Iniciación con Fortigate 100A

[Julio César Durán]

Hola:

He comenzado a trabajar con un fortigate 100A, cabe mencionar que nunca habia trabajado con un equipo asi, y bueno he logrado asignarle IP para accesarla desde un navegador y he configurado algunas cosas básicas desde el acceso por navegador como son: la hora/fecha y actualizado firmware, definición de virus y Protección de intrusión. Aunque he intentado dar algunas politicas de prueba para poder bloquear por ejemplo url's y no he podido. He estado haciendo pruebas con un solo equipo ya que de hecho otro problema que tengo es que tengo 3 subredes de 15 Ip's cada una y si conecto las tres subredes a traves del puerto internal no tengo ningun servicio de red, y con un solo equipo conectado al primer puerto de lan si tengo servicios pero las politicas no me funcionan. No se si sea el orden de las politicas o si estoy configurando algo mal. Si alguien me puede decir que esta mal con la topologia de conexion se lo agradeceré mucho, por cierto, el fortigate esta trabajando en modo transparente. Les agradezco de antemano su atención.

Hasta pronto!

[cmendoza]

Hola Julio y bienvenido al foro!!!

Para poder ayudarte mejor, me gustaría que nos contaras un poco mejor lo que quieres montar.

De momento tengo unas suposiciones:
* Actualmente tienes un router con, al menos, cuatro interfaces (1xWAN, 3xInternas)
* Tienes un router con dos interfaces, y la internal la tienes configurada con 3 IPs.
* Que estas conectando a cada puerto del FortiGate??? Nos puedes mandar una captura de las políticas (si crees que eso no implicaría ningún problema, claro)

Saludos.

[Julio César Durán]

Gracias por la Bienvenida Carlos:

Te expongo la situación de la Red LAN con la que contamos. Fijate que contamos con un router, al cual teniamos conectado un switch. Y a este switch teniamos conectado las tres subredes que te comento. Pero el switch se daño y pusimos los tres concentradores de las subredes en cascada y nos conectamos directamente al router (El switch que teniamos se conectaba al mismo puerto del router) y asi es como tenemos salida desde los equipos de cualquier subred hacia internet. Por lo cual deduzco que el router tiene configurado el puerto al que nos conectamos con las 3 IP's de las Subredes. Las conexiones que tengo al Fortigate 100a son: al puerto wan1 lo conecto al router por el puerto por el que salimos, y en el puerto internal1 conecto los 3 concentradores que se encuentran en cascada. En cuanto a las politicas que te comentaba que estaba probando en principio son restricciones de acceso a URL's y bloquear salida del messenger, eso para empezar, por que nos urge que el messenger sea bloquedo. Dime como prefieres que te mande las politicas por pantallas o si quieres hago un respaldo de la configuración y te lo adjunto para que lo veas. Gracias por tu pronta respuesta, estare pendiente de tus comentarios y te agradezco mucho tu atencion.

Saludos!

[cmendoza]

hola Julio.

Entendido... A mi como siempre me gusta simplificar las cosas (de forma que así es mas facil despues que las entienda un tercero) te recomiendo la siguiente configuración:

1) Borra todas las politicas del Firewall
2) Crea una politica de entrada con estas características:
Source interface: WAN1
Source address: ALL
Destination interface: INTERNAL
Destination address: ALL
(en destination address puedes dejarlo con ALL, incluir un grupo que tenga los tres objetos de subredes internas)

3) Crea una politica de salida con estas características:
Source interface: INTERNAL
Source address: Subred1, Subred2, Subred3
Destination interface: WAN1
Destination address: ALL

En este momento, si probases la conexión desde cualquier equipo, todo te tendría que funcionar como siempre. Si todo va así, el siguiente paso es configurar el filtrado WEB y de MSN. Para ello hay que crear un protection profile, y asignarle a la regla que hemos creado de INTERNAL hacia WAN1.

Para el MSN, te recomiendo esta configuración en el protection profile:


Luego, desde el apartado "IM, P2P & VoIP" --> "User" --> pestaña "config" dejarlo de esta forma:


Para el bloqueo de páginas web tienes varias opciones:
* Bloqueo mediante el servicio FortiGuard (servicio de FortiNet para clasificación de páginas web por tipo de contenido).
* Bloqueo mediante IP o IPs de los servidores (configurable mediante politicas de filtrado)
* Bloqueo mediante listas negras de páginas web (configurable en el apartado WebFilter). Se ha de configurar tambien en el protection profile y te permite bloquear o permitir páginas web concretas.

Si me dices cual de ellas quieres, te pongo un ejemplo.

Saludos.

[Julio César Durán]

Que tal Carlos:

Segui al pie de la letra tus indicaciones e hice una prueba conectando una ntb al puerto internal1 y logre bloquear URL's que defini en el apartado WEB FILTER>URL FILTER, y esto lo habilite en el perfil que hice. Pero el MSN sigue teniendo acceso, ejecute un analizador de protocolos (ethereal) para ver que puertos utiliza el Windows MSN live y bloquee los servicios tcp/1325 y 1326, pero seguia teniendo acceso el msn.

Por otro lado hice una prueba con las tres subredes conectadas al internal1, El detalle que ahora tengo, es que al conectar el Fortigate al Switch (por que resulta que primero pasa por un switch y despues al router, de eso me acabo de enterar) no tengo salida pues ni siquiera se muestra actividad en los leds de la conexion wan1, y por lo tanto no tengo salida. Pero si conecto el wan1 a uno de los 3 concentradores si muestra actividad y es como salgo con la ntb.

Por cierto hice un grupo de las tres subredes, definiendo cada subred por rango, eso no afecta en nada verdad por que no puse mascara de subred. Entonces la pregunta es ¿Tengo que configurar en el fortigate la IP del Switch o del router?

Te agradezco de antemano.

Saludos!

[cmendoza]

Hola Julio

Segui al pie de la letra tus indicaciones e hice una prueba conectando una ntb al puerto internal1 y logre bloquear URL's que defini en el apartado WEB FILTER>URL FILTER, y esto lo habilite en el perfil que hice. Pero el MSN sigue teniendo acceso, ejecute un analizador de protocolos (ethereal) para ver que puertos utiliza el Windows MSN live y bloquee los servicios tcp/1325 y 1326, pero seguia teniendo acceso el msn.

El MSN utiliza puertos de forma dinámica, incluso por el puerto 80, por lo que bloquear puertos no es una opción valida. Con el bloqueo que te he comentado debería funcionar todo... que versión de Firmware tienes instalada en el Fortigate???

Por otro lado hice una prueba con las tres subredes conectadas al internal1, El detalle que ahora tengo, es que al conectar el Fortigate al Switch (por que resulta que primero pasa por un switch y despues al router, de eso me acabo de enterar) no tengo salida pues ni siquiera se muestra actividad en los leds de la conexion wan1, y por lo tanto no tengo salida. Pero si conecto el wan1 a uno de los 3 concentradores si muestra actividad y es como salgo con la ntb.

Podrias pasarnos una captura del apartado Firewall-->Policy???

Por cierto hice un grupo de las tres subredes, definiendo cada subred por rango, eso no afecta en nada verdad por que no puse mascara de subred. Entonces la pregunta es ¿Tengo que configurar en el fortigate la IP del Switch o del router?

Configurar supongo que te refieres a crear un objeto "Router" con la IP de dicho router... en un principio no haría falta.



Según lo que nos vas contando, esto es lo que tienes configurado, no???

[INTERNET] <--> [ROUTER](3IPs) <---> (wan1)[FORTIGATE-modoTransparente](internal) <----> [Redes internas]

[link]

hola !!!

nos podrias poner un dibujito de tu red (un poco mas detallado) ?

no se si tienes vlans creadas o como lo tienes puesto

o si la red internal del fortigate 100 cada boca actua con una ip y lo tienes en modo switch?

un saludo

[Julio César Durán]

Hola que tal:

La versión del Firmware que tengo instalada es la correspondiente al archivo "FGT_100A-v300-build0547-FORTINET.out".

En cuanto a la pantalla Firewall--->Policy, les pido una disculpa, ya que en estos momentos sali de la ciudad donde tengo el equipo fortigate, pero el miercoles a primera hora se los mando.

Por otra parte la topologia de la red es la siguiente:

[INTERNET] <--> [ROUTER]<--->[SWITCH](3IPs) <---> (wan1)[FORTIGATE-modoTransparente](internal1) <----> [3 SubRedes internas]

Link
El miercoles tambien les publicare un diagrama de la red con mas detalle, el fortigate funciona con la internal1 con una IP para las 3 subredes con las que trabajo.

Saludos!

[link]

hola julio

si está en modo transparente que yo sepa no se puede enrutar ni crear pòliticas. lo unico que hara sera que todo el trafico que pase por el lo analizara en busca de malware.

un saludo

[Julio César Durán]

Que tal:

Les paso los datos que me habian pedido:

La version del Firmware es "Fortigate-100A 3.00,build0547,070430"

Aqui les paso los datos del Apartado Firewall--->Policies:

Status ID Source Dest. Sched. Service Profile Action
activa 2 Subredes all always ANY Bloqueo MSN Accept
activa 1 all all always ANY --- Accept

Donde subredes es un grupo de las 3 subredes que utilizo, cada subred fue definida por rango.

Del Profile "Bloqueo MSN", segui los pasos que me dio Carlos para el bloqueo del MSN, pero no me funciono.

Como le hago para publicar una imagen? de acuerdo a lo que vi es con el boton Img y poner un URL pero solo tengo los archivos de imagen, pues no tengo en donde ponerlos para su publicación en WEB.

O solo que les envie por email las imagenes de la configuración que tengo, y un diagrama de la topologia de la red, para que asi tengan una idea mas clara.

Saludos

[Julio César Durán]

Hola Link

Se me pasaba preguntarte acerca de tu comentario, te refieres a que en modo transparente unicamente se buscara malware sin tomar en cuenta las politicas de firewall que yo defina?


Saludos!

[link]

hola

si un applaince de seguridad trabaj en modo trasnparente no es capaz de enrutar ips po rlo tanto lo único que hace es conmutar del puerto interno al puerto wan y analizar los paquetes que pasan por ahi independientemente de las direcciones ip po rlo tanto el firewall no funcionará.

yo nunca lo he provado en moso trasnparente pero he probado otras marcas en modo transparente y es como actuan. funcionana como un switch.

salu2

si quieres enviame la topologia de red a linkdeb@gmail.com

[cmendoza]

hola

si un applaince de seguridad trabaj en modo trasnparente no es capaz de enrutar ips po rlo tanto lo único que hace es conmutar del puerto interno al puerto wan y analizar los paquetes que pasan por ahi independientemente de las direcciones ip po rlo tanto el firewall no funcionará.

yo nunca lo he provado en moso trasnparente pero he probado otras marcas en modo transparente y es como actuan. funcionana como un switch.

Que vaa... que vaa... estos aparatos son capaces de filtrar todo tipo de tráfico en modo transparente... por supuesto que no disponen de la funcionalidad de enrutar, pero si que pueden hacer muuuuchas cosas.

Un ejemplo de una instalación que he echo en varios sitios:

[servidor de tuneles]<-->((INTERNET))<-->[Router ADSL multipuesto]<-->[FG transparente]<-->(red interna)

En este caso, se puede configurar el Fortigate para unir la red interna con una red privada alcanzable a través de una VPN que el propio FG gestiona.

Estos aparatos en modo transparente hacen verdaderas virguerias.

[link]

pues no he dicho nada entonces

gracias por la aclaración.

[Julio César Durán]

Hola que tal:

Finalmente pude enlazar mis 3 VPN a través del Fortigate 100A. Lo que hice fue probrar conectar un switch que autonegociara la velocidad de conexión entre el fortigate y la salida a la internet, y funciono. Saben en donde puedo configurar al fortigate para que autonegocie la velocidad sin necesidad de un switch?

Por otra parte ya he probado el filtrado de contenido web, y ha funcionado perfectamente en todos los equipos. Pero aun no logro bloquear al MSN, pues no logro bloquear al Windows Live Messenger, con las versiones anteriores no tengo problema. La versión del firmware con el que cuento es: Fortigate-100A 3.00,build0547,070430, y arriba de la pagina web de configuración se lee MR5 Candidate 2, saben si alguna versión anterior del firmware bloquea sin problema el Windows Live Messenger?, es más no puedo ver la lista de usuarios conectados en linea, deberia de mostrarlos no es asi?

Gracias por su atencion.

Saludos!!