Anda di halaman 1dari 24

SistemaUTM

Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012 UTM-FORTIGATE-50B-PRCTICA

1 OBJETIVOS Configurar y conocer opciones comunes de UTMs. Conocer la gestin bsica de Fortigate 50B. Crear VPNs

2 PASOS A REALIZAR Prctica uno Configura una solucin que controle y deniegue el paso de virus, de correos no deseados y de sitios web no deseados Prctica dos Guarda los registros que genera el dispositivo en un almacenamiento fsico y no en la memoria RAM del mismo. Prctica tres Consigue crear polticas de cortafuegos que se validen contra un servidor de autentificacin a tu eleccin. Prctica cuatro VPN's EN FORTIGATE Configurar una VPN por IPSEC para conectar con un cliente de la misma casa, Forticlient. Prctica cinco Configura un cliente para realizar conexiones VPN IPSec sobre un servidor VPN Fortigate 50B Prctica extra Crear una restriccin de velocidad y de descarga total en un da para programas p2p.

3 BIBLIOGRAFIA Y RECURSOS Debido a la cantidad de aspectos que un sistema UTM maneja se har necesario acceder a todo tipo de recursos y documentacin tcnica. Existe una gran cantidad de informacin tcnica accesible desde la pgina oficial del producto. Es de aqu donde he realizado todas las consultas para terminar la tarea. Est en Ingls. Para acceder a informacin en espaol existe un foro no oficial para Fortinet. Para asuntos concretos siempre se puede utilizar el buscador de su preferencia.

Se da permiso para copiar, distribuir o modificar este documento en los trminos que establece la licencia Creative Commons Reconocimiento-CompartirIgual 3.0. Este documento es de su autor

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Prctica uno-. Configura una solucin que controle y deniegue el paso de virus, de correos no deseados y de sitios web no deseados Activa el escaneo antivirus y antispam en fortigate. Activar el escaneo antivirus y antispam en nuestro fortigate Se crea un perfil de proteccin en el que se activa el escaneo antivirus y el escaneo antispam a los protocolos adecuados.

Al

marcar las casillas Comfort Clients en http y ftp realizamos un pequeo gesto para los clientes, de modo que la descarga no sea capturada por el firewall y una vez analizado lo descargue al cliente que es lo que hara si no se marcara esta casilla.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Marcando los protocolos elegidos en Email Filtering indicamos que sean revisados. Luego tenemos que indicar cmo queremos que se revise. En este caso con listas negras y listas blancas de direcciones de correo y con listas de palabras prohibidas.

La opcin Threshold permite marcar un lmite de contenido prohibido. Funciona del siguiente modo, en la lista de palabras prohibidas las palabras tienen una puntuacin. Threshold define el tope de puntuacin que puede tener un correo para que sea considerado spam. De este modo un correo que contenga una o dos palabras prohibidas pase el filtro Antispam y un correo enviado al jefe por su pareja pueda llegarle aunque aparezca la palabra sexo o viagra.. Luego se edita el filtrado web e indico que se aplique la lista de palabras prohibidas con el ya conocido limite Threshold y para que se aplique el filtro por ulr

Luego tenemos que configurar los filtros que sern usados y en que protocolos. Despus podemos elegir qu contenidos se van a bloquear. En este caso se bloquean los contenidos de tema hacking

Esto sirve si las licencias del equipo estn activas. Para los casos en los que no estn activas siempre se pueden crear listas manualmente. Esto se hace desde el men UTM - Web Filter -Create new

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Una vez creado el filtro lo llenamos. Pincho en create new e introduzco los datos que desee. A la de hora

definir el patrn puedo configurar: Que se bloquee o que se le permita. Indicamos el patrn de texto que se va a filtrar se pueden aplicar comodines e incluso expresiones regulares (regex) Indicamos el conjunto de caracteres. El valor que se tendr en cuenta al calcular el Threshold en los casos que proceda si est habilitado o no.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Tambin se pueden bloquear URLs que pueden ser definidas con una escritura directa, con comodines o con regex.

Ahora hay que configurar el antivirus ya que lo vamos a utilizar.

Se tiene que indicar que se utilizarn los nuevos objetos para los filtros en el proteccin profile que creamos antes.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Una ve configurado todo tenemos que crear una poltica en el cortafuegos en la que usemos el perfil creado con nuestras condiciones de uso de la red.

Las polticas del cortafuegos de Fortigate son un conjunto de reglas que se aplican sobre objetos. Es tos objetos son definidos por el administrador o importados

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Intento acceder a la pgina www.facebook.com que la hemos puesto en la lista de URLs bloqueadas.

Ahora pongo a prueba el filtro de web por palabras con una bsqueda en Google con la palabra hack.

Prctica dos-. Guarda los registros que genera el dispositivo en un almacenamiento fsico y no en la memoria RAM del mismo. Para configurar como gestionar Fortigate los registros hay que ir a Log & Report e indicar de que modo almacenaremos dichos logs. Esto se puede hacer en servicios de pago que ofrece Fortigate, en la memoria del dispositivo (es RAM con lo que eso significa) o en un servidor syslog. Opcin econmica, fiable y configurable en extremo. Para ello se marca la opcin syslog, se indica la ip del servidor y el puerto. Se indica el nivel de registro mnimo que se va a enviar. Para poder distinguir un dispositivo de otro se utiliza la etiqueta Facility. Tambin se puede dar formato CSV a los registros, cosa que puede facilitar su posterior tratamiento como informacin en texto plano al organizar la informacin en campos.

SistemaUTM
Fortigate50B Luego hay que configurar que registros se van a enviar

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Una vez preparado el dispositivo voy a instalar un servidor en un debian6.0 que har de servidor de syslog.

Luego hay que editar el archivo de configuracin de syslog-ng en /etc/syslog-ng/syslogng.conf para que pueda recoger logs de sistemas remotos.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Esta configuracin es la ms sencilla que hay y por defecto, puesto que no es la intencin de configurar un sistema de registros remotos. Compruebo que el demonio est a la escucha en el puerto udp 514 que es el puerto por defecto.

Podemos ver como empiezan a llegar registros del appliance nada ms reiniciar el servidor syslog-ng

Prctica tres-. Consigue crear polticas de cortafuegos que se validen contra un servidor de autentificacin a tu eleccin. Voy a validar una de las polticas de cortafuegos que ya tengo contra un servidor de directorio activo LDAP con un usuario creado para tal efecto.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Para validar contra un servidor LDAP hay que crear en el dispositivo un usuario del directorio. Para ello en users creamos un usuario remoto de LDAP. Se puede observar que se pueden crear usuarios para otros servicios de validacin como AD o Radius.

Luego hay que crear un grupo para este usuario, o los que sean.

Vemos que est creado correctamente

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Aplico esta validacin a la navegacin normal en una de las polticas del cortafuegos. Se debera validar el usuario para poder navegar normalmente.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Efectivamente nos pide un usuario y una contrasea, la introduzco y efectivamente valida el usuario.

Muestro que ocurre si introduzco usuario y contrasea no vlidos

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

La potencia de este appliance es la posibilidad de utilizar esto a las polticas que quieras. A la administracin del aparato, a las VPNs y aquello que se nos ocurra. OJO! En este caso es una prctica no pensada para ser segura si no para demostrar su funcionamiento. Si se implementa seguridad en LDAP se pueden realizar las validaciones de modo seguro marcando el check-box Secure Conection al crear el usuario remoto. Aqu todas las consultas se realizan en texto plano como se puede observar en la captura inferior.

Prctica cuatro-. VPN's EN FORTIGATE Configurar una VPN por IPSEC para conectar con un cliente de la misma casa, Forticlient. Configurar una VPN en Fortigate puede hacerse de dos manearas: por SSL y mediante IPSec. En esta prctica vamos a emplear el ltimo mtodo. Lo har con un escenario de red con la interfaz interna con la ip 192.168.1.1 y la interfaz wan2 con la 10.150.150.254

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Para simplificar la administracin de la VPN se va a otorgar a los clientes conectados a ella direccin IP dinmica. Configuro un conjunto de direcciones para ellos. Desde firewall -> address -> address Otorgo el rango 10.56.56.1-10, tambin se pueden otorgar rango en el segmento de la red local.

Ahora el servidor DHCP en el que indico que se asignen en el tipo IPSec

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Queda del siguiente modo

Luego a crear los usuarios. Desde User -> Local

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Los usuarios no pueden manejarse individualmente de modo que luego hay que darle un grupo. Desde user -> user group. El tipo tiene que ser firewall.

Ahora toca la configuracin del servidor VPN. Se hace desde VPN ->IPSec. La opcin Dialup User permite conexin a cualquier usuario. La opcin elegida en XAUTH, Enable as a server, permite al dispositivo gestionar la autentificacin contra sus usuarios, en este caso los usuarios que estn incluidos en el grupo creado anteriormente VPN-IPSec-Group.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Despus de crear esta primera parte hay que crear la segunda. Se define un nombre, se asocia con una primera fase y marcamos la opcin DHCP-IPSec

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Por ltimo hay que configurar el cortafuego para que permita las conexiones que hemos creado. Configuramos Action como IPSec para que se encargue de aplicar seguridad a la comunicacin y definimos que tnel vamos a utilizar.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Prctica cinco- Configura un cliente para realizar conexiones VPN IPSec sobre un servidor VPN Fortigate 50B Fortigate tiene una aplicacin de seguridad para estaciones de trabajo que combina solucin cortafuegos, antivirus, filtrado web y cliente VPN: Forticlient. Para esta prctica voy a utilizar esta herramienta que en su instalacin permite instalar slamente la parte del cliente VPN. Lo dems son varios aceptar. Para el cliente desde VPN -> Conection -> Advanced -> Add... creamos una nueva conexin.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Ahora se configura la direccin del servidor VPN, la red local a la que accedemos y el modo de autentificacin, en este caso clave compartida.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Para terminar de configurar la conexin pinchamos en Advanced y marcamos las dos checkbox del bloque advanced.

Tambin hay que asegurarse de que las opciones del bloque Policy de la captura anterior sean las mismas que las indicadas en la creacin del tnel en phase1. Para ver y modificar estas opciones en forticlient hay que acceder al botn Config.

SistemaUTM
Fortigate50B

RobertoPrezRuizroberto.asir@gmail.com
01/2012

Una vez introducidos el usuario y la contrasea el acceso se realiza con xito.