Hola a tod@s.
En este post vamos a ver como realizar la configuración inicial y puesta en marcha para empezar a funcionar con un firewall Fortigate de la empresa norteamericana Fortinet, dedicada al desarrollo y comercialización de software, dispositivos y servicios de ciberseguridad, como firewalls, antivirus, prevención de intrusiones y seguridad en dispositivos de usuario, entre otros.
La topología utilizada es sencillita y será la siguiente, un puerto del Fortigate para la salida a Internet (WAN1) y otro puerto para la red interna (LAN_RAGASYS):
- Lo primero que haremos será conectarnos a nuestro Fortigate con el cable de consola y loguearnos, con el usuario admin y password en blanco:
- Una vez logueados, con el siguiente comando vemos el estado de las interfaces:
- Como podemos ver el port1 tiene permitido el acceso a los protocolos ICMP (Ping), HTTP, HTTPS, SSH y FGFM, todo ello, para que una vez que le asignemos una dirección IP podamos administrar el Fortigate a través de esa dirección, de todas formas, una vez que accedamos al firewall a través de la interface web podemos habilitar todos estos accesos en los puertos que nos interesen, también lo podemos hacer a través de la CLI, eso a gusto del consumidor.
- Ahora vamos a asignar las direcciones IP correspondientes para las interfaces LAN_RAGASYS y WAN1, para ello hacemos lo siguiente:
- Una vez asignadas las direcciones IP ya podemos acceder al Fortigate a través del portal web, en mi caso, como buena práctica, siempre me creo un registro del tipo A estático en mi servidor DNS, para así poder acceder al dispositivo a través de su nombre:
- Una vez que hemos accedido al Fortigate podemos ver el direccionamiento asignado a las dos interfaces:
- Como buena práctica lo primero que vamos a realizar será deshabilitar todos los puertos que no vamos a utilizar y a medida que los vayamos necesitando los iremos habilitando, para ello editamos cada puerto y deshabilitamos:
- Realizamos la misma operación para todos los demás puertos y nos quedaría así:
- Ahora editamos el port1 y el port8:
- Ahora vamos a configurar el hostname y la hora del sistema, para ello accedemos a “System > Settings”:
- El siguiente paso será configurar los DNS, en “Network > DNS”:
- Ahora vamos a asignar un password al usuario administrador que viene definido por defecto en el Fortigate, ya que de fábrica no tiene asignada contraseña:
- Ahora nos crearemos perfiles para administrar el Fortigate, asignándole los permisos que nos interesen a cada perfil, en mi caso crearé un perfil para los Administradores de Ragasys Sistemas:
- Una vez creado los perfiles, ya podemos crear usuarios y asignarlos a los perfiles que nos interesen:
- El siguiente paso será crearnos una ruta por defecto para la salida a Internet, para ello nos vamos a “Network > Static Routes”:
- Como podemos ver el firewall ya tiene conexión a Internet, nuestros equipos todavía no van a tener conexión hacia Internet, necesitamos configurar las políticas, que lo veremos en los siguientes puntos:
- Ahora vamos a configurar algunas políticas para que los equipos de nuestra red local tengan salida a Internet, aunque antes veremos que por defecto viene configurada una política implícita denegando todo el tráfico desde cualquier origen a cualquier destino y con cualquier servicio, nosotros iremos añadiendo políticas y permitiendo el tráfico que nos vaya interesando:
- Para configurar las políticas, lo primero que vamos a realizar será configurar las direcciones, en este caso voy a englobar todas las direcciones pertenecientes a la red interna LAN_RAGASYS:
- Ahora nos crearemos un grupo y añadimos estas direcciones LANRAGASYS, que incluiría toda la red al completo:
- Una vez creada las direcciones y el grupo, vamos a crear los grupos de servicios para aplicarlos a nuestras políticas, como lo que queremos es darle acceso a Internet a todos los equipos de nuestra red interna nos vamos a crear un grupo de servicios llamado “Web Access”, en el cuál vamos a incluir los servicios DNS, HTTP y HTTPS para que los equipos puedan navegar, la mayoría de los servicios ya vienen definidos en el firewall como pueden ser FTP, SMB, HTTP, HTTPS, POP3, SMTP, DNS, etc… :
- Una vez creados los grupos de servicios, habilitamos las políticas que nos vayan interesando, en este caso vamos a habilitar una política para que todos los equipos de nuestra red interna puedan navegar por Internet:
- Con esto ya tendríamos acceso a Internet desde cualquier equipo de nuestra red interna.
- Ahora vamos a crearnos otro grupo de servicios llamado ICMP Access, en el cuál vamos a incluir el servicio “ALL_ICMP”:
- Una vez creados el grupo de servicios, habilitamos la política, en este caso vamos a habilitar una política para que todos los equipos de nuestra red interna puedan hacer ping a cualquier dirección IP en Internet y comprobar su estado:
- Como podemos ver desde el equipo con Windows 10 desde el que estoy configurando el Fortigate ya podemos realizar un ping a cualquier dirección en Internet:
Saludos y espero que os resulte de ayuda 😉