GLAB-Politicas de Seguridad

Seguridad Perimetral
V Ciclo
Laboratorio N° 2
“Políticas de seguridad en UTM Fortigate”
2024
“Configuración básica de UTM Fortigate”
1. OBJETIVOS/ CAPACIDADES:
 Diseñar políticas de firewall

 Aplicar políticas de firewall
 Publicar servicios hacia internet mediante políticas.
TECSUP Laboratorio de políticas de firewall Fortigate
2. INTRODUCCIÓN TEÓRICA
Las políticas de firewall definen qué tipo de tráfico se permite o bloquea.
Una regla de firewall se puede aplicar al tráfico procedente de Internet con destino hacia la
red LAN de la organización o viceversa. Una regla también se puede aplicar a direcciones IP
específicas, direcciones MAC, usuarios de dominio y grupos de IP.
Una regla de firewall especifica el tipo de tráfico y los puertos que este tipo de tráfico que
puede utilizar. Por ejemplo, una regla llamada AccesoWeb tiene un servicio llamado HTTP,
que utiliza TCP y el puerto número 80; que permite el tráfico de la red LAN hacia Internet.
Las políticas de firewall a implementar van a variar dependiendo de la infraestructura de red

donde se encuentre instalado el equipo Fortigate.
3. GUIA DE SEGURIDAD:
Favor de seguir estas instrucciones, en tiempos de Covid, para un entrenamiento seguro:
 Lávate las manos hasta el antebrazo con agua y jabón por un mínimo de 20 segundos.
 Al toser o estornudar, cúbrete la boca y nariz con un pañuelo desechable o con tu
antebrazo; nunca lo hagas con tus manos directamente.
 No te toques los ojos, nariz o boca si no te has lavado las manos primero.
 Solo si no cuentas con agua y jabón cerca, utiliza gel antibacterial. Toma en cuenta que
esto no debe reemplazar el lavado de manos.
 Evita el contacto directo con personas que muestren síntomas como los del resfrío o gripe.
Importante tomar en cuenta para ser productivos:
 Una computadora y una buena conexión a Internet.

 Aplicaciones de chat para realizar videoconferencia.
 Un espacio de trabajo dedicado (preferiblemente).
 Un teléfono (opcional).
 Automotivación y disciplina y una rutina estricta.
Definitivamente no olvidar la seguridad informática:
1
PROGRAMA DE FORMACIÓN REGULAR
 Es más, o ideal sería auditar las vulnerabilidades de su propio entorno doméstico antes de
conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos
vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los
empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto
el firmware como el software a las últimas versiones disponibles.
 La posibilidad de usar una aplicación de monitoreo, debe ser considerada, antes de

permitir que los dispositivos de trabajo se conecten a las redes domésticas. El escaneo o
monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de
software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que
deberían cambiarse.
4. EQUIPOS Y MATERIALES:
● PC Personal.
● Sistema operativo CentOS 7.X u 8
● Sistema operativo Windows 7 o superior
● Software VMware Worskstation 15 o superior.
● Material disponible desde Tecsup Virtual.
● Conexión a red.
5. PROCEDIMIENTO:
1. Trabajaremos con la siguiente topología (Nota: reemplazar el 3er octeto de las

direcciones por el número que se le asigne).
2.-Verificamos nuestra tarjeta de redes virtuales
2
3.-Procedemos a asignar las vmnet correctas a nuestro equipo fortigate.
3
4.-Las credenciales, por defecto, de un equipo Fortigate son las siguientes. Usuario: admin,
Contraseña: (en blanco). Luego, de ingresar las credenciales solicitará que configuren una
contraseña; usar la siguiente contraseña “tecsup2022”.
4
5.-La IP por defecto, de un equipo fortigate, es la 192.168.1.99/24. Sin embargo, por tratarse de un
equipo virtual; tendremos que configurar la IP manualmente. Realizamos el siguiente procedimiento,
para configurar la IP 172.18.1.1 a la interfaz LAN de nuestro equipo. Cuando realicemos esto,
podremos conectarnos desde la máquina cliente al fortigate usando un navegador web (HTTP).
6.-Desde el cliente, validamos que existe conectividad con la intefaz LAN del fortigate (172.18.1.1).
Por lo tanto, nos conectamos a la URL http://172.18.1.1. Al ingresar las credenciales, solicitará que
configuremos el hostname del equipo (fortigate).
7.-Primero, configuraremos nuestro UTM con las direcciones IP especificadas para la interfaz LAN,
WAN y DMZ. Segundo, debemos añadir la ruta estática para la salida hacia internet. Tercero,
configuraremos el DNS (usaremos los de google).Finalmente, habilitaremos el servicio DNS para la
interfaz LAN y DMZ.
Por ejemplo puede realizar la configuración de puertos desde la línea de comando del fortigate para
habilitar el acceso por http en caso no le permita por entorno grafico.
5
Continuamos agregando las IPs para cada puerto a utilizar.
Procedemos a validar la configuración del port3
6
Configuración de interfaces de red.
Procedemos habilitar el DNS
7
Configuración de los DNS.
Configuración del servicio DNS para la red LAN y DMZ.
Configuración de la ruta estática por defecto.
8
8.-Configurando una política para el acceso hacia internet (ICMP, HTTP y HTTPS)
registrando la dirección MAC.
Iremos a Policy & Objects > Addresses, para registrar la dirección MAC de nuestro “cliente”
Windows (que se encuentra en la LAN).
-Verificamos la dirección mac de nuestro cliente Windows
-Procedemos a crear el objeto para nuestro cliente
9
Luego, ir a Policy & Objects > Firewall Policy, para aplicar la política que permita los
puertos 80/TCP, 443/TCP y el protocolo ICMP; desde nuestro cliente Windows (red LAN) hacia
internet. Recordar, que este paquete saldrá hacia internet; por este motivo, es indispensable
habilitar NAT. Además, se debe habilitar para que registre el tráfico de todas las sesiones
relacionadas a esa regla.
Configurando política para el acceso ICMP, HTTP y HTTPS.
Habilitando todas las sesiones para el log.
10
Realizamos las pruebas, y constataremos que el cliente puede acceder a cualquier servidor
web y tenga habilitado el protocolo ICMP hacia internet.
Finalmente, cambiaremos la dirección IP del cliente por la 172.18.X.200/24 y validaremos que

la política se sigue “aplicando” para nuestro cliente; porque lo configuramos en base a la
dirección MAC y no a la IP.
11
Habilitar un Servicio DHCP para la red 20.20.20.0/24
1.-Ingresamos a nuestra interface DMZ y habilitamos el servicio dhcp.
2.-Procedemos a ingresar en nuestra maquina cliente 02 y le indicamos que nos asigne una ip
automática. Es importante recordar que su tarjeta de red deberá estar en vmnet3
12
Como podemos visualizar el fortigate también nos puede brindar la función de dhcp.
3.-Ahora procederemos a crear una regla para que desde la red 20.20.20.0/24 se pueda ingresar al
equipo fortigate con IP 172.18.1.1 /24.
13
Recordar que no es necesario habilitar el nat, debido a que no necesitamos salir a internet
4.-Ahora procedemos ingresar desde el cliente 02 del segmento de red 20.20.20.0/24 al equipo
fortigate.
14
5.-Ahora procedemos a crear una regla para que la red 20.20.20.0/24 tenga salida a internet.
6.-Ahora procedemos desde el cliente 02 navegar a internet.
15
Finalmente verificamos que no hemos modificado los valores de nuestra tarjeta de red.
Procedemos apagar nuestra maquina cliente02 por el momento.
16
1.-Crear regla para el acceso entre zonas (LAN y DMZ).
2. Procederemos a crear una política en el firewall para liberar ICMP, 53/UDP y 53/TCP desde
nuestro servidor DNS hacia internet. Pero primero, registraremos la IP de nuestro servidor
DNS. Iremos a Policy & Objects > Addresses, para registrar la dirección IP de nuestro
servidor DNS privado.
3. Luego, ir a Policy & Objects > Firewall Policy, para aplicar la política correspondiente para
nuestro servidor DNS. Recordar, que debe habilitarse el NAT y que se registre todas las
sesiones en el log.
4. Nuestro Windows Server, debe tener instalado el rol de DNS. Además, el DNS que debe tener
configurado en su tarjeta de red debe ser su misma IP. Finalmente, configuraremos para que
haga “forwarding” con los DNS públicos de google.
17
18
Validamos que nuestro servidor tenga salida hacia google.
19
5. Ahora procederemos a cambiar el DNS de nuestro cliente Windows 10. Pondremos que use
como DNS a la IP de nuestro servidor ubicado en la DMZ.
Desde el cliente realizamos la consulta dns y visualizamos que no resuelve.
6. Por lo tanto una vez realizado el cambio, tendremos que habilitar una regla que permita
consultas DNS (53/UDP) desde el cliente hacia el servidor ubicado en la DMZ. Si no
habilitamos dicha regla, el cliente no podrá realizar consultas porque serán bloqueadas por el
firewall. Recordar que este tráfico NO debe natearse porque el paquete viajará de una zona
(LAN) a otra (DMZ).
20
7. Finalmente, validamos que nuestro cliente pueda realizar consultas DNS.
NOTA: Debe recordar que “siempre” debe poner las políticas más específicas al inicio (en la
parte superior de las reglas) y las más generales al final. Realice la siguiente prueba, crear
21
una política que deniegue “todo”; desde la red LAN hacia INTERNET. La regla debe
posicionarse al inicio. Valide qué pasa con el cliente Windows 10 de la LAN.
8. Ahora invierta el orden de las reglas, ponga la más general debajo y haga la prueba desde el
cliente de la red LAN.
22
9. Para ver los eventos, puede ir a Log & Report > Forward Traffic. Se puede ver que el
tráfico generado del cliente hacia internet y el servidor DNS queda registrado. Además, queda
registrado qué política hace match con un tipo de tráfico específico.
Publicando un servicio hacia internet
10. Vamos a simular que contamos con un “pool” de IPs públicas. Por lo tanto, debemos
configurar todas las IPs en la interfaz WAN de nuestro Fortigate. Además, habilitaremos,
solamente, el ping (ICMP) para esas IPs; los demás accesos administrativos no se habilitarán
por temas de seguridad.
23
11. Luego, ir a Network > Interfaces. Editar la interface DMZ.

La red DMZ es una red segura conectada al FortiGate que sólo permite el acceso si se ha
permitido de forma explícita. Para mayor seguridad, desactivar todas las opciones de
Administrative Access, solo podría dejarse habilitado el ping (ICMP) para realizar pruebas de
conectividad si fuera el caso.
12. Ir a Policy & Objects > Firewall Policy, para aplicar la política que permita los puertos
80/TCP, 443/UDP desde la red LAN hacia el servidor ubicado en la DMZ (previamente registrar
la IP del servidor).Recordar, que este paquete NO saldrá hacia internet; por este motivo, es
no necesario habilitar NAT. Además, se debe habilitar para que registre el tráfico de todas las
sesiones relacionadas a esa regla.
24
13. Luego, probamos desde la red LAN que se pueda acceder a dicho servidor.
Finalmente como desafío implemente un servidor web según su criterio y realiza la prueba de
consulta desde el cliente 01.
Comenta lo observa, que es lo que le apareció ?
25
Importante
14. Los usuarios externos pueden acceder al equipo fortigate desde Internet utilizando la
dirección 192.168.81.10. Una forma de monitorear las conexiones exteriores hacia esos
servicios publicados es ir a Dashboard > Fortiview Policies.
15. Luego hacemos doble clic sobre la política que hace referencia al tráfico que viene de dmz con
destino hacia la wan; para que nos muestre un poco de más detalle.
16. La otra forma de monitorear estas conexiones que vienen de internet hacia los servicios que
publicamos es ir a Log & Report > Forward Traffic y buscar el registro.
26
20.-Procedemos a sacar backup
21.-Para restaurar el backup ejecuta la siguiente instrucción.
27
6. DATOS A REGISTRAR
Presentar evidencia (capturas) de la realización del laboratorio.
7. OBSERVACIONES Y CONCLUSIONES
Indicar las conclusiones que ha llegado después de desarrollar el laboratorio.
1.
2.
3.
8. BIBLIOGRAFÍA
https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/954635/getting-
started
9. ANEXOS
NO APLICA
28

GLAB-Politicas de Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GLAB-Politicas de Seguridad

Cargado por

Copyright:

Formatos disponibles

Seguridad Perimetral

“Configuración básica de UTM Fortigate”

 Diseñar políticas de firewall

Las políticas de firewall definen qué tipo de tráfico se permite o bloquea.

Las políticas de firewall a implementar van a variar dependiendo de la infraestructura de red

Favor de seguir estas instrucciones, en tiempos de Covid, para un entrenamiento seguro:

Importante tomar en cuenta para ser productivos:

 Una computadora y una buena conexión a Internet.

Definitivamente no olvidar la seguridad informática:

 La posibilidad de usar una aplicación de monitoreo, debe ser considerada, antes de

1. Trabajaremos con la siguiente topología (Nota: reemplazar el 3er octeto de las

2.-Verificamos nuestra tarjeta de redes virtuales

3.-Procedemos a asignar las vmnet correctas a nuestro equipo fortigate.

Continuamos agregando las IPs para cada puerto a utilizar.

Procedemos a validar la configuración del port3

Configuración de interfaces de red.

Procedemos habilitar el DNS

Configuración de los DNS.

Configuración del servicio DNS para la red LAN y DMZ.

Configuración de la ruta estática por defecto.

-Verificamos la dirección mac de nuestro cliente Windows

-Procedemos a crear el objeto para nuestro cliente

Configurando política para el acceso ICMP, HTTP y HTTPS.

Habilitando todas las sesiones para el log.

Finalmente, cambiaremos la dirección IP del cliente por la 172.18.X.200/24 y validaremos que

Habilitar un Servicio DHCP para la red 20.20.20.0/24

1.-Ingresamos a nuestra interface DMZ y habilitamos el servicio dhcp.

6.-Ahora procedemos desde el cliente 02 navegar a internet.

Procedemos apagar nuestra maquina cliente02 por el momento.

1.-Crear regla para el acceso entre zonas (LAN y DMZ).

Validamos que nuestro servidor tenga salida hacia google.

Desde el cliente realizamos la consulta dns y visualizamos que no resuelve.

7. Finalmente, validamos que nuestro cliente pueda realizar consultas DNS.

Publicando un servicio hacia internet

11. Luego, ir a Network > Interfaces. Editar la interface DMZ.

Comenta lo observa, que es lo que le apareció ?

20.-Procedemos a sacar backup

21.-Para restaurar el backup ejecuta la siguiente instrucción.

Presentar evidencia (capturas) de la realización del laboratorio.

Indicar las conclusiones que ha llegado después de desarrollar el laboratorio.

También podría gustarte