Firewall Multiservicios-Fortigate 60E y Software 5.4

Infraestructura GMAN
Firewall Multiservicios - FORTINET

(Basado en el Fortigate 60E y Software 5.4)
Página 1 de 51
Confidencial MCM Telecom
F03 P-PL-01 Ver. 1
Historial del documento
Título Fecha de Emisión
Firewall Multiservicios - FORTINET 10/11/2016
No. Emisor Fecha de Aplicación
1 Paulina Morales 10/11/2016
Versión Sustituye a Vigencia
Anexar en el siguiente recuadro si se realizan modificaciones al documento

HISTORIA DEL DOCUMENTO
Fecha Nombre Revisión Área Razón del cambio
Se agrega:
Juan Garza/Paulina Morales /Moises
14/12/2016 1 Planeación ANEXO 1 Alta Disponibilidad
Martinez.
24/01/2016 Juan Garza/Paulina Morales 2 Planeación ANEXO 2 Protección ACME

27/01/2016 Juan Garza/Paulina Morales 3 Planeación ANEXO 3 Soporte al PBR
31/01/2016 Juan Garza/Paulina Morales 4 Planeación ANEXO 2 Autentificación con Radius
Página 2 de 51
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN 1
FIREWALL MULTISERVICIOS - FORTINET 1
(BASADO EN EL FORTIGATE 60E Y SOFTWARE 5.4) 1
HISTORIAL DEL DOCUMENTO 2
FIREWALL MULTISERVICIOS – FORTINET 4
PROPÓSITO 4
ALCANCE 4
LIMITACIONES 4
DESCRIPCIÓN DE LA SOLUCIÓN 4
INSTALACIÓN 6
CONFIGURACIÓN 6
SOPORTE TÉCNICO Y CONTACTOS 33
ANEXO 1 ALTA DISPONIBILIDAD 34
ANEXO 2 PROTECCIÓN ACME 38
ANEXO 3 SOPORTE AL PBR 43
ANEXO 4 AUTENTIFICACIÓN CON RADIUS 45
Página 3 de 51
F03 P-PL-01 Ver. 1
INFRAESTRUCTURA GMAN - MCM TELECOM
FIREWALL MULTISERVICIOS – FORTINET
Firewall Multiservicios – FORTINET
Propósito
Contar con firewall CPE que permita entregar servicios Symphony, servicios iNet.
Alcance
Este documento aplica para la familia de Firewall Fortigate con software 5.4 incluido entre ellos el
Firewall Fortigate 60 D
Limitaciones
Esta solución es exclusiva para usarse del lado del cliente. No debe usarse para dar servicio a más
de un cliente y se recomienda para Symphony+iNet.
En especial, este modelo debe usarse para conectar hasta 150 teléfonos VoIP y para entregar hasta
600 Mbps de iNet.
Con relación a la seguridad administrada tomar en cuenta que se activa la parte de UTN, lo cual
merma el desempeño de los puertos de un 75 a 80% por lo cual no deberá ser tomado en cuenta
para anchos de banda mayores a 180Mbps.
Las características del equipo con respecto a los usuarios que soporta,mac address, tabla de
ARP,etc...Queda exactamente de la misma manera, el único parámetro que se ve afectado es el
ancho de banda.
Consultar tabla al final del documento.
Descripción de la Solución
El firewall se instala normalmente entre el switch de acceso de MCM y la red LAN del cliente. El
firewall puede realizar funciones de NAT, esto para que muchas PCs/Laptops dentro de la LAN
puedan salir con una misma dirección IP hacia Internet y puedan navegar (servicio iNet requerido).
También realiza la función de NAT para los teléfonos VoIP (servicio Symphony requerido).
Este firewall también tiene la capacidad de realizar mapeos estáticas de direcciones IPs, función
conocida como MIPs en los firewall Juniper.
También permite realizar la limitante del ancho de banda del servicio iNet (Internet).
Soporta IPv6 y DHCP6
Firewall FORTINET Fortigate 60E (Figura 1)
Página 4 de 51
F03 P-PL-01 Ver. 1
Los datos importantes a considerar es que se trata de un firewall de tamaño similar al FG- 60 D el
número de parte exacto es FG-60E, tiene 7 puertos GE (Gigaethernet) dedicados a la LAN, 1 puerto
GE dedicado a la zona DMZ y 2 puertos GE dedicados a la WAN. El firewall es alimentado de un
eliminador de corriente alterna, y tiene un consumo de 14 Watts. El sistema operativo es FortiOS 5.
Aunque el esquema de implementación puede variar, aquí se muestra en una implementación en

Redundant Subtending (Figura 2)
En el firewall el puerto WAN1 recibe la conexión del switch de acceso, por el puerto DMZ se
entrega el servicio iNet y por el puerto Internal-Sym el servicio Symphony
Página 5 de 51
F03 P-PL-01 Ver. 1
Instalación
Contar con una laptop/PC con el software FortiExplorer y cable USB para conectarse al equipo y
realizar la configuración que se detalla adelante.
El equipo se monta en charola, y trabaja con una sola fuente de alimentación de corriente alterna.
Se debe contar con cables UTP pequeños para hacer las conexiones básicas del firewall, mínimo 2
cables por switch.
Configuración
ACCESO
 Conectar una PC/Laptop en el puerto mini USB del firewall
 Para entrar por primera vez, el usuario es “admin” y no tiene contraseña (no usar las comillas)
 La mayor parte de la configuración se ingresa mediante la opción “Web-based Manager”. Opción disponible
mediante el software FortiExplorer.
 Parte de la configuración (avanzada) se introduce mediante la opción “Command-line Interface” (CLI). Opción
disponible mediante el software FortiExplorer.
 Para una introducción a la línea de comando (CLI) acceder a: http://forti.net/cli
Esta configuración se aplicó sobre la siguiente versión de software y hardware del Fortigate 60E
FGT60E4Q16011633 # get system status

Version: FortiGate-60E v5.4.4,build5873,161216 (GA)
Virus-DB: 42.00517(2017-01-31 10:16)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FGT60E4Q16011633
IPS Malicious URL Database: 1.00544(2017-02-02 03:25)
Botnet DB: 3.00303(2017-01-31 10:05)
BIOS version: 05000009
System Part-Number: P18816-01
Log hard disk: Not available
Hostname: FGT60E4Q16011633
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1111
Release Version Information: GA
System time: Thu Feb 2 08:48:11 2017
Página 6 de 51
F03 P-PL-01 Ver. 1
A) Configuración de contraseña de admin por WEB

Entrar a System -> Administrators
Cambiar la contraseña de “admin” por la contraseña conocida.

Hacer doble clic sobre el usuario “admin” y hacer clic en “Change password”
En el primer cambio de contraseña del usuario dejar en blanco “old password” e ingresar el nuevo
sobre “New password” confirmar sobre “Confirm password” hacer clic en “ok”
Página 7 de 51
F03 P-PL-01 Ver. 1
B) Activación de SNMP por WEB

Entrar a System –> SNMP
Crear la comunidad “mcm-mex-public” (v1 y v2c) y añadir los hosts 200.66.85.9 y 200.66.85.10
Activar el agente de SNMP
Un detalle a considerar es que si se aplica un filtro por limitar el acceso desde solamente las
direcciones IP de nuestros sistemas de administración, también se afectará la contestación de pings
hacia todos las IPs; por lo mismo no se configura esta función. Sin embargo, se restringe el acceso
mediante la activación de servicios en los puertos WAN, como se verá más adelante.
Página 8 de 51
F03 P-PL-01 Ver. 1
C) Configuración de zona horaria y configuración del servidor externo de NTP por WEB
Entrar a Dashboard
Página 9 de 51
F03 P-PL-01 Ver. 1
La zona horario debe ser “Mexico City” y el servidor NTP el 200.66.81.96, sincronizándose con este
último cada 480 minutos (8 horas)
Via CLI
FGT60E4Q16011633 # config system ntp
FGT60E4Q16011633 (ntp) # set ntpsync enable
FGT60E4Q16011633 (ntp) # set ntpserver 200.66.81.96
FGT60E4Q16011633 (ntp) # end
D) Activación de IPv6 por WEB

Entrar a System -> Config –> Features
Solamente la funcionalidad de IPv6 debe verse activa.
Página 10 de 51
F03 P-PL-01 Ver. 1
E) Configuración de DNSs por WEB

Entrar a Network –> DNS
Al momento solamente contamos con un DNSs de IPv6, y es el 2806:240:3::33
Página 11 de 51
F03 P-PL-01 Ver. 1
F) Creación de Puertos por WEB

Entrar a Network –> Interfaces
El puerto dmz se utiliza para el servicio iNet. En este caso se configura el direccionamiento IP
192.168.10.1/24 pero puede usarse alguna IP de la red LAN del cliente ó direccionamiento válido de
Internet (en este último caso no se hace NAT en las políticas involucradas con la DMZ)
Se asigna también un rango de direcciones IPv6, en este caso es el 2806:240:240::1/64 (Este rango
es asignado por el área de Soluciones).
Se deja activo solamente el servicio de PING, y adicionalmente se activa el servicio de DHCP Server.
Como se puede observar, existe cambio significativo en la interface de administración gráfica (GUI),
entre versiones 5.2 y 5.4. Un cambio detectado en este menú es la opción de “Role”, aquí debemos
seleccionar LAN, de lo contario no aparecerán las opciones para activar el servicio de DHCP.
El “Role” de cada puerto a configurar es importante, tomarlo en cuenta en cada puerto que se
menciona en el presente documento.
Página 12 de 51
F03 P-PL-01 Ver. 1
Se asigna también un rango de direcciones IPv6, este rango es asignado por el área de Soluciones.
Se deja activo solamente el servicio de PING, y adicionalmente se activa el servicio de DHCP.
El puerto wan1 se utiliza para conectar los equipos de acceso de la red de MCM. Dentro de esta
puerto se configuran 3 vlans: Monitoreo (tag 4), iNet (tag 5), Symphony (tag 3). Borrar la asignación
IP original del puerto (esto se logra configurando el puerto para que tome dirección por DHCP).
El puerto Monitoreo se crea como VLAN teniendo como interface el puerto wan1, la asignación del
rango es responsabilidad del área de Soluciones. Este es el único puerto que permitirá la
Administración Remota, la cual se realizará mediante HTTPS, PING, SSH, SNMP.
Página 13 de 51
F03 P-PL-01 Ver. 1
Asignación de IP secundaria de ser necesaria en Vlan de Monitoreo
Una mejora en esta versión, es la capacidad de agregar IPs secundarias vía GUI, vía este mismo
menú, sin la necesidad de hacerlo vía CLI.
Página 14 de 51
F03 P-PL-01 Ver. 1
El puerto iNet se crea como VLAN teniendo como interface el puerto wan1, la asignación del rango
es responsabilidad del área de Soluciones. Se asigna tanto un rango IPv4 como un rango IPv6.
Página 15 de 51
F03 P-PL-01 Ver. 1
El puerto Symphony se crea como VLAN teniendo como interface el puerto WAN1, la asignación
del rango IP es responsabilidad del área de Soluciones.
El equipo de fábrica viene con una interface “Hardware switch” creada que hace referencia a los
puertos “internal1” a “Internal7” Es necesario, eliminar la política que viene por dafault, y que hace
referencia a la interface “Internal”para posteriormente, entrar a la interface “Intrernal” y desvincular
los puertos, para poder crear las diferentes interface “Hardware switch” que se mencionan a
continuación.
El puerto Internal-Sym se crea como “Hardware Switch no se asigna ningún rango de direcciones
IP, solamente se asignan los puertos “internal5” e “internal4” al grupo.
Página 16 de 51
F03 P-PL-01 Ver. 1
Otro cambio en esta versión, es que ya no es necesario cambiar vía CLI el modo “internal-switch-
mode” a “interface”, ya que esta es la configuración por default.
El puerto Sym-Trust se crea como VLAN teniendo como interface el puerto Internal-Sym. El rango
de direcciones IP es el 192.168.9.1/24 y el tag es el 9.
Página 17 de 51
F03 P-PL-01 Ver. 1
G) Creación de Ruteos Estáticos por WEB

Entrar a Network –> Static Route
La ruta estática requiere de la siguiente información mínima:

- Destino que deseamos alcanzar.
- Interfaz por la que alcanzamos ese destino
- Gateway del destino

Página 18 de 51
F03 P-PL-01 Ver. 1
Los Gateway cambiarán y esto dependerá de las asignaciones de IP realizadas por el área de
Soluciones
Nota: La ruta estática 200.52.68.182 255.255.255.255 (y que aparece tachada en rojo)

corresponde a la dirección anterior del SNMPc_02, esta ahora debe cambiarse por la ruta
200.66.85.10 255.255.255 conservando mismo Gateway y Device.
Nota: Agregar ruta estática adicional para considerar el SBC de acceso de Metaswitch
Destination: 172.31.255.0 255.255.255.240
Gateway: 172.18.1.1
Device:Symphony
Página 19 de 51
F03 P-PL-01 Ver. 1
H) Creación de los Objetos del Firewall por WEB

Entrar a Firewall Objects -> Address –> Addresses
Deben crearse todos los que aparecen en la siguiente imagen. Algunos ya aparecen por default.
Página 20 de 51
F03 P-PL-01 Ver. 1
Nota: El Address SNMPc_02 ahora debe llenarse con el Details 200.66.85.10/32
Nota:Agregar Adress del SBC de acceso Metaswitch

Name: Metasw_Mex_Acce1
Type: Subnet
Details:172.31.255.0 /28
Interface:Any
I) Creación de los Grupos de los Objetos del Firewall por WEB

Entrar a Policy & Objects -> Address
Seleccionar el apartado de Group
Deben crearse todos los que aparecen en la siguiente imagen. Algunos ya aparecen por default.
Nota: Añadir al grupo Plataforma-Symphony el Adress Metasw_Mex_Acce1.
Página 21 de 51
F03 P-PL-01 Ver. 1
J) Opcional. Creación de VIPs (conocidas en Juniper como MIPs).

Entrar a Policy & Objects -> Virtual IPs
Página 22 de 51
F03 P-PL-01 Ver. 1
Normalmente se usan para poder monitorear algún switch PoE del servicio Symphony, o para que
el cliente puede instalar un servidor dentro de su servicio iNet..
K) IP Pool
Policy&Objects > Ip Pool
IP Pool, este pool debe rutearse, con ruta estática, hacia el firewall.
Los pasos anteriores solo muestran como crear los objetos y hace falta aplicarlos a las políticas
correspondientes.
Página 23 de 51
F03 P-PL-01 Ver. 1
L) Aplicación de objetos VIP e IP Pool
Policy & Object > Crear una nueva política
Página 24 de 51
F03 P-PL-01 Ver. 1
M) Creación de las Políticas de IPv4

Políticas de IPv4
Entrar a Policy & Object ->Ip v4 Policy
Las secuencias #2, 3,7 son Obligatorias, mientras que las secuencias #1, 5,6 son Opcionales
(dependen de si se requieren crear VIPs).
La secuencia 2 es para permitir la Navegación en Internet.

La secuencia 3 es para que los Broadviews, barra de Symphony Director puedan alcanzar la
Plataforma Symphony (en caso de estar activa la función de PBR en el switch Huawei, no sería
necesaria).
La secuencia 1 es para que el cliente pueda instalar un servidor FTP dentro de su red LAN
La secuencia 5 es para poder monitorear algún switch PoE desde las Plataformas de Monitoreo
La secuencia 6 es para el envío de traps de SNMP desde los switches PoE de Symphony
La secuencia 7 para que los Hardphones puedan alcanzar la Plataforma Symphony
Nota sobre la política 2 (Navegar en IPv4). Dado el agotamiento de las direcciones IPv4, se podrá
contemplar el escenario de usar direcciones IP no váldas de Internet en la interface iNet-UnTrust.
Para realizar lo anterior no se debe hacer NAT con la opción de “Use Outgoing Interface Address”
sino con la opción “Use Dynamic IP Pool” y es aquí donde el inciso K resulta de utilidad, dado que
el IP Pool sí es una rango válido de direcciones de Internet.
Página 25 de 51
F03 P-PL-01 Ver. 1
Media Release on LAN
Nótese que las políticas que emplean una VIP no llevan activa la función de NAT, mientras que
todas las demás sí.
Deben agregarse dos secuencias adicionales para aprovechar una función de los SBC´s de
nuestra plataforma Symphony, este función es conocida normalmente como “Media Release on
LAN” y permite que los flujos de voz entre las distintas redes LAN del cliente se establezcan de
forma directa de dispositivo final a dispositivo final sin depender del SBC. Son las secuencias que
en la figura anterior aparecen como 4 y 7 (aunque el número de secuencia no es importante, es
importante solamente para efectos explicativos de este documento).
Para lograr lo anterior debe permitirse todo el tráfico UDP (all a all, Service ALL_UDP) de la zona
Sym-Trust a la zona dmz (iNet-Trust) y sin realizar NAT. Adicionalmente debe permitirse todo el
tráfico UDP (all a all) de la zona dmz (iNet-Trust) a la zona Sym-Trust también sin realizar NAT.
Página 26 de 51
F03 P-PL-01 Ver. 1
En especial, estas 2 secuencias son vitales cuando el cliente tiene Broadphones y la solución del
cliente no cuenta con un switch LAN con fuciones de PBR (Policy Based Routing).
N) Creación de las Políticas de IPv6

Entrar a Policy -> Policy –> IPv6 Policy
Esta política no lleva active la función de NAT.
Página 27 de 51
F03 P-PL-01 Ver. 1
Ñ) Desactivación de ALG de SIP por CLI
config system settings

set sip-helper disable
set sip-nat-trace disable
set gui-nat46-64 enable
set gui-threat-weight disable
set gui-application-control disable
set gui-casi disable
set gui-endpoint-control disable
set gui-vpn disable
set gui-wireless-controller disable
set gui-wan-load-balancing disable
set gui-antivirus disable
set gui-webfilter disable
set gui-dnsfilter disable
end
Página 28 de 51
F03 P-PL-01 Ver. 1
Creación de perfil Traffic Shaper
Dentro del equipo GUI Fortigate “Policy and objects>Traffic Shapper”
Hacer click en “Create new” para generar un Nuevo perfil de Traffic Shapper.
Ilustración 1Ejemplo representa la limitación a 50 Megas

Dentro de este menú seleccionar “Shared” para aplicarlo a todos los dispositivos conectados
dentro de la politicao, o bien “Per-IP” para aplicarlo a una sola IP dentro del segmento.
Name: Asignar un nombre.
Página 29 de 51
F03 P-PL-01 Ver. 1
Traffic Piority: Definir la prioridad de tráfico.

Max Bandwidth: Indicar la velocidad en Kbps como máximo (no más de)
Guaranteed Bandwidth: Indicar la velocidad en Kbps garantizado (al menos).
Hacer clic en “Ok”
Aplicar a una política

Dentro del menú “Policy and objects>Traffic Shapping policy” hacer clic en “Create New”
Página 30 de 51
F03 P-PL-01 Ver. 1
Una vez dentro del menú definir los siguientes elementos:
Source: direccionamiento de nuestra LAN

Destination: direccionamiento destino.
Service: servicios dónde aplicara el Traffic Shaper
Outgoing interface: Interface destino (WAN o ISP)
Shared Shaper: perfil de Shaper (descarga)
Shared Shaper: perfil de Shaper (subida)
Una vez definidos estos elementos hacer click en ok y la política se tiene que ver reflejada.
Página 31 de 51
F03 P-PL-01 Ver. 1
O) Activación del DHCPv6 por CLI
Configuración de servidor DHCP6. Lo diferente en esta configuración es que no se especifican

explícitamente los servidores DNS, sino que se utilizan los mismos que se configuran en el firewall.
config system dhcp6 server

edit 1
set lease-time 86400
set dns-service default
set subnet 2806:240:240::/64
set interface "dmz"
config ip-range
edit 1
set start-ip 2806:240:240::33
set end-ip 2806:240:240::126
next
end
next
end
Adicionalmente deben agregarse las siguientes líneas dentro de la interface “dmz” (config system
interfaces):
config ipv6
set ip6-allowaccess ping capwap
set ip6-address 2806:240:240::1/64
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
end
next
end
P) Añadir demás configuraciones relacionadas con la operación diaria como:

- Usuarios de lectura
- Backup automático de configuraciones
- Asegurarse de no dejar usuarios por default
Página 32 de 51
F03 P-PL-01 Ver. 1
Soporte Técnico y Contactos
Ingresar a https://support.fortinet.com
Usuario: jgarza@mcmtelecom.com.mx
Contraseña: ***********
Es importante que el área de Instalación a Clientes (IC) registre en la página web todas las firewalls
que configuren e instalen, de esta forma el firewall tendrá activo el soporte técnico y se llevará un
control de los equipos operando en la red.
Desde esta página web se pueden abrir tickets de falla directamente con el fabricante y dar
seguimiento a los mismos.
Adicionalmente el contacto en México es:
Carlos Guto Ferreira.

Account Manager, México
cferreira@fortinet.com
Direct: +52 (55) 55248480+
Mobile: +52 (155) 5545674925
Erika Rivera
Systems Engineer, Mexico
evriera@fortinet.com
Direct: +52 (55) 55248480
Mobile: +52 (155) 45599489
Distribuidor
Westcon Group
Christian Granados
Pre sales Coordinator Engineer
Christian.granados@westcon.com
Direct: +52 (55)50014950 Ext 4742
Mobile: +52 (55) 48902963
Para mas información:
http://docs.fortinet.com/fortigate/reference
http://docs.fortinet.com/d/fortigate-the-fortigate-cookbook-5.4
Página 33 de 51
F03 P-PL-01 Ver. 1
ANEXO 1 Alta Disponibilidad

Alta Disponibilidad (HA), Usado FGCP(FortiGate Cluater Protocol)
Para activar la alta disponibilidad es necesario que los firewalls sean de la misma versión del
Software y Hardware
Adicionalmente se requiere un cable Ethernet cruzado para conectar los equipos entre ellos
Para comenzar a configurar el arreglo es necesario que los equipos no tengan ninguna IP
configurada por DHCP, todas las interfaces deben cambiarse a modo manual.
A) Poner Host Name diferente a cada unidad que formará parte del cluster, esto por WEB
En la parte de Dashborad -> “Status” debe configurarse un nombre diferente a cada equipo.
Por ejemplo:
Firewall master: FGT-MASTER
Firewall esclavo: FGT-SLAVE
B) Configuración de HA por WEB

Entrar a Config -> HA
El modo debe ser “Active-Passive”
La prioridad debe ser de 200 en el Master y de 100 en el Slave (default es 128)
El Group Name debe identificar al Cluster y debe ser idéntico en ambos firewalls. Sin embargo,
esto no impedirá que pueda generarse un problema cuando exista más de un cluster dentro del
mismo anillo colector (por duplicidad de la MAC virtual). Para resolver lo anterior aplicar el paso
que consiste en cambiar el Group-ID
El Password debe ser diferente entre los distintos clusters, de manera que debe documentarse esa
información, el formato puede ser el siguiente: mcm-cliente
El puerto a usar para conectar los equipos es el wan2
Página 34 de 51
F03 P-PL-01 Ver. 1
Adicional se debe ingresar el comando de Override que es una anulación que se activa desde el
CLI
Esta anulación nos permitirá aumentar la prioridad del dispositivo, esto significa que la unidad que
determinemos como master siempre será la primaria
config system ha
set override enable
end
C) Una vez configurados los 2 firewalls conectar el cable Ethernet entre los puertos WAN2
Es en este punto que se crea el cluster. De preferencia usar un cable Ethernet cruzado, pero
también es soportado un cable Ethernet directo.
Conectarse al firewall maestro vía USB y verificar que el cluster se haya formado.
Página 35 de 51
F03 P-PL-01 Ver. 1
D) La topología de conexión es la siguiente
En nuestro caso solamente utilizamos un puerto de HA y que es el WAN2
Esta topología tiene un problema todavía, ya que la conmutación entre los firewalls se hará
únicamente por falla de los propios firewalls y no por falla del switch externo (en stack) o por el
switch interno (en stack).
Por ejemplo: si falla del lado WAN el switch primario del stack (donde está conectado el firewall
primario), entonces el firewall primario (master) seguirá trabajando y dejará sin servicio al cliente;
ya que no habrá conmutación hacia el firewall de respaldo (slave).
Para resolver lo anterior aplicar el paso de Link-Failover
E) Notas sobre la configuración de los switches en stack, tanto internos como externos
El switch interno en stack debe proveer 1 puerto a cada firewall para el servicio iNet .
El primer puerto, el puerto principal, debe salir del switch maestro del stack y conectarse al puerto
DMZ del firewall maestro.
El segundo puerto, el puerto de respaldo, debe salir del switch esclavo del stack y conectarse al
puerto DMZ del firewall esclavo.
El switch interno en stack debe proveer 1 puerto a cada firewall para el servicio Symphony.
Página 36 de 51
F03 P-PL-01 Ver. 1
El primer puerto, el puerto principal, debe salir del switch maestro del stack y conectarse al puerto
internal5 del firewall maestro.
El segundo puerto, el puerto de respaldo, debe salir del swtich esclavo del stack y conectase al
puerto internal5 del firewall esclavo.
En el switch interno en stack NO debe configurarse ninguna función de smart-link, o redundant-

port en los puertos provistos hacia los firewalls.
El switch externo en stack debe proveer 1 puerto a cada firewall para todos los servicios (iNet,
Symphony, Monitoreo).
El primer puerto, puerto principal, debe salir del switch maestro del stack y conectarse al puerto
WAN1 del firewall maestro.
El segundo puerto, puerto de respaldo, debe salir del swich esclavo del stack y conectase al puerto
WAN1 del firwewall esclavo.
En el switch externo en stack NO debe configurarse ninguna función de smart-link, o redundant-

port en los puertos provistos hacia los firewalls.
Página 37 de 51
F03 P-PL-01 Ver. 1
ANEXO 2 Protección ACME
System> feature Select
Este Anexo se usa para proteger el equipo ACME de posibles Loops generados en las redes LAN
de los clientes, ya que pudiera llegar a saturar de peticiones de registro de teléfonos.
Esta protección se lleva acabo limitando el número de sesiones del Firewall cuando estas llevan
como destino ACME.
Se detalla el proceso de configuración.
La Protección DoS se encuentra desactivada en el Firewall por default y debe ser activada vía GUI
Página 38 de 51
F03 P-PL-01 Ver. 1
Policy & Objects > IPv4 DoS Policy
Para crear una nueva política de DoS IPv4 en el menú Policy & Objects > IPv4 DoS Policy hacer
clic en “Create New” e ingresar la siguiente información:
Incoming Interface
Source Address
Destination Address
Service
Activar Anomalías
Tcp_syn_flod
En acciones seleccionar “Block” y Threshold en 2000.
Página 39 de 51
F03 P-PL-01 Ver. 1
Una vez dentro de la configuración de DoS-policy se introduce “edit 1” y la dar <enter> se añade
automáticamente lo siguiente:
(DoS-policy) # show
config firewall DoS-policy
edit 1
config anomaly
edit "tcp_syn_flood"
set threshold 2000
next
edit "tcp_port_scan"
set threshold 1000
Página 40 de 51
F03 P-PL-01 Ver. 1
next
edit "tcp_src_session"
set threshold 5000
next
edit "tcp_dst_session"
set threshold 5000
next
edit "udp_flood"
set threshold 2000
next
edit "udp_scan"
set threshold 2000
next
edit "udp_src_session"
set threshold 5000
next
edit "udp_dst_session"
set threshold 5000
next
edit "icmp_flood"
set threshold 250
next
edit "icmp_sweep"
set threshold 100
next
edit "icmp_src_session"
set threshold 300
next
edit "icmp_dst_session"
set threshold 1000
next
edit "ip_src_session"
set threshold 5000
next
edit "ip_dst_session"
set threshold 5000
next
edit "sctp_flood"
set threshold 2000
next
edit "sctp_scan"
set threshold 1000
next
edit "sctp_src_session"
set threshold 5000
next
edit "sctp_dst_session"
set threshold 5000
next
end
next
end
Sin salirse del “edit 1” se complementa la configuración con las siguientes líneas:
Página 41 de 51
F03 P-PL-01 Ver. 1
set interface "Internal-Sym"

set srcaddr "all"
set dstaddr "ACME_Net"
set service "ALL"
Adicionalmente debemos configurar las anomalías, en el caso del tcp_syn_flood debe quedar de la
siguiente forma:
config anomaly
edit "tcp_syn_flood"
set status enable
set action block
set threshold 8
next
end
Al finalizar la configuración escribir “end”, y “end”, con esto se activarán los cambios.
Página 42 de 51
F03 P-PL-01 Ver. 1
ANEXO 3 Soporte al PBR
PBR (Policy Based Routing) es una función que se activa en el switch central dentro de la red LAN
del cliente. Esta función es realizada por un switch de MCM. Aplicable cuando la solución cuenta
con Broadviews.
NOTA: Solamente aplicar PBR en el switch y ruta estática en el firewall Fortigate cuando el servicio
iNet pasa a través de un Firewall ó Ruteador administrado por el propio cliente.
(Cuando el servicio iNet se entrega directo del Firewall hacia la LAN del cliente, entonces no aplicar
PBR en el switch LAN central ni ruta estática en firewall Fortigate).
Es importante mencionar que se requiere conocer la red IP LAN del cliente donde se encuentran
conectadas las PCs, esto para poder configurar al Firewall y al switch LAN central.
Una vez conocida este red, la cual suponemos es la 192.168.10.0/24 entonces configuramos una
ruta estática hacia esa red en el Fortigate, para esto entramos vía WEB al equipo.
Entrar a Network –> Routing

En el campo “Device” debe seleccionarse Sym-Trust y en el Gateway configuramos la IP del
switch LAN central, y que normalmente tiene la IP 192.168.9.4
En el inciso M del documento principal, en el apartado de “Media Release on LAN” se configuran

las políticas con las siguientes descripciones: “Media Release de BViews a HPhones” y “Media
Release de HPhones a BViews”, ahora estas 2 políticas deben borrarse y sustituirse por la
siguiente:
De Symp-Trust a Symp-Trust permite tráfico de “all” a “all” y SIN hacer NAT y con la siguiente
descripción “Media Release por funcion PBR”.
Página 43 de 51
F03 P-PL-01 Ver. 1
Referencia:
Líneas de configuración en switch LAN central (Huawei S33/S37) para la función de PBR
acl name PBR-Symp 3001

rule 5 permit ip destination 200.66.85.128 0.0.0.15
rule 10 permit ip destination 200.66.81.96 0
rule 35 permit udp destination 192.168.9.0 0.0.0.255
interface Vlanif9
description Monitoreo-por-Symphony
ip address 192.168.9.4 255.255.255.0
interface Vlanif10
ip address 192.168.10.150 255.255.255.0
traffic-redirect vlan 10 inbound acl name PBR-Symp rule 5 ip-nexthop 192.168.9.1

De ser necesario, para desactivar la función PBR en el switch utilizar el siguiente comando:
undo traffic-redirect vlan 10 inbound acl name PBR-Symp
Página 44 de 51
F03 P-PL-01 Ver. 1
Anexo 4 Autentificación con Radius
El objetivo de la autentificación de Radius es que de manera remota el NOC lleve el control de

todos los usuarios que puedan llegar a acceder a este equipo desde un servidor centralizado
User & Device> Radius servers
A) Vía Web, dar de alta el servidor Radius.

. User &Device >User Groups
Click crear nuevo
Página 45 de 51
F03 P-PL-01 Ver. 1
B) Vía web, crear los Grupos de Usuarios de Administración “Administrative-Radius” y con
“User-Radius”. El primero tendrá permisos de Administración, mientras que el segundo de
lectura solamente
Debe añadirse el Group Name “Administrative-User”.

Y Para que un usuario pueda ingresar con este nivel, con el nivel de Administrador, es necesario
introducir en el servidor Radius la siguiente línea de configuración.
Usuario Cleartext-Password := "Contraseña"

Service-Type = Administrative-User,
Huawei-Exec-Privilege = "3",
Fortinet-Group-Name = "Administrative-User", # Linea de Fortinet
NS-Admin-Privilege = Read-Only-Admin
Página 46 de 51
F03 P-PL-01 Ver. 1
Este otro Grupo de Usuario “Any” tendrá solamente perfil de Lectura.
C) Vía web, crear los usuarios de Administración con autentificación Remota.
System >Administrators
**No es necesario definir usuario tipo Wildcard
Página 47 de 51
F03 P-PL-01 Ver. 1
Crear un perfil de Administrador solo lectura.
System>Admin Profile
Página 48 de 51
F03 P-PL-01 Ver. 1
Página 49 de 51
F03 P-PL-01 Ver. 1
FortiGate Network Security Platform
Página 50 de 51
F03 P-PL-01 Ver. 1
Firewall 60 D versión 5.4.0
Alcance
Este documento aplica para la familia de Firewall Fortigate con software 5.4 incluido entre ellos el
Firewall Fortigate 60 D como se comenta al principio de este documento.
Página 51 de 51
F03 P-PL-01 Ver. 1

Firewall Multiservicios-Fortigate 60E y Software 5.4

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Firewall Multiservicios-Fortigate 60E y Software 5.4

Caricato da

Copyright:

Formati disponibili

Infraestructura GMAN

Firewall Multiservicios - FORTINET

Anexar en el siguiente recuadro si se realizan modificaciones al documento

24/01/2016 Juan Garza/Paulina Morales 2 Planeación ANEXO 2 Protección ACME

Firewall Multiservicios – FORTINET

Firewall FORTINET Fortigate 60E (Figura 1)

Aunque el esquema de implementación puede variar, aquí se muestra en una implementación en

FGT60E4Q16011633 # get system status

A) Configuración de contraseña de admin por WEB

Cambiar la contraseña de “admin” por la contraseña conocida.

B) Activación de SNMP por WEB

FGT60E4Q16011633 (ntp) # set ntpsync enable

FGT60E4Q16011633 (ntp) # set ntpserver 200.66.81.96

FGT60E4Q16011633 (ntp) # end

D) Activación de IPv6 por WEB

Solamente la funcionalidad de IPv6 debe verse activa.

E) Configuración de DNSs por WEB

Al momento solamente contamos con un DNSs de IPv6, y es el 2806:240:3::33

F) Creación de Puertos por WEB

Asignación de IP secundaria de ser necesaria en Vlan de Monitoreo

G) Creación de Ruteos Estáticos por WEB

La ruta estática requiere de la siguiente información mínima:

- Gateway del destino

Nota: La ruta estática 200.52.68.182 255.255.255.255 (y que aparece tachada en rojo)

H) Creación de los Objetos del Firewall por WEB

Nota: El Address SNMPc_02 ahora debe llenarse con el Details 200.66.85.10/32

Nota:Agregar Adress del SBC de acceso Metaswitch

I) Creación de los Grupos de los Objetos del Firewall por WEB

Seleccionar el apartado de Group

Nota: Añadir al grupo Plataforma-Symphony el Adress Metasw_Mex_Acce1.

J) Opcional. Creación de VIPs (conocidas en Juniper como MIPs).

L) Aplicación de objetos VIP e IP Pool

Policy & Object > Crear una nueva política

M) Creación de las Políticas de IPv4

La secuencia 2 es para permitir la Navegación en Internet.

Media Release on LAN

N) Creación de las Políticas de IPv6

Esta política no lleva active la función de NAT.

Ñ) Desactivación de ALG de SIP por CLI

config system settings

Ilustración 1Ejemplo representa la limitación a 50 Megas

Traffic Piority: Definir la prioridad de tráfico.

Aplicar a una política

Una vez dentro del menú definir los siguientes elementos:

Source: direccionamiento de nuestra LAN

O) Activación del DHCPv6 por CLI

Configuración de servidor DHCP6. Lo diferente en esta configuración es que no se especifican

config system dhcp6 server

P) Añadir demás configuraciones relacionadas con la operación diaria como:

Soporte Técnico y Contactos

Adicionalmente el contacto en México es:

Carlos Guto Ferreira.

Systems Engineer, Mexico

Pre sales Coordinator Engineer

Para mas información:

ANEXO 1 Alta Disponibilidad

B) Configuración de HA por WEB

El modo debe ser “Active-Passive”

La prioridad debe ser de 200 en el Master y de 100 en el Slave (default es 128)

El puerto a usar para conectar los equipos es el wan2

D) La topología de conexión es la siguiente

En nuestro caso solamente utilizamos un puerto de HA y que es el WAN2

En el switch interno en stack NO debe configurarse ninguna función de smart-link, o redundant-

En el switch externo en stack NO debe configurarse ninguna función de smart-link, o redundant-