Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GLAB-Politicas de Seguridad
GLAB-Politicas de Seguridad
V Ciclo
Laboratorio N° 2
“Políticas de seguridad en UTM Fortigate”
2024
1. OBJETIVOS/ CAPACIDADES:
2. INTRODUCCIÓN TEÓRICA
Una regla de firewall se puede aplicar al tráfico procedente de Internet con destino hacia la
red LAN de la organización o viceversa. Una regla también se puede aplicar a direcciones IP
específicas, direcciones MAC, usuarios de dominio y grupos de IP.
Una regla de firewall especifica el tipo de tráfico y los puertos que este tipo de tráfico que
puede utilizar. Por ejemplo, una regla llamada AccesoWeb tiene un servicio llamado HTTP,
que utiliza TCP y el puerto número 80; que permite el tráfico de la red LAN hacia Internet.
3. GUIA DE SEGURIDAD:
Lávate las manos hasta el antebrazo con agua y jabón por un mínimo de 20 segundos.
Al toser o estornudar, cúbrete la boca y nariz con un pañuelo desechable o con tu
antebrazo; nunca lo hagas con tus manos directamente.
No te toques los ojos, nariz o boca si no te has lavado las manos primero.
Solo si no cuentas con agua y jabón cerca, utiliza gel antibacterial. Toma en cuenta que
esto no debe reemplazar el lavado de manos.
Evita el contacto directo con personas que muestren síntomas como los del resfrío o gripe.
1
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Es más, o ideal sería auditar las vulnerabilidades de su propio entorno doméstico antes de
conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos
vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los
empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto
el firmware como el software a las últimas versiones disponibles.
4. EQUIPOS Y MATERIALES:
● PC Personal.
● Sistema operativo CentOS 7.X u 8
● Sistema operativo Windows 7 o superior
● Software VMware Worskstation 15 o superior.
● Material disponible desde Tecsup Virtual.
● Conexión a red.
5. PROCEDIMIENTO:
2
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
3
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
4.-Las credenciales, por defecto, de un equipo Fortigate son las siguientes. Usuario: admin,
Contraseña: (en blanco). Luego, de ingresar las credenciales solicitará que configuren una
contraseña; usar la siguiente contraseña “tecsup2022”.
4
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
5.-La IP por defecto, de un equipo fortigate, es la 192.168.1.99/24. Sin embargo, por tratarse de un
equipo virtual; tendremos que configurar la IP manualmente. Realizamos el siguiente procedimiento,
para configurar la IP 172.18.1.1 a la interfaz LAN de nuestro equipo. Cuando realicemos esto,
podremos conectarnos desde la máquina cliente al fortigate usando un navegador web (HTTP).
6.-Desde el cliente, validamos que existe conectividad con la intefaz LAN del fortigate (172.18.1.1).
Por lo tanto, nos conectamos a la URL http://172.18.1.1. Al ingresar las credenciales, solicitará que
configuremos el hostname del equipo (fortigate).
7.-Primero, configuraremos nuestro UTM con las direcciones IP especificadas para la interfaz LAN,
WAN y DMZ. Segundo, debemos añadir la ruta estática para la salida hacia internet. Tercero,
configuraremos el DNS (usaremos los de google).Finalmente, habilitaremos el servicio DNS para la
interfaz LAN y DMZ.
Por ejemplo puede realizar la configuración de puertos desde la línea de comando del fortigate para
habilitar el acceso por http en caso no le permita por entorno grafico.
5
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
6
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
7
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
8
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
8.-Configurando una política para el acceso hacia internet (ICMP, HTTP y HTTPS)
registrando la dirección MAC.
Iremos a Policy & Objects > Addresses, para registrar la dirección MAC de nuestro “cliente”
Windows (que se encuentra en la LAN).
9
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Luego, ir a Policy & Objects > Firewall Policy, para aplicar la política que permita los
puertos 80/TCP, 443/TCP y el protocolo ICMP; desde nuestro cliente Windows (red LAN) hacia
internet. Recordar, que este paquete saldrá hacia internet; por este motivo, es indispensable
habilitar NAT. Además, se debe habilitar para que registre el tráfico de todas las sesiones
relacionadas a esa regla.
10
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Realizamos las pruebas, y constataremos que el cliente puede acceder a cualquier servidor
web y tenga habilitado el protocolo ICMP hacia internet.
11
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
2.-Procedemos a ingresar en nuestra maquina cliente 02 y le indicamos que nos asigne una ip
automática. Es importante recordar que su tarjeta de red deberá estar en vmnet3
12
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Como podemos visualizar el fortigate también nos puede brindar la función de dhcp.
3.-Ahora procederemos a crear una regla para que desde la red 20.20.20.0/24 se pueda ingresar al
equipo fortigate con IP 172.18.1.1 /24.
13
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Recordar que no es necesario habilitar el nat, debido a que no necesitamos salir a internet
4.-Ahora procedemos ingresar desde el cliente 02 del segmento de red 20.20.20.0/24 al equipo
fortigate.
14
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
5.-Ahora procedemos a crear una regla para que la red 20.20.20.0/24 tenga salida a internet.
15
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Finalmente verificamos que no hemos modificado los valores de nuestra tarjeta de red.
16
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
2. Procederemos a crear una política en el firewall para liberar ICMP, 53/UDP y 53/TCP desde
nuestro servidor DNS hacia internet. Pero primero, registraremos la IP de nuestro servidor
DNS. Iremos a Policy & Objects > Addresses, para registrar la dirección IP de nuestro
servidor DNS privado.
3. Luego, ir a Policy & Objects > Firewall Policy, para aplicar la política correspondiente para
nuestro servidor DNS. Recordar, que debe habilitarse el NAT y que se registre todas las
sesiones en el log.
4. Nuestro Windows Server, debe tener instalado el rol de DNS. Además, el DNS que debe tener
configurado en su tarjeta de red debe ser su misma IP. Finalmente, configuraremos para que
haga “forwarding” con los DNS públicos de google.
17
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
18
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
19
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
5. Ahora procederemos a cambiar el DNS de nuestro cliente Windows 10. Pondremos que use
como DNS a la IP de nuestro servidor ubicado en la DMZ.
6. Por lo tanto una vez realizado el cambio, tendremos que habilitar una regla que permita
consultas DNS (53/UDP) desde el cliente hacia el servidor ubicado en la DMZ. Si no
habilitamos dicha regla, el cliente no podrá realizar consultas porque serán bloqueadas por el
firewall. Recordar que este tráfico NO debe natearse porque el paquete viajará de una zona
(LAN) a otra (DMZ).
20
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
NOTA: Debe recordar que “siempre” debe poner las políticas más específicas al inicio (en la
parte superior de las reglas) y las más generales al final. Realice la siguiente prueba, crear
21
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
una política que deniegue “todo”; desde la red LAN hacia INTERNET. La regla debe
posicionarse al inicio. Valide qué pasa con el cliente Windows 10 de la LAN.
8. Ahora invierta el orden de las reglas, ponga la más general debajo y haga la prueba desde el
cliente de la red LAN.
22
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
9. Para ver los eventos, puede ir a Log & Report > Forward Traffic. Se puede ver que el
tráfico generado del cliente hacia internet y el servidor DNS queda registrado. Además, queda
registrado qué política hace match con un tipo de tráfico específico.
10. Vamos a simular que contamos con un “pool” de IPs públicas. Por lo tanto, debemos
configurar todas las IPs en la interfaz WAN de nuestro Fortigate. Además, habilitaremos,
solamente, el ping (ICMP) para esas IPs; los demás accesos administrativos no se habilitarán
por temas de seguridad.
23
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
12. Ir a Policy & Objects > Firewall Policy, para aplicar la política que permita los puertos
80/TCP, 443/UDP desde la red LAN hacia el servidor ubicado en la DMZ (previamente registrar
la IP del servidor).Recordar, que este paquete NO saldrá hacia internet; por este motivo, es
no necesario habilitar NAT. Además, se debe habilitar para que registre el tráfico de todas las
sesiones relacionadas a esa regla.
24
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
13. Luego, probamos desde la red LAN que se pueda acceder a dicho servidor.
Finalmente como desafío implemente un servidor web según su criterio y realiza la prueba de
consulta desde el cliente 01.
25
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
Importante
14. Los usuarios externos pueden acceder al equipo fortigate desde Internet utilizando la
dirección 192.168.81.10. Una forma de monitorear las conexiones exteriores hacia esos
servicios publicados es ir a Dashboard > Fortiview Policies.
15. Luego hacemos doble clic sobre la política que hace referencia al tráfico que viene de dmz con
destino hacia la wan; para que nos muestre un poco de más detalle.
16. La otra forma de monitorear estas conexiones que vienen de internet hacia los servicios que
publicamos es ir a Log & Report > Forward Traffic y buscar el registro.
26
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
27
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de políticas de firewall Fortigate
6. DATOS A REGISTRAR
7. OBSERVACIONES Y CONCLUSIONES
1.
2.
3.
8. BIBLIOGRAFÍA
https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/954635/getting-
started
9. ANEXOS
NO APLICA
28
PROGRAMA DE FORMACIÓN REGULAR