Scribd Logo
Carica

Benvenuto in Scribd!

  • Forti Curso

    Caricato da

    deztrocxe
    19 visualizzazioni25 pagine

    Titolo originale

    Forti Curso.docx

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    19 visualizzazioni25 pagine

    Forti Curso

    Caricato da

    deztrocxe

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 25

    FortiOS

    Puede proveer de servicios de: VPN, Intrusion Prevention, Aplication Control, Web Filtering, WAN
    Optimization, Antispam, Antivirus, Firewall, etc.

    DEFAULT SETTINGS

    - En el Port1 o Internal, se encuentra configurado la IP=192.168.1.99.


    - En el Port1 o Internal, tendrá configurado un DHC Server.
    - Credenciales default: Admin sin password.

    Las funcionalidades de los dispositivos Fortigate son:

    1) Plataforma FortiManager

    Permite la gestión, administración y configuración desde un único punto centralizado de miles de


    equipos Fortigate distribuidos en nuestro entorno de telecomunicaciones.

    2) Equipos FortiAnalyzer

    Provee herramientas de gestión y análisis de logs, informes automatizados, scanning, análisis de


    vulnerabilidades, forense, etc.

    3) FortiAP (Wireless)

    Junto con el controlador Wireless de Fortigate, permiten aplicar políticas al tráfico Wifi de la misma
    manera que el tráfico LAN.

    4) FortiSandBox

    Es capaz de analizar el comportamiento de malware desconocido, evitando que se expanda.

    5) Software FortiClient
    Dotado de funciones de Firewall, Antimalware, AntiSpam, Web Filter, Control de aplicaciones e
    integración con el FOrtiSandBox.

    Los equipos FortiGate poseen la capacidad de trabajar en dos modalidades diferentes: Modo router/NAT o
    modo Transparente (se comporta como un Bridge).

    No posee IP’s en sus interfaces (solo una IP de gestión propio del equipo y actualización de firmas, a las que
    atiende desde cualquier interfaz). Por lo tanto, el equipo puede ser introducido en cualquier punto de red
    sin necesidad de realizar alguna modificación en cualquier dispositivo.

    También es posible combinar las dos funcionalidades.

    CONFIGURACION DE USUARIOS

    PERFILES DE ADMINISTRADOR

    - Para crear una nueva cuenta administrativa, debe existir un perfil al cual se le va a asociar.

    - El Ref es de cuantas cuentas están invocando al perfil.


    NOTA: Se puede desactivar el Iddle Timeout, activando la casilla <Override Idle Timeout>.
    NOTA: Esto son los usuarios de gestión del fortigate.

    CONFIGURACION DE LA HORA
    CONFIGURAR DNS

    ACCESO A LA CONSOLA

    VDOM (Virtual Domain)

    - Cada modelo dispone de un número máximo de VDOM que se pueden crear, sin licencia adicional.
    - Conocidos también como Fortigate’s Virtuales. Como mínimo se tiene un puerto físico o lógico
    dedicado a una VDOM. La VDOM default es el Root.
    - Una VDOM tiene un límite de políticas asociadas.
    - VDOM Link: Es un mecanismo que crea interfaces entre VDOM’s para dar conectividad entre ellos.
    Se tiene que crear políticas también en estos links. Tambien llamados IVL (inter Vdom Link).

    - Solo los Super_usuarios pueden crear vdoms. Hay diferencias en un Super_Admin y un


    Read_Write_all.
    CONFIGURACION DE INTERFACES

    - Al agregarle el rol de WAN, se puede observar que admite una opción de rate-limit.

    RUTAS ESTATICAS

    CONFIGURACION DE DHCP SERVER


    - Se hace desde la interfaz, debe tener una IP Manual y activarse el modo DHCP Server.

    - También se puede hacer reservaciones en las opciones avanzadas.

    CONFIGURACION DE INTERFACES TRONCALES Y VLANS


    CAPTURAR TRAFICO
    OSPF BASICO

    - No es necesario crear un IP POLICY para permitir el intercambio de protocolos de routing entre


    interfaces.
    - Caracteristicas adicionales

    - Al aplicarse, se activan globalmente y no hace falta aplicarlo a una interfaz en especial (por mas que
    solo se haya configurado en el comando NETWORK).

    POLICY ROUTES

    - El Firewall está entregando rutas OSPF por a través de su Port2. Su función es similar al PBR.
    - En el Fortigate no existe los filter routes ni los route-map.

    POLICY AND OBJECTS


    SCHEDULE

    - Son tareas programadas, sobre todo se configura el tiempo.


    - También se puede agrupar varios Schedules para aplicarlos a la vez.

    SERVICES

    - Ya están creados por default, pero pueden crearse nuevos o agruparlos para un mejor
    entendimiento, incluso otra categoría. Se pueden crear, Servicios, Grupo de Servicios o Categorías.
    - Se dividen por categorías:

    - Creando un nuevo servicio.


    - En el Grupo de Servicios, análogamente a otros Grupos, solo se agregan los miembros.
    - En la siguiente imagen muestra cómo se crean nuevas Categorías.

    INTERNET SERVICES

    - Estos no se pueden crear nuevos Internet Services, ni editarlos (aunque aparezca la opción).
    ADDRESSES

    - Acá se configuran las IP’s para denominarles un nombre en especial y poder aplicarlos en los IPV4
    POLICY.

    - Un FQDN es un nombre que incluye el nombre de la computadora y el nombre de dominio


    asociado a ese equipo. Por ejemplo, dada la computadora llamada «serv1» y el nombre de
    dominio «bar.com.», el FQDN será «serv1.bar.com.»; a su vez, un FQDN asociado a serv1 podría ser
    «post.serv1.bar.com.».
    - Hay varios modos de configurar un Adress:
    - También se puede crear grupos para agregar estas direcciones:
    - El “Show Address List” indica que serán visibles.

    WILDCARD FQDN

    TRAFFIC SHAPER

    - Con lo enunciado anteriormente, este tipo de política no se asocia con el IPV4 POLICY.
    - Tiene el modo compartido (Shared) y por IP (Per-IP). Se puede observar que no hay aplicación de
    entrada o de salida, es por eso que al crear los Shapers, estos se aplican recién en los Policy Shapers
    POLICY SHAPERS

    - Existe versión de IPV4 e IPV6.


    - Al igual que los IP POLICY, se usarán los Addresses (source y destination), Schedules, Services.
    Además también es factible usar las herramientas: FIREWALL APLICATIONS y WEB FILTER.

    IP POLICY

    - De no existir, no hay intercambio de protocolos IP.


    IP POOL

    - Se utiliza como un Pool dinámico para el nateo.

    - Como ejemplo se tiene la siguiente estructura:

    NAT Dynamica

    192.168.1.0/24

    172.16.150.0/30

    .1 .2 .1
    INTERNET

    CPE

    FORTIGATE

    ip route 190.119.100.0/29 172.16.150.2

    - Se creara un IP POOL “One-to-One” con el rango.


    - Una vez creado el IP POOL, se aplicará esto en el POLICY IPV4. Comunmente se activa el “Preserve
    source port” para que en el nateo se conserve el puerto de origen. Se pueden asociar varios IP
    POOL pero los rangos de IP’s no puede sobreescribirse.

    - Se observa el nateo en el router CPE. Recordar que este Firewall no tiene ninguna IP interna
    publica, todo es nateado. El Pool dinámica no suele tener política de retorno.

    NATEO ESTÁTICO
    - Para un estatico 1 a 1 se requiere tanto de ida como de vuelta. Para la IDA se configurará un POOL
    IP de una sola dirección.

    - Y para el retorno se creará una Virtual IP.


    - Aquí mismo también se puede configurar el PORTFORWARDING, pero esto solo tiene sentido en el
    retorno.

    - El VIP se aplica en el destino.

    Potrebbero piacerti anche