Nse4 Cursos de Insfraestructura de Fortigate

Asignación de recursos del sistema.

 Límite de recursos globales: asignado a cada función en todo FortiGate.
 Límite de recursos de VDOM: asignado a cada función
fu nción en cada VDOM.
o Garantiza una asignación mínima de recursos por VDOM.
o Ningún VDOM puede privar a los demás de todos los recursos del dispositivo.
Recuerde, los VDOM son solo una separación lógica: cada VDOM comparte recursos físicos con los
demás.
A diferencia de FortiGate-VM, los VDOM no se asignan y equilibran con núcleos de vCPU

ponderados, VRAM y otro hardware virtualizado.
Para ajustar el rendimiento, puede configurar límites de recursos para cada función (túneles IPsec,
objetos de dirección, etc.) a nivel global y en cada nivel de VDOM. Esto controla llaa relación entre el
uso de recursos de cada sistema VDOMS y el total de recursos disponibles.
Límites de recursos globales y por VDOM.
Por ejemplo, en este FortiGate, el hardware es lo suficientemente potente como para manejar hasta
2000 túneles VPN IPsec. FortiGate está configurado con tres VDOM.
VDOM1 y VDOM2 no usan túneles VPN IPsec con frecuencia. Por lo tanto, se les permite tener hasta
50 túneles cada uno. Sin embargo, VDOM3 utiliza VPN de forma extensiva. Por lo tanto, este
FortiGate se configurará para permitir que VDOM3 tenga hasta 1900 túneles. Además, se
garantizarán 1000 de esos túneles.
Configure su FortiGate con límites globales para funciones críticas como sesiones, políticas y otras.
Luego, configure cada VDOM con sus propias cuotas y mínimos, dentro de los límites globales.

Supervisión de los recursos de VDOM.

El monitor VDOM muestra:
Utilización de CPU.
Utilización de la memoria.
En la GUI, puede hacer clic en Global> Sistema> VDOM para ver el monitor VDOM. Muestra el uso
de CPU y memoria para cada VDOM.
El administrador de VDOM tiene dificultades

para acceder.
 Confirme el administrador VDOM.
 Confirme las interfaces VDOM.
 Confirme los privilegios de acceso del administrador de VDOM.
 Confirme el host y la IP de confianza.
 Mejores prácticas
o Cree una cuenta de administrador específica de VDOM para cada VDOM.
o Evite dar acceso de súper administrador.
Con los VDOM configurados, los administradores tienen una capa adicional de permisos y pueden
tener problemas para acceder a la información deseada.
Si un administrador no puede obtener acceso, verifique lo siguiente
 Confirme el VDOM del administrador: cada cuenta de administrador, que no sea la cuenta
super_admin, está vinculada a uno o más VDOM específicos. Ese administrador no puede
acceder a ningún otro VDOM. Es posible que estén intentando acceder al VDOM incorrecto
(uno para el que no tienen permisos).
 Confirme las interfaces del VDOM: Un administrador puede acceder a su VDOM solo a
través de las interfaces que están asignadas a ese VDOM. Si las interfaces en ese VDOM
están deshabilitadas o no disponibles, su administrador local no podrá acceder a ese VDOM.
Se requerirá que el super_admin abra las interfaces, arregle las interfaces o mueva otra
interfaz a ese VDOM para restaurar el acceso.

 Confirme el acceso de administrador de VDOM: como con todos los dispositivos FortiGate,
el acceso de administración en las interfaces de VDOM debe estar habilitado para que los
administradores de ese VDOM obtengan acceso. Por ejemplo, si SSH no está habilitado, no
está disponible para los administradores. Para habilitar el acceso de administrador, el
super_admin hace clic en Global> Red> Interfaces y habilita el acceso de administrador para
la interfaz en cuestión.
 Confirme el host y la IP de confianza: si los hosts de confianza están habilitados en la cuenta

de administrador, asegúrese de que el usuario se esté conectando desde la dirección de
host especificada correcta y que ningún dispositivo intermedio esté realizando funciones de
NAT en la conexión.
Las mejores prácticas indican que, por lo general, debe evitar los agujeros de seguridad innecesarios.
No proporcione acceso super_admin si es posible. En su lugar, restrinja a cada administrador a su
dominio relevante. De esa forma, no pueden afectar accidental o maliciosamente
mali ciosamente a otros VDOM, y
cualquier daño o error tendrá un alcance limitado.
Consejos generales y resolución de problemas
de VDOM.
Realice un rastreo de rastreo.
Realizar un seguimiento del flujo de paquetes
Además de ping y traceroute, existen herramientas adicionales para solucionar problemas de

configuración de VDOM. Las herramientas principales para la resolución de problemas de VDOM
incluyen la detección de paquetes y la depuración del flujo de paquetes.
Realice un rastreo de rastreo: al solucionar problemas de redes, es útil mirar dentro de los
encabezados de los paquetes para determinar si viajan solos por la ruta esperada. El rastreo de
paquetes también se puede llamar toma de red, captura de paquetes o análisis lógico. el rastreador
también indica qué tráfico entra o sale de las interfaces de entrada y salida en todos los VDOMS.
Esto lo hace extremadamente útil para solucionar problemas de enrutamiento entre VDOM.
Depurar el flujo de paquetes: el tráfico debe entrar

en trar y sal
salir
ir del VDOM. Si ha identificado que el tráfico
de red no entra y sale del VDOM como se esperaba, depure el flujo de paquetes. La depuración solo
se puede realizar mediante comandos CLI. Esta herramienta proporciona detalles más granulares
para ayudar en la resolución de problemas de tráfico entre VDOM porque brinda detalles de
selección de ruta, NAT y selección de políticas.

Verificación de conocimientos.
1. De estas opciones, ¿cuál es una posible razón por la que un administrador podría no tener acceso
a un VDOM específico?
A. El administrador está usando una dirección IP que no está especificada como host confiable.
B. El administrador está usando el perfil Super_Admin.
2. ¿Qué herramienta de resolución de problemas es la más adecuada cuando se intenta verificar la

política de firewall utilizada por un enlace entre VDOM?
A. Rastro del rastreador
B. Seguimiento del flujo de paquetes.
Conmutación de capa 2.
Red de área local virtual (VLAN).

 Divida lógicamente su red física de Capa 2 en segmentos más pequeños.
o
o
Cada segmento
Etiquetas forma
de VLAN un dominio
agregadas a las de difusión
tramas paraindependiente.
identificar sus segmentos de red.
Las VLAN dividen su LAN física en varias LAN lógicas. En el modo de funcionamiento NAT, cada VLAN
forma un dominio de difusión independiente. Varias VLAN pueden coexistir en la misma interfaz
física, siempre que tengan diferentes ID de VLAN. De esta manera, una interfaz física se divide en
interfaces más lógicas. Se agrega una etiqueta a cada trama de Ethernet para identificar la VLAN a
la que pertenece.
Etiquetas VLAN en tramas
 Las etiquetas VLAN agregan una extensión de 4 bytes a una trama Ethernet.
 Los dispositivos de capa 2 pueden agregar o eliminar etiquetas.

Los dispositivos
o FortiGatedeescapa 3 pueden reescribir
un dispositivo de capa 3las
enetiquetas
modo NAT antes del enrutamiento

Esta imagen muestra una trama de Ethernet. La trama contiene las direcciones MAC de origen y
destino, el tipo, la carga útil de datos y el código CRC para confirmar que no está dañado.
En el caso de tramas Ethernet con etiquetado VLAN, según el estándar 802.1q, se insertan cuatro
bytes más después de la dirección MAC. Contienen un número de identificación que identifica la
VLAN.
Un dispositivo OSI de Capa 2, como un conmutador, puede agregar o eliminar

eli minar estas etiquetas de las
tramas Ethernet, pero no puede cambiarlas.
Un dispositivo de Capa 3, como enrutador o FortiGate, puede cambiar la etiqueta VLAN antes de
proceder a enrutar el paquete. De esta forma, pueden enrutar el tráfico entre VLAN.
Cómo usa FortiGate las etiquetas VLAN.
Cuando opera en modo NAT, FortiGate opera como un enrutador OSI de capa 3 en su configuración
más básica. En este modo, una VLAN es una interfaz en el dispositivo. Las etiquetas VLAN se pueden
agregar al salir, quitar al ingresar o reescribir según una decisión de enrutamiento. FortiGate no
agrega etiquetas VLAN al ingresar (esta es la responsabilidad de un dispositivo anterior).

Etiquetas de VLAN durante la retransmisión

r etransmisión
en una red.
En este ejemplo que se muestra en esta imagen del modo de operación NAT, un host en la VLAN
100 envía una trama a un host en la VLAN 300. El conmutador A recibe la trama en la interfaz VLAN
100 sin etiquetar. Después de eso, agrega
ag rega la etiqueta VLAN 100 en el enlace troncal etiquetado entre
el switch A y FortiGate.
Creación de VLAN.
Las tramas enviadas o recibidas por el segmento de interfaz física nunca se etiquetan; pertenecen a
la VLAN nativa.
Para crear una VLAN usando la GUI, haga clic en Crear nueva, seleccione Interfaz y luego, en la lista
desplegable Tipo, seleccione VLAN. Debe especificar el ID de VLAN y la interfaz física a la que se
vinculará la VLAN. Las tramas que pertenecen a interfaces de ese tipo siempre están etiquetadas.
Por otro lado,

etiquetan. las tramas
Pertenecen enviadas
a lo que o recibidas
se denomina VLANpor el segmento
nativa de interfaces físicas nunca se
(VLAN ID 0).

Tenga en cuenta que en un entorno de múltiples VDOM, la interfaz física y su subinterfaz VLAN
pueden estar en VDOM separados.
1. ¿En qué modo debe estar funcionando FortiGate VDOM para enrutar el tráfico entre las VLAN?
A. Modo transparente.
B. Modo NAT
Modo de operación.
 El modo de operación define cómo FortiGate maneja el tráfico.
o Modo NAT:
Rutas según OSI Layer 3 (direcciones IP), como enrutador.

Las interfaces de FortiGate tienen direcciones IP asociadas.


o Modo transparente:
Reenvía de acuerdo con OSI Layer 2 (direcciones MAC), como un puente

transparente.

Las requiere
No

interfacescambios
de FortiGate generalmente
de direcciones IP en no tienen direcciones IP.
la red.
Los firewalls IPv4 tradicionales y los dispositivos FortiGate en modo NAT manejan el tráfico de la
misma manera que lo hacen los enrutadores. Cada interfaz debe estar en subredes diferentes y cada
subred forma un dominio de broadcats diferente. FortiGate enruta los paquetes IP según la
información del encabezado IP, sobrescribiendo la dirección
dirección MAC de origen.
origen . Entonces, si un cliente
envía un paquete a un servidor conectado a una interfaz de FortiGate diferente, el paquete llegará
al servidor con una dirección MAC de FortiGate, en lugar de la dirección MAC del cliente.
En el modo de operación transparente, FortiGate reenvía tramas sin cambiar las direcciones MAC.
Cuando el cliente recibe un paquete de un servidor conectado a una interfaz FortiGate diferente, el
marco contiene la dirección MAC real del servidor; FortiGate no reescribe el encabezado MAC.
FortiGate es un puente o conmutador de capa 2. Por tanto, las interfaces no tienen direcciones
direcciones IP y,
por defecto, todas pertenecen al mismo dominio de difusión.
Esto significa que puede instalar un FortiGate en modo transparente en la red de un cliente sin tener
que cambiar el plan de direcciones IP del cliente. Algunos clientes, especialmente las grandes
organizaciones, no desean reconfigurar miles de dispositivos para definir una nueva red interna que
esté separada de su red externa.

Modo de funcionamiento NAT.
La imagen muestra un ejemplo del modo de funcionamiento NAT.
FortiGate tiene tres puertos conectados, cada uno con subredes IP independientes. Todas las
interfaces de FortiGate tienen direcciones IP y, en este caso, NAT se traduce entre redes. Las
políticas de firewall permiten que el tráfico fluya entre redes.
FortiGate maneja los paquetes de acuerdo con sus rutas. En la mayoría de los casos, las rutas se
basan en la dirección IP de destino (en la capa 3 del modelo OSI).
Los clientes en cada subred envían tramas que están destinadas a una dirección MAC de FortiGate,
no a la dirección MAC real del servidor.
Modo de operación transparente.

Esta imagen muestra un ejemplo de modo de funcionamiento transparent

transparente.
e. Las políticas de firewall
escanean y luego permiten o bloquean el tráfico. Pero existen diferencias.
Tenga en cuenta que las interfaces físicas en FortiGate no tienen direcciones IP. Por lo tanto,
FortiGate no responderá a la solicitud de ARP. Sin embargo, hay algunas excepciones. Por ejemplo,
al cambiar al modo de operación transparente, debe especificar una dirección IP de administración
para recibir conexiones de sus administradores de red y enviar mensajes de registro, trampas SNMP,
correo electrónico de alerta, etc. Esta dirección IP no está asignada a una interfaz específica. Se
asigna a las configuraciones de VDOM. La dirección IP de administración no tiene ningún efecto
sobre el tráfico que pasa por FortiGate.
De forma predeterminada, un modo transparente FortiGate no realizará

r ealizará NAT. Además, los clientes
enviarán tramas destinadas directamente al enrutador real o la dirección
dir ección MAC del servidor.
FortiGate como puente transparente.

 Transparente para el host de capa IP.
 Crea una tabla para el reenvío de tráfico analizando las direcciones MAC de origen de las
tramas entrantes.
 Divide su red en varios dominios de colisión:
o Reduce el tráfico y los
l os niveles de colisión observados en dominios individuales.
o Mejora el tiempo de respuesta de la red.
Un modo transparente en FortiGate actúa como un puente transparente. ¿Qué significa eso?
Significa que FortiGate tiene una tabla de direcciones MAC que contiene, entre otras cosas, la
interfaz que debe usarse para llegar a cada dirección MAC. FortiGate completa esta tabla con
información extraída de la dirección MAC de origen de cada trama.
FortiGate, como conmutador transparente, divide la red en múltiples dominios de colisión,

reduciendo el tráfico en la red y mejorando el tiempo de respuesta.
Reenvía dominios.
 De forma predeterminada, todas las interfaces de un VDOM pertenecen al mismo dominio
de difusión; incluso interfaces con diferentes ID de VLAN.
o Los dominios de difusión que contienen múltiples interfaces pueden ser muy
grandes y agregar tráfico de difusión innecesario a algunos segmentos de la LAN.
 Utilice este comando para subdividir un VDOM en varios dominios de transmisión:
 Las interfaces con el mismo ID de dominio pertenecen al mismo dominio de difusión.

De forma predeterminada, en el modo de funcionamiento transparente, cada VDOM forma un
dominio directo independiente;
independiente; sin embargo, las interfaces no lo hacen. ¿Cómo afecta esto a la red?
Hasta que cambie la configuración inicial de VDOM, todas las

l as interfaces, independientemente
independientemente de su
ID de VLAN, son parte del mismo dominio de transmisión. FortiGate transmitirá desde cada interfaz
en el VDOM para encontrar cualquier dirección MAC de destino desconocida.
desconocida. En redes grandes, esto
podría generar un tráfico de transmisión masivo y respuestas abrumadoras: una tormenta de
transmisión.
FortiGate con un dominio directo.
FortiGate en modo transparente con todas las VLAN en el mismo dominio de reenvío.
Esta imagen ilustra un problema: una transmisión con todas las interfaces en el dominio directo 0
(predeterminado). Un dispositivo envía una solicitud ARP. Llega a FortiGate a través de una de las
interfaces del VDOM.
Debido a que todas las interfaces pertenecen al mismo dominio de reenvío, FortiGate retransmite
a todas las demás interfaces, incluso a interfaces que pertenecen a diferentes VLAN. Esto genera
tráfico innecesario. Después de eso, la respuesta ARP seguirá llegando a una sola interfaz, y
FortiGate aprenderá que la MAC está en esa interfaz.
FortiGate con múltiples dominios directos.

FortiGate en modo transparente con todas las VLAN en diferentes dominios de reenvío.

Como aprendió anteriormente en esta lección, los dominios de reenvío son como dominios de
transmisión.
El ejemplo de esta diapositiva muestra la misma red que antes, pero se asignan diferentes ID de
dominio de reenvío a cada VLAN.
El tráfico que llega a una interfaz se difunde solo a las interfaces que se encuentran en el mismo ID
de dominio directo.
Tabla MAC de modo transparente.
Este comando de depuración enumera la tabla de direcciones MAC en un VDOM que o opera
pera en modo
transparente. La tabla que se muestra en esta imagen
imag en contiene las interfaces saliente
salientess para llegar a
cada dirección MAC aprendida.
1.
A. ¿Qué
Tieneafirmación sobre
una dirección el funcionamiento
IP de administración.de FortiGate en modo transparente es verdadera?
B. Cada interfaz tiene su propia dirección
dir ección IP.

2. ¿Cómo puede un administrador configurar FortiGate para tener cuatro interfaces en el mismo
dominio de transmisión?
A. Cree una política de firewall en cada una de las cuatro iinterfaces.
nterfaces.
B. Configure el modo de operación como transparente y use el mismo ID de dominio directo .
Par de cables virtual.

 Vincula lógicamente dos interfaces físicas.
o Por lo general, una interfaz interna y una externa.
 El tráfico se reenvía entre estas interfaces.
o El tráfico entrante a una interfaz siempre se reenvía a través de la otra interfaz.
o Ningún otro tráfico puede entrar o salir de un par de cables virtual.
 Evita complejidades como tormentas de transmisión, aleteo de MAC.
Puede usar el emparejamiento de cables virtual cuando solo es necesario conectar dos interfaces
físicas al mismo dominio de transmisión. El ejemplo más frecuente de esto es FortiGate conectado
entre la red interna y el enrutador del ISP.
Cuando configura
lógicamente, el emparejamiento
actuando como un cabledeocables
tuberíavirtuales,
filtrada.dos puertos
Todo están
el tráfico vinculados
que o vinculados
llegó a un puerto se
reenvía al otro puerto. Esto evita problemas relacionados con tormentas de transmisión o alteración
de direcciones MAC
Puede crear más de un par de cables virtuales en FortiGate.
Emparejamiento de cable virtual y modo

transparente.

Esta imagen muestra un ejemplo de dos pares de cables virtuales utilizados en FortiGate en modo
transparente.
Este FortiGate tiene cuatro puertos, cada uno conectado a diferentes ubicaciones físicas, pero no se
permite que el tráfico fluya entre las cuatro ubicaciones. El emparejamiento de cables virtuales
permite el tráfico solo entre puertos del mismo par: entre el port1 y el port2, y entre el port3 y el
wan1.
Entonces, en este ejemplo, la red en el port3 puede acceder a Internet a través de wan1. Sin
embargo, las redes del port2 y del port1 no pueden acceder a Internet. Solo pueden alcanzarse
entre sí.
Emparejamiento de cable virtual y modo NAT.

El par funciona de manera similar al modo transparente, dentro de un VDOM NAT.
Esta imagen muestra un ejemplo de un par de cables virtual en FortiGate que funciona en modo
NAT. En este ejemplo, los paquetes IP que ingresan a las interfaces wan1 e internal se enrutan
utilizando la información del encabezado IP. Esas dos interfaces tienen diferentes direcciones IP y
cada una forma un dominio de difusión independiente.
El caso de las interfaces wan2 y dmz es diferente. Debido a que estas interfaces están configuradas
como un par de puertos virtuales, no tienen direcciones IP asignadas y forman un solo dominio de
transmisión. Observe las direcciones IP del servidor y el enrutador conectado a wan2. Ambos deben
pertenecer a la misma subred.
Por lo tanto, el emparejamiento de cables virtual ofrece una forma de mezclar las funciones del
modo NAT con algunas funciones del modo transparente en el mismo VDOM.

Este escenario se usa más
m ás comúnmente como firewall de segmentación. Esta configuración permite
integrar FortiGate en una red existente donde el servidor web está en una dirección IP pública. Evita
la necesidad de utilizar una IP virtual y proporciona aislamiento del resto de la red. También permite
la integración inmediata de FortiGate en una red establecida y proporciona una ruta de migración
mig ración a
la infraestructura de FortiGate.
Configuración de par de cables virtual.

 VLAN comodín:
o Habilitar: las políticas se aplican igualmente a las interfaces físicas y las VLAN.
o Desactivar: las políticas se aplican solo a las interfaces físicas (se niegan los paquetes
con etiquetas VLAN)
Cuando crea un par de cables virtual, debe seleccionar dos interfaces físicas, ni más ni menos.
Después de seleccionar las dos interfaces, crea las políticas de par de cables virtuales que
inspeccionan el tráfico que cruza el par de cables virtual. La configuración de LAN comodín especifica
cómo se aplican esas políticas a las diferentes VLAN cuyo tráfico fluye entre el par:
 Si la VLAN comodín está habilitada, las políticas de pares de cables virtuales se aplican por
igual a las interfaces físicas y las VLAN.

Si la VLAN comodín está deshabilitada, las políticas de pares de cables virtuales se aplican
solo a las interfaces físicas. Se deniega el tráfico con cualquier etiqueta de VLAN.

Políticas de pares de cables virtuales.

v irtuales.
Las políticas de firewall para el emparejamiento de cables virtuales se configuran en un elemento

de menú diferente. Este elemento de menú se muestra cuando ha creado al menos un par de cables
virtual. Puede crear políticas de firewall bidireccionales
bidireccionales que permitan que el tráfico se inicie desde
cualquier dirección o puede crear políticas de firewall separadas para el flujo de tráfico en cada
dirección en el par de cables virtual.
Debe habilitar la Opción avanzada de política en Visibilidad de funciones para ver el par de cables
virtuales del firewall en el Menú Políticas.
1. ¿Qué ajuste de configuración se debe habilitar para permitir el tráfico etiquetado con VLAN a
través de un par de cables virtual?
A. Puente transparente.
B. VLAN comodín.
2. ¿Cómo se maneja el tráfico en un par de cables virtual?

A. El tráfico entrante a una interfaz siempre se reenvía a través de la otra interfaz.
B. El tráfico se reenvía según la dirección MAC de destino.
Software Switch.
 Puede agrupar varias interfaces físicas e inalámbricas
inalámbri cas en una única interfaz de conmutador
virtual.
 Solo se admite en modo NAT.
 Actúa como un interruptor de capa 2 tradicional.
 Las interfaces:
o Comparte la misma dirección IP.
Pertenecen al mismo dominio de difusión.
o

Un software switch agrupa varias interfaces para formar un switch virtual, que actúa como un switch
tradicional de capa 2. Esto significa que todas las interfaces del switch forman parte del mismo
dominio de difusión.
Configuración de un Software Switch.
Cada software switch tiene una interfaz virtual asociada. La dirección IP es compartida por todas las
interfaces físicas del switch y los SSID miembros. Utilice esta interfaz virtual en las políticas de
firewall y la configuración de enrutamiento.
Ejemplo de un Software Switch.

En este ejemplo, el administrador agrupó una interfaz inalámbrica con port1 y port2 para formar un
software switch. Estas tres interfaces forman parte del mismo dominio de difusión. Todos los
dispositivos conectados
conectados a las interfaces del switch pertenecen a la misma subred IP: 192.168.1.0/24 .
Esto permite que FortiGate reenvíe el tráfico de transmisión de los clientes inalámbricos al port1 y
port2.
La propia interfaz del software switch tiene una dirección IP, que también se encuentra en la misma
subred: 192.168.1.0/24. Esta es la dirección IP de la puerta de enlace predeterminada para todos
los dispositivos conectados al software switch.
swi tch.
El servidor 10.0.1.1 está conectado a una interfaz (dmz) que no forma parte del software switch.
Por lo tanto, pertenece a un dominio de transmisión y una subred IP diferentes.
Protocolo de árbol de expansión.

Objetivos
Instale FortiGate en redes que ejecutan el protocolo de árbol de expansión.
Después de completar esta sección, debería poder instalar FortiGate en redes que ejecutan el
protocolo de árbol de expansión (STP).
Al demostrar competencia en STP, comprenderá cómo instalar FortiGate en una red que ejecuta
STP y cómo evitar problemas comunes relacionados con STP.
Tormentas de transmisión.
 Cuando un conmutador recibe un mensaje de transmisión directa, ese mensaje se envía a
todos los puertos.
 Con una ruta redundante, esto puede provocar una tormenta de difusión.
Siempre que sea posible, los diseñadores de redes intentan proporcionar redundancia en sus redes.
Cuanto mayor sea la red,
r ed, más crítica será la necesidad de redundancia. Sin embargo, la
l a redundancia
presenta sus propios problemas
Cuando un switch Ethernet recibe una trama, la reenvía a todos los puertos del mismo dominio de
difusión, excepto al puerto en el que recibió la trama. Si hay una ruta redundante en la red, la trama

se transmitirá por ambos enlaces. Esto crearía lo que se llama una tormenta de transmisión, que
eventualmente conducirá a un colapso completo de la red a medida que la trama se retransmite
una y otra vez, a través de cada puerto.
Habilitar STP.
STP proporciona un mecanismo dinámico y automático para evitar tormentas de difusión.
Para evitar tormentas de difusión, puede utilizar STP.
STP funciona eligiendo primero un switch en el dominio de difusión para que sirva como puente
raíz. Luego, los switches comienzan a intercambiar paquetes especiales llamados unidades de datos
de protocolo de puente o BPDU. Estas BPDU proporcionan a cada switch información sobre sus
vecinos y sus interfaces vecinas. Cuando se conocen todas las rutas, los switches identifican los
bucles potenciales y designan un puerto raíz, según el costo de reenvío más bajo, que será la ruta
principal. Los otros puertos, que podrían resultar en un
u n bucle, están bloqueados.
Debido a que las BPDU se envían cada dos segundos, los switches pueden detectar cualquier
interrupción de la red y desbloquear los puertos según sea necesario para restaurar una ruta
alternativa alrededor de la interrupción.
De forma predeterminada, FortiGate no participa en el aprendizaje de STP, o BPDU de reenvío. Pero

puedes habilitarlo. (Aún debe restringir los dominios de transmisión para que no sean
abrumadoramente grandes).
Configuración STP.
Para configurar FortiGate para participar en STP:

Solo se admite en modelos que tienen interfaces de switch.
Para permitir que FortiGate participe en el árbol STP, use el comando config system stp en la CLI.
Tenga en cuenta que esto solo es compatible con modelos que tienen interfaces de switch físico,
como FortiGate 30D, 60D, 60E y 90D.
Reenvío STP.
Configure cada interfaz para bloquear (predeterminado) o reenviar STP.
Para las interfaces que no son interfaces de conmutador físico, puede reenviar o bloquear las BPDU
de STP.
1. ¿Cuál es el modo STP predeterminado para FortiGate?
A. FortiGate reenvía pasivamente BPDU.
B. FortiGate tiene todas las funciones de STP
ST P deshabilitadas.
Mejores prácticas.
 Cree dominios de reenvío cuando se utilicen VLAN y configure vlanforward para que se
desactive en todas las interfaces físicas relevantes
El ID de dominio de reenvío puede ser diferente del ID de VLAN, pero se recomienda para

la resolución de problemas y la legibilidad mantenerlos

mantenerlos iguales
 Cuando se utilizan dominios de reenvío, se requiere un enrutador para mover el tráfico
entre los dominios de reenvío
 Solo las interfaces de los mismos dominios de reenvío pueden tener políticas de firewall
entre sí
 Debido a que las BPDU de STP no se reenvían de forma predeterminada, tenga cuidado al
insertar FortiGate (o cualquier otro dispositivo de reenvío) porque esto podría romper el
árbol de expansión y generar bucles de Capa 2

¿Qué es IPsec?
 Une redes y hosts remotos en una red privada.
 Generalmente proporciona:
o Autenticación.
o Integridad de los datos (a prueba de manipulaciones).
o
Confidencialidad de los datos (cifrado).
¿Qué es IPsec? ¿Cuándo debería usarlo?

IPsec es un conjunto de protocolos estándar independiente del proveedor que se utiliza para unir
dos LAN físicamente distintas. Las LAN se unen como si fueran una única red lógica, a pesar de estar
separadas por Internet.
En teoría, IPsec admite el cifrado nulo, es decir, puede crear VPN que no cifren el tráfico. IPsec
también admite la integridad de datos nulos. ¿Pero eso ofrece alguna ventaja sobre el tráfico
normal? No. Nadie puede confiar en el tráfico que pueda haber sido inyectado por un atacante. Rara
vez la gente quiere que los datos sean enviados por una fuente desconocida. La mayoría de las
personas también
crédito y los quieren
registros quepermanezcan
médicos, los datos de red privados, como las transacciones con tarjetas de
privados.
Independientemente del proveedor, las VPN IPsec casi siempre tienen configuraciones que les
permiten brindar tres beneficios importantes:
 Autenticación: para verificar la identidad de ambos extremos.
 Integridad de los datos (o HMAC): Para demostrar que los datos encapsulados no han sido
manipulados al cruzar una red potencialmente hostil.
 Confidencialidad (o encriptación): para asegurarse de que solo el destinatario previsto
pueda leer el mensaje.

¿Qué es el protocolo IPsec?

 Múltiples protocolos que funcionan juntos.
o AH proporciona integridad, pero no cifrado.
o AH está definido en el RFC, pero FortiGate no lo usa.
 Los números de potenciómetro y la encapsulación varían según la traducción de direcciones
de red (NAT).
Protocolo NAT Sin NAT

IKE Protocolo IP 17: Protocolo IP17
RFC 2409 (IKEv1) Puerto UDP 500 Puerto UDP 500
RFC 4306 (IKEv2) (UDP 4500 para reintroducir,
modo rápido, modo-cfg)
ESP Protocolo IP 17 Protocolo IP 50
RFC 43003 Puerto UDP 4500
Si está pasando su VPN a través de firewalls, es útil saber qué protocolos permitir.
IPsec es un conjunto de protocolos independientes. Incluye:

 Intercambio de claves de Internet (IKE): IKE se utiliza para autenticar pares, intercambiar
claves y negociar el cifrado y las sumas de comprobación
comprobación que se utilizarán, básicamente, es
el canal de control.
 Encabezado de autenticación (AH): AH contiene el encabezado de autenticación, las sumas
de comprobación que verifican la integridad de los datos.
 Carga útil de seguridad de encapsulación (ESP): ESP es la carga útil de seguridad
encapsulada, la carga útil cifrada, esencialmente, el canal de datos.
Por lo tanto, si necesita pasar el tráfico IPsec a través de un firewall, recuerde que permitir solo un
protocolo o número de puerto generalmente no es suficiente.
Tenga en cuenta que IPsec RFC menciona AH; sin embargo, AH no ofrece cifrado, un beneficio
importante. Por tanto, FortiGate no utiliza AH. Como resultado, no necesita permitir el protocolo IP
AH (51)
Para hacer una VPN, debe configurar ajustes coincidentes en ambos extremos, ya sea que la VPN
esté entre dos dispositivos FortiGate, un FortiGate y FortiClient, o un dispositivo de terceros y un
FortiGate. Si la configuración no coincide, la configuración del túnel fallará.
¿Cómo funciona IPsec?

 Encapsulamiento.
o Otros protocolos envueltos dentro de IPsec.
o ¿Qué hay adentro? Varía según el modo:
Modo de transporte: TCP / UDP.


Capa IP adicional en modo túnel, luego
TCP / UDP.

 Negociación como SSL / TLS.

o Autenticación.
o Apretón de manos para intercambiar claves,
configuraciones.
IPsec proporciona servicios en la capa de IP (red). Durante el establecimiento del túnel, ambos
extremos negocian los algoritmos de encriptación y autenticación a utilizar.

Una vez que el túnel se ha negociado y está activo, los datos se cifran y encapsulan en paquetes ESP.
Encapsulación ESP ---- Modo túnel o

transporte.
¿Qué está encapsulado? Depende del modo de encapsulación que se utilice. IPsec puede funcionar
en dos modos, modo de transporte y modo de túnel.

El modo de transporte encapsula y protege directamente la cuarta capa (transporte) y
superior. El encabezado de IP original no está protegido y no se agrega
agreg a ningún encabezado
de IP adicional.
 El modo túnel es un verdadero túnel. Todo el paquete IP está encapsulado y se agrega un
nuevo encabezado IP al principio. Una vez que el paquete IPsec llega a la LAN remota y se
desenvuelve, el paquete original puede continuar su viaje.
Tenga en cuenta que después de eliminar los encabezados relacionados con VPN, un paquete de
modo de transporte no se puede transmitir más, no tiene un segundo encabezado IP en su interior,
por lo que no es enrutable. Por esa razón, este modo generalmente se usa solo para VPN de un
extremo a otro (o de cliente a cliente).

¿Qué es IKE?
 Utiliza el puerto UDP 500 (y el puerto UDP 4500 al cruzar NAT).
 Negocia las claves privadas, la autenticación y el cifrado de un túnel.
 Etapas:
o
Fase 1.
o Fase 2.
 Versiones:
o IKEv1 (legado, adopción más amplia).
o IKEv2 (adopción nueva y más sencilla).
IKE usa el puerto UDP 500. Si NAT-T está habilitado en un escenario NAT, IKE usa el puerto UDP
4500.
IKE establece un túnel VPN IPsec. FortiGate usa IKE para negociar con el par y determinar la
asociación de seguridad (SA) de IPsec. IPsec SA define la autenticación,
aut enticación, las claves y la configuración
que se utilizará para cifrar y descifrar los paquetes de ese par. Se basa en el Protocolo de
administración de claves y asociación de seguridad de Internet (ISAKMP).
IKE define dos fases fase 1 y fase 2.

Hay dos versiones de IKE: IKEv1 e IKEV2. Aunque IKEv2 es una versi
versión
ón más reciente y presenta una
operación de protocolo más simple, esta lección se enfocará solo en IKEv1, debido a su adopción
mucho más amplia.
Negociación-SA.
 IKE permite a las partes involucradas en una transacción configurar sus SA.
o Las SA son la base para construir funciones de seguridad en IPsec.
o En el tráfico bidireccional normal, el intercambio está protegido por un par de SA.
o Los administradores de IPsec deciden los algoritmos de encriptación y autenticación
que se pueden utilizar en el intercambio.
 IKE utiliza dos fases distintas:
o Resultado de la fase 1: IKE SA.
o Resultado de la fase 2: IPsec SA.
Para crear un túnel IPsec, ambos dispositivos deben establecer sus SA y claves secretas, que se
facilitan mediante el protocolo IKE.
La arquitectura de IPsec utiliza SA como base para construir funciones de seguridad en IPsec. Una
SA es simplemente el conjunto de algoritmos y parámetros que se utilizan para cifrar y autenticar
los datos que viajan a través del túnel. En el tráfico bidireccional normal, este intercambio está
protegido por un par de SA. uno para cada sentido del tráfico Esencialmente, ambos lados del túnel
deben acordar las reglas de seguridad. Si ambos lados no pueden ponerse de acuerdo sobre las
reglas para enviar datos y verificar la identidad de los demás entonces no se establecerá el túnel.
Los SA caducan y los pares deben renegociarlos una vez que hayan alcanzado su vida útil.

IKE utiliza dos fases distintas: fase 1 y fase 2. Cada fase negocia diferentes tipos de SA. La SA
negociada durante la fase 1 se llama IKE SA y la SA negociada durante la fase 2 se llama IPsec SA. Las
SA de IKE se utilizan para configurar un canal seguro para
p ara negociar las claves que se utilizan para la
negociación de SA de IPsec Las SA de IPsec se utilizan para cifrar y descifrar los datos enviados y
recibidos, respectivamente, a través del túnel.
Topologías de VPN ---- Acceso remoto.

 Los usuarios remotos se conectan a los recursos corporativos.
o FortiGate está configurado como servidor de acceso telefónico; solo los clientes
pueden iniciar la VPN.
o Los usuarios necesitan un cliente VPN, como FortiClient.
Los VPN de acceso remoto se utilizan cuando los usuarios de Internet remotos necesitan conectarse
de forma segura a la oficina para acceder a los recursos
re cursos corporativos. El usuario remoto se conecta
a un servidor VPN ubicado en las instalaciones corporativas, como FortiGate, para establecer un
túnel seguro. Una vez que el usuario está autenticado, FortiGate proporciona acceso a los recursos
de la red, según los permisos otorgados a ese usuario.
En una VPN de acceso remoto, FortiGate generalmente se configura como un servidor de acceso
telefónico. Aprenderá más sobre las VPN de acceso telefónico en esta lección. La dirección IP del
usuario de Internet remoto suele ser dinámica. Debido a que FortiGate no conoce la dirección IP del
usuario remoto, solo el usuario remoto puede iniciar una solicitud de conexión VPN.
En el lado del usuario remoto, se necesita un cliente VPN, como FortiClient. FortiClient debe
configurarse para que coincida con la configuración del servidor VPN y se encarga de establecer el
túnel, así como enrutar el tráfico destinado al sitio remoto a través del túnel.
Además, una configuración de VPN de acceso remoto en su FortiGate se puede usar para muchos
usuarios remotos, y para cada uno de ellos, se establece un túnel separado.

Topologías de VPN --- de sitio a sitio.
La VPN de sitio a sitio también se conoce como VPN de LAN a LAN. Una implementación simple de
sitio a sitio involucra a dos pares que se comunican directament
directamentee para conectar dos redes ubicadas
en diferentes oficinas.
Cuando es necesario conectar más de dos ubicaciones, se puede utilizar una topología de
concentrador
concentrad or y radio.
r adio. En hub-and-spoke, todos los clientes se conectan a través de un hub central.
En el ejemplo que se muestra en esta imagen, los radios de los clientes son dispositivos FortiGate
de sucursales. Para que cualquier sucursal llegue a otra sucursal, su tráfico debe pasar por el
concentrador. Una ventaja de esta topología es que la configuración necesaria es fácil de
administrar. Otra ventaja es que solo FortiGate en HQ debe ser muy poderoso porque maneja todos
los túneles simultáneamente, mientras que los dispositivos FortiGate de la sucursal requieren
muchos menos recursos porque mantienen solo un túnel. Una desventaja es que la comunicación
entre las sucursales a través de HQ es más lenta que en una conexión directa, especialmente si su
HQ está físicamente distante. Además, si el FortiGate en HQ falla, la falla de la VPN afectará a toda
la empresa
En una topología de malla, puede conectar dispositivos FortiGate directamente y, por lo tanto,
omitir HQ. Existen dos variaciones de topología de malla: malla completa y malla parcial. La malla
completa conecta cada ubicación con cualquier otra ubicación. Cuanto mayor sea el número de
dispositivos FortiGate, mayor será el número de túneles para configurar en cada FortiGate. Por
ejemplo, en una topología con cinco dispositivos FortiGate, necesitaría configurar cuatro túneles en
cada dispositivo, para un total de 20 túneles. Esta topología provoca menos latencia y requiere
mucho menos ancho de banda HQ que el hub-and-speak, pero requiere que cada FortiGate sea más
potente. La malla parcial intenta comprometer la minimización de los recursos necesarios, pero
también la latencia. La malla parcial puede ser apropiada si no se requiere comunicación entre todas
las ubicaciones. Sin embargo, la configuración de cada FortiGate es más compleja que en hub-and-
speak. El enrutamiento, especialmente, puede requerir una planificación extensa.

Por lo general, cuantas más ubicaciones tenga, el concentrador y radio será más económico, pero
más lento, que una topología de malla. La malla ejerce menos presión sobre la ubicación central, es
más tolerante a fallas, pero también más cara.
Comparación de topologías VPN.

Hub-and-Spoke Malla parcial Malla completa
Fácil configuración Configuración moderada Configuración compleja
Pocos túneles Número medio de túneles Muchos túneles
Alto ancho de banda central Ancho de banda medio en Ancho de banda bajo
sitios concentradores
No tolera fallas Alguna tolerancia a fallas Tolerante a fallos
Requisitos del sistema bajos Requisitos medios del sistema Requisitos de sistema
en promedio, pero altos para elevados
el centro
Escalable Algo escalable Difícil de escalar
Sin comunicación directa Comunicación directa entre Comunicación directa entre
entre radios algunos sitios todos los sitios
Para revisar, esta tabla muestra una comparación de alto nivel de topologías VPN. Debe elegir la
topología que sea más adecuada para su situación.
VPN de descubrimiento automático (ADVPN).

 Negocia dinámicamente VPN directas bajo demanda entre radios.
o Proporciona los beneficios de una topología de malla completa sobre una
implementación de malla parcial o de concentrador y radio.
o Requiere el uso de un protocolo de enrutamiento para que los radios aprendan las
rutas a otros radios.
Cada topología de VPN tiene sus

s us ventajas y desventajas.
ADVPN es una función de FortiGate que logra losl os beneficios de una topología de malla completa con
la configuración más sencilla y los beneficios de escalabilidad de las topologías de hub y radio y de
malla parcial.
Primero, agrega las configuraciones de VPN para construir una topología de concentrador y radio o
una topología de malla parcial a los dispositivos FortiGate. Luego, habilita ADVPN en las VPN. ADVPN
negocia dinámicamente túneles entre radios (sin tenerlos preconfigurados) para obtener los
beneficios de una topología de malla completa.
ADVPN requiere un protocolo de enrutamiento dinámico que se ejecute sobre los túneles Psec para
que los radios puedan aprender las rutas a otros radios, después de que las VPN dinámicas hayan
negociado.

1. ¿Qué protocolo IPsec no es compatible con FortiGate?
A. IKEv2.
B. AH.
2. ¿Qué topología de VPN es la más tolerante a fallos?

A. Malla completa.
B. Hub-and-spoke.
Asistente de IPsec.
Cuando crea un túnel IPsec en la GUl, FortiGate lo redirige al Asistente de IPsec. El asistente
simplifica la creación de la nueva VPN al guiarlo a través de un proceso de tres a cuatro pasos. El
primer paso es seleccionar un tipo de plantilla. Si desea configurar manualmente su VPN, puede
seleccionar Personalizado como tipo de plantilla, tras lo cual FortiGate lo lleva directamente a la
configuración de la fase 1 y la fase 2 de la nueva VPN.
Si desea que el asistente configure la VPN por usted, selecc

seleccione
ione el tipo de plantilla
plan tilla (Sitio a sitio, Hub-
and-Spoke o Acceso remoto) que mejor se adapte a su VPN. Después de esto. el asistente le pedirá
información clave, como la información de la puerta de enlace remota, el método de autenticación,
las interfaces involucradas y las subredes en función de la entrada que proporcionó, el asistente
aplica una de las plantillas de túnel IPsec
I Psec pre configuradas que comprenden configuracione
configuracioness de fase
1 y 2 de IPsec, y otros objetos de dirección de firewall relacionados, configuraciones de
enrutamiento y políticas de firewall necesarias para que funcione el nuevo túnel.

Además, el asistente muestra un diagrama de red que cambia según la entrada proporcionada. El
propósito del diagrama es que el administrador tenga una
u na comprensión visual de la implementación
de VPN IPsec que el asistente configurará en función de la entrada recibida.
Al final del asistente, el asistente proporciona un resumen de los cambios de configuración

realizados en el sistema y que el administrador puede revisar si es necesario.
Si es nuevo en FortiGate o no tiene mucha experiencia con las VPN IPsec, se recomienda utilizar el
asistente de IPsec. Posteriormente, puede ajustar la configuración aplicada por el asistente para que
coincida con sus necesidades específicas.
Usando el asistente de IPsec para

FortiClient VPN.
 Simplifica la configuración de IPsec para FortiClient VPN.
Un uso común del asistente de IPsec es configurar una VPN de acceso remoto para los usuarios de
FortiClient. Aprenderá más sobre la configuración del modo IKE y XAuth
XA uth en esta lección.
Las imágenes anteriores muestran el proceso de cuatro pasos utilizado por el asistente de IPsec para
asignar al administrador la configuración de FortiClient VPN.

Plantillas de Túneles IPsec.
El asistente de IPsec utiliza una de las plantillas que se muestran en esta imagen al aplicar la
configuración para el nuevo túnel IPsec. Puede revisar la configuración de una plantilla
seleccionando la plantilla y luego haciendo clic en Ver. La configuración de la plantilla no se puede
cambiar.
Fase 1: descripción general.

 Cada par del túnel, el iniciador y el respondedor, se conecta y comienza a configurar la VPN.
 En la primera conexión, el canal no es seguro.
o Las claves no cifradas se pueden interceptar.
 Para intercambiar claves privadas confidenciales, ambos pares crean un canal seguro.
o Ambos pares negociarán las claves reales para el túnel más tarde.
La fase 1 tiene lugar cuando cada par del túnel, el iniciador y el respondedor, se conecta y comienza
a configurar la VPN. El iniciador es el par que inicia la negociación de la fase 1, mientras que el
respondedor es el par que responde a la solicitud del iniciador.
i niciador.
Cuando los pares se conectan por primera vez, el canal no es seguro. Un atacante en el medio podría
interceptar claves no cifradas. Ninguno de los pares tiene
tie ne una garantía sólida de la identidad de los
demás, entonces, ¿cómo pueden intercambiar claves privadas sensibles? No pueden. Primero,
ambos pares crean un canal seguro. Utilizarán este canal seguro para proteger la autenticación
fuerte y negociarán las claves reales para el túnel más tarde.

Fase 1: cómo funciona.

1. Autenticar compañeros.
1.
 Clave previamente compartida o firma digital.
 Autenticación extendida (XAuth).
2. Negociar una SA bidireccional (denominada IKE SA).
2.
 En IKE v1, dos formas posibles:
o Modo principal.
o Modo agresivo.
 No es lo mismo que IPsec SA.
 Túnel cifrado para Diffie-Hellman (DH).
3. DH intercambio de claves secretas.
3.
Ahora examinará cómo funciona la fase 1.
El propósito de la fase 1 es autenticar a los pares y configurar un canal seguro para negociar las SA
de la fase 2 (o SA IPsec) que luego se utilizan para cifrar y descifrar el tráfico entre los pares. para
establecer este canal seguro, los pares negocian una SA de fase 1. Esta SA se denomina IKE SA y es
bidireccional.
Para autenticarse entre sí, los pares utilizan dos métodos: clave precompartida o firma digital.
También se puede habilitar un método de autenticación adicional, XAuth, para mejorar la
autenticación.
En IKE v1, hay dos modos posibles en los que puede tener lugar la negociación de IKE SA: modo
principal y modo agresivo. Los ajustes en ambos extremos deben coincidir; de lo contrario, la
negociación de la fase 1 fallará y ambos pares de IPsec no podrán establecer un canal seguro.
Al final de la fase 1, la SA IKE
I KE negociada se utiliza para negociar las claves DH que se utilizarán en la
fase 2. DH utiliza la clave pública (que ambos extremos conocen) más un factor matemático llamado
nonce, para generar una llave privada común. Con DH, incluso si un atacante puede escuchar los
mensajes que contienen las claves públicas, no puede determinar la clave secreta.
Fase 1 - Red.

La configuración de la Fase 1 se divide en la GUI en cuatro secciones: Red, Autenticación, Propuesta

de Fase 1 y XAUTH. Aprenderá sobre la configuración disponible en cada sección. Para algunos de
ellos, habrá diapositivas separadas para discutirlos con más detalle.
La sección que se muestra en esta imagen corresponde a la configuración de red. La sección incluye
la configuración relacionada con la conectividad del túnel IPsec:
 Versión de IP: seleccione la versión de IP que se utilizará para el túnel IPsec. Tenga en cuenta
que esto solo define la versión IP de la capa exterior del túnel (después de la encapsulación).
Los paquetes que se encapsulan (tráfico protegido) pueden ser IPv4 o IPv6, y su versión de
IP se define en los selectores de la fase 2.
 Puerta de enlace remota: define el tipo de puerta de enlace remota. Hay tres tipos:
dirección IP estática, usuario de acceso telefónico y DNS dinámico. Aprenderá más sobre
estos tipos en esta lección.
 Dirección IP: Dirección IP de la puerta de enlace remota Este campo solo aparece cuando
selecciona Dirección IP estática como Puerta de enlace remota.
 Interfaz: Se refiere a la interfaz donde termina el túnel IPsec en el FortiGate local. Por lo
general, esta es la interfaz conectada a Internet o WAN. Debe asegurarse de que haya una
ruta activa a la puerta de enlace remota a través de esta interfaz; de lo contrario, el túnel
no se activará.
 Puerta de enlace local: habilite esta configuración cuando la interfaz donde termina el túnel
tenga varias direcciones asignadas y desee especificar qué dirección usar para el túnel.
Cuando habilite esta configuración, verá tres opciones: IP principal, IP secundaria y
Especificar. Seleccione Especificar si desea utilizar
utili zar una dirección IP diferente de la dirección
IP principal o secundaria.
 Mode Config: habilita la configuración automática a través de IKE. FortiGate actúa como
cliente de configuración del modo IKE cuando
cuando habilita la configuración del Modo Config y
configura la puerta de enlace remota en dirección IP estática o DNS dinámico. Si configura
una puerta de enlace remota en Dialup User, FortiGate actúa como servidor de
configuración del modo IKE y aparecen más opciones de configuración en la GUL. Aprenderá
más sobre Mode Config en esta lección.

A continuación, se muestran las otras opciones disponibles en la GUI para la sección Red.
 NAT Traversal. Controla el comportamiento de NAT transversal.

tr ansversal. Aprenderá más sobre NAT
transversal en esta lección.
 Frecuencia de Keepalive. Cuando el cruce de NAT está habilitado, FortiGate enviará sondas
de estado activo a la frecuencia
fr ecuencia configurada.
configurada.

Detección de pares muertos. La detección de pares muertos (DPD) se utiliza para detectar
túneles muertos. Hay tres modos DPD. On Demand es el modo predeterminado. Aprenderá
más sobre DPD en esta lección.
 Corrección de errores hacia adelante. La corrección de errores de reenvío (FEC) es una
técnica que se puede utilizar para reducir el número de retransmisiones en túneles IPsec
establecidos sobre enlaces no fiables, a expensas de utilizar más ancho de banda. FEC se
puede habilitar en la salida y la entrada, y solo se admite cuando la descarga de hardware
IPsec está deshabilitada. Aprenderá más sobre la descarga de hardware IPsec en esta
lección.
 Avanzado:
o Creación de dispositivos. Cuando está habilitado, el kernel crea una interfaz para
cada cliente de acceso telefónico. Para implementaciones con una gran
gr an cantidad de
clientes de acceso telefónico, desactive la creación de dispositivos para lograr un
mayor rendimiento.
o Miembro agregado. FortiGate le permite agregar múltiples túneles IPsec en una
sola interfaz Habilite esta opción si desea que el túnel se convierta en un miembro
agregado.
Fase 1 - Red - Puerta de enlace remota.

Usuario de acceso telefónico
Dos roles: servidor de acceso telefónico y Dirección IP estática / DNS dinámico.
cliente. El DNS dinámico usa FQDN.
El servidor de acceso telefónico no conoce la Se conoce la dirección del par remoto.
dirección del cliente. El par local puede ser iniciador o
El cliente de acceso telefónico es siempre el respondedor.
iniciador. Compañeros de VPN:
Compañeros de VPN: FortiGate a FortiGate (o puerta de enlace de
FortiGate a FortiClient (o cliente de terceros). terceros)
FortiGate a FortiGate (o puerta de enlace de
terceros).

Tiene tres opciones al configurar el tipo de puerta de enlace remota de su VPN: usuario de acceso
telefónico, dirección IP estática y DNS dinámico.
El usuario de acceso telefónico se utiliza cuando se desconoce la dirección IP del par remoto. El par
remoto cuya dirección IP se desconoce actúa como cliente de acceso telefónico, y este suele ser el
caso de las sucursales y los clientes de VPN móviles que utilizan direcciones IP dinámicas y no DNS
dinámico.
que actúa El cliente
como de acceso
servidor telefónico
de acceso debe conocer
telefónico. Debidolaadirección IP o FODN
que el servidor del gateway
de acceso remoto,
telefónico no
conoce la dirección de los pares remotos, solo el cliente de acceso telefónico puede iniciar el túnel
VPN.
Por lo general, los clientes de acceso telefónico son empleados móviles y remotos con FortiClient
en su computadora o dispositivos portátiles. También puede tener un dispositivo FortiGate que
actúe como un cliente de acceso telefónico para una oficina remota. Una configuración de servidor
de acceso telefónico en su FortiGate se puede utilizar para múltiples túneles IPsec desde muchas
oficinas o usuarios remotos.
La dirección IP estática o el DNS dinámico se utilizan cuando conoce la dirección del par remoto. Si
selecciona una dirección
dirección IP estática, debe proporcionar una dirección IP. Si selecciona DNS dinámico,
debe proporcionar
resolver ese FODN. un nombre
Cuando de dominio
ambos completo
pares conocen (FQDN) ydel
la dirección asegurarse de que
par remoto, estoFortiGate pueda
es, la puerta de
enlace remota en ambos pares está configurada para una dirección IP estática o DNS dinámico,
entonces cualquier
cualquier par puede iniciar el túnel VPN.
Tenga en cuenta que, en una configuración de acceso telefónico, el cliente de acceso telefónico es
solo un par VPN con la puerta de enlace remota, configurado en una dirección IP estática o DNS
dinámico. Al configurar su VPN, puede combinar diferentes tipos de puertas de enlace remotas. Por
razones obvias, un túnel en el que ambos pares tienen la puerta de enlace remota configurada para
el usuario de acceso telefónico no funcionará.
Fase 1 - Red - Configuración del modo IKE.


Al igual que DHCP, configura automáticamente la
configuración de la red virtual de los
l os clientes VPN.
 De forma predeterminada, las VPN de FortiClient
lo usan para recuperar la configuración de su
dirección IP de VPN de FortiGate.
 La configuración de modo debe estar habilitada
en ambos pares.

La configuración del modo IKE es similar a DHCP, porque un servidor asigasigna
na la configuración de red,
como la dirección IP, la máscara de red y los servidores DNS, a los clientes. Esta asignación se realiza
a través de mensajes IKE.
Cuando habilita la configuración del modo en un FortiGate que actúa como servidor de acceso
telefónico, envía laser
telefónico suelen configuración de red apero
pares de Forticlient, los clientes
tambiéndepueden
accesoser
telefónico.
pares deLos clientes de acceso
FortiGate.
Para que la configuración del modo IKE funcione, debe habilitar la función en ambos pares. En
FortiClient, la configuración del modo está habilitada de forma predeterminada, pero en FortiGate,
debe habilitarla manualmente.
Tenga en cuenta que los ajustes de configuración del modo IKE solo se muestran en la GUI cuando
la puerta de enlace remota está configurada como usuario de acceso telefónico. En FortiGate que
actúa como cliente de acceso telefónico, puede marcar la opción Configuración de modo en la GUI,
pero no se mostrarán
m ostrarán configuraciones adicionales.
Fase 1 – Red - NAT Traversal (NAT-T).

 ESP no puede admitir NAT porque no tiene números de puerto.
 Si NAT Traversal se establece en Habilitar, detecta si existen dispositivos NAT en la ruta.
o En caso afirmativo, tanto el ESP como el IKE utilizan el puerto UDP 4500.
o Recomendado si el iniciador o el respondedor están detrás de NAT.
 Si NAT Traversal se establece en Forzado:
o ESP e IKE siempre usan el puerto UDP 4500, incluso cuando no hay dispositivos NAT
en la ruta.
 Las sondas de Keepalive se envían con frecuencia para mantener activa la conexión entre
los enrutadores.
El protocolo ESP generalmente tiene problemas para cruzar dispositivos que realizan NAT. Una de
las razones es que ESP no tiene números de puerto, como lo hacen TCP y UDP, para diferenciar el
tráfico de un túnel u otro.
Para solucionar esto, se agregó NAT transversal (NAT-T) a las especificaciones de IPsec. Cuando
NAT-T está habilitado en ambos extremos, los pares pueden detectar cualquier dispositivo NAT a
lo largo de la ruta. Si se encuentra NAT, ocurre lo siguiente en ambos pares:

 La negociación IKE cambia para usar el puerto UDP 4500.

 Los paquetes ESP se encapsulan en el puerto UDP 4500.
Por lo tanto, si tiene dos dispositivos FortiGate que están detrás, por ejemplo, un módem ISP que
tiene NAT, probablemente necesitará habilitar esta configuración.
Cuando la configuración de NAT Traversal se establece en Forzado, siempre se usa el puerto UDP

4500, incluso cuando no hay ningún dispositivo NAT en la ruta.
Cuando NAT-T está habilitado, la opción Keepalive Frequency muestra el intervalo (en segundos)
en el que FortiGate envía sondas de keepalive. Necesita NAT-T cuando hay uno o más
m ás enrutadores
a lo largo de la ruta que realizan NAT. El propósito de las sondas keepalive es mantener activa la
conexión lPsec a través de esos enrutadores a lo largo de la ruta.
Fase 1 - Detección de pares muertos en red

(DPD).
 Mecanismo para detectar un túnel muerto.
 Útil en VPN redundantes, donde hay disponibles múltiples rutas.
Modos de árbol:

o Bajo demanda : las sondas DPD se envían cuando no hay tráfico entrante.

o En reposo: las sondas DPD se envían cuando no hay tráfico.
o Desactivar: solo responder a las sondas DPD, no enviar sondas.
Después de que se negocian las SA de IPsec de un túnel y, por lo tanto, el túnel se considera activo,
los pares no suelen negociar otra SA de IPsec hasta que expira. En la mayoría de los casos, IPsec SA
caduca cada pocas horas. Esto significa que, si hay una interrupción de la red a lo largo de la ruta
del túnel antes de que expire IPsec SA, los pares continuarán enviando tráfico a través del túnel,
aunque se interrumpa la comunicación entre los sitios.
Cuando DPD está habilitado, se envían sondas DPD para detectar un túnel fallado (o inactivo) y
derribarlo antes de que expiren sus SA IPsec. Este mecanismo de detección de fallas es muy útil
cuando tiene rutas redundantes al mismo destino y desea realizar una conmutación por error para
una conexión de respaldo cuando la conexión principal falla para mantener la conectividad entre
los sitios.
FortiGate admite tres modos DPD:

Bajo demanda: FortiGate envía sondas DPD si solo hay tráfico saliente a través del túnel, pero no
entrante. Debido a que las aplicaciones de red suelen ser bidireccionales, observar solo el tráfico
en la dirección de salida podría ser una indicación de una falla en la rred.
ed.
En reposo: FortiGate envía sondas DPD cuando no se observa tráfico en el túnel. Un túnel inactivo
no significa necesariamente que el túnel esté muerto. Evite este modo si tiene muchos túneles,
porque la sobrecarga introducida por DPD puede consumir muchos
m uchos recursos.
Deshabilitado: FortiGate solo responde a las sondas DPD recibidas. FortiGate nunca envía sondas
DPD al par remoto y, por lo tanto, no puede detectar un túnel muerto.
El modo DPD predeterminado es On Demand. En términos de escalabilidad, On Demand es una
mejor opción que On Idle.
Fase 1: autenticación.
Ahora, aprenderá sobre la sección Autenticación en la configuración de la fase 1:

Método: FortiGate admite dos métodos de autenticación, clave y firma precompartidas. Cuando
selecciona Clave previamente compartida, ambos pares deben configurarse con la misma clave
previamente compartida. Cuando seleccionas
seleccionas Firma, la autenticación de fase 1 se basa en firmas
de certificados digitales. Con este método, la firma digital de un par se valida mediante
m ediante la presencia
del certificado CA instalado en el otro par. Esto es, en el par local, debe instalar tanto el certificado
de pares locales como el certificado de CA que emitió el
certificado de par remoto
Versión: le permite seleccionar la versión de IKE a utilizar. Al seleccionar la versión 2, los modos
agresivo y principal desaparecen porque no se aplican a IKEv2.
Modo : se refiere
ID). Aprenderá al modo
más IKEv1.modos
sobre estos Hay dos
enopciones disponibles: agresivo y principal (protección de
esta lección.
l ección.

Fase 1 - Autenticación - Modos.

Principal.
 Más seguro.
 Negociación más lenta (seis paquetes intercambiados).
 Se utiliza principalmente para sitio a sitio.
Agresivo.
 No es tan seguro como el modo principal.
 Negociación más rápida (tres paquetes intercambiados).
Se utiliza principalmente para acceso telefónico.

IKE admite dos modos de negociación diferentes: principal y agresivo. ¿Cuál deberías utilizar?
Para responder a esa pregunta, podemos analizar tres categorías: seguridad, rendimiento e
implementación.
En cuanto a la seguridad, el modo principal se considera más seguro porque el hash de la clave
precompartida se intercambia cifrado, mientras que, en el modo agresivo, el hash se intercambia
sin cifrar, el hecho de que el hash de la clave previamente compartida se haya cifrado en modo
principal reduce considerablemente las posibilidades de un ataque exitoso.
En términos de rendimiento, el modo agresivo puede ser una mejor opción. Esto se debe a que la
negociación se completa después de que solo se intercambian tres paquetes, mientras que, en el
modo principal, se intercambian seis paquetes. Por esta razón, es posible que desee utilizar el modo
agresivo cuando una gran cantidad de túneles terminan en el mismo dispositivo FortiGate y el
rendimiento es una preocupación.
Otro caso de uso para el modo agresivo es cuando hay más de un túnel de acceso telefónico que
termina en la misma dirección IP de FortiGate y el par remoto se autentica mediante un par ID
porque su dirección IP es dinámica. Debido a que la información de ID de peer se envía en el primer
paquete en una negociación de modo agresivo, FortiGate puede hacer coincidir al peer remoto con
el túnel de acceso telefónico correcto. Esto último no es posible en el modo principal porque la
información de ID de peer se envía en el último paquete, y después de que se haya identificado el
túnel.
Sin embargo, si desea implementar túneles IPsec de sitio a sitio, y para cada túnel, FortiGate está
configurado con la dirección IP del par remoto, entonces FortiGate puede identificar a los pares
remotos por sus direcciones IP y, como resultado, asociarlos a la
l a dirección correcta del túnel IPsec.

Fase 1 - Propuesta de fase 1.
Ahora, conocerá la sección Propuesta de fase 1 sobre la configuración de la fase 1. Esta sección le
permite habilitar las diferentes propuestas que FortiGate soporta a la hora de negociar el IKE SA (o
fase 1 SA). Puede combinar diferentes parámetros para satisfacer sus necesidades de seguridad.
Debe configurar al menos una combinación de algoritmos de cifrado y autenticación, o varios.
 Cifrado: seleccione el algoritmo que se utilizará para cifrar y descifrar los datos.
 Autenticación: seleccione el algoritmo de autenticación que se utilizará para verificar la
integridad y autenticidad de los datos.
 Grupos Diffie-Hellman: Habilitar Diffie-Hellman (DH) es opcional pero recomendable.
Cuando habilita DH, las claves secretas utilizadas en la fase 2 se intercambian de una
manera más segura.
 Vida útil de la clave: defina la vida útil de IKE SA. Al final de la vida útil, se negocia una
nueva IKE SA.
Identificación local: si el par acepta una identificación de par específica, ingrese la misma

identificación de par en este campo.
Fase 1: autenticación extendida (XAuth).

 XAuth agrega una autenticación más sólida: nombre de usuario + contraseña.
 Puede autorizar a todos los usuarios que pertenecen a un grupo de usuarios específico o
que heredan de la política de coincidencia.

La fase 1 admite dos tipos de autenticación: claves previamente compartidas y firmas digitales. La
extensión XAuth, a veces denominada fase 1.5, obliga a los usuarios remotos a autenticarse
adicionalmente con sus credenciales (nombre de usuario y contraseña). Por lo tanto, se
intercambian paquetes de autenticación adicionales si la habilita. ¿Cuál es el beneficio?
Autenticación más sólida.
Cuando Remote Gateway está configurado en Dialup User, FortiGate actúa como el servidor de
autenticación y la sección XAUTH muestra las opciones de tipo de servidor de autenticación: PAP
Server, CHAP Server y Auto Server. En el ejemplo que se muestra en esta diapositiva, se selecciona
Auto Server, lo que significa que FortiGate detecta automáticamente el protocolo de autenticación
utilizado por el cliente.
Después de seleccionar el tipo de servidor de autenticación, configura cómo se realiza la

coincidencia
coincidenc ia de grupos de usuarios. Hay dos opciones Heredar de la política y Elegir. Este último se
utiliza en el ejemplo de esta diapositiva y le permite seleccionar uno de los grupos de usuarios
disponibles en FortiGate. Tenga en cuenta que, cuando selecciona Elegir, debe configurar una VPN
de acceso telefónico independiente para cada grupo de usuarios que requieran una política de
acceso a la red diferente.
La otra forma de autenticar a los usuarios de VPN con XAuth es seleccionando Heredar de la
política. Cuando selecciona esta opción, FortiGate autentica a los usuarios según su política IPsec
coincidente y como resultado. la configuración para controlar el acceso a la red es más sencilla. Es
decir, usted controla el acceso a la red configurando múltiples políticas para diferentes grupos de
usuarios, en lugar de configurar múltiples túneles para diferentes grupos de usuarios. La opción
Heredar de la política sigue un enfoque de autenticación similar que se utiliza para los usuarios
remotos de SSL VPN. Aprenderá más sobres obre SSL VPN en otra lección.
Cuando Remote Gateway está configurado en Static IP Address o Dynamic DNS, FortiGate actúa
como el cliente, y la sección XAUTH muestra la opción Client como Type. Luego, puede configurar
las credenciales que FortiGate usa para autenticarse contra el par remoto a través de XAuth.

Fase 2 – Como funciona.

 Negocia dos SA IPsec unidireccionales para ESP.
o Protegido por IKE SA fase 1.
 Cuando las SA de IPsec están a punto de vencer, se renegocia.
o Opcionalmente, si se habilita Perfect Forward Secrecy, FortiGate usa DH para
generar nuevas claves cada vez que expira la fase 2.
 Cada fase 1 puede tener varias fases 2.
o Las subredes de alta seguridad pueden tener un ESP más fuerte.
Una vez que la fase 1 ha establecido un canal seguro para intercambiar datos, comienza la fase 2.
La fase 2 negocia los parámetros de seguridad para dos SA de IPsec a través del canal seguro
establecido durante la fase 1. ESP utiliza las SA de IPsec para cifrar y descifrar el tráfico
intercambiado entre sitios.
La fase 2 no termina cuando comienza el ESP. La fase 2 renegocia periódicamente las SA de IPsec
para mantener la seguridad. Si habilita Perfect Forward Secrecy, cada vez que expire la fase 2,
FortiGate usará DH para recalcular nuevas claves secretas. De esta manera, las claves nuevas no se
derivan de claves más antiguas, lo que dificulta mucho más que un atacante rompa el túnel.
Cada fase 1 puede tener varias fases 2. ¿Cuándo pasaría esto? Por ejemplo, es posible que desee
utilizar diferentes claves de cifrado para cada subred cuyo tráfico cruza el túnel. ¿Cómo selecciona
FortiGate qué fase 2 usar? Comprobando qué selector de fase 2 (o selector de modo rápido)
coincide con el tráfico.
Fase 2 - Selectores de fase 2.

 Determina el dominio de cifrado.
o Se pueden configurar varios
selectores para un control
granular.
o Si el tráfico no coincide con un
selector, se descarta.
o En las VPN de punto a punto, los
selectores deben coincidir.
La fuente en un

FortiGate es la
configuración de destino
en el otro.
 Seleccione qué selector usar usando:
o Dirección local y remota.
o Número de protocolo.
Puerto local y puerto remoto.
o

En la fase 2, debe definir el dominio de cifrado (o tráfico interesante) de su túnel IPsec El dominio
de cifrado se refiere al tráfico que desea proteger con IPsec, y está determinado por la configuración
del selector de la fase 2
Puede configurar varios selectores para tener un control más granular sobre el tráfico. Cuando
configura un selector de fase 2, especifica el dominio de cifrado indicando los siguientes parámetros
de red:
Dirección local y dirección remota: como se muestra en el ejemplo que se muestra en esta
diapositiva, puede definir direcciones IPv4 o IPv6 utilizando diferentes ámbitos de dirección. Al
seleccionar Dirección nombrada o Dirección IPv6 nombrada, FortiGate le permite seleccionar un
objeto de dirección de firewall IPv4 o IPv6, respectivamen
r espectivamente,
te, configurado en el sistema.
Protocolo: se muestra en la sección Avanzado y está configurado en Todos de forma
predeterminada
Puerto local y puerto remoto: También se muestra en la sección Avanzado y se establece en Todos
de forma predeterminada. Solo se aplica al tráfico basado en puertos como TCP o UDP. Aprenderá
más sobre la sección Avanzado en esta lección.
Tenga en cuenta que después de que el tráfico sea aceptado por una política de fi
firewall,
rewall, el tráfico
se
de eliminará antes de ingresar
fase 2 configurados. Por estaalrazón,
túnel IPsec
por losigeneral,
el tráfico
esno coincide
más con
intuitivo ninguno
filtrar de loscon
el tráfico selectores
políticas
de firewall. Por lo tanto, si no desea usar el filtrado del selector de fase 2, puede crear un selector
de fase 2 con la
l a dirección local y remota configurada en cualquier subred, como en el ejemplo que
se muestra en esta diapositiva, y luego usar políticas de firewall para controlar qué tráfico se acepta a cepta
en el túnel IPsec.
Además, los parámetros de red del selector de fase 2 en ambos pares deben coincidir si el túnel es
de punto a punto. Eso es cuando la puerta de enlace remota no está configurada para el usuario de
acceso telefónico.
Fase 2 - Propuesta de la
Fase 2.
 Determina los algoritmos de cifrado.
o Se pueden configurar múltiples
propuestas para mayor
flexibilidad.
o Afecta el rendimiento y la
descarga de hardware.
 La detección de repetición se puede

habilitar para proteger contra ataques
de repetición ESP.
o Configuración local.

Para cada selector de fase 2, debe configurar una o más propuestas de fase 2. Una propuesta de
fase 2 define los algoritmos admitidos por el par para
par a cifrar y descifrar los datos a través del túnel.
Puede configurar varias propuestas para ofrecer más opciones al par remoto al negociar las SA de
IPsec.
Al igual que en la fase 1, debe seleccionar una combinación de algoritmos de autenticación y

cifrado. Algunos algoritmos se consideran más seguros que otros, así que asegúrese de seleccionar
los algoritmos que se ajusten a su política de seguridad. Sin embargo, tenga en cuenta que la
selección de los algoritmos tiene un impacto directo en el rendimiento de FortiGate IPsec. Por
ejemplo, se sabe que 3DES es un algoritmo
algori tmo de cifrado mucho más intensivo en recursos que DES y
AES, lo que significa
sig nifica que su rendimiento de IPsec podría verse afectado negativamente si selecciona
3DES como algoritmo de cifrado. Además, tenga en cuenta que si selecciona NULL como algoritmo
de cifrado, el tráfico no se cifra.
Además, algunos algoritmos de cifrado, como CHACHA20POLY1305, no son compatibles con la

descarga de hardware. Es decir, si tiene un dispositivo FortiGate que contiene unidades de
procesador de red (NP), puede lograr un mayor rendimiento de IPsec si selecciona un algoritmo que
sea compatible con la descarga de IPsec por su modelo NP ASIC, como AES o DES. Para obtener una
lista de los algoritmos de cifrado admitidos para la descarga de hardware IPsec, consulte
https://docs.fortinet.com.
Al configurar la propuesta de fase 2, puede marcar la opción Habilitar detección de reproducción

para detectar ataques antirreproducción en paquetes ESP. Tenga en cuenta que este es un
escenario local y, por lo tanto, no se incluye como parte de las propuestas presentadas por el par
durante la fase 2 de negociación.
Además, si habilita Perfect Forward Secrecy, FortiGate utiliza DH para mejorar la

l a seguridad durante
la negociación de las SA de IPsec.
IP sec.
 IPsec SA caduca según la cantidad de:

o Segundos (basado en el
o
tiempo). (basado en volumen).
Kilobytes
o Ambos (el que expire primero).
 No es necesario que los umbrales de
duración de las claves coincidan para
que surja el túnel.
 La negociación automática evita la
interrupción causada por la
renegociación de SA.
 Autokey Keep Alive mantiene el túnel
en funcionamiento.

Las SA de IPsec se renegocian periódicamente para mejorar la seguridad, pero ¿cuándo sucede?
Depende de la configuración de la vida útil de la clave configurada en la propuesta de la fase 2.
El vencimiento de una SA de IPsec está determinado por el tipo de vida útil y el umbral configurado.
De forma predeterminada, la duración de la clave se establece en segundos (basado en el tiempo).
Esto significa que cuando la duración del SA alcanza la cantidad de segundos establecida como
Segundos, el SA se considera vencido. También puede establec
establecer
er la vida útil de la clave en Kilobytes
(basada en volumen), tras la cual el SA expira después de que la cantidad de tráfico cifrado y
descifrado con ese SA alcanza el umbral establecido. Alternativamente, puede seleccionar Ambos
como el tipo de vida útil de la clave, en el que FortiGate rastrea tanto la duración del SA como la
cantidad de tráfico. Luego, cuando se alcanza cualquiera de los dos umbrales, el SA se considera
vencido. Tenga en cuenta que los umbrales de vida útil de las claves no tienen que coincidir para
que aparezca el túnel. Cuando los umbrales son diferentes, los pares acuerdan utilizar el valor de
umbral más bajo ofrecido entre los dos
Cuando vencen las SA de IPsec, FortiGate necesita negociar nuevas SA para continuar enviando y
recibiendo tráfico a través del túnel de IPsec. Técnicamente, FortiGate elimina las SA caducadas de
los respectivos selectores de fase 2 e instala otras nuevas. Si la renegociación de IPsec SA lleva
demasiado
activas. Paratiempo, FortiGate
evitar esto, puedepuede eliminar
habilitar el tráfico
Negociar interesante Cuando
automáticamente. debido ahace
la ausencia de SA
esto, FortiGate
no solo negocia nuevas SA antes de que expiren las SA actuales, sino que también comienza a
utilizar las nuevas SA de inmediato. Este último evita la interrupción del tráfico por la renegociac
r enegociación
ión
de IPsec SA.
Otro beneficio de habilitar la negociación automática es que el túnel sube y permanece activo
automáticamente, incluso cuando no hay tráfico interesante. Cuando habilita Autokey Keep Alive y
mantiene Auto-negociación deshabilitada,
deshabilitada, el túnel no se abrirá automáticamente a menos que haya
tráfico interesante. Sin embargo, una vez que el túnel está activo, permanece así porque FortiGate
envía periódicamente paquetes de mantenimiento activo a través del túnel. Tenga en cuenta que
cuando habilita Negociar automáticamente, Autokey Keep Alive A live está habilitado implícitamente.
Descarga de hardware IPsec.

 En algunos modelos de FortiGate, puede descargar el cifrado y descifrado IPsec al
hardware.
 Las capacidades de descarga de hardware y los algoritmos admitidos varían por tipo de
proceso y modelo.
 De forma predeterminada, la descarga está habilitada para los algoritmos compatibles
o Puede deshabilitar manualmente la descarga
config vpn ipsec phasel-interface
edit ToRemote
set npu-offload enable | disable
end
 Deshabilite la descarga si FEC está habilitado

En algunos modelos de FortiGate, puede descargar el cifrado y descifrado del tráfico IPsec al
hardware. Los algoritmos admitidos dependen del modelo y tipo de procesador de la unidad que
está descargando el cifrado y el descifrado. Para obtener una lista de los algoritmos de cifrado
admitidos para la descarga de hardware IPsec, consulte https: /docsfo
/docsfortimet.com.
rtimet.com.
De forma predeterminada, la descarga de hardware está habilitada para los algoritmos

compatibles. Esta diapositiva muestra los comandos que puede usar para deshabilitar la descarga
de hardware por túnel, si es necesario.
ne cesario.
Por último, si desea utilizar FEC para túneles IPsec, debe deshabilitar la descarga de IPsec para que
la función funcione.
1. ¿Qué tipo de peer VPN no puede iniciar un túnel VPN?
A. Servidor de acceso telefónico.
B. Cliente de acceso telefónico.
2. ¿En qué fase configura los algoritmos

algori tmos utilizados para el cifrado del tráfico?
A. Fase 1.
B. Fase 2.
3. ¿Qué modo de negociación IKEv1 es más rápido?

A. Agresivo.
B. Principal.
VPN IPsec basadas en rutas.

 Tipos de VPN IPsec:
o Basado en enrutamiento.
Interfaz

virtual para cada VPN: coincidencia de VPN basada en
enrutamiento.
o Basado en políticas.
Heredado: coincidencia
 coincidencia de VPN según la política. No recomendado.
 Beneficios de las VPN basadas en rutas:
o Operación y configuración más simples.
Redundancia.

o Soportado por:
LTP2 sobre IPsec.

GRE sobre IPsec.


Protocolos de enrutamiento dinámico.


FortiGate admite dos tipos de VPN IPsec: basadas en enrutamiento y basadas en políticas. La basada
en políticas es una VPN IPsec heredada que solo se admite por razones de compatibilidad con
versiones anteriores y no se recomienda su uso para nuevas implementaciones. A menos que se

indique lo contrario, todas las referencias de VPN

VP N IPsec en esta llección
ección son para VPN IPsec basadas
en rutas.
En una VPN IPsec basada en rutas, FortiGate agrega automáticamente una interfaz virtual con el
nombre de la VPN. Esto significa que no solo puede configurar políticas de enrutamiento y firewall
para el tráfico IPsec de la misma manera que lo hace para el tráfico que no es IPsec, sino que
también puede aprovechar la presencia de múltiples conexiones al mismo destino para lograr la
redundancia.
Otro beneficio de las VPN IPsec basadas en rutas es que puede implementar variaciones de VPN
IPsec como LT2P Over-lPsec y GRE-over-Psec. Además, también puede habilitar protocolos de
enrutamiento dinámico con fines de escalabilidad y selección de la mejor ruta.
Rutas para IPsec VPN.

Usuario de acceso telefónico
config vpn ipsec phase1-interface

edit "Dialup"
set add-route enable | disable
next
end
 add-route está habilitado
(predeterminado).
(predeterminado).
o No es necesario configurar rutas estáticas.
o Las rutas estáticas se agregan después de que finaliza la fase 2.
El destino es la red local presentada por el cliente de acceso telefónico

durante la fase 2 de negociación.

La distancia de ruta predeterminada es 15.

o Las rutas estáticas se eliminan después de que finaliza la fase 2.

 add-route está deshabilitado.
o Útil cuando se usa el protocolo de enrutamiento dinámico.
o
El protocolo de enrutamiento dinámico se encarga de las actualizaciones de

enrutamiento.
Dirección IP estática / DNS dinámico.

Se necesitan rutas estáticas.
Aunque puede usar protocolos de enrutamiento dinámico para IPsec VPN, esta lección solo cubre
el uso de rutas estáticas.
La configuración de enrutamiento necesaria para su VPN IPsec depende del tipo de puerta de enlace
remota configurada. Cuando la puerta de enlace remota está configurada en Usuario de acceso

telefónico y la opción add-route está habilitada, FortiGate agrega automáticamente una ruta estática
para la red local presentada por el par remoto durante la fase 2 de negociación. Además, la ruta se
agrega a la tabla de enrutamiento solo después
después de que la fase 2 está activa. Si la fase 2 baja, la ruta
estática se elimina de la tabla de enrutamiento.
Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico y add-route
está deshabilitado, FortiGate no agrega rutas estáticas automáticamente. En este caso, se utiliza un
protocolo de enrutamiento dinámico entre los pares remotos para intercambiar información de
enrutamiento.
Cuando la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, debe
configurar rutas estáticas. Cuando configura la ruta estática, selecciona la interfaz virtual del túnel
IPsec como la interfaz de salida.
Políticas de firewall para IPsec VPN.

 Se necesita al menos una política de firewall para que surja un túnel.
 Por lo general, se configuran dos políticas de firewall para cada túnel.
Debe configurar al menos una política de cortafuegos que acepte tráfico en su túnel IPsec. De lo
contrario, el túnel no aparecerá.
Cuando configura políticas de firewall para tráfico que no es IPsec, la política determina la dirección
del tráfico que inicia sesiones. Lo mismo se aplica al tráfico de IPsec. Por esta razón, normalmente
desea configurar al menos dos políticas de firewall para su VPN de IPsec: una política de entrada y
una política de salida. La política entrante permite el tráfico iniciado desde el sitio remoto, mientras
que la política saliente permite que el tráfico se inicie desde la red local.
Tenga en cuenta que las políticas se configuran con la interfaz de túnel virtual (o el nombre de la
fase 1) como interfaz entrante o saliente.
sal iente.

1. ¿Qué tipo de VPN IPsec es heredado y no se recomienda para nuevas implementaciones?
A. VPN basada en rutas.
r utas.
B. VPN basada en políticas.
2. ¿Cuál es un requisito de configuración para que aparezca un túnel

t únel IPsec?
A. Una política de firewall que acepta tráfico en el túnel IPsec.
B. Una ruta para el tráfico IPsec.
VPN redundantes.
 Si el túnel VPN principal falla, FortiGate luego enruta el tráfico a través de la VPN de
respaldo.
 Parcialmente redundante: un par tiene dos conexiones.
 Completamente redundante: ambos pares tienen dos conexiones.
¿Cómo puede hacer que su implementación de VPN IPsec sea más resistente? Proporcione una
segunda
usar otroconexión ISPlugar.
túnel en su a su sitio y configure dos VPN IPsec. Si la VPN IPsec principal falla, se puede
Hay dos tipos de VPN redundantes:

Parcialmente redundante:
redundante: en un par (generalmente el concentrador,
concentrador, donde hay un ISP de respaldo
disponible si el ISP principal no funciona), cada VPN termina en diferentes puertos físicos. De esa
manera, FortiGate puede usar una VPN alternativa. En el otro par, cada VPN termina en el mismo
puerto físico, por lo que el radio no es tolerante a fallas.
Completamente redundante: ambos pares terminan sus VPN en diferentes puertos físicos, por lo
que ambos son tolerantes a fallas.

Configuración de VPN redundante.

 Agregue una configuración de fase 1 para cada túnel. DPD debería estar habilitado en
ambos extremos.
 Agregue al menos una definición de fase 2 para cada fase 1.

Agregue
o una ruta
Utilice estática para
la distancia o lacada ruta. para seleccionar rutas primarias sobre rutas de
prioridad
respaldo.
o Alternativamente, use el enrutamiento dinámico.
 Configure las políticas de firewall para cada interfaz IPsec.
Entonces, ¿cómo se configura una VPN parcial o totalmente

totalm ente redundante?
Primero, cree una fase 1 para cada ruta, una fase 1 para la VPN principal y otra para la VPN de
respaldo. También debe habilitar DPD en ambos extremos.
En segundo lugar, cree al menos una definición de fase

fase 2 para cada fase 1
En tercer lugar, debe agregar al menos una ruta estática para cada VPN.
VP N. Las rutas de la VPN principal
deben tener una distancia menor (o una prioridad menor) que la de respaldo. Esto hace que
FotiGate utilice la VPN principal mientras está disponible. Si la VPN principal falla, FortiGate usa
automáticamente la ruta de respaldo. Alternativamente, puede utilizar un protocolo de
enrutamiento dinámico, como OSPF o BGP.
Por último, configure las políticas de firewall para permitir el tráfico a través de la VPN principal y
de respaldo.
Verificación de conocimientos
1. ¿Qué función debe habilitarse en una implementación de VPN IPsec redundante?
A. DPD.
B. XAuth.
2. ¿Qué configuración determina si un túnel se usa como

com o primario o de respaldo?
A. Enrutamiento.
B. Políticas de firewall.

Estado de la fase 1.
 Disponible solo en la CLI:
El widget del monitor IPsec en la GUI muestra solo información de la fase 2. Si desea obtener
información sobre la fase 1, debe utilizar la CLI. El ejemplo de esta imagen muestra el resultado del
comando get vpn ike gateway, que muestra información detallada de la fase 1.
Estado de la fase 2: widget de monitor

IPsec.
 Supervise los túneles VPN de IPsec (solo fase 2).
o Detén y comienza túneles.
o Muestra el estado y las estadísticas.
En el panel de la GUI, puede usar el widget IPsec para monitorear el estado de sus VPN IPsec. El
widget solo muestra el estado de la fase 2 de un túnel y no su estado de la fase 1.

También puede subir o bajar túneles individuales y obtener detalles adicionales. Cuando subes o
bajas túneles con el widget IPsec, solo estás afectando el estado de la fase 2 del túnel, no su estado
de la fase 1.
Si el túnel está arriba, lo que significa que la fase 2 está arriba, se muestra una flecha verde hacia
arriba junto a su nombre. Si está hacia abajo, se muestra una flecha roja ha hacia
cia abajo.
El widget de IPsec también muestra la cantidad de datos enviados y recibidos a través del túnel.
Cuando hace clic con el botón derecho en cualquiera de las columnas, se muestra un menú con una
lista de todas las columnas disponibles. Puede habilitar columnas adicionales para obtener más
detalles sobre los túneles IPsec.
Monitoree las rutas IPsec.

 Las rutas IPsec aparecen en la tabla de enrutamiento después de:
o Aparece la fase 1, si la puerta de enlace remota está configurada para una dirección
IP estática o un DNS dinámico.
Si la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, las rutas
estáticas para estos túneles se activan en la tabla de enrutamiento después de que aparece la fase
1. La negociación de la fase 1 se inicia automáticamente porque la negociación automática está
habilitada en la fase 1 de forma predeterminada. Este comportamiento permite que FortiGate haga
coincidir el tráfico interesante con el túnel correcto. Además, si la fase 2 no está activa, el tráfico
que coincida con la ruta estática desencadenará una negociación
n egociación de la fase 2, que finalmente dará
como resultado la aparición del túnel (o la fase 2).
Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico, de forma
predeterminada, se agrega una ruta estática para la red de destino después de que aparece la fase
2. La distancia establecida para la ruta estática es 15. Si la fase 2 falla, la ruta se elimina de la tabla
de enrutamiento.

Registros de IPsec.
FortiGate
eventos deregistra
VPN delos eventos
IPsec, de VPN
haga clic IPsec
istrode
en Registro
Reg forma predeterminada.
e informe> Para
Eventos> Eventos dever los registros de
VPN.
Los registros rastrean el progreso

progr eso de las negociaciones de la fase 1 y fase 2, informan sobre eventos
de subida y bajada de túneles, fallas de DPD, entre otros eventos. Para obtener más información
visite https://docs.fortinet.com.
sobre los registros de IPsec, visite https://docs.fortinet.com.
1. El widget del monitor
m onitor IPsec en la GUI muestra el estado de _________.
A. Fase 1.
B. Fase 2.
2. Cuando la puerta de enlace remota está configurada como usuario de acceso telefónico, se
agrega una ruta estática a la red remota a la tabla de enrutamiento después
después de _______________.
_______________.
A. Surge la fase 1.
B. Surge la fase 2.
SSO y FSSO.
 SSO es un proceso que permite a los usuarios identificados acceder a múltiples aplicaciones
sin tener que volver a autenticarse.
 Los usuarios que ya están identificados

i dentificados pueden acceder
acceder a las
l as aplicaciones sin que se les pida
que proporcionen sus credenciales.
El software FSSO identifica el ID de usuario, la dirección IP y la pertenencia a un

o
grupo.

o FortiGate permite el acceso basado en la membresía en grupos

g rupos FSSO configurados
en FortiGate.
o Los grupos FSSO se pueden asignar a grupos de usuarios de usuarios individuales,
unidades organizativas (OU) o una combinación de ellos.
 Cada método FSSO recopila eventos de inicio de sesión de manera diferente.
 FSSO se utiliza normalmente con servicios de directorio, como Windows Active Directory o
Novell eDirectory.
SSO es un proceso que permite a los usuarios iniciar sesión automáticamente en cada aplicación
después de ser identificados, independientemente
independientemente de la plataforma, la tecnología y el dominio.
FSSO es un agente de software que permite a FortiGate identificar a los usuarios de la red para
políticas de seguridad o para acceso a VPN, en implementaciones avanzadas con
FortiAuthenticator, sin pedir su nombre de usuario y contraseña. Cuando un usuario inicia sesión
en un servicio de directorio, el agente FSSO envía a FortiGate el nombre de usuario, la dirección IP
y la lista de grupos a los que pertenece el usuario. FortiGate utiliza esta información para mantener
una base de datos local de nombres de usuario, direcciones IP y asignaciones de grupos.
Debido a que el controlador de dominio autentica a los usuarios, FortiGate no realiza la

autenticación. Cuando el usuario intenta acceder a los recursos de la red, FortiGate selecciona la
política de seguridad adecuada para el destino. Si el usuario pertenece a uno de los grupos de
usuarios permitidos, la conexión está permitida
FSSO se utiliza normalmente con redes de servicios de directorio como Windows Active Directory
o Novell eDirectory.
Implementación y configuración de FSSO.

Microsoft Active Directory (AD).
Modo de agente de controlador de dominio (DC).


 Modo de sondeo:
o Recopilador basado en agentes.
o Sin agente.
 Agente de Terminal Server (TS).
o Mejora las capacidades de inicio de sesión
de un agente recopilador o
FortiAuthenticator.
o Recopila inicios de sesión para Citrix y
servidores de terminal donde varios
usuarios comparten la misma dirección IP.
Novell eDirectory.
 Modo de agente de eDirectory.

Utiliza la configuración de Novell APl o LDAP.

La forma de implementar y configurar FSSO depende del servidor que proporciona sus servicios de
directorio.
FSSO para Windows Active Directory (AD) utiliza un agente recolector. Es posible que también se
requieran agentes de controlador de dominio (DC), según el modo de trabajo del agente de
recopilación. Hay dos modos de trabajo que supervisan las actividades de inicio de sesión de los
usuarios en Windows: modo de agente DC y modo de sondeo. FortiGate también ofrece un modo
de sondeo que no requiere un agente recolector, que está diseñado para redes simples con un
número mínimo de usuarios.
Existe otro tipo de agente de DC que se utiliza exclusivamente para los agentes de servidor de
terminal (TS) de Citrix y de los entornos de servicios de terminal. Los agentes TS requieren que el
agente recopilador de Windows Active Directory
Dir ectory o FortiAuthenticator recopile y envíe los eventos
de inicio de sesión a FortiGate.
El agente eDirectory se instala en una red Novell para supervisar los inicios de sesión de los usuarios
y enviar la información necesaria a FortiGate. Funciona de forma muy similar al agente recopilador
en un controlador de dominio de Windows AD. El agente puede obtener información de Novell
eDirectory utilizando la API de Novell o LDAP.
1. En FSSO, FortiGate permite el acceso a la red según _________.
A. Autenticación de usuario activa con nombre de usuario y contraseña.
B. Identificación de usuario pasiva por ID de usuario, dirección IP y membresía de grupo.
2. ¿Qué modo de trabajo se utiliza para supervisar las actividades de inicio de sesión de los usuarios
en Windows AD?
A. Modo de sondeo (recopilador basado en agente o sin agente).
B. Modo de agente de eDirectory.
Modo Agente DC.

 El modo de agente de DC es el modo más escalable y es, en la mayoría de los entornos, el
modo recomendado para FSSO.
 Requiere un agente de DC (dcagent.dl1) instalado en cada DC de Windows en Windows \

system32. El agente de DC es responsable de:
o Supervisar los eventos de inicio de sesión de los usuarios y reenviarlos a los agentes
ag entes
del recopilador.
o Manejo de búsquedas de DNS (por defecto).
 Requiere uno o más agentes recolectores instalados en los servidores de Windows. El

agente cobrador es responsable de:
Verificación de grupo.
o
o Comprobaciones de la estación de trabajo.

o Actualizaciones de registros de inicio de sesión en FortiGate.

o Envío de información del grupo de seguridad local del dominio, unidades

organizativas (OU) y grupo de seguridad global a FortiGate.
El modo de agente DC se considera el modo recomendado para FSSO.
El modo de agente DC requiere:
 Un agente de DC instalado
i nstalado en cada DDC de Windows.
Si tiene varios DC, esto significa que necesita varios agentes de DC. Los agentes de DC
monitorean y reenvían los eventos de inicio de sesión del usuario a los agentes
recolectores.
 Un agente recolector, que es otro componente de FSSO.

El agente de recopilación se instala en un servidor de Windows que es miembro del dominio
que está intentando supervisar. Consolida los eventos recibidos de los agentes de DC y
luego los reenvía a FortiGate. El agente recolector es responsable de la verificación del
grupo, las verificaciones de la estación de trabajo y las actualizaciones de FortiGate de los
registros de inicio de sesión. El agente recolector de FSSO puede enviar información del
grupo de seguridad local del dominio, unidades organizativas (OU) y grupo de seguridad
global a los dispositivos FortiGate. También se puede personalizar para búsquedas de DNS.
Cuando el usuario inicia sesión, el agente de DC intercepta el evento de inicio de sesión en el
controlador de dominio. A continuación, resuelve el DNS del cliente y lo envía al agente de
recopilación.
El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del mismo
ha cambiado.
En algunas configuraciones, la resolución de DNS doble es un problema. En este caso, puede

configurar una clave de registro en el controlador de dominio que aloja el agente de DC para no
resolver el DNS donot resolve (DWORD) 1 en HKLM / Software / Fortinet / FSAE / dcagent.
Proceso del modo de agente de DC.

1. El usuario se autentica con Windows DC.
2. El agente de DC ve el evento de inicio de sesión y lo reenvía al agente de recopilación.
3. El agente recolector recibe el evento del agente DC y lo reenvía a FortiGate.
4. FortiGate conoce al usuario según su dirección IP, por lo que el usuario no necesita autenticarse.

Esta imagen muestra el proceso de información entre los agentes

ag entes de DC, el agente recolector y un
FortiGate configurado para la autenticación FSSO.
1. Cuando los usuarios se autentican con el DC, proporcionan

pr oporcionan sus credenciales.
2. El agente de DC ve el evento de inicio de sesión y lo reenvía al agente de recopilación.
3. El agente recopilador agrega todos los eventos de inicio de sesión y reenvía esa información a
FortiGate. La información enviada por el agente recopilador contiene el nombre de usuario, el
nombre de host, la dirección IP y los grupos de usuarios. El agente recolector se comunica con
FortiGate a través del puerto TCP 8000 (predeterminado) y escucha en el puerto UDP 8002
(predeterminado) las actualizaciones de los agentes de DC. Los puertos son personalizables
4. Una vez que el agente recolector reenvía la información de inicio de sesión del usuario, FortiGate
sabe quién es el usuario, su dirección IP y algunos de los grupos de AD de los que es miembro.
Cuando un usuario intenta acceder a Internet, FortiGate compara la dirección IP de origen con su
lista de usuarios FSSO activos. Debido a que el usuario en este caso ya ha iniciado sesión en el
dominio y FortiGate ya tiene su información, FortiGate no le pedirá al usuario que se autentique.
de nuevo. Más bien simplemente permitirá o denegará el tráfico según la política de firewall
correspondiente.
Modo de sondeo basado en el agente

recopilador.
 Se debe instalar un agente de recopilación en un servidor de Windows.
o No se requiere agente FSSO DC.
 Cada pocos segundos, el agente recopilador sondea cada controlador de dominio en busca
de eventos de inicio de sesión del usuario. El agente
ag ente recolector
recolector utiliza:
o Protocolo SMB (TCP 445), por defecto, para solicitar los registros de eventos.
o TCP 135, TCP 139 y UDP 137 como alternativas.
 Este modo requiere una instalación menos compleja, lo que reduce el mantenimiento
continuo.
 Tres métodos:
o NetAPI.
o WinSecLog.
o WMI.
 El registro de eventos debe estar habilitado en los DC (excepto en NetAPI).
El modo de sondeo puede estar basado en agentes

ag entes de recopilación o sin agentes.
En primer lugar, observará el modo de sondeo basado en el agente recopilador. Al igual que el
modo de agente de DC, el modo basado en el agente de recopilación requiere que se instale un
agente de recopilación en un servidor de Windows, pero no requiere que se instalen agentes de DC
en cada DC. En el modo de sondeo basado en el agente de recopilación, el agente de recopilación
debe ser más potente que el agente de recopilación en el modo de agente de DC y también genera
tráfico innecesario cuando no ha habido eventos de inicio de sesión.

En el sondeo de registro de eventos de Windows, el modo de sondeo más comúnmente

implementado, el agente recopilador usa el protocolo SMB (puerto TCP 445) para solicitar
periódicamente registros de eventos de los controladores de dominio. Otros métodos pueden
recopilar información de manera diferente, pero una vez que el recopilador recibe el inicio de sesión
agente, el agente recopilador analiza los datos y crea la
l a base de datos de inicio de sesión del usuario,
que consta de nombres de usuario. nombres de estaciones de trabajo / IP y pertenencia a grupos
de usuarios. Esta información está lista para enviarse a FortiGate.
Opciones del modo de sondeo basado en el

agente recopilador.
NetAPI
 Sondea la función NetSessionEnum en Windows cada 9 segundos, o menos *
 Tabla de sesiones de autenticación en RAM.
 Recupera las sesiones de inicio de sesión, incluidos los eventos de inicio de sesión de DC.
 Más rápido, pero ...
 Si DC tiene una gran carga del sistema, puede perder algunos eventos de inicio de sesión.
WinSecLog
 Sondea todos los eventos de seguridad en DC cada 10 segundos o más *
 Latencia de registro si la red es grande o el sistema es lento.
 Requiere enlaces de red rápidos.
 Más lento, pero ...
 Ve todos los eventos de inicio de sesión.
 Solo analiza los ID de eventos conocidos por agente recopilador.
re copilador.
WMI
 DC devuelve todos los eventos de inicio de sesión solicitados cada 3 segundos *
 Lee los registros de eventos seleccionados.

 Mejora el
Reduce la uso deldeancho
carga la redde banda
entre de WinSec.
el agente recolector y DC.
Los tiempos de intervalo de la encuesta son estimaciones. Los tiempos de intervalo dependen de la
cantidad de servidores y la latencia de la red.
Como se indicó anteriormente, el modo de sondeo basado en el agente recopilador tiene tres
métodos (u opciones) para recopilar información de inicio de sesión:
NetAPI: sondea las sesiones temporales creadas en el DC cuando un usuario inicia o cierra sesión y
llama a la función NetsessionEnum en Windows. Es más rápido que los métodos WinSec y WMI; sin
embargo, puede perder algunos eventos de inicio de sesión si un controlador de dominio está
sometido a una gran carga del sistema. Esto se debe a que las sesiones se pueden crear y purgar
rápidamente desde la RAM, antes de que el agente tenga la oportunidad de sondear y notificar a
FortiGate.

WinSecLog: sondea todos los registros de eventos de seguridad del DC. No pierde ningún evento
de inicio de sesión que haya sido registrado por el DC porque los eventos normalmente no se
eliminan de los registros. Puede haber cierto retraso en la recepción de eventos de FortiGate si la
red es grande y, por lo
l o tanto, la escritura en los registros es lenta. También requiere que el éxito de
la auditoría de identificadores de eventos específicos se registre en los registros de seguridad de
Windows. Para obtener una lista completa de los ID de eventos admitidos, visite la base de
conocimientos de Fortinet (http://kb.fortinet.c
(h ttp://kb.fortinet.com).
om).
WMI: una API de Windows que obtiene información del sistema de un servidor de Windows. El DC
devuelve todos los eventos de inicio de sesión solicitados. El agente recopilador es un cliente WMI
y envía consultas WMI para eventos de inicio de sesión de usuario al DC, que, en este caso, es un
servidor WMI. El agente recolector no necesita buscar registros de eventos de seguridad en el DC
para eventos de inicio de sesión de usuario; en su lugar, el DC devuelve todos los eventos de inicio
de sesión solicitados. Esto reduce la carga de la red entre
en tre el agente recolector
r ecolector y DC.
Proceso del modo de sondeo basado en el

agente recopilador.
1. El usuario se autentica con el DC.
1.
2. El agente de recopilación sondea con frecuencia los controladores de dominio para
2.
recopilar eventos de inicio de sesión de los usuarios.
3. El agente recopilador reenvía los inicios de sesión a FortiGate.
3.
4. El usuario no necesita autenticarse.
4.
Esta imagen muestra un ejemplo de FSSO utilizando el modo de sondeo basado en agentes de
recopilación. Este ejemplo incluye un controlador de dominio, un agente de recopilación y
FortiGate, pero el controlador de dominio no tiene instalado dcagent (o, alternativamente,
dcagent.dll).
1. El usuario se autentica con el DC, proporcionando sus credenciales.

1.
2. El agente recolector periódicamente (cada pocos segundos) sondea el puerto TCP 445 de
2.
cada DC directamente, para preguntar si alguien ha iniciado sesión.
3. El agente recolector envía información de inicio de sesión a FortiGate a través del puerto
3.
TCP 8000. Esta es la misma información que se envía en el modo de agente DC
4. Cuando el tráfico de usuarios llega a FortiGate, FortiGate ya sabe qué usuarios están en qué
direcciones IP y no se requiere autenticación repetida.

Modo de sondeo sin agente.

 Similar al sondeo basado en agentes, pero FortiGate realiza
real iza encuestas en su lugar.
 No requiere un agente de CC externo o un agente recolector.
o FortiGate recopila los datos directamente.

 El
Másregistro
CPU yde eventos
RAM debe estar
requeridos habilitado en los DC.
por FortiGate.
 Soporte para la opción de sondeo WinSecLog solamente.
o FortiGate usa el protocolo SMB para leer los registros del visor de eventos.
 Menos funciones disponibles que el modo de sondeo basado en agentes recopiladores.
 FortiGate no sondea la estación de trabajo.
o La verificación de la estación de trabajo no está disponible en el modo de sondeo
sin agente.
Puede implementar FSSO sin instalar un agente. FortiGate sondea los controladores de dominio
directamente, en lugar de recibir información de inicio de sesión indirectamente de un agente
recopilador.
Debido
requiereamayores
que FortiGate recopila
recursos todosy los
del sistema datos
no se portan
escala sí fácilmente.
t an mismo, el modo de sondeo sin agentes
El modo de sondeo sin agente funciona de manera similar a WinsecLog, pero con solo dos ID de
eventos: 4768 y 4769. Debido a que no hay un agente recopilador, FortiGate u
usa
sa el protocolo SMB
para leer los registros del visor de eventos de los DC.
En el modo de sondeo sin agente, FortiGate

F ortiGate actúa como un recopilador. Es responsable del sondeo
además de sus tareas normales de FSSSO, pero no tiene todas las funciones adicionales, como las
verificaciones de la estación de trabajo. que están disponibles con el agente recolector externo.
Proceso del modo de sondeo sin agente.

1. FortiGate encuesta con frecuencia a los DC para recopilar los eventos de Iogon de los
usuarios.
2. El usuario se autentica con el DC.
2.
 FortiGate descubre el evento de inicio de sesión en la siguiente
sig uiente encuesta.
encuesta.
3. El usuario no necesita autenticarse.
3.
 FortiGate ya sabe de quién está recibiendo tráfico.

Esta imagen muestra cómo se procesa la comunicación sin agentes. (No hay un agente cobrador ni
un agente DC).
1. FortiGate sondea el puerto DC TCP 445 para recopilar eventos de inicio de sesión del
1.
usuario.
2. Después de que el usuario se autentica con el DC, FortiGate registra el evento de inicio de
2.
sesión durante su siguiente encuesta, obteniendo la siguiente información: el nombre de
usuario, el nombre de host y la dirección IP, y luego consulta por su (s) grupo (s) de usuarios.
3. Cuando el usuario envía tráfico, FortiGate ya sabe de quién está recibiendo tráfico: por lo
3.
tanto, el usuario no necesita autenticarse.
Comparación de modos.
Modo de agente DC Modo de sondeo
Instalación Instalaciones múltiples Fácil, una o ninguna
complejas (una por CC). instalación. No es necesario
Requiere reiniciar reiniciar
Se requiere agente de DC Si No
Recursos Acciones con agentes de DC Tiene recursos propios
Escalabilidad Mayor Inferior

Redundancia Si Si
Nivel de confianza Captura todos los inicios de Puede perder un inicio de
sesión sesión (NetAPI) o tener un
retraso (Win SecLog)
Esta tabla resume las principales diferencias entre el modo de agente de DC y el modo de sondeo.
El modo de agente de DC es más complejo. Requiere no solo un agente recolector, sino también un
agente DC para cada controlador de dominio monitoreado. Sin embargo, también es más escalable,
porque el trabajo de capturar inicios de sesión lo realizan los agentes de DC que pasan su
información directamente al recopilador.
En el modoEntonces,
segundos. de sondeo,
conelcada
recopilador necesita
DC que se ag rega,consultar
agrega, el númerocada
de controlador de dominio,
consultas crece. Si deseacada pocos
agregar un
segundo agente recolector para la redundancia en el modo de sondeo, ambos agentes recolectores
deben consultar cada DC individualmente.
En el modo de agente de DC, el agente de DC solo tiene que recopilar el registro una vez y enviar
una copia de la información necesaria a todos los agentes de recopilación. En comparación, si usa
el modo de sondeo, algunos eventos de inicio de sesión pueden perderse o retrasarse, según la
opción de sondeo utilizada.
No es necesario instalar un agente de recopilación en el DC, se puede instalar en cualquier máquina

Windows de la red.

Requisitos adicionales de FSSO AD.

 El servidor DNS local debe poder resolver todos los nombres
no mbres de las estaciones de trabajo.
o Los eventos de inicio de sesión de Microsoft contienen nombres de estaciones de
trabajo, pero no direcciones IP.
o
El agente
de trabajorecolector utiliza un
en una dirección IP.servidor DNS para resolver el nombre de la estación
 Para obtener una funcionalidad completa, el agente recopilador debe poder sondear las
estaciones de trabajo.
o Esto informa a los agentes del recopilador si el usuario todavía está conectado o
no.
o Los puertos TCP 139 y 445 deben estar abiertos entre los agentes recolectores o
FortiGate y todos los hosts.
o Es posible que se necesite un servicio de registro remoto en cada estación de
trabajo.
Independientemente del método de recopilación que elija, algunos requisitos de FSSO para su red
Independientemente
AD son los mismos:
 Los eventos de inicio de sesión de Microsoft Windows tienen el nombre y el nombre de

usuario de la estación de trabajo, pero no la dirección IP de la estación de trabajo. Cuando
el agente recopilador recibe un evento de inicio de sesión, consulta un servidor DNS para
resolver la dirección IP de la estación de trabajo. Entonces, FSSO requiere que tenga su
propio servidor DNS. Si la dirección IP de una estación de trabajo cambia, los registros DNS
deben actualizarse inmediatamente para que el agente recolector esté al tanto del cambio
e informe a FortiGate.
 Para una funcionalidad completa, los agentes recolectores necesitan conectividad con
todas las estaciones de trabajo. Dado que no se genera un registro de eventos monitoreado
al cerrar la sesión, el agente recolector (dependiendo del modo FSSO) debe usar un método
diferente para verificar si los usuarios aún están conectados. Por lo tanto, se encuesta a
cada estación de trabajo de usuario para ver si los usuarios todavía están allí.

El agente de DC,
el controlador decuando
dominio.el Luego
usuarioresuelve
inicia sesión,
el DNSintercepta
cl ienteely evento
del cliente lo envíade
al inicio
agentederecolector.
sesión en
El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del usuario
ha cambiado.
1. ¿Cuál es el modo recomendado
r ecomendado para las implementaciones
implementaciones de FSSO?
A. Modo agente DC.
B. Modo de sondeo: sin agente.
2. ¿Qué modo FSSO requiere más recursos del sistema FortiGate (CPU y RAM)?
A Modo de sondeo: basado en agente
ag ente recopilador.
B. Modo de sondeo sin agente.

¿Cuándo se usa la autenticación NTLM?

 Muchos navegadores web admiten la autenticación
autenticación NTLM.
o NTLM es autenticación basada en sesión.
o FortiGate inicia la negociación NTLM con el navegador del cliente para un usuario

FSSO no activo.
La autenticación NTLM es útil cuando:
o Los usuarios inician sesión en controladores de dominio que el recopilador no
supervisa.
o La comunicación entre el colector y DC está bloqueada o inactiva.
 En configuraciones de dominio simples, no se requiere agente DC.
o Los resultados de la autenticación se envían al agente recopilador.
 Varios dominios requieren solo un agente recopilador global.
En un entorno de AD, FSSO también puede trabajar con NTLM, que es un conjunto de protocolos
de seguridad de Microsoft que proporciona autenticación, integridad y confidencialidad a los
usuarios.
La autenticación NTLM no requiere agentes DC, pero no es completamente invisible para los
usuarios, los NTLM

autenticación usuarios deben
es una ingresar
solución sus de
propiedad credenciales durante
Microsoft, por lo que la
solonegociación NTLM. La
se puede implementar
en una red de Windows.
NTLM se utiliza con mayor frecuencia cuando los usuarios se autentican frente a controladores de
dominio que, por alguna razón, no pueden ser monitoreados por el agente de recopilación, o
cuando hay problemas de comunicación entre el agente de recopilación y uno o más de los agentes
de CD. En otras palabras. La autenticación
au tenticación NTLM se utiliza mejor como copia de seguridad de FSSO
Tenga en cuenta que FortiGate no puede realizar la autenticación NTLM por sí solo. FortiGate debe
devolver las credenciales ingresadas por el usuario a un agente recolector para su verificación. El
agente recolector, a su vez, responderá a FortiGate con los grupos de usuarios apropiados si la
autenticación es exitosa.
Proceso de autenticación NTLM: dominio

simple.
1. El usuario intenta acceder a Internet con un
1.
navegador.
 La dirección IP del usuario no está en la lista de
usuarios activos de FSSO.
2. FortiGate solicita credenciales: dominio / nombre
2.
de usuario y contraseña
3. El navegador del usuario envía información a
3.
FortiGate.
4. FortiGate verifica
pertenencia las con
al grupo credenciales
el agentedel usuario y la
recolector.
5. El acceso se otorga por pertenencia a un grupo
5.

NTLM se activa cuando FortiGate recibe tráfico de una dirección IP desconocida.
Esta imagen muestra cómo se procesan los mensajes durante la autenticación NTLM en una
configuración de dominio simple.
1. Cuando tanto FSSO como NTLM están habilitados, NTLM se utiliza como respaldo para
1.
FSSO. Cuando FortiGate recibe tráfico de una dirección IP que no existe en la lista de
usuarios FSS0, se activa NTLM.
2. FortiGate responde con un desafío NTLM, solicitando credenciales.

2.
3. El navegador del usuario envía las

3. l as credenciales solicitadas.
solicitadas.
4. FortiGate recibe las credenciales del usuario, luego las autentica con el agente recolector a
4.
través del puerto TCP 8000. FortiGate también recibe los nombres de los grupos a los que
pertenece el usuario.
5. Si las credenciales son correctas, FortiGate autoriza el acceso del usuario.
5.
Autenticación NTLM con Internet Explorer.

 Tras el desafío NTLM, los navegadores
suelen mostrar un cuadro de diálogo de
autenticación.
 Internet Explorer y otros navegadores se
pueden configurar para enviar
automáticamente las credenciales de
usuario.
 Si los navegadores no están configurados
para enviar automáticamente las
credenciales de usuario, el usuario debe

usar el indicador.
A diferencia de FSSO completo, la autenticación NTLM no es transparente para los usuarios. En la

mayoría de los navegadores y, de forma predeterminada, en Internet Explorer, los usuarios deben
ingresar sus credenciales cada vez que el navegador recibe un desafío de autenticación NTLM.

Sin embargo, Internet Explorer se puede configurar para enviar automáticamente las credenciales
de los usuarios cada vez que recibe un desafío NTLM. Para ello, en el cuadro de diálogo Opciones
de Internet, haga clic en Nivel personalizado. Luego, en el cuadro de diálogo Configuración,
desplácese hasta Inicio de sesión de autenticación de usuario y luego seleccione Inicio de sesión
automático con el nombre de usuario y la contraseña actuales .
Autenticación NTLM: varios dominios.

 NTLM requiere una relación de confianza entre
dominios:
o Si los dominios están en un bosque de AD,
solo necesita un agente de DC global.
o Si los dominios no están en un bosque de
AD, debe instalar un agente de DC en cada
dominio (en DC).
 Proceso de autenticación NTLM de múltiples
dominios:
1. Los usuarios inician sesión en su DC local.
1.

2. Los
de agentes
sesión dedeDC envían los eventos
los usuarios al deagente
inicio
recopilador.
3. Los usuarios intentan acceder a Internet.
3.
4. FortiGate se comunica con el agente
4.
recopilador para obtener información de
inicio de sesión para verificar la autenticación
del usuario.
5. Los usuarios tienen acceso a Internet.
5.
En un entorno de múltiples dominios para NTLM, es importante tener una relación de confianza
entre los dominios. Cuando existen varios dominios en un bosque de AD, se crea automáticamente
una relación de confianza, por lo que solo se requiere un agente de DC en uno de los controladores
de dominio. Pero, cuando varios dominios no están en un bosque de AD, tiene dos opciones:
op ciones:
 Cree una relación de confianza entre los dominios a través de la configuración de AD
 Instale un agente de DC en cada dominio, luego use políticas de seguridad para el acceso a
la red
Si decide instalar un agente de DC en cada dominio, el agente de DC envía información de inicio de

sesión al recopilador agente. Este proceso funciona de la siguiente
sig uiente manera:
1. El usuario inicia sesión en su DC local

1.
2. El agente de DC envía la información del evento de inicio de sesión del usuario al agente de
2.
recopilación.
3. El usuario intenta acceder a Internet.
3.

4. FortiGate verifica
para obtener que el usuario
la información esté autenticado
de inicio de sesión. comunicánd
comunicándose
ose con el ag
agente
ente recolector
5. Si el usuario está debidamente autenticado, FortiGate le permite acceder a Internet.
5.

1. Al realizar la autenticación NTLM,
NTLM, ¿qué información proporciona el navegador web a FortiGate?
A. Las credenciales del usuario (nombre de usuario y contraseña).
B. El ID de usuario, la dirección IP y la pertenencia al grupo del usuario.
2. ¿Cuál de las siguientes opciones puede provocar una autenticación NTLM?

A. Tráfico proveniente de una IP en la lista de usuarios de FSSO.
B. Tráfico procedente de una IP que no está en la lista de usuarios de FSSO.
Configuración FSSO - Modo de sondeo sin

agente.
 Modo de sondeo sin agente:
o FortiGate usa LDAP para consultar AD.
La configuración de FortiGate FSSO es sencilla.
Si FortiGate actúa como un recopilador para el modo de sondeo sin agente, debe seleccionar
Sondeo del servidor de Active Directory y configurar las direcciones IP y las credenciales de
administrador de AD para cada DC.
FortiGate usa LDAP para consultar AD para recuperar información del grupo de usuarios. Para que
esto suceda, el servidor LDAP debe agregarse a la configuración del servidor de Active Directory
del grupo.

Configuración de FSSO: sondeo basado en

agente de recopilación o modo de agente de
DC.
Sondeo basado enFSSO

agente de recopilador
monitorearolamodo de agente
a gente de DC:

o El agente puede información de inicio de sesión de los usuarios

desde los servidores AD, Exchange, Terminal, Citrix y eDirectory.
Si tiene agentes recolectores,

recolectores, utilizando el modo de agente de DC o el modo de sondeo basado en
el agente recolector, debe seleccionar el Agente de inicio de sesión único de Fortinet y configurar
la dirección IP y la contraseña para cada agente recolector.
El agente de recopilación de FSSO puede acceder a Windows AD en uno de dos modos:
 Agente de recopilación: los filtros de grupo se crean en el agente de recopilación. FortiGate

se puede configurar en el modo de Agente de recopilación, y el agente de recopilación aún
puede usar el modo Avanzado para acceder a grupos anidados.

 Local: los filtros de grupo se crean directamente en FortiGate, utilizando el servidor LDAP.
Si FortiGate está configurado en modo Local, el agente recolector debe configurarse en
modo Avanzado; de lo contrario, el agente recolector no reconocerá el filtro de grupo
enviado por FortiGate y no transmitirá ningún inicio de sesión de usuario.
Instalación del agente FSSO.

1. Vaya al sitio web de soporte de Fortinet:
1. https://support.fortinet.com
Fortinet: https://support.fortinet.com
2. Haga clic en Descargar> Imágenes de firmware.
2.

Agentes disponibles:
Agente de DC: DCAgent_Setup.
CA para servidores de Microsoft: FSSO_Setup.
CA para Novell: FSSO_Setup_edirectory.
FSSO_Setup_edirectory.
Agente de TS: TSAgent_Setup.
3. Seleccione FortiGate, luego haga clic en Descargar.
3.
4. Haga clic en v6.00> 6.0> 6.4> 6.4.0> FSSO.
Imagen de ejemplo a continuación:

continuación:
Los agentes de FSSO están disponibles en el sitio web de soporte de Fortinet. Allí encontrará lo
siguiente:
 El agente de DC
 El agente recopilador para servidores de Microsoft: FSSO_Setup
 El agente de recopilación de directorios de Novell: FSSO_Setup_edirecto
FSSO_Setup_edirectory
ry
 El instalador del agente de servidor de terminal (TSagent) para Citrix y servidores de
terminal: TSAgent_Setup.
Además, para cada agente, hay dos versiones: el ejecutable (.exe) y Microsoft Installer (. msi).
Tenga en cuenta que no necesita hacer coincidir la versión de FSSO con su versión exacta de
firmware de FortiGate. Al instalar FSSO, obtenga el último agente de recopilación para su versión
principal. Sin embargo, debe hacer coincidir la versión del agente de DC con la versión del agente
de recopilación.
Procesos de instalación del Agente de

recopilación de FSSO.
1. Ejecute el proceso de instalación como
administrador.

2. Introduzca el nombre de usuario en el

2.
siguiente formato:
DomainName \UserName
\ UserName
3. Configure el agente de recopilación para:
3.
 Supervisión de inicios de sesión.
 Autenticación NTLM.
Acceso al directorio.

4. Al final, inicie opcionalmente el asistente de

4.
instalación del agente de DC antes de salir del
asistente de instalación del agente de
recopilación.
Una vez que haya descargado el agente recopilador, ejecute el proceso de instalación como
administrador y siga estos pasos en el asistente de instalación:
1. Lea y acepte el contrato de licencia.

1. li cencia.
2. Opcionalmente, cambie la ubicación de instalación. La carpeta predeterminada se llama
2.
FSAE (Extensión de autenticación del servidor de Fortinet).
3. Ingrese el nombre de usuario. De forma predeterminada, el agente usa el nombre de la
3.
cuenta actualmente en ejecución; sin embargo, puede cambiarlo usando el formato:
DomainName\UserName.
4. Como alternativa, configure su agente de recopilación para la supervisión, la autenticación
4.
NTLM y el acceso al directorio. Estas opciones también se pueden personalizar después de
la instalación. Aunque el modo predeterminado es el modo Estándar, cuando se realizan
nuevas configuraciones de FSSO, siempre es una buena práctica instalar en el modo
Avanzado. Verá algunas de las ventajas más adelante en esta lección.
5. Si desea utilizar el modo de agente de DC, asegúrese de que la opción Launch DC Agent
5.
Install Wizard esté seleccionada. Esto iniciará automáticamente la instalación del agente
de DC.
Proceso de instalación de DC Agent.

Si acaba de instalar el agente de recopilación y seleccionó Iniciar el asistente de instalación de un

Agente DC, el proceso de instalación del agente de controlador de dominio se inicia
automáticamente.
1. Ingrese la dirección IP del agente recolector. Opcionalmente, puede personalizar el puerto
1.
de escucha, si otro servicio ya utiliza el valor predeterminado.
2. Seleccione los dominios a monitorear. Si alguno de sus dominios requeridos no aparece en
2.
la lista, cancele el asistente y configure la relación de confianza correcta con el controlador
de dominio. Luego, ejecute el asistente nuevamente. Tenga en cuenta que esto también
podría deberse al uso de una cuenta sin todos los permisos necesarios.
3. Opcionalmente, seleccione

3. seleccione usuarios que no desea monitorear; El recopilador no registrará
los eventos de inicio de sesión de estos usuarios y, por lo tanto, no se pasarán a FortiGate.
Si bien estos usuarios aún pueden generar los eventos de inicio de sesión en el dominio,
cuando son detectados por el agente recopilador, se descartan para no interferir con el
usuario que inició sesión. Esto es especialmente útil en entornos con una solución antivirus
administrada de forma centralizada o un servicio de respaldo programado que usa una
cuenta AD para comenzar. Estas cuentas pueden crear eventos de inicio de sesión para el
agente recopilador que sobrescriban los inicios de sesión de los usuarios existentes. Esto
puede resultar en que FortiGate aplique políticas y perfiles incorrectos basados en la cuenta
principal. La opción de ignorar a los usuarios también se puede personalizar una vez
completada la instalación.
4. Opcionalmente, desactive

4. desactive las casillas de verificación de los controladores de dominio en los
que no desea instalar el agente de DC. Recuerde, para el FSSO en modo de agente de DC,
al menos un controlador de dominio debe tener instalado el agente de DC. Recuerde que
la instalación de dcagent requiere reiniciar el DC antes de que comience a recopilar eventos
de inicio de sesión. Puede agregar o eliminar dcagent a los controladores de dominio en
cualquier momento después de que se complete la instalación.

5. Seleccione el modo de Agente DC como modo de trabajo. Si selecciona el modo de sondeo,
5.
el agente DC no se instalará.
Finalmente, el asistente solicita un reinicio del sistema.
Configuración del agente recolector de FSSO.
En la GUI de configuración del agente FSSO, puede configurar opciones como:
 El puerto de escucha para la comunicación con los agentes

ag entes de DC (UDP).
 El puerto de escucha para la comunicación con FortiGate (TCP).
 Soporte de autenticación NTLM.
 Autenticación de contraseña entre el agente recolector y FortiGate.
 Temporizadores.
Filtro de grupo.
 El agente recolector FSSO administra los filtros de grupo
g rupo de FortiGate.
 Los filtros de grupo de FortiGate controlan qué información de inicio de sesión del usuario
se envía a ese FortiGate.
o Los filtros están vinculados al número de serie de FortiGate.
 Todos los dispositivos FortiGate admiten al menos 256 grupos
g rupos de usuarios de Windows AD.
o El soporte de filtro de grupo es para VDOM.
 Si FortiGate FSSO se configura en el modo local de origen del grupo de usuarios (filtrado de
grupo realizado en FortiGate), el filtro FortiGate tendrá prioridad sobre el filtro configurado
en el agente recolector.

El filtro predeterminado se aplica a cualquier dispositivo FortiGate que no tenga un filtro
específico definido en la lista.

 Los filtros se pueden configurar para grupos, unidades organizativas, usuarios o una
combinación.
El agente recolector FSSO le permite configurar un filtro de grupo de FortiGate, que controla
activamente qué información de inicio de sesión de usuario se envía a cada FortiGate. Por lo tanto,
puede definir qué grupos pasa el agente recolector
re colector a los dispositivos FortiGate individuales
Monitorear toda la lista del grupo en una gran estructura de AD es muy ineficiente y una pérdida
de recursos. La mayoría de las implementaciones de FSSO necesitan segmentación de grupos (al
menos cuatro o cinco grupos), con la intención
i ntención de asignar diferentes niveles de configuraciones de
perfiles de seguridad a los diferentes grupos, utilizando políticas basadas en identidad.
Los filtros de grupo también ayudan a limitar el tráfico enviado a FortiGate. El número máximo de
grupos de usuarios de Windows AD permitidos en un FortiGate depende del modelo. Los modelos
de gama baja de FortiGate admiten 256 grupos
gr upos de usuarios de Windows A AD.
D. Los modelos de gama
media y alta pueden admitir más grupos. Esto es por VDOM, si los VDOM están habilitados en
FortiGate.
El filtrado se puede realizar en FortiGate en lugar del agente recolector, pero solo si el agente
recolector está operando en modo avanzado. En este caso, el agente recolector usa la lista de
grupos que seleccionó en FortiGate como su filtro de grupo
gr upo para ese dispositivo.
La lista de filtros está inicialmente vacía. Como mínimo, debe crear al menos un filtro
predeterminado que se aplique a todos los dispositivos FortiGate sin un filtro definido.
Tenga en cuenta que, si cambia el modo de acceso de AD de Estándar a Avanzado o Avanzado a

Estándar, deberá volver a crear los filtros porque varían según el modo.

Lista de usuarios ignorados.

 El agente recopilador ignora cualquier evento de inicio de sesión que coincida con las
entradas de la lista de usuarios ignorar.
o Ejemplo: cuentas de servicio de red.


Los inicios de sesión de los usuarios no se informan a FortiGate.
Esto ayuda a garantizar que los usuarios obtengan las políticas y los perfiles correctos en
FortiGate.
Para agregar usuarios a la lista de ignorados:

1. Entrada manual.
1.
2. Agregar usuarios: seleccione los usuarios que no desea monitorear.
2.
3. Agregar por OU: seleccione una OU del árbol de directorios.
3.
 Todos los usuarios de la unidad organizativa seleccionada se agregarán a la
lista de usuarios para ignorar.
El agente recopilador de FSSO ignora cualquier evento de inicio de sesión que coincida con las
entradas de la lista de usuarios a ignorar. Por lo tanto, el agente recopilador no registra estos
eventos de inicio de sesión ni se informa a FortiGate.
Es una buena práctica agregar todas las cuentas de servicio de red a la lista de usuarios ignorados.
Las cuentas de servicio tienden a sobrescribir los eventos de inicio de sesión del usuario y crean
problemas con la coincidencia de políticas basadas en identidad
Puede agregar usuarios a la lista de usuarios a ignorar de las siguientes maneras:
Ingrese manualmente el nombre de usuario.

Haga clic en Agregar usuarios y luego elija los usuarios que no desea monitorear.

 Haga clic en Agregar por unidad organizativa y luego seleccione una unidad organizativa
en el árbol de directorios.
Temporizadores del agente colector.

Intervalo de verificación de la estación de Intervalo de tiempo de espera de entrada
trabajo muerta
 Verifica si un usuario todavía está  Se aplica solo a las entradas no

conectado
Utiliza el servicio de registro remoto  verificadas
Se utiliza para purgar la información
para verificar de inicio de sesión
Predeterminado: 5 minutos
  Predeterminado: 480 minutos (8 h)
Desactivar: establecer el valor en 0
  Desactivar: establecer el valor en 0
o Debajo del intervalo de
verificación de la estación de
trabajo.

Intervalo de verificación de cambio de Caché el resultado de la búsqueda del grupo

dirección IP de usuarios
 Importante en DHCP o entornos  Agente cobrador recuerda la
dinámicos pertenencia a un grupo de usuarios
 Por defecto 60 segundos
Los temporizadores del agente recolector FSSO juegan un papel importante para asegurar el
correcto funcionamiento de FSSO.
Ahora, echarás un vistazo a cada uno y cómo funcionan.
Intervalo de verificación de la estación de trabajo . Esta configuración controla cuándo el


agente de recopilación se conecta a estaciones de trabajo individuales en el puerto 139 (o

puerto 445) y utiliza el servicio de registro remoto para verificar si un usuario aún está
conectado a la misma estación. Cambia el estado del usuario en Mostrar usuario de inicio
de sesión, a no verificado cuando no puede conectarse a la estación de trabajo. Si se
conecta, verifica al usuario y el estado sigue siendo correcto. Para facilitar este proceso de
verificación, debe configurar el servicio de registro remoto para que se inicie
automáticamente en todas las PC miembros del dominio
Intervalo de tiempo de espera de entrada muerta . Esta configuración se aplica solo a las

entradas con un estado no verificado. Cuando no se verifica una entrada, el recolector inicia
este temporizador. Se usa para envejecer la entrada. Cuando el temporizador expira, el
inicio de sesión se elimina del recopilador. Desde la perspectiva de FortiGate, no hay
diferencia entre las entradas que están bien y las entradas que no están verificadas. Ambos
se consideran válidos.
 Intervalo de verificación de cambio de dirección IP . Esta configuración verifica las

direcciones IP de los usuarios registrados y actualiza FortiGate cuando cambia la dirección
IP de un usuario. Este temporizador es especialmente importante en entornos DHCP o
dinámicos para evitar que los usuarios se bloqueen si cambian las direcciones IP. El servidor
DNS del dominio debe ser preciso; Si el servidor DNS no actualiza los regi
registros
stros afectados de
inmediato, la información de IP del agente recolector será inexacta.
 Caché el resultado de la búsqueda

bú squeda del grupo de usuarios. Esta configuración almacena en
caché la pertenencia al grupo de usuarios durante un período de tiempo definido. No se
actualiza, incluso si el usuario cambia la pertenencia a un grupo
g rupo en AD.
Configuración del modo de acceso AD.

Modo de acceso estándar.
 Concepción de Windows:
o Domain\groups.

UTM
Perfiles a usuarios y grupos.
o No se admite el grupo
g rupo anidado.
 Filtros de grupo en el agente
ag ente recolector.
Modo de acceso avanzado.

 Nombres de usuario de la convención
LDAP:
o CN User, OU-Name, DC=Domain.
 Perfil UTM para usuarios, grupos y OU.
o Admite grupos anidados o
heredados.
 Filtrado de grupos:
FortiGate
filtro de como
grupocliente
en LDAP o
o
agente
recolector.
Otra configuración importante de FSSO es el modo de acceso AD. Puede configurar el modo de
acceso AD haciendo clic en Establecer información de acceso al directorio . El modo de acceso AD
especifica cómo el agente recopilador accede y recopila la información de usuarios y grupos de
usuarios. Hay dos modos que se pueden utilizar para acceder a la información del usuario de AD:
Estándar y Avanzado.
La principal diferencia entre los modos es la convención de nomenclatura utilizada:

 El modo Estándar usa la convención de Windows, NetBios: dominio \ grupos, mientras que
 El modo Avanzado usa la convención de LDAP: CN = Usuario, OU-Name, DC = Dominio.
Además, el modo avanzado admite grupos anidados o heredados; es decir, los usuarios pueden ser
miembros de subgrupos que pertenecen a grupos principales supervisados. Además, en el modo
avanzado, FortiGate puede aplicar perfiles de seguridad a usuarios individuales, grupos de usuarios
y unidades organizativas (OU).
En comparación, en el modo estándar, los perfiles de seguridad solo se pueden aplicar a grupos de
usuarios, no a usuarios individuales.
En modo avanzado, puede configurar FortiGate como cliente LDAP y configurar los adaptadores de
grupo FortiGate. También puede configurar filtros de grupo en el agente
ag ente de recopilación.
Si el LDAP en el agente recolector falla, no importa lo que diga el LDAP en FortiGate, FSSO no
funcionará. Si el LDAP de FortiGate falla, pero el LDAP en el agente recolector aún se está
ejecutando, es posible que FortiGate no pueda recolectar registros, pero el agente recolector
seguirá recolectando registros
Fortinet recomienda encarecidamente

encarecidamente a los usuarios que creen filtros desde el agente recolector.
Soporte de AD Group.
Tipo de grupo admitido:
 Grupos de seguridad.
 Grupos universales.
 Grupos dentro de OU.
 Grupos locales o universales que
contienen grupos universales de
dominios secundarios (solo con el
catálogo global).
Si el usuario no es parte de un grupo FSSO:

 Para FSSO pasivo:
o El usuario es parte de
SSO_Guest_User.
 Para FSSO pasivo y activo:
o Se solicita al usuario que
inicie sesión.
En la configuración de AD, no se admiten todos los tipos de grupos. Admite grupos

gr upos de filtrado solo
de:
 Grupos de seguridad.
 Grupos universales.
 Grupos dentro de OU.
 Grupos locales o universales que contienen grupos universales de dominios secundarios
(solo con el catálogo global).

Todas las configuraciones de FortiGate incluyen un grupo de usuarios llamado SSO_Guest _User.
Cuando solo se utiliza la autenticación pasiva, todos los usuarios que no pertenecen a ningún grupo
g rupo
FSSO se incluyen automáticamente en este grupo de invitados.
Esto permite a un administrador configurar el acceso limitado a la red para usuarios invitados que
no pertenecen al dominio de Windows AD.
Sin embargo, si tanto la autenticación pasiva como la activa están habilitadas para tráfico específico,
específico,
no se puede usar SSO_ Guest User, porque el tráfico de direcciones IP que no están en la lista de
usuarios de FSSO necesitará que se le pida que ingresen sus credenciales.
Ajustes avanzados.
Citrix / Terminal Server.
 Modo de agente de Terminal Server (TS):
supervisa los inicios de sesión de los
usuarios en tiempo real.

Requiere
o
un agente
Sin cobrador.
soporte de votación de
FortiGate.
Contabilidad RADIUS.
 Notifique al firewall sobre eventos de
inicio y cierre de sesión.
Servidores de Syslog.
 Notifique al firewall sobre eventos de
inicio y cierre de sesión.
Servidor de intercambio.
Supervisar MS Exchange Server.


 Permita que los usuarios accedan a los

correos electrónicos a través de la cuenta
de dominio.
o Accediendo desde el dominio o
no.
Dependiendo de su red, es posible que deba configurar opciones avanzadas en su agente de

recopilación de FSSO.
Los servidores Citrix admiten FSSO. El modo de agente de Terminal Server (TS) permite al servidor
monitorear los inicios de sesión de los usuarios en tiempo real. El agente TS es como un agente
ag ente DC,
también necesita que el agente recolector recopile y envíe los eventos de inicio de sesión a
FortiGate. Luego usa los mismos puertos para informar los inicios de sesión al agente recolector.
r ecolector.

El agente recopilador solo puede obtener eventos de inicio de sesión precisos de los servidores
Citrix si cada usuario obtiene su propia dirección IP. De lo contrario, si varios usuarios comparten la
misma dirección IP, el agente TS es necesario para que pueda informar al agente recopilador sobre
el usuario, la dirección IP y el rango del puerto de origen asignado a ese usuario. El agente de TS no
puede reenviar registros directamente a FortiGate, primero debe recopilarlos un recopilador. Esto
no funciona con las encuestas de FortiGate.
Un servidor RADIUS configurado como un sistema de contabilidad basado en RADIUS puede

interactuar en su red enviando mensajes de contabilidad al agente recolector. El ag
agente
ente recolector
FSSO también admite la integración con servidores Syslog para el mismo
mi smo propósito
El agente recolector FSSO también puede monitorear un servidor Microsoft Exchange, lo cual es útil
cuando los usuarios acceden a su correo electrónico usando su cuenta de dominio.
Para el modo de sondeo de registros de eventos de seguridad de Windows, puede configurar los
ID De evento para sondear aquí. Para obtener ID de eventos específicos, visite la base de
conocimientos de Fortinet (http://kb.fortinet.com)
http://kb.fortinet.com).
1. Si tiene agentes recopiladores que utilizan el modo de agente de DC o el modo de sondeo basado
en el agente recopilador, ¿qué conector de estructura debe seleccionar en FortiGate?
A. Sondeo del servidor de Active Directory.
B. Agente de inicio de sesión único de Fortinet (FSSO).
2. ¿Cuál de las siguientes convenciones de nomenclatura utiliza el agente recopilador FSSO para
acceder a Windows AD en el modo de acceso
a cceso estándar?
A. Convención de Windows NetBios: Dominio \ grupos.
B. Convención LDAP: CN = Usuario, OU = Nombre, DC = Dominio.
Mensajes de registro de FSSO en FortiGate.

 Los registros de FSSO se generan a partir de eventos de autenticación, como eventos de
inicio y cierre de sesión de usuario y eventos de autenticación NTLM.
o Para registrar todos los eventos, establezca el nivel de registro mínimo en
Notificación o Información.

Los mensajes de registros relacionados con FSSO se generan a partir de eventos de autenticación.
Estos incluyen eventos de inicio y cierre de sesión de usuario y eventos de autenticación NTML.
Estos mensajes de registro son fundamentales para las políticas de contabilidad de la red y también
pueden resultar útiles para solucionar problemas.
Para asegurarse de registrar todos los eventos necesarios, establezc

establezcaa el nivel de registro mínimo en
Notificación o Información. El registro del cortafuegos requiere Notificación como nivel mínimo de
registro. Cuanto más cerca esté el nivel de registro al nivel de depuración, más información se
registrará.
Mensajes de registro en el agente

recopilador de FSSO.
Al solucionar problemas de implementaciones basadas en agentes FSSO, es posible que desee ver
los mensajes de registro generados directamente en el agente recopilador FSSO.
La sección Registro del agente recolector

r ecolector FSSO permite las siguientes configuraciones:

 Nivel de registro: seleccione el nivel de gravedad mínimo de los mensajes registrados.

Incluye estos niveles:
o Depuración: el nivel de registro más detallado Se utiliza para solucionar problemas
de forma activa.
o Información: incluye detalles sobre eventos de inicio
i nicio de sesión y comprobaciones
comprobaciones
de la estación de trabajo. Este es el nivel recomendado para la mayoría de
soluciones de problemas.
o Advertencia: el nivel predeterminado. Proporciona información sobre fallas.
o Error: este nivel enumera solo los
l os eventos más graves.
 Límite de tamaño del archivo de registro (MB) : introduzca el tamaño máximo del archivo
de registro en MB. El valor predeterminado es 10.
 Ver registro: vea todos los registros

regi stros de agentes de la FSSO.
 Registre los eventos de inicio de sesión en registros separados : registre la información

relacionada con el inicio de sesión del usuario por separado de otros registros. La
información en este registro incluye: datos recibidos de agentes de DC, información de
inicio / cierre de sesión del usuario,
usu ario, información de cambio de IP de la estación de trabajo
y datos enviados a dispositivos FortiGate. Cuando se selecciona, un resumen de los eventos
enviados y eliminados de FortiGate aparece en Ver eventos de inicio de sesión , mientras
que el resto de la información permanece en Ver registro.
 Ver eventos de inicio de sesión: si está habilitado Registrar eventos de inicio de sesión en
registros separados, podrá ver la información relacionada con el inicio de sesión del
usuario.
Consejos para la resolución de problemas de

FSSO.
1. Asegúrese de que todos los cortafuegos permitan los puertos requeridos
r equeridos por FSSO.
 Por ejemplo: puertos 139 (verificación de la estación de trabajo), 445 (verificación de
la estación de trabajo y sondeo del registro de eventos), 389 (LDAP) y 445, 636 (LDAPS).
2. Garantice un ancho de banda de al menos 64 Kbps entre FortiGate y los controladores de
2.
dominio.
 Configure la configuración del tráfico para garantizar que el ancho de banda mínimo
esté siempre disponible.
3. Configure el temporizador de tiempo de espera para eliminar las sesiones inactivas después
3.
de un tiempo más corto.
 Alternativamente, anime a los usuarios a cerrar la sesión de una máquina antes de
iniciar sesión en otra máquina.
4. Asegúrese de que DNS esté configurado y actualizando las direcciones IP si cambia la
4.
dirección IP del host.
5. Nunca configure el intervalo de verificación de la estación de trabajo del temporizador en
0.

 Esto evita que el agente recopilador caduque las entradas obsoletas. Solo pueden
eliminarse mediante un nuevo evento que los sobrescriba.
 Esto puede ser peligroso en entornos donde los usuarios de FSSO y no FSSO comparten
el mismo grupo de DHCP.
6. Incluya todos los grupos FSSO en las políticas de firewall cuando utilice autenticación
6.
pasiva.
 Incluso agregue los usuarios invitados de SSO a una política de seguridad basada en
identidad para permitir el tráfico.
 Si la autenticación activa se usa como respaldo, asegúrese de que el usuario invitado
SSO no se agregue a las políticas.
Comience con los siguientes consejos, que son útiles en muchas situaciones de resolución de
problemas de FSSO:
 FSSO tiene varios puertos obligatorios que se deben permitir a través de todos los firewalls
o las conexiones fallarán. Estos incluyen los puertos: 139 (verificación de la estación de
trabajo), 445 (verificación de la estación de trabajo y sondeo del registro de eventos), 389
(LDAP) y 445 y 636 (LDAPS).
 Configure la configuración del tráfico entre FortiGate y los controladores de dominio para
garantizar que el ancho de banda mínimo esté siempre disponible. Si no hay suficiente
ancho de banda, es posible que parte de lal a información de FSSO no llegue a FortiGate.
 En un entorno de Windows, elimine las sesiones inactivas. De lo contrario, puede hacer que
una sesión para máquinas no autenticadas salga como usuario autenticado. Esto puede
ocurrir si la concesión de DHCP expira para el usuario autenticado y el agente recolector
puede verificar que el usuario haya cerrado la sesión.
 Asegúrese de que el DNS esté configurado correctamente y actualice las direcciones IP si

cambia la dirección IP de las estaciones de trabajo.
 Nunca establezca el intervalo de verificación de la estación de trabajo en 0. Esto evita que

el agente recopilador caduque las entradas obsoletas. Solo pueden eliminarse mediante un
nuevo evento que los sobrescriba. Esto puede ser especialmente peligroso en entornos
donde los usuarios de FSSO y no FSSO comparten el mismo grupo de DHCP.
 Cuando utilice únicamente la autenticación pasiva, incluya el grupo de usuarios invitados

en una política y deles acceso. Asocie su grupo con una política de seguridad. Si la
autenticación activa se usa como respaldo, asegúrese de que SSO_Guest_User no se
agregue a las políticas. SSO_Guest_User y la autenticación activa son mutuamente
excluyentes.

Usuarios actualmente conectados.
Si la aplicación de los consejos de la diapositiva anterior no resolvió sus problemas de FSSO, es

posible que deba aplicar algunos
alg unos comandos de depuración.
Para mostrar la lista de usuarios de FSSO que están conectados actualmente, use el comando CLI
diagnose debug authd fsso list .
Para cada usuario, se muestran el nombre de usuario, el grupo de usuarios, la dirección IP y el

nombre de la estación de trabajo desde la que inició sesión. La sección MemberOf muestra el grupo
que se creó en el firewall, al que asignó el grupo ADEl mismo grupo debe mostrarse en la pantalla
del grupo de usuarios en la GUI.
Además, use execute fsso refresh para actualizar manualmente

m anualmente la información del grupo de usuarios
de cualquier servidor de servicio de directorio conectado a FortiGate, utilizando el agente
recopilador.
Conexión a FortiGate.
Verifique la conectividad entre el agente recolector y FortiGate.
# diagnose debug enable

# diagnose debug authd fsso server-status.
Server Name Connection Status Version

------------ ---------------- -----------------
TrainingDomain connected FSSO 5.0.0289

Para mostrar el estado de la
l a comunicación entre FortiGate y cada agente recolector, puede usar
el comando CLI diagnosticar debug authd server-status.
Sin embargo, antes de usar ese comando, primero debe ejecutar el comando diagnose debug enable .
Comandos adicionales.
# diagnose debug authd fsso <...>

filter Filtros usados para listar o borrar inicios de sesión
list Mostrar usuarios registrados actualment
actualmente
e
refresh-groups Actualizar el mapeo del grupo
Sumnary Resumen de usuarios conectados actualmente
clear-logons Eliminar el estado de inicio de sesión en caché
refresh-logons Volver a sincronizar la base de datos de inicio de sesión
server-status Mostrar el estado de la conexión del servidor FsSO
#diagnose firewall auth clear Borra todos los usuarios filtrados

# diagnose firewall auth filter Filtrar grupo específico, identificación, etc.
# diagnose firewall auth Lista de usuarios autenticados
Además, en el comando diagnose debug authd fsso están disponibles los comandos para borrar la la
memoria caché de FortiGate de todos los usuarios conectados actualmente, filtrar la visualización
de la lista de usuarios conectados y actualizar la información de inicio de sesión y grupo de
usuarios.
Modo de sondeo.

El comando diagnose debug fsso-polling detail muestra información de estado y algunas estadísticas
relacionadas con los sondeos realizados por FortiGate en cada DC en el sondeo sin agente.
ag ente. Si el
read log offset se incrementa, FortiGate se está conectando y leyendo los registros en el
controlador de dominio. Si el read log offset se incrementa pero no obtiene ningún evento de inicio
de sesión, verifique que el filtro de grupo sea correcto y, a menudo, compruebe que el
controlador de dominio está creando los ID de evento correctos.
El comando diagnose debug fsso-polling refresh-user descarga información sobre todos los usuarios
activos de FSSO.
En modo de sondeo sin agente. FortiGate consulta con frecuencia el visor de eventos para
obtener los eventos de inicio de sesión. Puede rastrear este tráfico en el puerto 445.
Además, hay un demonio FortiGate específico que maneja el modo de sondeo. Es el demonio
fssod. Para habilitar la depuración en tiempo real del modo de sondeo sin agente, utilice el
comando diagnose debug application fssod -1.
1. ¿Qué nivel de registro muestra los eventos de inicio de sesión en el agente recopilador?
A. Información.
B. Advertencia.
2. ¿El comando diagnosticar debug sso-polling detail muestra información para qué modo de
FSSO?
A. Sondeo sin agente.
B. Encuestas basadas en agentes
ag entes recolectores.
¿Qué es FortiGate HA?

La idea de HA es simple. HA vincula y sincroniza dos o más dispositivos.

En FortiGate HA, un dispositivo FortiGate actúa como dispositivo principal (también
(también llamado
FortiGate activo). Sincroniza su configuración con los demás dispositivos. Los otros dispositivos
FortiGate se denominan dispositivos secundarios o en espera.
¿Un enlace de latido entre los dispositivos? ¿Todos los dispositivos FortiGate están procesando
tráfico? ¿HA mejora la disponibilidad o mejora el rendimiento?
La respuesta varía, según el modo HA.
HA . Actualmente hay dos modos HA disponibles: activo-activo y
activo-pasivo. Ahora, examinará las diferencias.
Alta disponibilidad activa-pasiva.
Primero, echemos un vistazo al modo activo-pasivo. En cualquiera de los dos modos de operación
HA, la configuración de los dispositivos FortiGate secundarios se sincroniza con la configuración
del dispositivo principal.
En modo activo-pasivo, el FortiGate principal es el único dispositivo FortiGate que procesa el
tráfico de forma activa. Los dispositivos secundarios de FortiGate permanecen en modo pasivo,
monitoreando el estado del dispositivo principal.
Si se detecta un problema en el FortiGate principal, uno de los dispositivos secundarios asumirá la
función principal. Este evento se llama conmutación por error de alta disponibilidad.
Alta disponibilidad activa- activa.

El otro modo HA es activo-activo. Al igual que HA activo-pasivo, en HA activo-activo, todas las

configuraciones de FortiGate están sincronizadas. Además, si se detecta un problema en el
dispositivo principal, uno de los secundarios asumirá el papel del principal para procesar el tráfico.
Sin embargo, una de las principales diferencias en el modo activo-pasivo es que, en el modo
activo-activo, todos los dispositivos FortiGate procesan el tráfico. Una de las tareas de un
FortiGate primario en modo activo-activo es equilibrar parte del tráfico entre todos los
dispositivos secundarios.
Protocolo de agrupación de FortiGate (FGCP).

 Un clúster utiliza el protocolo de clústeres FortiGate (FGCP) para:
o Descubra otros dispositivos FortiGate que pertenecen al mismo grupo HA.
o Elija la primaria.
o Sincronice la configuración y otros datos.
o Detecta cuando un FortiGate falla.
 FGCP se ejecuta solo sobre los enlaces de latido.
Utiliza el0x8890
puerto TCP 703 con diferentes valores de tipo de Ethernet.
o
 - Modo NAT.
 0x8891 - Modo transparente.
o Utiliza el puerto TCP 23 con Ethernet tipo 0x8893 para la sincronización de la
configuración.
 Si el FortiGate principal se reinicia o se apaga, se convierte en el FortiGate secundario y

espera a que el tráfico cambie al nuevo primario antes de que se reinicie o se apague.
Entonces, ¿cómo se comunican los dispositivos FortiGate en un clúster HA?
FortiGate HA utiliza FGCP para comunicaciones relacionadas con HA. FGCP viaja entre los
dispositivos FortiGate agrupados a través de los enlaces que ha designado
desig nado como latidos.
Debe crear un enlace de latido entre dos dispositivos FortiGate utilizando un cable RJ45 o cruzado
normal. Si tiene otro dispositivo entre los dos dispositivos FortiGate, como un conmutador,
asegúrese de que esté dedicado y aislado del resto de su
s u red. De esta manera, el tráfico FGCP crítico
no necesita competir con el resto del tráfico por el ancho de banda.
El clúster en modo NAT y el clúster en modo transparente utilizan diferentes valores de tipo de
Ethernet para descubrir y verificar el estado de otros dispositivos FortiGate en un clúster operativo.
Los dispositivos FortiGate en un clúster usan sesiones Telnet a través del puerto TCP 23, con
Ethernet tipo 0x8893 sobre enlaces de latidos, para sincronizar la configuración del clúster y
conectarse a la CLI de otro FortiGate en un clúster.

Cuando reinicia o apaga manualmente el FortiGate primario, antes de que el FortiGate primario se
apague realmente, se convierte en el dispositivo secundario en un clúster HA y espera a que el
tráfico cambie al nuevo primario antes de que se apague o se reinicie.
Requisitos de HA.
 De dos a cuatro dispositivos FortiGate idénticos.
o Las mismas licencias en todos los miembros del clúster.
 Un enlace (preferiblemente dos o más) entre dispositivos FortiGate para latidos.
 Las mismas interfaces en cada FortiGate conectado al mismo dominio de transmisión.
 Se admiten las interfaces DHCP y PPPoE.
La configuración de FortiGate HA requiere una configuración y dispositivos específicos. Primero, al

menos dos, pero hasta cuatro, dispositivos FortiGate con lo mismo:
 Firmware.
 Modelo de hardware y licencia de VM.
 Licencias de FortiGuard, FortiCloud y FortiClient.
 Capacidad de disco duro y particiones.
 Modo de funcionamiento (transparente o NAT).
¿Qué pasa si uno de los dispositivos FortiGate tiene un nivel de licencia más bajo que otros
dispositivos FortiGate en el clúster? Todos los dispositivos FortiGate del clúster volverán a tener ese
nivel de licencia más bajo. Por ejemplo, si solo compra el filtrado web FortiGuard para uno de los
dispositivos FortiGate en un clúster, cuando el clúster está en funcionamiento, ninguno de los
miembros del clúster admitirá el filtrado web FortiGuard
En segundo lugar, al menos un enlace entre los l os dispositivos FortiGate para la comunicación HA La
comunicación
comunicació n HA se denomina tráfico de latidos. Para la redundancia, se pueden crear hasta ocho
interfaces de latido. Si falla un enlace, HA utilizará el siguiente, como lo indica la prioridad y la
posición en la lista de interfaces de latido.
En tercer lugar, las mismas interfaces en cada dispositivo FortiGate deben estar conectadas al
mismo conmutador o segmento LAN. Tenga en cuenta que en el ejemplo que se muestra en la
diapositiva, los dispositivos FortiGate son redundantes para mitigar la falla. Pero los interruptores
y sus enlaces siguen siendo un solo punto de falla. Como verá más adelante, también puede tener
redundancia en los conmutadores y enlaces de red. Como mejor práctica (y recomendación de
Fortinet), configure las interfaces de FortiGate con direcciones IP estáticas al formar un clúster de
alta disponibilidad. Una vez que se forma una HA, puede configurar el direccionamiento DHCP o
PPPOE para una interfaz Si una interfaz está configurada para DHCP o PPPoE, habilitar HA puede
resultar en que la interfaz reciba una dirección incorrecta o no pueda conectarse al servidor DHCP
o PPPoE correctamente.

Elección primaria de FortiGate: Inhabilitar

anulación.
 Anular deshabilitar (predeterminado).
(predeterminado).
 Forzar una conmutación por error.
o diagnose sys ha reset-uptime
 Compruebe las diferencias de tiempo de actividad de HA.
El proceso para elegir el FortiGate principal depende de una configuración de HA llamada

l lamada anulación
de HA. Esta diapositiva muestra el proceso y los criterios de selección que utiliza un clúster para
elegir el FortiGate principal cuando la configuración de anulación de HA está deshabilitada, que es
el comportamiento predeterminado. Tenga en cuenta que el proceso de selección se detiene en el
primer criterio coincidente que selecciona con éxito un FortiGate primario en un clúster.
1. El clúster primero compara la cantidad de interfaces monitoreadas cuyos estados están
1.
activos. El dispositivo FortiGate con la mayoría de las interfaces monitoreadas disponibles
se convierte en el principal.
2. El clúster compara los tiempos de actividad de alta disponibilidad de los dispositivos
2.
individuales. Si el tiempo de actividad de HA de un dispositivo es al menos cinco minutos
más que los tiempos de actividad de HA de los l os otros dispositivos FortiGate, se convierte en
el principal.
3. El FortiGate con la prioridad más alta
3. al ta configurada se convierte en el principal.
4. El clúster elige el primario comparando los números de serie.
4.
Cuando la anulación de HA está deshabilitada, el tiempo de actividad de HA tiene prioridad sobre

la configuración de prioridad. Si, por cualquier motivo, necesita cambiar qué dispositivo es el
principal actual, puede forzar manualmente un evento de conmutación por error. Cuando la
configuración de anulación está deshabilitada, la forma más sencilla de hacerlo es ejecutando el
comando CLI diagnose sys ha reset-uptime en el FortiGate principal.
Tenga en cuenta que el comando reset-uptime restablece el tiempo de actividad de HA internamente

y no afecta el tiempo de actividad del sistema que se muestra en el tablero de un FortiGate.
Además, si falla una interfaz monitoreada, o si un FortiGate en un clúster se reinicia, el tiempo de
actividad de HA para ese FortiGate se restablece a 0.
Tenga en cuenta que puede ver la diferencia de tiempo de actividad de HA entre los mi miembros
embros del
clúster. El dispositivo con 0 en la columna uptime indica el dispositivo con menor tiempo de actividad.
En este ejemplo, el dispositivo que termina con el número de serie 92 9 2 tiene un tiempo de actividad
de HA 7814/10 segundos mayor que el otro dispositivo en el clúster de HA La columna reset_cnt
indica el número de veces Se ha restablecido el tiempo de actividad de HA para ese dispositivo.
Elección primaria de FortiGate: Anulación

habilitada.
 Anulación habilitada.
config system ha
set override enable
fin
 Forzar una conmutación por error.
o Cambie la prioridad de
de HA.
Puede modificar el orden de los criterios de selección que los clústeres consideran al elegir el
FortiGate principal.
Si la configuración de anulación de HA está habilitada, la prioridad se considera antes del tiempo

de actividad de HA.
La ventaja de este método es que puede especificar qué dispositivo es el tiempo de visualización
principal preferido (siempre que esté en funcionamiento) configurándolo con el valor de prioridad
HA más alto. La desventaja es que se activa un evento de conmutación por error no solo cuando
falla el primario, sino también cuando el primario vuelve a estar disponible. Cuando un primario
vuelve a estar disponible, recupera su función principal del FortiGate secundario que lo reemplazó
temporalmente.
Tenga en cuenta que el proceso de selección se detiene en el primer criterio de coincidencia que
selecciona correctamente
correctamente un FortiGate principal
pri ncipal en un grupo.
g rupo.
Cuando la anulación está habilitada, la forma más sencilla de activar una conmutación por error es
cambiar las prioridades de HA. Por ejemplo, puede aumentar la prioridad
priori dad en uno de los secundarios
o disminuir la prioridad en el primario.
La configuración de anulación y los valores de prioridad del dispositivo no están sincronizados con
todos los miembros del clúster. Debe habilitar la invalidación y ajustar la prioridad del dispositivo
manualmente y por separado para cada miembro del clúster.

Verificación de conocimientos
1. Para formar un clúster de alta disponibilidad, todos los dispositivos FortiGate que se incluirán en
el clúster deben tener ¿cuál de los siguientes?
A. El mismo nombre de host de FortiGate.
F ortiGate.
B. El mismo firmware.
2. ¿Cuáles son los criterios predeterminados (anulación deshabilitada) para seleccionar el

dispositivo principal de alta disponibilidad en un clúster de alta disponibilidad?
A. Puertos monitoreados conectados> tiempo
tiempo de actividad de HA> prioridad> número
número de serie.
B. Prioridad> tiempo de actividad de HA> puertos monitoreados conec
conectados>
tados> número de serie.
Tareas principales de FortiGate.

 Intercambia paquetes de saludo de latido con todos los dispositivos secundarios.
 Sincroniza su tabla de enrutamiento, información DHCP y parte de su configuración con
todos los dispositivos secundarios.
 Puede sincronizar la información de algunas de las sesiones de tráfico para una
conmutación por error sin problemas.
 Solo en modo activo-activo:
o Distribuye el tráfico específico entre todos los dispositivos del clúster.
Entonces, ¿cuáles son las tareas de un FortiGate primario?
Monitorea el clúster enviando señales hello y escuchando respuestas, para identificar si otros
dispositivos FortiGate están activos y disponibles. También sincroniza su tabla de enrutamiento,
enrut amiento, la
información DHCP y parte de su configuración con los otros dispositivos.
Opcionalmente, puede configurar el FortiGate primario para sincronizar parte de la información de

la sesión de tráfico con todos los dispositivos secundarios. Esto permite una conmutación por error
más rápida y sin problemas para algunas sesiones. Algunas aplicaciones no necesitarán restablecer
sus sesiones después de una falla en un FortiGate principal. Aprenderá qué información de la sesión
se puede sincronizar más adelante en la lección.
Solo en modo activo-activo, un FortiGate primario

pri mario también distribuye tráfico específico entre todos
los dispositivos disponibles en el clúster.
Tareas secundarias de FortiGate.

 Monitorea el primario en busca de signos de falla usando hello o monitoreo de puertos.
o Si se detecta un problema con el primario, los dispositivos secundarios eligen un
nuevo primario.
 Solo en modo activo-activo:
o Procesa el tráfico distribuido por el primario.
Ahora, eche un vistazo a las tareas de los dispositivos secundarios de FortiGate.
Si el modo es activo-pasivo, los secundarios simplemente esperan, reciben datos de sincronización,

pero en realidad no procesan ningún tráfico. Si el FortiGate primario falla, los secundarios elegirán
un nuevo primario.
En el modo activo-activo, los secundarios no esperan pasivamente. Procesan todo el tráfico que les
asigna el dispositivo principal.
Direcciones IP de la interfaz de latido.

 El clúster asigna direcciones IP virtuales a interfaces de latido según el número de serie de
cada FortiGate:
o 169.254.0.1: para el número de serie más alto.
o 169.254.0.2: para el segundo número de serie más alto.
o 169.254.0.3: para el tercer número de serie más alto (y así sucesivamente).
sucesivamente).
 Los dispositivos FortiGate mantienen sus direcciones IP virtuales de latido
independientemente
independienteme nte de cualquier cambio en su función (primaria o secundaria).
o La asignación de la dirección IP cambia solo cuando un FortiGate abandona o se
une al clúster.
El clúster utiliza estas direcciones IP virtuales para:


o Distinga los miembros del clúster.

o Actualice los cambios de configuración de los miembros del clúster.
¿Qué pasa con las interfaces de latido?
No es necesario configurar interfaces de latido. El protocolo de agrupación de FortiGate negocia

automáticamente las direcciones IP de latido en función del número de serie de cada dispositivo.
La dirección IP 169.254.0.1 se asigna al dispositivo con el número de serie más alto. La dirección IP
169.254.0.2 se asigna al dispositivo con el segundo
seg undo número de serie más al
alto,
to, y así sucesivamente.
La asignación de la dirección IP no cambia cuando ocurre una conmutación por error.
Independientemente
Independientem ente de la función del dispositivo en cualquier momento (primario o secundario),
su dirección IP virtual de latido sigue siendo la misma.
Puede ocurrir un cambio en las direcciones IP de latido cuando un dispositivo FortiGate se une o
sale del clúster. En esos casos, el clúster renegocia la asignación de la dirección IP de latido, esta
vez teniendo en cuenta el número de serie de cualquier dispositivo nuevo o eliminando el número
de serie de cualquier dispositivo que salió del clúster.
El clúster HA utiliza estas direcciones IP virtuales para distinguir los miembros del clúster y actualizar
los cambios de configuración de los miembros del clúster.
Puertos de latido y puertos supervisados.

 Los puertos Heartbeat contienen información confidencial sobre la configuración del
clúster.
o Debe tener una interfaz de latido, pero se recomienda usar dos para la
redundancia.
o El puerto del conmutador FortiGate no se puede utilizar para el puerto de latido.
 Los puertos supervisados suelen ser netvworks (interfaces) que procesan tráfico de alta
prioridad.
o Evite configurar la supervisión de interfaces para todas las interfaces.
o No supervise las interfaces de latido dedicadas.
o Puede monitorear interfaces VLAN.
o Espere hasta que un clúster esté en funcionamiento y todas las interfaces estén
conectadas
conectad as antes de habilitar la supervisión de la interfaz.
Hay algunos elementos que deben tenerse en cuenta al conectar interfaces de latido y configurar
la supervisión de la interfaz.
 Los puertos Heartbeat contienen información confidencial sobre la configuración del

clúster y requieren una buena cantidad de ancho de banda para garantizar que las
configuraciones del clúster estén sincronizadas en todo momento. Debe tener al menos m enos un
puerto para el tráfico de latidos, preferiblemente dos. Como práctica recomendada,
configure un alias para las interfaces de latido. Ayuda a identificar para qué se utilizan estas
interfaces en un clúster de alta disponibilidad.
Tenga en cuenta que la comunicación de latido se puede habilitar para interfaces físicas, pero no
para sub-interfaces VLAN, interfaces IPsec VPN, interfaces redundantes, interfaces agregadas
802.3ad o puertos de conmutador FortiGate.
 Debe configurar la supervisión de la interfaz solo para aquellos puertos cuyo fallo debería
desencadenar una conmutación por error del dispositivo (por ejemplo, puertos de tráfico
de alta prioridad). No debe configurar la supervisión de puertos para los puertos de latido
dedicados.
Como práctica recomendada, espere hasta que un clúster esté en funcionamiento y todas las
interfaces estén conectadas antes de habilitar la supervisión de la
l a interfaz. Una interfaz
i nterfaz supervisada
puede desconectarse fácilmente durante la configuración inicial y provocar que se produzcan fallos
antes de que el clúster esté completamente configurado y probado.
Sincronización de configuración completa HA.

Para prepararse para una conmutación por error, un clúster de alta disponibilidad mantiene sus
configuraciones sincronizadas. Lo explorarás ahora.
FortiGate HA utiliza una combinación de sincronizaciones tanto incrementales como completas.
Cuando se agrega un nuevo FortiGate al clúster, el FortiGate primario compara su suma de

verificación de configuración con la nueva suma de verificación de configuración secundaria de
FortiGate. Si las sumas de comprobación no coinciden, el FortiGate principal carga su configuración
completa en el FortiGate secundario.
Sincronización de configuración incremental

HA.
Una vez completada la sincronización inicial, el primario enviará cualquier cambio de configuración
adicional realizado por un administrador a todos los secundarios. Por ejemplo, si crea un objeto de
dirección de firewall, el principal no reenvía
r eenvía su configuración complet
completa,
a, solo envía el nuevo objeto.
Sincronización de configuración HA.

 Las sincronizaciones incrementales también incluyen:
i ncluyen:
o Datos dinámicos como concesiones DHCP, actualizaciones de la tabla de
enrutamiento, SA IPsec, información de sesión, etc.
 Periódicamente, HA comprueba la sincronización.
o Si los valores de la suma de comprobación CRC coinciden, el clúster está
sincronizado.
o Si las sumas de comprobación no coinciden después de cinco intentos, el
secundario descargará toda la configuración del primario.
HA propaga más que solo detalles de configuración. Algunos datos en tiempo de ejecución, como
las concesiones DHCP y las tablas de enrutamiento, también se sincronizan.
De forma predeterminada,
dispositivos el clústerSiverifica
estén sincronizados. algún cada 60 segundos
secundario para asegurarse
no está de que
sincronizado, todos los
la suma de
comprobación de los dispositivos secundarios se verifica cada 15 segundos. Si las sumas de
comprobación no coinciden durante cinco comprobaciones consecutivas, se realiza una

sincronización completa.
¿Qué no está sincronizado?
Estoso valores de configuración no se sincronizan entre los miembros

mi embros del clúster:

Configuración de la interfaz de administración de HA.

Ruta predeterminada de alta disponibilidad para la interfaz de gestión

reservada.
o Interfaz de gestión de alta disponibilidad en banda.
o Anulación de HA.
o Prioridad del dispositivo HA.
o Prioridad de clúster virtual HA.
o Nombre de host de FortiGate.
o Haga ping a las prioridades de HA del servidor.
Prioridad HA (configuración de prioridad ha para un servidor de ping o

configuración de detección de puerta de enlace inactiva.

o Licencias.

o Cache. FortiGuard, activación de FortiCloud y licencias de FortiClient.

Filtro web y filtro de correo electrónico de FortiGuard, caché web, etc.

 El FortiGate principal sincroniza todos los demás ajustes de configuración y otros detalles
de configuración relacionados con los ajustes de HA.
No todos los ajustes de configuración están sincronizados. Hay algunos que no lo son, como:
 La configuración de la interfaz del sistema de la interfaz de gestión reservada HA y la ruta
predeterminada de HA para la interfaz de gestión reservada.
 Interfaz de gestión de alta disponibilidad en banda.
 Anulación de HA.
 Prioridad del dispositivo HA.
 La prioridad del clúster virtual.

El nombre de host de FortiGate.
 La configuración de prioridad de alta disponibilidad para una configuración de servidor de
ping (o detección de puerta de enlace inactiva).
 Licencias.
 Cachés.
El FortiGate principal sincroniza todos los demás ajustes de configuración, incluidas otras
configuraciones relacionadas con los ajustes de HA.
Sincronización de sesiones.
 Para la mayoría de las sesiones VPN TCP e IPsec, la tabla de sesiones se puede sincronizar.
Solo se pueden sincronizar las sesiones que no estén gestionadas por perfiles de
o
seguridad basados en proxy.
config system ha
set session-pickup enable
end
 Las sesiones UDP e ICMP también se pueden sincronizar.

config systen ha
set session-pickup enable
set session-pickup-connectionles
session-pickup-connectionless
s enable
end
 Las sesiones de multidifusión también se pueden sincronizar.

config system ha
set multicast-ttl <5 - 3600 sec>
end
 Las sesiones de SSL VPN no están sincronizadas.
La sincronización de sesiones permite una conmutación por error perfecta para parte del tráfico.
La información de algunas sesiones está sincronizada, por lo que cuando la primaria falla, la nueva
primaria puede hacerse cargo de las sesiones donde se quedaron y mantenerlas abiertas. Es posible
que el tráfico se interrumpa durante unos segundos, pero las aplicaciones de red no necesitan
volver a conectar las sesiones.
Una vez que se habilita la sincronización

sincronización de sesiones, el dispositivo sincroniza las sesiones VPN TCP
e IPsec que cumplen con un requisito: no son manejadas por perfiles de seguridad basados en
proxy. Sin embargo, las sesiones que utilizan perfiles de seguridad basados en flujo son compatibles,
pero las funciones de perfil de seguridad ya no inspeccionan las sesiones de conmutación por error.
Tenga en cuenta que, si se aplican funciones de perfil de seguridad basadas en flujo y basadas en
proxy a una sesión TCP, esa sesión no se reanudará después de una conmutación por error.
Opcionalmente, puede habilitar la sincronización de sesiones UDP e ICMP. Aunque ambos

protocolos no tienen sesión, las entradas se crean en la tabla de sesiones de FortiGate para cada
flujo de tráfico UDP e ICMP. Por lo general, esta sincronización no es necesaria, porque la mayoría
de las aplicaciones de red basadas en UDP o ICMP pueden mantener la comunicación incluso
cuando se pierde la información de su sesión.
También puede habilitar la sincronización de sesiones de multidifusión. El temporizador de tiempo

de vida de multidifusión (TTL) controla cuánto tiempo se deben mantener sincronizadas las rutas
de multidifusión en los dispositivos secundarios del clúster HA para que estén presentes en los
dispositivos secundarios cuando se convierte en el nuevo dispositivo principal después de una
conmutación por error.
No se admite la sincronización de sesiones de VPN SSL.
1. ¿Qué información se sincroniza entre dos dispositivos FortiGate que pertenecen al mismo clúster
HA?
A. Políticas y objetos de firewall.

B. Nombre de host de FortiGate.
2. ¿Cuál de los siguientes tipos de sesión se puede sincronizar en un clúster de alta disponibilidad?
A. Sesiones de VPN SSL.
B. Sesiones de VPN IPsec.
Tipos de protección contra fallas.

 Conmutación por error del dispositivo
o Si el primario deja de enviar paquetes de latidos, otro FortiGate toma su lugar
automáticamente.
 Conmutación por error de enlace.
o El clúster puede monitorear algunas interfaces para determinar si están operando
y conectadas.
o Si falla una interfaz monitoreada en el primario, el clúster elige un nuevo primario.
 Conmutación por error de sesión.
o Cuando la captura de sesión está habilitada, la primaria recién elegida reanuda la
sesión activa evitando la necesidad de reiniciar la sesión activa.
 Los registros de eventos, las capturas SNMP y el correo electrónico de alerta registran
eventos de conmutación por error.
Los tipos más comunes de conmutación por error son las de dispositivo y de enlace.
Se activa una conmutación por error del dispositivo cuando el FortiGate principal deja de enviar
tráfico de latidos. Cuando esto sucede, las secundarias renegocian una nueva primaria.
Se produce una conmutación por error de enlace cuando el estado del enlace de una interfaz
supervisada en el FortiGate principal cae. Puede configurar un clúster de alta disponibilidad para
monitorear el estado del enlace de algunas interfaces. Si se desconecta una interfaz monitoreada
en el FortiGate primario, o si el estado de su enlace se cae, se eli
elige
ge un nuevo FortiGate primario.
Si la captura de sesión está habilitada para el tipo de tráfico que desea sincronizar entre los
miembros del clúster, las sesiones se reanudan en caso de conmutación por error del dispositivo o
del enlace.
Hay varios eventos que pueden desencadenar una conmutación por error de HA, como una falla de
hardware o software en el FortiGate primario o un problema en una de las interfaces del primario.
Cuando se produce una conmutación por error, se genera un registro de eventos. Opcionalmente,
el dispositivo también puede generar una trampa SNMP y un correo electrónico de alerta.
Direcciones MAC virtuales y conmutación por

error.
En el primario, a cada interfaz se le asigna una dirección MAC virtual.
A las interfaces de latido de HA no se les asigna una dirección MAC virtual.

Tras la conmutación por error, la primaria recién elegida adopta las mismas direcciones MAC
virtuales que la primaria anterior.
Para reenviar el tráfico correctamente, una solución FortiGate HA utiliza direcciones MAC virtuales.
Cuando un primario se une a un clúster de alta disponibilidad, a cada interfaz se le asigna una
dirección MAC virtual. El ID del grupo HA se utiliza en la creación de direcciones MAC virtuales
asignadas a cada interfaz. Entonces. si tiene dos o más clústeres de alta disponibilidad en el mismo
dominio de transmisión y utiliza el mismo ID de grupo de alta disponibilidad. es posible que tenga
conflictos de direcciones MAC. Para esos casos, se recomienda encarecidamente asignar diferentes
ID de grupo HA a cada clúster.
A través de los latidos, el primario informa a todos los secundarios sobre la dirección MAC virtual
asignada. Tras la conmutación por error, un secundario adopta las mismas direcciones MAC
virtuales para las interfaces equivalentes.
El nuevo primario transmite paquetes ARP gratuitos, notificando a la red que ahora se puede
acceder a cada dirección MAC virtual a través de un puerto de conmutador diferente.
Tenga en cuenta que la dirección MAC de una interfaz de administración de alta disponibilidad
reservada no se cambia a una dirección MAC virtual. En cambio, la interfaz de administración
reservada mantiene su dirección MAC original.
Fallo de un FortiGate secundario.

 Clúster HA activo-pasivo.
o El primario actualiza la lista de dispositivos FortiGate secundarios disponibles.
 Clúster HA activo-activo.
o El primario actualiza la lista de dispositivos FortiGate secundarios disponibles y
redistribuye las sesiones para evitar dispositivos secundarios fallidos.
Como aprendió anteriormente en esta lección, si una primaria falla, se elige una nueva primaria.
Pero, ¿qué sucede si falla un dispositivo FortiGate secundario? Depende del modo HA.
En un clúster activo-pasivo. el primario solo actualiza su

s u lista de dispositivos FortiGate secundarios
disponibles. También comienza a monitorear el secundario fallado, esperando que vuelva a estar
en línea.
Sin embargo, en un clúster activo-activo, todos los secundarios están manejando el tráfico. Por lo
tanto, el primario (que rastrea y asigna sesiones a cada secundario) no solo debe actualizar su lista
de dispositivos FortiGate secundarios disponibles, sino que también debe reasignar sesiones del
FortiGate fallido a un FortiGate secundario diferente.
Carga de trabajo.
 Clúster HA activo-pasivo.
o El primario recibe y procesa todo el tráfico.
o El secundario espera pasivamente.
 Clúster HA activo-activo.
o El primario recibe todo el tráfico y redirige parte del tráfico a los dispositivos
secundarios.
Así es como se distribuye la carga de trabajo entre roles, según el modo HA. Tenga en cuenta que
la carga de trabajo del tráfico no se distribuye en modo activo-pasivo, sino en modo activo-activo.
Flujo de tráfico activo-activo (inspección

de proxy).
1. srcMACX, dstMAC puerto MAC virtual primario1,

1. primario1, puerto TCP SYN 80.
2. srcMAC puerto MAC físico primario 1
2. 1,, dstMAC puerto MAC físico secundario 1,
1 , puerto TCP
SYN 80.
3a. srcMAC puerto MAC físico secundario2,
secundario2, dstMACY, puerto TCP SYN 80.
3b. srcMAC puerto MAC físico secundario1
secundario1,, dstMAC X. TCP SYN ACK sport 80.
Veamos cómo un clúster HA en modo activo-activo distribuye el tráfico cuando el tráfico está sujeto
a la inspección del proxy.
Primero, el lado del cliente envía un paquete SYN. Siempre se reenvía al FortiGate principal
utilizando la dirección MAC virtual de la interfaz interna
i nterna como destino.

Si el primario decide que la sesión va a ser inspeccionada por un secundario, el primario reenvía el
paquete SYN al secundario que realizará las inspecciones. En este ejemplo, la dirección MAC de
origen de la trama reenviada se cambia a la dirección MAC física de la interfaz interna primaria de
FortiGate y la dirección MAC de destino es la dirección MAC física de la interfaz interna secundaria
de FortiGate.
El FortiGate secundario inicia la conexión con el servidor enviando directamente un paquete SYN
utilizando la dirección MAC física de la interfaz externa. El secundario también responde con un
SYN / ACK al cliente, para el cual la dirección MAC de origen
or igen es la dirección MAC física de la interfaz
interna secundaria de FortiGate.
primario1.. TCP ACK dport 80.

4. srcMAC X, dstMAC puerto MAC virtual primario1
5. srcMAC puerto MAC físico primario 1,
1, puerto MAC físico secundario dstMAC 1, puerto
TCP ACK 80.
A continuación, el cliente reconoce el ACK. Se reenvía de nuevo al FortiGate principal util izando la
dirección MAC virtual de la interfaz interna como destino.
El dispositivo principal reenvía el paquete al secundario que inspecciona esa sesión, utilizando la
dirección MAC física del secundario.

6. srcMAC Y, dstMAC primario-virtual MAC-port2,

MAC-port2, TCP SYN ACK sport 80.
7. srcMAC puerto MAC físico primario 2
2,, dstMAC puerto MAC físico secundario 2,
2 , TCP SYN ACK sport
80.
8. srcMAC puerto MAC físico secundario 2 2,, dstMACY, TCPACK dport 80.
Cuando el servidor responde al TCP SYN, nuevamente, el paquete se envía al primario usando la
dirección MAC virtual de la interfaz externa.
Entonces, el primario señala al secundario.
Las respuestas secundarias al servidor.
La idea no es equilibrar la carga del ancho de banda. El tráfico siempre se envía primero al primario.
El objetivo principal es compartir CPU y memoria entre múltiples dispositivos FortiGate para la
inspección del tráfico.
Flujo de tráfico activo-activo (sin

inspección de proxy).
Cuando no hay inspección de proxy, esto es, cuando el tráfico está sujeto a inspección de flujo o no
hay inspección en absoluto, el tráfico se distribuirá al FortiGate secundario solo si la configuración
de equilibrio de carga está habilitada (deshabilitada de manera predeterminada) en HA
configuración. Además, al igual que en la inspección de proxy, se observa el mismo comportamiento
básico a continuación:
1. El tráfico procedente del cliente o servidor y destinado al clúster de FortiGate siempre se
1.
envía al FortiGate principal. Las direcciones MAC de origen y destino serán el cliente /
servidor y la dirección MAC virtual principal de FortiGate, respectivamente.
2. El FortiGate primario puede, a su vez, reenviar el tráfico al secundario si la sesión debe
2.
tener un equilibrio de carga.
3. Al equilibrar la carga del tráfico al FortiGate secundario, FortiGate utilizará las direcciones
3.
MAC de origen y destino, la dirección física utilizada por las interfaces primaria y
secundaria, respectivamente (reescritura de la dirección MAC).
4. Si el tráfico se ha equilibrado en la carga del FortiGate secundario, cualquier tráfico
4.
procedente del clúster y destinado al cliente o servidor siempre se obtendrá del FortiGate
secundario. Esto significa que la dirección MAC de origen será la física de la interfaz
secundaria.
En comparación con la inspección de proxy, la diferencia es que FortiGate no responde a los

paquetes en nombre del servidor o cliente. Por ejemplo, en lugar de responder al paquete SYN
enviado por el cliente, FortiGate enviará el paquete a través del secundario al servidor. Del mismo
modo, un paquete procedente del servidor se reenviará a través del FortiGate secundario al cliente.
Agrupación virtual.
 Los clústeres virtuales son una extensión de FGCP para FortiGate con múltiples VDOM.
o El clúster HA debe constar de solo dos dispositivos
di spositivos FortiGate.
 Permite que un FortiGate sea el principal para algunos VDOM y el secundario para los otros
VDOM.
Hasta ahora, hemos hablado de la agrupación en clústeres de alta disponibilidad en la que cada
dispositivo FortiGate actúa como un dominio de seguridad completo.
Pero, si tiene un clúster de alta disponibilidad con varios VDOM, puede configurar clústeres
virtuales.
Los clústeres virtuales le permiten tener un dispositivo que actúa como principal para un VDOM y
como secundario para otro VDOM. Cada VDOM tiene un FortiGate primario y uno secundario, y
cualquier dispositivo puede actuar como primario para algunos VDOM y como secundario para los
otros VDOM al mismo tiempo. Debido a que el tráfico de diferentes VDOM puede dirigirse a
diferentes dispositivos principales de FortiGate, puede usar agrupación virtual para distribuir
manualmente su tráfico entre los dos dispositivos de clúster y permitir el mecanismo de
conmutación por error para cada VDOM entre dos dispositivos FortiGate.
Tenga en cuenta que puede configurar el agrupamiento virtual entre solo dos dispositivos FortiGate
con múltiples VDOM.

HA Malla completa.
 Reduce el número de puntos únicos de falla.
o Disponible en algunos modelos de FortiGate.
 Utiliza interfaces agregadas y redundantes para conexiones sólidas entre todos los
componentes de la red.
Al comienzo de esta lección, revisó una topología HA simple. Ahora, eche un vistazo a una topología
más sólida. Se llama HA de malla completa.
La idea es evitar cualquier punto de falla, no solo en lo

loss dispositivos FortiGate, sino también en los
conmutadores e interfaces de red.
Como puede ver en esta diapositiva. tiene dos dispositivos FortiGate para redundancia y cada
FortiGate está conectado a dos conmutadores redundantes, utilizando dos interfaces diferentes.
Un HA de malla completa es más complicado de ensamblar y administrar, pero puede proporcionar

la disponibilidad requerida por instalaciones críticas. Esta solución solo está disponible con modelos
FortiGate de gama alta porque no todos los modelos FortiGate son capaces de crear interfaces
agregadas o redundantes, que son necesarias para construir este tipo de topología.
1. Una conmutación por error de alta disponibilidad ocurre cuando el estado del enlace de una
interfaz monitoreada en el _________ baja.
A. FortiGate primario.
B. FortiGate secundario.
2. Puede configurar el agrupamiento virtual entre solo _____ dispositivos FortiGate con múltiples
VDOM en un clúster HA activo-pasivo.
A. dos.
B. cuatro.
B. cuatro.
Comprobación del estado de HA mediante la

GUI.
 Agregue el widget de estado de HA.
 Haga clic en Sistema> HA.
Si el clúster de HA se ha formado correctamente, la GUI muestra todos los dispositivos FortiGate

del clúster. Muestra el estado sincronizado, nombres de host, números de serie, roles, prioridades,
tiempo de actividad y sesiones activas de los miembros del clúster.
Puede ver el estado de HA agregando el widget de panel de estado de HA. También puede ver la
información de estado de HA haciendo clic en Sistema> HA, donde puede ver más detalles
agregando columnas como suma de comprobación, CPU y memoria, por nombrar algunas.
También puede desconectar
desconectar un miembro del clúster del clúster y editar las configuraciones de HA.
Comprobación del estado de HA mediante la

CLI.

Puede obtener más información sobre el estado de HA en la CLI. Por ejemplo, el comando diagnose
sys ha status muestra estadísticas de tráfico de latidos, así como el número de serie y la prioridad
de HA de cada dispositivo FortiGate. Este comando también muestra la dirección IP de la interfaz
de latido asignada automáticamente al dispositivo FortiGate con el número de serie más alto.
Recuerde, la asignación de la dirección IP de latido cambia solo cuando un dispositivo FortiGate
abandona el clúster o lo invoca.
Comprobación de la sincronización de la
configuración.
 Ejecute el siguiente comando en los miembros
del clúster:
#diagnose sys ha checksum

cluster Muestra la suma de
comprobación del
cluster HA.
show Muestra la suma de
comprobación HA de
lo registrado en
FortiGate.
recalculate Vuelva a calcular la
suma de
comprobación HA.
 Todos los pares deben tener las mismas

secuencias de números de suma de
comprobación.
Otra indicación del estado de un clúster de alta disponibilidad es el estado de la sincronización de

la configuración.
puede El comprobar
utilizar para árbol de comandos diagnose sys ha checksum proporciona muchas opciones que
o recalcular la suma de comprobación HA.
Para comprobar que todas las configuraciones secundarias están sincronizadas con la configuración
primaria:
 Ejecute el comando diagnose sys ha checksum cluster para ver las sumas de comprobación de
todos los miembros del clúster de cualquier FortiGate en un clúster.
 El comando diagnose sys ha checksum show muestra la suma de control del FortiGate
individual desde el cual se ejecuta este comando.
 También puede ejecutar el comando diagnose sys ha checksum recalculate desde cualquier
miembro del clúster para volver a calcular las sumas de comprobación HA.
Si un FortiGate secundario muestra exactamente la misma secuencia de números que el principal,
su configuración está bien sincronizada con el FortiGate principal del clúster. En este ejemplo, se
ejecuta el comando diagnose sys ha checksum cluster para ver las sumas de comprobación de todos
los miembros del clúster.
 global representa la suma de comprobación de la configuración global, como

administradores, configuración de registro global de perfiles de administrador y
configuración de FortiGuard, por nombrar algunos.
 root es la suma de comprobación del VDOM raíz. Si ha configurado
config urado varios VDOM, verá sumas
de comprobación de todos los VDOM configurados.
 all es la suma de comprobación de la configuración global, más las sumas de comprobación
de todos los VDOM.
Cambiar a la CLI de una secundaria.

 Con la CLI principal, puede conectarse a cualquier CLI secundaria:
#execute ha manage <cluster_id> <Admin_Username>
 Para enumerar los números de índice de cada FortiGate, use un signo de interrogación:
# execute ha manage ?
<id> por favor ingrese el índice de peer box.
<1> Unidad subsidiaria FGVMO100000xxx

FGVMO100000xxxxx.
xx.
Al solucionar un problema en un clúster HA, es útil saber que puede conectarse a la CLI de cualquier
FortiGate secundario desde la CLI del FortiGate principal. Tienes que usar el comando execute ha
manage con el índice HA secundario para ese propósito.
Para obtener la lista de dispositivos FortiGate secundarios con sus índices HA, puede agregar un
signo de interrogación al final del comando execute ha manage: execute ha manage ?.
Forzar la conmutación por error de HA para

la resolución de problemas.
 La conmutación por error de alta disponibilidad se puede forzar en un dispositivo maestro:
# execute ha failover set <cluster_id>
 El dispositivo permanece en estado de conmutación por error independientemente de la
condición
 Conmutación por error forzada en el dispositivo maestro:
#execute ha failover set 1
Caution: This command will trigger an HA f ailover.
It is intended for testing purposes.
Do you want to continue? (y/n) y
 Para ver el estado de la conmutación por error
# execute ha failover status
failover status: set
¡Debe utilizarse únicamente con fines de prueba, demostración o resolución de problemas! No lo

use en entornos en vivo. La conmutación por error de HA se puede forzar en un dispositivo maestro.
El dispositivo permanecerá en estado de conmutación por error si lo apaga manualmente. Tenga
en cuenta que este comando solo debe usarse para pruebas, resolución de problemas y
demostraciones. No lo utilice en un entorno de producción.

Para ver el estado del sistema de un dispositivo en la conmutación por error de HA forzada:
# get system ha status
HA Health Status: OK
……..
Master selected using:
<2020/04/19 10:16:54> FGVM010000064692 is selected as the master because it

has EXE_FAIL_O
EXE_FAIL_OVERVER flag set.
has the largest value of override priority.
Para detener el estado de la conmutación por error:

# execute ha failover unset 1
Para ver el estado del sistema de un dispositivo después de que la conmutación por error de HA
forzada esté deshabilitada:
# get System ha status
……..
Master selected using:
has the largest value of override priority.
has EXE_FAIL_OVER flag set .
Utilice el comando get system ha status para confirmar cómo se ha seleccionado el maestro actual.
Interfaz de gestión de alta disponibilidad

reservada.
 Disponible tanto en modo NAT como en modo transparente.
 Puede conectarse directa y por separado a cada FortiGate -CLI y GUI.
o Puede configurar hasta cuatro interfaces de administración de alta disponibilidad
dedicadas.
o
Puede configurar una dirección IP diferente para esta interfaz para cada FortiGate.
o Los cambios de configuración relacionados con la interfaz de administración de HA
no están sincronizados con los otros dispositivos FortiGate en un clúster de HA.
HA .
 La interfaz de administración de alta disponibilidad en banda es una alternativa a la función
de interfaz de administración de alta disponibilidad reservada.
o No requiere reservar una interfaz solo para el acceso de administración.
o No sincroniza la configuración de la dirección IP de administración de HA entre los
miembros del clúster.
o Configurado desde la CLI.
Si desea poder conectarse a cada dispositivo directamente, puede reservar una interfaz para la
gestión de alta disponibilidad.
disponibilidad. El clúster FGCP admite interfaces de administración de HA reservadas
tanto en modo NAT como transparente. Puede configurar hasta cuatro interfaces de administración
dedicadas. La configuración de una interfaz de administración de HA reservada no está sincronizada

entre los miembros del clúster de HA y cada dispositivo puede tener diferentes direcciones P de
administración. Cada dispositivo también puede utilizar la interfaz de gestión reservada de HA para
enviar registros y tráfico SNMP de forma independiente
i ndependiente
¿Qué sucede si no tiene una interfaz gratuita disponible para reservarla como una interfaz de
administración de alta disponibilidad dedicada? Puede configurar una dirección IP de
administración desde la CLI en cualquier interfaz que esté conectada a una red y procesando tráfico.
Esto no requiere reservar una interfaz solo para el acceso de administración y es una alternativa a
reservar una interfaz de administración de alta disponibilidad dedicada.
Actualizaciones de firmware.
 Para actualizar un clúster de alta
disponibilidad, solo necesita cargar el nuevo
firmware en el primario:
o La actualización ininterrumpida está
habilitada de forma predeterminada.
En el modo activo-activo, el equilibrio
o
de carga de tráfico se desactiva

temporalmente mientras todos los
dispositivos actualizan su firmware.
1. El clúster actualiza el firmware en todos los

1.
secundarios.
2. Se elige una nueva primaria.
2.
3. El clúster actualiza el firmware en el primario
3.
anterior.
Al igual que con un dispositivo independiente, al actualizar un clúster HA,

HA , cada dispositivo FortiGate
que se actualice debe reiniciarse. Como la actualización
actualización ininterrumpida está habilitada de manera
predeterminada, el clúster actualiza primero los dispositivos secundarios de FortiGate. Una vez que
todos los dispositivos secundarios de FortiGate están ejecutando el nuevo firmware, se elige un
nuevo primario y se actualiza el firmware del dispositivo primario original.
Si el clúster está funcionando en modo activo-activo, el equilibrio de carga de tráfico se deshabilita

temporalmente mientras todos los dispositivos actualizan su firmware.
Puede cambiar el proceso de actualización del firmware deshabilitando la actualización

ininterrumpida desde la CLI usando config system ha. Esto dará como resultado que todos los
dispositivos FortiGate en un clúster se actualicen al mismo
m ismo tiempo. Esto lleva menos tiempo, pero
interrumpe el flujo de tráfico.
1. ¿A qué FortiGate en un clúster HA está asignada la dirección IP 169.254.0.1 de la interfaz de
latido?
A. El FortiGate con el número de serie más alto.
B. El FortiGate con la máxima
máxim a prioridad.
2 ¿Cuál de las siguientes afirmaciones sobre el proceso de actualización del firmware en un clúster
de alta disponibilidad es verdadera?
A. Necesita cargar el nuevo firmware solo en el FortiGate principal para actualizar un clúster HA.
B. Los miembros del clúster no se reinician.
¿Qué es un proxy web?

 Reenvía la solicitud del cliente a un servidor web (sitio web).
o Puede almacenar en caché las respuestas.
 Dos conexiones TCP:
o
o
De cliente
De a proxy
proxy web web. web.
a servidor
Un proxy web recibe o intercepta una solicitud de un cliente a un servidor. Si está permitido y no
hay caché disponible, el proxy web reenvía la solicitud del cliente al servidor web.
Se crean dos conexiones TCP: una desde el cliente al proxy web y otra desde el proxy web al
servidor.
Proxy transparente (implícito).

 El proxy transparente intercepta las solicitudes.
o No se requieren cambios en la configuración del cliente para implementar un proxy
web.
o Solicitudes enviadas a la dirección IP del servidor, no al proxy.

Un proxy web transparente no requiere ningún cambio de configuración en la configuración del
cliente. Los clientes continúan usando la web, tal como lo harían sin un proxy web.
Los clientes envían solicitudes a la dirección IP y al número de puerto del servidor web. El proxy
web intercepta la solicitud del cliente de forma transparente; es decir, en la capa IP. La dirección
de destino no cambia.
Proxy con caché web.

 El proxy puede proporcionar almacenamiento en caché.
o El soporte varía según el modelo.
 Tras la primera solicitud, la caché mantiene una copia temporal del contenido web estático.
 la solicitud posterior de contenido sin cambios recibe una copia en caché.
 Mejora:
o Uso de ancho de banda WAN.
o Carga del servidor.
o Capacidad de respuesta percibida.
Por lo general, habilitará el proxy para almacenar en caché las respuestas de los servidores web.
Un caché web almacena respuestas de servidores web. Entonces, cuando un cliente repite una
solicitud, FortiGate puede enviar rápidamente el contenido en caché (respuesta), en lugar de
reenviar la solicitud y esperar la respuesta. Esto reduce el uso de ancho de banda WAN, la
l a carga del
servidor y el retraso.
La caché web es compatible con los modos de proxy web transparente y explícito.
¿Por qué un proxy web?

 Ventajas generales:
o Mejora la seguridad.
Capa extra de seguridad.

Puede filtrar cualquier tráfico en los puertos 80 y 443 que no sea HTTP /

HTTPS.
Para el caso de un proxy web explícito, solo la dirección IP del proxy web

debe poder navegar por Internet.

o Reduce el ancho de banda y mejora la velocidad.

Almacenamiento en caché web.
 Ventajas de la solución de proxy web FortiGate:
For tiGate:
o Las políticas de firewall pueden coincidir con el tráfico según el contenido de

cualquier campo HTTP.
o Admite la autenticación Kerberos.
Los proxies web proporcionan una capa adicional de seguridad. Pueden bloquear cualquier tráfico
en los puertos HTTP y HTTPS estándar que no sea tráfico web.
Los proxies web explícitos ofrecen otro beneficio de seguridad: los administradores no necesitan
permitir el acceso directo a Internet a los clientes. Solo el proxy web explícito requiere acceso
directo a Internet. Los administradores pueden hacer que los clientes envíen tráfico al proxy web
primero, si necesitan acceso a Internet.
La solución de proxy web FortiGate ofrece dos beneficios adicionales. Uno es que los
administradores pueden usar el contenido de los campos HTTP como criterios de coincidencia en
las políticas de firewall.
La solución de proxy web FortiGate también proporciona un beneficio adicional que no está
disponible si no utiliza un proxy web: soporte para la autenticación Kerberos. La autenticación
Kerberos proporciona un mecanismo para realizar el inicio de sesión único de Fortinet (FSSO) sin
instalar ningún agente en los dominios de Windows AD.
Configuración de navegadores web para proxy

explícito.
 Hay tres métodos de configuración:
o Configuración del navegador.
o Archivo de configuración automática de proxy (PAC).
o Protocolo de descubrimiento automático
automático de proxy web
we b (WPAD).
¿Cómo se configuran los navegadores web de los usuarios para que utilicen un proxy web explícito?
Un método es configurar el puerto y la dirección IP del proxy manualmente, utilizando la

configuración del navegador. En redes más grandes, puede usar una secuencia de comandos de
inicio de sesión de Active Directory o un perfil móvil, en lugar de configurar cada computadora
individualmente.
Alternativamente, puede configurar los navegadores para usar proxies explícitos instalando el
archivo PAC o usando WPAD.
Configuración del navegador.

 Configure los ajustes del navegador web con la dirección IP del servidor proxy (o FQDN) y
el número de puerto.
Puede configurar destinos para que sean excepciones desde el proxy web.
o Para estos destinos, el navegador no envía solicitudes al proxy web.
Cuando configura un proxy web explícito mediante la configuración del navegador web, debe
proporcionar el FQDN o la dirección IP y el número de puerto TCP del proxy. Puede especificar solo
una dirección de proxy a la vez.
Si desea eximir a direcciones IP de destino, subredes y FQDN específicos del uso del proxy, puede
agregarlos a una lista. Para esos destinos, el navegador enviará la solicitud directamente a los
servidores web.
Archivo PAC.
 Normalmente se almacena en el proxy web.
 Define cómo los navegadores eligen un proxy.
o Admite más de un proxy.
o Especifica qué tráfico se enviará a qué proxy.
 Configure cada navegador con la URL del archivo PAC.
 De forma predeterminada, FortiGate puede alojar el archivo PAC en:
o http: // <FortiGate_IP>: <Puerto> /proxy.pac
Otro método de configuración utiliza un archivo de configuración automática explícito estándar,

llamado archivo PAC, que contiene instrucciones que le indican al navegador cuándo usar un proxy
y qué proxy usar según el destino.
Este método de configuración admite el uso de varios servidores proxy web.
Para implementar el archivo PAC, primero debe instalarlo en un servidor HTTP al que puedan
acceder los clientes. (Su FortiGate puede actuar como servidor HTTP para el archivo PAC). Luego,
debe configurar todos los navegadores con la URL del archivo PAC.
Ejemplo de archivo PAC.

function FindProxyF
FindProxyForURL
orURL (url, host) {
if (shExpMatch (url, “*.example.com/*”)) {
return “DIRECT”; }
if (shExpMatch (url, “*.example.com:*/* ”)) {
return “DIRECT”; }
if (isInNet (host, “10.0.0.0 ”, “255.255.255.0”)) {
return “PROXY fastproxy.example .com:8080”;
fastproxy.example.com:8080
}
return “PROXY proxy.example.c
proxy.example.com:8080
om:8080”;
}
¿Qué contiene un archivo PAC?
Un archivo PAC es un JavaScript. Determina si la solicitud utilizará un proxy

pr oxy y cuál es la dirección de
los proxies.
En el ejemplo que se muestra:

El archivo PAC permite que cualquier conexión a example.com omita los proxies.
Las conexiones a servidores en la subred 10.0.0.0/24 usan el proxy llamado fastproxy.example.com.
Todas las demás solicitudes se realizan a través del proxy llamado proxy.example.com.
WPAD.
WAPD proporciona la URL desde donde se puede descargar el archivo PAC.


WAPD puede utilizar dos métodos de descubrimiento:


o Consulta del protocolo de configuración dinámica de host (DHCP).

Los navegadores envían una consulta DHCPINFORM al servidor DHCP para

obtener la URL.
o Consulta del sistema de nombres de dominio (DNS).
o Los navegadores resuelven el nombre wpad.<local-domain> para obtener la dirección
IP del servidor que aloja el archivo
ar chivo PAC.
Los navegadores pueden usar WPAD para identificar la URL donde se encuentra el archivo PAC.
WPAD puede utilizar dos métodos de descubrimiento: basado en DNS y basado en DHCP.
Cuando se utiliza el método DHCP, el navegador envía una solicitud DHCPINFORM al servidor DHCP.
El servidor DHCP responde con la URL del archivo PAC.
Cuando se utiliza el método DNS, el navegador consulta primero al servidor DNS para resolver el
FQDN wpad.<local-domain>. El servidor DNS responde con la dirección IP donde se encuentra el
archivo PAC. El navegador descarga el archivo PAC de la URL: http://<pac-server-ip>: 80 / wpad.dat.
http://<pac-server-ip>:
La mayoría de los navegadores prueban primero el método del servidor DHCP. Si falla, prueban el
método del servidor DNS.
1. ¿Cuál de las siguientes es una ventaja del proxy web transparente sobre el proxy web explícito?
R. Los archivos PAC se pueden usar para especificar qué proxy usar.
B. No es necesario configurar los navegadores web para

pa ra utilizar el proxy.
2. ¿Cuál de los siguientes es un método WPAD?

A. Consulta LDAP.
B. Consulta DHCP.
Cómo configurar Web Proxy.

 Configuración de proxy web explícita:
1. Habilite el proxy web explícito, indicando en qué interfaces escuchará el proxy web
1.
explícito.
2. Cree políticas de proxy para permitir, denegar o inspeccionar el tráfico.
2.
3. Configure los navegadores de cada cliente para conectarse a través del proxy.
3.
 Configuración de proxy web transparente:

1. Cree políticas de firewall regulares para que coincidan con el tráfico.
1.
2. Habilite http-policy-redirect en la política de firewall
2. fir ewall correspondiente.
3.
Los pasos para configurar el proxy web difieren según el tipo de proxy (explícito o transparente)
que esté configurando.
Para configurar un proxy web explícito, debe:

1. Habilite el proxy web explícito en el VDOM, indicando las interfaces a las que se conectarán
1.
los clientes del proxy web.
2. Cree políticas de proxy para autorizar e inspeccionar el tráfico web.
2.
3. Configure los navegadores para enviar el tráfico web al proxy web.
3.
Para configurar un proxy web transparente, debe:

1. Cree políticas de firewall regulares para que coincidan con el tráfico.
1.
2. Habilite http-policy-redirect en la política de firewall correspondiente.
2.
Habilitación del proxy web explícito.

Una vez que las configuraciones de proxy explícitas estén visibles en la GUI, puede habilitarlas y
configurarlas.
Debe agregar la interfaz

i nterfaz o interfaces que escucharán conexiones de proxy web explícitas.
Además, puede cambiar el puerto TCP donde está escuchando el proxy, editar y cargar el archivo
PAC y elegir la acción predeterminada que FortiGate toma para el tráfico que no coincide con
ninguna política de proxy.
Políticas de proxy para proxy web explícito.
Los siguientes pasos son crear políticas de proxy explícitas para especificar qué tráfico y qué
usuarios pueden usar el proxy. Las políticas para el proxy explícito se configuran en una sección de
configuración diferente de las políticas de firewall habituales.
El tráfico de proxy web que no coincide con ninguna política se acepta o deniega según el ajuste de
configuración Acción de política de firewall predeterminada (que se muestra en la imagen anterior).
En FortiOS versión 6.0, debe seleccionar el servicio para la política de proxy.
Habilitación del proxy web transparente.

El tráfico web que coincide con una política de firewall se puede redirigir de forma transparente al
proxy web con la habilitación https-policy-redirected.
Esto permite acciones y coincidencias de políticas más flexibles basadas en la información de la
Capa 7 (encabezados HTTP).

Para configurar un proxy web transparente, el tráfico web debe coincidir primero con una política
de firewall con la configuración http-policy-redirect habilitada. Esta configuración indica a FortiOS que
redirija el tráfico al proxy web transparente.
Las políticas de firewall habituales coinciden con el tráfico según la información de Capa 3 y Capa 4
únicamente. El proxy web ofrece una coincidencia de políticas más flexible y gradual, basada no
solo en la información de esas dos capas OSI, sino también en la información de la Capa 7
(encabezados HTTP).
La configuración https-policy-redirect afecta solo al tráfico web (HTTP y HTTPS). El tráfico de otros

protocolos no se redirige al proxy web y se autoriza e inspecciona según la configuración habitual
de la política de firewall.
Políticas de proxy para proxy web

transparente.
De manera similar al proxy web explícito, el siguiente paso es crear políticas de proxy para
especificar cuándo el proxy transparente debe aceptar e inspeccionar el tráfico.
Habilitación de la caché web.

config firewall proxy-policy
edit <proxy_po
<proxy_policy_number>
licy_number>
set webcache Enable
next
end
La caché web está disponible tanto en proxy web explícito como transparente. Puede habilitarse o
deshabilitarse por política de proxy a través de la CLI.
Direcciones proxy.

Solo para políticas de proxy (explícitas o transparentes).
 Coincidencia granular sobre encabezado HTTP.
De manera similar a la creación de políticas de firewall, al crear políticas de proxy, utiliza objetos de
direcciones de firewall para especificar el origen y el destino. Hay una categoría de objeto de
dirección que se usa solo para políticas de proxy: dirección de proxy.
p roxy.
La dirección proxy ofrece más granularidad

g ranularidad al hacer coincidir el tráfico HTTP. Pueden hacer coincidir
el tráfico HTTP en función del contenido de cualquier campo HTTP.
Por ejemplo, los encabezados HTTP incluyen un campo llamado Host, que generalmente contiene
el FQDN del servidor web. Con las direcciones proxy, puede crear políticas que coincidan con el
tráfico en función de este FQDN de destino, independientemente de la dirección IP de destino.
Otro ejemplo es la coincidencia por patrón de URL. Las direcciones proxy pueden hacer coincidir
coincidir el
tráfico con las URL que coinciden con una expresión regular, independientemente de la dirección
IP de destino.
Tipos de direcciones de proxy.

 Dirección de destino:
o Patrón de URL.
o Coincidencia de expresiones regulares del anfitrión.
o Categoría de URL.
Avanzado (destino): combina el patrón de URL y la categoría de URL.
o
 Dirección de la fuente:
o Método HTTP.
o Agente de usuario.
o Encabezado HTTP: especifique el nombre del encabezado y el valor coincidente.
o Avanzado (fuente): combina los tres anteriores.
Hay dos grupos de tipos de direcciones proxy. Un grupo es para los tipos de direcciones que se
utilizan como destinos en las políticas de proxy. Pueden coincidir con patrones de URL, categorías
de URL y nombres de host HTTP.
El otro grupo es para los tipos de direcciones que se utilizan como fuente en las políticas de proxy.
Pueden coincidir con métodos HTTP, agentes de usuario y otros campos de encabezados HTTP.
Ejemplo: dirección de proxy.

 Denegar cargas HTTP al sitio web de Fortinet.
En el ejemplo que se muestra en esta imagen, el administrador creó una política de proxy
transparente para bloquear cualquier intento de la subred LOCAL _SUBNET para cargar archivos
archivos en
el sitio web de Fortinet. El administrador creó dos
d os direcciones proxy para este propósito:
La dirección POST_From_Students coincide con cualquier solicitud HTTP POST procedente de la

subred LOCAL_SUBNET .
La dirección de Fortinet coincide con cualquier conexión web con un nombre de host que contiene
la cadena de texto fortinet.com.
1. ¿Cuál de las siguientes opciones se requiere para redirigir el tráfico de usuarios al proxy web
transparente?
A. El tráfico debe coincidir con una política de firewall con un perfil de opción de proxy con la
configuración http policy redirect habilitada.
B. El tráfico debe coincidir con una política de firewall con la acción configurada como Proxy.
2. ¿Cuál de los siguientes objetos de configuración se puede utilizar para filtrar el tráfico del
de l proxy
web, según la información del encabezado HTTP?
A. Direcciones FQDN.
B. Direcciones de proxy.
Autenticación de proxy web.

 El proxy web separa la autenticación de usuario de la autorización de usuario:
o Se utilizan esquemas y reglas de autorización para identificar
i dentificar al usuario.
o Luego, la autorización se aplica dentro de las políticas de proxy.
 Un esquema define qué método de autenticación y base de datos de usuarios utilizar.u tilizar.
 Las reglas de autenticación definen qué esquema utilizar para la autenticación activa y
pasiva (SSO), según la dirección IP y el protocolo del usuario (HTTP, FTP, SOCKS o SSH).
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación del
usuario se aplica mediante el uso de esquemas y reglas de autenticación, mientras que la
autorización del usuario se aplica en las políticas de proxy.
Los esquemas de autorización definen conjuntos de métodos de autenticación (formulario, NTLM,

disgest, etc.) y bases de datos de usuarios (LDAP, local, RADIUS, FSSO, etc.).
Las reglas de autenticación se utilizan para especificar los esquemas (los métodos de autenticación
y las bases de datos) que se utilizarán en función de la dirección IP y el protocolo del usuario. Se
pueden configurar hasta dos esquemas de autenticación en cada regla: uno para la autenticación
activa y otro para la autenticación pasiva.
Esquemas de autenticación.
Un esquema de autenticación especifica un método y una base de datos que se utilizarán en una o
más reglas de autenticación.
Los métodos disponibles son básico, resumen, NTLM, formulario, FSSO y RSSO. Si el método está
configurado como negociar, FortiGate negocia el método con el cliente web.
Las bases de datos disponibles son locales, LDAP, RADIUS, FSSO, RSSO y TACACS +.
No todas laslabases
seleccionar dedatos
base de datoslocal
están disponibles
si el método separa todos los métodos.
ha establecido en FSSO. Por ejemplo, no puede
El proxy web admite la autenticación de dos factores, que se puede habilitar en los esquemas de
autenticación.
Reglas de autenticación.
Una regla de autenticación define qué esquema se usa para la l a autenticación activa y qué esquema
se usa para la autenticación pasiva (SSO). Las reglas de autenticación coinciden de arriba a abajo
(como en el caso de las políticas de firewall). El proxy web utiliza la dirección IP y el protocolo de
origen para hacer coincidir el tráfico y saber qué esquema utilizar.
Los protocolos, entre FortiGate y el navegador, admitidos para la autenticación son HTTP, FTP,
SOCKS5 y SSH.
Las reglas también definen si la autenticación se basará en la dirección IP o en la sesión. Las
diferencias entre ambos se describen en esta lección.
Configuración de autenticación.
 Configure los esquemas activos y SSO para el tráfico que requiere autorización, pero que
no coincide con ninguna regla de autenticación:

¿Qué sucede con el tráfico que requiere autorización, pero no coincide con ninguna regla de
autenticación?
Los esquemas activos y pasivos (SSO) que se utilizarán en esos casos se definen en config authentication
setting.
Autenticación basada en IP y basada en

sesión.
 Basado en IP.
o Las sesiones IP de la misma dirección IP de origen se tratan como un solo usuario.
o No se recomienda si hay varios usuarios detrás de NAT de origen.
Uso compartido de acceso a Internet, Citrix, servidores de terminales, etc.

 Basado en sesiones.
o Las sesiones HTTP se tratan como un solo usuario.
o Puede diferenciar varios clientes detrás de la misma dirección IP de origen.
o Después de la autenticación, el navegador almacena la información del usuario en
o
una cookie
Cada de sesión.
solicitud posterior contiene la cookie de sesión.
o Requiere más recursos.
La autenticación de proxy web puede basarse en la dir

dirección
ección IP de origen o en la sesión HTTP.
Con la autenticación basada en IP, todas las sesiones de tráfico de la misma dirección IP de origen
se tratan como un solo usuario. Con la autenticación basada en sesión, cada sesión puede tratarse
como si procediera de diferentes usuarios.
¿Cómo debe decidir cuál usar?

La autenticación basada en IP requiere menos RAM para recordar las sesiones autenticadas. Sin
embargo, solo debe usarse cuando cada usuario tiene una dirección IP diferente (y no hay un
dispositivo NAT entre el usuario y FortiGate).
Si tiene varios usuarios que comparten la misma dirección IP, como en el caso de los usuarios detrás
de NAT, utilice la autenticación basada en sesión HTTP. En este modo, cada navegador inserta una
cookie HTTP en su solicitud. La cookie identifica al usuario. Este método requiere un poco más de
RAM porque FortiGate debe recordar todas las cookies de sesión.
Autenticación basada en sesión.

¿Cómo fluye el tráfico cuando un usuario se autentica con el proxy web, utilizando la autenticación
basada en sesión HTTP?
Si un usuario se conecta y la solicitud no tiene ninguna sesión de autenticación asociada, Fo

FortiGate
rtiGate
responde al navegador, solicitando credenciales de inicio de sesión. El navegador solicita al usuario
que se autentique y recuerda el estado autenticado almacenando una cookie.

Si el mismo usuario realiza más solicitudes más tarde, el navegador envía automáticamente la
misma cookie nuevamente. FortiGate identifica al usuario mediante esta cookie de sesión. El
usuario no necesita autenticarse para cada solicitud, solo la primera vez.
Autorización de proxy web.

 Asigne los grupos de usuarios al origen de las políticas de proxy.
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación de
usuario se aplica en el campo de origen de las políticas de proxy al indicar qué usuarios (o grupos
de usuarios) pueden acceder a qué recursos de la red.
Seguimiento de los usuarios proxy.

Desde la GUI:

Una vez que el proxy web está funcionando, puede monitorear qué usuarios están conectados a él.
Puede hacer esto desde la GUI.
Supervisión de los usuarios proxy: CLI

Desde la CLI:
También puede monitorear a los usuarios conectados desde la CLI usando el comando: diagnose wad
user list.
1. ¿Qué se incluye en la configuración de un esquema de autenticación?
A. Método de autenticación.
B. Dirección IP de origen.
2. ¿Cuál de las siguientes es una ventaja de la autenticación basada en IP sobre la basada en sesión?
A. Admite varios usuarios que comparten la misma dirección IP.
B. Requiere menos memoria.
Antes de que ocurra un problema.

 Sepa lo que es normal (línea de base):
o Uso de CPU.
o Uso de memoria.
o Volumen de tráfico.
o Direcciones de tráfico.
o Protocolos y números de puerto.
o Patrón y distribución del tráfico.
 ¿Por qué?
o El comportamiento anormal es difícil de identificar, a menos que sepa,
relativamente, qué es normal.
Para poder definir cualquier problema, primero debes conocer cuál es el comportamiento normal
de tu red.
En el gráfico que se muestra en esta diapositiva, el rango que indica normal se muestra en azul.
¿Qué es exactamente esta línea azul? Indica los promedios, nuestra línea de base. ¿Qué es la línea
negra gruesa?
del rango Es el
normal, comportamiento
está actual. anormal.
ocurriendo un evento Cuando el comportamiento actual (línea negra) sale
Lo normal se mide y define de muchas formas. Puede ser el rendimiento: la utilización esperada de
la CPU y la memoria, el ancho de banda y los volúmenes de tráfico. Pero también puede ser la
topología de su red: qué dispositivos están conectados
conectados normalmente en cada nodo. También es el
comportamiento: las direcciones de los flujos de tráfico, los protocolos que se bloquean o
apoderan, y la distribución de los protocolos y las aplicaciones que se utilizan durante momentos
específicos del día, la semana o el año.
Diagramas de red.
 ¿Por qué?
o
Explicar o analizar redes complejas
es difícil y requiere mucho tiempo
sin ellas.
 Diagramas físicos:
o Incluya cables, puertos y
dispositivos de red físicos.
o Muestre relaciones en la Capa 1 y
la Capa 2.
 Diagramas lógicos:
o Incluya subredes, enrutadores,
dispositivos lógicos.
o Muestre las relaciones en la Capa
3.
¿Cuál es la primera forma de definir lo que es normal para su red?
Los flujos y otras especificaciones de comportamiento normal se derivan de la topología. Por lo

tanto, durante la resolución de problemas, un diagrama de red es esencial. Si crea un ticket con el
soporte técnico de Fortinet, lo primero que debe adjuntar debe ser un diagrama
diag rama de red.
Los diagramas de red a veces combinan los dos tipos de diagramas:

 Físico.
 Lógico.
Un diagrama físico muestra cómo los cables, puertos y dispositivos están conectados entre LAN
virtuales, subredes IP y enrutadores. También puede mostrar protocolos de aplicación como HTTP
o DHCP.
Supervisión de los flujos de tráfico y el

uso de recursos.
 Obtener datos normales ante problemas o quejas
Herramientas:

o Security Fabric.
o Tablero
o SNMP
o Correo electrónico de alerta
o Registro / Syslog / FortiAnalyzer
o Tablero
o Comandos de depuración CLI.
Otra forma de definir lo normal es conocer el rango de rendimiento promedio. De forma continua,
recopile datos que muestren el uso normal.
Por ejemplo, si el procesamiento del tráfico es repentinamente lento y el uso de la CPU de FortiGate
F ortiGate
es del 75%, ¿qué indica eso? Si el uso de la CPU suele ser del 60-69%, entonces el 75%
probablemente siga siendo normal. Pero si lo normal es del 12 al 15%, puede haber un problema.
Obtenga datos sobre el máximo y el mínimo típicos para la hora y la fecha. Es decir, en un día laboral
o feriado, ¿cuántos bits por segundo deben ingresar o salir de cada interfaz en sus diagramas de
red?
Información del sistema.

¿Cómo podemos obtener información sobre el estado actual? Primero,P rimero, veamos los comandos de la
CLI: puede usarlos a través de una consola local, incluso si los problemas de red ha
hacen
cen que el acceso
a la GUI sea lento o imposible.
Algunos comandos proporcionan estados del sistema. El comando get system status proporciona
principalmente
 Modelo.información de propósito general. La salida muestra:
 Número de serie.
 Versión de firmware.
 Nombre de host.
 Estado de la licencia de FortiGuard.
 Hora del sistema.
 Versión de las bases de datos de reputación de IP, IPS y antivirus FortiGuard, y otras.
En la capa física, la
l a resolución de problemas analiza qué puertos están conectados, la capacidad de
los medios y la velocidad negociada y el modo dúplex.
En la capa
debido de enlace
a errores de odatos,
de CRC los diagnósticos a menudo analizan cuántas tramas se descartan
colisiones.
La salida puede variar según el modelo y la versión del controlador NIC. En todos los casos, la salida
muestra la dirección MAC física, el estado administrativo y el estado del enlace.
Tabla ARP.

Si sospecha que hay un conflicto de dirección IP o que se ha asignado una IP al dispositivo

incorrecto, es posible que deba consultar la tabla ARP. El comando get system arp se utiliza para ese
propósito. Muestra la interfaz FortiGate, la dirección IP y la dirección MAC asociada. Este comando
enumera la información de todos los dispositivos externos conectados a los mismos segmentos de
LAN donde FortiGate está conectado. No se incluyen las direcciones
direcciones IP y MAC propias de FortiGate.
Solución de problemas de la capa de red.

# execute ping-options
adaptive-ping ping adaptable <habilitar | desactivar>.
data-size Valor entero para especificar el tamaño del datagrama en bytes.
df-bit Establece el bit DF en el encabezado Ip <sí | no>
interface Auto | <interfaz de salida>.
interval Valor entero para especificar segundos entre dos pings.
Pattern Formato hexadecimal del patrón, p. ej. 00ffaabb.
repeat-count Valor entero para especificar cuántas veces se repetirá PING.
...
# execute ping [<ipv4_address> | <host_fqdn>]
# execute traceroute [<ipv4_address

[<ipv4_address>
> | <host_fqdn>]
Digamos que FortiGate puede contactar con algún host a través del puerto 1, pero no con otros. ¿El
problema está en la capa física o en la capa de enlace? Ninguno. Se ha demostrado la conectividad
con al menos parte de la red. En su lugar, debe verificar la capa de red. Para probar esto, como de
costumbre, comience con ping y traceroute.
Existen los mismos comandos para IPV6: execute ping se convierte en execute ping6, por ejemplo.
Recuerde: la ubicación importa. Las pruebas serán precisas solo si usa la misma ruta que el tráfico
que está solucionando. Para probar desde FortiGate (a FortiAnalyzer o FortiGuard, por ejemplo),
use los comandos CLI de FortiGate execute ping y execute traceroute. Pero, para probar la ruta a través
de FortiGate, también use ping y tracert o traceroute desde el punto final, desde la computadora con
Windows, Linux o Mac OS X, no solo desde la CLI de FortiGate.
Debido a la NAT y al enrutamiento, es posible que deba especificar una dirección IP de origen de
ping diferente; la dirección predeterminada es la IP de la interfaz saliente. Si no hay respuesta,
verifique que el destino esté configurado para responder a la solicitud de eco ICMP.
1. ¿Qué comando de la CLI se puede usar para determinar la
l a dirección MAC de una puerta de enlace
predeterminada de FortiGate?
A. get system arp.
B. get hardware nic.
2. ¿Qué comando de la CLI se puede utilizar
util izar para diagnosticar un problema de capa física?
A. execute traceroute.
B. get hardware nic.
Flujo de depuración.
 Muestra lo que está haciendo la CPU, paso a paso, con los paquetes.
o Si se descarta un paquete, muestra el motivo.

Comando de varios pasos.
1. Defina un filtro: diagnose debug flow filter <filter>.
1.
2. Habilitar salida de depuración: diagnose debug enable.
2.
3. Inicie el seguimiento: diagnose debug flow trace start <number_of_packets>.
3. <number_of_packets>.
4. Detener el seguimiento: diagnose debug flow trace stop .
4.
Si FortiGate está descartando paquetes, ¿se puede usar una captura de paquetes (rastreador) para
identificar el motivo? Para encontrar la causa, debe usar el flujo de depuración (paquete).
El flujo de depuración muestra, paso a paso, cómo la CPU maneja cada paquete.
1. Para usar el flujo de depuración, siga estos pasos:
1.
2. Defina un filtro.
2.
3. Habilite la salida de depuración.
3.
4. Inicie el rastreo.
5. Deténgase cuando haya terminado.
5.
Ejemplo de flujo de depuración: SYN
Esta imagen muestra un ejemplo de una salida de flujo de depuración que captura el primer
paquete de un protocolo de enlace de tres vías TCP, el paquete SYN. Muestra:
 El paquete que llega a FortiGate, indica las direcciones IP de origen

orig en y destino, números de
puerto e interfaz de entrada.
 El FortiGate creando una sesión, indicando el ID de la sesión.
s esión.
La ruta al destino, indicando
i ndicando el ID de sesión.

 El ID de la política coincide y permite este tráfico.

 Cómo se aplica la fuente NAT.
Ejemplo de flujo de depuración: SYN/ACK
Esta imagen muestra la salida del paquete SYN / ACK. Muestra:
 La llegada del paquete, que indica nuevamente las direcciones IP de origen y destino, los
números de puerto y la interfaz de entrada.
 El ID de la sesión existente para este tráfico. Este número coincide con el ID de la sesión
creada durante el paquete SYN.
 Cómo se aplica la NAT de destino.
 La ruta al destino, indicando nuevamente la dirección
dirección IP del siguiente salto y la interfaz de
salida.
Si FortiGate descarta el paquete, esta depuración muestra el motivo de esa acción.
Esta herramienta es útil para muchos otros casos de resolución de problemas, incluso cuando
necesita comprender por qué un paquete está tomando una ruta específica o por qué se está
aplicando una dirección IP NAT específica.
1. ¿Qué información se muestra en la salida de un flujo de depuración?
A. Interfaz entrante y política de firewall correspondiente.
B. Perfil de seguridad y registro de tráfico coincidentes.
2. ¿Cuándo se asigna una nueva sesión de TCP?

A. Cuando se permite un paquete SYN.
B. Cuando se permite un paquete SYN / ACK.

Lentitud.
 Alto uso de CPU.
 Alto uso de memoria.
 ¿Cuál fue la última función que habilitó?

o Habilite uno a la vez.
 ¿Qué tan alto es el uso de la CPU? ¿Por qué?

o # get system performance status.
o # diagnose sys top 1.
No todos los problemas son fallas de conectividad de la red. A veces, hay problemas de recursos en
los dispositivos.
¿Qué más podría causar latencia? Una vez

v ez que haya eliminado los problemas con los medios físicos
y el uso de ancho de banda, debe verificar el uso de recursos de FortiGate: CPU y memoria.
Si el uso es elevado, existen herramientas que pueden identificar qué función consume más CPU.
Además, puede solucionar problemas más rápido si sabe con precisión qué cambio (si corresponde)
corresponde al momento en que comenzó el problema.
Uso de CPU y memoria.
Empiece por mirar el comando get system performance status .
En la parte superior del ejemplo de esta imagen, el resultado muestra que este modelo de FortiGate
tiene una CPU: CPU0. A esto le sigue el uso de RAM.
En la parte inferior del ejemplo de esta imagen, la salida muestra el tráfico de red.

Resolución de problemas de memoria y CPU

elevados.
A continuación, examinemos la salida para diagnose sys top. Enumera los procesos que utilizan más
CPU o memoria. Algunos procesos comunes incluyen:
ipsengine, scanunitd
reportd.
y otros procesos de inspección.
fgfmd para conexiones FortiGuard y FortiManager.
forticron para la programación.
Procesos de gestión (newcli, miglogd, cmdb, sshd y httpsd).
Para ordenar la lista por mayor uso de CPU, presione Mayús + P. Para ordenar por mayor uso de
RAM, presione Shift + M.
Modo de conservación de memoria.

 FortiOS se protege a sí mismo cuando el uso de memoria es alto.
o
Evita el uso de tanta memoria que FortiGate deja de responder.
 Tres umbrales configurables:
Límite Definición Por defecto (% de RAM

total)
Verde Umbral en el que FortiGate sale del modo de 82%
conservación.
Rojo Umbral en el que FortiGate entra en modo de 88%
conservación.
Extremo Umbral en el que se eliminan las nuevas sesiones. 95%

config system global

set memory-use-threshold-red
memory-use-threshold-red <percentage>
set memory-use-threshold-extreme
memory-use-threshold-extreme <percentage>
set memory-use-threshold-green
memory-use-threshold-green <percentage>
end
Si el uso de la memoria es demasiado alto, FortiGate puede entrar en el modo de conservación de

memoria. Mientras FortiGate está en modo de conservación de memoria, toma algunas acciones
para evitar que aumente el uso de la memoria, lo que podría hacer que el sistema se vuelva
inestable e inaccesible.
inaccesible.
El modo de conservación de memoria nunca es un estado deseable, ya que afecta el tráfico de

usuarios.
Tres umbrales configurables diferentes definen cuándo FortiGate entra y existe en modo de
conservación. Si el tamaño de la memoria supera el porcentaje de RAM total definido como el
umbral rojo, FortiGate ingresa al modo de conservación. Las acciones que realiza el dispositivo
dependen de la configuración del dispositivo.

Si el uso de la memoria sigue aumentando, es posible que supere el umbral extremo. Si bien el uso
de memoria está por encima de este umbral más alto, se descartan todas las sesiones nuevas.
El tercer ajuste de configuración es el control verde. si el uso de memoria cae por debajo de este
umbral, FortiGate sale del modo de conservación.
¿Qué sucede durante el modo de conservación?

 La configuración del sistema no se puede cambiar
 FortiGate omite las acciones de cuarentena (incluido el análisis de FortiSandbox)
 Para paquetes que requieren inspección por parte del motor IPS:
config ips global
set fail-open [enable | disable]
end
 enable: los paquetes pasan sin ninguna inspección del motor IPS.
 disable: los paquetes se descartan.
¿Qué acciones toma FortiGate para preservar la memoria

mem oria mientras está en modo de conservación?
FortiGate no acepta cambios de configuración, ya que podrían aumentar el uso de memoria.
FortiGate no ejecuta ninguna acción de cuarentena, incluido el reenvío de archivos sospechosos a

FortiSandbox.
La configuración
modo de fail-open
de conservación. Si la en
config ips global controla cómo se comporta el motor IPS durante el
configuración está habilitada, los paquetes se permiten sin ninguna
inspección del motor IPS. Si la configuración está deshabilitada, los paquetes que requieren
inspección del motor IPS se descartan. Recuerde que el motor IPS se utiliza para todo tipo de
inspecciones basadas en flujo. El motor IPS

IP S también se utiliza cuando FortiGate debe identificar la
aplicación de red, independientemente del puerto TCP / UDP de destino (por ejemplo, para el
control de la aplicación).
Para el tráficoelque
ha superado requiere
umbral una inspección basada en proxy (y si el uso de memoria
extremo): m emoria aún no
set av-failopen [off | pass | one-shot]
end
o off: no se pasan todas las
sesiones nuevas con el análisis de contenido habilitado.
o pass (predeterminado): todas las sesiones nuevas pasan sin inspección.
o one-shot: Similar a pa3a en que el tráfico no se inspecciona. Sin embargo, seguirá
pasando por alto el proxy AV incluso después de salir del modo de conservación.
Los administradores deben cambiar esta configuración o reiniciar la unidad para
reiniciar el escaneo AV.
 La configuración av-failopen también se aplica a la inspección
inspección antivirus basada en flujo
 Si el uso de memoria supera el umbral extremo, se bloquean todas las sesiones nuevas que
requieren inspección (basadas en flujo o basadas en proxy).
La configuración av-failopen define la acción que se aplica a cualquier tráfico inspeccionado basado

en proxy, mientras la unidad está en modo de conservación (y siempre que el uso de memoria no
exceda el umbral extremo). Esta configuración también se aplica a la inspecc
i nspección
ión AV basada en flujo.
Se pueden configurar cuatro acciones diferentes:
off: no se pasan todas las sesiones nuevas con el análisis de contenido habilitado.
pass (predeterminado): todas las sesiones nuevas pasan sin inspección.
one-shot: Similar a pass en el que el tráfico pasa sin inspección. Sin embargo, seguirá omitiendo el
proxy AV incluso después de que salga del modo de conservación. Los administradores deben
cambiar esta configuración o reiniciar la unidad para reiniciar el escaneo AV.
AV .
Sin embargo, si el uso de la memoria excede el umbral extremo, las nuevas sesiones siempre se
descartan, independientemente
independientemente de la configuración de FortiGate.
Diagnóstico del modo de off = Sin modo de conservación

on = modo de conservación
conservación de memoria del

sistema.
# diagnose hardware sysinfo conserve
memory conserve mode: on
total RAM: 3040 MB
memory used: 2706 MB 89% of total RAM
memory freeable: 334 MB 11% of total RAM
memory used + freeable threshold extreme: 2887 MB 95% of total RAM
memory used threshold red: 2675 MB 88% of total RAM
memory used threshold green: 2492 MB 82% of total RAM
El comando diagnose hardware sysinfo conserve se utiliza para identificar si un dispositivo FortiGate se
encuentra actualmente en modo de conservación de memoria.
Configuración de sesión Fail-Open.


Especifica la acción si un proxy (para inspección basada en proxy) se queda sin conexiones.

set av-failopen-session [enable | disable]
 enable = Usar comportamiento de la configuración av-failopen.

 disable (predeterminado) Bloquear todas las sesiones nuevas que requieran inspección
basada en proxy.
Otro estado indeseable para FortiGate es el modo de sesión de apertura fallida. Este modo se activa
no durante una situación de memoria alta, sino cuando un proxy en FortiGate se queda sin sockets
disponibles para procesar más tráfico inspeccionado basado en proxy.
Si av-failopen-session está habilitado. FortiGate actuará de acuerdo con la configuración av-failopen.

De lo contrario, de forma predeterminada, bloqueará las nuevas sesiones que requieran una
inspección basada en proxy hasta que haya nuevos sockets disponibles.
1. ¿Qué acciones toma FortiGate durante el modo de conservación de memoria?
A. No se permiten cambios de configuración.
B. Se niega el acceso administrativo.
2. ¿Qué umbral se usa para determinar cuándo FortiGate ingresa al modo de conservación?
A. Verde.
B. Rojo.
Acceso al menú del BIOS.

Versión de BIOS. Las opciones del
FGT60D (18:34-03.04.2019) menú del BIOS dependen de la
versión.
Ver:04000005
Serial number:FG60D
number:FG60DXXXXXXXX
XXXXXXXX
RAM activation
Total RAM: 512MB
Enabling cache. . .Done.
Scanning PCI bus. . .Done.
Allocating PCI resources. . .Done.
Enabling PCI resources. . .Done.
Presione cualquier tecla en este
Zeroing IRQ settings. . .Done.
Verifying PIRQ tables. . .Done. mensaje para ingresar al menú
del BIOS.
Enabling Interrupts. . .Done.
Boot p, boot device capacitv: 122MB.
Press any key to display configuration menu. . .
. . . . . .
Reading boot image 1375833 bytes.

Initializing firewall. . .
System is started.
Desde FortiGate BIOS, los administradores pueden ejecutar algunas operaciones sobre la memoria
flash y las imágenes de firmware o acceder al menú del BIOS, debe reiniciar el dispositivo mientras
está conectado al puerto de la consola. El proceso de arranque, en un momento, muestra el
siguiente mensaje:
Press any key to display configuration menu
Mientras se muestra este mensaje. presione cualquier tecla para interrumpir el proceso de
arranque y mostrar el menú BIOS.
Formatear la memoria flash.

[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[I]: Configuration and information. Recomendado para una instalación
[Q]: Quit menu and continue to boot with default firmware.
limpia y posiblemente problemas
[H]: Display this list of options.
relacionado con el firmware dañado.
Enter Selection [G]:
Enter G,F,B,I,Q, or H:
All data will be erased, continue: [Y/N

[Y/N]?]?
Formatting boot device. . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Format boot device completed.
PRECAUCIÓN: El formateo de la memoria flash elimina el firmware, la

configuración y los certificados digitales.
En el menú del BIOS, seleccione F para formatear la memoria

m emoria flash.
Es posible que sea necesario hacer esto si el firmware se corrompe o si el administrador desea
realizar una instalación limpia del nuevo firmware. Sin embargo, tenga en cuenta que al formatear
la memoria flash se elimina cualquier información almacenada en ella, como imágenes de firmware,
configuración y certificados digitales.

Instalación de firmware desde la consola.

Asegúrese de que haya una aplicación de servidor TFTP instalada en su PC
Configure el directorio del servidor TFTP y copie el firmware de FortiGate

[image.out]
Conecte la NIC de su PC a la interfaz de instalación FortiGate TFTP
Seleccione get firmware image en el menú BlOS
Después de reformatear la memoria flash, deberá instalar la imagen del firmware desde el BIOS.
Sigue estos pasos:
1. Ejecute un servidor TFTP.
1.
2. Configure el servidor TFTP con la carpeta donde se almacena el archivo de imagen del
firmware.
3. Conecte el puerto Ethernet de la PC a la interfaz de instalación FortiGate TFTP.
3.
4. Seleccione obtener
4. obtener imagen de firmware
fir mware en el menú del BIOS.
La interfaz asignada como interfaz de instalación TFTP depende del modelo. Sin embargo, y en la
mayoría de los casos, es el puerto 1 o la interfaz interna.
Transferencia de firmware de BIOS.

Please connect TFTP server to Ethernet port "3".
Enter TFTP server address [192.168.1.168]: 192.168.1.110

192.168.1.110
Enter local address [ 192.168.1.188]:
Enter firmware image file name [image.out]:
MAC: 00090FC371BE
PRECAUCIÓN. La transferencia de una imagen
##################### de firmware elimina la configuración e instala
Total 23299683 bytes data downloaded. la configuración predeterminada de fábrica
Verifying the integrity of the f irmware image.
Total 40000kB unzipped.

Save as Default firmware/Backu
firmware/Backup p firmware/Run image without saving: [D/B/R]?d
Programming the boot device now.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reading boot image 1375833 bytes.
Initializing firewall.
System is started.
Formatting shared
shared data par
partition.
tition. . . done!
En el menú de la BIOS, seleccione la opción G para instalar un nuevo firmware.
El BIOS lo pedirá.
 La dirección IP del servidor TFTP

 La dirección IP de FortiGate (debe estar en la misma subred clase C que el servidor TFTP).
 El nombre de la imagen
imag en del firmware.
Si todo está bien, debería ver una serie de signos de libra, que indican que el dispositivo está
descargando la imagen. Luego, el BIOS verificará la integridad del archivo y le dará las siguientes
tres opciones:
 Save it as the default firmware (Guárdelo como firmware predeterminado).

 Save it as the backup firmware (Guárdelo como firmware de respaldo).
 Run the image without saving it (Ejecute la imagen sin guardarla).
Si el firmware se va a utilizar en producción, seleccione la primera opción: Save it as the default

firmware.
La última opción ( Run the image without saving it ) le permite ejecutar y probar el firmware sin
sobrescribir ningún firmware existente en la memoria flash. UnaU na vez que haya finalizado las pruebas
y esté listo para revertir el cambio, debe reiniciar el dispositivo y se utilizará el firmware existente
anteriormente.
Pruebas de hardware.
Diseñado tanto para pruebas de fabricación como para que los usuarios finales verifiquen los
principales componentes de hardware:
 CPU.
 Memoria RAM.
 Interfaces de red.
 Disco duro.
 Memoria flash.
 Interfaz USB.

LED del panel frontal.
 Wifi.
 Etc.
Al igual que con cualquier otro dispositivo electrónico,

electrónico, el daño a la RAM puede provocar bloqueos
intermitentes.
Si sospecha de una falla de hardware, puede ejecutar pruebas de hardware.
¿Cómo se ejecutan las pruebas de hardware? Depende del modelo de FortiGate.

Cómo ejecutar las pruebas de hardware.
 En algunos modelos de la serie E, las pruebas de hardware se pueden ejecutar directamente
desde FortiOS.
Puede ejecutar una sola prueba o varias pruebas.

o
 Para otros modelos, se debe cargar una imagen HQIP especial mediante TFTP y ejecutarla
desde el menú del BIOS.
o Instrucciones:
https://support.fortinet.com/Download
https://support.fortinet.com/Download/HQIPImages.a
/HQIPImages.aspx
spx
Para algunos modelos de la serie FortiGate E, puede ejecutar las pruebas de hardware directamente
desde la CLI de FortiOS.
Para otros modelos, debe descargar imágenes

imág enes especiales de prueba de hardware HQIP del sitio web
de soporte técnico de Fortinet.
Los pasos para cargar la imagen de prueba de hardware son los mismos que se usan para cargar
una imagen de firmware. Puede ejecutar la imagen de prueba de hardware sin guardarla en la
memoria flash, por lo que no se sobrescribirá ninguna imagen de firmware exi
existente.
stente.
Comando de pruebas de hardware de FortiOS.

# diagnose hardware test suite all
- Please connect ethernet cables:

[WAN - Any of PORT1. . .PORT4]
To skip this test, please press 'N'.
Do you want to continue? (y/n) (default is n) N
Following tests will request you to check the colours of the system LEDs.
Following tests will request you to check the colours of the NIC LEDS.
- Please connect ethernet cables:
[WAN - Any of PORT1. . .PORT4]
Test Begin at UTC Time Tue Feb 07 21:08:53 2019
Para algunos modelos, el comando diagnosticar hardware test suite ejecuta todas las pruebas de
hardware de FortiOS. Las pruebas de hardware requieren la interacción del usuario mientras se
ejecutan. Los usuarios pueden omitir algunos de los pasos y algunas pruebas requieren la conexión
de dispositivos externos (como memorias USB) o cables de red a FortiGate.
Registros de accidentes.
 Inspeccione los registros de fallos con fines de depuración.
 Cada vez que se cierra un proceso, se registra como muerto.
o Algunas son normales (por ejemplo, cerrar scanunit para actualizar definiciones).
# diagnose debug crashlog history
Crash log interval is 3600 seconds
miglogd crashed 1 times. The lastest crash was at 2019-04-07 03:19:23
fgfmsd crashed 1 times The lastest crash was at 2019-04-07 03: 19:31
# diagnose debug crashlog read

1: 2019-04-07 03:19:16 S Signal
ignal <
<11>
11> was sent to process
process <00101> by us user
er <admin>
2: 2019-04-07 03:19:23
03:19:23 <001
<00159>
59> firmware FortiGate-VM64 v6.2.0,build08
v6.2.0,build08 6
66b0866
6b0866 (GA)
(GA) (R
(Release)
elease)
3: 2019-04 07 03:19:23 <00159> application miglogd
4: 2019-04-07 03:19:23 <00159> *** signal 11 (Segmentation
(Segmentation fault) rec
received
eived *
***
**
5: 2019-04 07 03:19:23 <00159> Register dump:
6: 2019-04-07 03:19:23 <00159> RAX: 0000000000000u0

0000000000000u01
1 R
RBX:
BX: 0000000000el6la0
. . .
Otra área que puede querer monitorear, únicamente para el diagnóstico, son los registros de fallas.
Los registros de fallos están disponibles a través de la CLI. Cada vez que se cierra un proceso por
cualquier motivo, el registro de fallos lo registra como un fallo. La mayoría de los registros del
registro de fallos son normales. Por ejemplo, cada vez que se actualiza el paquete de definiciones
de antivirus, el proceso scanunit debe cerrarse para poder aplicar el nuevo paquete. Este es un
apagado normal.
Algunos registros del registro de fallos pueden indicar problemas. Por esa razón, el soporte técnico
de Fortinet solicita con frecuencia registros de fallas para solucionar problemas. Esta diapositiva
muestra el comando que debe usar para obtener un registro de fallas.
Dos comandos pueden mostrar información de los registros de fallos:

 diagnose debug crashlog history: enumera un resumen de los procesos que se han bloqueado,
cuántos bloqueos han ocurrido y la hora del último bloqueo.
 diagnose debug crashlog read: proporciona detalles sobre cada bloqueo, además de otros
eventos del sistema, como los tiempos de entrada y salida
sa lida del modo de conservación.
Conservar eventos del modo en Crash Logs.

 El registro de fallos también registra los eventos del modo de conservación.
o Entrando:
12: 2019-04-07 14:10:16 logdesc="Kernel enters conserve mode"
service=kernel conserve=on free-"127962
service=kernel
13: 2019-04-07
2019-04-07 14:10:16 pa pages"
ges" red="128000 pages"
pages" msg="Kernel
msg="Kernel enters
conserve mode"
o Existente:
14: 2019-04-07 14:19:55 logdesc="Kernel leaves conserve mode"
service=kernel
service=kernel conserve=ex
conserve=exit
it
15: 2019-04-07 14:19:55 free="192987 pages" green="192000 pages"
msg="Kernel
msg="Ker nel leaves conserve mode"
Este ejemplo muestra las entradas generadas en los registros

reg istros de fallos cuando un FortiGate entra y
sale del modo de conservación de memoria.

1. ¿Qué tipo de información se almacena en el registro de fallos?
A. Procesos de bloqueos y eventos del modo Conservar.
B. Registros de tráfico y registros de seguridad
2. ¿Qué protocolo se utiliza para cargar nuevo firmware desde la consola?

A. HTTP / HTTPS.
B. TFTP.

Nse4 Cursos de Insfraestructura de Fortigate

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nse4 Cursos de Insfraestructura de Fortigate

Cargado por

Copyright:

Formatos disponibles

Asignación de recursos del sistema.

A diferencia de FortiGate-VM, los VDOM no se asignan y equilibran con núcleos de vCPU

Límites de recursos globales y por VDOM.

Supervisión de los recursos de VDOM.

El administrador de VDOM tiene dificultades

Si un administrador no puede obtener acceso, verifique lo siguiente

 Confirme el host y la IP de confianza: si los hosts de confianza están habilitados en la cuenta

Consejos generales y resolución de problemas

Realizar un seguimiento del flujo de paquetes

Además de ping y traceroute, existen herramientas adicionales para solucionar problemas de

Depurar el flujo de paquetes: el tráfico debe entrar

2. ¿Qué herramienta de resolución de problemas es la más adecuada cuando se intenta verificar la

Red de área local virtual (VLAN).

Etiquetas VLAN en tramas

Un dispositivo OSI de Capa 2, como un conmutador, puede agregar o eliminar

Cómo usa FortiGate las etiquetas VLAN.

Etiquetas de VLAN durante la retransmisión

Por otro lado,

Las interfaces de FortiGate tienen direcciones IP asociadas.

Modo de funcionamiento NAT.

La imagen muestra un ejemplo del modo de funcionamiento NAT.

Modo de operación transparente.

Esta imagen muestra un ejemplo de modo de funcionamiento transparent

De forma predeterminada, un modo transparente FortiGate no realizará

FortiGate como puente transparente.

FortiGate, como conmutador transparente, divide la red en múltiples dominios de colisión,

 Las interfaces con el mismo ID de dominio pertenecen al mismo dominio de difusión.

Hasta que cambie la configuración inicial de VDOM, todas las

FortiGate con múltiples dominios directos.

Tabla MAC de modo transparente.

Par de cables virtual.

Puede crear más de un par de cables virtuales en FortiGate.

Emparejamiento de cable virtual y modo

Emparejamiento de cable virtual y modo NAT.

Configuración de par de cables virtual.

Políticas de pares de cables virtuales.

Las políticas de firewall para el emparejamiento de cables virtuales se configuran en un elemento

2. ¿Cómo se maneja el tráfico en un par de cables virtual?

Configuración de un Software Switch.

Ejemplo de un Software Switch.

Protocolo de árbol de expansión.

Para evitar tormentas de difusión, puede utilizar STP.

De forma predeterminada, FortiGate no participa en el aprendizaje de STP, o BPDU de reenvío. Pero

Solo se admite en modelos que tienen interfaces de switch.

la resolución de problemas y la legibilidad mantenerlos

¿Qué es IPsec? ¿Cuándo debería usarlo?

¿Qué es el protocolo IPsec?

Protocolo NAT Sin NAT

IPsec es un conjunto de protocolos independientes. Incluye:

¿Cómo funciona IPsec?

 Negociación como SSL / TLS.

extremos negocian los algoritmos de encriptación y autenticación a utilizar.

Encapsulación ESP ---- Modo túnel o

IKE define dos fases fase 1 y fase 2.

Topologías de VPN ---- Acceso remoto.

Topologías de VPN --- de sitio a sitio.

Comparación de topologías VPN.

VPN de descubrimiento automático (ADVPN).

Cada topología de VPN tiene sus

2. ¿Qué topología de VPN es la más tolerante a fallos?

Si desea que el asistente configure la VPN por usted, selecc

Al final del asistente, el asistente proporciona un resumen de los cambios de configuración

Usando el asistente de IPsec para