Vous êtes sur la page 1sur 25

FortiGate

Manual Bsico de Usuario

V1.1

Contenido
Introduccin .................................................................................................................................................. 4
Tips ................................................................................................................................................................ 5
Entendiendo lo Bsico............................................................................................................................... 5
Screenshot vs. Text ................................................................................................................................... 5
Modelos y Firmware ................................................................................................................................. 5
Puertos ...................................................................................................................................................... 5
Direcciones IP y nombres de Objetos ....................................................................................................... 5
Elementos del Texto ................................................................................................................................. 6
Seleccionando OK/Apply ........................................................................................................................... 6
Activando funcionalidades del FortiOS ..................................................................................................... 6
Comenzando ................................................................................................................................................. 7
Cmo hacer Backups y Restauraciones de su configuracin ...................................................................... 8
Backup ................................................................................................................................................... 8
Restauracin ......................................................................................................................................... 9
Cambio del password del administrador................................................................................................... 10
Creando Objetos......................................................................................................................................... 11
Creando Polticas de Seguridad ................................................................................................................. 12
Seguridad .................................................................................................................................................... 18
Perfiles de Antivirus .................................................................................................................................... 19
Perfiles de WebFilter................................................................................................................................... 20
Troubleshooting ......................................................................................................................................... 21
Use FortiExplorer si no puede conectar con el FortiGate a travs de Ethernet. .................................... 21
Comprobar si hay problemas con algn equipo aparte del FortiGate. .................................................. 21
Comprobar las conexiones fsicas de red................................................................................................ 21
Compruebe que puede conectarse a la direccin IP interna de la unidad de FortiGate (Modo NAT). .. 21
Compruebe que puede conectarse a la direccin IP de administracin de la unidad FortiGate (Modo
transparente). ......................................................................................................................................... 22
Compruebe las configuraciones de la interfaz FortiGate (NAT). ............................................................ 22
Verificar la configuracin de la poltica de seguridad. ............................................................................ 22

Compruebe que puede conectarse a la direccin IP de la interfaz pegada a Internet (Modo NAT). ..... 22
Verificar la configuracin de enrutamiento esttico (modo NAT).......................................................... 22
Compruebe que puede conectarse a la puerta de entrada proporcionada por el ISP. .......................... 22
Compruebe que puede comunicarse desde la unidad FortiGate a Internet. ......................................... 23
Verificar las configuraciones DNS de la unidad FortiGate y los ordenadores. ....................................... 23
Confirmar que la unidad FortiGate puede conectarse a la red FortiGuard. ........................................... 23
Considere cambiar la direccin MAC de la interfaz externa (NAT). ....................................................... 23
Cmo acceder al servicio de Soporte JMTelcom ....................................................................................... 24

Introduccin
FortiGate es una appliance de seguridad para su red que puede aplicar numerosas funcionalidades para
el trato del trfico, provee adems seguridad consolidada que cubre las necesidades de proteccin a la
red de su empresa.

Este manual bsico de FortiGate est dividido en las siguientes secciones:

Comenzando: Ejemplos que ilustran el uso inicial de su FortiGate y funciones ms bsicas.


Seguridad: Ejemplos de aplicacin que le servirn para proteger su red.
Troubleshooting: Pasos bsicos para descubrir problemas en red.
Cmo solicitar soporte local de JMTelcom: Indicaciones para atender sus requerimientos de forma
efectiva.

Tips
Antes de comenzar, aqu
puedes encontrar algunos
Tips para el uso de este
manual

Entendiendo lo Bsico
Algunos pasos bsicos, como el loguear dentro de nuestro FortiGate, no estn incluidos
en la mayora de Configuraciones de este manual. Esta informacin puede ser encontrada
en la QuickStart Guide del producto

Screenshot vs. Text


Este manual usa tanto screenshots como texto para explicar paso a paso la configuracin
de cada ejemplo. Las screenshots muestran la configuracin completa, mientras que el
texto seala los detalles claves (por ejemplo: las configuraciones que son estrictamente
necesarias para la configuracin) y provee informacin adicional. Para una comprensin
ms certera de este manual inicie con el screenshot primero y luego lea el texto
detalladamente.

Modelos y Firmware
Mens de la GUI (graphical user interface), opciones y nombres de interfaces pueden
variar dependiendo del modelo y versin de firmware que usted este utilizando. Por
ejemplo, algunos FortiGates tienen una interface default llamada lan mientras que en
otros modelos la interface se llama internal.

Puertos
Los puertos especficos utilizados en este manual han sido escogidos al azar para efecto
de demostracin en los ejemplos, cuando usted este configurando su unidad puede
sustituir los ejemplos con sus propios puertos, proveyendo de esta manera la misma
funcin.
Por ejemplo, en muchos ejemplos la WAN1 o INTERNET es la interface usada para acceso
a la World Wide Web. Si su FortiGate usa diferentes puertos para dicha funcin, usted
debe de usarlo en sustitucin de la WAN1 o puerto INTERNET que muestra el ejemplo.

Direcciones IP y nombres de Objetos


Las direcciones IP mostradas en los Screenshots o configuraciones son para mostrarlos de
manera simple en los ejemplos. Cuanto usted este configurando su unidad, sustituya con
sus propias direcciones y tambin utilice sus propios nombres para sealar los objetos,
(incluyendo cuentas de usuarios) que son creadas en algunos ejemplos. Utilice nombres
especficos y fciles de identificar (sin uso de espacios) para que le sea ms fcil determinar
ms adelante en que est siendo utilizado el objeto.

Elementos del Texto


Texto en Negritas indica el nombre del campo o la funcin en la GUI. Cuando se requiere, Texto Itlico
indica informacin que usted debe ingresar. Itlicas tambin son usada para notas que contienen
informacin que le pueden ser til.

Seleccionando OK/Apply
Siempre seleccione OK o Apply cuando complete un paso en la GUI.

Activando funcionalidades del FortiOS


Algunas funcionalidades del FortiOS pueden ser apagadas, es decir que no aparecern en la GUI. Si
algunas son requeridas para algn ejemplo de este manual y no aparece ingrese en el men System >
Feature Select y asegrese que esa funcionalidad est marcada.
Tambin en algunos modelos de FortiGates, algunas funcionalidades estn disponibles solo por CLI
(interfaz de lnea de comandos). Para mayor informacin puede ver el documento Feature/Platform
Matrix (Technical Documentation website).

Comenzando
Esta seccin tiene informacin sobre tareas bsicas para comenzar a utilizar su FortiGate, incluyendo
roles comunes de instalacin y configuracin que puede tener una unidad conectada a su red Local.

1234-

Cmo hacer Backups y Restauraciones de su configuracin


Cambio de Password del Administrador
Creando Objetos
Creando Polticas de Seguridad

1
Cmo hacer Backups y Restauraciones de su configuracin
Backup
1. Ingresar con la IP asignada a la administracin grfica o GUI del FortiGate por medio de un
navegador.
2. Ingresamos usando nuestras credenciales de administracin del
Firewall (Usuario y Password), estos sern asignados la primera
vez por el ingeniero encargado de la instalacin de su equipo.

3. Luego de acceder a la GUI, ingresamos al men Dashboard

4. Del lado derecho de la ventana de nuestro navegador y buscar el widget de System Information
y hacer clic en Backup

5. Aparecer la ventana de Backup


donde tenemos la opcin de ponerle
un password a nuestro backup para
encriptarlo (si se encripta el backup
no existe manera de recuperar la
contrasea en caso de haberla
olvidado) Luego damos clic en el
botn de OK.

Restauracin
1. Del lado derecho de la ventana de nuestro navegador y bajo el widget de System Information,
hacer clic en Restore.

2. Aparecer la ventana de Restore


donde seleccionamos la ubicacin de
nuestro backup (si se encripto el
backup y se olvid la contrasea, no
podremos restaurar la configuracin
pues no existe manera de recuperar la
contrasea). Luego damos clic en el
botn de OK.

2
Cambio del password del administrador
1. Ingresamos al men de System >
Administrators y seleccionamos el
administrador al que queremos
cambiarle password y le damos clic en
Edit.

2. En la ventana siguiente le damos clic en


el botn de Change Password.

3. Ingresamos las credenciales actuales


del usuario admin y colocamos las
nuevas, finalizado esto damos clic al
botn de OK.

4. Se cerrar la sesin actual y tendr que acceder nuevamente con el usuario y la nueva contrasea.

3
Creando Objetos
1. Ingresamos al men Policy & Objects >
Addresses y damos clic en el botn de Create
New

2. Podemos seleccionar entre dos tipos de objetos Direcciones (Address) o


Grupos de Direcciones (Address Group). Para nuestro ejemplo crearemos
un objeto de direccin

3. Llenamos los campos necesarios (Nombre,


tipo y el objeto como tal) sin utilizar espacios
ni caracteres especiales como * /> <!? o
palabras con tildes y damos clic en el botn de
OK.

Todos los objetos creados en el men de Addresses deben de ser utilizados en poltica, de lo contrario el
objeto por s solo no ejecuta ninguna accin.

4
Creando Polticas de Seguridad

En este apartado usted aprender a crear y ordenar mltiples polticas de seguridad en la tabla de
polticas, para aplicar la poltica adecuada dependiendo del tipo de trfico en la red.

En este ejemplo 3 polticas de IPv4 sern configuradas:

Internet: Una poltica general de acceso a internet para toda la red LAN
Mvil: Una poltica que permita acceso a internet mientras aplica web filter para dispositivos
mviles, en este caso una red inalmbrica ha sido configurada en la misma Subnet de la LAN
Admin: Poltica que permita acceso full al PC del administrador (llamada SysAdminPC)

Una cuarta poltica, la poltica default implcita, tambin ser utilizada.

Configurando la poltica de INTERNET


-

Ir a Policy & Objects > IPv4 Policy y creemos


una poltica nueva permitiendo trfico
saliente hacia internet.

Definiremos un nombre para la poltica, ser


llamada Internet.

Agregar la interface para la red local y la


interface del enlace de internet.

En Source y Destination Address seleccionar


All.

Definamos los servicios para HTTP, HTTPS y


DNS.

Asegurmonos que la poltica tenga NAT


habilitado.

Para poder ver resultados ms adelante


habilitemos la opcin de Log Allowed Traffic
y seleccionemos All Sessions.

Configurando poltica para dispositivos Mviles


-

Ir a la Policy & Objects > IPv4 Policy


y crearemos una nueva poltica.
Establecer nombre de la poltica a
Mobile.

Ajustar Incoming Interface a lan,


Source Device Type a Mobile Device
(un
grupo
de
dispositivos
personalizado que incluye tabletas y
telfonos
mviles),
Outgoing
Interface a su interface saliente a
internet, y el Servicio de HTTP,
HTTPS y DNS.
El uso de un grupo de dispositivos
habilita
automticamente
la
identificacin del dispositivo en la
interface LAN.

Habilitar NAT.

En Security Profiles, habilite Web


Filter y configurarlo para utilizar el
perfil Default.

Habilitar
SSL
Inspection
y
seleccionar Certificate-Inspection
para permitir que el trafico HTTPS
sea inspeccionado. Hacer esto activa
las Proxy Options; la cual se
establece en el perfil Default.

Habilitamos la opcin de Log


Allowed Traffic y seleccionemos All
Sessions

Creando SySAdminPC
-

Vamos a User & Devices > Custom


Devices & Groups y creemos un nuevo
dispositivo. Este dispositivo identificara
la PC del administrador de sistemas.

Selecciones el Alias apropiado, luego


defina la MAC Address y el Device Type
Apropiado

Creando la Poltica de Admin


-

Ingrese a Policy & Objects > IPv4 Policy y


creemos una nueva poltica. Defina el
Name como Admin.

Defina Incoming interface hacia lan,


Source Device Type como SysAdminPC,
Outgoing Interface hacia su interface de
Internet, y los Service como ALL.

Habilite NAT, y habilitamos la opcin de


Log Allowed Traffic y seleccionemos All
Sessions

Ordenando la tabla de Polticas


-

Ingrese a Policy & Objects > IPv4 Policy para ver la tabla de polticas, seleccionemos ver By
Sequence, la cual muestra las polticas en orden usadas por el FortiGate.

Actualmente, las polticas estn dispuestas en el orden en que fueron creadas.


Con el fin de que el trfico fluya correctamente a travs de cada poltica, deben estar dispuestas de
manera que las polticas ms especficas se encuentran en la parte superior.

Para reorganizar las polticas, seleccione la columna en el extremo izquierdo (en el ejemplo, Seq.#)
y arrastre la poltica para la posicin deseada, como se muestra a la derecha.

Resultados
Navegue por Internet usando la PC del administrador del sistema, un PC diferente, y un dispositivo mvil.
-

Ir a FortiView > Policies y


seleccione la vista de now.
Se puede ver que fluye el
trfico a travs de las tres
polticas de seguridad.

Haga clic derecho en la


poltica de Admin y
seleccione Drill Down to
Details.

Ver la pestaa de Source para confirmar que esta poltica est siendo utilizado exclusivamente
por SysAdminPC.

(Opcional) Trate de hacer alguna conexin por HTTPS a un servidor web (ejemplo
https://www.google.com.sv). nicamente la PC del administrador podr conectar con el sitio.

Seguridad
Esta seccin contiene informacin sobre cmo utilizar las caractersticas de seguridad de un FortiGate,
incluyendo antivirus y filtrado web.

Antivirus
WebFilter

Perfiles de Antivirus
-

Seleccionamos el Men de Security Profiles > AntiVirus.

Asignar Name al perfil como AntiVirus_Profile

En la accion de Detect Viruses seleccionar Block.


Los protocolos que seran inspeccionados por el
perfil seran:
HTTP
SMTP
POP3
IMAP
MAPI
FTP

Marcamos las opciones de Inspection Options.


Treat Windows Executables in Email
Attachments as Viruses.
Include Mobile Malware Protection.

Por ultimo damos clic al boton de OK.

Luego vamos a la politica a la que queremos


asignarle el perfil ingresando al menu de Policy
& Objects > IPv4 Policy y seleccionando la
politica, luego le damos clic en el boton de Edit
(en este caso es la politica que permite acceso
de la red local hacia Internet).

En la seccion de Security Profiles


seleccionamos la opcion de AntiVirus y
marcamos nuetro perfil AntiVirus_Profile.
Hacer esto activa las Proxy Options; la cual se
establece en el perfil Default.

Perfiles de WebFilter
En este ejemplo demostraremos como bloquear Facebook por categora de Web Filter.

Ingresemos al men Security Profiles >


WebFilter y editamos el perfil de filtrado
Web predeterminado (default).

Para bloquear Facebook, active la opcin de


FortiGuard category based filter.

Seleccione General Interest Personal y con


clic derecho marcamos la categora Social
Networking como Block; guardamos los
cambios haciendo clic al botn de Apply.

Luego vamos a la politica a la que queremos


asignarle el perfil ingresando al menu de Policy
& Objects > IPv4 Policy y seleccionando la
politica, luego le damos clic en el boton de Edit
(en este caso es la politica que permite acceso
de la red local hacia Internet).

En la seccion de Security Profiles


seleccionamos la opcion de AntiVirus y
marcamos nuetro perfil AntiVirus_Profile.
Hacer esto activa las Proxy Options; la cual se
establece en el perfil Default.

Troubleshooting
Si su FortiGate no funciona como usted lo desea despus de completar la instalacin, pruebe los siguientes
mtodos para la solucin de problemas.
La mayora de los mtodos se pueden utilizar para FortiGates tanto en modo NAT y en modo transparente.
Las excepciones estn marcadas.

Use FortiExplorer si no puede conectar con el FortiGate a travs de Ethernet.


Si no puede conectarse a la interfaz grfica de usuario FortiGate o CLI, es posible que pueda conectarse
utilizando FortiExplorer. Ver su Gua de inicio rpido de la unidad FortiGate para ms detalles.

Comprobar si hay problemas con algn equipo aparte del FortiGate.


Compruebe que todos los equipos de la red estn encendidos y funcionando como se espera. Consulte la
gua de inicio rpido para informacin acerca de la conexin a la red FortiGate. Tambin encontrar
informacin detallada sobre los indicadores LED del dispositivo.

Comprobar las conexiones fsicas de red.


Compruebe los cables que se utilizan en todas las conexiones fsicas para asegurarse de que estn todos
conectados y que no parezcan que estn daados. Asegrese de que cada cable est conectado al
dispositivo correcto y el puerto Ethernet correcto en ese dispositivo.
Adems, verifique el widget de Funcionamiento de la unidad en el Dashboard para asegurarse de que las
interfaces conectadas se muestran en verde.

Compruebe que puede conectarse a la direccin IP interna de la unidad de FortiGate


(Modo NAT).
Conectar con la GUI del FortiGate desde su navegador usando la direccin IP. Desde la PC, intente hacer
ping a la direccin IP de la interfaz interna; por ejemplo, de ping 192.168.1.99.
Si no puede conectarse a la interfaz interna, comprobar la configuracin IP de su PC. Si puede hacer ping
a la interfaz, pero no se puede conectarse a la GUI, compruebe la configuracin para el acceso
administrativo en esa interfaz usando FortiExplorer.

Compruebe que puede conectarse a la direccin IP de administracin de la unidad


FortiGate (Modo transparente).
Desde la red interna, intente hacer ping a la direccin IP de administracin. Si no puede conectarse a la
interfaz internal, verificar la configuracin IP de su PC y asegrese de que los cables estn conectados y
todos los switches y otros dispositivos de la red estn encendidos y en funcionamiento. Ir a la siguiente
etapa cuando se puede conectar con la interface interna.

Compruebe las configuraciones de la interfaz FortiGate (NAT).


Compruebe la configuracin de la interfaz del FortiGate conectada a la red interna, y comprobar la
configuracin de la interfaz que se conecta a Internet para validar si el direccionamiento est configurado
de modo correcto.

Verificar la configuracin de la poltica de seguridad.


Compruebe que la interfaz interna y la interfaz de Internet se ha agregado en la poltica de seguridad y
est situado cerca de la parte superior de la lista de polticas. Compruebe la columna de Sesiones para
asegurar que el trfico ha sido procesado (si esta columna no aparece, haga clic en la fila del ttulo en el
gestor de polticas, seleccione Sesiones y seleccione Aplicar).
Si est utilizando el modo NAT, comprobar la configuracin de la poltica para asegurarse de que NAT est
activado y que este seleccionado Use Destination Interface Address.

Compruebe que puede conectarse a la direccin IP de la interfaz pegada a Internet (Modo


NAT).
Haga Ping a la direccin IP de la interfaz que esta frene a Internet del FortiGate. Si no puede conectarse a
la interfaz, el FortiGate no est permitiendo sesiones desde la interfaz interna a la interfaz de Internet.

Verificar la configuracin de enrutamiento esttico (modo NAT).


Compruebe que la ruta default es la correcta. Ver el Monitor de rutas y verificar que la ruta por defecto
aparece en la lista como una ruta esttica. Junto con la ruta por defecto, ver que hay dos rutas que se
muestran como Conectado, uno para cada conectada interfaz del FortiGate.

Compruebe que puede conectarse a la puerta de entrada proporcionada por el ISP.


Haga Ping a la direccin IP de puerta de enlace predeterminada desde su PC en la red interna. Si no puede
llegar a la puerta de entrada, contacte a su ISP para comprobar que est utilizando la puerta de entrada
correcta y si el enlace de internet est funcionando bien.

Compruebe que puede comunicarse desde la unidad FortiGate a Internet.


Acceso a la CLI FortiGate y utilizar el comando de exe ping 8.8.8.8, tambin puede utilizar exe traceroute
8.8.8.8 para solucionar problemas de conectividad a Internet.

Verificar las configuraciones DNS de la unidad FortiGate y los ordenadores.


Compruebe si hay errores de DNS haciendo ping o traceroute para conectarse a un nombre de dominio;
Por ejemplo: ping www.fortinet.com. Si el nombre no se puede resolver, la unidad FortiGate o PC no
pueden conectarse a un servidor DNS y debe confirmar que las direcciones IP de los servidores DNS que
son los correctos.

Confirmar que la unidad FortiGate puede conectarse a la red FortiGuard.


Una vez registrada, la unidad FortiGate obtiene firmas de antivirus y control de aplicaciones y otras
actualizaciones de la nube de FortiGuard. Una vez que la unidad de FortiGate est en su red, confirmar
que puede llegar a FortiGuard.
En primer lugar, comprobar el widget de informacin de licencia para asegurarse de que el estado de
todos los servicios FortiGuard coincide con los servicios que ha comprado. Ir a la configuracin de
FortiGuard y ampliar el filtrado web y correo electrnico. Seleccione Prueba de disponibilidad. Despus
de un minuto, la interfaz grfica de usuario debe mostrar una conexin exitosa.

Considere cambiar la direccin MAC de la interfaz externa (NAT).


Algunos ISP no permiten que la direccin MAC del dispositivo conectado a su dispositivo de red cambie
por lo que usted puede cambiar la direccin MAC de la interfaz orientada a Internet utilizando el siguiente
comando de CLI:
config system interface
edit (Interface destinada a Internet, ej. edit wan1)
set macaddr (La misma MAC address del dispositivo que estaba conectado antes)
end
end

Cmo acceder al servicio de Soporte


JMTelcom
a) Levantar un ticket definiendo la prioridad del mismo en el portal de soporte:
http://support.mayabits.com , en donde se le dar un nmero de caso y ser asignado un
Ingeniero de Servicio el cual se comunicar con usted y le dar seguimiento al problema.

b) Marcar al telfono del Call Center 2246-6046, donde contestar nuestro personal de HelpDesk,
quien determinar la criticidad del problema y abrir un ticket de soporte donde se le asignar un
nmero para dicho ticket. posteriormente un Ingeniero de Servicio se comunicar con usted y le
dar seguimiento al problema.

c) Enviar un correo electrnico a la cuenta support@mayabits.com donde nuestro personal de


HelpDesk determinar la criticidad del problema y abrir un ticket, ser asignado a un Ingeniero
de Servicio el cual se comunicar con usted y le dar seguimiento al problema reportado.

El equipo humano que forma parte de nuestro Servicio de HelpDesk est situado en las oficinas de
MayaBits S.A. y est integrado por Ingenieros especialistas en la atencin y soporte a usuarios, as como
en la resolucin de incidencias.

TIPOS DE INCIDENTES Y TIEMPOS DE RESPUESTA


Tipo de
Incidencia
Crtica
Media

Leve

Estatus del Sistema


Sistema Inoperativo e
imposibilidad de trabajar.
Problemas intermitentes
No causa interrupcin
inmediata de labores.
No hay impacto en el
sistema. Actualizaciones,
preguntas, instalaciones
o nuevas
configuraciones.

Impacto en la
Productividad

Tiempos de
Respuesta

Alto

Crtica: 2-4 horas

Impacto a largo
plazo

Media: 8-12 horas

No hay impacto

Leve: 24-48 horas

Comentarios
Si su contrato de
soporte es 8x5 el
cual no incluye fines
de semana ni horas
fuera de oficina y se
crea una solicitud
luego de las 6 P.M. o
en fin de semana,
Sern atendidas
hasta el siguiente da
hbil.

ENLACES DE INTERES

Fortinet Cookbook - http://cookbook.fortinet.com

Fortinet Knowledge Base - http://kb.fortinet.com

Technical Documentation - http://docs.fortinet.com

Video Tutoriales - http://video.fortinet.com

Training Services - http://campus.training.fortinet.com

Technical Support - https://support.fortinet.com