Diferencias

Muestra las diferencias entre dos versiones de la página.

--- hardware:fortigate:itcetas [192017/09/ 11:07] – creado lc
+++ hardware:fortigate:itcetas [182023/01/ 13:36] (actual) – editor externo 127.0.0.1
@@ Línea 1: / Línea 1: @@
+====== Apuntes de ItCetas =====
+Copia de la página original de ItCetas http://itcetas.blogspot.com.es
+==== CURSO FORTINET 4.3 ====
+<note>
+RECOMENDACIONES
+  * No utilizar la última versión de Forti
+  * Versiones recomendadas -- EN la web de soporte
+  * Si tienes el interfaz wan con dhcp y coge automáticamente el gw es recomendable igualmente generar la ruta estática 0.0.0.0 0.0.0.0 next-hop x.x.x.x
+</note>
+=== USB-AUTOINSTALL ===
+Para cargar configs y soft via USB
+System>config>Advanced y defines el nombre de los ficheros que estarán el USB.
+Si luego pones un USB (Forti apagado) con un fichero de conf y una imagen lo enciendes y cargará esta version y config. Tienen que coincidir los nombres de los ficheros con los antes definidos
+=== UPDATES Fortios ===
+Desde el dashboard
+<note tip>Normalmente guarda como mínimo dos versiones en dos particiones diferentes. cada una con su última config con su respectivo sistema operativo</note>
+=== LOGGING y BACKUP ===
+               FAMS - Logging y análisis forense en la nube(de pago), pasará a llamarse FORTICLOUD
+                                            - Recomendado Forti OS 4.3.7+
+                                            - se pueden enviar los logs en tiempo real o programado cuando estos tengan  disco duro
+                                            - Se pueden hacer backups de las configs de los FortiGates
+                                            - alertas
+                                            - graficas
+                                            - reporting
+                                            -***Solo puede recibir información de Fortigate, y no otros productos de Fortinet
+               FAZ - Fortianalyzer - logs e informes de todos los productos de Fortinet y terceros
+                                                                                         - Puede ser en maquina virtual incluso sobre vm player
+               LOCAL - Local en el FW
+FORTIGUARD
+----------
+               AV
+               IPS                                                      - Estos tres funcionan a nivel de proxy, cuidado con el dimensionamiento.
+               APP CONTROL
+               Web Filter y AntiSpam - NO se usa proxy.
+                              Web Filter cache y AntiSpam cache -- guarda en memoria una web categorizada o una reputación de ip para ahorrar consultas
+                              a Fortiguard, se puede modificar el tiempo que estarán las entradas en cache
+PASSWORD RECOVERY FORTIGATE
+---------------------------
+Físicamente desde la consola
+               Nada más salir el login poner user: maintainer y password: bcpb<nºde serie>
+               Ya estaremos en modo admin FORTIGATE#
+INTERFACES
+----------
+Varios ip con el mismo direccionamiento en interfaces, por ejemplo para hacer de proxy arp para varias ip publicas en la wan
+               Config system settings --- set allow subnet overlaps
+Si tienes HA no puedes tener interfaces en dhcp o ppoe.
+ZONAS
+-----
+Si agrupas interfaces en una zona para administrar reglas luego no podrás crear reglas a interfaces individuales de esta zona
+REPLACEMENT MESSAGES
+--------------------
+Cambiar los mensajes de notificación del FW como alerta de virus o pagina no permitida, login ssl vpn, etc...
+config system replace messages
+ADMIN PROFILES
+--------------
+Generar perfiles de administración dando permisos a diferentes apartados de configuración que luego asignaras a usuarios
+BALANCEO EN SALIDA
+------------------
+En router settings
+Hay varios métodos (un único método global)
+               Source IP
+               Peso (Weight)  - esta se asigna dentro de la config del interfaz
+               Spillover - Balanceo por ancho de banda - se asigna dentro del interfaz
+               ***ojo con las métricas y prioridades ya que puede aplicar a routing asimétrico
+               Dead gateway detection - métodos para detectar la caída de uno de nuestros routers balanceados
+Tiempo de vida (TTL) de las conexiones 3600 segundos por ip origen
+POLICY ROUTING
+--------------
+Prioritario sobre cualquier otro tipo de routing
+               Se puede hace por red/host origen, tipo de tráfico, etc...
+OBJETOS
+-------
+De zona geográfica - objeto de país para utilizarlo en las reglas
+TRAFIC SHAPPING
+---------------
+SHARED
+                              Por defecto el Forti pone el tráfico en categoría alta
+                              Hay 3 niveles
+                                            Alta - 10
+                                            Media - 3
+                                            Baja - 1
+                                            Ejemplo, por cada diez conexiones categorizadas como altas envía 3 medias y 1 baja
+                              A parte está el garantizar o limitar por ancho de banda.
+                              Se puede hacer de dos modos
+                                            Per policy - se aplica por política sumando todas las conexiones de esa política
+                                            all policies - suma todas las políticas que tengan aplicadas el objeto de traffic Shapping
+Per-ip
+               Se aplica por cada dirección ip, por ejemplo limitar a 1MB de internet a un usuario
+VIP
+---
+Así se realizan los nats en fortigate
+ Virtual IP - nat estatico que luego aplicas en las políticas por puerto o por ip completa
+ ip pool - se utiliza para hacer pat con una ip que no es la del interface, por ejemplo para salir a internet con una
+ Publica concreta
+LOAD BALANCE
+------------
+Creamos el Healt Check (monitor) que puede ser ping, tcp o http
+Creamos el virtual Server y le asociamos el Healt Check creado. Le configuramos la IP que responderá, el puerto,
+Tipo de balanceo, persistencia, etc...
+               - SSL offloading - puedes poner un certificado para que el Forti cierre el https y hacia dentro vaya por http por ejemplo.
+Creamos el Real Server en el que asociamos el virtual server, marcamos el puerto real del servicio, el peso, y otras opciones
+               Mode- active - está activo
+                              - standby - solo se activa si otro servidor real asociado no está activo
+Como no hace PAT el servidor real siempre tendrá que tener como GW el Fortigate.
+Tipos de balanceo
+               - first alive - elige el servidor real que se ha creado primero y el siguiente entrará cuando el primero caiga
+               - Least RTT - por ping calcula el tiempo de respuesta y elige el más rápido (no vale si el Healt es HTTP)
+               - Least sessions - el que tenga el menor número de sesiones
+               - https host - te balancea en función del http host (búsqueda en la cabecera http) y que está asociado a un campo en el real server
+VDOMS
+-----
+Dominios virtuales o Fortigate's Virtuales
+Como mínimo hay que tener un puerto físico o lógico dedicado a un vdom
+A partir de la versión 4 además de que se reparten los recursos a nivel hardware se puede asignar recursos de configuración
+Como que un VDOM no pueda crear más de 10 políticas.
+Vdom link, te crea interfaces entre VDOMs para dar conectividad entre VDOMs. Hay que crear políticas en los VDOMs links de un vdom y de otro, como
+Por ejemplo dar salida a internet al vdom 3 a través de un puerto del Vdom 1.
+Para crear un vdom no puede haber ninguna regla ni ruta u otra config que haga referencia a un interface.
+***No se recomienda repetir direccionamientos entre interfaces de diferentes VDOMs aunque puede hacerse con:
+               Config system settings --- set allow subnet overlaps "en el Vdom global"
+Para crear un usuario de admin de un único vdom hay que crearlo como prof_admin y asociarlo al vdom concreto
+***Switch management - hay que marcarle el que tenga acceso a internet para que se actualice el Fortiguard, por defecto es el root y no puede ser el global.
+               Para cambiarlo se hace desde el global y en VDOMs
+               RESOURCE LIMITS - Editando o creando un VDOM puedes asignar por ejemplo nº de reglas configurables en ese VDOM o limite de VPN's, etc...
+AUTENTICACIÓN
+-------------
+¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡SE DEBEN PONER LAS POLITICAS DE RED POR ENCIMA DE LAS DE GRUPOS DE USUARIOS YA QUE A PARTIR DE ESTAS NO MIRA LAS DE RED!!!!!!!!!!
+¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡OTRA SOLUCION ES PONER UNA REGLA CON GRUPO GUEST QUE SERIA SIN VALIDACION!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+LOCAL
+REMOTE
+                              LDAP
+                              RADIUS  --- En estas 3 hay que validarse manualmente por http,telnet,
+                              TACACS+
+FSSO
+                              WINDOWS
+                              eDirectory novell
+                              +collector en ADirectory - es un soft que se integra en el ADirectory para que la info entre este y el Forti sea a tiempo real
+                                            Este puede estar en el mismo AD o no. El collector con el AD trabaja por el puerto 8002 y el collector con el Forti por el 8000.
+Para crear una regla de FW con autenticación en local:
+ºCrear un usuario en user > user
+ºCrear un grupo que incluya este usuario
+ºEditar o crear política marcando en esta el check identity based policy
+ºAñadir los grupos de usuarios
+Para crear un objeto LDAP ir a user > remote > LDAP
+ºcreate new e introducir los campos
+                              name
+                              ip
+                              Port
+                              cn  --- también puede ser SamAccountName y con este en user vale con que pongas DN=usuario@dominio y su password
+                              DN ej. DC=xxxxxx,DC=local
+                              Type regular
+                              User DN ej. cn=administrator,cn=users,dc=xxxxxxx,dc=local ---- recomendado NO USAR Administrator si no mejor uno que tenga permisos de lectura
+                              password ej. xxxxxxxxx
+SOFTWARE FSSO - SE INSTALA EN UN SERVIDOR O EN EL MISMO ACTIVE DIRECTORY Y SIRVE PARA CORRELAR EN TIEMPO REAL LOS EVENTOS DEL AD CON EL FORTIGATE
+                              OJO, HAY QUE REINICIAR EL SERVIDOR PARA INSTALAR
+                              una vez instalado el agente en el servidor ir al fortigate > users > Single sign-on > FFSO agent
+                                            ponerle un nombre una ip y el password (por defecto - fortinetcanada)
+                                                           cuidado a veces falla una vez creado debería aparecer la flechita azul de desplegable en el objeto FSSO si no es así, hacer check en esta y darle a refresh un par de veces
+                              Luego tendremos que crear un grupo de users de Fortinet SSO y elegir los grupos de nuestro active Directory
+                              Una vez hecho ir la política correspondiente y asignarle el grupo de FFSO dentro del identity based policy
+VPN SSL
+-------
+Iremos a VPN > SSL > CONFIG
+               Desde aquí podemos configurar:
+                              ip pools - pools de ip "dhcp" para los clientes que se conecten con el cliente vpn, no requerido para tipo portal
+                              Server certificate - Certificado que utilizaremos para realizar la conexión/encriptación, se pueden añadir otros.
+                              Require client certificate - esto es para realizar la conexión forzando a un cliente tener certificado concreto, se aplica de forma global y es para todos los perfiles
+               TIPO PORTAL
+                              Vamos a portal
+                                            settings
+                                                           Desde aquí configuraremos distintos parámetros de configuración del portal vpn
+                                                                          Clean cache -- limpia la cache de tu navegador antes de entrar
+                                            Después crearíamos un grupo de usuarios local o remoto
+                                                           Users > group > crear uno y marcar que es para SSL VPN y marcarle a este el portal que queremos
+                                            Después hay que crear la política
+                                                           ej., source wan any, dest lan any, service any, action ssl-vpn
+                                                                          después de marcar action ssl-vpn añadiremos el grupo de usuarios a autenticar
+                                            Una vez hecho todo esto ya tendremos el portal creado para dar servicio
+                                                           Por ejemplo para smb/cifs pondremos \\ip_Servidor\loquesea
+               TIPO TUNEL
+                              Se puede hacer que todo el tráfico, incluido internet, pase por el fortigate remoto o con split tunneling para que solo
+                              te enrute por el túnel vpn el tráfico deseado
+                              Para empezar crearemos un objeto de pool de ip's genérico por ejemplo un /24 y lo elegiremos desde la config global de SSLVPN
+                              Crearemos otros pools más concretos dentro de este rango global para luego discriminar.
+                              Después hay que crear un portal con el Widget Tunnel mode
+                                            En este editamos el widget de tunnel y le marcamos split tunnel si es el caso y asignamos el pool que corresponda para este portal concreto marcando
+                                            la opción user group y así poder tener diferentes grupos de usuarios dentro de una misma política
+                              Ahora tendremos que crear las políticas
+º la de wan a la red que deseamos llegar, una regla por cada segmento interno que queramos permitir y action vpn-ssl
+                                                           a esta regla hay que añadirle los grupos de usuarios
+º otra regla o reglas con origen ssl.root con los diferentes pools de ip's remotos y destino deseado, la acción ya no será SSL_VPN
+º (opcional) si interesa habría que crear una política desde una red interna del Forti a ssl.root
+                              Después necesitaremos crear rutas correspondientes a los pools de ip's que asigna a los clientes remotos a través del interface ssl.root
+VPN IPSEC
+---------
+Se pueden hacer en modo tunnel o con políticas y ambas site-to-site o client-to-fortigate
+Doble encapsulación
+               Phase 1
+                              Negociación de la preshared key, en un primer momento se conocen ambas preshared key pero pasado el keylife se regenera una nueva clave
+                              que solo saben los peers. Cuanto menos keylife más segura será la Phase 1
+               Phase 2
+                              Se encripta el tráfico que circula por el túnel y es la fase que se encarga de enrutar las redes de extremo a extremo
+Pueden haber dos entornos
+                                            Que el router por delante del Forti tenga la ip publica
+                                                           En este caso hay que redirigir los puertos 4500 (NAT-T) y 500 (IKE), ambos UDP, a nuestra "wan" en el Forti
+                                                                          El nat-t nos sirve para decir en la encapsulación que la red contra la que se monta el túnel no es el primer segmento si no el que está detrás del nat.
+!!!Nota - si uno de los extremos no tiene ip estática se puede configurar con el DYN-DNS
+!!!Para VoIP sobre vpn recomendado subir el keylife para evitar posibles cortes en la voz cuando se regenera la clave.
+Para empezar iremos a VPN > IPSec > auto key >
+               new Phase 1
+                                                           nombre
+                                                           remote gateway - elegimos entre ip estática, dyndns, o dialup-user que es para los clientes vpn ipsec (forticlient)
+                                                           ip address - ip del peer remoto para el caso site-to-site
+                                                           local interface - interfaz en el que se montará el túnel, normalmente wanX.
+                                                           Mode    - agressive - va sin encriptar el primer paquete de autenticación , recomendado para clientes remotos
+                                                                                         - main - va encriptado el primer paquete de autenticación, recomendado para site-to-site
+                                                           Authentication method - preshared key o RSA signature (Certificado)
+                                                           Enable ipsec interface mode - sin habilitar es modo políticas, y habilitado modo túnel
+                                                           P1 Proposal
+                                                                          encriptación - si conocemos el otro extremos recomendado dejar solo un tipo
+                                                                          DH group - si lo soportan ambos extremos cuanto más alto mejor
+                                                                          keylife - comprobar que ambos extremos es lo mismo
+                                                                          Dead peer detection - comprueba si el túnel esta caido o no
+               new Phase 2
+                                                           nombre y phase1 asociada
+                                                           encriptación
+                                                           pfs - reenvío de la generación de claves
+                                                           Quick mode selector (split tunnel)             - De Forti a Forti no es necesario ya que se hace con las políticas
+                                                                                                                                                                                                - De Forti a otro fabricante si habría que marcarlo
+                                                                                         Si queremos establecer el túnel contra un equipo de terceros necesitaremos una Phase 2 por cada red que
+                                                                                         queramos enrutar por el túnel con estos definidos en el quick mode selector, además de hacerlo también en la política
+               Modo política
+                              Nueva política
+                                                           Hay que hacer una política de Internal a wan (solo en un sentido no hace falta la vuelta)
+                                                           Recomendado poner las políticas de vpn al principio de todo, no afectan al demás tráfico.
+               Modo túnel
+                              Se crean la Phase 1 y 2 igual excepto en la Phase 1 que hay que marcar Enable IPSEC interface mode
+                                            después las reglas se harán entre el interfaz interno y el nuevo Int virtual que se habrá creado dentro del wan y también otra con la vuelta del tráfico, no tendrás que poner action vpn-ipsec
+                                                           Además habrá que poner las rutas correspondientes a las redes remotas a través del interface virtual
+MODO CONCENTRADOR
+                              Sirve para interconectar las site-to-site que tengas configuradas, pero solo pueden hacerse con las que son modo policy
+                              VPN > IPSEC > CONCENTRATOR
+FORTIGUARD UTM
+--------------------------------------------------------------
+ANTIVIRUS
+---------
+Para hacer la  inspección por defecto utiliza el modo proxy, y según el equipo tendrá un límite mayor o menor de conexiones, así que hay que ir
+con cuidado en el dimensionamiento.
+               Se recomienda en equipos pequeños ponerlo en modo flow-based que
+               el modo en que trabaja es analizar en tiempo real sin parar
+               la conexión mirando únicamente las firmas. Ganas en ancho de
+               banda pero por ejemplo si hay  un virus dentro de varios niveles
+               de un .Zip no lo detecta
+La base de antivirus es propietaria de Fortinet
+UTM> antivirus > profile
+               Podemos crear varios perfiles para poder asignar a diferentes segmentos de red
+                              Podemos marcar que los virus se vayan a la cuarentena
+WEB-FILTER
+----------
+Cada petición que haga el usuario se pregunta a Fortiguard
+Puede trabajar en modo proxy o en modo flow
+               UTM> WEB FILTER> PROFILE
+                              Categorías de Fortiguard
+                                            Elegiremos el modo de operación, proxy o flow
+                                            Marcaremos Fortiguard Categories y elegiremos y aplicaremos acciones correspondientes sobre estas categorías
+                                            Enable safe search - nos bloqueara resultados en búsquedas de categorías o palabras bloqueadas
+                                            HTTPS Scaning - habilita el escaneo https
+                                            Advanced Filter
+                                                           Web url Filter - aquí elegiremos la lista de url manual que hayamos creado
+                                                           web content Filter - lista para declarar palabras que queremos bloquear o permitir dentro del contenido de una web
+               UTM> WEB FILTER> URL FILTER
+                              Desde aquí podemos crear listas customizadas
+                                            Creamos una lista y dentro de esta vamos dando de alta diferentes url manualmente y asignándole una acción
+                                                           Podemos hacerlo con tipo:
+                                                                          Simple: www.mundodeportivo.com -- tiene que contener exactamente esta url, por ejemplo www.mundodeportivo.com/barça no lo bloquearía
+                                                                          Regex: con expresiones regulares de Perl --- mirar documento de referencia
+                                                                          Wildcard: www.mundodeportivo.com/* bloquearía o permitiría todos los dominios
+                                                                                         ACCIONES:         block
+                                                                                                                                     Permit
+                                                                                                                                     Exempt - realiza una excepción si por otra regla, por ejemplo de Fortiguard web Filter, lo está bloqueando
+                                                                          RATING OVERRIDES
+                                                                                         Podemos categorizar url's concretas para sacarlas de una categorización automática
+                                                           !!!!Podemos pedir que nos valoren de nuevo una url determinada si creemos que es incorrecta desde la parte de Fortiguard > web Filter
+APP CONTROL
+-----------
+Va con la licencia de IPS
+                              UTM>Application control
+                                            Con esto podemos crear perfiles para controlar mediante policy que aplicaciones podemos usar o no, trabaja con unas 4000 firmas
+                                                           Se puede filtrar por Application o por filtro
+                                                                          Por Application lo haces con la App concreta
+                                                                          Por Filter puedes generalizar y por ejemplo bloquear todo el p2p
+                                            Podemos aplicar el traffic Shapping por aplicación para no bloquear pero si limitar
+                                            Con Session TTL - prevalece este sobre otro configurado para por ejemplo el ftp en otro apartado del Firewall
+                                            Una vez hecho aplicaremos este perfil en la política de navegación por ejemplo
+IPS
+---
+Podemos crear diferentes sensores para aplicar a diferentes flujos de tráfico
+UTM> IPS SENSOR
+               Cuando creamos/editamos un sensor podemos:
+                              Hacemos un filtro o añadimos por aplicación concreta
+                              action -- de las aplicaciones filtradas podemos aceptar, monitorizar o bloquear
+                              Debajo de action la línea semejante a la superior habilitamos todas las firmas, las deshabilitamos o las dejamos por defecto y entonces algunas estarán activas y otras no
+                                            ej. si ponemos Disable all la action superior no valdrá de nada excepto para monitorizar
+                              packet Logging te analiza a nivel de paquete - puedes sacar por scp este fichero para analizarlo (wireshark)
+                              Quarantine - mete en la Banned list a la sesión, usuario, etc...
+                                                                                         Hay tres tipos:
+                                                                                                       atacker ip                                                                       - te banea la ip para el servicio bloqueado los demás seguirán funcionando
+                                                                                                       atacker and victim ip                     por ejemplo si hay un ataque HTTP el ftp dejaría pasarlo para esa ip.
+                                                                                                       attack incoming interface            - Te bloquea todo el interface cuidado!
+                                                                                                       ***Para ver los baneos y poder eliminarlos ir a USERS> Banned User
+               Después aplicaremos este profile a una policy
+               DoS Sensor
+                              Con esto creamos perfiles de denegación de servicio
+                              aplicamos la política sobre policy> DoS policy
+                                            Se crean políticas separadas que se asignan al interfaz por donde llega el ataque
+!!!!!!!!!!!!!!!!!!Recomendado, empezar con un sensor en modo Monitor y después de un tiempo analizar el tráfico y a partir de ahí empezar a bloquear
+EMAIL FILTER
+------------
+               Perfiles para bloquear el spam en el correo
+                              Analiza, IMAP,POP3,SMTP y seguros, pero recomendado no utilizar los seguros sin certificado firmado (hace man in the middle)
+                                            Casi todos los chequeos son en base a listas de reputación de ip o dominios
+               Banned word
+                              Con esto marcamos palabras para poder realizar acciones sobre mails que las contengan
+                                            Por ejemplo porno score 10
+                                                           Marcamos un peso a esta palabra y luego en el profile de e-mail
+                                                           marcamos el threshold para bloquear si por ejemplo es igual o
+                                                           supera el valor de 20 ( en este caso con que porno saliese dos veces la bloquearía)
+DLP
+---
+Data leak prevention
+               Protección de fuga de datos
+                              Te protege por ejemplo para que  no puedas enviar un email con un número de cuenta o palabras clave que tú quieras
+                                            Por ejemplo también podemos etiquetar documentos con [confidential] y que estos no puedan salir de la compañía
+               UTM> DLP
+                              Rules: Reglas con expresiones regulares para marcar lo que nos interese
+                              Compound: Sería un grupo de las rules anteriores
+                              Sensor: En este aplicaremos las rules y compounds que me interese
+                              Document Finguerprint (solo windows-share de momento)
+                                                           Podemos analizar un directorio de un servidor de ficheros para que
+                                                           después en función de los patrones podamos saber si un fichero de
+                                                           ese directorio está saliendo de la red
+                                                                          Pondremos la Ip, servidor y un user y password con permiso de lectura
+                                                                          También el pattern que tendrá que coincidir con el nombre del fichero que buscamos
+                                                           Rules
+                                                                          action
+                                                                                         block, none, exempt
+                                                                                         Quarantine user - bloquea al user solo en ese servicio, por ejemplo un correo de pepito@xxx.com
+                                                                                         Quarantine ip - bloquea la ip
+                                                                                         Quarantine interface - bloquea toda la interface
+                                                                                         Ban - bloquea la ip y solo al servicio concreto
+                                                                          Archive
+                                                                                         none
+                                                                                         summary - te da info de lo bloqueado
+                                                                                         full - te envía el fichero con todos los datos al Fortianalyzer o equipos con disco duro (cuidado con la LOPD)
+NAC
+---
+Control de pc's, se necesita el forticlient endpoint instalado aunque utilices un antivirus de terceros
+               Haces que el usuario tenga que cumplir una serie de requisitos para entrar en la red
+                              Application sensor - creamos grupos de aplicaciones a detectar y acciones a aplicar
+                              Profile - asignas a este profile el sensor creado
+                                                           - puedes obligar al usuario que tenga el antivirus,fw,etc...
+                                                           - notify host
+                              Policy - tendremos que aplicar el profile anteriormente creado
+                              Application Database - base de datos de aplicaciones detectables por el nac
+                              Forticlient - opciones concretas para el cliente
+PROTOCOL OPTIONS
+----------------
+Podemos crear perfiles para modificar protocolos para que por ejemplo el App control no mire solo el puerto 80 para http sino por ejemplo en el 80,8080,8082,etc... o todos los puertos directamente
+               Dentro de http
+                              Confort Clients - Agiliza la conexión si se está utilizando algún tipo de proxy del Forti, por ejemplo antivirus.
+                                                                                                       Si estuviésemos viendo youtube no pararía la conexión hasta que revise si tiene virus si no que la cargaría más lentamente en función del tamaño de bytes que envías en cada interval
+                              Oversize File/email
+                                            Puedes indicar que a partir de un cierto tamaño no analice la conexión (cuidado)
+PARA VER LA CUARENTENA
+               Log report, Quarantine archive
+-----------------------------------------------------------------------------------------------
+ANALISIS HTTPS
+--------------
+               Hace un man-in-the-middle
+                              Entrega un certificado al cliente y cierra la conexión con este y después abre otra contra la web final
+                                            Es posible que de fallo con algunas páginas de banco o con mucha protección.
+                              Se recomienda poner un certificado firmado para que no aparezca a los usuarios el error típico de certificado
+HA
+--
+En fortigate funciona a través de arp, solo utiliza una ip por interface en ambos equipos (hasta 5 equipos)
+Prerrequisitos - mismo hardware y mismo firmware
+Tipos     - activo/pasivo
+                              - activo/activo
+                                            No es un balanceo entre dos maquinas, uno es el master y recibe
+                                            todas las conexiones y se encarga de balancearlas entre los dos
+                                                           Cuidado porque si hay switchs por delante habría que deshabilitar
+                                                           la comprobación de macs ya que el paquete después vuelve con una
+                                                           mac diferente no con la virtual
+                                            Se podría hacer un balanceo real con el comando "config ha > set load-balance-all enable" pero también hay problemas con el arp
+                                                           Se puede modificar el método de balanceo de este "set Schedule":
+                                                                          Round-robin - recomendado, reparte por sesión
+                                                                          ip                                         - hash por dirección ip origen
+                                                                          ipport                   - igual que ip pero también por puerto
+                                                                          random
+                                                                          least-connection
+                                                                          weight round robin - por peso
+                                            Mejor no tener VDOMs antes de hacer el HA
+Por orden mira
+º Nº de puertos, el que más puertos tenga levantado es master
+º Tiempo de vida maquina, el que más tiempo lleve activo es master
+º Device priority el que mas es master
+º Nº Serie más antiguo master
+Configuración
+                                            system> config> HA
+                                                           mode
+                                                           priority - el master es mayor
+                                                           group name y password tienen que coincidir en ambos equipos
+                                                           enable Session pickup - replica las sesiones tcp al Slave para un failover mas rápido
+                                                           port monitor - puertos que monitoriza para hacer un failover en caso de caída
+                                                           heartbit - puertos por los que pasa el Healt y el tráfico, a menor priority MAYOR prioridad
+Recomendación para añadir un Slave a un standalone existente
+                              Configurar en el nuevo solo la parte de ha
+                              no monitorizar los puertos durante la conexión
+                              Conectar solo lo puertos de heartbit en el Slave
+                              Una vez se vea el cluster en el master conectar los cables del Slave
+                              No puedes tener un interface en DHCP para montar HA
+CLI Troubleshoot y demás en HA
+               execute ha disconect      - desconecta el equipo desde el que lo hagas del cluster,
+                                                                                                         cuidado porque se pondrán los dos activos... quitar antes los cables de servicio
+                                            ha sync                               - fuerzas resincronización
+                                            ha Manage                        - te permite saltar al otro dispositivo
+               Diagnose debug Application hasync 6
+               Diagnose debug Application hatalk 6 -- niveles de debug
+               Diagnose debug enable
+OPTIMIZACIÓN WAN
+-----------------
+Mejora de rendimiento en redes wan
+Dos modos de funcionamiento
+                                            modo peer - mallado entre equipos (se hace una vpn ipsec)
+                                            modo activo pasivo - permite:
+                                                                                                                                     - activo pasivo entre Fortigate y forticlient connect con licencia optimización WAN
+                                                                                                                                     - activo pasivo entre FortiGates, uno es el activo y los demás pasivos (concentrador)
+Es capaz de comprimir FTP,CIFS,FTP
+Config -
+               Desde wan opt.& cache
+                              Peer -    Creamos un nombre de ID local - local host ID
+                                                           Damos de alta los FortiGates a los que te vayas a unir poniendo el ID y la IP
+                              Authentication group - aquí haremos la autenticación entre los peers
+                                            name - todos los que queramos interconectar tienen que tener el mismo nombre de grupo
+                                            podemos elegir por certificado o preshared-key
+                                            password
+                                            Accept defined peers - conectara contra todos los declarados anteriormente
+                              Rule - crearemos las reglas parecidas a VPN
+                                            Full optimization - para mas protocolos
+                                            source - red local
+                                            dest - red remota
+                                            port - podemos marcar puertos concretos
+                                            auto detect - off - modo peer
+                                                                                         - passive o active para el otro modo
+                                            protocol - puede ser todo tcp
+                                            peer - elegir el otro extremo
+                                            Transparent mode - si marcamos esto no hace falta policy de Firewall
+                                            byte catching - me traigo solo a cache los bites que hayan cambiado
+                                            enable ssl - es para montarlo por el 443
+                                            enable secure túnel - ipsec
+                                            auth group - elegir el grupo antes creado
+                                            Hay que repetir esta regla en el sentido opuesto
+PRACTICA VDOMs CON SALIDA A INTERNET COMPARTIDA
+-----------------------------------------------
+WAN1 Va a ser la salida a internet compartida entre dos VDOMs, el 1 y el root
+               Primero creamos el Vdom1 y le asignamos el interface wan2 como Internal para este desde el vdom Global
+               Creamos un Vdom Link desde interface (desde vdom global)
+                              Configuramos el interface 0 como el local, vdom1 con ip 1.1.1.2/30
+                              Configuramos el interface 1 como el remoto, vdom root con ip 1.1.1.1/30
+               Creamos una ruta por defecto en el vdom1 hacia la ip 1.1.1.1 del vdom link
+               Creamos una regla en el vdom1 desde wan2 al vdom link correspondiente al root con permiso any y nat (pat), así no necesitamos ruta de vuelta y el root no nos ve nuestro direccionamiento en vdom1
+               Creamos una regla en el vdom root desde vdom link correspondiente al vdom1 a wan1 con permiso any y nat (pat)
+               OPCIONAL - Creamos un pool dhcp en el interface wan2(Internal vdom1) Desde Vdom1
+DIAGNOSE CLI
+------------
+SNIFFER -- EJEMPLO
+                              FG50BH3G09600089 # diagnose sniffer packet Internal icmp 'host 192.168.1.110'
+                              interfaces=[Internal]
+                              filters=[icmp]
+.949095 213.134.34.10 -> 192.168.1.110: icmp: host 213.164.63.253 unreachable
+                              FG50BH3G09600089 # diagnose sniffer packet any icmp 4 -- con el 4 por ejemplo marcamos que nos aparezcan los interfaces
+                              interfaces=[any]
+                              filters=[icmp]
+.953015 Internal in 192.168.1.110 -> 212.0.97.82: icmp: 192.168.1.110 udp port 64173 unreachable
+.953067 wan1 out 172.29.62.174 -> 212.0.97.82: icmp: 172.29.62.174 udp port 64173 unreachable
+.953078 eth0 out 172.29.62.174 -> 212.0.97.82: icmp: 172.29.62.174 udp port 64173 unreachable
+.953113 Internal in 192.168.1.110 -> 212.0.97.81: icmp: 192.168.1.110 udp port 64173 unreachable
+.953146 wan1 out 172.29.62.174 -> 212.0.97.81: icmp: 172.29.62.174 udp port 64173 unreachable
+.953156 eth0 out 172.29.62.174 -> 212.0.97.81: icmp: 172.29.62.174 udp port 64173 unreachable
+packets received by Filter
+packets dropped by kernel
+                              FG50BH3G09600089 #
+TEST LDAP
+               diagnose test authserver ldap "nombre_del_remote_ldap" username password
+TROUBLESHOOT VPN
+               diagnose debug Application ike 6 -- nivel más alto de debug
+               diagnose debug enable
+DIAGNOSE TEST APPLICATION
+               Desde aquí podemos hacer troubleshoot para los diferentes proxys del fortigate y otras aplicaciones
+               ej. FG50BH3G09600089 # config global
+                              FG50BH3G09600089 (global) #
+                              FG50BH3G09600089 (global) #
+                              FG50BH3G09600089 (global) # diagnose test Application
+DIAGNOSE SYS SESSION ? ---- Relacionado con sessiones
+                                                                          Filter
+                                                                                         port
+                                                                                         ip dest o source
+                                                                                         duration
+                                                                                         protocol
+                                                                                         policy
+                                                                                         etc... Revisar con el interrogante
+DIAGNOSE SYS TOP - Es como un top en linux para ver la ocupación de los servicios
+                                            Run Time:  0 days, 4 hours and 17 minutes
+U, 0S, 98I; 502T, 152F, 113KF
+                                                                                         sshd      182      S       1.3     2.1
+                                                                            newcli      190      R       0.3     2.7
+                                                                            httpsd       71      S       0.1     3.7
+                                                              ipsengine       49      S <     0.0    19.2
+                                                                            httpsd       62      S       0.0     3.9
+                                                                           cmdbsvr       15      S       0.0     3.7
+                                                                            httpsd      189      S       0.0     3.0
+                                                                            httpsd       30      S       0.0     3.0
+                                                                            newcli      183      S       0.0     2.7
+                                                                             fgfmd       67      S       0.0     2.6
+                                                                           miglogd       28      S       0.0     2.5
+                                                              scanunitd       58      S <     0.0     2.3
+                                                              scanunitd       57      S <     0.0     2.3
+                                                                             sqldb       90      S       0.0     2.2
+                                                                                         iked       51      S       0.0     2.2
+                                                              scanunitd       37      S <     0.0     2.2
+                                                              urlfilter       47      S       0.0     2.2
+                                                              forticron       46      S       0.0     2.2
+                                              merged_daemons       44      S       0.0     2.1
+                                                                          fdsmgmtd       54      S       0.0     2.1
+                                                                             authd       48      S       0.0     2.1
+                                                                           updated       52      S       0.0     2.1
+                                              zebos_launcher       22      S       0.0     2.1
+                                                                             dhcpd       56      S       0.0     2.1
+                                                                            dhcpcd       59      S       0.0     2.1
+                                                                             quard       64      S       0.0     2.1
+                                                                             snmpd       55      S       0.0     2.1
+                                                                          dnsproxy       66      S       0.0     2.1
+                                                                                         sshd       61      S       0.0     2.0
+                                                              wad_diskd       36      S       0.0     2.0
+                                                                                         ntpd       60      S <     0.0     2.0
+                                                              alertmail       65      S       0.0     2.0
+                                                              cauploadd       68      S       0.0     2.0
+                                                                             getty       42      S <     0.0     2.0
+                                                                           reportd       91      S       0.0     2.0
+                                                                           uploadd       27      S       0.0     2.0
+                                                             ipsmonitor       43      S       0.0     2.0
+                                                                            proxyd       35      S       0.0     2.0
+                                                                           miglogd       29      S       0.0     2.0
+                                                                           telnetd       63      S       0.0     2.0
+                                                                          httpclid       50      S       0.0     2.0
+                                             initXXXXXXXXXXX        1      S       0.0     2.0
+                                                            proxyworker       39      S       0.0     1.4
+DIAGNOSE SYS KILL - matar servicios
+               ej. FG50BH3G09600089 (global) # diagnose sys kill -9 182
+NOTAS!!!
+---------------------------
+Para saltar por cli desde el root al vdom
+                                            FG50BH3G09600089 #
+                                            FG50BH3G09600089 #
+                                            FG50BH3G09600089 # config vdom
+                                            FG50BH3G09600089 (vdom) # edit
+                                            <vdom>    Virtual Domain Name
+                                            VDOM1
+                                            root
+                                            FG50BH3G09600089 (vdom) # edit VDOM1
+                                            current vf=VDOM1:1
+                                            FG50BH3G09600089 (VDOM1) #
+                                            FG50BH3G09600089 (VDOM1) # diagnose sniffer packet any icmp
+                                            interfaces=[any]
+                                            filters=[icmp]
+packets received by Filter
+packets dropped by kernel
+                                            FG50BH3G09600089 (VDOM1) #
+Códigos de protocolo
+               tcp - 6
+               all - 0
+               udp -17

Herramientas

menues y búsqueda rápida

búsqueda rápida

estado del sitio

Herramientas de la página

meta data de esta página

Diferencias