10. Tutorial Como configurar una red WiFi segura con Fortinet.

Fortigate aparte de todas las funcionalidades que tiene es controlador WiFi. Es decir que podemos con FortiAP agregar a la infraestructura una solución WiFi sin perder nada de la seguridad que ya tenemos hasta el momento con nuestro Firewall. La ventaja que tenemos en agregar un dispositivo de Fortinet ante otra marca es que podemos gestionarlo de una forma centralizada, esto es importantísimo cuando la implementación requiere una gran cantidad de Access Points. Tambien es importante destacar que el Fortigate va a tomar al FortiAP como una interface virtual y en base a esto podemos aplicar cualquier función UTM sobre el tráfico que pase.

Fortigate reconoce cuando se conecta un FortiAP y lo único que tenemos que haces es darle autorización y configurar SSID y Password para una configuración básica.

En la sección de WiFi Controller encontramos Managed Access Points.

Managed AP

Una vez conectado el FortiAP nos va a figurar en este campo y solo queda presionar botón derecho sobre él y “autorizar”.
Una vez que hayamos hecho esto podemos hacer doble clic y entrar a la edición.

Edit Managed Access Point

En principio podemos cambiar el nombre del Access Point y colocar una descripción para tener una referencia más adelante.
En FortiAP OS Version nos figura que versión de firmware en el AP y la posibilidad de hacer un UpgradeFTP Base de datos Firmwares

En Wireless settings nos permite fijar el perfil que va a usar de AP Profile (se lo definimos en WiFi Controller/Custom AP Profile) también podemos delimitar la potencia de las antenas en TX Power.

A continuación configuramos los SSID necesarios en Wifi Controller/WiFi Network/SSID

New SSID

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

9. Tutorial cómo filtrar sitios por categorías y listas negras en Fortigate.

En base a las necesidades de la empresa es cómo podemos realizar los filtros que se solicitan. Existe la posibilidad de filtrar por categorías de Fortiguard (Requiere servicio activo) o por listas blancas/negras, la gran diferencia es que las categorías están continuamente actualizadas con las bases de datos del Servicio de Fortiguard por lo que hace efectivo el filtro. Por ejemplo de contenido adulto, sí se cambia el dominio o se agregan págs. en internet como es lógico que pase Fortiguard lo detecta y sigue bloqueandolo. En cambio las listas simplemente son para denegar o aceptar el acceso a determinados dominios que definamos.

Cualquiera de las 2 soluciones las podemos encontrar en UTM Profiles/Web Filter/Profile

Tutorial screenshot filro web

En principio le ponemos un nombre al perfil que vamos a crear y una descripción haciéndola un poco más explícita de la función que cumple para que después cualquier modificación que tengamos que hacer nos sirva de referencia.

Tenemos 2 formas de que el equipo filtre contenido, modo proxy y Flow-based. En Modo Proxy todo el tráfico que pasa es analizado después de haber recibido el paquete entero, en Flow-based o basado en flujo se analiza a medida que el contenido pasa a través del Fortigate, es posible que este último modo sea más rápido pero exija un poco más al equipo quitándole performance en otras funciones.

Por defecto viene marcado el checkbox de Log all URLs. Esto nos sirve cuando tengamos algún incidente poder hacer una investigación sobre el log.

Categorías FortiGuard: Todas las categorías que figuran se pueden revisar de una forma más detallada en este Link: http://www.fortiguard.com/static/webfiltering.html
Las categorías más críticas que se recomienda dejar bloqueadas son las de Security Risk y Contenido adulto que son las que pueden llegar a causar problemas en la seguridad de nuestra red. Después podemos encontrar categorías como Bandwidth Consuming que pueden interferir en rendimiento de la red.
Para consultas de en cual categoría se encuentra una URL podemos usar esta herramienta http://www.fortiguard.com/ip_rep.php

Enable Safe Search: Esta función nos permite hacer escaneos de link en los buscadores más reconocidos.

HTTPS Scanning: Con esta función permitimos el escaneo en la navegación HTTPS, es muy importante si por ejemplo estamos aplicando un filtro en “Facebook.com” porque la red social permite conectarse por medio de ese protocolo.

HTTPS Deep Scanning: Permite hacer un escaneo más profundo del HTTPS y esta función permite exceptuar el contenido personal sensible como datos de bancos o datos de privacidad personal.

Advance Filter: De las funciones de Advance Filter las que vamos a comentar son:

Web URL Filter: donde podemos llamar las listas que hayamos hecho en URL Filter

Allow Websites When a Rating Error Occurs: Esta función nos permite seguir navegando si ocurre un error con la conexión a Fortiguard. En el caso de que caduque el servicio si esta opción está activa no podremos navegar.

Search Engine Keyword Filter:
Tenemos la posibilidad de filtrar palabras sobre los motores de búsqueda.

Block HTTP Redirects by Rating:
Esta opción nos permite bloquear los redireccionamientos de los sitios. Algunos Sitios hacen redirecciones diseñadas para eludir los Filtros, esto puede generar problemas con los sitios que usan redirección de forma legítima.

Strict Blocking:
Algunos Sitios suele aparecer en varias categorías y puede darse el caso en que se bloquee una categoría y en la otra se permita. Con esta opción tildada y en este caso el sitio va a ser bloqueado, sin tildar va a permitir el acceso.

Remove Java Applet Filter:
Habilitar para filtrar Applets java del tráfico web. Sitios Web que utilizan Applets de Java no funcionen correctamente con este habilitado filtro.
Remove ActiveX Filter: Habilitar para filtrar ActiveX del tráfico web. Sitios Web que utilizan ActiveX no funcionen correctamente con este habilitado filtro.
Remove Cookie Filter: Habilitar para filtrar Cookies del tráfico web. Sitios Web que utilizan Cookies no funcionen correctamente con este habilitado filtro.

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

8. Tutorial cómo abrir puertos en Fortigate (Virtual IP)

Los equipos Fortigate están pensados para garantizar la seguridad de nuestra red, para ello tenemos que ayudarlos configurándolos de una forma adecuada. Cuando abrimos un puerto para acceder a un servicio o servidor lo conveniente es siempre abrir lo indispensable. Debemos ir a Firewall Objects/Virtual IP/Virtual IP, agregando una entrada nueva nos aparece esta pág.

Tutoriales screenshot VirtualIP

En principio ponemos el nombre para identificar el virtual IP y la interface cual va a responder la conexión (Ej. WAN1).

Source Address Filter: Tenemos la posibilidad de filtrar uno o varios IP públicos definiéndolos en este campo.

External IP Address/Range: En este campo podemos definir desde que IP WAN queremos que se establezca la conexión. Si definimos el valor en 0.0.0.0 acepta cualquier conexión entrante.

Mapped IP Address/Range: Definimos cual IP LAN va a responder el servicio.

Port Forwarding:
Protocol: Definimos el tipo de protocolo.
External Service Port: Nos permite definir el número de puerto que escucha de forma externa.
Map to Port: Definimos a que puerto va a mapear al IP Lan.

Tutoriales Virtual IP Map

También podemos al igual que las demás categorías agrupar las Virtual IP para llamarlas después sobre solo 1 política y ahorrarse crear varias.

También podemos crear IP Pools con un rango de IPs determinadas en un solo objeto.

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

7. Tutorial cómo definir y configurar las Políticas de Firewall en Fortigate.

En principio tenemos que tener en cuenta que el Firewall viene con una política implícita de denegar cualquier tráfico, nosotros debemos armar las rutas y dejar pasar dicho tráfico.
Los equipos de Small Business a diferencia de los más grandes vienen con la política de internal a WAN1 ya armada.

Tutorial screenshot  politicas

Esto permite el tráfico de toda la LAN privada a WAN1, por lo que si lo vamos a dejar activo debemos repasar la configuración:

Tutorial screenshot detalle

Source Interface/Zone: Debemos definir en este campo la interface de origen. (Como estamos editando una política ya creada no nos permite cambiar en este caso)

Source Address: Este campo hace referencia a los Objetos de Firewall que ya definimos anteriormente, con “all” estamos diciendo que todo IP no importa el rango se aplique.

Destination Interface/Zone: Al igual que el primer campo definimos la Interface pero en este caso de destino.

Destination Address: Al igual que Source Address definimos el Objeto de Firewall, en este caso de destino.

Schedule: Definimos el Horario en que se va a aplicar esta política, hace referencia también al objeto de Firewall “Schedule”.

Service: En este campo podemos definir Puertos, para que la política se aplique solo en un puerto/servicio determinado como por ejemplo FTP o un grupo previamente definidos en Firewall Objects/service.

Action: Definimos si esta Política va a denegar o aceptar el tráfico. También definimos las conexiones para VPN en este campo, pero lo vamos a detallar más adelante.

Log Allowed Traffic: Permite hacer un log del trafico permitido en esta política.

Enable NAT:
- Use Destination Interface Address:
Permite hacer NAT sobre las direcciones definidas en Destination Address.

- Use Dynamic IP Pool: Permite hacer NAT sobre las direcciones definidas previamente en Firewall Objects/Virtual          IP/IP pool.

Enable Identity Based Policy: Nos permite definir accesos por Usuarios basados en políticas, es decir que si la conexión aplica en esta política nos va a pedir que nos autentiquemos. La base de datos de los Usuarios se alimenta desde lo configurado en Users.

Resolve User Names Using FSSO Agent: Este “Checkbox” define si estamos levantando los usuarios con un agente FSSO (single sign-on) desde un Directorio Activo.

UTM: (FortiOS en estas versiones tienen problemas para desplegar las opciones en este check sobre Chrome, se recomienda Firefox) Nos permite definir que funcionalidades de UTM (Gestión Unificada de Amenazas) vamos a utilizar entre las que tenemos Antivirus perimetral, Web Filter, Application Control, IPS, Email Filter y Protocol Options.

Traffic Shaping: Esta opción permite limitar o garantizar un ancho de banda determinado para una conexión determinada. Esto lo configuramos en Firewall Objects/Traffic Shaper.

Hay que tener en cuenta que las políticas se aplican de arriba hacia abajo, si siempre es conveniente para optimizar los recursos del equipo armar las más específicas sobre las mas abarcativas. Una petición que llegue va a “matchear” con la primera que cumpla con las características configuradas (source interface, source Address, destination interface, destination address, schedule, service) si no las cumple aplica la política de denegar todo implícita.

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

6. Tutorial cómo configurar horarios recurrentes para las políticas en Fortigate.

En mucho de los casos las políticas no deben aplicarse las 24hs del día. El ejemplo más recurrente es el del horario de comida, donde hay un rango horario que las empresas liberan la navegación. Para esto debemos fijar objetos de Firewall.

Tutorial screenshot horarios

Esto lo configuramos en la sección Firewall Objects/Schedule/Recurring, agregando una nueva entrada podemos ingresar un Nombre la cantidad de días y el rango horario. Una vez configurado lo podemos llamar desde las políticas. Tenemos la posibilidad de agregar Horarios para un solo uso en “one-time” y agrupar los horarios en “Group” como las anteriores categorías.

Es importante tener en cuenta que la zona horaria del equipo tiene que estar bien configurada, esto podemos encontrarlo en el Dashboard / System Information /  System Time.

En mucho de los casos que se aplica una configuración con un horario recurrente posiblemente tengamos el problema de que hasta que no se cierre una sesión no aplica la nueva política. Por ejemplo: Sí el horario es de 9 a 18 hs restringido pero de 13 a 14hs libre, puede pasar que una terminal abra una sesión digamos de Skype y no se cierre hasta que esta caduque y este proceso puede ser mas allá de las 14 hs. Para evitar esto tenemos el comando “set schedule-timeout” que por defecto viene desactivado en Fortigate y permite cortar las sesiones después de terminado el horario programado en esa política.

Para esto debemos configurarlo por CLI (Command Line Interface), podemos acceder con un cable consola o simplemente con el que nos facilita el Dashboard del equipo.

# config firewall policy
(policy) # show
 Identificamos que política es la que tiene el horario en que tenemos problemas. 
(policy) # edit (numero de politica)
 # set schedule-timeout enable
 # end
Y con esto deberíamos solucionar el problema.

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

 

5. Tutorial cómo activar la cuenta de Fortiguard y configurar objetos en Fortigate.

Tutorial screenshot Register

Si el equipo no se encuentra registrado, nos figura un pop up para facilitar el trámite. Haciendo click en “register Now” nos abre el cuestionario para activar los servicios de Fortiguard.
Una vez que seguimos los pasos para la registración los servicios activos nos van a figurar en el Dashboard del equipo junto con su fecha de caducidad. Esto nos permite mantener el UTM actualizado con la base de Fortiguard.

De no ser así podemos registrarnos en https://support.fortinet.com/EntryPage.aspx y cargar nuestro numero de contrato y aplicarlo a nuestro equipo con el numero de serie. Esto también se va a ver reflejado en el equipo una vez que tenga una conexión a Internet.

Una vez actualizada las bases podemos configurar las políticas con los Servicios UTM que necesitemos.
Para mantener un orden en el equipo en configuraciones grandes debemos acostumbrarnos a comentar todo lo que podamos y mantener los objetos de Firewall actualizados nos ayudan con esto.

Tutoriales screenshot Objetos

En la sección de Firewall/Objects/Address/Address podemos definir cada uno de los IPs con un nombre de Usuario o alguna otra identificación para ese número IP. Esto es importante a la hora de hacer una investigación en los Logs e identificar los IPs con una persona, Servidor, dispositivo, etc.

En Subnet / IP Range completamos con el IP seguido de la máscara subred, ejemplo. 192.168.1.150/255.255.255.0 ó 192.168.1.150/24.

En Interface definimos si esa dirección pertenece a una interface determinada o cualquiera.

Seguido a definir los IP que necesitemos podemos agruparlos en Firewall/Address/Group esto nos facilita a la hora de crear las políticas de firewall y así aplicar dichas políticas a un grupo determinado de IPs.

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

4. Tutorial Cómo configurar las interfaces en Fortigate.

Para empezar a configurar las interfaces entramos en la categoría System/Network/Interfaces y podemos comenzar con internal.


Tutorial Screenshot edit interface

En esta etapa podemos configurar de 2 formas la parte interna de nuestra red. Una de las formas es como viene de fábrica con los puertos de Internal en modo Switch y así tener posibilidades de conectar más puestos de trabajo. Por otro lado podemos “romper” ese Switch y configurar de forma independiente cada uno de los puertos. En este caso tenemos la posibilidad de tener más interfaces destinadas a una zona desmilitarizada (DMZ) o agregar puertos WAN para múltiples ISP.

Tutorial Screenshot change mode

Una vez definida la forma de trabajar para los puertos Switch, podemos pensar en configurar los puertos de WAN. En cada una interfaces nos deja marcar un “alias” para mantener un orden y ubicarnos con un comentario o el nombre del ISP.

Tutorial Screenshot edit interface

Definimos el modo de trabajar de WAN, si es que el modem le entrega una IP privada por DHCP, lo configuramos de forma manual o de discado PPPoE si es que el modem esta en modo Bridge. Esta última es la mejor opción para no tener problemas con el que modem filtre algún puerto ya que si está trabajando de modo Bridge el modem no controla tráfico por puertos. En el caso de que este como Router y entrega IP con su DHCP debemos definir una DMZ al IP que le entregó al Fortigate, de esta forma nos aseguramos de que todos los puertos estén abiertos para el Fortigate y sea él quien gestione el tráfico. Una vez que definimos el modo de trabajar en esa Interface podemos marcarle la distancia, cuanto menos distancia más prioridad va a tener esa ruta para conectarse. “Retrieve default gateway from server” para que traiga el Gateway del modem al Fortigate y “Override internal DNS” Sobrescribir los DNS que trae el modem a los que están configurados en el Fortigate. En “Administrative Access” podemos definir cómo vamos a acceder al equipo si por HTTP, HTTPS, SSH, SNMP, TELNET, FMG-Access (para Fortianalyzer) y si va a responder el PING. También podemos definir el peso y el límite de desbordamiento (Spillover Threshold)  para darle un valor en kbit/s, esto define el límite de ancho de banda para esa conexión y si sobre pasa este valor migra a la otra interface WAN.
Comentamos algún dato en particular para esta interface y si va a estar activa.
Una vez hecho esto debemos permitir el tráfico creando una política. De fábrica los Fortigate traen una creada de internal a WAN1 para poder navegar cuando hayamos configurado la WAN1 pero no define ninguna configuración de UTM sobre esa política.

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

 

3. Tutorial Cómo cambiar el Password en Fortigate.

Una vez logueado en el equipo lo primero que debemos hacer es cambiar el Password de admin. Esto lo encontramos en la barra izquierda sobre la categoría System/admin/administrators, nos vamos a encontrar con el único user por default “admin” y podemos entrar en la edición simplemente haciendo doble click, botón derecho editar o marcándolo presionamos “editar” en la barra superior.

Tutorial Screenshot cambio de pswd

Cambiamos la contraseña en [Change Password].

También podemos hacer una autenticación de doble factor (Two-factor Authentication) que nos permite darle mas seguridad con FortiToken y restringir a que el Admin solo se conecte en Host de confianza.

 

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

2. Tutorial cómo acceder por Web al ForiOS en Fortigate.

De fábrica los equipos chicos de Fortigate vienen con DHCP activo y entrega un IP en el segmento de 192.168.1.X, para los que no lo traen activo debemos configurar nuestra placa de red con IP fija en:

IP: 192.168.1.X
Submask: 255.255.255.0
Gateway: 192.168.1.99

Los equipos más grandes vienen con DHCP desactivado y con distintos IP de Acceso en cada interface, en el puerto 1 generalmente responde en el rango de 192.168.1.99. Una vez configurado esto y conectado al puerto 1 del Switch del equipo podremos acceder por web desde el siguiente link.
https://192.168.1.99

El usuario por defecto es “admin” y dejamos en blanco el Password.

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.

1. Tutorial ¿Por qué Fortigate?

Hoy en día la forma de trabajar en las empresas a cambiado y con ello la tecnología de infraestructura,  nos obliga a mantenernos actualizados para dar un buen servicio de seguridad. Es por ello que los equipos de Fortinet se alimentan continuamente de la base de datos de Fortiguard para mantenerse al día de los cambios en materia de Virus, Graywares, Malwares, etc.

En principio podemos decir que todas las funcionalidades de los equipos Fortigate son íntegramente propietarias y no requieren de licencias por usuarios, esto reduce el costo de la solución y unifica la administración. Las funcionalidades tales como Firewall, Antivirus perimetral, IPS, VPN IPSec y VPN SSL poseen certificaciones de ICSA Labs.

Principales puntos a favor en equipos  Fortigate.

Firewall: Toda la línea de equipos permite definir individualmente cada una de las interfaces y así darle la posibilidad al equipo a configurar las WAN o DMZ que sean necesarias usando todos los puertos disponibles. Esto permite armar zonas independientes y  trabajar sobre ese tráfico que pasa a través de dichas interfaces pudiendo  hacer un escaneo de Virus, filtro de URL/IP o simplemente monitorear el tráfico y loguearlo.

FortiASIC es el procesador de los equipos de Fortigate íntegramente diseñado para llevar a cabo las tareas de FortiOS en el más alto rendimiento y poniendo al equipo en una gran ventaja en cuanto a la competencia.

Antispam: Los quipos cuentan con un servicio de Antispam también alimentado con la base de datos de Fortiguard que permite filtrar e identificar el correo no deseado.

Anti-Virus / Antispyware: Fortigate cuentan con poderosos Antivirus y Antispyware perimetral alimentado con la base de datos de Fortiguard que mantiene actualizado y al día al equipo.

Web Filtering:
Características principales:
• Bloqueo de contenido Web basado en listas blancas/negras de URL y palabras clave.
• Filtrado de páginas Web basado en categorías (77) y/o clasificaciones, utilizando el Servicio de Fortiguard Web Filtering, con cobertura 24×7 a nivel mundial, que proviene de más de 50 servidores de distribución instalados en 12 diferentes localidades alrededor del mundo.
• Cuotas de uso basadas en tiempo, por categoría: permite otorgar y administrar el uso de recursos de una manera responsable, limitando así posibles abusos. Clasificación de imágenes contenidas en URLs
• Safe Search (Google, Yahoo, Bing): integración completa con los servicios de búsqueda “estrictos” de los 3 proveedores de búsqueda más importantes.

Control de aplicaciones: el Control de Aplicaciones provee un control altamente granular sobre las aplicaciones, llegando incluso hasta identificar al usuario individual que está haciendo uso de ella. Esto permite a los administradores la capacidad de hacer cumplir las políticas de acceso a las aplicaciones basadas en roles de usuario, o quizá por departamento, o unidad de negocio.

Reportes Flexibles: La obtención de reportes, disponible tanto en equipos FortiGate como con FortiAnalyzer, permite poder hacer auditorías para descubrir qué aplicaciones están usando los recursos de red. Con estos reportes se pueden identificar aplicaciones más utilizadas, categorizadas, los usuarios más activos para cada aplicación, etc.

Optimización WAN: La capacidad de WAN Optimization permite hacer caché de archivos sobre el equipo y así mejorar el tiempo de respuesta en múltiples peticiones iguales dentro de red.

IPS: La funcionalidad de Prevención de intrusos permite proteger contra ataques desconocidos mediante de análisis de anomalía en la red. Con el servicio de Fortiguard actualiza la base de datos.

DLP: La función Data Leak Prevention (DLP) o prevención de fuga de información en los equipos Fortigate permite fijar archivos de carácter sensible para las empresas y en base a eso hacer las detecciones y bloqueos que correspondan para evitar la fuga de dicha información.

Traffic Shaping: La función de Traffic Shaping permite gestionar el ancho de banda de los IPS aplicado a rangos de IP o servicios configurándole un rango limitado /asegurado.

VPN IPsec / SSL VPN: El FortiOS cuenta con la posibilidad de crear VPN IPSec y SSL, también da la posibilidad de configurar un portal para que los usuarios ingresen y se conecten de una forma fácil y práctica. También se puede configurar los distintos módulos que aparecen en dicho portal.

 

Tutorial armado por Diego Dominguez basado en Fortigate con FortiOS MR3 patch 10.