meta data de esta página
Apuntes de ItCetas
Copia de la página original de ItCetas http://itcetas.blogspot.com.es
CURSO FORTINET 4.3
- No utilizar la última versión de Forti
- Versiones recomendadas – EN la web de soporte
- Si tienes el interfaz wan con dhcp y coge automáticamente el gw es recomendable igualmente generar la ruta estática 0.0.0.0 0.0.0.0 next-hop x.x.x.x
USB-AUTOINSTALL
Para cargar configs y soft via USB
System>config>Advanced y defines el nombre de los ficheros que estarán el USB.
Si luego pones un USB (Forti apagado) con un fichero de conf y una imagen lo enciendes y cargará esta version y config. Tienen que coincidir los nombres de los ficheros con los antes definidos
UPDATES Fortios
Desde el dashboard
LOGGING y BACKUP
FAMS - Logging y análisis forense en la nube(de pago), pasará a llamarse FORTICLOUD - Recomendado Forti OS 4.3.7+ - se pueden enviar los logs en tiempo real o programado cuando estos tengan disco duro - Se pueden hacer backups de las configs de los FortiGates - alertas - graficas - reporting -***Solo puede recibir información de Fortigate, y no otros productos de Fortinet FAZ - Fortianalyzer - logs e informes de todos los productos de Fortinet y terceros - Puede ser en maquina virtual incluso sobre vm player LOCAL - Local en el FW
FORTIGUARD
AV IPS - Estos tres funcionan a nivel de proxy, cuidado con el dimensionamiento. APP CONTROL Web Filter y AntiSpam - NO se usa proxy. Web Filter cache y AntiSpam cache -- guarda en memoria una web categorizada o una reputación de ip para ahorrar consultas a Fortiguard, se puede modificar el tiempo que estarán las entradas en cache
PASSWORD RECOVERY FORTIGATE
Físicamente desde la consola
Nada más salir el login poner user: maintainer y password: bcpb<nºde serie> Ya estaremos en modo admin FORTIGATE#
INTERFACES
Varios ip con el mismo direccionamiento en interfaces, por ejemplo para hacer de proxy arp para varias ip publicas en la wan
Config system settings --- set allow subnet overlaps
Si tienes HA no puedes tener interfaces en dhcp o ppoe.
ZONAS
Si agrupas interfaces en una zona para administrar reglas luego no podrás crear reglas a interfaces individuales de esta zona
REPLACEMENT MESSAGES
Cambiar los mensajes de notificación del FW como alerta de virus o pagina no permitida, login ssl vpn, etc… config system replace messages
ADMIN PROFILES
Generar perfiles de administración dando permisos a diferentes apartados de configuración que luego asignaras a usuarios
BALANCEO EN SALIDA
En router settings
Hay varios métodos (un único método global)
Source IP Peso (Weight) - esta se asigna dentro de la config del interfaz Spillover - Balanceo por ancho de banda - se asigna dentro del interfaz ***ojo con las métricas y prioridades ya que puede aplicar a routing asimétrico
Dead gateway detection - métodos para detectar la caída de uno de nuestros routers balanceados
Tiempo de vida (TTL) de las conexiones 3600 segundos por ip origen
POLICY ROUTING
Prioritario sobre cualquier otro tipo de routing
Se puede hace por red/host origen, tipo de tráfico, etc...
OBJETOS
De zona geográfica - objeto de país para utilizarlo en las reglas
TRAFIC SHAPPING
SHARED
Por defecto el Forti pone el tráfico en categoría alta
Hay 3 niveles
Alta - 10 Media - 3 Baja - 1 Ejemplo, por cada diez conexiones categorizadas como altas envía 3 medias y 1 baja A parte está el garantizar o limitar por ancho de banda.
Se puede hacer de dos modos Per policy - se aplica por política sumando todas las conexiones de esa política all policies - suma todas las políticas que tengan aplicadas el objeto de traffic Shapping
Per-ip
Se aplica por cada dirección ip, por ejemplo limitar a 1MB de internet a un usuario
VIP —
Así se realizan los nats en fortigate
Virtual IP - nat estatico que luego aplicas en las políticas por puerto o por ip completa ip pool - se utiliza para hacer pat con una ip que no es la del interface, por ejemplo para salir a internet con una Publica concreta
LOAD BALANCE
Creamos el Healt Check (monitor) que puede ser ping, tcp o http
Creamos el virtual Server y le asociamos el Healt Check creado. Le configuramos la IP que responderá, el puerto, Tipo de balanceo, persistencia, etc…
- SSL offloading - puedes poner un certificado para que el Forti cierre el https y hacia dentro vaya por http por ejemplo.
Creamos el Real Server en el que asociamos el virtual server, marcamos el puerto real del servicio, el peso, y otras opciones
Mode- active - está activo - standby - solo se activa si otro servidor real asociado no está activo
Como no hace PAT el servidor real siempre tendrá que tener como GW el Fortigate.
Tipos de balanceo
- first alive - elige el servidor real que se ha creado primero y el siguiente entrará cuando el primero caiga
- Least RTT - por ping calcula el tiempo de respuesta y elige el más rápido (no vale si el Healt es HTTP)
- Least sessions - el que tenga el menor número de sesiones
- https host - te balancea en función del http host (búsqueda en la cabecera http) y que está asociado a un campo en el real server
VDOMS
Dominios virtuales o Fortigate's Virtuales
Como mínimo hay que tener un puerto físico o lógico dedicado a un vdom
A partir de la versión 4 además de que se reparten los recursos a nivel hardware se puede asignar recursos de configuración Como que un VDOM no pueda crear más de 10 políticas.
Vdom link, te crea interfaces entre VDOMs para dar conectividad entre VDOMs. Hay que crear políticas en los VDOMs links de un vdom y de otro, como Por ejemplo dar salida a internet al vdom 3 a través de un puerto del Vdom 1.
Para crear un vdom no puede haber ninguna regla ni ruta u otra config que haga referencia a un interface.
*No se recomienda repetir direccionamientos entre interfaces de diferentes VDOMs aunque puede hacerse con: Config system settings — set allow subnet overlaps “en el Vdom global” Para crear un usuario de admin de un único vdom hay que crearlo como prof_admin y asociarlo al vdom concreto *Switch management - hay que marcarle el que tenga acceso a internet para que se actualice el Fortiguard, por defecto es el root y no puede ser el global.
Para cambiarlo se hace desde el global y en VDOMs RESOURCE LIMITS - Editando o creando un VDOM puedes asignar por ejemplo nº de reglas configurables en ese VDOM o limite de VPN's, etc...
AUTENTICACIÓN
¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡SE DEBEN PONER LAS POLITICAS DE RED POR ENCIMA DE LAS DE GRUPOS DE USUARIOS YA QUE A PARTIR DE ESTAS NO MIRA LAS DE RED!!!!!!!!!! ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡OTRA SOLUCION ES PONER UNA REGLA CON GRUPO GUEST QUE SERIA SIN VALIDACION!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! LOCAL
REMOTE
LDAP RADIUS --- En estas 3 hay que validarse manualmente por http,telnet, TACACS+
FSSO
WINDOWS eDirectory novell +collector en ADirectory - es un soft que se integra en el ADirectory para que la info entre este y el Forti sea a tiempo real Este puede estar en el mismo AD o no. El collector con el AD trabaja por el puerto 8002 y el collector con el Forti por el 8000.
Para crear una regla de FW con autenticación en local:
1ºCrear un usuario en user > user 2ºCrear un grupo que incluya este usuario 3ºEditar o crear política marcando en esta el check identity based policy 4ºAñadir los grupos de usuarios
Para crear un objeto LDAP ir a user > remote > LDAP
1ºcreate new e introducir los campos name ip Port cn --- también puede ser SamAccountName y con este en user vale con que pongas DN=usuario@dominio y su password DN ej. DC=xxxxxx,DC=local Type regular User DN ej. cn=administrator,cn=users,dc=xxxxxxx,dc=local ---- recomendado NO USAR Administrator si no mejor uno que tenga permisos de lectura password ej. xxxxxxxxx
SOFTWARE FSSO - SE INSTALA EN UN SERVIDOR O EN EL MISMO ACTIVE DIRECTORY Y SIRVE PARA CORRELAR EN TIEMPO REAL LOS EVENTOS DEL AD CON EL FORTIGATE
OJO, HAY QUE REINICIAR EL SERVIDOR PARA INSTALAR una vez instalado el agente en el servidor ir al fortigate > users > Single sign-on > FFSO agent ponerle un nombre una ip y el password (por defecto - fortinetcanada) cuidado a veces falla una vez creado debería aparecer la flechita azul de desplegable en el objeto FSSO si no es así, hacer check en esta y darle a refresh un par de veces Luego tendremos que crear un grupo de users de Fortinet SSO y elegir los grupos de nuestro active Directory Una vez hecho ir la política correspondiente y asignarle el grupo de FFSO dentro del identity based policy
VPN SSL
Iremos a VPN > SSL > CONFIG
Desde aquí podemos configurar: ip pools - pools de ip "dhcp" para los clientes que se conecten con el cliente vpn, no requerido para tipo portal Server certificate - Certificado que utilizaremos para realizar la conexión/encriptación, se pueden añadir otros. Require client certificate - esto es para realizar la conexión forzando a un cliente tener certificado concreto, se aplica de forma global y es para todos los perfiles TIPO PORTAL Vamos a portal settings Desde aquí configuraremos distintos parámetros de configuración del portal vpn Clean cache -- limpia la cache de tu navegador antes de entrar Después crearíamos un grupo de usuarios local o remoto Users > group > crear uno y marcar que es para SSL VPN y marcarle a este el portal que queremos Después hay que crear la política ej., source wan any, dest lan any, service any, action ssl-vpn después de marcar action ssl-vpn añadiremos el grupo de usuarios a autenticar Una vez hecho todo esto ya tendremos el portal creado para dar servicio Por ejemplo para smb/cifs pondremos \\ip_Servidor\loquesea
TIPO TUNEL Se puede hacer que todo el tráfico, incluido internet, pase por el fortigate remoto o con split tunneling para que solo te enrute por el túnel vpn el tráfico deseado Para empezar crearemos un objeto de pool de ip's genérico por ejemplo un /24 y lo elegiremos desde la config global de SSLVPN Crearemos otros pools más concretos dentro de este rango global para luego discriminar. Después hay que crear un portal con el Widget Tunnel mode En este editamos el widget de tunnel y le marcamos split tunnel si es el caso y asignamos el pool que corresponda para este portal concreto marcando la opción user group y así poder tener diferentes grupos de usuarios dentro de una misma política Ahora tendremos que crear las políticas 1º la de wan a la red que deseamos llegar, una regla por cada segmento interno que queramos permitir y action vpn-ssl a esta regla hay que añadirle los grupos de usuarios 2º otra regla o reglas con origen ssl.root con los diferentes pools de ip's remotos y destino deseado, la acción ya no será SSL_VPN
3º (opcional) si interesa habría que crear una política desde una red interna del Forti a ssl.root Después necesitaremos crear rutas correspondientes a los pools de ip's que asigna a los clientes remotos a través del interface ssl.root
VPN IPSEC
Se pueden hacer en modo tunnel o con políticas y ambas site-to-site o client-to-fortigate
Doble encapsulación
Phase 1 Negociación de la preshared key, en un primer momento se conocen ambas preshared key pero pasado el keylife se regenera una nueva clave que solo saben los peers. Cuanto menos keylife más segura será la Phase 1
Phase 2 Se encripta el tráfico que circula por el túnel y es la fase que se encarga de enrutar las redes de extremo a extremo
Pueden haber dos entornos
Que el router por delante del Forti tenga la ip publica En este caso hay que redirigir los puertos 4500 (NAT-T) y 500 (IKE), ambos UDP, a nuestra "wan" en el Forti El nat-t nos sirve para decir en la encapsulación que la red contra la que se monta el túnel no es el primer segmento si no el que está detrás del nat.
!!!Nota - si uno de los extremos no tiene ip estática se puede configurar con el DYN-DNS !!!Para VoIP sobre vpn recomendado subir el keylife para evitar posibles cortes en la voz cuando se regenera la clave.
Para empezar iremos a VPN > IPSec > auto key >
new Phase 1 nombre remote gateway - elegimos entre ip estática, dyndns, o dialup-user que es para los clientes vpn ipsec (forticlient) ip address - ip del peer remoto para el caso site-to-site local interface - interfaz en el que se montará el túnel, normalmente wanX. Mode - agressive - va sin encriptar el primer paquete de autenticación , recomendado para clientes remotos - main - va encriptado el primer paquete de autenticación, recomendado para site-to-site Authentication method - preshared key o RSA signature (Certificado) Enable ipsec interface mode - sin habilitar es modo políticas, y habilitado modo túnel P1 Proposal encriptación - si conocemos el otro extremos recomendado dejar solo un tipo DH group - si lo soportan ambos extremos cuanto más alto mejor keylife - comprobar que ambos extremos es lo mismo Dead peer detection - comprueba si el túnel esta caido o no new Phase 2 nombre y phase1 asociada encriptación pfs - reenvío de la generación de claves Quick mode selector (split tunnel) - De Forti a Forti no es necesario ya que se hace con las políticas - De Forti a otro fabricante si habría que marcarlo Si queremos establecer el túnel contra un equipo de terceros necesitaremos una Phase 2 por cada red que queramos enrutar por el túnel con estos definidos en el quick mode selector, además de hacerlo también en la política Modo política Nueva política Hay que hacer una política de Internal a wan (solo en un sentido no hace falta la vuelta) Recomendado poner las políticas de vpn al principio de todo, no afectan al demás tráfico.
Modo túnel Se crean la Phase 1 y 2 igual excepto en la Phase 1 que hay que marcar Enable IPSEC interface mode después las reglas se harán entre el interfaz interno y el nuevo Int virtual que se habrá creado dentro del wan y también otra con la vuelta del tráfico, no tendrás que poner action vpn-ipsec Además habrá que poner las rutas correspondientes a las redes remotas a través del interface virtual
MODO CONCENTRADOR
Sirve para interconectar las site-to-site que tengas configuradas, pero solo pueden hacerse con las que son modo policy VPN > IPSEC > CONCENTRATOR
FORTIGUARD UTM
ANTIVIRUS
Para hacer la inspección por defecto utiliza el modo proxy, y según el equipo tendrá un límite mayor o menor de conexiones, así que hay que ir con cuidado en el dimensionamiento.
Se recomienda en equipos pequeños ponerlo en modo flow-based que el modo en que trabaja es analizar en tiempo real sin parar la conexión mirando únicamente las firmas. Ganas en ancho de banda pero por ejemplo si hay un virus dentro de varios niveles de un .Zip no lo detecta
La base de antivirus es propietaria de Fortinet
UTM> antivirus > profile
Podemos crear varios perfiles para poder asignar a diferentes segmentos de red Podemos marcar que los virus se vayan a la cuarentena
WEB-FILTER
Cada petición que haga el usuario se pregunta a Fortiguard Puede trabajar en modo proxy o en modo flow
UTM> WEB FILTER> PROFILE Categorías de Fortiguard Elegiremos el modo de operación, proxy o flow Marcaremos Fortiguard Categories y elegiremos y aplicaremos acciones correspondientes sobre estas categorías Enable safe search - nos bloqueara resultados en búsquedas de categorías o palabras bloqueadas HTTPS Scaning - habilita el escaneo https Advanced Filter Web url Filter - aquí elegiremos la lista de url manual que hayamos creado web content Filter - lista para declarar palabras que queremos bloquear o permitir dentro del contenido de una web
UTM> WEB FILTER> URL FILTER Desde aquí podemos crear listas customizadas Creamos una lista y dentro de esta vamos dando de alta diferentes url manualmente y asignándole una acción Podemos hacerlo con tipo: Simple: www.mundodeportivo.com -- tiene que contener exactamente esta url, por ejemplo www.mundodeportivo.com/barça no lo bloquearía Regex: con expresiones regulares de Perl --- mirar documento de referencia Wildcard: www.mundodeportivo.com/* bloquearía o permitiría todos los dominios ACCIONES: block Permit Exempt - realiza una excepción si por otra regla, por ejemplo de Fortiguard web Filter, lo está bloqueando
RATING OVERRIDES Podemos categorizar url's concretas para sacarlas de una categorización automática !!!!Podemos pedir que nos valoren de nuevo una url determinada si creemos que es incorrecta desde la parte de Fortiguard > web Filter
APP CONTROL
Va con la licencia de IPS
UTM>Application control Con esto podemos crear perfiles para controlar mediante policy que aplicaciones podemos usar o no, trabaja con unas 4000 firmas Se puede filtrar por Application o por filtro Por Application lo haces con la App concreta Por Filter puedes generalizar y por ejemplo bloquear todo el p2p Podemos aplicar el traffic Shapping por aplicación para no bloquear pero si limitar Con Session TTL - prevalece este sobre otro configurado para por ejemplo el ftp en otro apartado del Firewall Una vez hecho aplicaremos este perfil en la política de navegación por ejemplo
IPS — Podemos crear diferentes sensores para aplicar a diferentes flujos de tráfico
UTM> IPS SENSOR
Cuando creamos/editamos un sensor podemos: Hacemos un filtro o añadimos por aplicación concreta action -- de las aplicaciones filtradas podemos aceptar, monitorizar o bloquear Debajo de action la línea semejante a la superior habilitamos todas las firmas, las deshabilitamos o las dejamos por defecto y entonces algunas estarán activas y otras no ej. si ponemos Disable all la action superior no valdrá de nada excepto para monitorizar packet Logging te analiza a nivel de paquete - puedes sacar por scp este fichero para analizarlo (wireshark) Quarantine - mete en la Banned list a la sesión, usuario, etc... Hay tres tipos: atacker ip - te banea la ip para el servicio bloqueado los demás seguirán funcionando atacker and victim ip por ejemplo si hay un ataque HTTP el ftp dejaría pasarlo para esa ip. attack incoming interface - Te bloquea todo el interface cuidado! ***Para ver los baneos y poder eliminarlos ir a USERS> Banned User Después aplicaremos este profile a una policy DoS Sensor Con esto creamos perfiles de denegación de servicio
aplicamos la política sobre policy> DoS policy Se crean políticas separadas que se asignan al interfaz por donde llega el ataque
!!!!!!!!!!!!!!!!!!Recomendado, empezar con un sensor en modo Monitor y después de un tiempo analizar el tráfico y a partir de ahí empezar a bloquear
EMAIL FILTER
Perfiles para bloquear el spam en el correo Analiza, IMAP,POP3,SMTP y seguros, pero recomendado no utilizar los seguros sin certificado firmado (hace man in the middle) Casi todos los chequeos son en base a listas de reputación de ip o dominios Banned word Con esto marcamos palabras para poder realizar acciones sobre mails que las contengan Por ejemplo porno score 10 Marcamos un peso a esta palabra y luego en el profile de e-mail marcamos el threshold para bloquear si por ejemplo es igual o supera el valor de 20 ( en este caso con que porno saliese dos veces la bloquearía)
DLP — Data leak prevention
Protección de fuga de datos Te protege por ejemplo para que no puedas enviar un email con un número de cuenta o palabras clave que tú quieras Por ejemplo también podemos etiquetar documentos con [confidential] y que estos no puedan salir de la compañía UTM> DLP Rules: Reglas con expresiones regulares para marcar lo que nos interese Compound: Sería un grupo de las rules anteriores Sensor: En este aplicaremos las rules y compounds que me interese Document Finguerprint (solo windows-share de momento) Podemos analizar un directorio de un servidor de ficheros para que después en función de los patrones podamos saber si un fichero de ese directorio está saliendo de la red Pondremos la Ip, servidor y un user y password con permiso de lectura También el pattern que tendrá que coincidir con el nombre del fichero que buscamos Rules action block, none, exempt Quarantine user - bloquea al user solo en ese servicio, por ejemplo un correo de pepito@xxx.com Quarantine ip - bloquea la ip Quarantine interface - bloquea toda la interface Ban - bloquea la ip y solo al servicio concreto Archive none summary - te da info de lo bloqueado full - te envía el fichero con todos los datos al Fortianalyzer o equipos con disco duro (cuidado con la LOPD)
NAC —
Control de pc's, se necesita el forticlient endpoint instalado aunque utilices un antivirus de terceros
Haces que el usuario tenga que cumplir una serie de requisitos para entrar en la red Application sensor - creamos grupos de aplicaciones a detectar y acciones a aplicar Profile - asignas a este profile el sensor creado - puedes obligar al usuario que tenga el antivirus,fw,etc... - notify host
Policy - tendremos que aplicar el profile anteriormente creado
Application Database - base de datos de aplicaciones detectables por el nac Forticlient - opciones concretas para el cliente
PROTOCOL OPTIONS
Podemos crear perfiles para modificar protocolos para que por ejemplo el App control no mire solo el puerto 80 para http sino por ejemplo en el 80,8080,8082,etc… o todos los puertos directamente
Dentro de http Confort Clients - Agiliza la conexión si se está utilizando algún tipo de proxy del Forti, por ejemplo antivirus. Si estuviésemos viendo youtube no pararía la conexión hasta que revise si tiene virus si no que la cargaría más lentamente en función del tamaño de bytes que envías en cada interval Oversize File/email Puedes indicar que a partir de un cierto tamaño no analice la conexión (cuidado)
PARA VER LA CUARENTENA
Log report, Quarantine archive
———————————————————————————————–
ANALISIS HTTPS
Hace un man-in-the-middle Entrega un certificado al cliente y cierra la conexión con este y después abre otra contra la web final Es posible que de fallo con algunas páginas de banco o con mucha protección. Se recomienda poner un certificado firmado para que no aparezca a los usuarios el error típico de certificado
HA – En fortigate funciona a través de arp, solo utiliza una ip por interface en ambos equipos (hasta 5 equipos)
Prerrequisitos - mismo hardware y mismo firmware Tipos - activo/pasivo
- activo/activo
No es un balanceo entre dos maquinas, uno es el master y recibe
todas las conexiones y se encarga de balancearlas entre los dos Cuidado porque si hay switchs por delante habría que deshabilitar la comprobación de macs ya que el paquete después vuelve con una mac diferente no con la virtual Se podría hacer un balanceo real con el comando "config ha > set load-balance-all enable" pero también hay problemas con el arp Se puede modificar el método de balanceo de este "set Schedule": Round-robin - recomendado, reparte por sesión ip - hash por dirección ip origen ipport - igual que ip pero también por puerto random least-connection weight round robin - por peso Mejor no tener VDOMs antes de hacer el HA
Por orden mira
1º Nº de puertos, el que más puertos tenga levantado es master 2º Tiempo de vida maquina, el que más tiempo lleve activo es master 3º Device priority el que mas es master 4º Nº Serie más antiguo master
Configuración
system> config> HA mode priority - el master es mayor group name y password tienen que coincidir en ambos equipos enable Session pickup - replica las sesiones tcp al Slave para un failover mas rápido port monitor - puertos que monitoriza para hacer un failover en caso de caída heartbit - puertos por los que pasa el Healt y el tráfico, a menor priority MAYOR prioridad
Recomendación para añadir un Slave a un standalone existente
Configurar en el nuevo solo la parte de ha no monitorizar los puertos durante la conexión Conectar solo lo puertos de heartbit en el Slave Una vez se vea el cluster en el master conectar los cables del Slave No puedes tener un interface en DHCP para montar HA
CLI Troubleshoot y demás en HA
execute ha disconect - desconecta el equipo desde el que lo hagas del cluster, cuidado porque se pondrán los dos activos... quitar antes los cables de servicio ha sync - fuerzas resincronización ha Manage - te permite saltar al otro dispositivo Diagnose debug Application hasync 6 Diagnose debug Application hatalk 6 -- niveles de debug Diagnose debug enable
OPTIMIZACIÓN WAN
Mejora de rendimiento en redes wan Dos modos de funcionamiento
modo peer - mallado entre equipos (se hace una vpn ipsec) modo activo pasivo - permite: - activo pasivo entre Fortigate y forticlient connect con licencia optimización WAN - activo pasivo entre FortiGates, uno es el activo y los demás pasivos (concentrador)
Es capaz de comprimir FTP,CIFS,FTP
Config -
Desde wan opt.& cache Peer - Creamos un nombre de ID local - local host ID Damos de alta los FortiGates a los que te vayas a unir poniendo el ID y la IP Authentication group - aquí haremos la autenticación entre los peers name - todos los que queramos interconectar tienen que tener el mismo nombre de grupo podemos elegir por certificado o preshared-key password Accept defined peers - conectara contra todos los declarados anteriormente Rule - crearemos las reglas parecidas a VPN Full optimization - para mas protocolos source - red local dest - red remota port - podemos marcar puertos concretos auto detect - off - modo peer - passive o active para el otro modo protocol - puede ser todo tcp peer - elegir el otro extremo Transparent mode - si marcamos esto no hace falta policy de Firewall byte catching - me traigo solo a cache los bites que hayan cambiado enable ssl - es para montarlo por el 443 enable secure túnel - ipsec auth group - elegir el grupo antes creado Hay que repetir esta regla en el sentido opuesto
PRACTICA VDOMs CON SALIDA A INTERNET COMPARTIDA
WAN1 Va a ser la salida a internet compartida entre dos VDOMs, el 1 y el root
Primero creamos el Vdom1 y le asignamos el interface wan2 como Internal para este desde el vdom Global Creamos un Vdom Link desde interface (desde vdom global) Configuramos el interface 0 como el local, vdom1 con ip 1.1.1.2/30 Configuramos el interface 1 como el remoto, vdom root con ip 1.1.1.1/30 Creamos una ruta por defecto en el vdom1 hacia la ip 1.1.1.1 del vdom link Creamos una regla en el vdom1 desde wan2 al vdom link correspondiente al root con permiso any y nat (pat), así no necesitamos ruta de vuelta y el root no nos ve nuestro direccionamiento en vdom1 Creamos una regla en el vdom root desde vdom link correspondiente al vdom1 a wan1 con permiso any y nat (pat) OPCIONAL - Creamos un pool dhcp en el interface wan2(Internal vdom1) Desde Vdom1
DIAGNOSE CLI
SNIFFER – EJEMPLO
FG50BH3G09600089 # diagnose sniffer packet Internal icmp 'host 192.168.1.110' interfaces=[Internal] filters=[icmp] 4.949095 213.134.34.10 -> 192.168.1.110: icmp: host 213.164.63.253 unreachable
FG50BH3G09600089 # diagnose sniffer packet any icmp 4 -- con el 4 por ejemplo marcamos que nos aparezcan los interfaces interfaces=[any] filters=[icmp] 6.953015 Internal in 192.168.1.110 -> 212.0.97.82: icmp: 192.168.1.110 udp port 64173 unreachable 6.953067 wan1 out 172.29.62.174 -> 212.0.97.82: icmp: 172.29.62.174 udp port 64173 unreachable 6.953078 eth0 out 172.29.62.174 -> 212.0.97.82: icmp: 172.29.62.174 udp port 64173 unreachable 6.953113 Internal in 192.168.1.110 -> 212.0.97.81: icmp: 192.168.1.110 udp port 64173 unreachable 6.953146 wan1 out 172.29.62.174 -> 212.0.97.81: icmp: 172.29.62.174 udp port 64173 unreachable 6.953156 eth0 out 172.29.62.174 -> 212.0.97.81: icmp: 172.29.62.174 udp port 64173 unreachable 6 packets received by Filter
0 packets dropped by kernel FG50BH3G09600089 #
TEST LDAP
diagnose test authserver ldap "nombre_del_remote_ldap" username password
TROUBLESHOOT VPN
diagnose debug Application ike 6 -- nivel más alto de debug diagnose debug enable
DIAGNOSE TEST APPLICATION
Desde aquí podemos hacer troubleshoot para los diferentes proxys del fortigate y otras aplicaciones ej. FG50BH3G09600089 # config global
FG50BH3G09600089 (global) # FG50BH3G09600089 (global) # FG50BH3G09600089 (global) # diagnose test Application
DIAGNOSE SYS SESSION ? —- Relacionado con sessiones
Filter port ip dest o source duration protocol policy etc... Revisar con el interrogante
DIAGNOSE SYS TOP - Es como un top en linux para ver la ocupación de los servicios
Run Time: 0 days, 4 hours and 17 minutes 0U, 0S, 98I; 502T, 152F, 113KF sshd 182 S 1.3 2.1 newcli 190 R 0.3 2.7 httpsd 71 S 0.1 3.7 ipsengine 49 S < 0.0 19.2 httpsd 62 S 0.0 3.9 cmdbsvr 15 S 0.0 3.7 httpsd 189 S 0.0 3.0 httpsd 30 S 0.0 3.0 newcli 183 S 0.0 2.7 fgfmd 67 S 0.0 2.6 miglogd 28 S 0.0 2.5 scanunitd 58 S < 0.0 2.3 scanunitd 57 S < 0.0 2.3 sqldb 90 S 0.0 2.2 iked 51 S 0.0 2.2 scanunitd 37 S < 0.0 2.2 urlfilter 47 S 0.0 2.2 forticron 46 S 0.0 2.2 merged_daemons 44 S 0.0 2.1 fdsmgmtd 54 S 0.0 2.1 authd 48 S 0.0 2.1 updated 52 S 0.0 2.1 zebos_launcher 22 S 0.0 2.1 dhcpd 56 S 0.0 2.1 dhcpcd 59 S 0.0 2.1 quard 64 S 0.0 2.1 snmpd 55 S 0.0 2.1 dnsproxy 66 S 0.0 2.1 sshd 61 S 0.0 2.0 wad_diskd 36 S 0.0 2.0 ntpd 60 S < 0.0 2.0 alertmail 65 S 0.0 2.0 cauploadd 68 S 0.0 2.0 getty 42 S < 0.0 2.0 reportd 91 S 0.0 2.0 uploadd 27 S 0.0 2.0 ipsmonitor 43 S 0.0 2.0 proxyd 35 S 0.0 2.0 miglogd 29 S 0.0 2.0 telnetd 63 S 0.0 2.0 httpclid 50 S 0.0 2.0 initXXXXXXXXXXX 1 S 0.0 2.0 proxyworker 39 S 0.0 1.4
DIAGNOSE SYS KILL - matar servicios
ej. FG50BH3G09600089 (global) # diagnose sys kill -9 182
NOTAS!!!
Para saltar por cli desde el root al vdom
FG50BH3G09600089 # FG50BH3G09600089 # FG50BH3G09600089 # config vdom
FG50BH3G09600089 (vdom) # edit <vdom> Virtual Domain Name VDOM1 root
FG50BH3G09600089 (vdom) # edit VDOM1 current vf=VDOM1:1
FG50BH3G09600089 (VDOM1) # FG50BH3G09600089 (VDOM1) # diagnose sniffer packet any icmp interfaces=[any] filters=[icmp]
0 packets received by Filter 0 packets dropped by kernel
FG50BH3G09600089 (VDOM1) #
Códigos de protocolo
tcp - 6 all - 0 udp -17