FORTINET

1. FORTINET

2. ÍNDICE • Descripción del producto. • Acceder al equipamiento. • Sistema • Router • Policy • Firewall Objets • UTM profiles • VPN • WAN Opc. & Cache • WIFI Controller • Log & Report • Anexos

3. 01 Descripción del producto.

4. 01 Descripción del producto. • Fortinet y sus nuevos Firewall de nueva generación nos proporcionan una poderosa mezcla en el control de aplicaciones, IPS, antivirus, Botnet (conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática) y protección DDoS (DistributedDenialof Service o ataque distribuido de denegación del servicio), filtrado web y seguridad de mensajería, junto con la gestión de la seguridad de red centralizada y reporte de soluciones. Ofrece el más alto nivel, de la red, el contenido y la seguridad de aplicaciones para las empresas de todos los tamaños, proveedores de servicios gestionados, y operadores de telecomunicaciones, al tiempo que reduce el coste total y proporcionar una alta flexibilidad y escalabilidad.

5. 01 Descripción del producto. • High-End • FortiGate-5000 Series Chassis • FortiGate-5000 Series NetworkingBlades • FortiGate-5000 Series Security Blades • FortiGate-3950B • FortiGate-3600C • FortiGate-3240C • FortiGate-3140B • Mid-Range • FortiGate-1240B • FortiGate-1000C • FortiGate-800C • FortiGate-600C • FortiGate-300C • FortiGate-200B/200B-POE • FortiGate-100D • FortiGate Rugged-100C • Desktop • FortiGate/FortiWiFi-80C/CM • FortiGate/FortiWiFi-60D • FortiGate/FortiWiFi-60C-POE • FortiGate/FortiWiFi-40C • FortiGate/FortiWiFi-20C • Virtual Appliances • FortiGate Virtual Appliancess

6. 01 Descripción del producto. High-End • FortiGate-5000 Series Chassis • FortiGate-5000 Series NetworkingBlades • FortiGate-5000 Series Security Blades • FortiGate-3950B • FortiGate-3600C • FortiGate-3240C • FortiGate-3140B

7. 01 Descripción del producto. Mid-Range • FortiGate-1240B • FortiGate-1000C • FortiGate-800C • FortiGate-600C • FortiGate-300C • FortiGate-200B/200B-POE • FortiGate-100D • FortiGate Rugged-100C

8. 01 Descripción del producto. Desktop • FortiGate/FortiWiFi-80C/CM • FortiGate/FortiWiFi-60D • FortiGate/FortiWiFi-60C-POE • FortiGate/FortiWiFi-40C • FortiGate/FortiWiFi-20C Virtual Appliances • FortiGate Virtual Appliancess

9. 02 Acceder al equipamiento.

10. 02 Acceder al equipamiento. • Conectarnos por consola y configuraciones básicas en un Fortigate • Lo primero de todo es asignarle una IP fija para la interfaz de Gestión (internal) y poder administrarlo vía web que es más cómodo que por CLI. La IP que trae por defecto el FW es la 192.168.1.99 y trae el servicio DHCP habilitado por defecto para la interfaz Internal. Conectamos el cable de consola al FW y al PC, abrimos en nuestro PC el “HyperTerminal” desde “Inicio” > “Programas” > “Accesorios” > “Comunicaciones” > “HyperTerminal” y creamos una nueva conexión.

11. 02 Acceder al equipamiento. • Ahora por CLI podremos administrarlo, para el login nos autenticamos con el usuario que viene por defecto que es “admin” y sin contraseña. • Por consola le indicaremos una IP fija, en nuestro caso será “port1” que será la 192.168.1.2, para ello:# configsystem interface# edit port1# set ip 192.168.1.2 255.255.255.0# show (para comprobar que los datos introducidos son correctos)# end (para guardar los cambios) • fgfm: Fortimanageraccess

12. 02 Acceder al equipamiento. • Ahora ya podremos conectarnos al FW, lo haremos por HTTPs ya que el tráfico va cifrado y la contraseña no va en texto plano por la red. Así que https://192.168.1.2, usuario: admin y sin password.

13. 02 Acceder al equipamiento. • Hay dos cosas que hacer nada más comenzar, la primera cambiar la fecha del sistema para que cuando configuremos VPN’s no tengamos problemas de sincronizaciones; y la otra cambiar la contraseña del administrador del FW. Lo primero se hace desde la misma pantalla de “Status” en “System Time” pinchando en “Change”.

14. 02 Acceder al equipamiento.

15. 03 SISTEMA

16. 3.1 Actualizar versión de software • Es importante tener el FW con el firmware más actual posible, cuando tenemos varios FW distribuidos y hacen VPN’s entre ellos, si por ejemplo una VPN con un FW con firmware 2.8 y uno con la 3.0 no funcionaría, tendrían que tener la misma versión. Hay dos formas de actualizar el firmware, una vía web y otra que mediante cable de consola conectando aun servidor TFTP que es el que le sirve la imagen del firmware por red. Vamos a explicar vía web:

17. 3.1 Actualizar versión de software • Desde el menú principal en “Firmware versión”, pulsamos sobre “Actualizar”, vemos que nos da la opción de seleccionar desde donde queremos actualizar, o bien desde el FortiGuard Network o el Disco Duro Local. Seleccionamos el fichero con el firmware que queremos ponerle y le damos a “OK” • Una vez realizado el FW se reiniciará de forma automática y ya estará actualizado.

18. 03 Dashboard • Desde Dashboard vamos a poder generar las vistas y los Widget que queremos ver en cada una de las vistas:

19. 3.2 Configurar las interfaces • Desde el sistema> Interfaces. Seleccionamos la interfaz que queremos configurar, en nuestro caso Port8. • Una vez seleccionado el puerto le damos a Editar, podemos ver que la interfaz port1 ya se encuentra configurada y con las opciones de acceso por la interfaz.

20. 3.2 Configurar las interfaces • Podemos poner un Alias a la interfaz para su identificación. • Seleccionar el modo de direccionamiento, Manual, DHCP o PPPoE • También podemos elegir el modo de administración de la interfaz. En nuestro caso seleccionamos, ping, http, ssh,telnet. • Podemos indicarle un peso a esa interfaz con respecto al resto así como los umbrales de desbordamiento.

21. 3.3 DNS • Fortigate trae por defecto los DNS´s del propio fabricante como predeterminados pero podemos poner los que se desee utilizar.

22. 3.4 DHCP • Podemos configurar el Fortigate para que funcione o bien como un servidor de DHCP o simplemente haga un relay de DHCP.

23. 3.5 PROXY EXPLÍCITO • Fortigate tiene la opción de trabajar como un proxy explícito, esto quiere decir, que en una configuración con proxy explicito, el cliente (navegador) es explícitamente configurado para que utilice el servidor proxy, esto significa que el navegador sabrá que cualquier petición a internet ira a través de un proxy. Se le configura la IP al navegador y el puerto del servidor proxy (El ProxySG). También se puede utilizar la opción de “Auto-Configuración” (archivo PAC) para que el navegador descargue la configuración de proxy desde un servidor web. Las desventajas de un proxy explicito es que cada estación de trabajo tiene que estar propiamente configurada para utilizar el proxy lo cual pudiera incurrir en problemas el organizaciones muy grandes.)

24. 3.5 PROXY EXPLÍCITO

25. 3.6 Admin • Desde este menú vamos a poder generar usuarios para administrar el sistema.

26. 3.7 Certificados • Desde este menú podemos generar nuestros propios certificados o bien añadir los generados por empresas emisoras de certificados digitales.

27. 04 ROUTER

28. 04 ROUTER • Desde este menú vamos a poder generar rutas estáticas , así como configurar los distintos protocolos de routing. Rutas dinámicas Monitorización de rutas

29. 04 ROUTER • Generar una ruta estática: • Crear una política de ruta:

30. 05 POLITICAS

31. 05 POLITICAS • Desde este menú vamos a generar las reglas para el enrutado, entre las distintas zonas generadas en el firewall (internta, wan y DMZ,etc…)

32. 05 POLITICAS • Generar Políticas ante un ataque de DoS (Denegación del servicio). • Interfaz de origen. • Ip de origen • IP de destino del ataque. • Servicio que correo en esa dirección.

33. 05 POLITICAS • Podemos Generar políticas de Sniffer para un puerto determinado de nuestro equipo.Ejemplo: • ProtocolOptions: Vamos a definir las opciones de distintos protocolos estándar:HTTP, HTTPS, FTP,FTPS….

34. 06 FIREWALL OBJETS

35. 06 FIREWALL OBJETS • Mapeo de Puertos • Vamos a aprender a realizar un Mapeo / Redireccionar un puerto , hacer nat. • Queremos que desde el exterior (internet) se conecten a mi red interna aun servidor de FTP (21 TCP), es decir aquel que haga un FTP a mi ip pública por el puerto 21 accedan a mi servidor dentro de mi red a la ip privada por el puerto 21 y solo ese puerto. • Lo primero que hemos de realizar es un servidor virtual, esto se hace desde el menú Firewall > Virtual IP y le damos a crear nuevo:

36. 06 FIREWALL OBJETS • En este caso le hemos identificado como FTP DIA, hemos tomado como interfaz externa el Port2. Le definimos la IP pública de nuestro servidor y a que ip privada queremos mapearla, activamos el Port Forwarding y le indicamos el puerto TCP externo y a que puerto interno queremos mapearlo, en este caso el 21.

37. 06 FIREWALL OBJETS • Ahora debemos crear una política en el Firewall para aceptar este tipo de tráfico entrante, esto se hace desde Firewall > Policy y le damos a crear nuevo. • Definimos el puerto de WAN por el que entran las peticiones, en address habilitamos todas las direcciones externas, si queremos filtrar solo habría que indicar que redes habría que dejar pasar. • Indicamos el puerto interno en que esta conectado el servidor de FTP • Y le indicamos el servicio que vamos a dejar pasar, en este caso como solo queremos que deje pasar sesiones FTP, seleccionamos FTP. • Si marcamos Log AllowedTraffic, enviamos al log todos los eventos que se produzcan en esta política creada. • Una vez creada ya tendríamos nuesto mapeo de puertos funcionando y monitorizado.

38. 06 FIREWALL OBJETS

39. 07 PERFILES DE UTM

40. 07 Crear un filtro Antivirus, Filtro de contenido palabras/webs, control de aplicaciones o filtrado email. • Filtro Antivirus • Vamos a perfiles de UTM, vemos que tenemos un perfil “default”, el cual podríamos modificar o generar uno nuevo. Y protocolos queremos que inspeccione.

41. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o filtrado email. • Filtro Webs • Como en el caso anterior tenemos un perfil por defecto o podremos generar el nuestro propio. Dentro del menú Filtro Web nos encontramos con tres opciones: Perfil., Filtro de URL y Calificaciones Locales. • Dentro de Perfil, podemos decidir si queremos que funcione como un Proxy o basado en Flujos. • También podemos seleccionar que categorías de FortiGuard queremos seleccionar, nos puede mostrar todas o podemos filtrar (permitir, monitorear, Alertar, autenticar, bloquear) • Una vez seleccionada las categorías debemos decidir que acción tomar (Permitir, monitorear, Alertar, autenticar, bloquear) • Podemos habilitar motores de búsqueda seguros (Google, Yahoo, and Bing) • También podemos hacer un scan de las sesiones HTTPS, que incluye:  Banca, Cuidado de Salud, Privacidad Personal) • También podemos generar filtros avanzados donde se puede seleccionar entre otras opciones, remover ActiveX, Coookis, proporcionar detalles para errores HTTP, filtro de URL generadas por nosotros, etc…

42. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o filtrado email.

43. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o filtrado email. • Generar un filtro de URL. • En el ejemplo hemos bloqueado la URL: www.google.es Podemos añadir mas filtros, damos al botón crear nuevo, añadimos la URL y la acción que se ejecutara, bloquear, permitir o monitor.

44. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o filtrado email. • Control de Aplicaciones • En este punto vamos a decidir que aplicaciones van a ser sensibles para monitorizar. Por defecto trae generado un sensor por defecto, block-p2p y monitor-p2p-and-media. • Dentro de cada uno de ellas podemos decidir las reglas que va a cumplir. Donde se indica un ID, Categoría, Fabricante, Comportamiento, Tecnología, Aplicación, Acción a realizar.

45. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o filtrado email. • También disponemos de una lista con 1955 aplicaciones para su control.

46. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o Filtrado email. • Filtrado Email • En este apartado podremos definir las reglas para marcar un email como span o no y que acciones tomar con dicho email.

47. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o Filtrado email. • En "SpamFiltering" es donde habilitaremos la función AntiSpam del firewall, seleccionaremos que protocolos de correo queremos que nos mire. Le podemos marcar que mire en las Black/White list (listas blancas y negras) si un correo es SPAM o no, checkeando: "E-mail address BWL check", y también interesante el puntuo de palabras, marcando el check de "Bannedwordcheck", esto lo que hace es mirar en un listado de palabras que pongamos (en el menú de la en “Email Filter” > "Bannedword"), aquí crearemos una serie de palabras y a cada una la daremos una puntuación, por ejemplo 10 puntos a cada palabra, y aquí en "Threshold" le daremos la puntuación total para clasificar un mail, por ejemplo 20. Si tenemos la palabra SEX que vale 10 puntos, y la palabra VIAGRA con otros 10, cuando el total llegue a 20 puntos las bloqueará y clasificará el mail como SPAM.

48. 07 Crear un Filtro Antivirus, Filtro webs, control de aplicaciones o Filtrado email.

49. 08 VPN

50. 08 VPN • En este apartado vamos aprender como realizar lo siguiente: • Túneles VPN-IPSEC • Túneles VPN-SSL