IMPLEMENTACION DE UN FIREWALL (FORTIGATE)

Yeider Humberto Fernandez Betin

Duban Andrés Guzmán Torres

Julio Gil Gómez Espitia

Jaiber Stiven Holguín David

SENA

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

GESTION DE REDES DE DATOS

FICHA DE CARACTERIZACION (600088)

MEDELLIN – ANTIOQUIA

2015

TABLA DE CONTENIDO

Introducción 3

Justificación 4

Objetivos 5 Fortinet 6

Firewall 6

Historia del Cortafuego 7

Implementación de un Firewall con DMZ en Linux 7-23

Conclusión 24

Web Grafía 25

INTRODUCCION

Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica

especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes

(firewalls, UTM, etc.). La compañía fue fundada en el año 2000 por Ken Xie y desde entonces ha

tenido una gran proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la

marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en

su lucha por este mercado, pero aún muy por detrás de electrónica Mikrotik RouterOS en cuanto a

firewall.

FortiGate es una herramienta que permite gestionar todos servicios de red a través una sola

aplicación, puede actuar como Gateway, Servidor de seguridad (UTM), Servidor de oficina,

Servidor de infraestructura de red y Servidor de comunicaciones en el entorno empresarial.

JUSTIFICACIÓN

Con el siguiente trabajo se pretende diseñar e implementar una pequeña Red local con un

Firewall y un DMZ para poner a prueba las funcionalidades tanto permisivas como restrictivas de

un Firewall con respecto a los servicios o protocolos que se requieran implementar.

También se pretende que nosotros aprendamos a manejar y administrar este tipo de servicio o

dispositivo para implementarlo y evitar los posibles ataques externos o intrusos a nuestra Red.

OBJETIVOS

Conocer el proceso de implementación, Instalación y funcionamiento de un Firewall en

una Red con DMZ

Identificar los requisitos básicos que se necesitan para implementar el firewall

Aplicar los conocimientos adquiridos en el ámbito empresarial

FORTINET

Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica

especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes

(firewalls, UTM, etc.).

La compañía fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran

proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de

referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha

por este mercado, pero aún muy por detrás de electrónica Mikrotik RouterOS en cuanto a firewall.

Fortinet usa software de código abierto, como se supo después de una sonada demanda del mundo

del software libre, que en un principio negó Fortinet.1

Fortigate produce una amplia gama de dispositivos para la protección de redes: FortiGate-60C,

FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-200A, FortiGate-300A, FortiGate-

310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A,

FortiGate-3810A, FortiGate-3016B y FortiGate-5000 series.

Además de estos, también cuenta con dispositivos wifi, y servidores para centralizar la seguridad

de una empresa con múltiples elementos Fortigate dispersos en la red.

FIREWALL

Un cortafuego (firewall) es una parte de un sistema o una red que está diseñada para bloquear el

acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,

descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros

criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de

ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no

autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos

los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada

mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es

frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que

se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en

ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más

niveles de trabajo y protección.

HISTORIA DEL CORTAFUEGOS

El término firewall / fireblock significaba originalmente una pared para confinar un incendio o

riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras

similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una

aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet

era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de

los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que

mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad

relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para

el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de

Internet que se produjo a finales de los 80:1

Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.1

Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un

atacante.1

En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió

una nota por correo electrónico a sus colegas2 que decía:

IMPLEMENTACION DE UN FIREWALL CON DMZ EN LINUX

Se implementa FortiGate en la máquina virtual VMWARE. A continuación lo que se hace es

configurar las tarjetas de Red en el VMWARE para el correcto funcionamiento. Se debe resaltar

que en esta actividad se implementara un Firewall (FortiGate) con una red LAN, un DMZ, y una

Red WAN con un Equipo Externo perteneciente a la WAN.

DIRECCIONAMIENTO IP DE LAS REDES (LAN, WAN, DMZ)

NOTA: lo que esta resaltado en color Amarillo tanto a continuación como en la topología, es para

resaltar el direccionamiento que van en los puertos del FortiGate que son las direcciones que

hacen las funciones de Puerta de enlace para cada Red a nivel Local.

Observación: la dirección para la WAN (Internet) 10.1.1.175/24, es la Puerta de enlace del Router en la cual

estamos conectados y es quien nos da la salida a Internet.

ID DE RED LAN: 192.168.1.0/24

PUERTO 1 FortiGate (LAN): 192.168.1.11/24

EQUIPO SERVIDOR (LAN): 192.168.1.21/24

RED WAN (PUERTA DE ENLACE): 10.1.1.175/24

PUERTO 2 FortiGate (WAN): 10.1.1.20/24

EQUIPO EXTERNO (WAN): 10.1.1.16/24

ID DE RED DMZ: 172.18.1.0/24

PUERTO 3 FortiGate (DMZ) 172.18.1.11/24

EQUIPO SERVIDOR (DMZ) 172.18.1.21/24

-Primero que todo, ubicamos la Imagen de nuestro IOS FortiGate, y la abrimos con nuestra

máquina virtual VMWARE:

-ingresamos con las credenciales que viene por defecto en este caso, Usuario es: admin sin

contraseña y accedemos dando ENTER.

- lo q hacemos a continuación es configurar la interfaz del puerto 0/1 de FortiGate para configurar

la interfaz Web para poder acceder al dispositivo mediante el navegador desde nuestro equipo,

esto se hace con los siguientes comandos y habilitamos los servicios que se muestran resaltados

en color Rojo:

-a continuación validamos la configuración que acabamos de hacer por medio del siguiente

comando: sh system interface

-como ya habíamos habilitado el acceso vía Web, lo que se hace es ingresar al fortiGate por medio

de nuestro navegador con la dirección IP que habíamos configurado en el puerto 0/1, y agregamos

las credenciales de acceso como lo es el nombre de administrador, admin.

-luego de haber ingresado con la credencial de acceso nos aparecerá la interfaz general de nuestro

FortiGate, tal como se puede apreciar a continuación:

-Es de resaltar que podemos encontrar múltiples funcionalidades en esta herramienta como por

ejemplo podemos cambiar el idioma a la interfaz de configuración de nuestro FortiGate para que

quede en español, y al mismo tiempo cambiamos el tiempo en que dicha interfaz del FortiGate

no se nos bloquee en un momento de inactividad, es decir le agregamos para que no se bloquee si

no al cabo de 60 Minutos de inactividad: Para ello damos Clic en Admin, se escoge la opción

Settings, agregamos el número 60 en el recuadro resaltado en Rojo y después seleccionamos el

idioma que más se ajuste a nuestra necesidad y por ultimo damos clic en Apply

-

-Después de haber cambiado el idioma de nuestro FortiGate en el paso anterior, lo que se hace a

continuación es crear un nuevo usuario administrador, para administrar el dispositivo, para ello lo

creamos de la siguiente manera por medio de la opción Admin – administrators – Crear Nuevo,

tal como se aprecia en la siguiente imagen con sus respectivas opciones resaltadas en color Rojo:

Empezamos con la configuración para agregar el nombre usuario que nosotros queramos que nos

quede de administrador, se escoge la opción de Regular, proporcionamos la contraseña con la cual

ingresamos al sistema con dicho usuario, después en el Perfil de acceso se escoge la opción de

Super_admin y para guardar los cambios damos clic en OK.

-Listo podemos mirar que ya quedó creado nuestro nuevo usuario con el nombre de Galácticos,

junto con el usuario por defecto de FortiGate que es admin, para verificar buscamos la opción

Admin, y damos clic en Administrators y podemos ver el usuario Creado con su respectivo

nombre junto con el usuario de FortiGate por defecto:

-Después de haber Realizado lo anterior y haber diseñado la Topología junto con el

direccionamiento IP al principio de esta Guía, el siguiente paso a realizar es configurar nuestra

Máquina virtual con el anterior direccionamiento:

-vamos a la Máquina virtual VMWARE configurada para nuestro FortiGate y configuramos la

tarjeta de red de la siguiente manera:

-A continuación configuramos en la máquina virtual VMWARE la tarjeta de red para nuestro

Equipo de la LAN (Windows Server 2012)

-A continuación configuramos en la máquina virtual VMWARE la tarjeta de red para nuestro

Equipo de la DMZ (Windows Server 2012)

-Después configuramos en la máquina virtual VMWARE la tarjeta de red del equipo que se

encuentra en la red Externa (WAN) que será de utilidad para el ejercicio.

- Después de los anteriores pasos de configuración de las tarjetas de Red de la máquina virtual

VMWARE, lo que se hace a continuación es darle direccionamiento a nuestros equipos

(SERVIDOR DMZ, EQUIPO DE LA LAN, Y EL EQUIPO DE LA RED EXTERNA WAN), y

después se configura los Puertos para el FortiGate. A continuación procedemos a la

configuración en los Equipos:

-Configuración de direccionamiento IP del servidor DMZ

-Configuración de direccionamiento IP del Equipo WAN o de Internet

-Configuración de direccionamiento IP del Equipo de la LAN

-Configuración de direccionamiento IP en los puertos de FortiGate (puertas de enlaces para

las zonas DMZ, LAN, WAN).

Para configurar los puertos de nuestro FortiGate, lo hacemos por medio de una serie de comandos

que nos permiten añadir el direccionamiento IP a las respectivas interfaces. A continuación se

muestra los comandos empleados con su respectiva descripción de su función.

1. config system interface Configurar interfaces

2. edit port1: Para editar o configurar el puerto que se requiere

3. set ip: Asignar una dirección y mascara al puerto seleccionado

4. set allowaccess: Seleccionar servicios o protocolos a implementar

5. end: Guardar configuración y salir

6. sh system interface Mostrar configuración

CONFIGURACIÓN DEL PUERTO 1 FORTIGATE

config system interface

edit port1 set ip 192.168.1.11 255.255.255.0

set allowaccess ping https ssh http

end

CONFIGURACIÓN DEL PUERTO 2 FORTIGATE

config system interface

edit port2 set ip 10.1.1.20 255.255.255.0

set allowaccess ping https ssh http

end

CONFIGURACIÓN DEL PUERTO 3 FORTIGATE

config system interface

edit port3 set ip 172.18.1.11 255.255.255.0

set allowaccess ping https ssh http

end

Observación: para comprender mejor la configuración de direccionamiento IP de los puertos del

FortiGate resaltado en sus diversos colores, es necesario dirigirse a la topología para

comprender mejor.

-Con el siguiente comando podemos mirar la configuración que se les dio a los puertos del

FortiGate: sh system interface

- Después de haber realizado las configuraciones anteriores, lo que se hace a continuación es

ingresar a la Interface del FortiGate, para esto accedemos desde el navegador Web del equipo con

el siguiente direccionamiento 192.168.1.11 y accedemos con las credenciales de usuario

-Damos clic en Status para mirar configuración global

-A continuación lo que se hace es crear el OBJETO para poder implementar un direccionamiento

IP para la respectiva zona en este caso DMZ, y este mismo proceso se realiza para crear OBJETOS

para relacionar las zonas LAN y WAN. Para crearlas, Seleccionamos la opción que se llama

Objetos de Firewall, y escogemos la opción Dirección y por último se escoge la opción Crear

Nuevo para así de esta manera poder crear el Objeto:

Se agrega el nombre de la zona con su respectivo direccionamiento IP y seleccionamos la opción

de interfaz más adecuada por la cual se filtraran las políticas permisivas o restrictivas

-Después de haber realizado el paso anterior en la creación del OBJETO, se procede a crear las

POLÍTICAS, las cuales se encargan de restringir o dar permisos contundentemente a los

diferentes servicios provenientes desde cualquier Red Externa o inclusive desde la misma Red

local. Para crear las POLITICAS damos clic en la opción Política y después se escoge la Opción

Crear Nuevo

En la siguiente imagen, se configura la política que nos permitirá restringir o denegar los servicios

y puertos, de acuerdo a la necesidad que se requiera se configura: la siguiente imagen puede

entenderse de la siguiente manera: todo el tráfico que provenga de Internet acceda totalmente por

el puerto 2 del FortiGate y que tenga una salida únicamente por el puerto 3 del FortiGate para la

zona DMZ diariamente pero solo pueden ingresar los servicios HTTP, PING, EDP, SSH y el

resto de servicios quedaran denegados.

-En el siguiente pantallazo se puede evidenciar que la política se creó correctamente y se permite

el comando PING entre un equipo de la red WAN hasta el DMZ

-a continuación se muestra la creación de la política que permite los servicios desde la Red LAN a

la WAN, es de resaltar que los procesos para crear es el mismo como se hizo en los anteriores

Pasos:

Para validar ponemos a prueba el comando PING y podemos ver que si esta permitido tal como se

creó en la política:

NOTA: lo que no está explícitamente permitido, es porque lo demás será denegado

-Por ultimo agregamos las RUTAS por la cual queremos que se llegue o se deniegue las políticas

de los diferentes servicios hacia o desde una red cualquiera. Para crear la RUTA, hacemos clic en

ROUTER y seleccionamos la opción RUTA ESTÁTICA, y seguidamente escogemos la opción

CREAR NUEVO.

CONCLUSIÓN

Por medio de un Firewall podemos controlar los posibles ataques externos o intrusos que

provienen de redes externas mediante Programas maliciosos o cualquier tipo de virus que quiera

interferir con el buen funcionamiento de una Red interna. El Hackeo ha venido tomando mucha

fuerza y ha ocasionado preocupación en las empresas por lo que ha afectado la confidencialidad

de la información, es por ello que gracias a la buena implementación y configuración de la

Seguridad perimetral podemos reducir los posibles ataques que puedan poner en riesgo la

seguridad de toda una empresa.

WEB GRAFIA

http://es.wikipedia.org/wiki/Fortinet

http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29