado indicando los siguientes parámetros
de red:
Dirección local y dirección remota: como se muestra en el ejemplo que se muestra en esta
diapositiva, puede definir direcciones IPv4 o IPv6 utilizando diferentes ámbitos de dirección. Al
seleccionar Dirección nombrada o Dirección IPv6 nombrada, FortiGate le permite seleccionar un
objeto de dirección de firewall IPv4 o IPv6, respectivamen
r espectivamente,
te, configurado en el sistema.
Protocolo: se muestra en la sección Avanzado y está configurado en Todos de forma
predeterminada
Puerto local y puerto remoto: También se muestra en la sección Avanzado y se establece en Todos
de forma predeterminada. Solo se aplica al tráfico basado en puertos como TCP o UDP. Aprenderá
más sobre la sección Avanzado en esta lección.
Tenga en cuenta que después de que el tráfico sea aceptado por una política de fi
firewall,
rewall, el tráfico
se
de eliminará antes de ingresar
fase 2 configurados. Por estaalrazón,
túnel IPsec
por losigeneral,
el tráfico
esno coincide
más con
intuitivo ninguno
filtrar de loscon
el tráfico selectores
políticas
de firewall. Por lo tanto, si no desea usar el filtrado del selector de fase 2, puede crear un selector
de fase 2 con la
l a dirección local y remota configurada en cualquier subred, como en el ejemplo que
se muestra en esta diapositiva, y luego usar políticas de firewall para controlar qué tráfico se acepta a cepta
en el túnel IPsec.
Además, los parámetros de red del selector de fase 2 en ambos pares deben coincidir si el túnel es
de punto a punto. Eso es cuando la puerta de enlace remota no está configurada para el usuario de
acceso telefónico.
Fase 2 - Propuesta de la
Fase 2.
Determina los algoritmos de cifrado.
o Se pueden configurar múltiples
propuestas para mayor
flexibilidad.
o Afecta el rendimiento y la
descarga de hardware.
Para cada selector de fase 2, debe configurar una o más propuestas de fase 2. Una propuesta de
fase 2 define los algoritmos admitidos por el par para
par a cifrar y descifrar los datos a través del túnel.
Puede configurar varias propuestas para ofrecer más opciones al par remoto al negociar las SA de
IPsec.
o
tiempo). (basado en volumen).
Kilobytes
o Ambos (el que expire primero).
No es necesario que los umbrales de
duración de las claves coincidan para
que surja el túnel.
La negociación automática evita la
interrupción causada por la
renegociación de SA.
Autokey Keep Alive mantiene el túnel
en funcionamiento.
Las SA de IPsec se renegocian periódicamente para mejorar la seguridad, pero ¿cuándo sucede?
Depende de la configuración de la vida útil de la clave configurada en la propuesta de la fase 2.
El vencimiento de una SA de IPsec está determinado por el tipo de vida útil y el umbral configurado.
De forma predeterminada, la duración de la clave se establece en segundos (basado en el tiempo).
Esto significa que cuando la duración del SA alcanza la cantidad de segundos establecida como
Segundos, el SA se considera vencido. También puede establec
establecer
er la vida útil de la clave en Kilobytes
(basada en volumen), tras la cual el SA expira después de que la cantidad de tráfico cifrado y
descifrado con ese SA alcanza el umbral establecido. Alternativamente, puede seleccionar Ambos
como el tipo de vida útil de la clave, en el que FortiGate rastrea tanto la duración del SA como la
cantidad de tráfico. Luego, cuando se alcanza cualquiera de los dos umbrales, el SA se considera
vencido. Tenga en cuenta que los umbrales de vida útil de las claves no tienen que coincidir para
que aparezca el túnel. Cuando los umbrales son diferentes, los pares acuerdan utilizar el valor de
umbral más bajo ofrecido entre los dos
Cuando vencen las SA de IPsec, FortiGate necesita negociar nuevas SA para continuar enviando y
recibiendo tráfico a través del túnel de IPsec. Técnicamente, FortiGate elimina las SA caducadas de
los respectivos selectores de fase 2 e instala otras nuevas. Si la renegociación de IPsec SA lleva
demasiado
activas. Paratiempo, FortiGate
evitar esto, puedepuede eliminar
habilitar el tráfico
Negociar interesante Cuando
automáticamente. debido ahace
la ausencia de SA
esto, FortiGate
no solo negocia nuevas SA antes de que expiren las SA actuales, sino que también comienza a
utilizar las nuevas SA de inmediato. Este último evita la interrupción del tráfico por la renegociac
r enegociación
ión
de IPsec SA.
Otro beneficio de habilitar la negociación automática es que el túnel sube y permanece activo
automáticamente, incluso cuando no hay tráfico interesante. Cuando habilita Autokey Keep Alive y
mantiene Auto-negociación deshabilitada,
deshabilitada, el túnel no se abrirá automáticamente a menos que haya
tráfico interesante. Sin embargo, una vez que el túnel está activo, permanece así porque FortiGate
envía periódicamente paquetes de mantenimiento activo a través del túnel. Tenga en cuenta que
cuando habilita Negociar automáticamente, Autokey Keep Alive A live está habilitado implícitamente.
En algunos modelos de FortiGate, puede descargar el cifrado y descifrado del tráfico IPsec al
hardware. Los algoritmos admitidos dependen del modelo y tipo de procesador de la unidad que
está descargando el cifrado y el descifrado. Para obtener una lista de los algoritmos de cifrado
admitidos para la descarga de hardware IPsec, consulte https: /docsfo
/docsfortimet.com.
rtimet.com.
Por último, si desea utilizar FEC para túneles IPsec, debe deshabilitar la descarga de IPsec para que
la función funcione.
Verificación de conocimientos.
1. ¿Qué tipo de peer VPN no puede iniciar un túnel VPN?
A. Servidor de acceso telefónico.
B. Cliente de acceso telefónico.
o Soportado por:
LTP2 sobre IPsec.
FortiGate admite dos tipos de VPN IPsec: basadas en enrutamiento y basadas en políticas. La basada
en políticas es una VPN IPsec heredada que solo se admite por razones de compatibilidad con
versiones anteriores y no se recomienda su uso para nuevas implementaciones. A menos que se
En una VPN IPsec basada en rutas, FortiGate agrega automáticamente una interfaz virtual con el
nombre de la VPN. Esto significa que no solo puede configurar políticas de enrutamiento y firewall
para el tráfico IPsec de la misma manera que lo hace para el tráfico que no es IPsec, sino que
también puede aprovechar la presencia de múltiples conexiones al mismo destino para lograr la
redundancia.
Otro beneficio de las VPN IPsec basadas en rutas es que puede implementar variaciones de VPN
IPsec como LT2P Over-lPsec y GRE-over-Psec. Además, también puede habilitar protocolos de
enrutamiento dinámico con fines de escalabilidad y selección de la mejor ruta.
add-route está habilitado
(predeterminado).
(predeterminado).
o No es necesario configurar rutas estáticas.
o Las rutas estáticas se agregan después de que finaliza la fase 2.
El destino es la red local presentada por el cliente de acceso telefónico
Aunque puede usar protocolos de enrutamiento dinámico para IPsec VPN, esta lección solo cubre
el uso de rutas estáticas.
La configuración de enrutamiento necesaria para su VPN IPsec depende del tipo de puerta de enlace
remota configurada. Cuando la puerta de enlace remota está configurada en Usuario de acceso
telefónico y la opción add-route está habilitada, FortiGate agrega automáticamente una ruta estática
para la red local presentada por el par remoto durante la fase 2 de negociación. Además, la ruta se
agrega a la tabla de enrutamiento solo después
después de que la fase 2 está activa. Si la fase 2 baja, la ruta
estática se elimina de la tabla de enrutamiento.
Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico y add-route
está deshabilitado, FortiGate no agrega rutas estáticas automáticamente. En este caso, se utiliza un
protocolo de enrutamiento dinámico entre los pares remotos para intercambiar información de
enrutamiento.
Cuando la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, debe
configurar rutas estáticas. Cuando configura la ruta estática, selecciona la interfaz virtual del túnel
IPsec como la interfaz de salida.
Debe configurar al menos una política de cortafuegos que acepte tráfico en su túnel IPsec. De lo
contrario, el túnel no aparecerá.
Cuando configura políticas de firewall para tráfico que no es IPsec, la política determina la dirección
del tráfico que inicia sesiones. Lo mismo se aplica al tráfico de IPsec. Por esta razón, normalmente
desea configurar al menos dos políticas de firewall para su VPN de IPsec: una política de entrada y
una política de salida. La política entrante permite el tráfico iniciado desde el sitio remoto, mientras
que la política saliente permite que el tráfico se inicie desde la red local.
Tenga en cuenta que las políticas se configuran con la interfaz de túnel virtual (o el nombre de la
fase 1) como interfaz entrante o saliente.
sal iente.
Verificación de conocimientos.
1. ¿Qué tipo de VPN IPsec es heredado y no se recomienda para nuevas implementaciones?
A. VPN basada en rutas.
r utas.
B. VPN basada en políticas.
VPN redundantes.
Si el túnel VPN principal falla, FortiGate luego enruta el tráfico a través de la VPN de
respaldo.
Parcialmente redundante: un par tiene dos conexiones.
¿Cómo puede hacer que su implementación de VPN IPsec sea más resistente? Proporcione una
segunda
usar otroconexión ISPlugar.
túnel en su a su sitio y configure dos VPN IPsec. Si la VPN IPsec principal falla, se puede
Completamente redundante: ambos pares terminan sus VPN en diferentes puertos físicos, por lo
que ambos son tolerantes a fallas.
En tercer lugar, debe agregar al menos una ruta estática para cada VPN.
VP N. Las rutas de la VPN principal
deben tener una distancia menor (o una prioridad menor) que la de respaldo. Esto hace que
FotiGate utilice la VPN principal mientras está disponible. Si la VPN principal falla, FortiGate usa
automáticamente la ruta de respaldo. Alternativamente, puede utilizar un protocolo de
enrutamiento dinámico, como OSPF o BGP.
Por último, configure las políticas de firewall para permitir el tráfico a través de la VPN principal y
de respaldo.
Verificación de conocimientos
1. ¿Qué función debe habilitarse en una implementación de VPN IPsec redundante?
A. DPD.
B. XAuth.
Estado de la fase 1.
Disponible solo en la CLI:
El widget del monitor IPsec en la GUI muestra solo información de la fase 2. Si desea obtener
información sobre la fase 1, debe utilizar la CLI. El ejemplo de esta imagen muestra el resultado del
comando get vpn ike gateway, que muestra información detallada de la fase 1.
En el panel de la GUI, puede usar el widget IPsec para monitorear el estado de sus VPN IPsec. El
widget solo muestra el estado de la fase 2 de un túnel y no su estado de la fase 1.
También puede subir o bajar túneles individuales y obtener detalles adicionales. Cuando subes o
bajas túneles con el widget IPsec, solo estás afectando el estado de la fase 2 del túnel, no su estado
de la fase 1.
Si el túnel está arriba, lo que significa que la fase 2 está arriba, se muestra una flecha verde hacia
arriba junto a su nombre. Si está hacia abajo, se muestra una flecha roja ha hacia
cia abajo.
El widget de IPsec también muestra la cantidad de datos enviados y recibidos a través del túnel.
Cuando hace clic con el botón derecho en cualquiera de las columnas, se muestra un menú con una
lista de todas las columnas disponibles. Puede habilitar columnas adicionales para obtener más
detalles sobre los túneles IPsec.
Si la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, las rutas
estáticas para estos túneles se activan en la tabla de enrutamiento después de que aparece la fase
1. La negociación de la fase 1 se inicia automáticamente porque la negociación automática está
habilitada en la fase 1 de forma predeterminada. Este comportamiento permite que FortiGate haga
coincidir el tráfico interesante con el túnel correcto. Además, si la fase 2 no está activa, el tráfico
que coincida con la ruta estática desencadenará una negociación
n egociación de la fase 2, que finalmente dará
como resultado la aparición del túnel (o la fase 2).
Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico, de forma
predeterminada, se agrega una ruta estática para la red de destino después de que aparece la fase
2. La distancia establecida para la ruta estática es 15. Si la fase 2 falla, la ruta se elimina de la tabla
de enrutamiento.
Registros de IPsec.
FortiGate
eventos deregistra
VPN delos eventos
IPsec, de VPN
haga clic IPsec
istrode
en Registro
Reg forma predeterminada.
e informe> Para
Eventos> Eventos dever los registros de
VPN.
Verificación de conocimientos.
1. El widget del monitor
m onitor IPsec en la GUI muestra el estado de _________.
A. Fase 1.
B. Fase 2.
2. Cuando la puerta de enlace remota está configurada como usuario de acceso telefónico, se
agrega una ruta estática a la red remota a la tabla de enrutamiento después
después de _______________.
_______________.
A. Surge la fase 1.
B. Surge la fase 2.
SSO y FSSO.
SSO es un proceso que permite a los usuarios identificados acceder a múltiples aplicaciones
sin tener que volver a autenticarse.
FSSO se utiliza normalmente con servicios de directorio, como Windows Active Directory o
Novell eDirectory.
SSO es un proceso que permite a los usuarios iniciar sesión automáticamente en cada aplicación
después de ser identificados, independientemente
independientemente de la plataforma, la tecnología y el dominio.
FSSO es un agente de software que permite a FortiGate identificar a los usuarios de la red para
políticas de seguridad o para acceso a VPN, en implementaciones avanzadas con
FortiAuthenticator, sin pedir su nombre de usuario y contraseña. Cuando un usuario inicia sesión
en un servicio de directorio, el agente FSSO envía a FortiGate el nombre de usuario, la dirección IP
y la lista de grupos a los que pertenece el usuario. FortiGate utiliza esta información para mantener
una base de datos local de nombres de usuario, direcciones IP y asignaciones de grupos.
FSSO se utiliza normalmente con redes de servicios de directorio como Windows Active Directory
o Novell eDirectory.
Modo de sondeo:
o Recopilador basado en agentes.
o Sin agente.
Agente de Terminal Server (TS).
o Mejora las capacidades de inicio de sesión
de un agente recopilador o
FortiAuthenticator.
o Recopila inicios de sesión para Citrix y
servidores de terminal donde varios
usuarios comparten la misma dirección IP.
Novell eDirectory.
Modo de agente de eDirectory.
Utiliza la configuración de Novell APl o LDAP.
La forma de implementar y configurar FSSO depende del servidor que proporciona sus servicios de
directorio.
FSSO para Windows Active Directory (AD) utiliza un agente recolector. Es posible que también se
requieran agentes de controlador de dominio (DC), según el modo de trabajo del agente de
recopilación. Hay dos modos de trabajo que supervisan las actividades de inicio de sesión de los
usuarios en Windows: modo de agente DC y modo de sondeo. FortiGate también ofrece un modo
de sondeo que no requiere un agente recolector, que está diseñado para redes simples con un
número mínimo de usuarios.
Existe otro tipo de agente de DC que se utiliza exclusivamente para los agentes de servidor de
terminal (TS) de Citrix y de los entornos de servicios de terminal. Los agentes TS requieren que el
agente recopilador de Windows Active Directory
Dir ectory o FortiAuthenticator recopile y envíe los eventos
de inicio de sesión a FortiGate.
El agente eDirectory se instala en una red Novell para supervisar los inicios de sesión de los usuarios
y enviar la información necesaria a FortiGate. Funciona de forma muy similar al agente recopilador
en un controlador de dominio de Windows AD. El agente puede obtener información de Novell
eDirectory utilizando la API de Novell o LDAP.
Verificación de conocimientos.
1. En FSSO, FortiGate permite el acceso a la red según _________.
A. Autenticación de usuario activa con nombre de usuario y contraseña.
B. Identificación de usuario pasiva por ID de usuario, dirección IP y membresía de grupo.
2. ¿Qué modo de trabajo se utiliza para supervisar las actividades de inicio de sesión de los usuarios
en Windows AD?
A. Modo de sondeo (recopilador basado en agente o sin agente).
B. Modo de agente de eDirectory.
Un agente de DC instalado
i nstalado en cada DDC de Windows.
Si tiene varios DC, esto significa que necesita varios agentes de DC. Los agentes de DC
monitorean y reenvían los eventos de inicio de sesión del usuario a los agentes
recolectores.
El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del mismo
ha cambiado.
3. El agente recopilador agrega todos los eventos de inicio de sesión y reenvía esa información a
FortiGate. La información enviada por el agente recopilador contiene el nombre de usuario, el
nombre de host, la dirección IP y los grupos de usuarios. El agente recolector se comunica con
FortiGate a través del puerto TCP 8000 (predeterminado) y escucha en el puerto UDP 8002
(predeterminado) las actualizaciones de los agentes de DC. Los puertos son personalizables
4. Una vez que el agente recolector reenvía la información de inicio de sesión del usuario, FortiGate
sabe quién es el usuario, su dirección IP y algunos de los grupos de AD de los que es miembro.
Cuando un usuario intenta acceder a Internet, FortiGate compara la dirección IP de origen con su
lista de usuarios FSSO activos. Debido a que el usuario en este caso ya ha iniciado sesión en el
dominio y FortiGate ya tiene su información, FortiGate no le pedirá al usuario que se autentique.
de nuevo. Más bien simplemente permitirá o denegará el tráfico según la política de firewall
correspondiente.
En primer lugar, observará el modo de sondeo basado en el agente recopilador. Al igual que el
modo de agente de DC, el modo basado en el agente de recopilación requiere que se instale un
agente de recopilación en un servidor de Windows, pero no requiere que se instalen agentes de DC
en cada DC. En el modo de sondeo basado en el agente de recopilación, el agente de recopilación
debe ser más potente que el agente de recopilación en el modo de agente de DC y también genera
tráfico innecesario cuando no ha habido eventos de inicio de sesión.
WinSecLog
Sondea todos los eventos de seguridad en DC cada 10 segundos o más *
Latencia de registro si la red es grande o el sistema es lento.
Requiere enlaces de red rápidos.
Más lento, pero ...
Ve todos los eventos de inicio de sesión.
Solo analiza los ID de eventos conocidos por agente recopilador.
re copilador.
WMI
DC devuelve todos los eventos de inicio de sesión solicitados cada 3 segundos *
Lee los registros de eventos seleccionados.
Mejora el
Reduce la uso deldeancho
carga la redde banda
entre de WinSec.
el agente recolector y DC.
Los tiempos de intervalo de la encuesta son estimaciones. Los tiempos de intervalo dependen de la
cantidad de servidores y la latencia de la red.
Como se indicó anteriormente, el modo de sondeo basado en el agente recopilador tiene tres
métodos (u opciones) para recopilar información de inicio de sesión:
NetAPI: sondea las sesiones temporales creadas en el DC cuando un usuario inicia o cierra sesión y
llama a la función NetsessionEnum en Windows. Es más rápido que los métodos WinSec y WMI; sin
embargo, puede perder algunos eventos de inicio de sesión si un controlador de dominio está
sometido a una gran carga del sistema. Esto se debe a que las sesiones se pueden crear y purgar
rápidamente desde la RAM, antes de que el agente tenga la oportunidad de sondear y notificar a
FortiGate.
WinSecLog: sondea todos los registros de eventos de seguridad del DC. No pierde ningún evento
de inicio de sesión que haya sido registrado por el DC porque los eventos normalmente no se
eliminan de los registros. Puede haber cierto retraso en la recepción de eventos de FortiGate si la
red es grande y, por lo
l o tanto, la escritura en los registros es lenta. También requiere que el éxito de
la auditoría de identificadores de eventos específicos se registre en los registros de seguridad de
Windows. Para obtener una lista completa de los ID de eventos admitidos, visite la base de
conocimientos de Fortinet (http://kb.fortinet.c
(h ttp://kb.fortinet.com).
om).
WMI: una API de Windows que obtiene información del sistema de un servidor de Windows. El DC
devuelve todos los eventos de inicio de sesión solicitados. El agente recopilador es un cliente WMI
y envía consultas WMI para eventos de inicio de sesión de usuario al DC, que, en este caso, es un
servidor WMI. El agente recolector no necesita buscar registros de eventos de seguridad en el DC
para eventos de inicio de sesión de usuario; en su lugar, el DC devuelve todos los eventos de inicio
de sesión solicitados. Esto reduce la carga de la red entre
en tre el agente recolector
r ecolector y DC.
Esta imagen muestra un ejemplo de FSSO utilizando el modo de sondeo basado en agentes de
recopilación. Este ejemplo incluye un controlador de dominio, un agente de recopilación y
FortiGate, pero el controlador de dominio no tiene instalado dcagent (o, alternativamente,
dcagent.dll).
Puede implementar FSSO sin instalar un agente. FortiGate sondea los controladores de dominio
directamente, en lugar de recibir información de inicio de sesión indirectamente de un agente
recopilador.
Debido
requiereamayores
que FortiGate recopila
recursos todosy los
del sistema datos
no se portan
escala sí fácilmente.
t an mismo, el modo de sondeo sin agentes
El modo de sondeo sin agente funciona de manera similar a WinsecLog, pero con solo dos ID de
eventos: 4768 y 4769. Debido a que no hay un agente recopilador, FortiGate u
usa
sa el protocolo SMB
para leer los registros del visor de eventos de los DC.
Esta imagen muestra cómo se procesa la comunicación sin agentes. (No hay un agente cobrador ni
un agente DC).
1. FortiGate sondea el puerto DC TCP 445 para recopilar eventos de inicio de sesión del
1.
usuario.
2. Después de que el usuario se autentica con el DC, FortiGate registra el evento de inicio de
2.
sesión durante su siguiente encuesta, obteniendo la siguiente información: el nombre de
usuario, el nombre de host y la dirección IP, y luego consulta por su (s) grupo (s) de usuarios.
3. Cuando el usuario envía tráfico, FortiGate ya sabe de quién está recibiendo tráfico: por lo
3.
tanto, el usuario no necesita autenticarse.
Comparación de modos.
Modo de agente DC Modo de sondeo
Instalación Instalaciones múltiples Fácil, una o ninguna
complejas (una por CC). instalación. No es necesario
Requiere reiniciar reiniciar
Se requiere agente de DC Si No
Recursos Acciones con agentes de DC Tiene recursos propios
Esta tabla resume las principales diferencias entre el modo de agente de DC y el modo de sondeo.
El modo de agente de DC es más complejo. Requiere no solo un agente recolector, sino también un
agente DC para cada controlador de dominio monitoreado. Sin embargo, también es más escalable,
porque el trabajo de capturar inicios de sesión lo realizan los agentes de DC que pasan su
información directamente al recopilador.
En el modoEntonces,
segundos. de sondeo,
conelcada
recopilador necesita
DC que se ag rega,consultar
agrega, el númerocada
de controlador de dominio,
consultas crece. Si deseacada pocos
agregar un
segundo agente recolector para la redundancia en el modo de sondeo, ambos agentes recolectores
deben consultar cada DC individualmente.
En el modo de agente de DC, el agente de DC solo tiene que recopilar el registro una vez y enviar
una copia de la información necesaria a todos los agentes de recopilación. En comparación, si usa
el modo de sondeo, algunos eventos de inicio de sesión pueden perderse o retrasarse, según la
opción de sondeo utilizada.
El agente
de trabajorecolector utiliza un
en una dirección IP.servidor DNS para resolver el nombre de la estación
Para obtener una funcionalidad completa, el agente recopilador debe poder sondear las
estaciones de trabajo.
o Esto informa a los agentes del recopilador si el usuario todavía está conectado o
no.
o Los puertos TCP 139 y 445 deben estar abiertos entre los agentes recolectores o
FortiGate y todos los hosts.
o Es posible que se necesite un servicio de registro remoto en cada estación de
trabajo.
Independientemente del método de recopilación que elija, algunos requisitos de FSSO para su red
Independientemente
AD son los mismos:
El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del usuario
ha cambiado.
Verificación de conocimientos.
1. ¿Cuál es el modo recomendado
r ecomendado para las implementaciones
implementaciones de FSSO?
A. Modo agente DC.
B. Modo de sondeo: sin agente.
2. ¿Qué modo FSSO requiere más recursos del sistema FortiGate (CPU y RAM)?
A Modo de sondeo: basado en agente
ag ente recopilador.
B. Modo de sondeo sin agente.
FSSO no activo.
La autenticación NTLM es útil cuando:
o Los usuarios inician sesión en controladores de dominio que el recopilador no
supervisa.
o La comunicación entre el colector y DC está bloqueada o inactiva.
En configuraciones de dominio simples, no se requiere agente DC.
o Los resultados de la autenticación se envían al agente recopilador.
Varios dominios requieren solo un agente recopilador global.
En un entorno de AD, FSSO también puede trabajar con NTLM, que es un conjunto de protocolos
de seguridad de Microsoft que proporciona autenticación, integridad y confidencialidad a los
usuarios.
La autenticación NTLM no requiere agentes DC, pero no es completamente invisible para los
NTLM se utiliza con mayor frecuencia cuando los usuarios se autentican frente a controladores de
dominio que, por alguna razón, no pueden ser monitoreados por el agente de recopilación, o
cuando hay problemas de comunicación entre el agente de recopilación y uno o más de los agentes
de CD. En otras palabras. La autenticación
au tenticación NTLM se utiliza mejor como copia de seguridad de FSSO
Tenga en cuenta que FortiGate no puede realizar la autenticación NTLM por sí solo. FortiGate debe
devolver las credenciales ingresadas por el usuario a un agente recolector para su verificación. El
agente recolector, a su vez, responderá a FortiGate con los grupos de usuarios apropiados si la
autenticación es exitosa.
NTLM se activa cuando FortiGate recibe tráfico de una dirección IP desconocida.
Esta imagen muestra cómo se procesan los mensajes durante la autenticación NTLM en una
configuración de dominio simple.
1. Cuando tanto FSSO como NTLM están habilitados, NTLM se utiliza como respaldo para
1.
FSSO. Cuando FortiGate recibe tráfico de una dirección IP que no existe en la lista de
usuarios FSS0, se activa NTLM.
4. FortiGate recibe las credenciales del usuario, luego las autentica con el agente recolector a
4.
través del puerto TCP 8000. FortiGate también recibe los nombres de los grupos a los que
pertenece el usuario.
5. Si las credenciales son correctas, FortiGate autoriza el acceso del usuario.
5.
Sin embargo, Internet Explorer se puede configurar para enviar automáticamente las credenciales
de los usuarios cada vez que recibe un desafío NTLM. Para ello, en el cuadro de diálogo Opciones
de Internet, haga clic en Nivel personalizado. Luego, en el cuadro de diálogo Configuración,
desplácese hasta Inicio de sesión de autenticación de usuario y luego seleccione Inicio de sesión
automático con el nombre de usuario y la contraseña actuales .
En un entorno de múltiples dominios para NTLM, es importante tener una relación de confianza
entre los dominios. Cuando existen varios dominios en un bosque de AD, se crea automáticamente
una relación de confianza, por lo que solo se requiere un agente de DC en uno de los controladores
de dominio. Pero, cuando varios dominios no están en un bosque de AD, tiene dos opciones:
op ciones:
Cree una relación de confianza entre los dominios a través de la configuración de AD
Instale un agente de DC en cada dominio, luego use políticas de seguridad para el acceso a
la red
Verificación de conocimientos.
1. Al realizar la autenticación NTLM,
NTLM, ¿qué información proporciona el navegador web a FortiGate?
A. Las credenciales del usuario (nombre de usuario y contraseña).
B. El ID de usuario, la dirección IP y la pertenencia al grupo del usuario.
Si FortiGate actúa como un recopilador para el modo de sondeo sin agente, debe seleccionar
Sondeo del servidor de Active Directory y configurar las direcciones IP y las credenciales de
administrador de AD para cada DC.
FortiGate usa LDAP para consultar AD para recuperar información del grupo de usuarios. Para que
esto suceda, el servidor LDAP debe agregarse a la configuración del servidor de Active Directory
del grupo.
Agentes disponibles:
Agente de DC: DCAgent_Setup.
CA para servidores de Microsoft: FSSO_Setup.
CA para Novell: FSSO_Setup_edirectory.
FSSO_Setup_edirectory.
Agente de TS: TSAgent_Setup.
3. Seleccione FortiGate, luego haga clic en Descargar.
3.
4. Haga clic en v6.00> 6.0> 6.4> 6.4.0> FSSO.
Los agentes de FSSO están disponibles en el sitio web de soporte de Fortinet. Allí encontrará lo
siguiente:
El agente de DC
El agente recopilador para servidores de Microsoft: FSSO_Setup
El agente de recopilación de directorios de Novell: FSSO_Setup_edirecto
FSSO_Setup_edirectory
ry
El instalador del agente de servidor de terminal (TSagent) para Citrix y servidores de
terminal: TSAgent_Setup.
Además, para cada agente, hay dos versiones: el ejecutable (.exe) y Microsoft Installer (. msi).
Tenga en cuenta que no necesita hacer coincidir la versión de FSSO con su versión exacta de
firmware de FortiGate. Al instalar FSSO, obtenga el último agente de recopilación para su versión
principal. Sin embargo, debe hacer coincidir la versión del agente de DC con la versión del agente
de recopilación.
Una vez que haya descargado el agente recopilador, ejecute el proceso de instalación como
administrador y siga estos pasos en el asistente de instalación:
1. Ingrese la dirección IP del agente recolector. Opcionalmente, puede personalizar el puerto
1.
de escucha, si otro servicio ya utiliza el valor predeterminado.
2. Seleccione los dominios a monitorear. Si alguno de sus dominios requeridos no aparece en
2.
la lista, cancele el asistente y configure la relación de confianza correcta con el controlador
de dominio. Luego, ejecute el asistente nuevamente. Tenga en cuenta que esto también
podría deberse al uso de una cuenta sin todos los permisos necesarios.
5. Seleccione el modo de Agente DC como modo de trabajo. Si selecciona el modo de sondeo,
5.
el agente DC no se instalará.
Filtro de grupo.
El agente recolector FSSO administra los filtros de grupo
g rupo de FortiGate.
Los filtros de grupo de FortiGate controlan qué información de inicio de sesión del usuario
se envía a ese FortiGate.
o Los filtros están vinculados al número de serie de FortiGate.
Todos los dispositivos FortiGate admiten al menos 256 grupos
g rupos de usuarios de Windows AD.
o El soporte de filtro de grupo es para VDOM.
Si FortiGate FSSO se configura en el modo local de origen del grupo de usuarios (filtrado de
grupo realizado en FortiGate), el filtro FortiGate tendrá prioridad sobre el filtro configurado
en el agente recolector.
El filtro predeterminado se aplica a cualquier dispositivo FortiGate que no tenga un filtro
específico definido en la lista.
Los filtros se pueden configurar para grupos, unidades organizativas, usuarios o una
combinación.
El agente recolector FSSO le permite configurar un filtro de grupo de FortiGate, que controla
activamente qué información de inicio de sesión de usuario se envía a cada FortiGate. Por lo tanto,
puede definir qué grupos pasa el agente recolector
re colector a los dispositivos FortiGate individuales
Monitorear toda la lista del grupo en una gran estructura de AD es muy ineficiente y una pérdida
de recursos. La mayoría de las implementaciones de FSSO necesitan segmentación de grupos (al
menos cuatro o cinco grupos), con la intención
i ntención de asignar diferentes niveles de configuraciones de
perfiles de seguridad a los diferentes grupos, utilizando políticas basadas en identidad.
Los filtros de grupo también ayudan a limitar el tráfico enviado a FortiGate. El número máximo de
grupos de usuarios de Windows AD permitidos en un FortiGate depende del modelo. Los modelos
de gama baja de FortiGate admiten 256 grupos
gr upos de usuarios de Windows A AD.
D. Los modelos de gama
media y alta pueden admitir más grupos. Esto es por VDOM, si los VDOM están habilitados en
FortiGate.
El filtrado se puede realizar en FortiGate en lugar del agente recolector, pero solo si el agente
recolector está operando en modo avanzado. En este caso, el agente recolector usa la lista de
grupos que seleccionó en FortiGate como su filtro de grupo
gr upo para ese dispositivo.
La lista de filtros está inicialmente vacía. Como mínimo, debe crear al menos un filtro
predeterminado que se aplique a todos los dispositivos FortiGate sin un filtro definido.
Los inicios de sesión de los usuarios no se informan a FortiGate.
Esto ayuda a garantizar que los usuarios obtengan las políticas y los perfiles correctos en
FortiGate.
El agente recopilador de FSSO ignora cualquier evento de inicio de sesión que coincida con las
entradas de la lista de usuarios a ignorar. Por lo tanto, el agente recopilador no registra estos
eventos de inicio de sesión ni se informa a FortiGate.
Es una buena práctica agregar todas las cuentas de servicio de red a la lista de usuarios ignorados.
Las cuentas de servicio tienden a sobrescribir los eventos de inicio de sesión del usuario y crean
problemas con la coincidencia de políticas basadas en identidad
Puede agregar usuarios a la lista de usuarios a ignorar de las siguientes maneras:
Ingrese manualmente el nombre de usuario.
Haga clic en Agregar usuarios y luego elija los usuarios que no desea monitorear.
Haga clic en Agregar por unidad organizativa y luego seleccione una unidad organizativa
en el árbol de directorios.
conectado
Utiliza el servicio de registro remoto verificadas
Se utiliza para purgar la información
para verificar de inicio de sesión
Predeterminado: 5 minutos
Predeterminado: 480 minutos (8 h)
Desactivar: establecer el valor en 0
Desactivar: establecer el valor en 0
o Debajo del intervalo de
verificación de la estación de
trabajo.
Los temporizadores del agente recolector FSSO juegan un papel importante para asegurar el
correcto funcionamiento de FSSO.
Intervalo de tiempo de espera de entrada muerta . Esta configuración se aplica solo a las
entradas con un estado no verificado. Cuando no se verifica una entrada, el recolector inicia
este temporizador. Se usa para envejecer la entrada. Cuando el temporizador expira, el
inicio de sesión se elimina del recopilador. Desde la perspectiva de FortiGate, no hay
diferencia entre las entradas que están bien y las entradas que no están verificadas. Ambos
se consideran válidos.
FortiGate
filtro de como
grupocliente
en LDAP o
o
agente
recolector.
Otra configuración importante de FSSO es el modo de acceso AD. Puede configurar el modo de
acceso AD haciendo clic en Establecer información de acceso al directorio . El modo de acceso AD
especifica cómo el agente recopilador accede y recopila la información de usuarios y grupos de
usuarios. Hay dos modos que se pueden utilizar para acceder a la información del usuario de AD:
Estándar y Avanzado.
Además, el modo avanzado admite grupos anidados o heredados; es decir, los usuarios pueden ser
miembros de subgrupos que pertenecen a grupos principales supervisados. Además, en el modo
avanzado, FortiGate puede aplicar perfiles de seguridad a usuarios individuales, grupos de usuarios
y unidades organizativas (OU).
En comparación, en el modo estándar, los perfiles de seguridad solo se pueden aplicar a grupos de
usuarios, no a usuarios individuales.
En modo avanzado, puede configurar FortiGate como cliente LDAP y configurar los adaptadores de
grupo FortiGate. También puede configurar filtros de grupo en el agente
ag ente de recopilación.
Si el LDAP en el agente recolector falla, no importa lo que diga el LDAP en FortiGate, FSSO no
funcionará. Si el LDAP de FortiGate falla, pero el LDAP en el agente recolector aún se está
ejecutando, es posible que FortiGate no pueda recolectar registros, pero el agente recolector
seguirá recolectando registros
Soporte de AD Group.
Tipo de grupo admitido:
Grupos de seguridad.
Grupos universales.
Grupos dentro de OU.
Grupos locales o universales que
contienen grupos universales de
dominios secundarios (solo con el
catálogo global).
Grupos de seguridad.
Grupos universales.
Grupos dentro de OU.
Grupos locales o universales que contienen grupos universales de dominios secundarios
(solo con el catálogo global).
Todas las configuraciones de FortiGate incluyen un grupo de usuarios llamado SSO_Guest _User.
Cuando solo se utiliza la autenticación pasiva, todos los usuarios que no pertenecen a ningún grupo
g rupo
FSSO se incluyen automáticamente en este grupo de invitados.
Esto permite a un administrador configurar el acceso limitado a la red para usuarios invitados que
no pertenecen al dominio de Windows AD.
Sin embargo, si tanto la autenticación pasiva como la activa están habilitadas para tráfico específico,
específico,
no se puede usar SSO_ Guest User, porque el tráfico de direcciones IP que no están en la lista de
usuarios de FSSO necesitará que se le pida que ingresen sus credenciales.
Ajustes avanzados.
Citrix / Terminal Server.
Modo de agente de Terminal Server (TS):
supervisa los inicios de sesión de los
usuarios en tiempo real.
Requiere
o
un agente
Sin cobrador.
soporte de votación de
FortiGate.
Contabilidad RADIUS.
Notifique al firewall sobre eventos de
inicio y cierre de sesión.
Servidores de Syslog.
Notifique al firewall sobre eventos de
inicio y cierre de sesión.
Servidor de intercambio.
Los servidores Citrix admiten FSSO. El modo de agente de Terminal Server (TS) permite al servidor
monitorear los inicios de sesión de los usuarios en tiempo real. El agente TS es como un agente
ag ente DC,
también necesita que el agente recolector recopile y envíe los eventos de inicio de sesión a
FortiGate. Luego usa los mismos puertos para informar los inicios de sesión al agente recolector.
r ecolector.
El agente recopilador solo puede obtener eventos de inicio de sesión precisos de los servidores
Citrix si cada usuario obtiene su propia dirección IP. De lo contrario, si varios usuarios comparten la
misma dirección IP, el agente TS es necesario para que pueda informar al agente recopilador sobre
el usuario, la dirección IP y el rango del puerto de origen asignado a ese usuario. El agente de TS no
puede reenviar registros directamente a FortiGate, primero debe recopilarlos un recopilador. Esto
no funciona con las encuestas de FortiGate.
El agente recolector FSSO también puede monitorear un servidor Microsoft Exchange, lo cual es útil
cuando los usuarios acceden a su correo electrónico usando su cuenta de dominio.
Para el modo de sondeo de registros de eventos de seguridad de Windows, puede configurar los
ID De evento para sondear aquí. Para obtener ID de eventos específicos, visite la base de
conocimientos de Fortinet (http://kb.fortinet.com)
http://kb.fortinet.com).
Verificación de conocimientos.
1. Si tiene agentes recopiladores que utilizan el modo de agente de DC o el modo de sondeo basado
en el agente recopilador, ¿qué conector de estructura debe seleccionar en FortiGate?
A. Sondeo del servidor de Active Directory.
B. Agente de inicio de sesión único de Fortinet (FSSO).
2. ¿Cuál de las siguientes convenciones de nomenclatura utiliza el agente recopilador FSSO para
acceder a Windows AD en el modo de acceso
a cceso estándar?
A. Convención de Windows NetBios: Dominio \ grupos.
B. Convención LDAP: CN = Usuario, OU = Nombre, DC = Dominio.
Los mensajes de registros relacionados con FSSO se generan a partir de eventos de autenticación.
Estos incluyen eventos de inicio y cierre de sesión de usuario y eventos de autenticación NTML.
Estos mensajes de registro son fundamentales para las políticas de contabilidad de la red y también
pueden resultar útiles para solucionar problemas.
registro. Cuanto más cerca esté el nivel de registro al nivel de depuración, más información se
registrará.
Al solucionar problemas de implementaciones basadas en agentes FSSO, es posible que desee ver
los mensajes de registro generados directamente en el agente recopilador FSSO.
Límite de tamaño del archivo de registro (MB) : introduzca el tamaño máximo del archivo
de registro en MB. El valor predeterminado es 10.
Ver eventos de inicio de sesión: si está habilitado Registrar eventos de inicio de sesión en
registros separados, podrá ver la información relacionada con el inicio de sesión del
usuario.
Esto evita que el agente recopilador caduque las entradas obsoletas. Solo pueden
eliminarse mediante un nuevo evento que los sobrescriba.
Esto puede ser peligroso en entornos donde los usuarios de FSSO y no FSSO comparten
el mismo grupo de DHCP.
6. Incluya todos los grupos FSSO en las políticas de firewall cuando utilice autenticación
6.
pasiva.
Incluso agregue los usuarios invitados de SSO a una política de seguridad basada en
identidad para permitir el tráfico.
Si la autenticación activa se usa como respaldo, asegúrese de que el usuario invitado
SSO no se agregue a las políticas.
Comience con los siguientes consejos, que son útiles en muchas situaciones de resolución de
problemas de FSSO:
FSSO tiene varios puertos obligatorios que se deben permitir a través de todos los firewalls
o las conexiones fallarán. Estos incluyen los puertos: 139 (verificación de la estación de
trabajo), 445 (verificación de la estación de trabajo y sondeo del registro de eventos), 389
(LDAP) y 445 y 636 (LDAPS).
Configure la configuración del tráfico entre FortiGate y los controladores de dominio para
garantizar que el ancho de banda mínimo esté siempre disponible. Si no hay suficiente
ancho de banda, es posible que parte de lal a información de FSSO no llegue a FortiGate.
En un entorno de Windows, elimine las sesiones inactivas. De lo contrario, puede hacer que
una sesión para máquinas no autenticadas salga como usuario autenticado. Esto puede
ocurrir si la concesión de DHCP expira para el usuario autenticado y el agente recolector
puede verificar que el usuario haya cerrado la sesión.
Para mostrar la lista de usuarios de FSSO que están conectados actualmente, use el comando CLI
diagnose debug authd fsso list .
Conexión a FortiGate.
Verifique la conectividad entre el agente recolector y FortiGate.
Para mostrar el estado de la
l a comunicación entre FortiGate y cada agente recolector, puede usar
el comando CLI diagnosticar debug authd server-status.
Sin embargo, antes de usar ese comando, primero debe ejecutar el comando diagnose debug enable .
Comandos adicionales.
Además, en el comando diagnose debug authd fsso están disponibles los comandos para borrar la la
memoria caché de FortiGate de todos los usuarios conectados actualmente, filtrar la visualización
de la lista de usuarios conectados y actualizar la información de inicio de sesión y grupo de
usuarios.
Modo de sondeo.
El comando diagnose debug fsso-polling detail muestra información de estado y algunas estadísticas
relacionadas con los sondeos realizados por FortiGate en cada DC en el sondeo sin agente.
ag ente. Si el
read log offset se incrementa, FortiGate se está conectando y leyendo los registros en el
controlador de dominio. Si el read log offset se incrementa pero no obtiene ningún evento de inicio
de sesión, verifique que el filtro de grupo sea correcto y, a menudo, compruebe que el
controlador de dominio está creando los ID de evento correctos.
El comando diagnose debug fsso-polling refresh-user descarga información sobre todos los usuarios
activos de FSSO.
En modo de sondeo sin agente. FortiGate consulta con frecuencia el visor de eventos para
obtener los eventos de inicio de sesión. Puede rastrear este tráfico en el puerto 445.
Además, hay un demonio FortiGate específico que maneja el modo de sondeo. Es el demonio
fssod. Para habilitar la depuración en tiempo real del modo de sondeo sin agente, utilice el
comando diagnose debug application fssod -1.
Verificación de conocimientos.
1. ¿Qué nivel de registro muestra los eventos de inicio de sesión en el agente recopilador?
A. Información.
B. Advertencia.
2. ¿El comando diagnosticar debug sso-polling detail muestra información para qué modo de
FSSO?
A. Sondeo sin agente.
B. Encuestas basadas en agentes
ag entes recolectores.
En FortiGate HA, un dispositivo FortiGate actúa como dispositivo principal (también
(también llamado
FortiGate activo). Sincroniza su configuración con los demás dispositivos. Los otros dispositivos
FortiGate se denominan dispositivos secundarios o en espera.
¿Un enlace de latido entre los dispositivos? ¿Todos los dispositivos FortiGate están procesando
tráfico? ¿HA mejora la disponibilidad o mejora el rendimiento?
La respuesta varía, según el modo HA.
HA . Actualmente hay dos modos HA disponibles: activo-activo y
activo-pasivo. Ahora, examinará las diferencias.
Primero, echemos un vistazo al modo activo-pasivo. En cualquiera de los dos modos de operación
HA, la configuración de los dispositivos FortiGate secundarios se sincroniza con la configuración
del dispositivo principal.
En modo activo-pasivo, el FortiGate principal es el único dispositivo FortiGate que procesa el
tráfico de forma activa. Los dispositivos secundarios de FortiGate permanecen en modo pasivo,
monitoreando el estado del dispositivo principal.
Si se detecta un problema en el FortiGate principal, uno de los dispositivos secundarios asumirá la
función principal. Este evento se llama conmutación por error de alta disponibilidad.
Sin embargo, una de las principales diferencias en el modo activo-pasivo es que, en el modo
activo-activo, todos los dispositivos FortiGate procesan el tráfico. Una de las tareas de un
FortiGate primario en modo activo-activo es equilibrar parte del tráfico entre todos los
dispositivos secundarios.
Utiliza el0x8890
puerto TCP 703 con diferentes valores de tipo de Ethernet.
o
- Modo NAT.
0x8891 - Modo transparente.
o Utiliza el puerto TCP 23 con Ethernet tipo 0x8893 para la sincronización de la
configuración.
FortiGate HA utiliza FGCP para comunicaciones relacionadas con HA. FGCP viaja entre los
dispositivos FortiGate agrupados a través de los enlaces que ha designado
desig nado como latidos.
Debe crear un enlace de latido entre dos dispositivos FortiGate utilizando un cable RJ45 o cruzado
normal. Si tiene otro dispositivo entre los dos dispositivos FortiGate, como un conmutador,
asegúrese de que esté dedicado y aislado del resto de su
s u red. De esta manera, el tráfico FGCP crítico
no necesita competir con el resto del tráfico por el ancho de banda.
El clúster en modo NAT y el clúster en modo transparente utilizan diferentes valores de tipo de
Ethernet para descubrir y verificar el estado de otros dispositivos FortiGate en un clúster operativo.
Los dispositivos FortiGate en un clúster usan sesiones Telnet a través del puerto TCP 23, con
Ethernet tipo 0x8893 sobre enlaces de latidos, para sincronizar la configuración del clúster y
conectarse a la CLI de otro FortiGate en un clúster.
Cuando reinicia o apaga manualmente el FortiGate primario, antes de que el FortiGate primario se
apague realmente, se convierte en el dispositivo secundario en un clúster HA y espera a que el
tráfico cambie al nuevo primario antes de que se apague o se reinicie.
Requisitos de HA.
De dos a cuatro dispositivos FortiGate idénticos.
o Las mismas licencias en todos los miembros del clúster.
Un enlace (preferiblemente dos o más) entre dispositivos FortiGate para latidos.
Las mismas interfaces en cada FortiGate conectado al mismo dominio de transmisión.
Se admiten las interfaces DHCP y PPPoE.
¿Qué pasa si uno de los dispositivos FortiGate tiene un nivel de licencia más bajo que otros
dispositivos FortiGate en el clúster? Todos los dispositivos FortiGate del clúster volverán a tener ese
nivel de licencia más bajo. Por ejemplo, si solo compra el filtrado web FortiGuard para uno de los
dispositivos FortiGate en un clúster, cuando el clúster está en funcionamiento, ninguno de los
miembros del clúster admitirá el filtrado web FortiGuard
En segundo lugar, al menos un enlace entre los l os dispositivos FortiGate para la comunicación HA La
comunicación
comunicació n HA se denomina tráfico de latidos. Para la redundancia, se pueden crear hasta ocho
interfaces de latido. Si falla un enlace, HA utilizará el siguiente, como lo indica la prioridad y la
posición en la lista de interfaces de latido.
En tercer lugar, las mismas interfaces en cada dispositivo FortiGate deben estar conectadas al
mismo conmutador o segmento LAN. Tenga en cuenta que en el ejemplo que se muestra en la
diapositiva, los dispositivos FortiGate son redundantes para mitigar la falla. Pero los interruptores
y sus enlaces siguen siendo un solo punto de falla. Como verá más adelante, también puede tener
redundancia en los conmutadores y enlaces de red. Como mejor práctica (y recomendación de
Fortinet), configure las interfaces de FortiGate con direcciones IP estáticas al formar un clúster de
alta disponibilidad. Una vez que se forma una HA, puede configurar el direccionamiento DHCP o
PPPOE para una interfaz Si una interfaz está configurada para DHCP o PPPoE, habilitar HA puede
resultar en que la interfaz reciba una dirección incorrecta o no pueda conectarse al servidor DHCP
o PPPoE correctamente.
1. El clúster primero compara la cantidad de interfaces monitoreadas cuyos estados están
1.
activos. El dispositivo FortiGate con la mayoría de las interfaces monitoreadas disponibles
se convierte en el principal.
2. El clúster compara los tiempos de actividad de alta disponibilidad de los dispositivos
2.
individuales. Si el tiempo de actividad de HA de un dispositivo es al menos cinco minutos
más que los tiempos de actividad de HA de los l os otros dispositivos FortiGate, se convierte en
el principal.
3. El FortiGate con la prioridad más alta
3. al ta configurada se convierte en el principal.
4. El clúster elige el primario comparando los números de serie.
4.
Tenga en cuenta que puede ver la diferencia de tiempo de actividad de HA entre los mi miembros
embros del
clúster. El dispositivo con 0 en la columna uptime indica el dispositivo con menor tiempo de actividad.
En este ejemplo, el dispositivo que termina con el número de serie 92 9 2 tiene un tiempo de actividad
de HA 7814/10 segundos mayor que el otro dispositivo en el clúster de HA La columna reset_cnt
indica el número de veces Se ha restablecido el tiempo de actividad de HA para ese dispositivo.
Puede modificar el orden de los criterios de selección que los clústeres consideran al elegir el
FortiGate principal.
La ventaja de este método es que puede especificar qué dispositivo es el tiempo de visualización
principal preferido (siempre que esté en funcionamiento) configurándolo con el valor de prioridad
HA más alto. La desventaja es que se activa un evento de conmutación por error no solo cuando
falla el primario, sino también cuando el primario vuelve a estar disponible. Cuando un primario
vuelve a estar disponible, recupera su función principal del FortiGate secundario que lo reemplazó
temporalmente.
Tenga en cuenta que el proceso de selección se detiene en el primer criterio de coincidencia que
selecciona correctamente
correctamente un FortiGate principal
pri ncipal en un grupo.
g rupo.
Cuando la anulación está habilitada, la forma más sencilla de activar una conmutación por error es
cambiar las prioridades de HA. Por ejemplo, puede aumentar la prioridad
priori dad en uno de los secundarios
o disminuir la prioridad en el primario.
La configuración de anulación y los valores de prioridad del dispositivo no están sincronizados con
todos los miembros del clúster. Debe habilitar la invalidación y ajustar la prioridad del dispositivo
manualmente y por separado para cada miembro del clúster.
Verificación de conocimientos
1. Para formar un clúster de alta disponibilidad, todos los dispositivos FortiGate que se incluirán en
el clúster deben tener ¿cuál de los siguientes?
A. El mismo nombre de host de FortiGate.
F ortiGate.
B. El mismo firmware.
Monitorea el clúster enviando señales hello y escuchando respuestas, para identificar si otros
dispositivos FortiGate están activos y disponibles. También sincroniza su tabla de enrutamiento,
enrut amiento, la
información DHCP y parte de su configuración con los otros dispositivos.
En el modo activo-activo, los secundarios no esperan pasivamente. Procesan todo el tráfico que les
asigna el dispositivo principal.
Puede ocurrir un cambio en las direcciones IP de latido cuando un dispositivo FortiGate se une o
sale del clúster. En esos casos, el clúster renegocia la asignación de la dirección IP de latido, esta
vez teniendo en cuenta el número de serie de cualquier dispositivo nuevo o eliminando el número
de serie de cualquier dispositivo que salió del clúster.
El clúster HA utiliza estas direcciones IP virtuales para distinguir los miembros del clúster y actualizar
los cambios de configuración de los miembros del clúster.
Los puertos supervisados suelen ser netvworks (interfaces) que procesan tráfico de alta
prioridad.
o Evite configurar la supervisión de interfaces para todas las interfaces.
o No supervise las interfaces de latido dedicadas.
o Puede monitorear interfaces VLAN.
o Espere hasta que un clúster esté en funcionamiento y todas las interfaces estén
conectadas
conectad as antes de habilitar la supervisión de la interfaz.
Hay algunos elementos que deben tenerse en cuenta al conectar interfaces de latido y configurar
la supervisión de la interfaz.
Tenga en cuenta que la comunicación de latido se puede habilitar para interfaces físicas, pero no
para sub-interfaces VLAN, interfaces IPsec VPN, interfaces redundantes, interfaces agregadas
802.3ad o puertos de conmutador FortiGate.
Debe configurar la supervisión de la interfaz solo para aquellos puertos cuyo fallo debería
desencadenar una conmutación por error del dispositivo (por ejemplo, puertos de tráfico
de alta prioridad). No debe configurar la supervisión de puertos para los puertos de latido
dedicados.
Como práctica recomendada, espere hasta que un clúster esté en funcionamiento y todas las
interfaces estén conectadas antes de habilitar la supervisión de la
l a interfaz. Una interfaz
i nterfaz supervisada
puede desconectarse fácilmente durante la configuración inicial y provocar que se produzcan fallos
antes de que el clúster esté completamente configurado y probado.
Para prepararse para una conmutación por error, un clúster de alta disponibilidad mantiene sus
configuraciones sincronizadas. Lo explorarás ahora.
Una vez completada la sincronización inicial, el primario enviará cualquier cambio de configuración
adicional realizado por un administrador a todos los secundarios. Por ejemplo, si crea un objeto de
dirección de firewall, el principal no reenvía
r eenvía su configuración complet
completa,
a, solo envía el nuevo objeto.
HA propaga más que solo detalles de configuración. Algunos datos en tiempo de ejecución, como
las concesiones DHCP y las tablas de enrutamiento, también se sincronizan.
De forma predeterminada,
dispositivos el clústerSiverifica
estén sincronizados. algún cada 60 segundos
secundario para asegurarse
no está de que
sincronizado, todos los
la suma de
comprobación de los dispositivos secundarios se verifica cada 15 segundos. Si las sumas de
reservada.
o Interfaz de gestión de alta disponibilidad en banda.
o Anulación de HA.
o Prioridad del dispositivo HA.
o Prioridad de clúster virtual HA.
o Nombre de host de FortiGate.
o Haga ping a las prioridades de HA del servidor.
Prioridad HA (configuración de prioridad ha para un servidor de ping o
El FortiGate principal sincroniza todos los demás ajustes de configuración y otros detalles
de configuración relacionados con los ajustes de HA.
No todos los ajustes de configuración están sincronizados. Hay algunos que no lo son, como:
La configuración de la interfaz del sistema de la interfaz de gestión reservada HA y la ruta
predeterminada de HA para la interfaz de gestión reservada.
Interfaz de gestión de alta disponibilidad en banda.
Anulación de HA.
Prioridad del dispositivo HA.
La prioridad del clúster virtual.
El nombre de host de FortiGate.
La configuración de prioridad de alta disponibilidad para una configuración de servidor de
ping (o detección de puerta de enlace inactiva).
Licencias.
Cachés.
El FortiGate principal sincroniza todos los demás ajustes de configuración, incluidas otras
configuraciones relacionadas con los ajustes de HA.
Sincronización de sesiones.
Para la mayoría de las sesiones VPN TCP e IPsec, la tabla de sesiones se puede sincronizar.
Solo se pueden sincronizar las sesiones que no estén gestionadas por perfiles de
o
seguridad basados en proxy.
config system ha
set session-pickup enable
end
end
La sincronización de sesiones permite una conmutación por error perfecta para parte del tráfico.
La información de algunas sesiones está sincronizada, por lo que cuando la primaria falla, la nueva
primaria puede hacerse cargo de las sesiones donde se quedaron y mantenerlas abiertas. Es posible
que el tráfico se interrumpa durante unos segundos, pero las aplicaciones de red no necesitan
volver a conectar las sesiones.
Tenga en cuenta que, si se aplican funciones de perfil de seguridad basadas en flujo y basadas en
proxy a una sesión TCP, esa sesión no se reanudará después de una conmutación por error.
Verificación de conocimientos.
1. ¿Qué información se sincroniza entre dos dispositivos FortiGate que pertenecen al mismo clúster
HA?
2. ¿Cuál de los siguientes tipos de sesión se puede sincronizar en un clúster de alta disponibilidad?
A. Sesiones de VPN SSL.
B. Sesiones de VPN IPsec.
Los tipos más comunes de conmutación por error son las de dispositivo y de enlace.
Se activa una conmutación por error del dispositivo cuando el FortiGate principal deja de enviar
tráfico de latidos. Cuando esto sucede, las secundarias renegocian una nueva primaria.
Se produce una conmutación por error de enlace cuando el estado del enlace de una interfaz
supervisada en el FortiGate principal cae. Puede configurar un clúster de alta disponibilidad para
monitorear el estado del enlace de algunas interfaces. Si se desconecta una interfaz monitoreada
en el FortiGate primario, o si el estado de su enlace se cae, se eli
elige
ge un nuevo FortiGate primario.
Si la captura de sesión está habilitada para el tipo de tráfico que desea sincronizar entre los
miembros del clúster, las sesiones se reanudan en caso de conmutación por error del dispositivo o
del enlace.
Hay varios eventos que pueden desencadenar una conmutación por error de HA, como una falla de
hardware o software en el FortiGate primario o un problema en una de las interfaces del primario.
Cuando se produce una conmutación por error, se genera un registro de eventos. Opcionalmente,
el dispositivo también puede generar una trampa SNMP y un correo electrónico de alerta.
Para reenviar el tráfico correctamente, una solución FortiGate HA utiliza direcciones MAC virtuales.
Cuando un primario se une a un clúster de alta disponibilidad, a cada interfaz se le asigna una
dirección MAC virtual. El ID del grupo HA se utiliza en la creación de direcciones MAC virtuales
asignadas a cada interfaz. Entonces. si tiene dos o más clústeres de alta disponibilidad en el mismo
dominio de transmisión y utiliza el mismo ID de grupo de alta disponibilidad. es posible que tenga
conflictos de direcciones MAC. Para esos casos, se recomienda encarecidamente asignar diferentes
ID de grupo HA a cada clúster.
A través de los latidos, el primario informa a todos los secundarios sobre la dirección MAC virtual
asignada. Tras la conmutación por error, un secundario adopta las mismas direcciones MAC
virtuales para las interfaces equivalentes.
El nuevo primario transmite paquetes ARP gratuitos, notificando a la red que ahora se puede
acceder a cada dirección MAC virtual a través de un puerto de conmutador diferente.
Tenga en cuenta que la dirección MAC de una interfaz de administración de alta disponibilidad
reservada no se cambia a una dirección MAC virtual. En cambio, la interfaz de administración
reservada mantiene su dirección MAC original.
Clúster HA activo-activo.
o El primario actualiza la lista de dispositivos FortiGate secundarios disponibles y
redistribuye las sesiones para evitar dispositivos secundarios fallidos.
Como aprendió anteriormente en esta lección, si una primaria falla, se elige una nueva primaria.
Pero, ¿qué sucede si falla un dispositivo FortiGate secundario? Depende del modo HA.
Sin embargo, en un clúster activo-activo, todos los secundarios están manejando el tráfico. Por lo
tanto, el primario (que rastrea y asigna sesiones a cada secundario) no solo debe actualizar su lista
de dispositivos FortiGate secundarios disponibles, sino que también debe reasignar sesiones del
FortiGate fallido a un FortiGate secundario diferente.
Carga de trabajo.
Clúster HA activo-pasivo.
o El primario recibe y procesa todo el tráfico.
o El secundario espera pasivamente.
Clúster HA activo-activo.
o El primario recibe todo el tráfico y redirige parte del tráfico a los dispositivos
secundarios.
Así es como se distribuye la carga de trabajo entre roles, según el modo HA. Tenga en cuenta que
la carga de trabajo del tráfico no se distribuye en modo activo-pasivo, sino en modo activo-activo.
Veamos cómo un clúster HA en modo activo-activo distribuye el tráfico cuando el tráfico está sujeto
a la inspección del proxy.
Primero, el lado del cliente envía un paquete SYN. Siempre se reenvía al FortiGate principal
utilizando la dirección MAC virtual de la interfaz interna
i nterna como destino.
Si el primario decide que la sesión va a ser inspeccionada por un secundario, el primario reenvía el
paquete SYN al secundario que realizará las inspecciones. En este ejemplo, la dirección MAC de
origen de la trama reenviada se cambia a la dirección MAC física de la interfaz interna primaria de
FortiGate y la dirección MAC de destino es la dirección MAC física de la interfaz interna secundaria
de FortiGate.
El FortiGate secundario inicia la conexión con el servidor enviando directamente un paquete SYN
utilizando la dirección MAC física de la interfaz externa. El secundario también responde con un
SYN / ACK al cliente, para el cual la dirección MAC de origen
or igen es la dirección MAC física de la interfaz
interna secundaria de FortiGate.
A continuación, el cliente reconoce el ACK. Se reenvía de nuevo al FortiGate principal util izando la
dirección MAC virtual de la interfaz interna como destino.
El dispositivo principal reenvía el paquete al secundario que inspecciona esa sesión, utilizando la
dirección MAC física del secundario.
Cuando el servidor responde al TCP SYN, nuevamente, el paquete se envía al primario usando la
dirección MAC virtual de la interfaz externa.
La idea no es equilibrar la carga del ancho de banda. El tráfico siempre se envía primero al primario.
El objetivo principal es compartir CPU y memoria entre múltiples dispositivos FortiGate para la
inspección del tráfico.
Cuando no hay inspección de proxy, esto es, cuando el tráfico está sujeto a inspección de flujo o no
hay inspección en absoluto, el tráfico se distribuirá al FortiGate secundario solo si la configuración
de equilibrio de carga está habilitada (deshabilitada de manera predeterminada) en HA
configuración. Además, al igual que en la inspección de proxy, se observa el mismo comportamiento
básico a continuación:
1. El tráfico procedente del cliente o servidor y destinado al clúster de FortiGate siempre se
1.
envía al FortiGate principal. Las direcciones MAC de origen y destino serán el cliente /
servidor y la dirección MAC virtual principal de FortiGate, respectivamente.
2. El FortiGate primario puede, a su vez, reenviar el tráfico al secundario si la sesión debe
2.
tener un equilibrio de carga.
3. Al equilibrar la carga del tráfico al FortiGate secundario, FortiGate utilizará las direcciones
3.
MAC de origen y destino, la dirección física utilizada por las interfaces primaria y
secundaria, respectivamente (reescritura de la dirección MAC).
4. Si el tráfico se ha equilibrado en la carga del FortiGate secundario, cualquier tráfico
4.
procedente del clúster y destinado al cliente o servidor siempre se obtendrá del FortiGate
secundario. Esto significa que la dirección MAC de origen será la física de la interfaz
secundaria.
Agrupación virtual.
Los clústeres virtuales son una extensión de FGCP para FortiGate con múltiples VDOM.
o El clúster HA debe constar de solo dos dispositivos
di spositivos FortiGate.
Permite que un FortiGate sea el principal para algunos VDOM y el secundario para los otros
VDOM.
Hasta ahora, hemos hablado de la agrupación en clústeres de alta disponibilidad en la que cada
dispositivo FortiGate actúa como un dominio de seguridad completo.
Pero, si tiene un clúster de alta disponibilidad con varios VDOM, puede configurar clústeres
virtuales.
Los clústeres virtuales le permiten tener un dispositivo que actúa como principal para un VDOM y
como secundario para otro VDOM. Cada VDOM tiene un FortiGate primario y uno secundario, y
cualquier dispositivo puede actuar como primario para algunos VDOM y como secundario para los
otros VDOM al mismo tiempo. Debido a que el tráfico de diferentes VDOM puede dirigirse a
diferentes dispositivos principales de FortiGate, puede usar agrupación virtual para distribuir
manualmente su tráfico entre los dos dispositivos de clúster y permitir el mecanismo de
conmutación por error para cada VDOM entre dos dispositivos FortiGate.
Tenga en cuenta que puede configurar el agrupamiento virtual entre solo dos dispositivos FortiGate
con múltiples VDOM.
HA Malla completa.
Reduce el número de puntos únicos de falla.
o Disponible en algunos modelos de FortiGate.
Utiliza interfaces agregadas y redundantes para conexiones sólidas entre todos los
componentes de la red.
Al comienzo de esta lección, revisó una topología HA simple. Ahora, eche un vistazo a una topología
más sólida. Se llama HA de malla completa.
Como puede ver en esta diapositiva. tiene dos dispositivos FortiGate para redundancia y cada
FortiGate está conectado a dos conmutadores redundantes, utilizando dos interfaces diferentes.
Verificación de conocimientos.
1. Una conmutación por error de alta disponibilidad ocurre cuando el estado del enlace de una
interfaz monitoreada en el _________ baja.
A. FortiGate primario.
B. FortiGate secundario.
2. Puede configurar el agrupamiento virtual entre solo _____ dispositivos FortiGate con múltiples
VDOM en un clúster HA activo-pasivo.
A. dos.
B. cuatro.
B. cuatro.
Puede ver el estado de HA agregando el widget de panel de estado de HA. También puede ver la
información de estado de HA haciendo clic en Sistema> HA, donde puede ver más detalles
agregando columnas como suma de comprobación, CPU y memoria, por nombrar algunas.
También puede desconectar
desconectar un miembro del clúster del clúster y editar las configuraciones de HA.
Puede obtener más información sobre el estado de HA en la CLI. Por ejemplo, el comando diagnose
sys ha status muestra estadísticas de tráfico de latidos, así como el número de serie y la prioridad
de HA de cada dispositivo FortiGate. Este comando también muestra la dirección IP de la interfaz
de latido asignada automáticamente al dispositivo FortiGate con el número de serie más alto.
Recuerde, la asignación de la dirección IP de latido cambia solo cuando un dispositivo FortiGate
abandona el clúster o lo invoca.
Comprobación de la sincronización de la
configuración.
Ejecute el siguiente comando en los miembros
del clúster:
comprobación HA de
lo registrado en
FortiGate.
recalculate Vuelva a calcular la
suma de
comprobación HA.
Para comprobar que todas las configuraciones secundarias están sincronizadas con la configuración
primaria:
Ejecute el comando diagnose sys ha checksum cluster para ver las sumas de comprobación de
todos los miembros del clúster de cualquier FortiGate en un clúster.
El comando diagnose sys ha checksum show muestra la suma de control del FortiGate
individual desde el cual se ejecuta este comando.
También puede ejecutar el comando diagnose sys ha checksum recalculate desde cualquier
miembro del clúster para volver a calcular las sumas de comprobación HA.
Si un FortiGate secundario muestra exactamente la misma secuencia de números que el principal,
su configuración está bien sincronizada con el FortiGate principal del clúster. En este ejemplo, se
ejecuta el comando diagnose sys ha checksum cluster para ver las sumas de comprobación de todos
los miembros del clúster.
Al solucionar un problema en un clúster HA, es útil saber que puede conectarse a la CLI de cualquier
FortiGate secundario desde la CLI del FortiGate principal. Tienes que usar el comando execute ha
manage con el índice HA secundario para ese propósito.
Para obtener la lista de dispositivos FortiGate secundarios con sus índices HA, puede agregar un
signo de interrogación al final del comando execute ha manage: execute ha manage ?.
Para ver el estado del sistema de un dispositivo en la conmutación por error de HA forzada:
# get system ha status
HA Health Status: OK
……..
Master selected using:
Para ver el estado del sistema de un dispositivo después de que la conmutación por error de HA
forzada esté deshabilitada:
# get System ha status
……..
Master selected using:
<2020/04/19 10:38:28> FGVM010000065036 is selected as the master because it
has the largest value of override priority.
<2020/04/19 10:16:54> FGVM010000064692 is selected as the master because it
has EXE_FAIL_OVER flag set .
Utilice el comando get system ha status para confirmar cómo se ha seleccionado el maestro actual.
¿Qué sucede si no tiene una interfaz gratuita disponible para reservarla como una interfaz de
administración de alta disponibilidad dedicada? Puede configurar una dirección IP de
administración desde la CLI en cualquier interfaz que esté conectada a una red y procesando tráfico.
Esto no requiere reservar una interfaz solo para el acceso de administración y es una alternativa a
reservar una interfaz de administración de alta disponibilidad dedicada.
Actualizaciones de firmware.
Para actualizar un clúster de alta
disponibilidad, solo necesita cargar el nuevo
firmware en el primario:
o La actualización ininterrumpida está
habilitada de forma predeterminada.
En el modo activo-activo, el equilibrio
o
Verificación de conocimientos.
1. ¿A qué FortiGate en un clúster HA está asignada la dirección IP 169.254.0.1 de la interfaz de
latido?
A. El FortiGate con el número de serie más alto.
B. El FortiGate con la máxima
máxim a prioridad.
2 ¿Cuál de las siguientes afirmaciones sobre el proceso de actualización del firmware en un clúster
de alta disponibilidad es verdadera?
A. Necesita cargar el nuevo firmware solo en el FortiGate principal para actualizar un clúster HA.
B. Los miembros del clúster no se reinician.
o
De cliente
De a proxy
proxy web web. web.
a servidor
Un proxy web recibe o intercepta una solicitud de un cliente a un servidor. Si está permitido y no
hay caché disponible, el proxy web reenvía la solicitud del cliente al servidor web.
Se crean dos conexiones TCP: una desde el cliente al proxy web y otra desde el proxy web al
servidor.
Un proxy web transparente no requiere ningún cambio de configuración en la configuración del
cliente. Los clientes continúan usando la web, tal como lo harían sin un proxy web.
Los clientes envían solicitudes a la dirección IP y al número de puerto del servidor web. El proxy
web intercepta la solicitud del cliente de forma transparente; es decir, en la capa IP. La dirección
de destino no cambia.
Por lo general, habilitará el proxy para almacenar en caché las respuestas de los servidores web.
Un caché web almacena respuestas de servidores web. Entonces, cuando un cliente repite una
solicitud, FortiGate puede enviar rápidamente el contenido en caché (respuesta), en lugar de
reenviar la solicitud y esperar la respuesta. Esto reduce el uso de ancho de banda WAN, la
l a carga del
servidor y el retraso.
La caché web es compatible con los modos de proxy web transparente y explícito.
Puede filtrar cualquier tráfico en los puertos 80 y 443 que no sea HTTP /
HTTPS.
Para el caso de un proxy web explícito, solo la dirección IP del proxy web
Los proxies web proporcionan una capa adicional de seguridad. Pueden bloquear cualquier tráfico
en los puertos HTTP y HTTPS estándar que no sea tráfico web.
Los proxies web explícitos ofrecen otro beneficio de seguridad: los administradores no necesitan
permitir el acceso directo a Internet a los clientes. Solo el proxy web explícito requiere acceso
directo a Internet. Los administradores pueden hacer que los clientes envíen tráfico al proxy web
primero, si necesitan acceso a Internet.
La solución de proxy web FortiGate ofrece dos beneficios adicionales. Uno es que los
administradores pueden usar el contenido de los campos HTTP como criterios de coincidencia en
las políticas de firewall.
La solución de proxy web FortiGate también proporciona un beneficio adicional que no está
disponible si no utiliza un proxy web: soporte para la autenticación Kerberos. La autenticación
Kerberos proporciona un mecanismo para realizar el inicio de sesión único de Fortinet (FSSO) sin
instalar ningún agente en los dominios de Windows AD.
¿Cómo se configuran los navegadores web de los usuarios para que utilicen un proxy web explícito?
Alternativamente, puede configurar los navegadores para usar proxies explícitos instalando el
archivo PAC o usando WPAD.
Cuando configura un proxy web explícito mediante la configuración del navegador web, debe
proporcionar el FQDN o la dirección IP y el número de puerto TCP del proxy. Puede especificar solo
una dirección de proxy a la vez.
Si desea eximir a direcciones IP de destino, subredes y FQDN específicos del uso del proxy, puede
agregarlos a una lista. Para esos destinos, el navegador enviará la solicitud directamente a los
servidores web.
Archivo PAC.
Normalmente se almacena en el proxy web.
Define cómo los navegadores eligen un proxy.
o Admite más de un proxy.
o Especifica qué tráfico se enviará a qué proxy.
Configure cada navegador con la URL del archivo PAC.
De forma predeterminada, FortiGate puede alojar el archivo PAC en:
o http: // <FortiGate_IP>: <Puerto> /proxy.pac
Para implementar el archivo PAC, primero debe instalarlo en un servidor HTTP al que puedan
acceder los clientes. (Su FortiGate puede actuar como servidor HTTP para el archivo PAC). Luego,
debe configurar todos los navegadores con la URL del archivo PAC.
return “DIRECT”; }
if (isInNet (host, “10.0.0.0 ”, “255.255.255.0”)) {
return “PROXY fastproxy.example .com:8080”;
fastproxy.example.com:8080
}
return “PROXY proxy.example.c
proxy.example.com:8080
om:8080”;
}
WPAD.
obtener la URL.
o Consulta del sistema de nombres de dominio (DNS).
o Los navegadores resuelven el nombre wpad.<local-domain> para obtener la dirección
IP del servidor que aloja el archivo
ar chivo PAC.
Los navegadores pueden usar WPAD para identificar la URL donde se encuentra el archivo PAC.
WPAD puede utilizar dos métodos de descubrimiento: basado en DNS y basado en DHCP.
Cuando se utiliza el método DHCP, el navegador envía una solicitud DHCPINFORM al servidor DHCP.
El servidor DHCP responde con la URL del archivo PAC.
Cuando se utiliza el método DNS, el navegador consulta primero al servidor DNS para resolver el
FQDN wpad.<local-domain>. El servidor DNS responde con la dirección IP donde se encuentra el
archivo PAC. El navegador descarga el archivo PAC de la URL: http://<pac-server-ip>: 80 / wpad.dat.
http://<pac-server-ip>:
La mayoría de los navegadores prueban primero el método del servidor DHCP. Si falla, prueban el
método del servidor DNS.
Verificación de conocimientos.
1. ¿Cuál de las siguientes es una ventaja del proxy web transparente sobre el proxy web explícito?
R. Los archivos PAC se pueden usar para especificar qué proxy usar.
Los pasos para configurar el proxy web difieren según el tipo de proxy (explícito o transparente)
que esté configurando.
Una vez que las configuraciones de proxy explícitas estén visibles en la GUI, puede habilitarlas y
configurarlas.
Además, puede cambiar el puerto TCP donde está escuchando el proxy, editar y cargar el archivo
PAC y elegir la acción predeterminada que FortiGate toma para el tráfico que no coincide con
ninguna política de proxy.
Los siguientes pasos son crear políticas de proxy explícitas para especificar qué tráfico y qué
usuarios pueden usar el proxy. Las políticas para el proxy explícito se configuran en una sección de
configuración diferente de las políticas de firewall habituales.
El tráfico de proxy web que no coincide con ninguna política se acepta o deniega según el ajuste de
configuración Acción de política de firewall predeterminada (que se muestra en la imagen anterior).
En FortiOS versión 6.0, debe seleccionar el servicio para la política de proxy.
Para configurar un proxy web transparente, el tráfico web debe coincidir primero con una política
de firewall con la configuración http-policy-redirect habilitada. Esta configuración indica a FortiOS que
redirija el tráfico al proxy web transparente.
Las políticas de firewall habituales coinciden con el tráfico según la información de Capa 3 y Capa 4
únicamente. El proxy web ofrece una coincidencia de políticas más flexible y gradual, basada no
solo en la información de esas dos capas OSI, sino también en la información de la Capa 7
(encabezados HTTP).
De manera similar al proxy web explícito, el siguiente paso es crear políticas de proxy para
especificar cuándo el proxy transparente debe aceptar e inspeccionar el tráfico.
La caché web está disponible tanto en proxy web explícito como transparente. Puede habilitarse o
deshabilitarse por política de proxy a través de la CLI.
Direcciones proxy.
Solo para políticas de proxy (explícitas o transparentes).
Coincidencia granular sobre encabezado HTTP.
De manera similar a la creación de políticas de firewall, al crear políticas de proxy, utiliza objetos de
direcciones de firewall para especificar el origen y el destino. Hay una categoría de objeto de
dirección que se usa solo para políticas de proxy: dirección de proxy.
p roxy.
Por ejemplo, los encabezados HTTP incluyen un campo llamado Host, que generalmente contiene
el FQDN del servidor web. Con las direcciones proxy, puede crear políticas que coincidan con el
tráfico en función de este FQDN de destino, independientemente de la dirección IP de destino.
Otro ejemplo es la coincidencia por patrón de URL. Las direcciones proxy pueden hacer coincidir
coincidir el
tráfico con las URL que coinciden con una expresión regular, independientemente de la dirección
IP de destino.
Dirección de la fuente:
o Método HTTP.
o Agente de usuario.
o Encabezado HTTP: especifique el nombre del encabezado y el valor coincidente.
o Avanzado (fuente): combina los tres anteriores.
Hay dos grupos de tipos de direcciones proxy. Un grupo es para los tipos de direcciones que se
utilizan como destinos en las políticas de proxy. Pueden coincidir con patrones de URL, categorías
de URL y nombres de host HTTP.
El otro grupo es para los tipos de direcciones que se utilizan como fuente en las políticas de proxy.
Pueden coincidir con métodos HTTP, agentes de usuario y otros campos de encabezados HTTP.
En el ejemplo que se muestra en esta imagen, el administrador creó una política de proxy
transparente para bloquear cualquier intento de la subred LOCAL _SUBNET para cargar archivos
archivos en
el sitio web de Fortinet. El administrador creó dos
d os direcciones proxy para este propósito:
Verificación de conocimientos.
1. ¿Cuál de las siguientes opciones se requiere para redirigir el tráfico de usuarios al proxy web
transparente?
A. El tráfico debe coincidir con una política de firewall con un perfil de opción de proxy con la
configuración http policy redirect habilitada.
B. El tráfico debe coincidir con una política de firewall con la acción configurada como Proxy.
2. ¿Cuál de los siguientes objetos de configuración se puede utilizar para filtrar el tráfico del
de l proxy
web, según la información del encabezado HTTP?
A. Direcciones FQDN.
B. Direcciones de proxy.
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación del
usuario se aplica mediante el uso de esquemas y reglas de autenticación, mientras que la
autorización del usuario se aplica en las políticas de proxy.
Las reglas de autenticación se utilizan para especificar los esquemas (los métodos de autenticación
y las bases de datos) que se utilizarán en función de la dirección IP y el protocolo del usuario. Se
pueden configurar hasta dos esquemas de autenticación en cada regla: uno para la autenticación
activa y otro para la autenticación pasiva.
Esquemas de autenticación.
Un esquema de autenticación especifica un método y una base de datos que se utilizarán en una o
más reglas de autenticación.
Los métodos disponibles son básico, resumen, NTLM, formulario, FSSO y RSSO. Si el método está
configurado como negociar, FortiGate negocia el método con el cliente web.
Las bases de datos disponibles son locales, LDAP, RADIUS, FSSO, RSSO y TACACS +.
No todas laslabases
seleccionar dedatos
base de datoslocal
están disponibles
si el método separa todos los métodos.
ha establecido en FSSO. Por ejemplo, no puede
El proxy web admite la autenticación de dos factores, que se puede habilitar en los esquemas de
autenticación.
Reglas de autenticación.
Una regla de autenticación define qué esquema se usa para la l a autenticación activa y qué esquema
se usa para la autenticación pasiva (SSO). Las reglas de autenticación coinciden de arriba a abajo
(como en el caso de las políticas de firewall). El proxy web utiliza la dirección IP y el protocolo de
origen para hacer coincidir el tráfico y saber qué esquema utilizar.
Los protocolos, entre FortiGate y el navegador, admitidos para la autenticación son HTTP, FTP,
SOCKS5 y SSH.
Las reglas también definen si la autenticación se basará en la dirección IP o en la sesión. Las
diferencias entre ambos se describen en esta lección.
Configuración de autenticación.
Configure los esquemas activos y SSO para el tráfico que requiere autorización, pero que
no coincide con ninguna regla de autenticación:
¿Qué sucede con el tráfico que requiere autorización, pero no coincide con ninguna regla de
autenticación?
Los esquemas activos y pasivos (SSO) que se utilizarán en esos casos se definen en config authentication
setting.
Basado en sesiones.
o Las sesiones HTTP se tratan como un solo usuario.
o Puede diferenciar varios clientes detrás de la misma dirección IP de origen.
o Después de la autenticación, el navegador almacena la información del usuario en
o
una cookie
Cada de sesión.
solicitud posterior contiene la cookie de sesión.
o Requiere más recursos.
Si tiene varios usuarios que comparten la misma dirección IP, como en el caso de los usuarios detrás
de NAT, utilice la autenticación basada en sesión HTTP. En este modo, cada navegador inserta una
cookie HTTP en su solicitud. La cookie identifica al usuario. Este método requiere un poco más de
RAM porque FortiGate debe recordar todas las cookies de sesión.
¿Cómo fluye el tráfico cuando un usuario se autentica con el proxy web, utilizando la autenticación
basada en sesión HTTP?
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación de
usuario se aplica en el campo de origen de las políticas de proxy al indicar qué usuarios (o grupos
de usuarios) pueden acceder a qué recursos de la red.
Una vez que el proxy web está funcionando, puede monitorear qué usuarios están conectados a él.
Puede hacer esto desde la GUI.
También puede monitorear a los usuarios conectados desde la CLI usando el comando: diagnose wad
user list.
Verificación de conocimientos.
1. ¿Qué se incluye en la configuración de un esquema de autenticación?
A. Método de autenticación.
B. Dirección IP de origen.
2. ¿Cuál de las siguientes es una ventaja de la autenticación basada en IP sobre la basada en sesión?
A. Admite varios usuarios que comparten la misma dirección IP.
Para poder definir cualquier problema, primero debes conocer cuál es el comportamiento normal
de tu red.
En el gráfico que se muestra en esta diapositiva, el rango que indica normal se muestra en azul.
¿Qué es exactamente esta línea azul? Indica los promedios, nuestra línea de base. ¿Qué es la línea
negra gruesa?
del rango Es el
normal, comportamiento
está actual. anormal.
ocurriendo un evento Cuando el comportamiento actual (línea negra) sale
Lo normal se mide y define de muchas formas. Puede ser el rendimiento: la utilización esperada de
la CPU y la memoria, el ancho de banda y los volúmenes de tráfico. Pero también puede ser la
topología de su red: qué dispositivos están conectados
conectados normalmente en cada nodo. También es el
comportamiento: las direcciones de los flujos de tráfico, los protocolos que se bloquean o
apoderan, y la distribución de los protocolos y las aplicaciones que se utilizan durante momentos
específicos del día, la semana o el año.
Diagramas de red.
¿Por qué?
o
Explicar o analizar redes complejas
es difícil y requiere mucho tiempo
sin ellas.
Diagramas físicos:
o Incluya cables, puertos y
dispositivos de red físicos.
o Muestre relaciones en la Capa 1 y
la Capa 2.
Diagramas lógicos:
o Incluya subredes, enrutadores,
dispositivos lógicos.
o Muestre las relaciones en la Capa
3.
Un diagrama físico muestra cómo los cables, puertos y dispositivos están conectados entre LAN
virtuales, subredes IP y enrutadores. También puede mostrar protocolos de aplicación como HTTP
o DHCP.
Herramientas:
o Security Fabric.
o Tablero
o SNMP
o Correo electrónico de alerta
o Registro / Syslog / FortiAnalyzer
o Tablero
o Comandos de depuración CLI.
Otra forma de definir lo normal es conocer el rango de rendimiento promedio. De forma continua,
recopile datos que muestren el uso normal.
Por ejemplo, si el procesamiento del tráfico es repentinamente lento y el uso de la CPU de FortiGate
F ortiGate
es del 75%, ¿qué indica eso? Si el uso de la CPU suele ser del 60-69%, entonces el 75%
probablemente siga siendo normal. Pero si lo normal es del 12 al 15%, puede haber un problema.
Obtenga datos sobre el máximo y el mínimo típicos para la hora y la fecha. Es decir, en un día laboral
o feriado, ¿cuántos bits por segundo deben ingresar o salir de cada interfaz en sus diagramas de
red?
¿Cómo podemos obtener información sobre el estado actual? Primero,P rimero, veamos los comandos de la
CLI: puede usarlos a través de una consola local, incluso si los problemas de red ha
hacen
cen que el acceso
a la GUI sea lento o imposible.
Algunos comandos proporcionan estados del sistema. El comando get system status proporciona
principalmente
Modelo.información de propósito general. La salida muestra:
Número de serie.
Versión de firmware.
Nombre de host.
Estado de la licencia de FortiGuard.
Hora del sistema.
Versión de las bases de datos de reputación de IP, IPS y antivirus FortiGuard, y otras.
En la capa física, la
l a resolución de problemas analiza qué puertos están conectados, la capacidad de
los medios y la velocidad negociada y el modo dúplex.
En la capa
debido de enlace
a errores de odatos,
de CRC los diagnósticos a menudo analizan cuántas tramas se descartan
colisiones.
La salida puede variar según el modelo y la versión del controlador NIC. En todos los casos, la salida
muestra la dirección MAC física, el estado administrativo y el estado del enlace.
Tabla ARP.
Digamos que FortiGate puede contactar con algún host a través del puerto 1, pero no con otros. ¿El
problema está en la capa física o en la capa de enlace? Ninguno. Se ha demostrado la conectividad
con al menos parte de la red. En su lugar, debe verificar la capa de red. Para probar esto, como de
costumbre, comience con ping y traceroute.
Existen los mismos comandos para IPV6: execute ping se convierte en execute ping6, por ejemplo.
Recuerde: la ubicación importa. Las pruebas serán precisas solo si usa la misma ruta que el tráfico
que está solucionando. Para probar desde FortiGate (a FortiAnalyzer o FortiGuard, por ejemplo),
use los comandos CLI de FortiGate execute ping y execute traceroute. Pero, para probar la ruta a través
de FortiGate, también use ping y tracert o traceroute desde el punto final, desde la computadora con
Windows, Linux o Mac OS X, no solo desde la CLI de FortiGate.
Debido a la NAT y al enrutamiento, es posible que deba especificar una dirección IP de origen de
ping diferente; la dirección predeterminada es la IP de la interfaz saliente. Si no hay respuesta,
verifique que el destino esté configurado para responder a la solicitud de eco ICMP.
Verificación de conocimientos.
1. ¿Qué comando de la CLI se puede usar para determinar la
l a dirección MAC de una puerta de enlace
predeterminada de FortiGate?
A. get system arp.
B. get hardware nic.
2. ¿Qué comando de la CLI se puede utilizar
util izar para diagnosticar un problema de capa física?
A. execute traceroute.
B. get hardware nic.
Flujo de depuración.
Muestra lo que está haciendo la CPU, paso a paso, con los paquetes.
o Si se descarta un paquete, muestra el motivo.
Comando de varios pasos.
1. Defina un filtro: diagnose debug flow filter <filter>.
1.
2. Habilitar salida de depuración: diagnose debug enable.
2.
3. Inicie el seguimiento: diagnose debug flow trace start <number_of_packets>.
3. <number_of_packets>.
4. Detener el seguimiento: diagnose debug flow trace stop .
4.
Si FortiGate está descartando paquetes, ¿se puede usar una captura de paquetes (rastreador) para
identificar el motivo? Para encontrar la causa, debe usar el flujo de depuración (paquete).
El flujo de depuración muestra, paso a paso, cómo la CPU maneja cada paquete.
1. Para usar el flujo de depuración, siga estos pasos:
1.
2. Defina un filtro.
2.
3. Habilite la salida de depuración.
3.
4. Inicie el rastreo.
5. Deténgase cuando haya terminado.
5.
Esta imagen muestra un ejemplo de una salida de flujo de depuración que captura el primer
paquete de un protocolo de enlace de tres vías TCP, el paquete SYN. Muestra:
La llegada del paquete, que indica nuevamente las direcciones IP de origen y destino, los
números de puerto y la interfaz de entrada.
El ID de la sesión existente para este tráfico. Este número coincide con el ID de la sesión
creada durante el paquete SYN.
Cómo se aplica la NAT de destino.
La ruta al destino, indicando nuevamente la dirección
dirección IP del siguiente salto y la interfaz de
salida.
Esta herramienta es útil para muchos otros casos de resolución de problemas, incluso cuando
necesita comprender por qué un paquete está tomando una ruta específica o por qué se está
aplicando una dirección IP NAT específica.
Verificación de conocimientos.
1. ¿Qué información se muestra en la salida de un flujo de depuración?
A. Interfaz entrante y política de firewall correspondiente.
B. Perfil de seguridad y registro de tráfico coincidentes.
Lentitud.
Alto uso de CPU.
Alto uso de memoria.
No todos los problemas son fallas de conectividad de la red. A veces, hay problemas de recursos en
los dispositivos.
Si el uso es elevado, existen herramientas que pueden identificar qué función consume más CPU.
Además, puede solucionar problemas más rápido si sabe con precisión qué cambio (si corresponde)
corresponde al momento en que comenzó el problema.
En la parte superior del ejemplo de esta imagen, el resultado muestra que este modelo de FortiGate
tiene una CPU: CPU0. A esto le sigue el uso de RAM.
En la parte inferior del ejemplo de esta imagen, la salida muestra el tráfico de red.
A continuación, examinemos la salida para diagnose sys top. Enumera los procesos que utilizan más
CPU o memoria. Algunos procesos comunes incluyen:
ipsengine, scanunitd
reportd.
y otros procesos de inspección.
fgfmd para conexiones FortiGuard y FortiManager.
forticron para la programación.
Procesos de gestión (newcli, miglogd, cmdb, sshd y httpsd).
Para ordenar la lista por mayor uso de CPU, presione Mayús + P. Para ordenar por mayor uso de
RAM, presione Shift + M.
Tres umbrales configurables diferentes definen cuándo FortiGate entra y existe en modo de
conservación. Si el tamaño de la memoria supera el porcentaje de RAM total definido como el
umbral rojo, FortiGate ingresa al modo de conservación. Las acciones que realiza el dispositivo
El tercer ajuste de configuración es el control verde. si el uso de memoria cae por debajo de este
umbral, FortiGate sale del modo de conservación.
Para el tráficoelque
ha superado requiere
umbral una inspección basada en proxy (y si el uso de memoria
extremo): m emoria aún no
config system global
set av-failopen [off | pass | one-shot]
end
o off: no se pasan todas las
sesiones nuevas con el análisis de contenido habilitado.
o pass (predeterminado): todas las sesiones nuevas pasan sin inspección.
o one-shot: Similar a pa3a en que el tráfico no se inspecciona. Sin embargo, seguirá
pasando por alto el proxy AV incluso después de salir del modo de conservación.
Los administradores deben cambiar esta configuración o reiniciar la unidad para
reiniciar el escaneo AV.
La configuración av-failopen también se aplica a la inspección
inspección antivirus basada en flujo
Si el uso de memoria supera el umbral extremo, se bloquean todas las sesiones nuevas que
requieren inspección (basadas en flujo o basadas en proxy).
off: no se pasan todas las sesiones nuevas con el análisis de contenido habilitado.
pass (predeterminado): todas las sesiones nuevas pasan sin inspección.
one-shot: Similar a pass en el que el tráfico pasa sin inspección. Sin embargo, seguirá omitiendo el
proxy AV incluso después de que salga del modo de conservación. Los administradores deben
cambiar esta configuración o reiniciar la unidad para reiniciar el escaneo AV.
AV .
Sin embargo, si el uso de la memoria excede el umbral extremo, las nuevas sesiones siempre se
descartan, independientemente
independientemente de la configuración de FortiGate.
El comando diagnose hardware sysinfo conserve se utiliza para identificar si un dispositivo FortiGate se
encuentra actualmente en modo de conservación de memoria.
Otro estado indeseable para FortiGate es el modo de sesión de apertura fallida. Este modo se activa
no durante una situación de memoria alta, sino cuando un proxy en FortiGate se queda sin sockets
disponibles para procesar más tráfico inspeccionado basado en proxy.
Verificación de conocimientos.
1. ¿Qué acciones toma FortiGate durante el modo de conservación de memoria?
A. No se permiten cambios de configuración.
B. Se niega el acceso administrativo.
2. ¿Qué umbral se usa para determinar cuándo FortiGate ingresa al modo de conservación?
A. Verde.
B. Rojo.
. . . . . .
Desde FortiGate BIOS, los administradores pueden ejecutar algunas operaciones sobre la memoria
flash y las imágenes de firmware o acceder al menú del BIOS, debe reiniciar el dispositivo mientras
está conectado al puerto de la consola. El proceso de arranque, en un momento, muestra el
siguiente mensaje:
Press any key to display configuration menu
Mientras se muestra este mensaje. presione cualquier tecla para interrumpir el proceso de
arranque y mostrar el menú BIOS.
Enter G,F,B,I,Q, or H:
Es posible que sea necesario hacer esto si el firmware se corrompe o si el administrador desea
realizar una instalación limpia del nuevo firmware. Sin embargo, tenga en cuenta que al formatear
la memoria flash se elimina cualquier información almacenada en ella, como imágenes de firmware,
configuración y certificados digitales.
Después de reformatear la memoria flash, deberá instalar la imagen del firmware desde el BIOS.
Sigue estos pasos:
1. Ejecute un servidor TFTP.
1.
2. Configure el servidor TFTP con la carpeta donde se almacena el archivo de imagen del
firmware.
3. Conecte el puerto Ethernet de la PC a la interfaz de instalación FortiGate TFTP.
3.
4. Seleccione obtener
4. obtener imagen de firmware
fir mware en el menú del BIOS.
La interfaz asignada como interfaz de instalación TFTP depende del modelo. Sin embargo, y en la
mayoría de los casos, es el puerto 1 o la interfaz interna.
El BIOS lo pedirá.
Si todo está bien, debería ver una serie de signos de libra, que indican que el dispositivo está
descargando la imagen. Luego, el BIOS verificará la integridad del archivo y le dará las siguientes
tres opciones:
La última opción ( Run the image without saving it ) le permite ejecutar y probar el firmware sin
sobrescribir ningún firmware existente en la memoria flash. UnaU na vez que haya finalizado las pruebas
y esté listo para revertir el cambio, debe reiniciar el dispositivo y se utilizará el firmware existente
anteriormente.
Pruebas de hardware.
Diseñado tanto para pruebas de fabricación como para que los usuarios finales verifiquen los
principales componentes de hardware:
CPU.
Memoria RAM.
Interfaces de red.
Disco duro.
Memoria flash.
Interfaz USB.
LED del panel frontal.
Wifi.
Etc.
Para otros modelos, se debe cargar una imagen HQIP especial mediante TFTP y ejecutarla
desde el menú del BIOS.
o Instrucciones:
https://support.fortinet.com/Download
https://support.fortinet.com/Download/HQIPImages.a
/HQIPImages.aspx
spx
Para algunos modelos de la serie FortiGate E, puede ejecutar las pruebas de hardware directamente
desde la CLI de FortiOS.
Los pasos para cargar la imagen de prueba de hardware son los mismos que se usan para cargar
una imagen de firmware. Puede ejecutar la imagen de prueba de hardware sin guardarla en la
memoria flash, por lo que no se sobrescribirá ninguna imagen de firmware exi
existente.
stente.
Para algunos modelos, el comando diagnosticar hardware test suite ejecuta todas las pruebas de
hardware de FortiOS. Las pruebas de hardware requieren la interacción del usuario mientras se
ejecutan. Los usuarios pueden omitir algunos de los pasos y algunas pruebas requieren la conexión
de dispositivos externos (como memorias USB) o cables de red a FortiGate.
Registros de accidentes.
Inspeccione los registros de fallos con fines de depuración.
Cada vez que se cierra un proceso, se registra como muerto.
o Algunas son normales (por ejemplo, cerrar scanunit para actualizar definiciones).
# diagnose debug crashlog history
Crash log interval is 3600 seconds
miglogd crashed 1 times. The lastest crash was at 2019-04-07 03:19:23
fgfmsd crashed 1 times The lastest crash was at 2019-04-07 03: 19:31
Otra área que puede querer monitorear, únicamente para el diagnóstico, son los registros de fallas.
Los registros de fallos están disponibles a través de la CLI. Cada vez que se cierra un proceso por
cualquier motivo, el registro de fallos lo registra como un fallo. La mayoría de los registros del
registro de fallos son normales. Por ejemplo, cada vez que se actualiza el paquete de definiciones
de antivirus, el proceso scanunit debe cerrarse para poder aplicar el nuevo paquete. Este es un
apagado normal.
Algunos registros del registro de fallos pueden indicar problemas. Por esa razón, el soporte técnico
de Fortinet solicita con frecuencia registros de fallas para solucionar problemas. Esta diapositiva
muestra el comando que debe usar para obtener un registro de fallas.
o Existente:
14: 2019-04-07 14:19:55 logdesc="Kernel leaves conserve mode"
service=kernel
service=kernel conserve=ex
conserve=exit
it
15: 2019-04-07 14:19:55 free="192987 pages" green="192000 pages"
msg="Kernel
msg="Ker nel leaves conserve mode"
Verificación de conocimientos.
1. ¿Qué tipo de información se almacena en el registro de fallos?
A. Procesos de bloqueos y eventos del modo Conservar.
B. Registros de tráfico y registros de seguridad