http://wiki.intrusos.info/ 2026-04-03T21:39:46+00:00 http://wiki.intrusos.info/ http://wiki.intrusos.info/lib/exe/fetch.php?media=wiki:dokuwiki.svg text/html 2023-01-18T13:36:21+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:aceleracion&rev=1674048981&do=diff Aceleración por Hardware La mayoría de los Fortigate vienen con un hardware de aceleración para mejorar el rendimiento llamadas (Security Processing Units (SPUs)). En concreto tenemos tres tipos de SPUS: * Content processors (CPs) acelera un amplio rango de funciones de seguridad text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:actualizar&rev=1674048982&do=diff fortigate actualizar upgrade Actualizaciones programadas el comando para actualizar es Parámetros Actualizar a través de un proxy No se puede hacer desde la interfaz web, hay que hacerlo mediante el CLI Después configuras cada cuanto tiempo quieres el update desde el CLI o desde la interfaz web text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:ad&rev=1674048982&do=diff fortigate validacion directorio_activo ad Integración del Fortigate con el AD Lo primero que hay que revisar es que tengamos los DNS bien configurados. System-> Networks -> DNS y ponemos los valores correspondientes a nuestros DNS Una vez configurado el DNS, definimos el servidor de con el que nos vamos a conectar para validar usuarios. Para ello vamos a la pestaña User & Device text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:antispam&rev=1674048982&do=diff Antispam <https://www.fortinetguru.com/2016/03/fortigate-spam-control/> text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:balanceo&rev=1674048982&do=diff WAN link load balancing Con esta característica creamos un interface virtual que nos permitirá balancear nuestra salida a internet a través de varios proveedores. El balanceo de carga lo podemos hacer utilizando distintos métodos: * Source IP based text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:bastionado&rev=1674048982&do=diff Bastionado Fortigate Referencias * <https://docs.fortinet.com/uploaded/files/3624/fortigate-hardening-your-fortigate-56.pdf> text/html 2023-01-18T13:36:22+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:cluster&rev=1674048982&do=diff cluster fortigate ha Cluster de Alta disponibilidad con Fortigate Requisitos * Dos equipos Fortigate iguales, mismo hardware, mismo disco, etc * Misma versión del Firmware * Mismo modo (NAT o transparente ) * Mismo modo VDOM recomendaciones * Usar diferentes nombres de host para cada nodo text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:conectar2fortigate&rev=1674048983&do=diff Ejemplos de Conexión Conectar dos fortigate por fibra oscura En este ejemplo vamos a conectar dos fortigate en ubicaciones distintas por medio de una fibra oscura. Normalmente vamos a necesitar instalar uno o varios transceiver de un tipo especial LR (long rate) y monomodo para poder transmitir la información a larga distancia. Este tipo de trasnceiver se compran en función de los km de distancia antre los puntos de origen y terminación de la fibra oscura. text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:conectaraffth&rev=1674048983&do=diff ffth router bridge Conexión Fortigate a FFTH Tenemos varias formas de conectar nuestro cortafuegos a una línea FFTH. * Directamente conectado al cable de fibra, usando un transceiver con GPON. * En modo transparente, conectadondolo detrás del router que nos suministra la compañía telefónica text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:conectarsede&rev=1674048983&do=diff fortigate vpn sede Conexión de sedes mediante una VPN Vamos a realizar una conexión entre sedes, teniendo en cada sede un equipo fortigate. Para ello tenemos que crear una conexión VPN en cada sede. Creamos la VPN en la sede central Utilizamos el asistente para realizar la configuración. Para ello vamos al menú de la izquierda y seleccionamos VPN text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:control_aplicaciones&rev=1674048983&do=diff control aplicaciones firewall fortigate Control de Aplicaciones <http://www.soportejm.com.sv/kb/index.php/article/control-application> text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:ddns&rev=1674048983&do=diff ddns dns dinamico dynamic fqdn vpn DDNS Lo primero es activar la opción en el menú Network -> DNS y habilitamos la opción Fortiguard DDNS. Seleccionamos el interfaz wan de conexión. En la casilla Server seleccionamos en el desplegable el dominio que vamos a usar y en Unique Location text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:debug&rev=1674048983&do=diff fortigate debug troubleshooting Debug Con debug podemos analizar el flujo del tráfico de red de una conexión. Para ver las opciones del comando Algunos ejemplos: * diagnose debug flow filter addr x.x.x.x * diagnose debug flow filter saddr x.x.x.x (ip origen) * diagnose debug flow filter daddr x.x.x.x (ip destino) text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:dhcp&rev=1674048983&do=diff fortigate dhcp Fortigate como servidor de DHCP Una de las funcionalidades que más se usa en una sede remota es la dar las direcciones ips a los equipos que se conecten a la red. En mi caso en dichas sedes remotas normalmente sólo hay un cortafuegos, que además de realizar la conexión y filtrar el tráfico realiza entre otras las funciones de dividir la red en vlan y asignar a cada vlan su rango de direcciones. text/html 2023-01-18T13:36:23+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:dns&rev=1674048983&do=diff fortigate dns Fortigate como Servidor DNS Los cortafuegos Fortigate pueden funcionar como servidores DNS y DHCP, por lo que nos podemos ahorrar el disponer de un servidor en nuestra oficina y además podemor usarlo como caché y optimizar el tráfico originado por dichas peticiones. text/html 2023-01-18T13:36:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:exportrules&rev=1674048984&do=diff fortigate exportar firewall politicas Exportar las políticas Hay varias formas de exportar las políticas del firewall: * Desde un fortimanager, pulsando sobre el dispositivo, botón derecho -> export * Descargarnos el ficero de configuración y pasarle un script para obtener las políticas. text/html 2023-05-09T08:45:08+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:fabric&rev=1683621908&do=diff Fortinet Security Fabric Con Fortinet Security Fabric nos permite interconectar nuestros equipos para reunir, analizar y responder a eventos de seguridad que ocurran en nuestra red en tiempo real. Configuración Hay que habilitar FortiTelemetry en todos los interfaces que conecten con otros dispositivos fortinet y en el interfaz de la central que conecta a internet text/html 2023-01-18T13:36:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:faq&rev=1674048984&do=diff fortigate faq FAQ Campo Action Cuando estamos mirando los logs de un fortigate, en las columnas aparece denominado Acción (Action), que indica que acción ha tomado el cortafuegos. Las acciones pueden ser : * DENY . El firewall ha bloqueado este tráfico por una política de seguridad text/html 2023-01-18T13:36:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:filtrado&rev=1674048984&do=diff Filtrado Web Verificar que tenemos bien implementado el filtrado web <http://www.hacktimes.com/filtrado_web_de_fortigate/> text/html 2023-01-18T13:36:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:filtradoip&rev=1674048984&do=diff fortigate 6.4 filtrar filtrado ip block bloquear Filtrado de IPs usando una fuente externa Supongamos que tenemos un servidor de correos que es continuamente atacado desde diferentes ips y usando diversas combinaciones de usuarios y/o contraseñas. Normalmente tiene estudiado el tema y limitan los ataques en numero de intentos y en el intervalo para que los sistemas automáticamente no los bloquen. text/html 2023-01-18T13:36:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:forticlient&rev=1674048984&do=diff fortinet fortigate forticlient Forticlient Gestionar FortiClients desde un Fortigate <https://ellampistadelfirewall.blogspot.com/2013/07/gestionar-forticlients-50-desde-un.html> Para poder gestionar remotamente los FortiClient, es necesario activar la característica de Endpoint Protection en el Fortigate: Una vez activada la opción hará que aparezca la opción FCT-Access text/html 2023-01-18T13:36:25+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:fortiswitch&rev=1674048985&do=diff Fortiswitch Conexión Si estamos conectando un cluster de 2 Fortigate en modo HA a uno o más fortiswitch tenemos que tener en cuenta lo siguiente: * Los Fortigate (maestro y esclavo) tienen que estar en modo Activo - Pasivo * Los enlaces que conectan los fortigate (maestro y esclavo ) con los Fortiswich deben de coincidir. Es decir si he conectado el Fortigate 1 al puerto 48 del Fortiswitch 1, también debería de usar la boca 48 del Fortiswich 2 para conectarlo con el Fortigate 1 text/html 2023-01-18T13:36:25+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:fortiview&rev=1674048985&do=diff Fortiview No se muestran datos en el fortiview <https://kb.fortinet.com/kb/documentLink.do?externalID=FD40887> text/html 2023-01-18T13:36:25+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:gre&rev=1674048985&do=diff Túnel GRE entre dos cortafuegos Fortinet GRE (Generic Routing Encapsulation)es un protocolo para el establecimiento de túneles entre sitios .<https://es.wikipedia.org/wiki/GRE> Basicamente con un túnel GRE encapsulamos cualquier trafico y lo enviamos al gateway remoto. Un túnel GRE puede usarse con o sin encriptación ipsec. text/html 2023-01-18T13:36:25+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:ha&rev=1674048985&do=diff Fortigate Alta Disponibilidad ha fortigate Si tenemos dos cortafuegos del mismo modelo los podemos ponern en modo de alta disponibilidad. Tenemos dos mod: * Activo-pasivo * Activo-Activo Una vez creado el cluster debemos de asignarle una prioridad a cada uno de los equipos . Por defecto el modo de elección del primario es text/html 2023-03-24T10:18:49+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:interfaces&rev=1679653129&do=diff interfaces fortigate switch vlan hardware software Interfaces Interfaces tipo switch Podemos crear tres tipos de interface del tipo switch * hardware switch * software switch * vlan switch Un hardware switch es más rápido ya que es gestionado por ASIC , pero no permite añadir interfaces del tipo vlan. Sólo permite añadir interfaces físicos text/html 2023-01-18T13:36:25+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:itcetas&rev=1674048985&do=diff Apuntes de ItCetas Copia de la página original de ItCetas <http://itcetas.blogspot.com.es> CURSO FORTINET 4.3 * No utilizar la última versión de Forti * Versiones recomendadas -- EN la web de soporte * Si tienes el interfaz wan con dhcp y coge automáticamente el gw es recomendable igualmente generar la ruta estática 0.0.0.0 0.0.0.0 next-hop x.x.x.x text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:latencia&rev=1674048986&do=diff latencia jitter perdida Problemas en la red Pérdida de paquetes es simplemente la falla de uno o más paquetes para llegar a su destino. Es relativamente frecuente, pero sus efectos se ven mitigados por la corrección de errores incorporada de muchos protocolos de red. Latencia text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:mclag&rev=1674048986&do=diff Conectar cluster fortigate con switch fortigates usando MCLAG MC-LAG ó Multi-Chassis Link Aggregation Group dos cortafuegos en HA conectados a dos fortiswitch Conexiones * Habilitamos la configuración de los switch desde el fortigate * Creamos el interfaz de tipo agregado text/html 2023-02-02T08:01:01+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:mgmt&rev=1675324861&do=diff Interfaz MGMT Poner la boca mgmt del firewall en modo dhcp y como interfaz con permisos para poder editar la configuración text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:migracion&rev=1674048986&do=diff fortigate fortinet migracion import export config forticonvert Migración de la configuración a otro fortinet Método 1 Vamos a ver como migrar la configuración y las políticas de un equipo Fortinet a otro modelo de Fortigate con distinta versión de firmware. Para ello tenemos que seguir estos pasos: * Lo primero es hacer un backup del equipo a migrar y otro backup del equipo nuevo text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:modem&rev=1674048986&do=diff fortigate modem Para poder ver la lista de modems 3G/4G soportados por el fortigate tenemos que activar el modem. Para ello teuna lista de modem sThis article describes how to view the 3G/4G supported modem list. Para ver la lista de los modem en vamos a la interfaz gráfica text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:modo&rev=1674048986&do=diff Fortigate Modo Transparente text/html 2023-02-02T08:05:48+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:modos&rev=1675325148&do=diff Modos de Funcionamiento Proxy en modo flow-based  o en modo proxy-based. El flow-based es más rápido al analizar pero carece de algunas opciones de análisis que si tenemos en el modo proxy-based <https://www.fastvue.co/fortinet/blog/comparing-fortinet-fortigates-flow-based-vs-proxy-based-web-filter-options/> text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:ntp&rev=1674048986&do=diff fortigate ntp hora tiempo Fortigate como servidor de tiempo Para usar nuestro firewall como servidor de hora para nuestra red, lo primero que debemos hacer es configurarle la hora para que él a su vez tenga la hora sincronizada con un servidor externo. Para ello vamos al menú System text/html 2023-02-02T08:48:53+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:optimizar&rev=1675327733&do=diff Diagnosticar monitorizar las rutas Monitorizar rendimiento * <https://community.fortinet.com/t5/FortiGate/Technical-Tip-Diagnose-sys-top-CLI-command/ta-p/190238> Optimizar * <https://www.fastvue.co/fortinet/blog/7-key-configurations-to-optimize-fortinet-fortigates-logging-and-reporting/> text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:ospf&rev=1674048987&do=diff OSPF Open ShortestPathFirst Características * Estado del Enlace * Convergencia rápida * Máscaras de red de tamaño variable * Subredes no contiguas * Sin actualizaciones periódicas. Sólo actualiza cuando hay cambio * Autenticación de rutas Áreas text/html 2023-01-18T13:36:26+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:pki&rev=1674048986&do=diff PKI * <https://fortixpert.blogspot.com/2018/02/certificados-autofirmados.html?q=vpn> * <https://www.ultraviolet.network/post/let-s-encrypt-with-fortigate> text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:proxy&rev=1674048987&do=diff fortinet fortigate proxy pac Proxy Explícito Un proxy explicito es aquel que tenemos que definir en nuestros clientes, para que puedan salir a internet. Las ventajas de un proxy explicito son: * Posibilidad de definir un fichero PAC (Proxy Automatic Configuration) para permitir configurar facilmente a los usuarios text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:revisiones&rev=1674048987&do=diff fortigate versiones cambios Control de cambios en un Fortigate Muchas veces necesitamos revertir nuestro equipo a una configuración anterior o bien tener un histórico de cambios que se han efectuado en el Fortigate para poder examinarlo. El control de dichos cambios se encuentra en el widge de información de sistema , pinchando en el enlace text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:sdwan&rev=1674048987&do=diff SDWAN Referencias * <https://docs.fortinet.com/sdwan> * Configure FortiGate SD-WAN with an IPSEC VPN text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:sniffer&rev=1674048987&do=diff Uso del Sniffer del fortigate El fortigate tiene un comando que permite hacer sniffer del trafico de red como si fuera un tcpdump. La sintaxis es esta: Filtros Los filtros son expresiones iguales a las que se usan en el tcpdump Ejemplos verbose text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:source_ip&rev=1674048987&do=diff fortigate source-ip Cambiar las ips propias de conexión del fortigate Muchas veces necesitamos que nuestro fortigate se conecte con una dirección ip concreta a un servicio determinado. Este cambio hay que hacerlo desde la propia consola de comandos y no desde el dashboard text/html 2023-01-18T13:36:27+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:vpn&rev=1674048987&do=diff fortigate vpn ipsec VPN Crear una VPN usando IPSec En un fortigate las VPNs pueden ser policy-base o route-base. Hay pequeñas diferencias entre una y otra y por lo general se emplea la route-base debido a que es más flexible y sencilla de configurar. Una conexión VPN mediante ipsec se establece mediante dos fases. Las parámetros de cada fase deben de coincidir en ambos extremos de la conexión VPN, exceptuando las ips de los gateway de cada extremo. text/html 2023-01-18T13:36:28+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:waf&rev=1674048988&do=diff WAF Un waf o Web Applicattion Firewall es un cacharrito que actua en la capa 7 de aplicación y permite protegernos de ataques a nuestra infraestructura de servidores WEB. Se colocan siempre detrás de un cortafuegos y delantes de los frontales o servidores de aplicaciones WEB. text/html 2023-01-18T13:36:28+00:00 Anonymous (anonymous@undisclosed.example.com) http://wiki.intrusos.info/doku.php?id=hardware:fortigate:wan&rev=1674048988&do=diff Optimización WAN <http://itsecworks.com/2012/06/20/wan-optimization-with-fortigate/>