SistemaUTMFortigate50B
[email protected]/2012
UTM-FORTIGATE-50B-PRCTICA
1 OBJETIVOS Configurar y conocer opciones comunes de UTMs.
Conocer la gestin bsica de Fortigate 50B. Crear VPNs
2 PASOS A REALIZAR Prctica uno Configura una solucin que
controle y deniegue el paso de virus, de correos no deseados y de
sitios web no deseados Prctica dos Guarda los registros que genera
el dispositivo en un almacenamiento fsico y no en la memoria RAM
del mismo. Prctica tres Consigue crear polticas de cortafuegos que
se validen contra un servidor de autentificacin a tu eleccin.
Prctica cuatro VPN's EN FORTIGATE Configurar una VPN por IPSEC para
conectar con un cliente de la misma casa, Forticlient. Prctica
cinco Configura un cliente para realizar conexiones VPN IPSec sobre
un servidor VPN Fortigate 50B Prctica extra Crear una restriccin de
velocidad y de descarga total en un da para programas p2p.
3 BIBLIOGRAFIA Y RECURSOS Debido a la cantidad de aspectos que
un sistema UTM maneja se har necesario acceder a todo tipo de
recursos y documentacin tcnica. Existe una gran cantidad de
informacin tcnica accesible desde la pgina oficial del producto. Es
de aqu donde he realizado todas las consultas para terminar la
tarea. Est en Ingls. Para acceder a informacin en espaol existe un
foro no oficial para Fortinet. Para asuntos concretos siempre se
puede utilizar el buscador de su preferencia.
Se da permiso para copiar, distribuir o modificar este documento
en los trminos que establece la licencia Creative Commons
Reconocimiento-CompartirIgual 3.0. Este documento es de su
autor
SistemaUTMFortigate50B
[email protected]/2012
Prctica uno-. Configura una solucin que controle y deniegue el
paso de virus, de correos no deseados y de sitios web no deseados
Activa el escaneo antivirus y antispam en fortigate. Activar el
escaneo antivirus y antispam en nuestro fortigate Se crea un perfil
de proteccin en el que se activa el escaneo antivirus y el escaneo
antispam a los protocolos adecuados.
Al
marcar las casillas Comfort Clients en http y ftp realizamos un
pequeo gesto para los clientes, de modo que la descarga no sea
capturada por el firewall y una vez analizado lo descargue al
cliente que es lo que hara si no se marcara esta casilla.
SistemaUTMFortigate50B
[email protected]/2012
Marcando los protocolos elegidos en Email Filtering indicamos
que sean revisados. Luego tenemos que indicar cmo queremos que se
revise. En este caso con listas negras y listas blancas de
direcciones de correo y con listas de palabras prohibidas.
La opcin Threshold permite marcar un lmite de contenido
prohibido. Funciona del siguiente modo, en la lista de palabras
prohibidas las palabras tienen una puntuacin. Threshold define el
tope de puntuacin que puede tener un correo para que sea
considerado spam. De este modo un correo que contenga una o dos
palabras prohibidas pase el filtro Antispam y un correo enviado al
jefe por su pareja pueda llegarle aunque aparezca la palabra sexo o
viagra.. Luego se edita el filtrado web e indico que se aplique la
lista de palabras prohibidas con el ya conocido limite Threshold y
para que se aplique el filtro por ulr
Luego tenemos que configurar los filtros que sern usados y en
que protocolos. Despus podemos elegir qu contenidos se van a
bloquear. En este caso se bloquean los contenidos de tema
hacking
Esto sirve si las licencias del equipo estn activas. Para los
casos en los que no estn activas siempre se pueden crear listas
manualmente. Esto se hace desde el men UTM - Web Filter -Create
new
SistemaUTMFortigate50B
[email protected]/2012
Una vez creado el filtro lo llenamos. Pincho en create new e
introduzco los datos que desee. A la de hora
definir el patrn puedo configurar: Que se bloquee o que se le
permita. Indicamos el patrn de texto que se va a filtrar se pueden
aplicar comodines e incluso expresiones regulares (regex) Indicamos
el conjunto de caracteres. El valor que se tendr en cuenta al
calcular el Threshold en los casos que proceda si est habilitado o
no.
SistemaUTMFortigate50B
[email protected]/2012
Tambin se pueden bloquear URLs que pueden ser definidas con una
escritura directa, con comodines o con regex.
Ahora hay que configurar el antivirus ya que lo vamos a
utilizar.
Se tiene que indicar que se utilizarn los nuevos objetos para
los filtros en el proteccin profile que creamos antes.
SistemaUTMFortigate50B
[email protected]/2012
Una ve configurado todo tenemos que crear una poltica en el
cortafuegos en la que usemos el perfil creado con nuestras
condiciones de uso de la red.
Las polticas del cortafuegos de Fortigate son un conjunto de
reglas que se aplican sobre objetos. Es tos objetos son definidos
por el administrador o importados
SistemaUTMFortigate50B
[email protected]/2012
Intento acceder a la pgina www.facebook.com que la hemos puesto
en la lista de URLs bloqueadas.
Ahora pongo a prueba el filtro de web por palabras con una
bsqueda en Google con la palabra hack.
Prctica dos-. Guarda los registros que genera el dispositivo en
un almacenamiento fsico y no en la memoria RAM del mismo. Para
configurar como gestionar Fortigate los registros hay que ir a Log
& Report e indicar de que modo almacenaremos dichos logs. Esto
se puede hacer en servicios de pago que ofrece Fortigate, en la
memoria del dispositivo (es RAM con lo que eso significa) o en un
servidor syslog. Opcin econmica, fiable y configurable en extremo.
Para ello se marca la opcin syslog, se indica la ip del servidor y
el puerto. Se indica el nivel de registro mnimo que se va a enviar.
Para poder distinguir un dispositivo de otro se utiliza la etiqueta
Facility. Tambin se puede dar formato CSV a los registros, cosa que
puede facilitar su posterior tratamiento como informacin en texto
plano al organizar la informacin en campos.
SistemaUTMFortigate50B Luego hay que configurar que registros se
van a enviar
[email protected]/2012
Una vez preparado el dispositivo voy a instalar un servidor en
un debian6.0 que har de servidor de syslog.
Luego hay que editar el archivo de configuracin de syslog-ng en
/etc/syslog-ng/syslogng.conf para que pueda recoger logs de
sistemas remotos.
SistemaUTMFortigate50B
[email protected]/2012
Esta configuracin es la ms sencilla que hay y por defecto,
puesto que no es la intencin de configurar un sistema de registros
remotos. Compruebo que el demonio est a la escucha en el puerto udp
514 que es el puerto por defecto.
Podemos ver como empiezan a llegar registros del appliance nada
ms reiniciar el servidor syslog-ng
Prctica tres-. Consigue crear polticas de cortafuegos que se
validen contra un servidor de autentificacin a tu eleccin. Voy a
validar una de las polticas de cortafuegos que ya tengo contra un
servidor de directorio activo LDAP con un usuario creado para tal
efecto.
SistemaUTMFortigate50B
[email protected]/2012
Para validar contra un servidor LDAP hay que crear en el
dispositivo un usuario del directorio. Para ello en users creamos
un usuario remoto de LDAP. Se puede observar que se pueden crear
usuarios para otros servicios de validacin como AD o Radius.
Luego hay que crear un grupo para este usuario, o los que
sean.
Vemos que est creado correctamente
SistemaUTMFortigate50B
[email protected]/2012
Aplico esta validacin a la navegacin normal en una de las
polticas del cortafuegos. Se debera validar el usuario para poder
navegar normalmente.
SistemaUTMFortigate50B
[email protected]/2012
SistemaUTMFortigate50B
[email protected]/2012
SistemaUTMFortigate50B
[email protected]/2012
Efectivamente nos pide un usuario y una contrasea, la introduzco
y efectivamente valida el usuario.
Muestro que ocurre si introduzco usuario y contrasea no
vlidos
SistemaUTMFortigate50B
[email protected]/2012
La potencia de este appliance es la posibilidad de utilizar esto
a las polticas que quieras. A la administracin del aparato, a las
VPNs y aquello que se nos ocurra. OJO! En este caso es una prctica
no pensada para ser segura si no para demostrar su funcionamiento.
Si se implementa seguridad en LDAP se pueden realizar las
validaciones de modo seguro marcando el check-box Secure Conection
al crear el usuario remoto. Aqu todas las consultas se realizan en
texto plano como se puede observar en la captura inferior.
Prctica cuatro-. VPN's EN FORTIGATE Configurar una VPN por IPSEC
para conectar con un cliente de la misma casa, Forticlient.
Configurar una VPN en Fortigate puede hacerse de dos manearas: por
SSL y mediante IPSec. En esta prctica vamos a emplear el ltimo
mtodo. Lo har con un escenario de red con la interfaz interna con
la ip 192.168.1.1 y la interfaz wan2 con la 10.150.150.254
SistemaUTMFortigate50B
[email protected]/2012
Para simplificar la administracin de la VPN se va a otorgar a
los clientes conectados a ella direccin IP dinmica. Configuro un
conjunto de direcciones para ellos. Desde firewall -> address
-> address Otorgo el rango 10.56.56.1-10, tambin se pueden
otorgar rango en el segmento de la red local.
Ahora el servidor DHCP en el que indico que se asignen en el
tipo IPSec
SistemaUTMFortigate50B
[email protected]/2012
Queda del siguiente modo
Luego a crear los usuarios. Desde User -> Local
SistemaUTMFortigate50B
[email protected]/2012
Los usuarios no pueden manejarse individualmente de modo que
luego hay que darle un grupo. Desde user -> user group. El tipo
tiene que ser firewall.
Ahora toca la configuracin del servidor VPN. Se hace desde VPN
->IPSec. La opcin Dialup User permite conexin a cualquier
usuario. La opcin elegida en XAUTH, Enable as a server, permite al
dispositivo gestionar la autentificacin contra sus usuarios, en
este caso los usuarios que estn incluidos en el grupo creado
anteriormente VPN-IPSec-Group.
SistemaUTMFortigate50B
[email protected]/2012
Despus de crear esta primera parte hay que crear la segunda. Se
define un nombre, se asocia con una primera fase y marcamos la
opcin DHCP-IPSec
SistemaUTMFortigate50B
[email protected]/2012
Por ltimo hay que configurar el cortafuego para que permita las
conexiones que hemos creado. Configuramos Action como IPSec para
que se encargue de aplicar seguridad a la comunicacin y definimos
que tnel vamos a utilizar.
SistemaUTMFortigate50B
[email protected]/2012
Prctica cinco- Configura un cliente para realizar conexiones VPN
IPSec sobre un servidor VPN Fortigate 50B Fortigate tiene una
aplicacin de seguridad para estaciones de trabajo que combina
solucin cortafuegos, antivirus, filtrado web y cliente VPN:
Forticlient. Para esta prctica voy a utilizar esta herramienta que
en su instalacin permite instalar slamente la parte del cliente
VPN. Lo dems son varios aceptar. Para el cliente desde VPN ->
Conection -> Advanced -> Add... creamos una nueva
conexin.
SistemaUTMFortigate50B
[email protected]/2012
Ahora se configura la direccin del servidor VPN, la red local a
la que accedemos y el modo de autentificacin, en este caso clave
compartida.
SistemaUTMFortigate50B
[email protected]/2012
Para terminar de configurar la conexin pinchamos en Advanced y
marcamos las dos checkbox del bloque advanced.
Tambin hay que asegurarse de que las opciones del bloque Policy
de la captura anterior sean las mismas que las indicadas en la
creacin del tnel en phase1. Para ver y modificar estas opciones en
forticlient hay que acceder al botn Config.
SistemaUTMFortigate50B
[email protected]/2012
Una vez introducidos el usuario y la contrasea el acceso se
realiza con xito.