CONTENTS
Page 1
Guía del Estudiante
LAB3.1 POLITICAS DE FIREWALL ........................................................................................................... 36
LAB4. NETWORK ADDRESS TRANSLATION (NAT) ................................................................................ 38
Objetivos ......................................................................................................................................................................... 38
Tiempo estimado ............................................................................................................................................................ 38
Requisitos ......................................................................................................................................................................... 38
Acceso Utilizando VIPs ..................................................................................................................................................... 39
Creando una VIP ........................................................................................................................................................... 39
Creando la Politica de Firewall ................................................................................................................................. 40
Validando nuestra politica con destino VIP ............................................................................................................. 41
NAT Dinamicos usando IP POOL ................................................................................................................................... 42
Creando un IP Pool........................................................................................................................................................ 42
Editando la politica para usar su IP Pool ................................................................................................................. 42
Probando su Politica de IP Pool ................................................................................................................................. 43
Page 2
Guía del Estudiante
LAB7. FIREWALL AUTHENTICATION – LOCAL ....................................................................................... 61
Objetivos ......................................................................................................................................................................... 61
Tiempo estimado ............................................................................................................................................................ 61
Requisitos ......................................................................................................................................................................... 61
Autenticacion Local ........................................................................................................................................................... 62
Configurando su Fortigate........................................................................................................................................... 62
Asignando Usuarios Locales a un Grupo de Firewall ............................................................................................ 63
Portal Captivo ................................................................................................................................................................... 64
Habilitando Portal Captivo ......................................................................................................................................... 64
Autenticando usuarios y Monitoreando .................................................................................................................... 65
LAB8. SDWAN ....................................................................................................................................... 66
Objetivos ......................................................................................................................................................................... 66
Tiempo estimado ............................................................................................................................................................ 66
Requisitos ......................................................................................................................................................................... 66
Enlaces de Internet usando SDWAN............................................................................................................................. 67
Configurando nuestros dos enlaces a Internet ........................................................................................................ 67
Page 3
Guía del Estudiante
NOTA
En esta clase, usará el laboratorio virtual para ejercicios prácticos. Esta sección explica Si usted tiene alguna duda sobre
cómo conectarse al laboratorio y a sus máquinas virtuales. También muestra la topología como ingresar a su ambiente de
de red de las máquinas virtuales en el laboratorio.
Laboratorio, favor de solicitar
ayuda a su instructor
NETWORK TOPOLOGY
LA DIRECCION IP DE SU BASTION LA
ISP WAN1
ENCONTRARA EN LA GUIA DEL
IP: 190.5.24.169
ESTUDIANTE EN LA TABLA DE
ACCESOS
ISP WAN2
IP: 138.99.3.169
FORTIGATE
LAN IP: 192.168.1.1
WAN1: 190.5.24.170
WAN2: 138.99.3.170
LAN
192.168.1.0/24 DMZ LINUX
Administration IP: 172.30.5.X 10.0.1.0/24 DNS-WEBSERVER
LAN IP: DHCP IP: 10.0.1.243
Page 4
Guía del Estudiante
Este laboratorio provee instrucciones de como ingresar a la administración de su FortiGate usando la CLI (Línea de Comando)
y la GUI (Interfaz Gráfica de Usuario). Adicional a esto el Laboratorio lo guiara a través de como ejecutar un backup y una
restauración de forma correcta de su configuración, de igual manera crearemos una nueva cuenta de administración y
modificaremos los permisos de acceso de dicha cuenta.
OBJETIVOS
TIEMPO ESTIMADO
• 30 minutos
Page 5
Guía del Estudiante
En este laboratorio utilizaremos Kitty (Putty) y crearemos una sesión SSH hacia la interfaz LAN del Firewall. Para activar la
administración por SSH seguimos los siguientes pasos:
1. Primeramente, ingrese a la GUI (Interfaz Gráfica de Usuario) usando la siguiente URL: https://192.168.1.1
2. Digite el usuario: admin (todo en minúscula) y deje la casilla de password en blanco, es decir sin contraseña. Por ser la
primera vez que ingresa a su equipo debe definir un password para el usuario admin (favor de ingresar el password:
123456) luego tendrá que ingresar el usuario admin con el password que definió en este paso
Page 6
Guía del Estudiante
8. Ingresamos el usuario: admin con el password que hemos definido en el paso 3 (123456) e inmediatamente iniciaremos
la sesión de administración por SSH contra nuestro FortiGate
Page 7
Guía del Estudiante
Este comando muestra la información básica del status de su equipo, el output incluye el número de serie de su
FortiGate, modo de operación y demás información. Cuando aparezca --More-- en la CLI presione la barra
espaciadora de su teclado para continuar avanzando, presione Enter para avanzar una línea a la vez o presione Q
para salir.
get ? NOTA
El carácter ? no es mostrado dentro de
la pantalla
Este comando muestra todas las opciones que la CLI aceptará después de digitar el comando GET, dependiendo del
comando, usted tendrá que ingresar alguna palabra adicional para especificar las opciones de la configuración.
11. Presione la tecla hacia arriba esta acción mostrara el ultimo comando digitado. Trate las siguientes
combinaciones que se muestran a continuación:
Acción Comando
Comando anterior
Comando siguiente
Inicio de línea CTRL+A
Final de la línea CTRL+E
Retrocede una palabra CTRL+B
Avanza una palabra CTRL+F
Borra el carácter actual CTRL+D
Limpia la pantalla CTRL+L
Comando para abortar y salir CTRL+C
execute ?
Esto muestra todas las opciones que la CLI aceptara luego del comando execute
Page 8
Guía del Estudiante
13. Digite exe seguido de la tecla TAB, note que la CLI completa el comando
14. Luego de tener el comando execute (del paso anterior) presione la barra espaciadora y presione la tecla TAB tres
veces. Cada vez que usted presiona la tecla TAB, la CLI reemplaza la segunda palabra con la siguiente posible opción
para el comando execute, en modo alfabético.
NOTA
La mayoría de los comandos pueden ser abreviados, en los siguientes Labs, muchos de los comandos serán digitados de manera
abreviada. Use esta técnica para reducir el número de teclas que son requeridas para ingresar comandos. De esta manera, expertos
pueden configurar el fortigate de manera más rápida por CLI que por GUI
Si algún otro comando posee en un inicio los mismos caracteres que otro, la abreviatura deberá de ser lo suficientemente larga para
que su unidad fortigate pueda distinguir entre una y otra, de lo contrario la CLI mostrara un error de comando ambiguo.
Page 9
Guía del Estudiante
15. Ingrese el siguiente comando en la CLI para revisar la configuración del puerto LAN
Deténgase y Piense
Compare los dos outputs de los comandos digitados en el paso 15 y 16, ¿en que son diferentes?
El comando show full-configuration system interface port1 muestra todos los settings de configuración
para la interface port1 (LAN), el comando show muestra únicamente los valores que son diferentes al
valor default de configuración
Page 10
Guía del Estudiante
BACKUPS DE CONFIGURACIONES
Durante este ejercicio usted aprenderá como generar y restaurar configuraciones de backups en texto plano y encriptados.
1. Ingrese a su FortiGate usando el usuario admin junto con el password que ha definido.
2. Vaya al dashboard MAIN (debería de ser la pantalla de inicio luego de haber ingresado al FortiGate)
3. En el menú superior derecho hacemos click en ADMIN y seleccionamos CONFIGURATION RESTORE
NOTA
El backup está situado en el escritorio de su Bastión en el folder: DESKTOP BACKUPS
Y se llama: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
Page 11
Guía del Estudiante
5. Luego de haber seleccionado su archivo de configuración a restaurar el FortiGate mostrara una alerta, ya que esta
acción causa que el equipo se reinicie de manera automática
6. Ingrese a NETWORK INTERFACES y verifique que los permisos administrativos de sus interfaces fueron restaurados
Page 12
Guía del Estudiante
4. Habilite ENCRYPTION
5. Ingrese el password: “fortinet” (sin las comillas) dos veces y seleccione OK
6. Guarde el archivo de configuración encriptado en el folder de BACKUPS de su Bastión.
NOTA
NO existe manera de recuperar una contraseña
olvidada de un archivo de configuración, si usted no
recuerda la contraseña en un backup, quedara
inservible.
ALERTA
Siempre guarde un backup de su configuración antes de cualquier cambio (incluso si es un cambio menor
o sin importancia), no existe manera de deshacer los cambios (undo). Restaurar un backup le permitirá
revertir cambios si descubre algún problema con la nueva configuración
Page 13
Guía del Estudiante
Nótese que esta vez usted debe de ingresar el password “fortinet” (sin comillas)
NOTA
En ambos archivos los headers listan el firmware y la
información de a qué modelo pertenece la
configuración
Page 14
Guía del Estudiante
CUENTAS ADMINISTRATIVAS
FortiGate ofrece una gran flexibilidad para configurar privilegios de administrador. Usted puede especificar la IP desde la
cual los administradores pueden conectarse a su equipo. Este Lab incluye el procedimiento relacionado de cómo trabajar con
cuentas de administración.
NOTA
Los nombres de usuarios de administración son case sensitive, es decir que respetan las mayúsculas y minúsculas. No puede incluir
en los nombres o contraseñas de administrador caracteres especiales como <>()#”. Espacios están permitidos, pero no como el primero
ni el ultimo carácter
Page 15
Guía del Estudiante
1. Desde la GUI del FortiGate salga de la sesión de admin con la cual ingreso
Page 16
Guía del Estudiante
En este Lab, usted configurará logueo de eventos en su FortiGate y podrá visualizar logs para Troubleshooting.
OBJETIVOS
• Configurar logs en su FortiGate para que pueda comprender como el appliance interpreta el trafico
• Configurar Threat Weight (Peso de amenazas)
• Monitorear logs a través de la GUI
• Ver logs en la GUI de su FortiGate
TIEMPO ESTIMADO
• 20 Minutos
Page 17
Guía del Estudiante
Configurar los Settings de logs en el FortiGate no genera logs automáticamente, sino más bien define como los logs serán
tratados. Por ejemplo, enviar logs en tiempo real hacia un FortiAnalyzer, habilitar el logueo de forma local o habilitar histórico
para su uso en FortiView.
1. Ingrese a la GUI de su FortiGate usando la url: https://192.168.1.1 con el usuario admin (sin contraseña)
2. Ingrese al menú de LOG & REPORT LOG SETTINGS
3. Asegúrese que al logueo en disco este habilitado
4. Bajo LOG SETTINGS asegúrese que LOCAL TRAFFIC LOG esta deshabilitado ya que esta opción puede llenar el disco
del FortiGate si no es debidamente configurado y monitoreado. Asegure que la opción EVENT LOGGING está
habilitado y ENABLE ALL seleccionado
6. Click en APPLY
Page 18
Guía del Estudiante
El peso de las amenazas le permite configurar el valor del riesgo de una amenaza en bajo, media, alta y niveles críticos y
luego aplicar un peso par categorías específicas.
1. En la GUI del FortiGate ingrese al meno de LOG & REPORT THREAT WEIGHT
2. Bajo la opción de WEB ACTIVITY deslice la barra hasta el valor critico de 50 para las siguientes categorías:
o MALICIOUS WEBSITES
o HACKING
o EXPLICIT VIOLENCE
o PORNOGRAPHY
3. Click en APPLY
Page 19
Guía del Estudiante
Ahora que ya tenemos las configuraciones de LOG configuradas, debemos de habilitar la opción de logueo en la política de
firewall. Hasta que habilitamos el logueo en la política de firewall es entonces que se registran y se generan los mensajes de
logs
1. En la política de firewall situada en POLICY & OBJECTS IPV4 POLICY edite la política que va de la LAN hacia
INTERNET
2. Bajo la opción de SECURITY PROFILE, habilite la opción de WEB FILTER y seleccione la categoría de MONITOR_ALL.
Note que las casillas de PROXY OPTIONS y SSL INSPECTION se marcan automáticamente
Page 20
Guía del Estudiante
3. Bajo las opciones de LOGGING OPTIONS habilite LOG ALLOWED TRAFFIC y seleccione ALL SESSIONS, recuerde,
usted no tendrá logs de ningún tipo si LOG ALLOWED TRAFFIC no está habilitado en las políticas
4. Click OK. Con esto usted ya configuro logs en la política. Más adelante en este Lab usted hará pruebas de estas
configuraciones
Page 21
Guía del Estudiante
Para poder generar logs hacia múltiples sitios de manera rápida utilizaremos WEBTIMER de cacheflow (Webtimer es un
software gratis que puede ser descargado de internet)
1. Ejecute el programa WebTimer dándole doble click en el icono que está en el escritorio de su Bastión.
2. Seleccione la lista de URLs por default que trae el programa dándole click en el menú FILE SELECT URL LIST
Page 22
Guía del Estudiante
NOTA
Si le aparece un mensaje de alerta de que la versión del navegador que está utilizando esta desactualizado, dele click en continuar
Page 23
Guía del Estudiante
1. Ingrese al menú de LOG & REPORT FORWARD TRAFFIC para ver el tráfico que está atravesando el FortiGate
1. Ingrese al menú de LOG & REPORT WEB FILTER donde podrá ver los logs de sitios permitidos y bloqueados por
categoría de FortiGuard
NOTA
Los logs de web filter no serán mostrados sino existe ningún evento de Webfilter
Page 24
Guía del Estudiante
1. En la GUI ingresamos al menú FORTIVIEW WEB SITES por default los logs mostrados son de ahorita o NOW, si
WebTimer dejo de generar hits hacia páginas web es muy probable que no se muestren logs, esto es normal y
esperado, habrá que ajustar el tiempo para 5 minutos, 1 hora o 24 horas. Luego verifique el menú de FORTIVIEW
THREATS para determinar las amenazas de navegación en su red.
Page 25
Guía del Estudiante
OBJETIVOS
TIEMPO ESTIMADO
• 40 Minutos
Page 26
Guía del Estudiante
En este ejercicio usted aprenderá a configurar objetos de dirección, también aprenderá a configurar políticas de IPv4 donde
se aplicarán los objetos de firewall junto con horarios, servicios y opciones de logs. Luego usted validara las políticas generando
tráfico a través de ellas y revisando los logs de tráfico del FortiGate.
Como usted sabe, FortiGate en su Core es un firewall, por tanto, casi todo lo que se aplica a su tráfico de red está directamente
relacionado con políticas de firewall.
Su FortiGate por default trae pre configurado múltiples objetos de dirección, sin embargo, si estos no cumplen los requerimientos
de su organización usted puede configurar muchos más y de diferentes tipos.
CAMPO VALOR
Name RED_LOCAL
Type IP/Netmask
Subnet/IP range 192.168.1.0/24
Interface any
4. Click en el botón de OK
Page 27
Guía del Estudiante
1. En el menú POLICY & OBJECTS IPv4 POLICY le damos click al botón de CREATE NEW para agregar una nueva
política de firewall.
2. Luego configuramos nuestra política con los siguientes valores
CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface INTERNET
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Log Allowed Traffic Enable and select ALL SESSIONS
Generate Logs when Session Starts Enable
Enable Policy Enable
Page 28
Guía del Estudiante
Deténgase y Piense
¿Cuál piensa usted que es la razón por la cual no agregamos el servicio de DNS a la política, si es un
servicio clave para que los usuarios de su red local puedan navegar a Internet y resuelvan nombres de sitios
web en internet, en lugar de ingresar IPs para navegar?
PROBANDO LA POLITICA
Ahora que usted ha configurado la política de firewall, la probaremos generando tráfico hacia internet y revisando los logs
de la política.
1. Desde su Bastión trate de navegar a www.fortinet.com o a cualquier otro sitio que usted desee (de preferencia navegue
en varios sitios diferentes donde no ha navegado anteriormente antes de revisar los logs)
2. En la GUI ingrese al menú POLICY & OBJECTS IPv4 POLICY
3. Dele click derecho al número de secuencia (SEQ.#) de la nueva política que acaba de crear con nombre INTERNET
ACCESS
4. Luego seleccione el menú SHOW MATCHING LOGS
Con su configuración actual usted tendrá muchas entradas de logs con mensajes ACCEPT: SESSION START en la
columna de resultados, estos son logs de inicio de la sesión, cuando la sesión se cierre usted tendrá otra entrada con
la cantidad de data enviada y recibida.
NOTA
LOGGING SESSION START genera el doble de entradas de logs, usted debe de utilizar esta opción UNICAMENTE cuando el nivel de
detalle de log sea necesario (Troubleshooting)
Page 29
Guía del Estudiante
NOTA
Cuando usted le da click en SHOW MATCHING LOGS en la política de firewall se agrega un filtro UUID en la ventana de Forward
Traffic
Cuando usted remueve el filtro de UUID, los logs serán mostrados sin ningún filtro y en su totalidad tomando en cuenta los logs
de las demás políticas de firewall que tienen activo esta opción. Estos logs los usaremos en los laboratorios de más adelante.
NOTA
Para reordenar las políticas basta con arrastrarlas al lugar o secuencia deseada. OJO, no podemos mover políticas de una sección a
otra dentro del gestor de políticas, únicamente las podemos mover dentro de la sección que contenga las interfaces de origen y destino.
IDENTIFICACIÓN DE DISPOSITIVOS
FortiGate tiene la habilidad de detectar tráfico por el tipo de dispositivos que lo genera, hay dos maneras de poder detectar
dispositivos:
• Agentless Device identification, usa el tráfico de los dispositivos y los indexa por MAC Address
• Agent-based Device identification, usa FortiClient quien envía un ID único al FortiGate para identificar el dispositivo
En este laboratorio usaremos la técnica de Agent-based Device identification. Usted agregara un dispositivo en el campo de
origen de la política actual de firewall que creamos en el lab anterior y observara como hace match el dispositivo de origen
con la política.
Page 30
Guía del Estudiante
1. Como primer paso usaremos la política que creamos anteriormente que decía así:
CAMPO VALOR
Name Internet_Access
Incoming Interface LAN
Outgoing Interface SD-WAN
Source Red_Local
Destination Address all
Schedule always
Service HTTP, HTTPS, ALL_ICMP, SSH
Action ACCEPT
NAT Enable
Log Allowed Traffic Enable and select ALL SESSIONS
Generate Logs when Session Starts Enable
Enable Policy Enable
ping 8.8.8.8 –t
3. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS IPv4 POLICY dele click
derecho al número de ID de la Policita INTERNET_ACCESS
4. Seleccione la opción de EDIT
5. Seleccione SOURCE
6. Del lado derecho seleccione DEVICE y dele click en LINUX PC (Usted está seleccionando un dispositivo que no hace
match su máquina bastión – Windows)
Page 31
Guía del Estudiante
7. Click OK
8. Regrese a la ventana de comandos de DOS en su Bastión donde estaba corriendo un ping continuo, usted debería de
ver que el trafico está siendo bloqueado
9. Trate de navegar a cualquier sitio de internet y debería de ver el timeout default del navegador de no poder ingresar.
El tráfico es bloqueado debido a que el dispositivo de origen en la política de firewall es una PC Linux, el cual no
hace match con su máquina windows desde donde está generando el tráfico
Page 32
Guía del Estudiante
1. Ingrese a su gestor de políticas en el firewall ingresando al menú POLICY & OBJECTS IPv4 POLICY dele click
derecho al número de ID de la política INTERNET_ACCESS
2. Seleccione la opción de EDIT
3. Seleccione SOURCE
4. Del lado derecho seleccione DEVICE y dele click en WINDOWS PC
5. Luego dele click en LINUX PC para quitarlo del campo de Source o dele click en la X al lado del objeto LINUX PC
6. Dele click en OK
Para confirmar que el trafico está siendo permitido por la política, seguimos los siguientes pasos:
1. Desde su Bastión, revise el Ping extendido que tenía en la línea de comandos de DOS, y usted debería de ver el
trafico permitido y tener respuesta del host 8.8.8.8
2. Cierre la ventana de línea de comandos
3. Abra su navegador y trate de ingresar a cualquier sitio en internet al que no haya navegado con anterioridad
4. Confirme que puede navegar sin ningún problema
Page 33
Guía del Estudiante
VIENDO EL DETALLE DE UN DISPOSITIVO IDENTIFICADO
1. Ingrese desde la GUI a USER & DEVICES DEVICE INVENTORY y dele click al signo + para expandir las maquinas
windows
2. Revise los detalles de su bastión y como fue detectado por el FortiGate utilizando la ayuda de FortiClient
3. Abramos una sesión de SSH usando putty y conéctese a la sesión que ya está salvada y que tiene por nombre LOCAL-
FORTIGATE Ingrese el usuario admin con contraseña 123456
4. Ejecute el siguiente comando: diagnose user device list
Page 34
Guía del Estudiante
NOTA
OJO… Device detection sin FortiClient funciona únicamente en una red CAPA 2, si usted esta siendo ruteado, la detección del
dispositivo no podrá realizarse a menos que sus usuarios tenga el cliente endpoint instalados en sus PCs y en la interface está
habilitada la opción de TELEMETRI. En el método de Agentless Device, los dispositivos se detectan a través de la mac address,
por tanto, si existe un appliance capa 3 o router en medio de la comunicación, el FortiGate detectara la mac address de dicho
appliance.
Adicional usted puede agregar dispositivos nuevos de manera manual ingresando al menú USER DEVICES & GROUPS y le da
clic en el botón de CREATE NEW
Deténgase y Piense
¿Cuál cree usted que serían las ventajas y desventajas entre las técnicas de Agentless y Agent-Based
Device Identification?
Page 35
Guía del Estudiante
A continuación, validaremos los conocimientos que acaba de adquirir creando la siguiente política de Firewall
EJERCICIO 1
1. Elimine todas las políticas que van desde su red local hacia internet
2. Cree una política de acceso a internet que vaya desde su red local únicamente hacia sitios web alojados en el Salvador
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
EJERCICIO 2
1. Elimine todas las políticas que van desde su red local hacia internet
2. Cree una política hacia internet (all to all) donde el servicio será únicamente ALL_TCP
5. Explique el resultado
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Page 36
Guía del Estudiante
EJERCICIO 3
Son las 7:40 am día lunes inicio de semana y la junta directiva tiene una reunión a las 8:00 am donde se presentarán nuevos
planes estratégicos y es necesario que todos los gerentes y directores que asistan a la reunión posean acceso a internet
Cuando usted llego a su oficina uno de los gerentes le informo que no tienen internet en la sala de reuniones ni en ningún otro
lugar dentro de su oficina. Cuando usted revisa se da cuenta que efectivamente nadie posee internet y cree que fue a partir
de un cambio realizado el fin de semana dentro del firewall que no fue debidamente documentado ni tampoco se sacó un
backup antes de realizarlo.
Analice el problema y haga el Troubleshooting necesario para determinar dónde está el error antes que de inicio la reunión
Sugerencias:
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups
Page 37
Guía del Estudiante
NAT es utilizado para traducir orígenes y destinos para el tráfico que cruza el FortiGate. Existen dos maneras de configurar,
Source NAT (SNAT) y Destination NAT (DNAT).
En este Lab usted aprenderá a configurar y validar políticas de NAT para SNAT usando IP Pool y DNAT usando Virtual IP (VIP)
OBJETIVOS
TIEMPO ESTIMADO
• 45 Minutos
REQUISITOS
Page 38
Guía del Estudiante
Direcciones de VIP son típicamente usados en NAT externos o IPs publicas hacia la red interna o IPs privadas de nuestra red.
En este ejercicio usted configurara una VIP para su página web en su servidor de dominio. Luego usted creara una política de
externa-a-interna donde aplicara el uso de la VIP. Esto permitirá conexiones entrantes desde internet hacia du server IIS en su
controlador de dominio, también verificaremos el comportamiento del Destination NAT y Source NAT usando la Línea de
comandos CLI de su FortiGate.
En este procedimiento usted configurara una VIP para mapear su controlador de dominio el cual es parte de su DMZ, usted
puede referirse al diagrama de red de su ambiente de Laboratorio.
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS VIRTUAL IPS
2. Le damos click al botón de CREATE NEW y seleccionamos VIRTUAL IP
3. Configuramos los siguientes campos:
CAMPO VALOR
Name VIP-INTERNAL-HOST
Interface INTERNET (este puerto está conectado a sus
enlaces públicos de internet con direcciones
190.5.24.170/30 y 138.99.3.170/30)
External IP Address/Range 190.5.24.170 (Este es una IP de su enlace
principal de internet en la WAN1)
Mapped IP Address/Range 10.0.1.243
4. Click OK
Page 39
Guía del Estudiante
Usted debe de configurar una política de firewall donde utilizaremos la VIP que acaba de crear en el campo destino de la
política.
CAMPO VALOR
Name Web-Server-Access
Incoming Interface SD-WAN
Outgoing Interface DMZ
Source all
Destination Address VIP-INTERNAL-HOST
TIP: Esta listado bajo la sección de Virtual
IP
Schedule always
Service HTTP
TIP: Utilice la opción de SEARCH para
localizar los servicios
Action ACCEPT
NAT Disable
Log Allowed Traffic Enable and select ALL SESSIONS
Enable Policy Enable
Deténgase y Piense
¿Cuál cree usted que es la razón por la cual deshabilitamos la opción de NAT en la política cuando usamos
VIPs?
4. Click en OK
Page 40
Guía del Estudiante
VALIDANDO NUESTRA POLITICA CON DESTINO VIP
1. Desde su Bastión abra una ventana de línea de comando de DOS e ingrese los siguientes comandos:
a) nslookup
b) webserver.lab.local (valide que la entrada de DNS esta correcta y que resuelve la IP de su VIP 190.5.24.170)
2. Cierre la ventana de DOS y abra una ventana en su navegador. En la barra de direcciones ingrese la siguiente URL:
http://webserver.lab.local o en su defecto la IP de su VIP http://190.5.24.170
3. Si la operación de la VIP es exitosa debería de aparecerla la página default de Apache si utiliza la IP o la pagina
de inicio de WordPress si lo accede por nombre
4. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Usted notara que la dirección destino 190.5.24.170 es NATeada con la dirección 10.0.1.243 la cual es su dirección
mapeada en su VIP
NOTA
Además de las sesiones hacia su VIP podrá
ver todas las sesiones atravesando su
FortiGate, esto es normal.
Page 41
Guía del Estudiante
Los IP Pools son usados para trasladar las direcciones de origen hacia una dirección del pool definido en lugar de la IP que la
interface tiene configurada.
Actualmente para llegar a su DMZ no posee ningún tipo de NAT dinámico, es decir que llega con la IP real de su Bastión.
En este ejercicio usted aprenderá a crear un IP Pool y aplicarlo en la política de firewall para trasladar la dirección de su
Bastión a otra del Pool perteneciente a su DMZ y podrá verificar el DNAT desde la CLI o línea de comando de su FortiGate.
CREANDO UN IP POOL
CAMPO VALOR
Name INTERNAL-HOST-EXT-IP
Type Overload
External IP Range/Subnet 10.0.1.50-10.0.1.50
3. Click en el botón de OK
Page 42
Guía del Estudiante
CAMPO VALOR
NAT ENABLE
IP Pool Configuration USE DYNAMIC IP POOL
Click + y seleccione INTERNAL-HOST-EXT-IP
5. Su configuración debe de verse similar a esta:
6. Click en el botón de OK
ping 10.0.1.243 –t
2. Abramos una sesión de SSH usando Kitty (Putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
3. Ejecute el siguiente comando: diagnose system session clear
NOTA
El comando anterior de CLI del FortiGate limpia toda la tabla de sesiones, esto causara que su Kitty (putty) se desconecte, este resultado
es el normal del comando ejecutado. (No debe de utilizarlo en un ambiente de producción solo en caso de troubleshooting)
Page 43
Guía del Estudiante
4. Cierre Kitty (Putty) y vuélvalo abrir para crear una nueva sesión de SSH, conéctese a la sesión que ya está salvada y
que tiene por nombre LOCAL-FORTIGATE Ingrese el usuario admin sin contraseña
5. Ejecute el siguiente comando: get system session list
6. Ahora puede ver que el origen (IP de su Bastión) es traducida al pool que acabamos de crear.
Deténgase y Piense
¿Cuál es la diferencia entre una VIP y un IP POOL?
¿En qué escenarios cree usted que debe de utilizar cada uno de los objetos VIP y IP POOL?
Page 44
Guía del Estudiante
En este lab usted aprenderá como configurar perfiles de filtrado web incluyendo categorías de filtrado web de FortiGuard,
aplicar los perfiles a una política de firewall y Troubleshooting básico.
También aprenderá a sobrescribir categorías y a ejecutar overrides en el perfil de seguridad. Web Filter overrides permite
ejecutar acciones diferentes, en lugar de la configurada en el perfil de filtrado web.
OBJETIVOS
TIEMPO ESTIMADO
• 50 Minutos
REQUISITOS
1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial
Page 45
Guía del Estudiante
Para poder configurar perfiles de filtrado web utilizando las categorías de FortiGuard, usted debe de asegurarse que su
FortiGate posee licencias de suscripción válidas. El licenciamiento provee capacidades de hacer filtrado web necesarias para
protegerse de websites inapropiados para su organización.
Luego usted debe de configurar perfiles de filtrado web basados en categorías en fu FortiGate y aplicarlas a políticas de
firewall para que pueda inspeccionar tráfico HTTP y HTTPS
Finalmente usted podrá probar diferentes acciones que puede tomar el FortiGate de acuerdo al rating de los sitios web visitados
y que pertenecen a una categoría de FortiGuard.
NOTA
Usted recibirá una alerta diciendo que su FortiGate no tiene licencias validas
de filtrado web. Esto es normal ya que usted no ha configurado en ninguna
política algún perfil de filtro web, cuando usted termine el lab ya no se
presentará ninguna alerta.
2. Del menú de drop-down en la parte superior derecha, asegúrese que el perfil DEFAULT este seleccionado como su
perfil de filtrado web a editar:
Page 46
Guía del Estudiante
4. Verifique la acción predefinida para cada una de las categorías globales y configúrelas de la siguiente manera:
CATEGORIA ACCION
Local Categories Monitor
Potentially Liable Block
Adult/Mature Content Block: Other Adult Material y Pornography
Monitor: Todas las otras subcategorías
Bandwidth Consuming Block: Streaming Media and Download
Warning: todas las demás subcategories
(Definir un intervalo de 5 min – default)
Security Risk Block
General Interest - Personal Monitor
General Interest - Business Monitor
Unrated Monitor
5. Expanda la categoría principal GENERAL INTEREST – BUSINESS Luego dele click derecho a la sub categoría SEARCH
ENGINES AND PORTALS y seleccione ALLOW
6. Click APPLY
Page 47
Guía del Estudiante
2. Bajo la sección SECURITY PROFILES habilite WEB FILTER y seleccione el perfil llamado DEFAULT. Note que esta acción
habilita los perfiles de PROXY OPTIONS y CERTIFICATE-INSPECTION de manera automática
3. En la sección de LOGGING OPTIONS, habilite LOG ALLOWED TRAFFIC, y seleccione SECURITY EVENTS para habilitar
los logs de UTM (esta opción solo loguea eventos de UTM, ALL SESSIONS loguea trafico permitido o negado y además
logs de UTM)
El propósito de este lab es que usted revise el rating de los sitios web y pruebe el perfil de filtrado web para cada categoría
configurada.
Page 48
Guía del Estudiante
Este es uno de los sitios con el que usted hará pruebas más adelante con su perfil de filtrado web. Como puede ver,
Playboy esta categorizado como PORNOGRAPHY
3. Use nuevamente la herramienta de FortiGuard Web Filter para buscar a que categorías pertenecen los siguientes
sitios web:
a. www.magicjack.com
b. www.bing.com
La siguiente tabla muestra la categoría asignada a cada URL y la acción que se tomara cada vez que usted visite
estos sitios de acuerdo a la configuración de su perfil de filtrado web
4. En su máquina bastión ingrese a www.playboy.com (recuerde que este es un laboratorio donde simulamos escenarios
de la vida real). La página de bloqueo deberá de aparecer de acuerdo a la acción configurada para la categoría
en pornografía en el perfil de Webfilter
Page 49
Guía del Estudiante
5. Abra otra ventana de su navegador e ingrese a www.magicjack.com Una pagina de advertencia aparecerá de
acuerdo a la acción configurada en el perfil de web filter
CAMPO VALOR
URL www.bing.com
Category Security Risk
Sub-Category Malicious Websites
3. Click OK
Page 50
Guía del Estudiante
PROBANDO SU WEB RATING OVERRIDE
1. Abramos una sesión de SSH usando Kitty (putty) y conéctese a la sesión que ya está salvada y que tiene por nombre
LOCAL-FORTIGATE Ingrese el usuario admin con contraseña 123456
2. Ejecute el siguiente comando:
diagnose debug application urlfilter -1
diagnose debug enable
3. cierre todas las ventanas de su navegador y solo deje una para tratar de ingresar a la página de www.bing.com
4. Regrese a la sesión de SSH en el Kitty (putty) y digite el comando diagnose debug disable y observe el output,
debería ser similar a la siguiente imagen:
El diagnostico muestra que la URL hace match en una categoría de local rating en FortiGuard. Así que www.bing.com es
bloqueado porque usted tiene override en este rating de categoría
Page 51
Guía del Estudiante
EJERCICIO 1
1. Elimine todas las políticas que van desde su red local hacia internet
Necesita darle accesos a un grupo de IPs de su empresa (La IP de su Bastión) para que puedan acceder a 4 sitios únicamente,
usando una combinación entre FortiGuard Webfilter y URL Filter permita el tráfico hacia:
o bancoagricola.com
o davivienda.com.sv
o mh.gob.sv
o equifax.com
EJERCICIO 2
1. Elimine todas las políticas que van desde su red local hacia internet
El gerente de Recursos Humanos se ha quejado porque ha visto a usuarios con acceso limitado ingresando a sitios como
www.facebook.com, www.twitter.com, www.instagram.com, otras redes sociales y correo web.
Le ha solicitado al departamento de TI que bloquee de manera inmediata el acceso a esos sitios y que ningún usuario pueda
ingresar a navegar a ellos.
Usted como encargado del departamento está seguro que posee un web filter donde se bloquean las categorías de redes
sociales, pornografía, consumo de ancho de banda, entre otras.
¿Porque razón no está funcionando el perfil de filtrado web si sus licencias están validas, y efectivamente usted está consiente
que las categorías están siendo filtradas y la acción es BLOCK?
Sugerencias:
Al finalizar los ejercicios restaure el backup “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf” de su folders de
Backups
Page 52
Guía del Estudiante
En este lab usted aprenderá a configurar y usar control de aplicaciones para tomar acciones apropiadas basados en sus
aplicaciones. Usted revisara los logs y monitoreo del FortiView, también aprenderemos a cómo controlar el tráfico de una
aplicación usando calidad de servicio (traffic Shapping)
OBJETIVOS
TIEMPO ESTIMADO
• 30 Minutos
REQUISITOS
1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial
Page 53
Guía del Estudiante
En este ejercicio usted creara un perfil de application control. El FortiGate hace match en el tráfico en el siguiente orden:
• Application Overrides
• Filter Overrides
• Categorías
Usted también vera el log de control de aplicaciones desde su FortiView para confirmar que las aplicaciones estén siendo
logueadas de manera correcta
En la configuración de su FortiGate ya tenemos un perfil de aplicaciones que está configurado como “monitor”, esto permite a
la aplicación pasar a través del FortiGate, pero genera un mensaje de log.
En este ejercicio usted configurara un override de aplicaciones para que tome precedencia sobre las categorías de aplicaciones.
4. En la página EDIT APPLICATION SENSOR, click en ADD SIGNATURE en el apartado APPLICATION OVERRIDES
para agregar una firma de aplicación
5. Click en NAME y digite DAILYMOTION en el campo de búsqueda
6. Click en DAILYMOTION
7. Luego dele click en el botón USE SELECTED SIGNATURES. Su configuración debería de verse de la siguiente manera:
Page 54
Guía del Estudiante
8. La acción debe de mostrarse como BLOCK por default, dele click en el botón de APPLY
1. Desde la GUI de su FortiGate ingrese al menú POLICY & OBJECTS IPV4 POLICY
2. Dele click en la columna de ID de la política que va de la LAN hacia INTERNET y seleccione EDIT
3. Bajo la sección de SECURITY PROFILES active la opción de APPLICATION CONTROL y verifique que este
seleccionado el perfil DEFAULT
Page 55
Guía del Estudiante
4. Asegúrese que la política tenga las opciones de Logging activas de la siguiente manera:
5. Click en el Botón de OK
Page 56
Guía del Estudiante
REVISANDO LOGS
1. Desde la GUI del FortiGate ingrese al menú LOG & REPORT APPLICATION CONTROL
NOTA
La sección de LOGS de APPLICATION CONTROL no será mostrada hasta que se genere un evento de control de aplicaciones.
FortiGate lo mostrara luego de haber creado el Log. Si este menú no es mostrado, refresque la ventana de su navegador.
3. Ingrese a LOG & REPORT FORWARD TRAFFIC y busque la entrada de DAILYMOTION (asegúrese de no tener
ningún filtro y estar viendo los logs del disco duro del FortiGate), usted puede ver más detalle acerca del log así como
la IP NATeada, bytes enviados y recibidos, la acción y la aplicación
Page 57
Guía del Estudiante
Usted puede limitar el tráfico de una o varias aplicaciones o categorías usando calidad de servicio. Usted debe de asegurarse
que los parámetros configurados hagan match con la política donde usted quiere aplicar el traffic shaper
NOTA
Para que nuestro traffic shaper
funcione debemos de permitir que el
tráfico fluya a través del FortiGate en
lugar de bloquearlo.
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS TRAFFIC SHAPERS
2. Le damos click al botón de CREATE NEW
3. A continuación, configuraremos los siguientes campos:
CAMPO VALOR
Type Shared
Name Dailymotion_Shaper
Traffic Priority Low
Max Bandwidth 128 Kbps
4. Click en el botón de OK
Page 58
Guía del Estudiante
1. Desde la GUI de su FortiGate ingresamos al menú POLICY & OBJECTS TRAFFIC SHAPING POLICY y dele click en
el botón de CREATE NEW
2. Configuramos los siguientes campos:
CAMPO VALOR
Source all
Destination all
Service ALL
Application Dailymotion
Outgoing SD-WAN
Interface
Reverse Shaper Habilite el Traffic Shaper
creado en el paso
anterior
DAILYMOTION_SHAPER
Enable this policy Enable
Page 59
Guía del Estudiante
1. Elimine todas las políticas que van desde su red local hacia internet
La Gerencia de su empresa requiere que todas las aplicaciones en la categoría de sean bloqueadas para
todos los usuarios, pero se necesita que se permita el acceso a YouTube de manera controlada donde no sobrepase los
128kbps de tráfico para dicha aplicación
3. Cree una política y asigne un perfil de Application Control para cumplir el requerimiento de gerencia
Page 60
Guía del Estudiante
En este lab usted aprenderá a configurar su FortiGate para sirva como un servidor de autenticación local, de igual manera
configurará un portal captivo en su interface de salida a internet para que le solicite credenciales para navegación
(autenticación activa)
OBJETIVOS
TIEMPO ESTIMADO
• 60 Minutos
REQUISITOS
1. Debemos de hacer la restauración del backup llamado: “RESTORE BACKUP TEXTO PLANO - FGVM_LAB-JMTelcom.conf”
el cual regresara nuestra configuración a su estado inicial
Page 61
Guía del Estudiante
AUTENTICACION LOCAL
En este ejercicio usted aprenderá a configurar su FortiGate para autenticación de usuarios de forma local.
CONFIGURANDO SU FORTIGATE
1. Desde la GUI de su FortiGate ingrese al menú USER & DEVICE USER DEFINITION y dele click al botón de CREATE
NEW
2. Configure los siguientes parámetros:
CAMPO VALOR
User Type Local User
Username usuario_local
Password 123456
Email Address Deje este parámetro por default
SMS
Two-factor Authentication
User Account Status Enable
User Group Deje este parámetro por default
3. Click SUBMIT
4. Ahora tendrá dos usuarios dentro de su base de datos local de usuarios.
5. Click en el botón de OK
Page 62
Guía del Estudiante
CAMPO VALOR
Name Local-Users
Type firewall
En el apartado de MEMBERS seleccionamos:
Members Usuario_local
4. Click en el botón de OK
Page 63
Guía del Estudiante
PORTAL CAPTIVO
En este ejercicio usted configurara un portal captivo para restringir el acceso en la navegación para que solo un grupo de
usuarios pueda acceder a internet. Portales captivos es conveniente para autenticar usuarios en la navegación o redes wireless.
Una forma en HTML será presentada al usuario donde estos tendrán que ingresar un usuario y password válidos para poder
continuar.
Como la finalidad es habilitar la autenticación local para un grupo específico de usuarios a través de un portal captivo,
usaremos el grupo que creamos en el apartado anterior
1. Ingresamos desde nuestra GUI al menú NETWORK INTERFACES y editamos el puerto LAN (port1). Este es su puerto
de tráfico entrante, para más información revise la topología de red de su laboratorio.
2. Complete las siguientes configuraciones en el apartado ADMISSION CONTROL:
CAMPO VALOR
Security Mode Captive Portal
Authentication Portal Local
User Access Restricted to Groups
User Groups Local-Users
Page 64
Guía del Estudiante
Ahora que ya tenemos nuestro portal captivo funcionando, usted puede probar la autenticación local de usuario usando portal
captivo.
1. Abra una ventana de su navegador y trate de navegar a www.bbc.com o a cualquier otro sitio web
2. Cuando le aparezca el portal captivo ingrese las credenciales siguientes (Respetando las mayúsculas y minúsculas):
o Usuario: usuario_local
o Password: 123456
3. Regrese a la GUI de su FortiGate, dejando las ventanas abiertas de los sitios donde navegó, e ingrese al menú
MONITOR FIREWALL USER MONITOR
4. Seleccione en la ventana a su usuario, luego click derecho y seleccione DE-AUTHENTICATE para que manualmente le
dé “de baja” a la sesión de autenticación que acaba de iniciar
5. Click en OK
6. Cierre su navegador
Page 65
Guía del Estudiante
LAB8. SDWAN
En este lab validaremos el funcionamiento de un enlace de internet secundario o de backup para redundancia de navegación
OBJETIVOS
TIEMPO ESTIMADO
• 40 minutos
REQUISITOS
1. Debemos de hacer la restauración del backup llamado: “EJERCICIO8_SDWAN.conf” el cual adecuara la configuración
para el lab de SDWAN
Page 66
Guía del Estudiante
ENLACES DE INTERNET USANDO SDWAN
Durante este laboratorio usted configurara dos enlaces de internet destinados para la navegación a internet, además
configuraremos una interface de SDWAN para el balanceo, fail-over y monitoreo de dichos enlaces a internet.
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO8_SDWAN.conf” usando el usuario “admin” y password
“123456”
Deténgase y Observe
Revise si posee navegación hacia internet desde su bastión.
Observe su gestor de políticas y valide si existen permisos de navegación para su red local y para su servidor
de DNS (Controlador de Dominio en su DMZ)
Verifique si los enlaces (principal y secundario) está configurado en el port3 (como VLANs en dicho puerto
dándole click e el signo “+” al lado izquierdo dl port3)
Valide las rutas estáticas en su FortiGate y revise si existen rutas hacia sus dos enlaces de internet (Network
Static Routes) adicionales a las rutas de administración (172.30.1.0/24 y 192.168.0.0/16 no modificar)
Page 67
Guía del Estudiante
Deténgase y Piense
¿Qué entiende por distancia y prioridad en las rutas estáticas?
5. Luego tenemos que configurar nuestro FortiGate para que detecte cuando uno de nuestros dos enlaces se caiga para
realizar el fail-over automáticamente. Ingrese al menú NETWORKPERFORMANCE SLA y le damos click en el botón
de CREATE NEW
NOTA
Con esta configuración estamos midiendo:
PROTOCOL
A través de ping miraremos la disponibilidad del enlace haciéndole ping a un
server en internet (en este caso el DNS 8.8.8.8 y 4.2.2.2) por cada uno de sus
enlaces a internet
SLA TARGETS
Mediremos el estado del enlace a través de valores como Latencia, Jitter y la
perdida de paquetes por cada interface a monitorear, esto sirve para que su
FortiGate tome una decisión por cual enlace enviara el tráfico, en este caso por
la que cumpla las SLA definidas
LINK STATUS
El intervalo en el cual se hará la verificación (ping) hacia el server en internet
definido en “server”, cuantos pings se deben de perder para hacer el fail-over
(failures before inactive) y cuantos pings se requieren para volver a utilizar el
enlace (restauración del enlace), por último, se hará una actualización de la tabla
de rutas para eliminar o agregar la ruta de cada enlace monitoreado en caso de
caída o de restauración de la comunicación.
Page 68
Guía del Estudiante
6. Ya teniendo nuestros valores de monitoreo para ambas interfaces procedemos a crear las políticas para acceso de
Internet para la DMZ y para la red local.
• La primera que permita acceso desde la DMZ hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)
• La segunda que permita acceso desde la LAN hacia la interface SD-WAN, origen all, destino all, horario
always, servicio ALL, acción Accept, NAT Enable, Log All Sessions, Enable this Policy. (si tiene alguna duda
regrese al LAB.3 donde vimos configuración de políticas o pregunte a su instructor)
7. Abra una ventana de MS-DOS y deje un ping extendido a 8.8.8.8 y solicite a su instructor que de de baja al enlace
primario de internet (ISP) para validar la prueba de fail-over (Si los demás asistentes aun no terminan la configuración,
navegue a internet para generar trafico y valide el performance de su SD-WAN)
8. Ingrese al menú NETWORKSD-WAN y verifique el uso de sus interfaces de Internet
9. Ingrese al menú NETWORKPERFORMANCE SLA y verifique el estado del monitoreo para la WAN1
Page 69
Guía del Estudiante
OBJETIVOS
• Aprender a como configurar una VPN SSL para acceso desde su FortiClient o vía Web
• Conocer las ventajas de tener una interface de LoopBack para validar la conectividad en una VPN
• Definir políticas de autenticación de usuarios remotos para uso en FortiClient
• Aprender a como configurar un FortiClient para conexiones de VPN SSL
TIEMPO ESTIMADO
• 40 minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC
Page 70
Guía del Estudiante
CONEXIONES SSL USANDO FORTICLIENT
Durante este laboratorio usted configurara una VPN SSL a través de autenticación local utilizando como cliente móvil el
FortiClient para acceder a redes remotas a través de internet o de enlaces dedicados.
a) LAN_VPN (LOOPBACK) La ventaja de una interfaz de loopback es que esta interfaz lógica siempre está activa
(sin dependencia del enlace físico) y las subredes conectadas siempre están presentes en la tabla de enrutamiento.
b) port10 (WAN EMPRESARIAL)
Ingrese a su FortiGate luego de haber cargado el backup “EJERCICIO9-EJERCICIO10_VPNs.conf” usando el usuario “admin”
y password “123456”
1. Este laboratorio lo haremos en parejas para validar la conectividad entre los FortiGate y clientes móviles usando
FortiClient
2. Como primer paso de la configuración vamos a crear un grupo de usuario local en el FortiGate y un usuario local al
cual haremos miembro del grupo que acabamos de crear. Ingresamos al menú de USER & DEVICE --> USER GROUPS
--> CREATE NEW
3. Luego de crear nuestro grupo de usuarios que nos servirá para autenticar a los clientes móviles, crearemos a nuestro
usuario para hacerlo miembro del grupo de autenticación. Ingresamos al menú de USER & DEVICE --> USER DEFINITION
--> CREATE NEW
a) User type: Local User
b) Username : vpn
c) Password: 123456
d) Contact Info (dejarlo por default)
e) Extra Info: UserGroup --> SSL_VPN_GROUP
Page 71
Guía del Estudiante
4. Debemos de crear un objeto de dirección con la red LAN_VPN local de su FortiGate (LOOPBACK) que nos servirá
para agregar la ruta en el cliente móvil. Ingrese al menú POLICY & OBJECTS --> ADDRESSES --> CREATE NEW
(Nótese que en el campo de SUBNET / IP RANGE debe de ingresar la red local del a interface LAN_VPN, la imagen
muestra la LAN del instructor, usted debe de ingresar su propia red de acuerdo a la configuración de su FortiGate) y
creamos un nuevo objeto de Direccion llamado LOCAL_NETWORK y definimos la red 172.16.X.0/24 (donde la X
definen el tercer octeto de la red a la que quiere acceder desde el FortiClient VPN.
5. Ingrese al menú VPN --> SSL-VPN PORTALS y editamos el portal default FULL-ACCESS. Nos aseguramos que SPLIT
TUNNELING este seleccionado y definimos la red local a la cual los usuarios móviles podrán tener acceso desde la
VPN (Objeto que creamos en el paso anterior LOCAL_NETWORK) luego le damos click al botón de OK
Page 72
Guía del Estudiante
Page 73
Guía del Estudiante
h) Por último, luego de guardar nuestras configuraciones, aparecerá una alerta en la parte superior de SSL-
VPN SETTINGS donde nos alerta que no existen políticas que permitan acceso a la red local (loopback) a la
que tiene acceso la VPN. Le damos click en la alerta y definimos nuestra política de la siguiente manera:
Page 74
Guía del Estudiante
7. Debemos de configurar una política que permita el trafico desde su red LAN hacia la WAN EMPRESARIAL para que
su FortiClient se pueda conectar al firewall remoto y poder establecer la VPN (debe de utilizar NAT en dicha política
– puede ayudarse del LAB.3 – Políticas)
8. Ahora es momento de configurar el FortiClient en la PC Bastión de su compañero de trabajo de la siguiente manera:
a) Iniciamos nuestro FortiClient dándole click al botón en la barra de tareas cerca del reloj de Windows
b) Seleccionamos la opción de REMOTE ACCESS y agregamos una nueva configuración de la siguiente manera
(Donde 192.9.200.X, es la IP del puerto10 de su compañero):
Page 75
Guía del Estudiante
c) ingresamos el usuario y password definidos en el paso 6
d) Abrimos una ventana de DOS y hagamos ping a la IP 172.16.X.1 (siendo X el tercer octeto de la red del
FortiGate a la que se quiere conectar el cliente móvil
Page 76
Guía del Estudiante
En este lab configuraremos una VPN de punto a punto utilizando su FortiGate y otro firewall en internet o a través de un
enlace dedicado
OBJETIVOS
TIEMPO ESTIMADO
• 60 Minutos
REQUISITOS
1. Haber concluido satisfactoriamente el LAB.3 - Políticas y LAB.9 - SDWAN además de tener acceso a internet.
2. Hacer la restauración del backup llamado: “EJERCICIO9-EJERCICIO10_VPNs.conf” el cual adecuara nuestra
configuración para el LAB de VPNSSL y VPN IPSEC
Page 77
Guía del Estudiante
Durante este laboratorio usted configurara un túnel IPSec entre su FortiGate y otro firewall o concentrador de VPN para
poder comunicar su bastión y otra red completamente diferente (FortiGate de su Compañero)
Abra una ventana de DOS y trate de hacerle ping a la IP remota 172.16.X.1 (Donde X es el tercer octeto de la red local -
loopback- de su compañero), usted puede ver que no tiene respuesta desde ese host, la finalidad de la VPN es poder tener
acceso a la red remota a través de una conexión segura.
CAMPO VALOR
Name Hacia_Remoto
Template Type Site to Site
Remote Device Type FortiGate
NAT Configuration No NAT between sites
4. Click en NEXT
5. A continuación, configure los siguientes parámetros:
CAMPO VALOR
Remote Device IP Address
IP Address 192.9.200.X (IP FortiGate Remoto)
Outgoing Interface WAN EMPRESARIAL (PORT10) debería de
seleccionarla automáticamente, en caso de
no hacerlo seleccionarla manualmente
Authentication Method Pre-shared Key
Page 78
Guía del Estudiante
CAMPO VALOR
Local Interface LAN_VPN (LoopBack)
Local Subnets 172.16.X.0/24 (El Wizard la
debería de seleccionar de manera
automática sino defínala
manalmente)
Remote Subnets 172.16.X.0/24 Red remota de la
interface LAN_VPN del FortiGate
de su compañero la cual es
diferente en el tercer octeto a la
de su FortiGate
8. Click en CREATE, usted debería de ver la siguiente ventana:
9. Click en SHOW TUNNEL LIST usted podrá ver el túnel que acaba de crear.
10. Ingrese al menú MONITOR IPSEC MONITOR y dele click derecho a la VPN y levántela de manera manual (siempre
y cuando este configurado de la misma manera en el FortiGate de su compañero, la VPN debería de levantar
automáticamente)
Page 79
Guía del Estudiante
11. Abra una ventana de KITTY (SSH Client similar a Putty) y digite los siguientes comandos
Con el comando anterior forzaremos a nuestro FortiGate hacer ping desde la IP de su interface de LoopBack, sustituyendo la
X por el tercer octeto de su red de LoopBack
Con este comando haremos ping a la interface de LoopBack del sitio remoto (Interface del FortiGate de su compañero),
sustituyendo la X por el tercer octeto de la red de LoopBack de su compañero
12. Ingrese al menú POLICY & OBJECTS ADDRESS y observe dos nuevos objetos que fueron creados de manera
automática por el Wizard
o Hacia_Remoto_local
o Hacia_Remoto_remote
13. Ingrese al menú POLICY & OBJECTS IPV4 y observe dos nuevas políticas:
14. Ingrese a NETWORK STATIC ROUTES y verifique la ruta estática ingresada por el wizard
Page 80
Guía del Estudiante
Deténgase y Piense
¿Para qué cree usted que el wizard agrega una ruta de Blackhole?
Page 81