Seguridad Perimetral

LABORATORIO N° 08

Monitorgin and Logging

CODIGO DEL CURSO: R66513

Alumno(s): Nota

Grupo: Ciclo: V
Requiere No
Excelente Bueno Puntaje
Criterio de Evaluación mejora acept.
(4pts) (3pts) Logrado
(2pts) (0pts)

REDES Y COMUNICACIONES DE DATOS

PROGRAMA DE FORMACIÓN REGULAR
 Nro. DD-106
Seguridad Perimetral Página 2 de 22

I.- OBJETIVOS:
 Implementar el monitoreo en fortinet

II.- SEGURIDAD:
Advertencia:
En este laboratorio está prohibida la manipulación del
hardware, conexiones eléctricas o de red; así como la
ingestión de alimentos o bebidas.

III.- FUNDAMENTO TEÓRICO:

Debe revisar el fundamento teórico en la separata del curso y en las diapositivas de la sesión de teoría.

IV.- NORMAS EMPLEADAS:

No aplica

V.- RECURSOS:
 En este laboratorio cada alumno trabajará con un equipo con Windows XP.
 Este equipo debe tener instalado el programa VMware Workstation para la definición y administración de
los equipos virtuales.
 Los equipos virtuales preparados para el desarrollo del laboratorio.

VII.- PROCEDIMIENTO:

PROCEDIMIENTO

A. Registro de Trafico (Logging) en Fortigate

En este laboratorio, se habilitara el logging para capturar los detalles del tráfico de red procesados por su unidad FortiGate. La
captura del detalle de Log le proporcionará información detallada del tráfico que se puede utilizar para evaluar los problemas
de red.

1. Grabando los mensajes de Log y habilitando event Logging

Ir a Log & Report > Log Config > Log Settings. Seleccionar donde se grabaran los mensajes de Log. Puedes salvar los
mensajes de Log a Disco si esto es soportado por la unidad Fortigate, hacia un FortiAnalyzer o FortiManager si tienes uno,o
 Nro. DD-106
Seguridad Perimetral Página 3 de 22

hacia FortiCloud si tienes una subscripcion. Cada una de estas opciones te permite grabar y Ver los mensajes de log y crear
reportes basados en estos. En la mayoría de casos, es recomendable enviar los Log a FortiCloud.

Primero hacemos el registro del Forticloud y nos registramos en la red

Luego, habilitar Event Logging. Puedes seleccionar para habilitar todos los tipos de Logo tipos
especificos,los cuales como eventos WiFi.

Bajo GUI Preferences, verificar que Display Logs From esta seteado a la misma localización a donde
están grabados los mensajes de Log ( en este ejemplo, FortiCloud).
 Nro. DD-106
Seguridad Perimetral Página 4 de 22

Cuando damos el testing nos envía esto

 Nro. DD-106
Seguridad Perimetral Página 5 de 22

2. Habilitar Logging en Security Police ( Politicas de Seguridad)

Ir a Policy & Objects > Policy > IPv4. Editar la política controlando el manejo del Log. Bajo Logging Options, seleccionar
All Sessions. En la mayoría de casos tu deberías seleccionar Security Events, como All Sessions requiere mas recursos del
sistema y espacio de almacenamiento.
e

3. Resultados:
Para ver los Log del trafico de datos, ir a Log & Report > Traffic Log > Forward Traffic. Se mostrara una variada
información acerca del trafico,incluyendo la fecha y hora, origen, device, y destino. Para cambiar la información mostrada,
hacer right-click en algún titulo de las columnas y seleccionar Column Settings para habilitar o deshabilitar diferentes
columnas.
 Nro. DD-106
Seguridad Perimetral Página 6 de 22

B. Logging con Forticloud

 Nro. DD-106
Seguridad Perimetral Página 7 de 22

En este laboratorio, vamos a usar FortiCloud, como servicio de logging online proveido por Fortinet, para almacenar Log de tu
unidad Fortigate.Tu deberías acceder a los log usando el FortiCloud website (http://www.forticloud.com/)

1. Activando FortiCloud
Ir a System > Dashboard > Status y localizar el widget License Information. En la seccion FortiCloud, seleccionar
Activate.

Cree una cuenta en FortiCloud e ingrese los datos.

En información acerca de tu cuenta de FortiCloud aparecerá en el widget License Information

 Nro. DD-106
Seguridad Perimetral Página 8 de 22

2. Enviando LOG a FortiCloud

Ir a Log & Report > Log Config > Log Settings. Habilitar Send Logs to FortiCloud y verificar que Upload Option este
configurado en Realtime

Seleccionar Test Connectivity para verificar la conexión entre FortiGate y FortiCloud

Ajustar las configuraciones en Event Logging según requerimiento y setear la opción Display Logs from a FortiCloud en
GUI Preferences.

3. Habilitando Logging en tu política de Seguridad

Ir a Policy & Objects > Policy > IPv4 y editar la política que permite la conexión desde la red interna a internet. Verificar en
Logging Options. Habilitar (ON) Log Allowed Traffic y seleccionar All Sessions.
 Nro. DD-106
Seguridad Perimetral Página 9 de 22

4. Resultados:
Navegar en Internet, Luego ir a Log & Report > Traffic Log > Forward Traffic. En la parte superior derecha de la ventanna,
Log location es mostrada como FortiCloud.

Ir a System > Dashboard > Status. En la seccion FortiCloud del widget License Information, seleccionar Launch Portal.
Se abrirá una ventana en tu browser, mostrando todos los dispositivos que están linkeados con tu cuenta FortiGate. Seleccioanr
la unidad apropiada.Puedes también acceder a tu cuenta FortiCloud por ir a www.forticloud.com

Despues de seleccionar tu dispositivo, el Dashboard de FortiCloud aparecerá, Mostrando una variedad de

información acerca de tu trafico.

Desde el Portal, tu tienes también acceso a FortiView, Drilldown, Reports, y Management.

 Nro. DD-106
Seguridad Perimetral Página 10 de 22

C. Monitoreo SNMP
 Nro. DD-106
Seguridad Perimetral Página 11 de 22

En este laboratorio, se configura el agente FortiGate SNMP y un Server SNMP de prueba para que el Servidor SNMP pueda
obtener información sobre el estado de la unidad de FortiGate y para que la unidad de FortiGate puede enviar capturas al
administrador SNMP.

The Simple Network Management Protocol (SNMP) te permite monitorear el hardware de la red. Tu puedes configurar el
hardware, como un agente SNMP FortiGate, reportar información del sistema y enviar traps (alarmas o mensajes de eventos) a
los Servidores SNMP.

1. Configurando el Agente SNMP en el Fortigate

Ir a System > Config > SNMP. Habilitar el SNMP Agent y agregar la información necesaria.

Bajo SNMP v1/v2c, crear una nueva comunidad.

Agregar la dirección IP del Servidor SNMP (como ejemplo, 192.168.1.114/32).

Puedes agregar multiples servidores SNMP, o setea la IP address/Netmask a 0.0.0.0/0.0.0.0 y la

Interface a ANY, de modo que cualquier Servidor SNMP en cualquier red conectada a la unidad
 Nro. DD-106
Seguridad Perimetral Página 12 de 22

FortiGate puede utilizar esta comunidad SNMP y recibir capturas desde la unidad FortiGate. Habilitar
SNMP Events (traps) tu encesites. En la mayoría de casos, se deja todos habilitados

2. Habilitando SNMP en una interface de Fortigate

Ir a System > Network > Interfaces y editar la interface conectada a la misma red que el servidor
SNMP.

Habilitar SNMP para Administrative Access.

 Nro. DD-106
Seguridad Perimetral Página 13 de 22

3. Descargar los archivos MIB de fortigate y configurar en un Servidor SNMP

Dos tipos de archivos MIB están disponibles para las unidades FortiGate: Fortinet MIB y FortiGate MIB.
El Fortinet MIB contiene traps, campos, e informacion que es común para todos los productos de
Fortinet. El FortiGate MIB contiene traps, campos, e información que es especifica para la unidad
FortiGate.

Ir a System > Config > SNMP y seleccionar Download FortiGate SNMP MIB File y Download
Fortinet Core MIB File.Configure el Servidor SNMP manager para recibir traps desde la unidad
FortiGate. Instalar los MIBs FortiGate y Fortinet.

4. Resultados:

Para este laboratorio, utilizaremos SolarWinds SNMP trap viewer.

En SolarWinds Toolset Launch Pad, ir a SNMP > MIB Viewer y seleccionar Launch.
 Nro. DD-106
Seguridad Perimetral Página 14 de 22

Seleccionar Select Device, ingresar la IP address de la unidad FortiGate, y seleccionar la apropiada comunidad.

Abrir SNMP Trap Receiver y seleccionar Launch.

 Nro. DD-106
Seguridad Perimetral Página 15 de 22

El SNMP Trap Receiver, deberá aparecer.

En la unidad FortiGate, realizar una acción para activar los trap (por examplo, cargue la dirección de la DMZ .

Verificar que el Servidor SNMP esta recibiendo the trap.

Tomsmod tramas en este caso estamos tomando las de el cambio de Ip que realice a una maquina y en los permisos soloque
que me notifique cambios de IP
 Nro. DD-106
Seguridad Perimetral Página 16 de 22
 Nro. DD-106
Seguridad Perimetral Página 17 de 22

D. Configurando almacenamiento Log en Syslog

Configure el FortiGate para enviar los LOG a un servidor SYSLOG, esto no significa que los Log no se puedan enviar a otros
contenedores somultaneamente. uds puede configurar enviar los Log a FortiCloud, FortiAnalyzer y Syslog.

1. Configurando Fortigate para envio de Log a un Server SysLog

En la unidad Fortigate, abrir la consola de comando y verificar que haces ping al servidor syslog, utilize el siguiente comando.

execute ping IP_server_syslog

Desde la linea de comandos ingresar los siguientes comandos :

config log syslogd setting

set status enable
set server 10.10.20.4
set facility local1
end

Para este ejemplo, la direccion ip 10.10.20.4 es la ip del servidore syslog, en su caso cambiar esta ip por la ip del servidor
syslog que tengas.

Realiza las pruebas para verificar que el equipo esta enviando LOG al servidor Syslog
 Nro. DD-106
Seguridad Perimetral Página 18 de 22

E. Configurando la activación o desactivaciones de opciones de LOG del UTM

La activacion de Logging Disk desde antes de la version 5.2.X para modelos pequeños no es posible. Disk era disponible pero
ya no esta en linea de comandos "config log disk". Solo se tiene las opciones : memory, FAZ, fortiguard y syslog.

A continuacion se detallan algunos comandos utilizados para activar o desactivar opciones de LOG del UTM

Activate/Deactuvate Application UTM-Log/Log

 Nro. DD-106
Seguridad Perimetral Página 19 de 22
 Nro. DD-106
Seguridad Perimetral Página 20 de 22
 Nro. DD-106
Seguridad Perimetral Página 21 de 22

VIII.- OBSERVACIONES
 Nro. DD-106
Seguridad Perimetral Página 22 de 22

IX.- CONCLUSIONES