6

Fortigate: Configuración inicial y puesta en marcha

Hola a tod@s.

En este post vamos a ver como realizar la configuración inicial y puesta en marcha para empezar a funcionar con un firewall Fortigate de la empresa norteamericana Fortinet, dedicada al desarrollo y comercialización de software, dispositivos y servicios de ciberseguridad, como firewalls, antivirus, prevención de intrusiones y seguridad en dispositivos de usuario, entre otros.

La topología utilizada es sencillita y será la siguiente, un puerto del Fortigate para la salida a Internet (WAN1) y otro puerto para la red interna (LAN_RAGASYS):

  • Lo primero que haremos será conectarnos a nuestro Fortigate con el cable de consola y loguearnos, con el usuario admin y password en blanco:

  • Una vez logueados, con el siguiente comando vemos el estado de las interfaces:

  • Como podemos ver el port1 tiene permitido el acceso a los protocolos ICMP (Ping), HTTP, HTTPS, SSH y FGFM, todo ello, para que una vez que le asignemos una dirección IP podamos administrar el Fortigate a través de esa dirección, de todas formas, una vez que accedamos al firewall a través de la interface web podemos habilitar todos estos accesos en los puertos que nos interesen, también lo podemos hacer a través de la CLI, eso a gusto del consumidor.
  • Ahora vamos a asignar las direcciones IP correspondientes para las interfaces LAN_RAGASYS y WAN1, para ello hacemos lo siguiente:

  • Una vez asignadas las direcciones IP ya podemos acceder al Fortigate a través del portal web, en mi caso, como buena práctica, siempre me creo un registro del tipo A estático en mi servidor DNS, para así poder acceder al dispositivo a través de su nombre:

  • Una vez que hemos accedido al Fortigate podemos ver el direccionamiento asignado a las dos interfaces:

  • Como buena práctica lo primero que vamos a realizar será deshabilitar todos los puertos que no vamos a utilizar y a medida que los vayamos necesitando los iremos habilitando, para ello editamos cada puerto y deshabilitamos:

  • Realizamos la misma operación para todos los demás puertos y nos quedaría así:

  • Ahora editamos el port1 y el port8:

  • Ahora vamos a configurar el hostname y la hora del sistema, para ello accedemos a “System > Settings”:

  • El siguiente paso será configurar los DNS, en “Network > DNS”:

  • Ahora vamos a asignar un password al usuario administrador que viene definido por defecto en el Fortigate, ya que de fábrica no tiene asignada contraseña:

  • Ahora nos crearemos perfiles para administrar el Fortigate, asignándole los permisos que nos interesen a cada perfil, en mi caso crearé un perfil para los Administradores de Ragasys Sistemas:

  • Una vez creado los perfiles, ya podemos crear usuarios y asignarlos a los perfiles que nos interesen:

  • El siguiente paso será crearnos una ruta por defecto para la salida a Internet, para ello nos vamos a “Network > Static Routes”:

  • Como podemos ver el firewall ya tiene conexión a Internet, nuestros equipos todavía no van a tener conexión hacia Internet, necesitamos configurar las políticas, que lo veremos en los siguientes puntos:

  • Ahora vamos a configurar algunas políticas para que los equipos de nuestra red local tengan salida a Internet, aunque antes veremos que por defecto viene configurada una política implícita denegando todo el tráfico desde cualquier origen a cualquier destino y con cualquier servicio, nosotros iremos añadiendo políticas y permitiendo el tráfico que nos vaya interesando:

  • Para configurar las políticas, lo primero que vamos a realizar será configurar las direcciones, en este caso voy a englobar todas las direcciones pertenecientes a la red interna LAN_RAGASYS:

  • Ahora nos crearemos un grupo y añadimos estas direcciones LANRAGASYS, que incluiría toda la red al completo:

  • Una vez creada las direcciones y el grupo, vamos a crear los grupos de servicios para aplicarlos a nuestras políticas, como lo que queremos es darle acceso a Internet a todos los equipos de nuestra red interna nos vamos a crear un grupo de servicios llamado “Web Access”, en el cuál vamos a incluir los servicios DNS, HTTP y HTTPS para que los equipos puedan navegar, la mayoría de los servicios ya vienen definidos en el firewall como pueden ser FTP, SMB, HTTP, HTTPS, POP3, SMTP, DNS, etc… :

  • Una vez creados los grupos de servicios, habilitamos las políticas que nos vayan interesando, en este caso vamos a habilitar una política para que todos los equipos de nuestra red interna puedan navegar por Internet:

  • Con esto ya tendríamos acceso a Internet desde cualquier equipo de nuestra red interna.
  • Ahora vamos a crearnos otro grupo de servicios llamado ICMP Access, en el cuál vamos a incluir el servicio “ALL_ICMP”:

  • Una vez creados el grupo de servicios, habilitamos la política, en este caso vamos a habilitar una política para que todos los equipos de nuestra red interna puedan hacer ping a cualquier dirección IP en Internet y comprobar su estado:

  • Como podemos ver desde el equipo con Windows 10 desde el que estoy configurando el Fortigate ya podemos realizar un ping a cualquier dirección en Internet:

 

Saludos y espero que os resulte de ayuda 😉

ragasys

Técnico Superior STI

6 comentarios

  1. Hola José Ramón.
    Te agradezco por la publicación, me ha servido de mucho en mis practicas
    con maquinas virtuales.

    Hoja puedas publicar una configuración para VPN con FortiGate, no se si la tendrás ya en este Blog.

    Saludos.

    • Hola Martín, me alegro que te haya servido el post sobre Fortigate, quería hacer algunos post más sobre estos dispositivos de Fortinet, incluyendo configuraciones de VPN site to site y de acceso remoto, el problema es que la licencia trial caduca muy pronto, y no he podido realizar más artículos sobre esta tecnología, y mira que me gustaría, ya que estos dispositivos me parecen una auténtica pasada y funcionan muy bien, deberían tener algunas licencias para montar laboratorios y poder testearlos, intentaré ponerme en contacto con Fortinet y ver si me pudieran facilitar alguna licencia.
      Saludos.

  2. Buenas Tardes, actualmente me configuraron un fortinet, pero me hicieron dos grupos para poder configurar las reglas de navegación, me podría orientar, como agregar estos usuarios a los grupos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.