DMZ

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
AndresMHS
Mensajes: 38
Registrado: 23 Feb 2016, 18:51

DMZ

Mensaje por AndresMHS »

Hola Muchachos, que tal.
Tenemos un Fortigate 100C y tengo creadas mis politicas de seguridad para bloquear todo. El tema es que cuando llegan visitas a una reunión quieren mostrar algo en la web y quedan bloqueados, entonces se me ocurre crear un portal cautivo donde ingresen, por ejemplo usuario"visita" clave "visita123" y que el Fortinet les entregué una IP distinta a la LAN de uso empresa y que también tengan salida libre a Internet sin ningún bloqueo.
Creo que debo empezar creando una DMZ y luego lo del portal cautivo, si pueden brindarme información de como hacerlo se los agradecería mucho, he leído diferentes opiniones en los foros, pero no me ha servido.

Gracias.
Saludos!!
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: DMZ

Mensaje por And.quijada »

Buen día amigo,

Va a depender de como conectes a estos invitados.. El fortinet tiene puerto DMZ en caso de que sea vía Wifi y no poseas tu red segmentada, puedes conectar el router a dicho puerto y ahi realizas los ajustes de política, ruta , portal cautivo y navegación, también lo puedes realizar creando una VLAN si tu red es segmentada y aplicar las mismas configuraciones, esta VLAN puede estar conectada a tu puerto LAN.

Si se conectan vía cable utp entonces debes manejarlo con VLAN o colocar un SW este conectado al puerto DMZ y los puertos de la sala de reuniones conectarlos a ese SW.

las politicas serian de DMZ a Wan
O de VLAN a WAN

Saludos.
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
AndresMHS
Mensajes: 38
Registrado: 23 Feb 2016, 18:51

Re: DMZ

Mensaje por AndresMHS »

Hola Anderson, buen día.
Primero que todo gracias por tu ayuda e interés.
Mi idea es habilitar WIFI sólo para los invitados, mi red no está segmentada. Entonces el fin de esto es que los invitados queden en otra LAN y que no puedan ver servidores e impresoras de la RED operativa de la empresa.

Gracias!
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: DMZ

Mensaje por And.quijada »

Perfecto debes utilizar entonces un puerto DMZ para conectar a tu router Wifi.

Lo puedes realizar conectando de tu port DMZ a la Wan del router (colocas una ip fija del rango DMZ) y el router que entregue ip en su LAN Wifi. Con esta opción en tus políticas TY Ruta solo permisas para que valla a Internet la ip configurada en la WAN del router.

También puedes conectar la LAN del router a tu Port DMZ y que este ultimo entregue direcciones, permisando hacia Internet (Politica y ruta)la Red de DMZ.

En la Interfaz utilizada como DMZ habilitas el portal cautivo.

Todas las opciones mencionadas te funcionan ya que si no realizadas politicas hacia la LAN no van a acceder a tus recursos locales,es cuestión de decidir cual prefieres.

Seria útil saber también que versión de Firmware tienes? y si tienes las Interfaz LAN Separadas en puertos, es decir, que cada puerto LAN sea independiente no un Swich.

Cualquier duda estoy a la orden.
Saludos.
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
AndresMHS
Mensajes: 38
Registrado: 23 Feb 2016, 18:51

Re: DMZ

Mensaje por AndresMHS »

El firmware v5.4.0,build1011 (GA).
Y lo otro, nuestro Fortigate está configurado como Hardware Switch, que fue lo sugerido por la persona que en ese minuto instaló el equipo debido a nuestra estructura de RED.
En este escenario no se puede aplicar el DMZ?

Saludos !!
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: DMZ

Mensaje por And.quijada »

Si se puede, solo debes tener un puerto libre que uses para dicho propósito, en este caso usas un puerto para montar tu dmz. En la versión 5.4 0 debes poder sacar una puerto del hardware switchy colocarlo como puerto independiente y sobre ese hacer tu configuración dmz esto si no tienes puertos disponibles.

Lo importante es que tengas un puerto libre que puedas destinar para dmz.
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
AndresMHS
Mensajes: 38
Registrado: 23 Feb 2016, 18:51

Re: DMZ

Mensaje por AndresMHS »

Hola estimado.
Me equivoqué en el modelo de nuestro Fortigate, es el 90D y no tiene puerto DMZ.
Así se ve la configuración actual.
Entiendo que puedo quitar una interfaz del Hardware Switch y crear una nueva interfaz para la DMZ?
Tal vez parezca obvio, pero es mejor consultar antes de mandarse flor de rana.

Gracias master.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: DMZ

Mensaje por And.quijada »

Exacto, una de las que tiene X al darle clic y aplicar la quita del hardware switch y las vas a tener disponible para usarla como dmz.

Saludos.
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: DMZ

Mensaje por And.quijada »

Bueno no X corrijo de las que están down que no tienes nada conectado. . Al sacarla del hardware switch ya la tendrás en la pantalla principal de interfaces para usarla como dmz, Wan conectar otra Red. Lo que necesites en tu caso dmz
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
aisa1985
Mensajes: 3
Registrado: 03 May 2019, 17:51

Re: DMZ

Mensaje por aisa1985 »

Hola Anderson, en relación a esto, estoy tratando de habilitar una nueva interface para mi dmz en mi forti90D y necesita sacarla del hardware switch, pero no estaría pudiendo, me podrías dar una mano.
Cuando ingreso a mi interface la, no veo la posibilidad de deshabilitar ninguna intreface del switch...
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: DMZ

Mensaje por makco10 »

Hola,

¿Que FortiOS utilizas?

En las ultimas versiones nada mas tienes editar el hardware switch y darle a la x en la interface que deseas sacar.
Captura.PNG
Saludos.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
aisa1985
Mensajes: 3
Registrado: 03 May 2019, 17:51

Re: DMZ

Mensaje por aisa1985 »

Hola.
Versión 5.2.0
Envio adjunto de como me aparece la config del intreface lan
Gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: DMZ

Mensaje por makco10 »

Hola,

En 5.2 para poder cambiar el modo del hardware switch debes eliminar todos los objectos o referencias del hardware switch, politicas, rutas estaticas, VPN, cualquiere referencia para que puedas hacer el cambio.

Luego por CLI debes hacer el siguiente cambio:

Código: Seleccionar todo

config system global
     set internal-switch-mode interface
exit
Por cualquier duda ingresa a este link: [Debes identificarte para poder ver enlaces.]

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
aisa1985
Mensajes: 3
Registrado: 03 May 2019, 17:51

Re: DMZ

Mensaje por aisa1985 »

Muchas gracias Makco10
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: DMZ

Mensaje por makco10 »

De nada, te recomendaria hacer el upgrade de firmware hacia 5.6.9 es la ultima version compatible para el Fortigate 90D.

[Debes identificarte para poder ver enlaces.]

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder