meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
hardware:fortigate [082018/06/ 09:30] – [Para ver las source-ip definidas a nivel global] lchardware:fortigate [182023/01/ 13:10] (actual) – editor externo 127.0.0.1
Línea 1: Línea 1:
 +{{tag> fortigate}}
  
 +====== Fortigate ======
 +Demos de los programas : https://www.fortianalyzer.com , www.fortimanager.com, www.fortigate.com
 +\\ user->demo
 +\\ contraseña: nombre del producto
 +
 +====== Comandos  ======
 +==== Ver la configuración de red ====
 +<sxh>show system interface </sxh>
 +
 +==== Rutas ====
 +<sxh>get route info routing
 +show route static
 +</sxh>
 +==== Habilitar el overlap ====
 +El overlap nos permite poner en distintos interfaces/vlans direcciones  ip del mismo rango
 +<sxh>config system settings
 +  set allow-subnet-overlap [enable/disable]
 +end</sxh>
 +
 +==== Rendimiento ====
 +Para ver el rendimiento
 +<sxh>CLI# diagnose sys top </sxh>
 +
 +Si el equipo está usando más del 80% de la memoria puede que el equipo entre en modo conservador. Para comprobarlo ejecutamos 
 +<sxh>diag hardware sysinfo shm</sxh>
 +<file>SHM counter:     14690663
 +SHM allocated:  158756864
 +SHM total:     7609556992
 +conservemode:           0
 +shm last entered:     n/a
 +system last entered:  n/a
 +SHM FS total:  7768129536
 +SHM FS free:   7602745344
 +SHM FS avail:  7602745344
 +SHM FS alloc:   165384192
 +</file>
 +Si como es el caso conservemode=0 es que no está en dicho modo.
 +
 +Si conservemode fuera igual a 1 habría que matar algunos proceso o esperar a que terminen.
 +
 +El rendimiento varía en función del tipo de procesador que incluya . Listado de procesadores de fortigate y características -> https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-hardware-acceleration-52/acceleration-overview.htm
 +
 +==== Ping extendido ====
 +
 +Internal: 192.168.42.1
 +\\ DMZ: 192.168.100.1
 +\\ WAN1: 10.10.100.254
 +\\ WAN2: 172.15.30.1
 +
 +<sxh>
 +# exec ping-options source 192.168.100.1
 +(Con este comando elegimos el interface origen desde donde hacemos el ping)
 +
 +# exec ping 172.15.30.1
 +</sxh>
 +
 +==== Habilitar o deshabilitar debug ====
 +<sxh>
 +diagnose debug enable
 +diagnose debug disable
 +</sxh>
 +
 +==== Captura de paquetes ====
 +
 +=== Uso ===
 +<sxh>diag sniffer packet <interface> <'filter'> <verbose> <count></sxh>
 +
 +**donde**
 +  * <interface>          el nombre de un interface o "any" para todos los Interfaces.
 +  * <'filter'>           filtro a aplicar en la captura.**none** para no utilizar ninguno
 +  * <verbose>            nivel de información que queremos
 +  * <count>              número de paquetes a capturar 
 +  
 +
 +
 +Hay varios niveles para Verbose:
 +
 +  * 1->muestra las cabeceras "header" de los paquetes
 +  * 2->muestra la cabecera y los datos de los paquetes IP
 +  * 3-> muestra la cabecera y los datos de los paquetes Ethernet
 +
 +El nivel Verbose 1 es el que da menos información y el 3 el que más.
 +
 +=== Ejemplos ===
 +  * Ejemplo de captura de paquetes SYN solamente 
 +<sxh>diag sniffer packet interface1 'tcp[13] == 2'</sxh>
 +
 +<note>Este comando puede ser útil para detectar actividad sospechosa en la red. </note>
 +
 +  * <sxh>diagnose sniffer packet port1 'TCP AND HOST 192.168.1.4 AND PORT 80' 6</sxh>
 +  * <sxh> diagnose sniffer packet internal 'port 25'</sxh>
 +  * Captura el tráfico entres dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1' 1</sxh>
 +  * Captura todo el trafico tcp(peticiones dns, icmp, etc) entre dos equipos <sxh>diag sniffer packet internal 'src host 192.168.2.1 and dst host 192.168.0.1 and tcp' 1</sxh>
 +  * <sxh>diag sniffer packet internal 'host 192.168.2.1 and (icmp or tcp)' 1</sxh>
 +  * <sxh>diag sniffer packet internal 'host 192.168.2.1 or host 192.168.0.1 and tcp port 80' 1</sxh>
 +
 +== Referencias ==
 +http://kb.fortinet.com/kb/viewContent.do?externalId=11186&sliceId=1
 +
 +==== Guardar la configuración ====
 +<sxh>exec cfg save</sxh>
 +
 +==== Confirmar antes de guardar la configuración ====
 +Por defecto los fortigate guardan los cambios cada vez que hacemos un cambio y pinchamos el botón de **aplicar**, o si es mediante la terminal cuando hacemos los cambios  e introducimos **end**. Esto implica un problema, ya que podríamos aplicar un cambio y quedarnos sin acceso al dispositivo. 
 +Para evitar esto podemos hacer cambios para que tengamos que guardar la configuración manualmente y en caso de que pasado un tiempo no lo hagamos nos restaure la configuración anterior.
 +
 +<sxh>config system global
 +set cfg-save revert
 +set cfg-revert-timeout 600
 +end</sxh>
 +
 +Si por algún motivo queremos volver a poner el comportamiento por defecto 
 +<sxh>config system global
 +set cfg-save automatic
 +end</sxh>
 +<note>Si esta en modo **revert** los cambios que queramos mantener hay que guardarlos manualmente con **execute cfg save**</note>
 +==== Copiar la configuración a otro equipo ====
 +  * [[hardware:fortigate:migracion|Migración]]
 +  * http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10063
 +==== Crear un switch ====
 +<sxh>config system switch-interface
 +edit nombre_switch <- nombre que nosotros queramos poner
 +set member internal wlan <-puertos a añadir
 +end
 +</sxh>
 +<note tip>Una de las cosas que suelen preguntar en los exámenes son las opciones de las configuraciones por defecto</note> 
 +===== Aumentar tiempos de sesion =====
 +Puede ocurrirnos que si tenemos una conexión iniciada y durante un tiempo no exista actividad en dicha sesión, el cortafuegos acabe, pasado un tiempo, cerrándonos dicha sesión por falta de actividad.
 +
 +Si queremos aumentar el tiempo que esa sesión está activa antes de cerrarla tenemos que modificar el parámetro ttl (time to live o timeout) de la sesión
 +
 +<note warning>Esto aumenta el consumo de recursos del sistemas (especialmente la RAM)</note>
 +
 +Por ejemplo para poner por defecto un timeout de 3000sg para todo los servicios excepto para el ssh que vmos a poner 6000 segundos.
 +<sxh>
 +config system session-ttl
 +set default 3000
 +config port
 +edit 22
 +set timeout 6000
 +next
 +end
 +end
 +</sxh>
 +
 +===== Limpiar reglas sin usar =====
 +
 +Este truco te permite saber que reglas están siendo utilizadas y cuales no se usan, para ello tenemos que ir a Firewall->Política->Opciones de Columna->Añadir el campo **Conteo** (Count si lo tienes en inglés)
 +
 +Ahora en la lista de políticas aparece una columna que indica las veces que una política ha sido llamada y el número de bytes transferidos.
 +
 +
 +Ahora basta con mirar las reglas con el contador 0/0 para comprobar si son necesarias.
 +
 +==== Reiniciar una aplicación ====
 +<sxh>diagnose test application <aplicacion> <opciones> </sxh>
 +
 +<note>Si como opción al final ponemos 99, le decimos al Fortigate que reinicie el proceso</note>
 +Por ejemplo para reiniciar el motor IPS <sxh>diag test application ipsengine 99 </sxh>
 +
 +==== Matar un proceso ====
 +si al hacer un **diag sys top** vemos que hay algún proceso que está consumiendo el 99% de recursos, podemos matarlo con <sxh>diag sys kill <nºproceso></sxh>
 +===== Servidor Correo =====
 +Si tenemos un servidor de correos en nuestra red en vez de crear una ip virtual hay que crear  un ip pool para que haga bien el NAT
 +http://kc.forticare.com/default.asp?SID=&Lang=1&id=1969
 +
 +
 +
 +
 +
 +
 +====== Referencias ======
 +  * http://pub.kb.fortinet.com/index/
 +  * http://firewallguru.blogspot.com
 +  * Ejemplos http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_install-advanced.html#
 +  * Tutoriales http://www.maya.com.sv/kb/index.php/category/fortigates
 +  * http://firewallguru.blogspot.com
 +  * http://www.soportejm.com.sv/kb/index.php/article/radius-fortigate autentificación mediante radius
 +  * http://www.soportejm.com.sv/kb/index.php/article/control-application
 +  * http://www.lebleuet.net/how-to-run-a-debug-on-a-fortinet-firewall?lang=en
 +  * http://www.ipspace.eu/fortinet/fortigate-tutorial-logging-and-alerts/
 +  * http://www.ipspace.eu/fortinet/fortigate/fortigate-conserve-mode-how-to-stop-it-and-what-it-means/
 +  * http://www.soportejm.com.sv/kb/index.php/category/fortigates
 +  * http://www.hackplayers.com/2016/01/backdoor-ssh-en-fortigate-4-a-5.0.7.html
 +  * http://www.infosecmonkey.com/2018/11/14/configuration-confirmation-on-fortigate/