Scribd
Cargar
100 vistas21 páginas

Fortigate

Este documento proporciona instrucciones paso a paso para configurar e implementar un firewall Fortigate de Fortinet, incluyendo conectarse al dispositivo, asignar direcciones IP a las interfaces, configurar usuarios y perfiles, crear rutas y políticas de red para permitir el acceso a Internet y ping desde la red interna.

Cargado por

franklin meran
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd
100 vistas21 páginas

Fortigate

Este documento proporciona instrucciones paso a paso para configurar e implementar un firewall Fortigate de Fortinet, incluyendo conectarse al dispositivo, asignar direcciones IP a las interfaces, configurar usuarios y perfiles, crear rutas y políticas de red para permitir el acceso a Internet y ping desde la red interna.

Cargado por

franklin meran
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd

Fortigate: Configuración inicial y puesta en marcha

Publicada en 26/10/2017 por jramos
Hola a tod@s.
En este post vamos a ver cómo realizar la configuración inicial y puesta en
marcha para empezar a funcionar con un firewall Fortigate de la empresa
norteamericana Fortinet, dedicada al desarrollo y comercialización de software,
dispositivos y servicios de ciberseguridad, como firewalls, antivirus, prevención
de intrusiones y seguridad en dispositivos de usuario, entre otros.
La topología utilizada es sencillita y será la siguiente, un puerto del Fortigate
para la salida a Internet (WAN1) y otro puerto para la red interna
(LAN_RAGASYS):

 Lo primero que haremos será conectarnos a nuestro Fortigate con el


cable de consola y loguearnos, con el usuario admin y password en blanco:

 Una vez logueados, con el siguiente comando vemos el estado de las


interfaces:
 Como podemos ver el port1 tiene permitido el acceso a los protocolos
ICMP (Ping), HTTP, HTTPS, SSH y FGFM, todo ello, para que una vez que
le asignemos una dirección IP podamos administrar el Fortigate a través de
esa dirección, de todas formas, una vez que accedamos al firewall a través
de la interface web podemos habilitar todos estos accesos en los puertos
que nos interesen, también lo podemos hacer a través de la CLI, eso a
gusto del consumidor.

 Ahora vamos a asignar las direcciones IP correspondientes para las


interfaces LAN_RAGASYS y WAN1, para ello hacemos lo siguiente:
 Una vez asignadas las direcciones IP ya podemos acceder al Fortigate a
través del portal web, en mi caso, como buena práctica, siempre me creo un
registro del tipo A estático en mi servidor DNS, para así poder acceder al
dispositivo a través de su nombre:
 Una vez que hemos accedido al Fortigate podemos ver el
direccionamiento asignado a las dos interfaces:
 Como buena práctica lo primero que vamos a realizar será deshabilitar
todos los puertos que no vamos a utilizar y a medida que los vayamos
necesitando los iremos habilitando, para ello editamos cada puerto y
deshabilitamos:
 Realizamos la misma operación para todos los demás puertos y nos
quedaría así:

 Ahora editamos el port1 y el port8:


 Ahora vamos a configurar el hostname y la hora del sistema, para ello
accedemos a “System > Settings”:

 El siguiente paso será configurar los DNS, en “Network > DNS”:

 Ahora vamos a asignar un password al usuario administrador que viene


definido por defecto en el Fortigate, ya que de fábrica no tiene asignada
contraseña:
 Ahora nos crearemos perfiles para administrar el Fortigate, asignándole
los permisos que nos interesen a cada perfil, en mi caso crearé un perfil
para los Administradores de Ragasys Sistemas:
 Una vez creado los perfiles, ya podemos crear usuarios y asignarlos a
los perfiles que nos interesen:
 El siguiente paso será crearnos una ruta por defecto para la salida a
Internet, para ello nos vamos a “Network > Static Routes”:
 Como podemos ver el firewall ya tiene conexión a Internet, nuestros
equipos todavía no van a tener conexión hacia Internet, necesitamos
configurar las políticas, que lo veremos en los siguientes puntos:

 Ahora vamos a configurar algunas políticas para que los equipos de


nuestra red local tengan salida a Internet, aunque antes veremos que por
defecto viene configurada una política implícita denegando todo el tráfico
desde cualquier origen a cualquier destino y con cualquier servicio, nosotros
iremos añadiendo políticas y permitiendo el tráfico que nos vaya
interesando:

 Para configurar las políticas, lo primero que vamos a realizar será


configurar las direcciones, en este caso voy a englobar todas las
direcciones pertenecientes a la red interna LAN_RAGASYS:
 Ahora nos crearemos un grupo y añadimos estas direcciones
LANRAGASYS, que incluiría toda la red al completo:
 Una vez creada las direcciones y el grupo, vamos a crear los grupos de
servicios para aplicarlos a nuestras políticas, como lo que queremos es
darle acceso a Internet a todos los equipos de nuestra red interna nos
vamos a crear un grupo de servicios llamado “Web Access”, en el cuál
vamos a incluir los servicios DNS, HTTP y HTTPS para que los equipos
puedan navegar, la mayoría de los servicios ya vienen definidos en el
firewall como pueden ser FTP, SMB, HTTP, HTTPS, POP3, SMTP, DNS,
etc… :
 Una vez creados los grupos de servicios, habilitamos las políticas que
nos vayan interesando, en este caso vamos a habilitar una política para que
todos los equipos de nuestra red interna puedan navegar por Internet:
 Con esto ya tendríamos acceso a Internet desde cualquier equipo de
nuestra red interna.

 Ahora vamos a crearnos otro grupo de servicios llamado ICMP Access,


en el cuál vamos a incluir el servicio “ALL_ICMP”:
 Una vez creados el grupo de servicios, habilitamos la política, en este
caso vamos a habilitar una política para que todos los equipos de nuestra
red interna puedan hacer ping a cualquier dirección IP en Internet y
comprobar su estado:
 Como podemos ver desde el equipo con Windows 10 desde el que estoy
configurando el Fortigate ya podemos realizar un ping a cualquier dirección
en Internet:
 

También podría gustarte