Curso de Fortinet

execute shutdown

get system interface: ver las ips en las diferentes interfaces

config system interface (entra en la configuración de las interfaces)

(interface)#edit port "numero"

Para habilitar acceso por http

(port1)# set allowaccess http (con esto sobreescribe la información, mejor usar append)

(port1)# append allowaccess http

(port)# show (para ver la configuracion en el port1)

(port)#end (guardar las config)

Cambiar a ip estatica

config system interface

edit port1

set mode static

set ip "dirección ip/mascara"

end

configurar interfaces

Por GUI: ir a network, luego interfaces

doble clic en el puerto que se desea configurar

Se puede cambiar de dhcp a estatico y rellenar todos los parámetros

Configurar interfaces con CLi

config system interface

edit port"numero"

con el comando get se ven todas las configuraciones que se puede hacer

set ip "address/prefix"

permitir tipos de acceso por la interfaz

set allowaccess ssh ping http https

set alias "nombre alias" (si hay espacios se escribe entre comillas)

set role "rol de la interfaz, LAN, WAN, DMZ"

CTRL+L para borrar pantalla por putty

Se puede usar el comando grep para buscar info especifica

Configurar ip estatica en port de management

En network- interfaces click en manual y agregar ip.

Se necesita crear ruta por defecto ya que al hacerlo manual se pierde esa ruta.

En pestaña network - static routes - Create New

Agregar la por defecto y añadir el gateway. Especificar la interfaz con la que se trabaja.

No es necesario agregar dns porque por defecto todos los fortinet traen dns de fortiguard. Se
pueden acambiar en la pestaña DNS

Crear ruta por defecto por CLI

#config router static

#edit ”numero”

#set ip “ip/mask”

#set device port”numero”

#set gateway “ip”

#set distance “numero” (por defecto es 10)

Configurar rutas estáticas

Se hace de la misma forma que la ruta por defecto. El gateway queda como la ip del siguiente salto

automaticamente se detecta la interfaz.

Si se tienen dos links al mismo isp, se puede cambiar la distancia administrativa para que una sea
de respaldo

Hacer backup de configuracion

a la derecha en admin, luego en configuration - backup

Si se quiere cargar el backup en otro modelo de firewall, cambiar la primera linea del archivo por
el modelo nuevo

Para restaurar, admin - configuration -restore

Backup por CLI

execute backup [config | disk | full-config - ipsuserdefsig] [flash | ftp | management|station | tftp
| usb | usb-mode] [file name] [ip server] [user] [password]

ejemplo:

execute backup config ftp SITE-A-122020 200.212.31.2 ftp passftp

Para restaurar

execute restore config ftp SITE-A-122022 200.212.31.2 ftp passftp

Para volver a valores de fabrica si licencia expira

hacer un backup de la config

#execute factoryreset2 (conserva las configuraciones de red)

Administrar revisiones

por gui...configuration - revision

click en save changes (escribir comentario)

Para volver a una revision anterior hacer click en Revert

En el icono details esta la posibilidad de guardar la configuracion como un archivo

Filesystem check

por Cli

#execute disk list (para ver el partition reference - un numero- del disco que se va a revisar)

#execute disk scan "numero partition reference"

Por GUI se puede elegir auto file system check. En system - settings. Con esto

si hay un error el sistema automaticamente va a a hacer file check al encender el equipo

Comandos basicos

get : muestra configuraciones dianmicas

show: muestra configuraciones estaticas

Ctrl+L: limpiar pantalla

delete: borra un valor de una config

purge: borra todas las configuraciones

grep: ejemplo show | grep -if port1 (muestra todo el contexto donde esta ese valor port1)

a nivel de interfaz "show full-configuration", muestra todas las config, incluso las por defecto

next: vuelve a la sección anterior y guarda (ejemplo, de port1 pasa a interface)

end: vuelve a la sección principal y guarda

abort: cancela la configuración hecha y no graba

alias: como en linux

ejemplo:

#config system alias

con "show" se ven los alias configurados

edit "nombre de alias" (para editar o añadir un nuevo alias)

set command "comando entre comillas"

end

Crear politicas

GUI: ir a Policy and Objects > firewall policy

Viene una regla implicita que deniega todo tipo de trafico

Creacion de objetos

Click en policy and objects (objetos addresses, services, virtual ips, ip pools, etc)

en addresses hay varios objetos creados

Para crear nuevo

Create new (address o address group)

Objeto independiente (address) Se puedenc rear subnets, fqdn, geography, etc

Address group es para agrupar dos o mas objetos ddress

ESTOS OBJETOS SE PUEDEN APLICAR A LAS FIREWALL POLICIES

Ejemplo, en dirección de origen se puede poner el objeto address que se crea

Ajustar timezone

Ir a system > settings

Crear objetos Service y Schedule

Esta en policy and objects

Services como ftp, imap, etc

schedule: programa el tiempo para que una politica esté vigente.

Gestión de administradores

En System > Administrators

En Admin profiles se pueden crear perfiles de admins con distintos permisos

Overide idel timeout: cuanto tiempo pasa antes de que se cierre la sesión

Ver configuraciones globales por CLI

#Config system global

#get

Enrutamiento estático

En dashboard > network se pueden ver las rutas

Por CLI

# get router info routing-table all

# get router info routing-table database (tmb muestra rutas inactivas)

Crear ruta

config router static

edit 1 (numero de cada ruta)

set dst “net” “mask”

set gateway “ip next hop”

set device “interfaz salida”

set distance “numero”

Cuando se crean rutas estáticas, se deben crear firewall policies para ambas direcciones.

En la GUI se hace una policy y después se puede elegir “clone reverse” con el botón derecho en la
política. Esto hace que se cree una nueva policy igual a la anterior pero cambiando el orden de los
puertos de entrada y salida. Luego hay que poner nombre y habilitarla

Equal cost multipath (ECMP)

Se trabaja con peso (weight) y prioridad (priority)

Por GUI, en static routes, sale advanced options y aparece el valor priority.

Para que el firewall haga balanceo, ambas rutas deben tener la misma Distancia administrativa.

Para configurar el modo de balanceo (solo se hace por CLI):

#config system settings

get | grep ecmp (muestra el modo ecmp: por defecto es source-ip-based)

Para cambiarlo

set v4-ecmp-mode “source-ip-based | weight-based | usage-based | source-destination-ip-based”

**el source-destination-ip-based se usa para las transacciones en línea, ya que no cambia la ip.

Establecer prioridad

#config system settings

#edit 1

# set priority “numero” (por defecto es 0, si es menor tiene más prioridad. Esto hace que una ruta
sea menos preferida que otra).

El peso (weight) mientras mayor sea el valor, tiene un mayor uso sobre el enlace que tiene menos
peso. Se puede usar para tener mayor trafico hacia un isp ya que tiene mas ancho de banda.

#config router static

#edit 1

# set weight “valor”

Algoritmos ECMP

Weight-based

El weight también se puede configurar a nivel de interfaz

#config system interface

#edit port1

#set weight “valor”

Usage-based: utiliza uno de los isp hasta que se cumpla un valor

Se programa a nivel de interfaz

#config system interface

#edit port1

#set spillover-threshold “valor en kilobytes”

Link Monitor

Verifica la conexión a internet. Monitorea con un ping a un servidor, cuando falla el Fortinet
asume que ese vinculo no esta operativo y levanta otra conexión de respaldo.

Configuración (solo se hace por CLI)

#config system link-monitor

#edit 1 (para crear el primero)

#set srcintf port “numero” (interfaz de salida”

#set server “ip de servidor que se monitorea”

#set gateway-ip “ip del next hop”

#set source-ip “ip de la interfaz”

Con el “get” se ven todos los parámetros configurados. Asegurarse de que el parámetro update-
static-route esté habilitado.

Si se cae la conexión la manera de verificar que link monitor hizo el cambio es mediante los logs

En la GUI: Log and Reports > Events > System Events

Políticas de enrutamiento (tienen que existir las rutas en la tabla)

Para identificar cierto tipo de trafico y enviarlo por el otro link (ISP2)

Configurar:

GUI: Network> Policy routes

Hay un If then para crear la política.

*Para que funcione se debe crear un firewall policy que permita trafico por el ISP2

Enrutamiento basado en servicios

GUI: Network > static routes > crear nueva usando internet service en vez de subnet
Se puede crear un objeto address para poder trabajar con el enrutamiento basado en servicios

Ej. En policy and objects > Address. En FQDN, el valor Gmail.com se puede editar y habilitar la
opción “static route configuration”, para permitir usar el objeto en una ruta estática.

Al hacer eso aparece una nueva opción “named address” en static routes

Configuración interfaces para SD-WAN

Permite agrupar interfaces físicas, lógicas, vlan, mpls, etc. La idea es poder hacer uso óptimo de las
conexiones y crear políticas de navegación basados en la calidad de servicio de los enlaces. A
diferencia de ecmp, sd-wan permite agregar calidad de servicio.

La condición para agregar interfaces a sd wan es que no deben estar referenciadas. O sea, están
siendo utilizadas en algo. En Network > interfaces se ve eso y esas referencias se pueden borrar
desde ahí.

Configuración:

Paso 1: Network > SDWAN Zones

Se crea una zona y se añaden miembros

Al crear la zona, se agrega una nueva interfaz en la pestaña Network > interfaces

Sobre esta interfaz sd wan se deben crear las políticas de firewall y las rutas por defecto para salir
a internet.
Cuando se crea la default route no es necesario agregar el default gateway porque ya se agregó al
crear la sd wan zone.

Performance SLA SD-WAN

Network- Performance SLA: va a testear latencia, porcentaje de paquetes perdidos y jitter. Lo

testea con un servidor. Ya viene con algunos por defecto pero se pueden crear nuevos

El SLa target es opcional, permite establecer umbrales mínimos que el ISP debe cumplir.

EL link status sirve para confirmar cuando el firtinet debe dar un enlace como caido, y así quitarlo
de la tabla de enrutamiento.
Check Interval: se configura intervalo de control cada cierto tiempo

Failures before onactive: cuantas veces va a fallar el enlace para considerarlo como inactivo.

Restore link aftes: cuantas veces se revisa que el enlace está OK para volverlo a habilitar en la
tabla.

Grafico que muestra el SLA. Las flechas verdes indican que el ISP cumple con los umbrales
mínimos.
Para verlo por CLI

#diagnose sys sdwan health-check

SD-WAN RULES

Se analizan de forma descendente. Al final hay un deny implícito.

Network > SDwan rules

Acá se ve el balanceo de carga, por peso, por cantidad de bytes enviados por cada interfaz, entre
otros.
Se crea regla para ZOOM

Cuatro categorías para elegir por cual interfaz saldrá el trafico. Ej. Best quality saldrá por la interfaz
con mejor desempeño. Se elige preferencia y el servidor con el que se está realizando el SLA (en
este caso AWS), además del criterio de calidad (latencia, jitter, packet loss, downstream,
upstream, etc.)
El único que hace balanceo es el Maximize Bandwidth(SLA) siempre que se cumplan los SLA
targets.

IPSEC

Para crear túnel con wizard en GUI

VPN > IPSec tunnels > Create new ipsec tunnel. Lo mejor es trabajar en modo custom porque es
mas flexible y se pueden crear las vpn desde cero.

Para crear vpn rápida: elegir una opción (site-to-site, hub-and-spoke, remote Access)
Se completa la info con la ip remota y la contraseña compartida

Luego se deben establecer las redes internas que se van a intercomunicar. Se puede establecer si
esta vpn se va a usar para navegar en internet. Por defecto sale “none”. ‘Share local’ significa que
la red local es la que comparte el internet y ‘Use remote’ es que el trafico a internet se ira por la
red remota.

Este wizard no tiene más opciones (tipo de cifrado, tiempo de vpn, etc), así que no es
recomendable. La ventaja es que crea automáticamente los 3 elementos importantes de una vpn:

1. El objeto vpn ipsec (local y remoto) 2. Una ruta estática hacia la subred del otro extremo 3.
La policy que permite el trafico.

Se crean dos rutas: una es blackhole. Sirve cuando esta caída la vpn y descarta los paquetes que
van hacia el sitio remoto, y así no genera sesiones y no consume memoria del equipo.
Se crean automáticamente las dos políticas, trafico para ambas direcciones

Al terminar la configuración en ambos dispositivos, el túnel sigue inactivo. Se va a levantar cuando

se genere trafico entre ambos sitios.

En dashboard > network se puede ver el widget de vpn ipsec

Para borrar una vpn primero se borran las rutas estáticas, luego las políticas y finalmente la vpn
creada.

IPSEC CUSTOM

En ipsec tunnel elegir la pestaña Custom. Fase 1:

En remote gateway puede ser ip estática, dinámica (DDNS) o dialup ip, o sea que este fortigate
será un servidor vpn y todos los equipos que se conectan serán los dialup users (ej. Un fortigate,
otro equipo de red o un cliente con forticlient).

En ip address va la dirección remota desde donde se van a conectar.

-local gateway se usa cuando se han asignado más de una ip a la interfaz.

Mode config se usa cuando se elige dialup ip

El NAT traversal indica si estamos con un ISP que nos natea.

Dead peer detection, detecta si el túnel se cae y puede levantar otro túnel que se haya
configurado (redundancia). Opción “on demand” el mecanismo se dispara cuando tenemos trafico
saliente pero no entrante por alguna caída del otro extremo. “On idle” se activa cuando ambos
traficos se caen. Los DPD son paquetes que se envían cada cierto tiempo para ver si el túnel esta
caido.

Forward error correction: ayuda a evitar retransmisiones TCP.

El método de autenticación puede ser una clave o un certificado.

Modo main: se envían 6 paquetes para el envio de info, las negociaciones, protocolos de cifrado
los local ID.

Modo aggressive: se negocia lo mismo pero en tres paquetes. Nos permite especificar un peer ID.
Este se usa con ipsec en dialup.

Aquí se configuran los algoritmos, se pueden añadir mas de uno.

El key lifetime es cada cuanto se van a renovar los SA. Por defecto son 86400 segundos.

Se debe agregar un local ID para identificarse en el otro extremo. (ej. SITE-A)

El XAUTH sirve si somos cliente y debemos proporcionar usuario y clave.

Fase 2:

Se debe indicar las redes que se van a interconectar.

Se configura encriptación y autenticación de fase 2.

En los port y protocol, se puede especificar alguno en específico.

Autonegotiate: con esto tildado siempre intentara levantar el túnel, y no tenga que esperar a que
haya trafico para levantar.

Key lifetime: tiempo de vida de la fase 2.

Para ver las configuraciones por la CLI

#config vpn ipsec phase1-interface (phase2-interface)

#show (muestra todas las configuraciones)

Para editar:

#edit “nombre objeto vpn”

En el modo CUSTOM la ruta y la política del firewall se deben hacer manualmente.

Se debe quitar el NAT ya que no son conexiones nateadas.

IPSEC FAILOVER CON RUTAS ESTÁTICAS

Esto se ve en VPN > ipsec tunnels:

El segundo túnel se debe crear con otro nombre.

Al crear la ruta estática se asigna distancia mayor, para trabajar con redundancia activa/pasiva

Por GUI no se puede cambiar nombre a vpn, pero si por CLI.

# show | grep -fi SITE-A (nombre que se quiere cambiar)

Copiar y pegar todos los lugares donde se encuentra esa coincidencia (fase 1 y 2 ipsec, firewall
policies y rutas) en un block de notas y cambiar el nombre al deseado. Importante, al final de cada
configuración agregar un “end”.

Luego, borrar las configuraciones

Rutas:

#config router static

#show (para ver cuál debemos borrar)

#delete “numero de la ruta”

#end

Policies:

#config firewall policy

#show

#delete “numero”

VPN ipsec fase 1 y 2:

#config vpn ipsec phase2-interface

#show

#delete “Nombre de objeto”

#config vpn ipsec phase1-interface

#show

#delete “Nombre de objeto”

#end

Luego de realizado esto, se procede a pegar la configuración del block de notas en la consola.

IPSEC- BALANCEO ECMP

Se deben dejar ambas rutas con la misma distancia administrativa.

Se puede aplicar lo de ECMP para balancear entre sitios.

IPSEC – Redundancia plena y link aggregation

Redundancia plena significa que debe haber más enlaces vpn entre dos sitios. Si cada sitio tiene
dos interfaces hacia el sitio remoto, estas dos interfaces deben tener configuradas una vpn a cada
una de las interfaces remotas, para tener un total de 4 vpn.

Primero se deben crear las nuevas vpn

Luego se deben crear las rutas y las policies. Para lograr esto, hay que borrar las rutas y políticas
anteriormente configuradas. Esto se debe hacer porque si no el link aggregate no se puede
configurar ya que se necesita configurar la vpn como aggregate member, y la única manera de
setearlo es que estos objetos vpn no tengan ninguna referencia.

Entrar en la configuración del túnel (edit tunnel), en la parte de Network.

Luego en Advanced, habilitar la opción “aggregate member”

Posteriormente, se puede crear nuevo túnel, con la opción “create Aggregate”

Se puede usar diferentes algoritmos: L3, L4, weighted round robin, Redundant.

Si todos los enlaces son iguales o parecidos, conviene usar round robin. Si se tienen enlaces de
diferentes enlaces con diferentes SLA, conviene hacerlo redundante, o sea, el enlace secundario
no será activo, sino de respaldo. El algoritmo de round robin también tiene una opcón de
“weight”, para balancear la carga.
Luego de crear los objetos IPSEc aggregate en ambos sitios, se deben crear las rutas y las policies.

Ruta con el objeto ipsec aggregate

En la política se debe sacar el NAT

IPSEC y SDWAN

Se va a tener que configurar interfaces loopback que sirvan como testigos para medir el
performance SLA, y así probar si existe conectividad y la calidad de esta.

En la fase 2 se debe agregar las loopback aparte de las redes LAN

Configuración: se deben crear las sdwan zones a internet y el performance SLA a internet. En
participants, dejar la opción “specify”, ya que si se deja la “all sd-wan members”, las interfaces que
participan en ipsec formarán parte del performance SLA de AWS.

Luego crear los túneles IPSEC

Posteriormente, crear interfaces loopback, y se habilita el PING para el performance SLA.

Configurar SD-WAN zones, ahora para los túneles Ipsec. Se crea con el nombre SD-WAN-IPSEC. Se
agregan los miembros, en este caso los túneles creados anteriormente. El gateway se deja como
está.

Crear el performance SLA con las interfaces loopback. Los participantes deben ser los túneles
ipsec. Se habilita el SLA target.

Luego ir a SDWAN RULES. Se tiene que configurar reglas para que Fortigate sepa cuándo sacar
tráfico por las interfaces isp (internet) y cuando sacar tráfico por ipsec.

Primero se deben crear las redes de destino en forma de objetos (Lan remota y la loopback)
Se eligen ambos túneles. El primero siempre se prefiere por sobre las demás interfaces. Y se elige
el SLA creado (SITE_B)

Ahora se crea la regla para el tráfico de internet. Por cada tipo de tráfico se debe crear regla. En el
caso de internet se deben elegir las interfaces ISP1 y 2 y elegir el SLA de AWS que se creó
anteriormente.
Importante: el orden de las SD WAN rules es importante. Se van evaluando de arriba hacia abajo.
Hacer las reglas de lo más específico a lo más general.

Por último, crear las policies del firewall, de ida y regreso. Recordar que va sin NAt
Falta definir y permitir el tráfico hacia las loopbacks en la fase 2 de la vpn.

En el mismo túnel creado se debe editar y añadir un nuevo pase 2 selector

Se deben crear nuevas firewall policies para las interfaces loopback

Para que el ping funcione correctamente, se debe configurar una ip origen, en la SDWAN que se
creó para el túnel ipsec. Esto no se puede hacer por GUI, solo por CLi.

#config system sdwan

#config members

#show (muestra las interfaces miembros de las SD wan creadas)

#edit “numero que se quiere editar”

#set source “ip address” (se debe hacer con todas las interfaces del sdwan)

#end

Para probar ping de una loopback a otra por CLI

#execute ping-options source “ip loopback origen”

Luego se ejecuta el ping deseado

Para limpiar la config del ping-options

#execute ping-options reset

IPSEC dialup

Cuando el Fortigate se configura como dialup, se convierte en un servidor de vpn, y los clientes se
conectan a el (usuarios, equipos fortigate u otra marca)

Pasos:

Al crear túnel ipsec se debe elegir como remote gateway “dialup user” y elegir la interfaz que
escucha las peticiones de los clientes. Buena practica es levantar mas de un dialup por si se cae
una conexión.

Se habilita Mode Config para poder proporcionarles datos a los clientes que se conecten por vpn
(ip, mascara y dns). Esto va orientado a usuarios finales que se conectan con forticlient. Si la
conexión es site-to-site, no es necesario habilitar esta función.

Se deshabilita el nat traversal (solo se habilita cuando estamos detrás de un isp que nos natea).

No se deben crear rutas manualmente a los sitios remotos, ya que con dialup, se crean
automáticamente una vez que se genera el túnel. Se puede desactivar este comportamiento en
advanced > add route
Se debe elegir Mode Aggressive. Se puede elegir any peer ID (cualquier id se puede autenticar),
specific peer id (deben presentar un id especifico), o Peer ID frm dialup group (deben pertenecer a
un grupo dialup creado en el fortigate).

En la fase 2, como muchas veces no se sabe de qué red vendrá el tráfico, se debe dejar como quad
zero.

Marcar la opción del Keepalive

Como se dijo, ya no es necesario crear las rutas, pero sí las políticas de firewall.

El túnel del sitio remoto se configura como una vpn normal. Verificar que la ip remota sea la del
enlace por el que el dialup server esta escuchando
Se debe configurar cono mode Aggresive igual que el servidor, y elegir la misma opción de peer id
del servidor. Aquí también se debe especificar un ID para que del otro extremo sepan quién se
está conectando.

Aquí se deben colocar el autonegotiate.

Luego, crear ruta estática

Crear las políticas de trafico desde y hacia el sitio remoto.

Luego de levantado el túnel, se puede ver la ruta creada en la tabla de enrutamiento, y en las
estadísticas de ipsec se ve quién se conectó

IPSEC Policy-Based

Las vpn anteriores eran route-based o interface-based. Estas vpn no crean interfaces y el cifrado y
descifrado pasa por la policy que se crea, y no por rutas o interfaces. Esta característica no es muy
utilizada. Hay que habilitar la opción porque no viene por defecto.

Ir a System > Feature Visibility > Policy Based Ipsec VPN

Al crear vpn, se debe destildar “enable ipsec interface mode”

La vpn se configura igual que antes, con ip estática, modo main, etc.

No se crean rutas estáticas en las policy-based vpn.

Lo que se debe hacer es crear policies. Solo se necesita una policiy tanto para tráfico de ida como
de vuelta. Como no aparece la interfaz vpn creada en las opciones, se debe elegir la interfaz que se
usó para crear la vpn. Si esa interfaz forma parte de sdwan, se elige la opción sdwan.

En este caso se debe ser especifico con el origen y destino. Se eligen los objetos address de la lan
local y remota.

En Action, se debe habilitar el botón Ipsec. Desaparece NAT cuando se elige esta opción. Y se debe
elegir cuál túnel se va a utilizar para el trafico
Cuando se crea la policy, queda dentro de las mismas interfaces que la de internet, y como la de
internet esta primero, el trafico nunca entra en la vpn

Se debe hacer click en la policy de vpn y arrastrarla al primer lugar por ser más especifica que la de
internet.

El sitio remoto puede tener una vpn tradicional, no es necesario que sea policy-based.

High Availability (HA)

Es recomendable que los equipos fortigate en HA estén conectados en forma directa o mediante
un switch, entre ellos.

Los equipos deben ser del mismo modelo y le mismo licenciamiento.

Configuración

Gui vamos a system > HA

3 modos: standalone (por defecto); activo-activo (ambos procesan el tráfico, uno debe ser el
principal); activo-pasivo (el pasivo monitorea al activo hasta que este tiene alguna caída) Se puede
crear un stack de hasta 4 equipos.

Activo-pasivo

Priority: el que tiene mas prioridad tiene mas posibilidades de ser el activo

Se debe asignar un nombre y password

Session pickup: ante alguna caída los equipos se pueden pasar las sesiones iniciadas de los
usuarios. Para así no perder la conectividad de los usuarios.

Monitor interfaces: la interfaz que da a la LAN ya que se debe monitorear esta en caso de perder
conectividad.

Heartbeat interfaces: las interfaces que conectan los fortigate entre sí.

Management interface reservation: los puertos que se van a usar para la administración del cluster

En el otro fortigate se hace lo mismo. Se baja la prioridad por defecto a 125

El fortigate B no tiene ninguna configuración salvo la ip de administración. Entonces, en este paso
el ftgt A le enviara todas las configuraciones al B para que se sincronicen.

Después se pueden hacer cambios en el ftgt A y esas actualizaciones se envían a los demás
equipos del cluster

El modo activo activo es útil cuando el equipo fortigate no tiene muchos recursos para el tamaño
de la empresa. Entonces es útil ya que en activo activo se balancea el trafico entre los dos equipos

Criterio de elección del activo:

1. Puertos monitoreados conectados

2. Uptime del HA (siempre que sea mayor a 5 minutos)
3. Prioridad
4. Numero de serie del equipo

Ver el uptime por consola:

#diagnose sys ha dump-by vcluster

Para resetear el uptime de algún equipo

#diagnose sys ha reset-uptime

Se puede forzar a que un fortigate se elija siempre como primario. Lo que hace es que se toma en
cuenta primero la prioridad antes que el uptime. Se hace por Cli
#config system ha

#set override enable

#end

Se debe hacer en todos los equipos del cluster.

Configuraciones que no se sincronizan en el cluster

1-interfaces de administración. Ip de administración

2- HA override

3- HA device priority

4- HA virtual cluster priority

5- Hostname

6- Ping server HA priorities

7-Licencias

8-Cache

Comandos debug para troubleshooting

#get system hs status (muestra si esta operativo, el modo de HA, el uptime del cluster, etc.
También se ve la ip asignada entre los equipos fortigate mediante el FGCP, fortigate clustering
protocol)

Forma de testear el failover mediante CLI

#execute ha failover set 1

#execute ha failover unset 1 (deshace los cambios)

Acceder a los demás fortigate mediante el equipo activo:

#execute ha manage “numero correspondiente al FTGT secundario” “usuario del ftgt secundario”

Ejemplo: execute ha manage 1 admin

Para actualizar un cluster, siempre las actualizaciones se hacen en el primario. Se sube el nuevo
firmware, y el cluster actualiza en todos los secundarios. Cuando se actualizan los secundarios, se
elige un primario de entre ellos y recién ahí el ex primario puede actualizarse.

VDOM
Dividir un fortigate en varios dispositivos virtuales

Los paquetes quedan confinados al mismo Vdom. Un VDOm no puede compartir interfaces con
otro vdom. Un trafico de un vdom no lo pueden ver los otros VDOM. Por defecto se pueden crear
10. En cada vdom se pueden asignar diferentes políticas, tablas de enrutamiento, etc.

Se pueden programar de dos maneras:

Split-vdom: se generan solamente dos vdom, ROOT (administración) y FG-traffic (proporciona

políticas de seguridad separadas y permite trafico a través del fortigate). Único modo que permite
integración con Security Fabric

Multi-vdom: se pueden crear varios vdom

Dentro de los VDOm estará el management VDOM. Es un vdom que debe tener salida a internet
por si mismo. Encargado de actualizar el equipo, descargar actualizaciones denantivirus, tienes
acceso a NTP, SNMP, DNS filtering. Por defecto el management vdom está asignado al root vdom,
pero se puede cambiar.

Formas de modelar los VDOM

Independientes: diferentes isp conectados físicamente a diferentes vdom

Centralizado: se tiene un cuarto vdom, que permite compartir tráfico entre los otros vdom. Hay un
solo ISP. El único vdom que tiene NAT sería el que da hacia internet

Modelo MESH: todos interconectados. Hay tráfico entre los vdom

Habilitar vdoms por CLI:

#Config system global

#set vdom-mode “modo”

#end
Cuando se reinicia el fortigate, en la gui habrá un menú con una sección Global (todas las config
que se aplican a todos los vdom) y otra root que viene por defecto. El vdom root tiene todas las
configuraciones que se hacen antes de tener vdom. También es el management vdom.

Configurar más vdom:

Se hace en system > vdom > create new

Desde las opciones de configuración de los VDOM creados se pueden asignar recursos para que un
vdom no consuma todos los recursos del fortigate.
Si se quiere configurar parámetro que impacten a todos los VDOM, se debe hacer desde Global
Resources

Reasignar interfaces a VDOMs:

Siempre en ámbito Global, vamos a Network > interfaces

Ejemplo de interfaz asignada a VDOM Alumnos

Luego dirigirse a la pestaña donde dice Global y aparecen ya los VDOM creados. Se elige uno para
poder configurar el direccionamiento ip del VDOM.

Click en Create New > interface

El tipo debe ser Hardware switch. Se recomienda esta opción si está disponible.
También se puede crear un servidor DHCP

En los VDOM de internet se deben configurar las ip que dan a internet en cada wan. Sobre estas
wan se pueden crear SD WAN zones.

Recordar añadir la ruta por defecto a internet. Hacerla con la sd wan creada.
Importante: el vdom root no se puede borrar ni renombrar.

El vdom de internet tiene salida a internet (ping) pero no tiene las configuraciones de DNS ya que
el dns es una configuración que tiene el vdom management. El VDOM management tiene que ser
uno que tenga salida a internet. Como al vdom root se le quitaron las interfaces para asignárselas
al vdom internet, lo que se necesita para que funcione es, en el área GLOBAL, ir a System > Vdom.
Hacer click en el VDOM internet. En la parte superior está el botón “Switch Management”. Así se
convierte otro vdom en el de Management.

Creación de VDOM links: para conectar los vdom al vdom internet.

A nivel GLOBAL > network > interface > create new > vdom link

En un extremo se configura un vdom y al otro el vdom con el que conecta en este caso internet
Luego se debe crear las políticas para que los VDOM puedan navegar hacia internet.

En firewall policy se deben crear dos políticas, unas por cada vdom.

Ejemplo

El virtual wan link es la sd wan creada. El NAT debe estar habilitado porque es la salida a internet.

Después hay que configurar el tráfico desde el vdom internet hacia las redes LAN de cada vdom
configurado.

Debe estar en área VDOM INTERNET. Click en NETWORK > Static Routes

Para llegar a la 10.10.1.0/24 debe usar el vdom LINK ALU-INT1 y el gateway es la ip del extremo
VDOM Alumnos
Luego se debe hacer lo mismo, pero en los otros VDOM, para enseñarles cómo salir a internet.

Crear políticas para permitir tráfico

Ejemplo: el origen sería el hardware switch creado y el destino es VDOM link creado. Acá no va
NAT, porque el NAT ya está hecho en el vdom internet.
Interconexión de VDOMS

Para la comunicación entre VDOMS de LANs se debe crear un vdom link. Igual como se hizo
anteriormente. Así el trafico ya no depende del vdom de internet.

Se deden crear rutas estáticas, desde cada vdom hacia el vdom del otro extremo

En las políticas, el tráfico es sin NAT. Trafico de vdom docente a vdom alumno
Configurar admin para cada VDOM

En GLOBAL, ir a System > administrators

Un administrador con perfil super admin puede administrar todos los VDOMS. Al usar prof_admin
se puede elegir un VDOM especifico.

Comandos por CLI

#config global (configurar acciones globales, se debe tener el perfil de superadmin)

#config vdom

#edit “nombre vdom”

Ejecutar acciones en otro VDOM sin estar posicionados en ese vdom. Se obtiene para obtener
información, no para configuraciones.

Ejemplo: si estas posicionado en vdom DOCENTES

#sudo ALUMNOS show firewall policies

LAYER 2 – VLANS

Crear subinterfaces para cada vlan en el fortigate:

GUI: network > interfaces > CREATE

Se puede habiltiar DHCP por cada subinterfaz.

Se hace lo mismo con las demás interfaces para las vlan

Crear las políticas para tráfico inter vlan en Firewall Policies

LAYER 2 – TRANSPARENT MODE

Todo lo que se hizo anteriormente estaba en Modo Nat. Rutas de capa 3, fortigate como router.
Las interfaces tienen direcciones ip.

Modo transparente: reenvía de acuerdo a la capa 2. Interaces no tienen direcciones ip. Por ende,
no se requiere cambiar direcciones dentro de la red. Es útil cuando no se quieren realizar cambios
en la topología y se tiene un router que hace el trabajo de capa 3.

Cambiar modo nat a transparente

Primero se deben borrar las referencias del fortilink en interfaces > references. Hay uno que se
puede borrar. EL NTP solo se puede borrar de system > settings. Deshabilitar donde dice “setup
device as local NTP server”.

En este momento ya se puede borrar el fortilink de la pestaña “interfaces”.

#config system settings

#set opmode transparent

#set manage ip “ip” (ip de administración)

#set gateway “ip” (es optativo por si sale a internet)

#end

Se deben crear las políticas del firewall aunque esté en modo transparente. Acá no hay opción de
nat. Se deben crear las dos políticas de ida y regreso.
Firewall ubicado entre internet y router (antes se trabajó con firewall antes de router)

Se deben crear zonas, que incluyan el puerto 2 y 3 (LAN) y otra zona que incluya los puertos 4 y 5
(WAN).

Interfaces > Create > Zone

Después se deben crear policies. Se usan las interfaces (Zones) creadas anteriormente
Virtual Wire Pairing

Permite confinar el tráfico entre un par enlaces, por ejemplo, que todo el tráfico que viene de un
enlace se redirija por un enlace wan. Se puede aplicar política para que el tráfico sea de un solo
sentido o de ambos. Se puede programar en el modo transparente y en el modo nat.

Se crean en Interfaces > create > virtual wire pair (para que funcione las interfaces no deben estar
asignadas a zonas)

Al crear los virtual pairs, se crea una nueva pestaña para crear policies, “Firewall Virtual wire
Policy”. Se debe elegir primero cuál virtual wire se configurará
AUTENTICACIÓN ACTIVA

Se configura políticas. Usuario requiere usuario y password para navegar por ejemplo a un sitio
web.

Por GUI User & Authentication > User definition >Create new

Se puede crear usuario local (del fortigate), de radius, tacacs, ldap, FSSO, Fortinac. En este caso se
usará Local.

Se crea usuario y pass, también hay opción de crear doble factor usando Fortitoken.
En la última pestaña se puede agregar al usuario a un grupo si se requiere.

Luego se debe ir a Firewall Policy. En la política, en sección “Source”, se debe ingresar el usuario
creado. Esto generarpa que cuando el tráfico coincida con la política, se le va a pedir al usuario
ingresar sus credenciales para navegar.
FSSO

Mecanismo que permite acceder a distintos sitios sin tener que autenticarnos a cada rato. Solo
hay que acceder al DC y ya el usuario esta autenticado para acceder a todos los recursos. Se
pueden crear políticas de navegación basados en los grupos de Active Directory.

Modos: DC Agent, se tiene el DC con un agente que envía logins a un collector agent (puede estar
instalado en el mismo DC server) que recopila todos los login de usuarios del DC y estos los envia
al fortigate.

Collector Agent-based Polling mode: el collector agent envía mensajes para extraer información
del server DC, usando puerto 445 (SMB), y envía la información al fortigate.
Agentless Polling Mode: el fortigate es el que se conecta al DC directo mediante SMB

Requerimientos adicionales: el collector agent debe ser capaz de resolver los nombres de los
equipos que se conecten al dominio.

El collector agent debe ser capaz de conectarse a los workstations para recibir la información. Se
deben abrir los puertos 139 y 445

Configuración Primer modo

Instalar programa FSSO

El método de acceso puede ser standard o advanced. Advanced se usa si existen grupos anidados
dentro de Active Directory
Se coloca la ip del collector agent, que puede ser la misma del DC.

EL dominio que se va a monitorear

Acá se elige cuáles usuarios no se quieren monitorear

Se leige el domain controller y el modo en que va a trabajar. En este caso se usará DC agent mode

Luego de reiniciado el equipo se debe configurar el FSSO en el DC.

Se puede ampliar el archivo de logs a mas MB.

Timers para monitorear los workstations, para borrar las entradas de info que ya está actualizada y
los cambios de IP dinámica de un equipo.

Show service status: se ven los fortigate registrados

Logon users list: muestra los usuarios logueados. Se puede testear la conectividad
Vinculación de fortigate con Collector Agent

Security Fabric > External Connectors

Elegir FSSO AGENT ON WINDOWS AD

User group source: collector agent, los grupos serán enviados al fortigate desde el collector agent.
Local, los grupos de usuarios serán especificados en la config. Del fortigate.

Hay que copiar el serial number del fortigate para añadirlo al DC y lo reconozca. En la config del
agente en el DC vamos a SET GROUP FILTERS y luego en ADD y se pega el serial.

En Add se pueden añadir los grupos se quieren monitorear del DC (Verlos grupos en Active
directory users and computers)
Cuando queda configurado, en el fortigate se pueden ver los grupos que tiene el DC en la parte
inferior donde dice View

Queda agregar a la política el grupo VIP creado en el DC

Agent-based polling – configuración

Hay que desisntalar el DC agent del controlador

Luego ingresar a la configuración del collector agent.

En este nuevo modelo es el collector agent el que se conecta al domain controller. Ir a la pestaña
Show monitored DC’s > Select DC to monitor.

Se elige el DC y la forma en que trabajará el collector agent (Polling mode). La tercera opción el
polling se hace mas frecuentemente.

Luego en el fortigate, en security fabric > external connectors

Se elige el mismo anterior

Configurar Agentless Polling mode

Hay que eliminar el Collector agent en el DC

Se debe crear un LDAP connector para posteriormente usarlo en el security fabric.

User authentication > ldap server > create new

Después de probar conectividad, se debe ir a “Browse”, ir a la raíz y elegirla, ese es el
Distinguished name
En el fortigate External connector > creat new

En la parte de endpoint identity elegir Poll active directory Server

Después de click en Ok, entrar a editar lo anterior, donde dice User/Groups

Se abre una ventana en la cual se pueden agregar usuarios o grupos que van a ser monitoreados
Luego en la política agregar los usuarios y grupos.

PROXY EXPLICITO

Requieren configuración en los browsers de los usuarios (dirección y ip y puerto de proxy)

Dependiendo del odelo de fortigate se puede configurar Web Cache: cachea paginas y no tiene la
necesidad de ir a internet a buscarlas. Mejora el uso de banda ancha, la carga del servidor y la
respuesta percibida.
Habilitar web cache

#config firewall proxy-policy

#edit “numero de policy”

#set webcache enable

End

Hay tres modos para configurar el web browser con el proxy:

1. Browser settings
2. PAC file: almacenado en el web proxy. Soporta mas de un proxy, especifica qué trafico se
enviará al proxy. Por defecto, el URL del pac file es http://ipforti:puerto/proxy.pac
3. WPAD: URL donde se encuentra el archivo PAC. Dos métodos de descubrimiento. DHCP y
DNS

Ejemplo archivo PAC

Habilitar proxy explicito

GUI en System > Feature visibility > explicit proxy

Luego ir a Network > explicit Proxy

Se puede crear otros servidores proxy para reenivar algún tipo de trafico
Configurar políticas en firewall policy > Proxy Policy

Configurar el proxy en el navegador del cliente:

Configuración > internet options > connections > Lan Settings

PROXY TRANSPARENTE

No se hacen configuraciones en le cliente. Las peticiones se envían a la dirección del servidor, no al

proxy.

Configuración:

Se debe crear una policy en firewall Policy para navegar en internet (no en proxy policy)

Se debe realizar una habilitación en esa policy para que capture el tráfico y lo reenvie al proxy
transparente. Se hace por CLI:

#config firewall policy

#edit “numero” (el numero de la política de internet en este caso)

#set inspection-mode proxy

#set http-policy-redirect enable (esta redirección solo aplica a http y https)

#end

Se debe crear nueva proxy policý ahora en modo transparent

Ventajas: Al usar proxy, se pueden usar filtros a la capa 7 del modelo OSI, específicamente en los
HTTP headers.

Como source se pueden usar las proxy address:

Objeto proxy address usando un http method (post = subir archivo a la red)

Objeto proxy address usando una expresión regular que haga match con cualquier sitio de fortinet
Esta política significa que cualquier equipo en la LAN que quiera subir un archivo a algún sitio de
fortinet, le será denegada la acción.

Así quedarían las dos políticas.

COMANDOS PARA DIAGNÓSTICO

Memory Conserve Mode: el fortigate se protege a sí mismo cuando el uso de memoria es alto.

Hay 3 umbrales configurables:

Configurar thresholds:

#config system global

#set memory-use-threshold-red “porcentaje”

#set memory-use-threshold-green “porcent”

#set memory-use-threshold-extreme “porcent”

Comando para saber si está en modo conserve:

#diagnose hardware sysinfo conserve

Comando para info de puertos

#diagnose hardware deviceinfo nic port”numero”

Comando para ver los procesos en tiempo real

#diagnose sys top

Las columnas son: proceso, PID, status, consumo cpu y consumo memoria.

Matar proceso de fortigate:

#diagnose sys kill 11 “PID” (el 11 genera una entrada en el crash log del equipo)

Comando para ver resumen de performance del equipo

#get system performance status

Ver el tráfico de alguna interfaz o equipo del la red

#diagnose sniffer packet any “host 10.0.1.10” 4

Any: interfaz que se snifeará, en este caso por cualquiera

“host 10.0.1.10”: el equipo que se monitorea el trafico

4: qué se imprimirá en pantalla.

Opcional > sniffer count: cuántas entradas se vana mostrar en pantalla

Otro ejemplo:

#diagnose sniffer packet any “src host 10.0.1.10 && dst host 10.0.1.4” 4

Comando para ver flujo de tráfico

#dignose debug flow filter saddr 10.0.1.10

# dignose debug flow filter daddr 10.0.2.10 Se ingresan ambos comandos para el origen y
destino

#diagnose debug Flow trace start 50 Cuántos paquetes se interceptarán

#diagnose debug console timestamps enable ver la marca de tiempo del flujo

#diagnose debug enable habilitar debug

VIRTUAL IP – DESTINATION NAT

Sirve para publicar un servicio en internet. Por ejemplo, un servidor web (port forwarding)

Se crean en Policy and Objects > Virtual IPs

Cuando el fortigate reciba trafico en la ip publica, lo redirigirá a la ip privada

En optional filters se puede poner dirección de origen o tipo de servicio que se va a permitir.

En port forwarding se puede poner los puertos externo e interno.

Se crea una policy para el trafico que llega desde internet al servidor.

La interfaz de entrada es la Sd wan creada y la saliente es la LAN, se elige como destino el SITIO
WEB creado en el VIP y el servicio (en este caso HTTP). Esta política va sin NAT.
IP POOLS

Sirve para hacer NAT de salida y especificar una cierta dirección IP.

En la GUI está en Policy and Objects > IP Pool

El overload es por defecto, más de un usuario puede usar la misma ip pública. One-to-one se
mapea una ip privada por una pública. Fixed port range se especifica el pool interno y el externo. Y
port block allocation se puede especificar cuántos puertos de origen pueden asociarse a cada ip
pública.

Luego en la policy, se debería elegir el pool en vez de salir con la ip de la interfaz del fortigate.
SNAT AND DNAT con IPSEC VPN

Se crearán IPs que no forman parte de la red LAN en la fase dos de ipsec vpn. Esto para no revelar
las direcciones ip que existen dentro de la LAN.

En este caso, se crean dos ips, una remota y otra local, para conectarse al servidor web (las
subredes reales de cada lan son 10.0.1.0 y 10.0.2.0). Estas ips son “ficticias” pero se usarán como
source nat y destination nat dentro del túnel.

Se debe crear la ruta estática

Creación de Virtual IP para generar el tráfico ya que no existe esa ip entonces se debe crear.

La Interfaz será la vpn creada, la ip externa es la que recibe el tráfico y la mapeada es la ip real del
servidor. Se hace un filtro para el servicio http en el puerto 80.

Luego se hace la policy. Se crea un objeto address con la ip remota.

En el sitio remoto también se deben configurar las IPs ficticias en la fase dos de la VPN ipsec.

Se debe crear un pool para asignar la ip correcta en la salida del tráfico. Como es una sola ip se
repite ya que el campo pide un rango de IPs

Se crea la static route

Se crea la policy

Se pone ALL porque las restricciones se crearon del otro extremo.

En esta política si se habilita el NAT porque va a cambiar a la ip ficticia (72.20.1.2 en este caso).

Finalmente se habilita el IP pool creado.

CENTRAL NAT

Es una alternativa que agrupa SNAT y DNAT en un solo lugar. Se debe habilitar

Para poder utilizar central NAT se deben borrar todas las referencias a las VIP.

Habilitar por CLI

#config system settings

#set central-nat enable

#end

Cuando se habilita el central nat en las firewall policies saldrá este mensaje alertando que el NAT
ya no se configura en ese apartado.
Todas las políticas de nat estarán entonces en las nuevas opciones

Crear una política de SNAT

Ir a Policy and Objects > Central SNAT > Create new

Se crea la firewall policy para el trafico de la vpn

Se crea la VIP para el DNAT
TRAFFIC SHAPERS

Controlan el ancho debanda por origen, destino o aplicación

Se encuentran en policy and objects > Traffic Shaper

Shared el shaper se comparte con todos los usuarios.

Se establece un ancho de banda garantizado para ese trafico, y si queda disponible, se puede
ocupar del ancho de banda máximo configurado.

Se puede configurar DSCP en valores binarios.

Este perfil creado se aplica en Policy and objects > Traffic Shaping Policy
Se puede aplicar el traffic shaper a una aplicación en especifico o a una categoría de URL. Shared
shaper equivale al upload y reverse shaper al download. Se debe elegir el traffic shaper creado
anteriormente.

También se puede programar traffic shaping por IP

El max bandwidth es por usuario, no es compartido como antes. Se puede limitar las conexiones
máximas concurrentes. Cuando uno abre una página, abre varias conexiones concurrentes. Eso es
lo que se limita.

En la política de shaping se debe poner Per-IP shaper y elegir el shaper

LOGS

Para configurarlo ir a LOG AND REPORT > Log Settings

Este appliance cuenta con un disco virtual para logs. Los appliances físicos pequeños no cuentan
con ese disco, solo pueden ver los logs en tiempo real. El disco tiene reservado un 25% para LOGS

Fortianalizer sirve para guardar logs en vez de guardarlo en el disco.

En los fortigate, los logs ser borran una vez pasados 7 días. Se puede cambiar por CLI

#config log disk setting

#set maximum-log-age “numero días”

#end

Otra configuración que se puede hacer es lo que sucede cuando el disco se llena. Por defecto, se
sobreescribirá el disco. La otra variante es poner “nolog”, o sea, si se llena, ya no guarda más logs.

#set diskfull nolog

Acá se pude configurar para enviar los logs al fortianalizer, o también a un servidor syslog.

También está la opción de enviar los logs a la nube

Por GUI solo se puede poner un fortianalizer o servidor syslog. Por CLI se pueden configurar más
de uno (hasta 3 fortianalizer y hasta 3 syslog servers)
Tipos de trafico que se puede configurar para generar logs. El Local Traffic log es el que se origina y
llega al fortigate

Fortigate puede alertar cuando el disco se esté llenando. Se puede ver por la CLI

#config log disk setting

Hay tres alertas:

CATEGORIAS DE LOGS

Forward: trafico que atraviesa el fortigate

Local traffic: logs que se hacen con el comando diagnose log test

Sniffer traffic: lo mismo que antes

Events: varios submenús, eventos del sistema, de enrutamiento, vpn, etc.

Debajo de Log Settings hay una opción llamada threat weight

Se puede configurar alguna ponderación a alguna amenaza que como administrador consideremos
alta o baja.
CERTIFICADOS

Menú system > certificates

Dentro se puede importar certificado o también generar un CSR (certificate signing request)

Si se quiere ingresar al fortigate mediante un dominio se necesita certificado para ingresar por SSL.

Se debe importar certificado mediante la opción Local Certificate. Hah tres opciones, local,
formato PKCS, y como certificado con su correspondiente archivo donde está la clave.
Luego de subirlo, en Sytem > settings se puede seleccionar ese certificado cargado.

Campos para solicitar la firma de certificado

Después de completarlo se debe descargar y enviar a la CA correspondiente.

El fortigate puede realizar inspección SSL para ver el contenido del tráfico.

Dos métodos:

1. SSL certificate inspection: fortigate no puede ver contenido. Pero si puede inspeccionar
cabeceras de los paquetes. Este método permite habilitar web filter y se puede aplicar
filtrado web.

Estas inspecciones se encuentran en Security profiles > ssl/ssh inspection:

2. Full SSL inspection: el fortigate actúa como si él fuese el sitio web al que el usuario quiere
navegar.

El fortigate usará una CA embebida en su sistema y va a generar un túnel SSL entre el

fortigate y el browser del usuario. Para que funcione, se debe descargar la CA del fortigate
(Fortinet_CA_SSL) e instalarla en todos los equipos finales de la empresa.

De esta manera el fortigate tiene la capacidad de ver todo el trafico entre browser y él.
Luego el fortigate hace la conexión entre él y el sitio web (segundo túnel ssl) recibiendo
todo el tráfico recibido.

Full SSL inspection on inbound traffic: si se tiene un servidor publicado y hay gente que se
conecta desde internet que se conecta a nuestro servidor.
Se elige la opción “Protecting SSL server” para cargar el certificado del servidor. Cuando el
usuario se conecta al servidor, en realidad se conecta al Fortigate, lo que genera un túnel
SSL, y el forti puede recibir el trafico e inspeccionarlo.

Custom Deep inspection

Se puede configurar los puertos que el fortigate va a inspeccionar el tráfico. Se puede

poner más de uno separados por una coma.
Sección de excepciones a la inspección SSL. Por ejemplo, sitios de finanzas, estos detectan
cuando los usuarios están detrás de este tipo de configuración. Por lo que a estos sistios se
les deben hacer excepciones.

Se puede hacer también un escaneo al protocolo ssh

Finalmente hay opciones de configuración para certificados inválidos, acciones a tomar si
el cert esta expirado, revocado, etc.
MÉTODOS DE INSPECCIÓN – FLOW Y PROXY

En las firewall policies se pueden configurar dos tipos de inspección: Flow based y proxy
based.
Flow based: fortigate ve todos los paquetes que van pasando y los va inspeccionando a
medida que van transitando. No interviene para hacer un análisis más profundo.
Proxy based: el fortigate almacena temporalmente los paquetes y los va analizando más
en profundidad.

En el Flow based se aplican todas las políticas al mismo tiempo. En el proxy based se
analizan una a una, por lo que el usuario siente un retraso en la transmisión. Además, hay
mas carga del hardware del fortigate.

APPLICATION CONTROL

Application control nos permite crear políticas que reconozcan aplicaciones en nuestro
tráfico. Y así permitirlas o denegarlas.
Fortigate cuenta con una base de datos de algunas firmas de aplicaciones que se van
actualizando constantemente.
Esas bases de datos están en System > Fortiguard
Application control está en pestaña Security Profiles
Este tipo de inspección se encuentra en Flow based inspection por lo que funciona en
ambos modos.

La parte inferior muestra todas las categorías en las cuales se encuentran las firmas que se
vana ainspeccionar. Se puede monitorear (genera logs), permitir, bloquear o poner en
cuarentena.
Se puede habilitar Network protocol enforcement el cual permite aplicar una política para
denegar un servicio en un determinado puerto. Por ejemplo, bloquear cualquier conexión
que use el protocolo http y que no sea por el puerto 80.

La siguiente opción permite hacer un filtrado por aplicación en específico. Y sobreescribe

los valores de las categorías, ya que las categorías se les aplican políticas globales (a todos
por igual)

Finalmente, se puede configurar el bloqueo de aplicaciones en puertos que no son por

defecto, permitir y loguear trafico DNS (fortigate recomienda deshabiltiarlo porque ocupa
mucho recurso)
QUIC: protocolo de Google que fortigate no puede analizar. Al hacer Block, fuerza a
Google a usar HTTP2 el cual si se puede analizar. La última opción permite enviar mensajes
personalizados cuando se bloquea un sitio.
Configuración de una política de aplicación, en este caso de servicio web. Se bloquea toda
la categoría.

Luego en firewall policy, aplicar SSL inspection (Deep inspection) y elegir el application
control creado.

Luego se hace la prueba para ver si el cliente puede visitar páginas web. Para verificar que
funciona hay que ver los Logs, en Logs and report > application control
Cuando se bloquea un sitio, sale un mensaje por defecto de fortigate

Se puede personalizar en system > replacement messages > application control block page
Para permitir solo Internet Explorer, se tiene que aplicar un filtrado

También se pueden bloquear aplicaciones por comportamiento, popularidad, riesgo, etc.

ANTIVIRUS

El antivirus primero hace un antivirus scan, luego grayware scan y finalmente heuristics
scan. Este ultimo es opcional y se habilita por CLI.

Hay dos bases de datos de antivirus, extendida y extrema. La segunda esta solo en algunos
modelos. Se configura en la CLI.
Antivirus funciona de modo diferente si se trabaja en modo Flow o en modo proxy.
En Flow based una copia del paquete se va almacenando en el motor de antivirus, por lo
que almacena y transmite al mismo tiempo.
Almacena hasta el último paquete pero no envía este último hasta que analice los datos. Si
está libre de virus, entonces transmite ese ultimo paquete al usuario. Si está con virus,
envía una señal de RESET para cortar la transmisión.

En modo Proxy, se envían todos los paquetes directamente al fortigate y no al usuario

para poder analizarlo. Si está limpio, el fortigate entonces manda los paquetes al usuario.
Se crea un delay en la transmisión.
El perfil de antivirus trabaja de la mano con el perfil de los protocolos que aplicamos en la
política. Los archivos que se almacenan para análisis tiene un buffer de tamaño limitado, el
cual se puede incrementar por cada protocolo. Al incrementar el tamaño puede
incrementar la latencia. Por defecto son 10 MB. Si son mas grandes que el buffer, el
fortigate permite el trafico de estos archivos sin escanearlos. En estos casos se puede
habilitar el logging del tráfico de estos archivos.

Se puede trabajar con archivos comprimidos. Puede descomprimir los archivos y

analizarlos. El tamaño también se puede especificar por CLI. Los archivos con pasword no
se pueden analizar.
El antivirus trabaja de la mano con los protocolos. Por GUI esto se pude configurar en
Policy and Objects > Protocol Options
Lo que hace este apartado es mapear protocolos con puertos. Se puede modificar, si se
quiere añadir mas puertos a un protocolo se separa por comas.

Comandos para editar perfil de protocolos por CLi

#config firewall profile-protocol-options
#edit “nombre perfil”
#config “nombre protocolo”

Programar perfil de antivirus

Por GUI en policy and objects > Antivirus

EL perfil puede usar Flow based o proxy based. Si se usa proxy based se habilita el
protocolo MAPI y la opción “content disarm and reconstruction”, esto si detecta algún
código malicioso, puede rearmarlo sin código malicioso.
El “treat Windows executables…” hace que cualquier archivo ejecutable que venga
adjunto en correo se bloquee.
También en la última opción se puede usar una lista externa de malware. Esta lista se
habilita en Security Fabric > External connectors > Create New, y se elige la opción de
Malware Hash.
Opción de Virus profile con modo proxy based, con nuevas opciones habilitadas

El content disarm tiene 3 opciones, se puede indicar qué hacer con el archivo. Enviarlo al
fortisandbox, ponerlo en cuarentena, o descartarlo.

Estos perfiles luego se deben aplicar a una policy:

En el protocol options se elige el perfil de protocolos que se haya creado, en este caso se
usa el default.

Se elige el perfil de antivirus creado y se recomienda usar Deep inspection. (En modo
proxy saldrían las dos opciones de perfiles de antivirus creadas anteriormente)

También se puede cambiar la alerta que da fortigate por defecto en System > replacement
message.
INTRUSION PREVENTION SYSTEM
Funciona en modo Flow based. Permite detectar exploits y anomalías.

Tiene dos tipos de base de datos: una regular y otra extendida. Se puede configurar desde
system > fortiguard.

Configuración IPS. Ir a security profiles > Intrusion Prevention

En el nuevo perfil se puede elegir distintas signatures
Acción: se sobreescribe la acción por defecto de la signature. Opciones son Allow, block,
quarantine, reset connection, monitor
Packet logging: guarda copia de paquete de ataque y se registra el log.
Status: si está habilitada o no la signature.
Rate-based settings: se define umbral de cuántos de esos ataques se permite hasta
generar una acción.
Exempt IPs: se puede hacer excepciones a IPs.
Botnet C&C: Se puede bloquear equipo en caso de querer conectarse a una botnet

También se puede trabajar con filtros. En el ejemplo, se filtró por ataque a servidor, de dos
severidades altas, a protocolos específicos y SO específico y al software IIS.

{
Se habilita en la policy correspondiente

Para proteger de anomalies, se debe ir a policy and objects > IPv4 DOS policy
Se debe crear dos policies en este caso, una por cada ISP (no se puede programar por
SDWAN)

Se pueden configurar anomalías en capa 3 y 4. Desde el momento en que se crea ya

comienza a funcionar. Se debe crear otra política para el otro ISP.
WEB APPLICATION FIREWALL

Este perfil solo se aplica servicios WEB a diferencia de IPS. El WAF es como una muestra
gratis del FortiWeb. WAF sirve cuando no se tienen muchos servicios web. Solo funcionan
en modo Proxy.
Hay que habilitarlo en system > feature visibility > web application firewall

Para configurar el perfil vamos a Security profile > web application firewall
Existen signatures y constraints (largo de cabecera, formato ilegal, etc.)
WEB FILTER
Fortigate hace consultas a Fortiguard. Es de suscripción
Para web filter es necesario utilizar Deep inspection

Filtrado por categorías

Security profiles > web filters

Web filter puede trabajar en modo Flow o proxy.

En cada categoría se tiene allow, monitor, block, warning (da una advertencia pero el
usuario puede continuar) , authenticate (se puede indicar un grupo el que puede ingresar
por cierto tiempo a esa pagina)
Al igual que los otros perfiles de seguridad, se debe aplicar en una policy.

Se puede recategorizar un sitio en Security profiles > Web rating overrides > custom
category
Luego en web rating override > créate new se crea la pagina en la que se quiere crear el
rating.

Después se debe habilitar en el perfil de web filter.

Otras opciones del perfil de web filter:
El URL filter filtra por nombre especifico de la pagina web, ya no por categoría.
Hay 3 maneras de escribir la URL: de manera simple, como expresión regular, o utilizando
wildcards.
Primero se evalua el URL filter y después las categorías.
Acciones que se pueden generar: allow (URL permitida pero el resto de los filtros van a
continuar), exempt (crea una excepción y no evalúa los demás filtros), block, monitor.

Si tengo una url permitida, pero la categoría de esta está bloqueada, el sitio se va a
bloquear si está en ALLOW, pero se va a permitir si es en EXEMPT.

Content filter: debe trabajar con Deep inspection

Se pueden crear wildcards o expresiones regulares con respecto al contenido. Este es el
último que se evalúa.

Web profile override

Permitir que algunos usuarios no se les apliquen los perfiles de denegación de las
categorías.
En profile name se debe elegir un perfil de categorías. Por defecto viene la monitor-all,
que deja pasar todo el tráfico y solo genera logs. Esto se puede aplicar al usuario, grupo,
por IP o preguntar. También se puede aplicar una duración.
El usuario que tiene la opción de override le saldrá la siguiente página, en la cual debe
poner usuario y pass.

Los overrides creados se pueden encontrar en security profiles > Web profile Overrides

Rating options: esto indica que si hay un error al verificar el rating de una página, se
permitirá ver esta página. La segunda opción es permitir rate tanto por dominio como por
IP.

Cuotas por categoría

El web filter profile debe estar en Modo proxy based, y por ende la política también.
Se puede indicar una cuota a los usuarios para cierta categoría. (cierta cantidad de MB o
cierto tiempo). Para esto, las categorías deben estar en modo monitor, warning o
authenticate.

Para ver la quota usada, se va a dashboard, user and devices, se debe agregar el widget.

Para que esto realmente funcione, se debe a la vez aplicar un perfil de application control
con la categoría correcta en modo monitor. Si se quiere monitorear la quota de youtube,
en application control debe crearse perfil que monitoree la categoría video & audio.

Pagina que aparece cuando ya se consumen las quotas

Search engine
También funciona en proxy based.
Se puede forzar al navegador a que haga las búsquedas en modo safe, registrar todas las
búsquedas, y restringir el acceso a videos de youtube para que no salga contenido no
apto.

Las ultimas opciones en modo proxy. Se pueden remover los applets de java y ActiveX.
Se puede restringir las cuentas de Google a dominios específicos, esto significa que solo se
podrán usar cuentas de Google para registrarse o usar alguna página específica. Y también
se pueden restringir el acceso a canales específicos (se debe usar el Channel ID que sale en
el link del canal)
VPN SSL

En Fortigate, Las SSL VPN se pueden conectar de dos maneras.

Modo Web: usuario coloca ip o hostname de fortigate, y aparece login de vpn.
Modo Tunel: se requiere forticlient.
Configuración modo web

Definir al usuario en User &Authentication > User definition

El usuario puede ser local, de LDAP, de Radius. También se puede crear grupo.

Luego en VPN > SSL VPN Portal

Por defecto hay tres portales, full, web y túnel. Full permite ambas formas de ingreso, por
túnel y por web.
Limit users to one ssl vpn: solo se puede meter por un equipo una sola sesión.
Tunnel mode: habilita modo túnel.
Host check: chequeos que se pueden exigir al que se va a conectar. Se pide antivirus,
firewall o ambos.
Restrict specific OS: restringir el uso de versiones de SO.
Enable Web mode: habilita el modo web
Enable forticlient download: permite la descarga de forticlient
User bookmarks: si se deshabilita el usuario no puede crear sus propios bookmarks.
El Show connection launcher quita el quick connection por lo que el usuario no puede
decidir por donde quiere conectarse (http, ftp, ssh, etc). Lo único que puede hacer es usar
los bookmarks creados por el admin.

Después se debe configurar la VPN SSL en VPN > SSL VPN Settings
Se debe especificar en qué puertos se va a escuchar las peticiones. Además, se especifica
un puerto, el cual debe ser distinto del de administración.

En Limit Access to specific hosts, se pueden crear objetos tipo address, por ejemplo
restringiendo por zona geográfica.
El Server Certificate se usa un certificado comprado

Mapear los usuarios creados al portal creado

EL All other users, se debe asociar a algo, por ejemplo, a un portal que no permita acceso.
No se puede dejar en Not Set.

Finalmente se deben crear políticas que permitan el ingreso de tráfico.

Que la política vaya con NAT o no depende de la infraestructura.

Pantalla de usuario al loguearse

Al hacer click en quick connection.
HTTP/HTTPS: hacer conexión hacia adentro de la empresa
Conectar con servicios ftp, etc.
Usar escritorio remoto. Usar conexiones telnet o ssh.

VPN SSL - BOOKMARKS

Crear bookmarks predefinidos en Fortigate

En SSL VPN Portals > Predefined Portals
Esto queda para todos los usuarios que se conectan por esa vpn

VPN SSL – REALMS AND PERSONAL BOOKMARKS

Se habilitan en System > Feature Visibility

Marcar SSL VPn Realms y SSL VPN Personal Bookmarks

Las nuevas opciones aparecerán en la pestaña VPN

Realms: puede configurarse subsectores dentro de la vpn principal
Ejemplo: creando un realm para contabilidad

Customize login page: se puede personalizar la pagina de login

Para ingresar a estos realms se debe ingresar la URL completa.

Ej. https://85.160.23.2:10443/contabilidad

Al hacer los realms se habilita una nueva columna llamada Realm, en el mapeo que se
hace de usuarios con Portales. Para que los usuarios puedan entrar a un real, se debe
mapear al real especifico.
Por defecto, un usuario tiene dos intentos para loguearse, luego de eso, tiene que esperar
un minuto para poder intentarlo. Esto se puede modificar desde CLI.
#config vpn ssl settings
#set login-attempt-limit “cantidad de intentos”
#set login-block-time “segundos”

Configurar VPN SSL personal Bookmarks. VPN > VPN SSL Personal Bookmarks

Desde la GUi se pueden ver y borrar los bookmarks personales de cada usuario, pero no se
pueden crear. Si se quiere crear uno especial a un usuario esto se puede hacer desde la
CLI.
#config vpn ssl web user-bookmark
#edit “nombreusuario#grupodeusuario”
#config bookmarks
#edit “nombre-nuevo-bookmark”

Por defecto las SSL VPN (ambos modos) viene con un timeout de 8 horas. El usuario debe
reconectarse para seguir en la vpn.
VPN SSL – TUNNEL MODE

Se debe descargar e instalar el forticlient forticlient.com/downloads

Configuración
Se deben crear usuarios y grupos requeridos
Crear VPN Portal exclusivo para el Tunnel mode
Split tunneling: permite que el trafico a internet salga por el ISP del usuario remoto y no
por el enlace de la empresa. Sin Split tunneling todo el trafico va por la VPN, ya sea trafico
hacia el recurso de la empresa como el que va hacia internet. Si se elige esta opción se
deben crear políticas para el trafico del usuario remoto hacia internet.

Routing address: es el direccionamiento de los recursos que se van a compartir con el

usuario. Puede ser una dirección o una subred.
Source IP Pools: son las direcciones que se les asignarán a los usuarios remotos. Hay un
pool por defecto (SSLVPN_TUNNEL_ADDR1) que se puede editar.

El DNS Split tunneling es lo mismo que la navegación con Split tunneling. Si se deshabilita,
el usuario utilizarpa sus propios dns para navegar.

Luego en SSL Settings. Se pueden asignar los DNS si tenemos un Active Directory. Si se
configuran, se deben crear políticas.
Se debe configurar la política. Es igual a la política del SSL VPN Web Mode

Configuración forticlient

SSL SIN SPLIT TUNNEL

Cuando se deshabilita, ya no se requiere especificar las redes a las que puede acceder.

Se debe crear policy para que usuarios remotos naveguen a internet.

La interfaz de entrada es la SSL VPN y la de salida es la SD WAN en este caso. Se debe
configurar las direcciones y los usuarios como origen.
Nat debe estar habilitado.

Opciones a SSL VPN

Host Check
REstrict to Specific OS versions

Estas funcionalidades a veces generan problemas con algunas versiones de forticlient,

como aparece en la imagen de abajo. Hay que deshabilitar estas opciones.

A veces desinstalar el forticlient también genera problemas y no se puede desisntalar. Con

el siguiente comando de powershell se puede desinstalar.

wmic product where "name like 'Forti%%'" call uninstall /nointeractive

Mensaje cuando el equipo no cumple con los requisitos mínimos

 NGFW MODES

Dirigirse a System > Settings

Por defecto viene el modo Profile-based y todas las configuraciones se han realizado en
este modo.
Si se trabaja en policy based mode obligatoriamente se trabaja con Central Nat. Cuando se
habilita todas las policies que estaban en policy and objects se eliminan.

Todas las políticas se van a la pestaña “Central SNAT”

Se habilita una nueva pestaña llamada “SSL inspection and authentication”. En polcy
based, el modo de inspección ya no se configura en las policies sinoque en esta pestaña.

En la pestaña security profiles, habrán menos opciones, porque varias configuraciones se

hacen directamente sobre la policy.

Configuración de política en modo policy based.

Ir a Policy and Objects > Security Policy > Create New

En service viene la opción App default o se puede especificar algún servicio

En application se puede configurar el application control según app, categoría o grupos
específicos de categorías o aplicaciones.
 En URL Category, se usan los filtros de Web Filter

Aquí no se hace el NAt por se configura en la pestaña Central NAt. Tampoco esta el ssl
inspection porque se hace en otro menú

Creación de policy para application control

 En application se eligen las categorías que se van a bloquear. Se habilita “log violation
traffic”
Recordar poner las políticas más especificas en primer lugar, luego las generales. En este
caso, esta denegación de políticas va primero que la política de navegación a internet.

DOBLE FACTOR DE AUTENTICACIÓN GRATIS PARA VPN SSL

Fortitoken es de pago. Otra opción de doble factor es usar el correo electrónico, lo cual es
gratuito.

Primer paso es configurar el servidor de correo electrónico. Se hace por CLI

#config system email-server

#set server smtp.gmail.com (dependiendo del servidor, en este caso es el de Gmail)
#set authenticate enable
#set username “correo de quien envia alerta” (una cuenta de correo para enviar alertas a
los usuarios)
#set password “contraseña”
#end

Configurar doble factor con correo por CLI. No se puede por GUI

#config user local

#edit “nombreusuario”
#set two-factor email
#set email-to “correo de usuario” (el usuario que recibe la alerta)
#end

Cuando se habilita la opción anterior, recién aparecerá por GUI en User & Authentication >
User Definition
Cambios en versión 7
SDWAN IPSEC
En la versión 6.4, todo el tráfico salía por la SDWAN creada para internet, por lo que no
debía crearse una ruta estática para la SDWAN de IPSEC. La distinción entre los dos tipos
de tráfico se debía hacer en la SDWAN rules, donde se colocaba una regla para la vpn ipsec
y otra regla para internet. En la versión 7 esto cambia, y ahora es posible crear una ruta
estática solo para la SDWAN de la VPN IPSEC.

Ejemplo versión 6.4. Creación de sdwan rule para sacar tráfico de la vpn por la sdwan. Se
especifica el destino tanto de la Lan remota como de la loopback que funciona como
Performance SLA y luego se especifican las interfaces vpn involucradas en el tráfico. Se
debe también hacer una regla para la salida a internet.
Ejemplo versión 7. Se puede crear una ruta estática haciendo referencia a la SDWAN zone
creada, en este caso se llama Ipsec y con el destino a la red remota, y también uno para la
interfaz loopback remota.

Usuario LDAP FSSO

Se configura en la pestaña LDAP servers, para configurar el servidor AD
El username es dominio\admin
Password del administrador del dominio
Luego de eso click en browse y elegir la raíz del árbol del AD.

Luego Se crea usuario como remote LDAP user. Click derecho en el usuario que se necesita
y click en add selected

Si se necesita cerrar una sesión de algún usuario, se hace en Dashboard > Users and
Devices
CONFIGURATION SAVE MODE
Modo de revertir los cambios si es que no se puede acceder luego de hacer cambios
System > Settings

La nueva funcionalidad es Workspace. Puede configurar un timeout en el cual se pueden

revertir los cambios.
Si no se confirman los cambios dentro del tiempo, el Fortinet se reinica con los parámetros
anteriores.

UTILIZAR FORTIGATE COMO CLIENTE SSL VPN

Tanto en cliente como servidor se deben importar los certificados y la CA

Se debe crear un usuario local

Lado del fortigate servidor

Creación de usuario PKI. El SUBJECT se extrae del certificado local importado
Creación de política en el servidor

para que usuarios puedan conectar a la vpn desde el cliente fortigate.

Lado cliente
Se debe crear una interfaz SSL
Se debe crear user pki en el lado cliente también

Añadir el subject que está en el local certificate

Ir a VPN SSL clients para crear cliente. Se usa el usuario local creado en el server

Crear policy para salir por la ssl vpn