Forti Curso.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Forti Curso.docx as PDF for free.
More details
- Words: 1,035
- Pages: 25
FortiOS
Puede proveer de servicios de: VPN, Intrusion Prevention, Aplication Control, Web Filtering, WAN Optimization, Antispam, Antivirus, Firewall, etc. DEFAULT SETTINGS -
En el Port1 o Internal, se encuentra configurado la IP=192.168.1.99. En el Port1 o Internal, tendrá configurado un DHC Server. Credenciales default: Admin sin password.
Las funcionalidades de los dispositivos Fortigate son: 1) Plataforma FortiManager Permite la gestión, administración y configuración desde un único punto centralizado de miles de equipos Fortigate distribuidos en nuestro entorno de telecomunicaciones. 2) Equipos FortiAnalyzer Provee herramientas de gestión y análisis de logs, informes automatizados, scanning, análisis de vulnerabilidades, forense, etc. 3) FortiAP (Wireless) Junto con el controlador Wireless de Fortigate, permiten aplicar políticas al tráfico Wifi de la misma manera que el tráfico LAN. 4) FortiSandBox Es capaz de analizar el comportamiento de malware desconocido, evitando que se expanda. 5) Software FortiClient
Dotado de funciones de Firewall, Antimalware, AntiSpam, Web Filter, Control de aplicaciones e integración con el FOrtiSandBox.
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes: Modo router/NAT o modo Transparente (se comporta como un Bridge). No posee IP’s en sus interfaces (solo una IP de gestión propio del equipo y actualización de firmas, a las que atiende desde cualquier interfaz). Por lo tanto, el equipo puede ser introducido en cualquier punto de red sin necesidad de realizar alguna modificación en cualquier dispositivo. También es posible combinar las dos funcionalidades.
CONFIGURACION DE USUARIOS
PERFILES DE ADMINISTRADOR -
Para crear una nueva cuenta administrativa, debe existir un perfil al cual se le va a asociar.
-
El Ref es de cuantas cuentas están invocando al perfil.
NOTA: Se puede desactivar el Iddle Timeout, activando la casilla.
NOTA: Esto son los usuarios de gestión del fortigate. CONFIGURACION DE LA HORA
CONFIGURAR DNS
ACCESO A LA CONSOLA
VDOM (Virtual Domain) -
Cada modelo dispone de un número máximo de VDOM que se pueden crear, sin licencia adicional. Conocidos también como Fortigate’s Virtuales. Como mínimo se tiene un puerto físico o lógico dedicado a una VDOM. La VDOM default es el Root.
-
Una VDOM tiene un límite de políticas asociadas. VDOM Link: Es un mecanismo que crea interfaces entre VDOM’s para dar conectividad entre ellos. Se tiene que crear políticas también en estos links. Tambien llamados IVL (inter Vdom Link).
-
Solo los Super_usuarios pueden crear vdoms. Hay diferencias en un Super_Admin y un Read_Write_all.
CONFIGURACION DE INTERFACES
-
Al agregarle el rol de WAN, se puede observar que admite una opción de rate-limit.
RUTAS ESTATICAS
CONFIGURACION DE DHCP SERVER
-
Se hace desde la interfaz, debe tener una IP Manual y activarse el modo DHCP Server.
-
También se puede hacer reservaciones en las opciones avanzadas.
CONFIGURACION DE INTERFACES TRONCALES Y VLANS
CAPTURAR TRAFICO
OSPF BASICO -
No es necesario crear un IP POLICY para permitir el intercambio de protocolos de routing entre interfaces.
-
Caracteristicas adicionales
-
Al aplicarse, se activan globalmente y no hace falta aplicarlo a una interfaz en especial (por mas que solo se haya configurado en el comando NETWORK).
POLICY ROUTES -
El Firewall está entregando rutas OSPF por a través de su Port2. Su función es similar al PBR.
-
En el Fortigate no existe los filter routes ni los route-map.
POLICY AND OBJECTS
SCHEDULE -
Son tareas programadas, sobre todo se configura el tiempo.
-
También se puede agrupar varios Schedules para aplicarlos a la vez.
SERVICES -
Ya están creados por default, pero pueden crearse nuevos o agruparlos para un mejor entendimiento, incluso otra categoría. Se pueden crear, Servicios, Grupo de Servicios o Categorías. Se dividen por categorías:
-
Creando un nuevo servicio.
-
En el Grupo de Servicios, análogamente a otros Grupos, solo se agregan los miembros. En la siguiente imagen muestra cómo se crean nuevas Categorías.
INTERNET SERVICES -
Estos no se pueden crear nuevos Internet Services, ni editarlos (aunque aparezca la opción).
ADDRESSES -
Acá se configuran las IP’s para denominarles un nombre en especial y poder aplicarlos en los IPV4 POLICY.
-
Un FQDN es un nombre que incluye el nombre de la computadora y el nombre de dominio asociado a ese equipo. Por ejemplo, dada la computadora llamada «serv1» y el nombre de dominio «bar.com.», el FQDN será «serv1.bar.com.»; a su vez, un FQDN asociado a serv1 podría ser «post.serv1.bar.com.». Hay varios modos de configurar un Adress:
-
-
También se puede crear grupos para agregar estas direcciones:
-
El “Show Address List” indica que serán visibles.
WILDCARD FQDN
TRAFFIC SHAPER -
Con lo enunciado anteriormente, este tipo de política no se asocia con el IPV4 POLICY.
-
Tiene el modo compartido (Shared) y por IP (Per-IP). Se puede observar que no hay aplicación de entrada o de salida, es por eso que al crear los Shapers, estos se aplican recién en los Policy Shapers
POLICY SHAPERS -
Existe versión de IPV4 e IPV6. Al igual que los IP POLICY, se usarán los Addresses (source y destination), Schedules, Services. Además también es factible usar las herramientas: FIREWALL APLICATIONS y WEB FILTER.
IP POLICY -
De no existir, no hay intercambio de protocolos IP.
IP POOL -
Se utiliza como un Pool dinámico para el nateo.
-
Como ejemplo se tiene la siguiente estructura: NAT Dynamica
192.168.1.0/24 172.16.150.0/30 .1
INTERNET
.2
.1
CPE FORTIGATE ip route 190.119.100.0/29 172.16.150.2
-
Se creara un IP POOL “One-to-One” con el rango.
-
Una vez creado el IP POOL, se aplicará esto en el POLICY IPV4. Comunmente se activa el “Preserve source port” para que en el nateo se conserve el puerto de origen. Se pueden asociar varios IP POOL pero los rangos de IP’s no puede sobreescribirse.
-
Se observa el nateo en el router CPE. Recordar que este Firewall no tiene ninguna IP interna publica, todo es nateado. El Pool dinámica no suele tener política de retorno.
NATEO ESTÁTICO
-
Para un estatico 1 a 1 se requiere tanto de ida como de vuelta. Para la IDA se configurará un POOL IP de una sola dirección.
-
Y para el retorno se creará una Virtual IP.
-
Aquí mismo también se puede configurar el PORTFORWARDING, pero esto solo tiene sentido en el retorno.
-
El VIP se aplica en el destino.
Puede proveer de servicios de: VPN, Intrusion Prevention, Aplication Control, Web Filtering, WAN Optimization, Antispam, Antivirus, Firewall, etc. DEFAULT SETTINGS -
En el Port1 o Internal, se encuentra configurado la IP=192.168.1.99. En el Port1 o Internal, tendrá configurado un DHC Server. Credenciales default: Admin sin password.
Las funcionalidades de los dispositivos Fortigate son: 1) Plataforma FortiManager Permite la gestión, administración y configuración desde un único punto centralizado de miles de equipos Fortigate distribuidos en nuestro entorno de telecomunicaciones. 2) Equipos FortiAnalyzer Provee herramientas de gestión y análisis de logs, informes automatizados, scanning, análisis de vulnerabilidades, forense, etc. 3) FortiAP (Wireless) Junto con el controlador Wireless de Fortigate, permiten aplicar políticas al tráfico Wifi de la misma manera que el tráfico LAN. 4) FortiSandBox Es capaz de analizar el comportamiento de malware desconocido, evitando que se expanda. 5) Software FortiClient
Dotado de funciones de Firewall, Antimalware, AntiSpam, Web Filter, Control de aplicaciones e integración con el FOrtiSandBox.
Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes: Modo router/NAT o modo Transparente (se comporta como un Bridge). No posee IP’s en sus interfaces (solo una IP de gestión propio del equipo y actualización de firmas, a las que atiende desde cualquier interfaz). Por lo tanto, el equipo puede ser introducido en cualquier punto de red sin necesidad de realizar alguna modificación en cualquier dispositivo. También es posible combinar las dos funcionalidades.
CONFIGURACION DE USUARIOS
PERFILES DE ADMINISTRADOR -
Para crear una nueva cuenta administrativa, debe existir un perfil al cual se le va a asociar.
-
El Ref es de cuantas cuentas están invocando al perfil.
NOTA: Se puede desactivar el Iddle Timeout, activando la casilla
NOTA: Esto son los usuarios de gestión del fortigate. CONFIGURACION DE LA HORA
CONFIGURAR DNS
ACCESO A LA CONSOLA
VDOM (Virtual Domain) -
Cada modelo dispone de un número máximo de VDOM que se pueden crear, sin licencia adicional. Conocidos también como Fortigate’s Virtuales. Como mínimo se tiene un puerto físico o lógico dedicado a una VDOM. La VDOM default es el Root.
-
Una VDOM tiene un límite de políticas asociadas. VDOM Link: Es un mecanismo que crea interfaces entre VDOM’s para dar conectividad entre ellos. Se tiene que crear políticas también en estos links. Tambien llamados IVL (inter Vdom Link).
-
Solo los Super_usuarios pueden crear vdoms. Hay diferencias en un Super_Admin y un Read_Write_all.
CONFIGURACION DE INTERFACES
-
Al agregarle el rol de WAN, se puede observar que admite una opción de rate-limit.
RUTAS ESTATICAS
CONFIGURACION DE DHCP SERVER
-
Se hace desde la interfaz, debe tener una IP Manual y activarse el modo DHCP Server.
-
También se puede hacer reservaciones en las opciones avanzadas.
CONFIGURACION DE INTERFACES TRONCALES Y VLANS
CAPTURAR TRAFICO
OSPF BASICO -
No es necesario crear un IP POLICY para permitir el intercambio de protocolos de routing entre interfaces.
-
Caracteristicas adicionales
-
Al aplicarse, se activan globalmente y no hace falta aplicarlo a una interfaz en especial (por mas que solo se haya configurado en el comando NETWORK).
POLICY ROUTES -
El Firewall está entregando rutas OSPF por a través de su Port2. Su función es similar al PBR.
-
En el Fortigate no existe los filter routes ni los route-map.
POLICY AND OBJECTS
SCHEDULE -
Son tareas programadas, sobre todo se configura el tiempo.
-
También se puede agrupar varios Schedules para aplicarlos a la vez.
SERVICES -
Ya están creados por default, pero pueden crearse nuevos o agruparlos para un mejor entendimiento, incluso otra categoría. Se pueden crear, Servicios, Grupo de Servicios o Categorías. Se dividen por categorías:
-
Creando un nuevo servicio.
-
En el Grupo de Servicios, análogamente a otros Grupos, solo se agregan los miembros. En la siguiente imagen muestra cómo se crean nuevas Categorías.
INTERNET SERVICES -
Estos no se pueden crear nuevos Internet Services, ni editarlos (aunque aparezca la opción).
ADDRESSES -
Acá se configuran las IP’s para denominarles un nombre en especial y poder aplicarlos en los IPV4 POLICY.
-
Un FQDN es un nombre que incluye el nombre de la computadora y el nombre de dominio asociado a ese equipo. Por ejemplo, dada la computadora llamada «serv1» y el nombre de dominio «bar.com.», el FQDN será «serv1.bar.com.»; a su vez, un FQDN asociado a serv1 podría ser «post.serv1.bar.com.». Hay varios modos de configurar un Adress:
-
-
También se puede crear grupos para agregar estas direcciones:
-
El “Show Address List” indica que serán visibles.
WILDCARD FQDN
TRAFFIC SHAPER -
Con lo enunciado anteriormente, este tipo de política no se asocia con el IPV4 POLICY.
-
Tiene el modo compartido (Shared) y por IP (Per-IP). Se puede observar que no hay aplicación de entrada o de salida, es por eso que al crear los Shapers, estos se aplican recién en los Policy Shapers
POLICY SHAPERS -
Existe versión de IPV4 e IPV6. Al igual que los IP POLICY, se usarán los Addresses (source y destination), Schedules, Services. Además también es factible usar las herramientas: FIREWALL APLICATIONS y WEB FILTER.
IP POLICY -
De no existir, no hay intercambio de protocolos IP.
IP POOL -
Se utiliza como un Pool dinámico para el nateo.
-
Como ejemplo se tiene la siguiente estructura: NAT Dynamica
192.168.1.0/24 172.16.150.0/30 .1
INTERNET
.2
.1
CPE FORTIGATE ip route 190.119.100.0/29 172.16.150.2
-
Se creara un IP POOL “One-to-One” con el rango.
-
Una vez creado el IP POOL, se aplicará esto en el POLICY IPV4. Comunmente se activa el “Preserve source port” para que en el nateo se conserve el puerto de origen. Se pueden asociar varios IP POOL pero los rangos de IP’s no puede sobreescribirse.
-
Se observa el nateo en el router CPE. Recordar que este Firewall no tiene ninguna IP interna publica, todo es nateado. El Pool dinámica no suele tener política de retorno.
NATEO ESTÁTICO
-
Para un estatico 1 a 1 se requiere tanto de ida como de vuelta. Para la IDA se configurará un POOL IP de una sola dirección.
-
Y para el retorno se creará una Virtual IP.
-
Aquí mismo también se puede configurar el PORTFORWARDING, pero esto solo tiene sentido en el retorno.
-
El VIP se aplica en el destino.
Related Documents
Forti Curso.docx
December 2019 6
Prossimi Impegni Terre Forti
December 2019 5
Sistema Regione Reti Forti - 161-169
November 2019 2
Sistema Regione Reti Forti - 274-328
November 2019 3
Sistema Regione Reti Forti - 25-54
November 2019 5