Subido por Francisco Vh

FortiGate. Manual Básico de Usuario V1.1

Anuncio
FortiGate
Manual Básico de Usuario
V1.1
Contenido
Introducción .................................................................................................................................................. 4
Tips ................................................................................................................................................................ 5
Entendiendo lo Básico............................................................................................................................... 5
Screenshot vs. Text ................................................................................................................................... 5
Modelos y Firmware ................................................................................................................................. 5
Puertos ...................................................................................................................................................... 5
Direcciones IP y nombres de Objetos ....................................................................................................... 5
Elementos del Texto ................................................................................................................................. 6
Seleccionando OK/Apply ........................................................................................................................... 6
Activando funcionalidades del FortiOS ..................................................................................................... 6
Comenzando ................................................................................................................................................. 7
Cómo hacer Backups y Restauraciones de su configuración ...................................................................... 8
Backup ................................................................................................................................................... 8
Restauración ......................................................................................................................................... 9
Cambio del password del administrador................................................................................................... 10
Creando Objetos......................................................................................................................................... 11
Creando Políticas de Seguridad ................................................................................................................. 12
Seguridad .................................................................................................................................................... 18
Perfiles de Antivirus .................................................................................................................................... 19
Perfiles de WebFilter................................................................................................................................... 20
Troubleshooting ......................................................................................................................................... 21
Use FortiExplorer si no puede conectar con el FortiGate a través de Ethernet. .................................... 21
Comprobar si hay problemas con algún equipo aparte del FortiGate. .................................................. 21
Comprobar las conexiones físicas de red................................................................................................ 21
Compruebe que puede conectarse a la dirección IP interna de la unidad de FortiGate (Modo NAT). .. 21
Compruebe que puede conectarse a la dirección IP de administración de la unidad FortiGate (Modo
transparente). ......................................................................................................................................... 22
Compruebe las configuraciones de la interfaz FortiGate (NAT). ............................................................ 22
Verificar la configuración de la política de seguridad. ............................................................................ 22
Compruebe que puede conectarse a la dirección IP de la interfaz pegada a Internet (Modo NAT). ..... 22
Verificar la configuración de enrutamiento estático (modo NAT).......................................................... 22
Compruebe que puede conectarse a la puerta de entrada proporcionada por el ISP. .......................... 22
Compruebe que puede comunicarse desde la unidad FortiGate a Internet. ......................................... 23
Verificar las configuraciones DNS de la unidad FortiGate y los ordenadores. ....................................... 23
Confirmar que la unidad FortiGate puede conectarse a la red FortiGuard. ........................................... 23
Considere cambiar la dirección MAC de la interfaz externa (NAT). ....................................................... 23
Cómo acceder al servicio de Soporte JMTelcom ....................................................................................... 24
Introducción
FortiGate es una appliance de seguridad para su red que puede aplicar numerosas funcionalidades para
el trato del tráfico, provee además seguridad consolidada que cubre las necesidades de protección a la
red de su empresa.
Este manual básico de FortiGate está dividido en las siguientes secciones:




Comenzando: Ejemplos que ilustran el uso inicial de su FortiGate y funciones más básicas.
Seguridad: Ejemplos de aplicación que le servirán para proteger su red.
Troubleshooting: Pasos básicos para descubrir problemas en red.
Cómo solicitar soporte local de JMTelcom: Indicaciones para atender sus requerimientos de forma
efectiva.
Tips
Antes de comenzar, aquí
puedes encontrar algunos
“Tips” para el uso de este
manual
Entendiendo lo Básico
Algunos pasos básicos, como el loguear dentro de nuestro FortiGate, no están incluidos
en la mayoría de Configuraciones de este manual. Esta información puede ser encontrada
en la QuickStart Guide del producto
Screenshot vs. Text
Este manual usa tanto screenshots como texto para explicar paso a paso la configuración
de cada ejemplo. Las screenshots muestran la configuración completa, mientras que el
texto señala los detalles claves (por ejemplo: las configuraciones que son estrictamente
necesarias para la configuración) y provee información adicional. Para una comprensión
más certera de este manual inicie con el screenshot primero y luego lea el texto
detalladamente.
Modelos y Firmware
Menús de la GUI (graphical user interface), opciones y nombres de interfaces pueden
variar dependiendo del modelo y versión de firmware que usted este utilizando. Por
ejemplo, algunos FortiGates tienen una interface default llamada lan mientras que en
otros modelos la interface se llama internal.
Puertos
Los puertos específicos utilizados en este manual han sido escogidos al azar para efecto
de demostración en los ejemplos, cuando usted este configurando su unidad puede
sustituir los ejemplos con sus propios puertos, proveyendo de esta manera la misma
función.
Por ejemplo, en muchos ejemplos la WAN1 o INTERNET es la interface usada para acceso
a la World Wide Web. Si su FortiGate usa diferentes puertos para dicha función, usted
debe de usarlo en sustitución de la WAN1 o puerto INTERNET que muestra el ejemplo.
Direcciones IP y nombres de Objetos
Las direcciones IP mostradas en los Screenshots o configuraciones son para mostrarlos de
manera simple en los ejemplos. Cuanto usted este configurando su unidad, sustituya con
sus propias direcciones y también utilice sus propios nombres para señalar los objetos,
(incluyendo cuentas de usuarios) que son creadas en algunos ejemplos. Utilice nombres
específicos y fáciles de identificar (sin uso de espacios) para que le sea más fácil determinar
más adelante en que está siendo utilizado el objeto.
Elementos del Texto
Texto en Negritas indica el nombre del campo o la función en la GUI. Cuando se requiere, Texto Itálico
indica información que usted debe ingresar. Itálicas también son usada para notas que contienen
información que le pueden ser útil.
Seleccionando OK/Apply
Siempre seleccione OK o Apply cuando complete un paso en la GUI.
Activando funcionalidades del FortiOS
Algunas funcionalidades del FortiOS pueden ser “apagadas”, es decir que no aparecerán en la GUI. Si
algunas son requeridas para algún ejemplo de este manual y no aparece ingrese en el menú System >
Feature Select y asegúrese que esa funcionalidad está marcada.
También en algunos modelos de FortiGates, algunas funcionalidades están disponibles solo por CLI
(interfaz de línea de comandos). Para mayor información puede ver el documento Feature/Platform
Matrix (“Technical Documentation” website).
Comenzando
Esta sección tiene información sobre tareas básicas para comenzar a utilizar su FortiGate, incluyendo
roles comunes de instalación y configuración que puede tener una unidad conectada a su red Local.
1234-
Cómo hacer Backups y Restauraciones de su configuración
Cambio de Password del Administrador
Creando Objetos
Creando Políticas de Seguridad
1
Cómo hacer Backups y Restauraciones de su configuración
Backup
1. Ingresar con la IP asignada a la administración gráfica o GUI del FortiGate por medio de un
navegador.
2. Ingresamos usando nuestras credenciales de administración del
Firewall (Usuario y Password), estos serán asignados la primera
vez por el ingeniero encargado de la instalación de su equipo.
3. Luego de acceder a la GUI, ingresamos al menú Dashboard
4. Del lado derecho de la ventana de nuestro navegador y buscar el widget de System Information
y hacer clic en Backup
5. Aparecerá la ventana de Backup
donde tenemos la opción de ponerle
un password a nuestro backup para
encriptarlo (si se encripta el backup
no existe manera de recuperar la
contraseña en caso de haberla
olvidado) Luego damos clic en el
botón de OK.
Restauración
1. Del lado derecho de la ventana de nuestro navegador y bajo el widget de System Information,
hacer clic en Restore.
2. Aparecerá la ventana de Restore
donde seleccionamos la ubicación de
nuestro backup (si se encripto el
backup y se olvidó la contraseña, no
podremos restaurar la configuración
pues no existe manera de recuperar la
contraseña). Luego damos clic en el
botón de OK.
2
Cambio del password del administrador
1. Ingresamos al menú de System >
Administrators y seleccionamos el
administrador al que queremos
cambiarle password y le damos clic en
Edit.
2. En la ventana siguiente le damos clic en
el botón de Change Password.
3. Ingresamos las credenciales actuales
del usuario admin y colocamos las
nuevas, finalizado esto damos clic al
botón de OK.
4. Se cerrará la sesión actual y tendrá que acceder nuevamente con el usuario y la nueva contraseña.
3
Creando Objetos
1. Ingresamos al menú Policy & Objects >
Addresses y damos clic en el botón de Create
New
2. Podemos seleccionar entre dos tipos de objetos Direcciones (Address) o
Grupos de Direcciones (Address Group). Para nuestro ejemplo crearemos
un objeto de dirección
3. Llenamos los campos necesarios (Nombre,
tipo y el objeto como tal) sin utilizar espacios
ni caracteres especiales como “* ñ/> <¡!‘¿?” o
palabras con tildes y damos clic en el botón de
OK.
Todos los objetos creados en el menú de Addresses deben de ser utilizados en política, de lo contrario el
objeto por sí solo no ejecuta ninguna acción.
4
Creando Políticas de Seguridad
En este apartado usted aprenderá a crear y ordenar múltiples políticas de seguridad en la tabla de
políticas, para aplicar la política adecuada dependiendo del tipo de tráfico en la red.
En este ejemplo 3 políticas de IPv4 serán configuradas:



Internet: Una política general de acceso a internet para toda la red LAN
Móvil: Una política que permita acceso a internet mientras aplica web filter para dispositivos
móviles, en este caso una red inalámbrica ha sido configurada en la misma Subnet de la LAN
Admin: Política que permita acceso full al PC del administrador (llamada SysAdminPC)
Una cuarta política, la política default implícita, también será utilizada.
Configurando la política de INTERNET
-
Ir a Policy & Objects > IPv4 Policy y creemos
una política nueva permitiendo tráfico
saliente hacia internet.
-
Definiremos un nombre para la política, será
llamada Internet.
-
Agregar la interface para la red local y la
interface del enlace de internet.
-
En Source y Destination Address seleccionar
All.
-
Definamos los servicios para HTTP, HTTPS y
DNS.
-
Asegurémonos que la política tenga NAT
habilitado.
-
Para poder ver resultados más adelante
habilitemos la opción de Log Allowed Traffic
y seleccionemos All Sessions.
Configurando política para dispositivos Móviles
-
Ir a la Policy & Objects > IPv4 Policy
y crearemos una nueva política.
Establecer nombre de la política a
Mobile.
-
Ajustar Incoming Interface a lan,
Source Device Type a Mobile Device
(un
grupo
de
dispositivos
personalizado que incluye tabletas y
teléfonos
móviles),
Outgoing
Interface a su interface saliente a
internet, y el Servicio de HTTP,
HTTPS y DNS.
El uso de un grupo de dispositivos
habilita
automáticamente
la
identificación del dispositivo en la
interface LAN.
-
Habilitar NAT.
-
En Security Profiles, habilite Web
Filter y configurarlo para utilizar el
perfil Default.
-
Habilitar
SSL
Inspection
y
seleccionar Certificate-Inspection
para permitir que el trafico HTTPS
sea inspeccionado. Hacer esto activa
las Proxy Options; la cual se
establece en el perfil Default.
-
Habilitamos la opción de Log
Allowed Traffic y seleccionemos All
Sessions
Creando SySAdminPC
-
Vamos a User & Devices > Custom
Devices & Groups y creemos un nuevo
dispositivo. Este dispositivo identificara
la PC del administrador de sistemas.
-
Selecciones el Alias apropiado, luego
defina la MAC Address y el Device Type
Apropiado
Creando la Política de Admin
-
Ingrese a Policy & Objects > IPv4 Policy y
creemos una nueva política. Defina el
Name como Admin.
-
Defina Incoming interface hacia lan,
Source Device Type como SysAdminPC,
Outgoing Interface hacia su interface de
Internet, y los Service como ALL.
-
Habilite NAT, y habilitamos la opción de
Log Allowed Traffic y seleccionemos All
Sessions
Ordenando la tabla de Políticas
-
Ingrese a Policy & Objects > IPv4 Policy para ver la tabla de políticas, seleccionemos ver By
Sequence, la cual muestra las políticas en orden usadas por el FortiGate.
Actualmente, las políticas están dispuestas en el orden en que fueron creadas.
Con el fin de que el tráfico fluya correctamente a través de cada política, deben estar dispuestas de
manera que las políticas más específicas se encuentran en la parte superior.
-
Para reorganizar las políticas, seleccione la columna en el extremo izquierdo (en el ejemplo, Seq.#)
y arrastre la política para la posición deseada, como se muestra a la derecha.
Resultados
Navegue por Internet usando la PC del administrador del sistema, un PC diferente, y un dispositivo móvil.
-
Ir a FortiView > Policies y
seleccione la vista de now.
Se puede ver que fluye el
tráfico a través de las tres
políticas de seguridad.
-
Haga clic derecho en la
política de Admin y
seleccione Drill Down to
Details.
-
Ver la pestaña de Source para confirmar que esta política está siendo utilizado exclusivamente
por SysAdminPC.
(Opcional) Trate de hacer alguna conexión por HTTPS a un servidor web (ejemplo
https://www.google.com.sv). Únicamente la PC del administrador podrá conectar con el sitio.
Seguridad
Esta sección contiene información sobre cómo utilizar las características de seguridad de un FortiGate,
incluyendo antivirus y filtrado web.


Antivirus
WebFilter
Perfiles de Antivirus
-
Seleccionamos el Menú de Security Profiles > AntiVirus.
-
Asignar Name al perfil como AntiVirus_Profile
-
En la accion de Detect Viruses seleccionar Block.
Los protocolos que seran inspeccionados por el
perfil seran:
 HTTP
 SMTP
 POP3
 IMAP
 MAPI
 FTP
-
Marcamos las opciones de Inspection Options.
 Treat Windows Executables in Email
Attachments as Viruses.
 Include Mobile Malware Protection.
-
Por ultimo damos clic al boton de OK.
-
Luego vamos a la politica a la que queremos
asignarle el perfil ingresando al menu de Policy
& Objects > IPv4 Policy y seleccionando la
politica, luego le damos clic en el boton de Edit
(en este caso es la politica que permite acceso
de la red local hacia Internet).
-
En la seccion de Security Profiles
seleccionamos la opcion de AntiVirus y
marcamos nuetro perfil AntiVirus_Profile.
Hacer esto activa las Proxy Options; la cual se
establece en el perfil Default.
Perfiles de WebFilter
En este ejemplo demostraremos como bloquear Facebook por categoría de Web Filter.
-
Ingresemos al menú Security Profiles >
WebFilter y editamos el perfil de filtrado
Web predeterminado (default).
-
Para bloquear Facebook, active la opción de
FortiGuard category based filter.
-
Seleccione General Interest – Personal y con
clic derecho marcamos la categoría Social
Networking como Block; guardamos los
cambios haciendo clic al botón de Apply.
Luego vamos a la politica a la que queremos
asignarle el perfil ingresando al menu de Policy
& Objects > IPv4 Policy y seleccionando la
politica, luego le damos clic en el boton de Edit
(en este caso es la politica que permite acceso
de la red local hacia Internet).
-
En la seccion de Security Profiles
seleccionamos la opcion de AntiVirus y
marcamos nuetro perfil AntiVirus_Profile.
Hacer esto activa las Proxy Options; la cual se
establece en el perfil Default.
Troubleshooting
Si su FortiGate no funciona como usted lo desea después de completar la instalación, pruebe los siguientes
métodos para la solución de problemas.
La mayoría de los métodos se pueden utilizar para FortiGates tanto en modo NAT y en modo transparente.
Las excepciones están marcadas.
Use FortiExplorer si no puede conectar con el FortiGate a través de Ethernet.
Si no puede conectarse a la interfaz gráfica de usuario FortiGate o CLI, es posible que pueda conectarse
utilizando FortiExplorer. Ver su Guía de inicio rápido de la unidad FortiGate para más detalles.
Comprobar si hay problemas con algún equipo aparte del FortiGate.
Compruebe que todos los equipos de la red están encendidos y funcionando como se espera. Consulte la
guía de inicio rápido para información acerca de la conexión a la red FortiGate. También encontrará
información detallada sobre los indicadores LED del dispositivo.
Comprobar las conexiones físicas de red.
Compruebe los cables que se utilizan en todas las conexiones físicas para asegurarse de que están todos
conectados y que no parezcan que están dañados. Asegúrese de que cada cable esté conectado al
dispositivo correcto y el puerto Ethernet correcto en ese dispositivo.
Además, verifique el widget de Funcionamiento de la unidad en el Dashboard para asegurarse de que las
interfaces conectadas se muestran en verde.
Compruebe que puede conectarse a la dirección IP interna de la unidad de FortiGate
(Modo NAT).
Conectar con la GUI del FortiGate desde su navegador usando la dirección IP. Desde la PC, intente hacer
ping a la dirección IP de la interfaz interna; por ejemplo, de ping 192.168.1.99.
Si no puede conectarse a la interfaz interna, comprobar la configuración IP de su PC. Si puede hacer ping
a la interfaz, pero no se puede conectarse a la GUI, compruebe la configuración para el acceso
administrativo en esa interfaz usando FortiExplorer.
Compruebe que puede conectarse a la dirección IP de administración de la unidad
FortiGate (Modo transparente).
Desde la red interna, intente hacer ping a la dirección IP de administración. Si no puede conectarse a la
interfaz internal, verificar la configuración IP de su PC y asegúrese de que los cables están conectados y
todos los switches y otros dispositivos de la red estén encendidos y en funcionamiento. Ir a la siguiente
etapa cuando se puede conectar con la interface interna.
Compruebe las configuraciones de la interfaz FortiGate (NAT).
Compruebe la configuración de la interfaz del FortiGate conectada a la red interna, y comprobar la
configuración de la interfaz que se conecta a Internet para validar si el direccionamiento está configurado
de modo correcto.
Verificar la configuración de la política de seguridad.
Compruebe que la interfaz interna y la interfaz de Internet se ha agregado en la política de seguridad y
está situado cerca de la parte superior de la lista de políticas. Compruebe la columna de Sesiones para
asegurar que el tráfico ha sido procesado (si esta columna no aparece, haga clic en la fila del título en el
gestor de políticas, seleccione Sesiones y seleccione Aplicar).
Si está utilizando el modo NAT, comprobar la configuración de la política para asegurarse de que NAT está
activado y que este seleccionado Use Destination Interface Address.
Compruebe que puede conectarse a la dirección IP de la interfaz pegada a Internet (Modo
NAT).
Haga Ping a la dirección IP de la interfaz que esta frene a Internet del FortiGate. Si no puede conectarse a
la interfaz, el FortiGate no está permitiendo sesiones desde la interfaz interna a la interfaz de Internet.
Verificar la configuración de enrutamiento estático (modo NAT).
Compruebe que la ruta default es la correcta. Ver el Monitor de rutas y verificar que la ruta por defecto
aparece en la lista como una ruta estática. Junto con la ruta por defecto, verá que hay dos rutas que se
muestran como Conectado, uno para cada conectada interfaz del FortiGate.
Compruebe que puede conectarse a la puerta de entrada proporcionada por el ISP.
Haga Ping a la dirección IP de puerta de enlace predeterminada desde su PC en la red interna. Si no puede
llegar a la puerta de entrada, contacte a su ISP para comprobar que está utilizando la puerta de entrada
correcta y si el enlace de internet está funcionando bien.
Compruebe que puede comunicarse desde la unidad FortiGate a Internet.
Acceso a la CLI FortiGate y utilizar el comando de exe ping 8.8.8.8, también puede utilizar exe traceroute
8.8.8.8 para solucionar problemas de conectividad a Internet.
Verificar las configuraciones DNS de la unidad FortiGate y los ordenadores.
Compruebe si hay errores de DNS haciendo ping o traceroute para conectarse a un nombre de dominio;
Por ejemplo: ping www.fortinet.com. Si el nombre no se puede resolver, la unidad FortiGate o PC no
pueden conectarse a un servidor DNS y debe confirmar que las direcciones IP de los servidores DNS que
son los correctos.
Confirmar que la unidad FortiGate puede conectarse a la red FortiGuard.
Una vez registrada, la unidad FortiGate obtiene firmas de antivirus y control de aplicaciones y otras
actualizaciones de la nube de FortiGuard. Una vez que la unidad de FortiGate está en su red, confirmar
que puede llegar a FortiGuard.
En primer lugar, comprobar el widget de información de licencia para asegurarse de que el estado de
todos los servicios FortiGuard coincide con los servicios que ha comprado. Ir a la configuración de
FortiGuard y ampliar el filtrado web y correo electrónico. Seleccione Prueba de disponibilidad. Después
de un minuto, la interfaz gráfica de usuario debe mostrar una conexión exitosa.
Considere cambiar la dirección MAC de la interfaz externa (NAT).
Algunos ISP no permiten que la dirección MAC del dispositivo conectado a su dispositivo de red cambie
por lo que usted puede cambiar la dirección MAC de la interfaz orientada a Internet utilizando el siguiente
comando de CLI:
config system interface
edit (Interface destinada a Internet, ej. edit wan1)
set macaddr (La misma MAC address del dispositivo que estaba conectado antes)
end
end
Cómo acceder al servicio de Soporte
JMTelcom
a) Levantar un ticket definiendo la prioridad del mismo en el portal de soporte:
http://support.mayabits.com , en donde se le dará un número de caso y será asignado un
Ingeniero de Servicio el cual se comunicará con usted y le dará seguimiento al problema.
b) Marcar al teléfono del Call Center 2246-6046, donde contestará nuestro personal de HelpDesk,
quien determinará la criticidad del problema y abrirá un ticket de soporte donde se le asignará un
número para dicho ticket. posteriormente un Ingeniero de Servicio se comunicará con usted y le
dará seguimiento al problema.
c) Enviar un correo electrónico a la cuenta support@mayabits.com donde nuestro personal de
HelpDesk determinará la criticidad del problema y abrirá un ticket, será asignado a un Ingeniero
de Servicio el cual se comunicará con usted y le dará seguimiento al problema reportado.
El equipo humano que forma parte de nuestro Servicio de HelpDesk está situado en las oficinas de
MayaBits S.A. y está integrado por Ingenieros especialistas en la atención y soporte a usuarios, así como
en la resolución de incidencias.
TIPOS DE INCIDENTES Y TIEMPOS DE RESPUESTA
Tipo de
Incidencia
Crítica
Media
Leve
Estatus del Sistema
Sistema Inoperativo e
imposibilidad de trabajar.
Problemas intermitentes
No causa interrupción
inmediata de labores.
No hay impacto en el
sistema. Actualizaciones,
preguntas, instalaciones
o nuevas
configuraciones.
Impacto en la
Productividad
Tiempos de
Respuesta
Alto
Crítica: 2-4 horas
Impacto a largo
plazo
Media: 8-12 horas
No hay impacto
Leve: 24-48 horas
Comentarios
Si su contrato de
soporte es 8x5 el
cual no incluye fines
de semana ni horas
fuera de oficina y se
crea una solicitud
luego de las 6 P.M. o
en fin de semana,
Serán atendidas
hasta el siguiente día
hábil.
ENLACES DE INTERES

Fortinet Cookbook - http://cookbook.fortinet.com

Fortinet Knowledge Base - http://kb.fortinet.com

Technical Documentation - http://docs.fortinet.com

Video Tutoriales - http://video.fortinet.com

Training Services - http://campus.training.fortinet.com

Technical Support - https://support.fortinet.com
Descargar
Fichas aleatorios
Prueba

4 Tarjetas Arthas Quinzel

tarjeta del programa pfizer norvasc

0 Tarjetas joseyepezsumino

tarjeta del programa pfizer norvasc

0 Tarjetas joseyepezsumino

tarjeta del programa pfizer norvasc

0 Tarjetas joseyepezsumino

tarjeta del programa pfizer norvasc

0 Tarjetas joseyepezsumino

Crear fichas