NSE4 Curso de Infraestrucutura de Fortigate
August 12, 2022 | Author: Anonymous | Category: N/A
Short Description
Download NSE4 Curso de Infraestrucutura de Fortigate...
Description
Asignación de recursos del sistema. Límite de recursos globales: asignado a cada función en todo FortiGate. fu nción en cada VDOM. Límite de recursos de VDOM: asignado a cada función Garantiza una asignación mínima de recursos por VDOM. o Ningún VDOM puede privar a los demás de todos los recursos del dispositivo. o
Recuerde, los VDOM son solo una separación lógica: cada VDOM comparte recursos físicos con los demás. A diferencia de FortiGate-VM, los VDOM no se asignan y equilibran con núcleos de vCPU ponderados, VRAM y otro hardware virtualizado. Para ajustar el rendimiento, puede configurar límites de recursos para cada función (túneles IPsec, objetos de dirección, etc.) a nivel global y en cada nivel de VDOM. Esto controla llaa relación entre el uso de recursos de cada sistema VDOMS y el total de recursos disponibles.
Límites de recursos globales y por VDOM.
Por ejemplo, en este FortiGate, el hardware es lo suficientemente potente como para manejar hasta 2000 túneles VPN IPsec. FortiGate está configurado con tres VDOM. VDOM1 y VDOM2 no usan túneles VPN IPsec con frecuencia. Por lo tanto, se les permite tener hasta 50 túneles cada uno. Sin embargo, VDOM3 utiliza VPN de forma extensiva. Por lo tanto, este FortiGate se configurará para permitir que VDOM3 tenga hasta 1900 túneles. Además, se garantizarán 1000 de esos túneles. Configure su FortiGate con límites globales para funciones críticas como sesiones, políticas y otras. Luego, configure cada VDOM con sus propias cuotas y mínimos, dentro de los límites globales.
Supervisión de los recursos de VDOM. El monitor VDOM muestra: Utilización de CPU. Utilización de la memoria.
En la GUI, puede hacer clic en Global> Sistema> VDOM para ver el monitor VDOM. Muestra el uso de CPU y memoria para cada VDOM.
El administrador de VDOM tiene dificultades para acceder.
Confirme el administrador VDOM. Confirme las interfaces VDOM. Confirme los privilegios de acceso del administrador de VDOM. Confirme el host y la IP de confianza.
Mejores prácticas Cree una cuenta de administrador específica de VDOM para cada VDOM. o Evite dar acceso de súper administrador. o
Con los VDOM configurados, los administradores tienen una capa adicional de permisos y pueden tener problemas para acceder a la información deseada. Si un administrador no puede obtener acceso, verifique lo siguiente Confirme el VDOM del administrador: cada cuenta de administrador, que no sea la cuenta super_admin, está vinculada a uno o más VDOM específicos. Ese administrador no puede acceder a ningún otro VDOM. Es posible que estén intentando acceder al VDOM incorrecto (uno para el que no tienen permisos).
Confirme las interfaces del VDOM: Un administrador puede acceder a su VDOM solo a través de las interfaces que están asignadas a ese VDOM. Si las interfaces en ese VDOM están deshabilitadas o no disponibles, su administrador local no podrá acceder a ese VDOM. Se requerirá que el super_admin abra las interfaces, arregle las interfaces o mueva otra interfaz a ese VDOM para restaurar el acceso.
Confirme el acceso de administrador de VDOM: como con todos los dispositivos FortiGate, el acceso de administración en las interfaces de VDOM debe estar habilitado para que los administradores de ese VDOM obtengan acceso. Por ejemplo, si SSH no está habilitado, no está disponible para los administradores. Para habilitar el acceso de administrador, el super_admin hace clic en Global> Red> Interfaces y habilita el acceso de administrador para la interfaz en cuestión.
Confirme el host y la IP de confianza: si los hosts de confianza están habilitados en la cuenta de administrador, asegúrese de que el usuario se esté conectando desde la dirección de host especificada correcta y que ningún dispositivo intermedio esté realizando funciones de NAT en la conexión.
Las mejores prácticas indican que, por lo general, debe evitar los agujeros de seguridad innecesarios. No proporcione acceso super_admin si es posible. En su lugar, restrinja a cada administrador a su dominio relevante. De esa forma, no pueden afectar accidental o maliciosamente mali ciosamente a otros VDOM, y cualquier daño o error tendrá un alcance limitado.
Consejos generales y resolución de problemas Realice un rastreo de rastreo.
de VDOM.
Realizar un seguimiento del flujo de paquetes
Además de ping y traceroute, existen herramientas adicionales para solucionar problemas de configuración de VDOM. Las herramientas principales para la resolución de problemas de VDOM incluyen la detección de paquetes y la depuración del flujo de paquetes. Realice un rastreo de rastreo: al solucionar problemas de redes, es útil mirar dentro de los encabezados de los paquetes para determinar si viajan solos por la ruta esperada. El rastreo de paquetes también se puede llamar toma de red, captura de paquetes o análisis lógico. el rastreador también indica qué tráfico entra o sale de las interfaces de entrada y salida en todos los VDOMS. Esto lo hace extremadamente útil para solucionar problemas de enrutamiento entre VDOM. Depurar el flujo de paquetes: el tráfico debe entrar en trar y sal salir ir del VDOM. Si ha identificado que el tráfico de red no entra y sale del VDOM como se esperaba, depure el flujo de paquetes. La depuración solo se puede realizar mediante comandos CLI. Esta herramienta proporciona detalles más granulares para ayudar en la resolución de problemas de tráfico entre VDOM porque brinda detalles de selección de ruta, NAT y selección de políticas.
Verificación de conocimientos. 1. De estas opciones, ¿cuál es una posible razón por la que un administrador podría no tener acceso a un VDOM específico? A. El administrador está usando una dirección IP que no está especificada como host confiable.
B. El administrador está usando el perfil Super_Admin. 2. ¿Qué herramienta de resolución de problemas es la más adecuada cuando se intenta verificar la política de firewall utilizada por un enlace entre VDOM? A. Rastro del rastreador B. Seguimiento del flujo de paquetes.
Conmutación de capa 2. Red de área local virtual (VLAN). Divida lógicamente su red física de Capa 2 en segmentos más pequeños. o Cada segmento forma un dominio difusión Etiquetas de VLAN agregadas a las de tramas paraindependiente. identificar sus segmentos de red. o
Las VLAN dividen su LAN física en varias LAN lógicas. En el modo de funcionamiento NAT, cada VLAN forma un dominio de difusión independiente. Varias VLAN pueden coexistir en la misma interfaz física, siempre que tengan diferentes ID de VLAN. De esta manera, una interfaz física se divide en interfaces más lógicas. Se agrega una etiqueta a cada trama de Ethernet para identificar la VLAN a la que pertenece.
Etiquetas VLAN en tramas Las etiquetas VLAN agregan una extensión de 4 bytes a una trama Ethernet. Los dispositivos de capa 2 pueden agregar o eliminar etiquetas.
deescapa 3 pueden reescribir antes del enrutamiento Los dispositivos FortiGate un dispositivo de capa 3las enetiquetas modo NAT o
Esta imagen muestra una trama de Ethernet. La trama contiene las direcciones MAC de origen y destino, el tipo, la carga útil de datos y el código CRC para confirmar que no está dañado. En el caso de tramas Ethernet con etiquetado VLAN, según el estándar 802.1q, se insertan cuatro bytes más después de la dirección MAC. Contienen un número de identificación que identifica la VLAN. Un dispositivo OSI de Capa 2, como un conmutador, puede agregar o eliminar eli minar estas etiquetas de las tramas Ethernet, pero no puede cambiarlas. Un dispositivo de Capa 3, como enrutador o FortiGate, puede cambiar la etiqueta VLAN antes de proceder a enrutar el paquete. De esta forma, pueden enrutar el tráfico entre VLAN.
Cómo usa FortiGate las etiquetas VLAN.
Cuando opera en modo NAT, FortiGate opera como un enrutador OSI de capa 3 en su configuración más básica. En este modo, una VLAN es una interfaz en el dispositivo. Las etiquetas VLAN se pueden agregar al salir, quitar al ingresar o reescribir según una decisión de enrutamiento. FortiGate no agrega etiquetas VLAN al ingresar (esta es la responsabilidad de un dispositivo anterior).
Etiquetas de VLAN durante la retransmisión r etransmisión en una red.
En este ejemplo que se muestra en esta imagen del modo de operación NAT, un host en la VLAN 100 envía una trama a un host en la VLAN 300. El conmutador A recibe la trama en la interfaz VLAN 100 sin etiquetar. Después de eso, agrega ag rega la etiqueta VLAN 100 en el enlace troncal etiquetado entre el switch A y FortiGate.
Creación de VLAN. Las tramas enviadas o recibidas por el segmento de interfaz física nunca se etiquetan; pertenecen a la VLAN nativa.
Para crear una VLAN usando la GUI, haga clic en Crear nueva, seleccione Interfaz y luego, en la lista desplegable Tipo, seleccione VLAN. Debe especificar el ID de VLAN y la interfaz física a la que se vinculará la VLAN. Las tramas que pertenecen a interfaces de ese tipo siempre están etiquetadas. Por otro lado, las tramas enviadas o recibidas el segmento de interfaces físicas nunca se etiquetan. Pertenecen a lo que se denomina VLANpor nativa (VLAN ID 0).
Tenga en cuenta que en un entorno de múltiples VDOM, la interfaz física y su subinterfaz VLAN pueden estar en VDOM separados.
Verificación de conocimientos. 1. ¿En qué modo debe estar funcionando FortiGate VDOM para enrutar el tráfico entre las VLAN? A. Modo transparente. B. Modo NAT
Modo de operación. El modo de operación define cómo FortiGate maneja el tráfico. o Modo NAT: Rutas según OSI Layer 3 (direcciones IP), como enrutador. Las interfaces de FortiGate tienen direcciones IP asociadas. Modo transparente: o Reenvía de acuerdo con OSI Layer 2 (direcciones MAC), como un puente transparente. Las requiere interfacescambios de FortiGate generalmente tienen direcciones IP. de direcciones IP en no la red. No
Los firewalls IPv4 tradicionales y los dispositivos FortiGate en modo NAT manejan el tráfico de la misma manera que lo hacen los enrutadores. Cada interfaz debe estar en subredes diferentes y cada subred forma un dominio de broadcats diferente. FortiGate enruta los paquetes IP según la información del encabezado IP, sobrescribiendo la dirección dirección MAC de origen. origen . Entonces, si un cliente envía un paquete a un servidor conectado a una interfaz de FortiGate diferente, el paquete llegará al servidor con una dirección MAC de FortiGate, en lugar de la dirección MAC del cliente. En el modo de operación transparente, FortiGate reenvía tramas sin cambiar las direcciones MAC. Cuando el cliente recibe un paquete de un servidor conectado a una interfaz FortiGate diferente, el marco contiene la dirección MAC real del servidor; FortiGate no reescribe el encabezado MAC. FortiGate es un puente o conmutador de capa 2. Por tanto, las interfaces no tienen direcciones direcciones IP y, por defecto, todas pertenecen al mismo dominio de difusión. Esto significa que puede instalar un FortiGate en modo transparente en la red de un cliente sin tener que cambiar el plan de direcciones IP del cliente. Algunos clientes, especialmente las grandes organizaciones, no desean reconfigurar miles de dispositivos para definir una nueva red interna que esté separada de su red externa.
Modo de funcionamiento NAT.
La imagen muestra un ejemplo del modo de funcionamiento NAT. FortiGate tiene tres puertos conectados, cada uno con subredes IP independientes. Todas las interfaces de FortiGate tienen direcciones IP y, en este caso, NAT se traduce entre redes. Las políticas de firewall permiten que el tráfico fluya entre redes. FortiGate maneja los paquetes de acuerdo con sus rutas. En la mayoría de los casos, las rutas se basan en la dirección IP de destino (en la capa 3 del modelo OSI). Los clientes en cada subred envían tramas que están destinadas a una dirección MAC de FortiGate, no a la dirección MAC real del servidor.
Modo de operación transparente.
Esta imagen muestra un ejemplo de modo de funcionamiento transparent transparente. e. Las políticas de firewall escanean y luego permiten o bloquean el tráfico. Pero existen diferencias. Tenga en cuenta que las interfaces físicas en FortiGate no tienen direcciones IP. Por lo tanto, FortiGate no responderá a la solicitud de ARP. Sin embargo, hay algunas excepciones. Por ejemplo, al cambiar al modo de operación transparente, debe especificar una dirección IP de administración para recibir conexiones de sus administradores de red y enviar mensajes de registro, trampas SNMP, correo electrónico de alerta, etc. Esta dirección IP no está asignada a una interfaz específica. Se asigna a las configuraciones de VDOM. La dirección IP de administración no tiene ningún efecto sobre el tráfico que pasa por FortiGate. De forma predeterminada, un modo transparente FortiGate no realizará r ealizará NAT. Además, los clientes enviarán tramas destinadas directamente al enrutador real o la dirección dir ección MAC del servidor.
FortiGate como puente transparente. Transparente para el host de capa IP. Crea una tabla para el reenvío de tráfico analizando las direcciones MAC de origen de las
tramas entrantes. Divide su red en varios dominios de colisión: Reduce el tráfico y los l os niveles de colisión observados en dominios individuales. o Mejora el tiempo de respuesta de la red. o
Un modo transparente en FortiGate actúa como un puente transparente. ¿Qué significa eso? Significa que FortiGate tiene una tabla de direcciones MAC que contiene, entre otras cosas, la interfaz que debe usarse para llegar a cada dirección MAC. FortiGate completa esta tabla con información extraída de la dirección MAC de origen de cada trama. FortiGate, como conmutador transparente, divide la red en múltiples dominios de colisión, reduciendo el tráfico en la red y mejorando el tiempo de respuesta.
Reenvía dominios. De forma predeterminada, todas las interfaces de un VDOM pertenecen al mismo dominio de difusión; incluso interfaces con diferentes ID de VLAN. o Los dominios de difusión que contienen múltiples interfaces pueden ser muy grandes y agregar tráfico de difusión innecesario a algunos segmentos de la LAN. Utilice este comando para subdividir un VDOM en varios dominios de transmisión:
Las interfaces con el mismo ID de dominio pertenecen al mismo dominio de difusión.
De forma predeterminada, en el modo de funcionamiento transparente, cada VDOM forma un dominio directo independiente; independiente; sin embargo, las interfaces no lo hacen. ¿Cómo afecta esto a la red? Hasta que cambie la configuración inicial de VDOM, todas las l as interfaces, independientemente independientemente de su ID de VLAN, son parte del mismo dominio de transmisión. FortiGate transmitirá desde cada interfaz en el VDOM para encontrar cualquier dirección MAC de destino desconocida. desconocida. En redes grandes, esto podría generar un tráfico de transmisión masivo y respuestas abrumadoras: una tormenta de transmisión.
FortiGate con un dominio directo. FortiGate en modo transparente con todas las VLAN en el mismo dominio de reenvío.
Esta imagen ilustra un problema: una transmisión con todas las interfaces en el dominio directo 0 (predeterminado). Un dispositivo envía una solicitud ARP. Llega a FortiGate a través de una de las interfaces del VDOM. Debido a que todas las interfaces pertenecen al mismo dominio de reenvío, FortiGate retransmite a todas las demás interfaces, incluso a interfaces que pertenecen a diferentes VLAN. Esto genera tráfico innecesario. Después de eso, la respuesta ARP seguirá llegando a una sola interfaz, y FortiGate aprenderá que la MAC está en esa interfaz.
FortiGate con múltiples dominios directos. FortiGate en modo transparente con todas las VLAN en diferentes dominios de reenvío.
Como aprendió anteriormente en esta lección, los dominios de reenvío son como dominios de transmisión. El ejemplo de esta diapositiva muestra la misma red que antes, pero se asignan diferentes ID de dominio de reenvío a cada VLAN. El tráfico que llega a una interfaz se difunde solo a las interfaces que se encuentran en el mismo ID de dominio directo.
Tabla MAC de modo transparente.
Este comando de depuración enumera la tabla de direcciones MAC en un VDOM que o opera pera en modo transparente. La tabla que se muestra en esta imagen imag en contiene las interfaces saliente salientess para llegar a cada dirección MAC aprendida.
Verificación de conocimientos. 1. sobre el funcionamiento A. ¿Qué Tieneafirmación una dirección IP de administración.de FortiGate en modo transparente es verdadera? B. Cada interfaz tiene su propia dirección dir ección IP.
2. ¿Cómo puede un administrador configurar FortiGate para tener cuatro interfaces en el mismo dominio de transmisión? A. Cree una política de firewall en cada una de las cuatro iinterfaces. nterfaces. B. Configure el modo de operación como transparente y use el mismo ID de dominio directo .
Par de cables virtual.
Vincula lógicamente dos interfaces físicas. o Por lo general, una interfaz interna y una externa. El tráfico se reenvía entre estas interfaces. El tráfico entrante a una interfaz siempre se reenvía a través de la otra interfaz. o Ningún otro tráfico puede entrar o salir de un par de cables virtual. o Evita complejidades como tormentas de transmisión, aleteo de MAC.
Puede usar el emparejamiento de cables virtual cuando solo es necesario conectar dos interfaces físicas al mismo dominio de transmisión. El ejemplo más frecuente de esto es FortiGate conectado entre la red interna y el enrutador del ISP. Cuando configura el emparejamiento virtuales, puertos están vinculados o vinculados lógicamente, actuando como un cabledeocables tubería filtrada.dos Todo el tráfico que llegó a un puerto se reenvía al otro puerto. Esto evita problemas relacionados con tormentas de transmisión o alteración de direcciones MAC Puede crear más de un par de cables virtuales en FortiGate.
Emparejamiento de cable virtual y modo transparente.
Esta imagen muestra un ejemplo de dos pares de cables virtuales utilizados en FortiGate en modo transparente. Este FortiGate tiene cuatro puertos, cada uno conectado a diferentes ubicaciones físicas, pero no se permite que el tráfico fluya entre las cuatro ubicaciones. El emparejamiento de cables virtuales permite el tráfico solo entre puertos del mismo par: entre el port1 y el port2, y entre el port3 y el wan1. Entonces, en este ejemplo, la red en el port3 puede acceder a Internet a través de wan1. Sin embargo, las redes del port2 y del port1 no pueden acceder a Internet. Solo pueden alcanzarse entre sí.
Emparejamiento de cable virtual y modo NAT. El par funciona de manera similar al modo transparente, dentro de un VDOM NAT.
Esta imagen muestra un ejemplo de un par de cables virtual en FortiGate que funciona en modo NAT. En este ejemplo, los paquetes IP que ingresan a las interfaces wan1 e internal se enrutan utilizando la información del encabezado IP. Esas dos interfaces tienen diferentes direcciones IP y cada una forma un dominio de difusión independiente. El caso de las interfaces wan2 y dmz es diferente. Debido a que estas interfaces están configuradas como un par de puertos virtuales, no tienen direcciones IP asignadas y forman un solo dominio de transmisión. Observe las direcciones IP del servidor y el enrutador conectado a wan2. Ambos deben pertenecer a la misma subred. Por lo tanto, el emparejamiento de cables virtual ofrece una forma de mezclar las funciones del modo NAT con algunas funciones del modo transparente en el mismo VDOM.
Este escenario se usa más m ás comúnmente como firewall de segmentación. Esta configuración permite integrar FortiGate en una red existente donde el servidor web está en una dirección IP pública. Evita la necesidad de utilizar una IP virtual y proporciona aislamiento del resto de la red. También permite la integración inmediata de FortiGate en una red establecida y proporciona una ruta de migración mig ración a la infraestructura de FortiGate.
Configuración de par de cables virtual. VLAN comodín: Habilitar: las políticas se aplican igualmente a las interfaces físicas y las VLAN. o Desactivar: las políticas se aplican solo a las interfaces físicas (se niegan los paquetes o con etiquetas VLAN)
Cuando crea un par de cables virtual, debe seleccionar dos interfaces físicas, ni más ni menos. Después de seleccionar las dos interfaces, crea las políticas de par de cables virtuales que inspeccionan el tráfico que cruza el par de cables virtual. La configuración de LAN comodín especifica cómo se aplican esas políticas a las diferentes VLAN cuyo tráfico fluye entre el par: Si la VLAN comodín está habilitada, las políticas de pares de cables virtuales se aplican por igual a las interfaces físicas y las VLAN. Si la VLAN comodín está deshabilitada, las políticas de pares de cables virtuales se aplican solo a las interfaces físicas. Se deniega el tráfico con cualquier etiqueta de VLAN.
Políticas de pares de cables virtuales. v irtuales.
Las políticas de firewall para el emparejamiento de cables virtuales se configuran en un elemento de menú diferente. Este elemento de menú se muestra cuando ha creado al menos un par de cables virtual. Puede crear políticas de firewall bidireccionales bidireccionales que permitan que el tráfico se inicie desde cualquier dirección o puede crear políticas de firewall separadas para el flujo de tráfico en cada dirección en el par de cables virtual. Debe habilitar la Opción avanzada de política en Visibilidad de funciones para ver el par de cables virtuales del firewall en el Menú Políticas.
Verificación de conocimientos. 1. ¿Qué ajuste de configuración se debe habilitar para permitir el tráfico etiquetado con VLAN a través de un par de cables virtual? A. Puente transparente. B. VLAN comodín.
2. ¿Cómo se maneja el tráfico en un par de cables virtual? A. El tráfico entrante a una interfaz siempre se reenvía a través de la otra interfaz.
B. El tráfico se reenvía según la dirección MAC de destino.
Software Switch. inalámbri cas en una única interfaz de conmutador Puede agrupar varias interfaces físicas e inalámbricas virtual. Solo se admite en modo NAT. Actúa como un interruptor de capa 2 tradicional. Las interfaces: Comparte la misma dirección IP. o
o
Pertenecen al mismo dominio de difusión.
Un software switch agrupa varias interfaces para formar un switch virtual, que actúa como un switch tradicional de capa 2. Esto significa que todas las interfaces del switch forman parte del mismo dominio de difusión.
Configuración de un Software Switch.
Cada software switch tiene una interfaz virtual asociada. La dirección IP es compartida por todas las interfaces físicas del switch y los SSID miembros. Utilice esta interfaz virtual en las políticas de firewall y la configuración de enrutamiento.
Ejemplo de un Software Switch.
En este ejemplo, el administrador agrupó una interfaz inalámbrica con port1 y port2 para formar un software switch. Estas tres interfaces forman parte del mismo dominio de difusión. Todos los dispositivos conectados conectados a las interfaces del switch pertenecen a la misma subred IP: 192.168.1.0/24 . Esto permite que FortiGate reenvíe el tráfico de transmisión de los clientes inalámbricos al port1 y port2. La propia interfaz del software switch tiene una dirección IP, que también se encuentra en la misma subred: 192.168.1.0/24. Esta es la dirección IP de la puerta de enlace predeterminada para todos los dispositivos conectados al software switch. swi tch. El servidor 10.0.1.1 está conectado a una interfaz (dmz) que no forma parte del software switch. Por lo tanto, pertenece a un dominio de transmisión y una subred IP diferentes.
Protocolo de árbol de expansión. Objetivos Instale FortiGate en redes que ejecutan el protocolo de árbol de expansión. Después de completar esta sección, debería poder instalar FortiGate en redes que ejecutan el protocolo de árbol de expansión (STP). Al demostrar competencia en STP, comprenderá cómo instalar FortiGate en una red que ejecuta STP y cómo evitar problemas comunes relacionados con STP.
Tormentas de transmisión. Cuando un conmutador recibe un mensaje de transmisión directa, ese mensaje se envía a todos los puertos. Con una ruta redundante, esto puede provocar una tormenta de difusión.
Siempre que sea posible, los diseñadores de redes intentan proporcionar redundancia en sus redes. Cuanto mayor sea la red, r ed, más crítica será la necesidad de redundancia. Sin embargo, la l a redundancia presenta sus propios problemas Cuando un switch Ethernet recibe una trama, la reenvía a todos los puertos del mismo dominio de difusión, excepto al puerto en el que recibió la trama. Si hay una ruta redundante en la red, la trama
se transmitirá por ambos enlaces. Esto crearía lo que se llama una tormenta de transmisión, que eventualmente conducirá a un colapso completo de la red a medida que la trama se retransmite una y otra vez, a través de cada puerto.
Habilitar STP. STP proporciona un mecanismo dinámico y automático para evitar tormentas de difusión.
Para evitar tormentas de difusión, puede utilizar STP. STP funciona eligiendo primero un switch en el dominio de difusión para que sirva como puente raíz. Luego, los switches comienzan a intercambiar paquetes especiales llamados unidades de datos de protocolo de puente o BPDU. Estas BPDU proporcionan a cada switch información sobre sus vecinos y sus interfaces vecinas. Cuando se conocen todas las rutas, los switches identifican los bucles potenciales y designan un puerto raíz, según el costo de reenvío más bajo, que será la ruta principal. Los otros puertos, que podrían resultar en un u n bucle, están bloqueados. Debido a que las BPDU se envían cada dos segundos, los switches pueden detectar cualquier interrupción de la red y desbloquear los puertos según sea necesario para restaurar una ruta alternativa alrededor de la interrupción. De forma predeterminada, FortiGate no participa en el aprendizaje de STP, o BPDU de reenvío. Pero puedes habilitarlo. (Aún debe restringir los dominios de transmisión para que no sean abrumadoramente grandes).
Configuración STP. Para configurar FortiGate para participar en STP:
Solo se admite en modelos que tienen interfaces de switch. Para permitir que FortiGate participe en el árbol STP, use el comando config
system stp en la CLI.
Tenga en cuenta que esto solo es compatible con modelos que tienen interfaces de switch físico, como FortiGate 30D, 60D, 60E y 90D.
Reenvío STP. Configure cada interfaz para bloquear (predeterminado) o reenviar STP.
Para las interfaces que no son interfaces de conmutador físico, puede reenviar o bloquear las BPDU de STP.
Verificación de conocimientos. 1. ¿Cuál es el modo STP predeterminado para FortiGate? A. FortiGate reenvía pasivamente BPDU. B. FortiGate tiene todas las funciones de STP ST P deshabilitadas.
Mejores prácticas. Cree dominios de reenvío cuando se utilicen VLAN y configure desactive en todas las interfaces físicas relevantes
vlanforward para
que se
El ID de dominio de reenvío puede ser diferente del ID de VLAN, pero se recomienda para la resolución de problemas y la legibilidad mantenerlos mantenerlos iguales Cuando se utilizan dominios de reenvío, se requiere un enrutador para mover el tráfico entre los dominios de reenvío Solo las interfaces de los mismos dominios de reenvío pueden tener políticas de firewall entre sí Debido a que las BPDU de STP no se reenvían de forma predeterminada, tenga cuidado al insertar FortiGate (o cualquier otro dispositivo de reenvío) porque esto podría romper el árbol de expansión y generar bucles de Capa 2
¿Qué es IPsec? Une redes y hosts remotos en una red privada. Generalmente proporciona: Autenticación. o Integridad de los datos (a prueba de manipulaciones). o o Confidencialidad de los datos (cifrado).
¿Qué es IPsec? ¿Cuándo debería usarlo? IPsec es un conjunto de protocolos estándar independiente del proveedor que se utiliza para unir dos LAN físicamente distintas. Las LAN se unen como si fueran una única red lógica, a pesar de estar separadas por Internet. En teoría, IPsec admite el cifrado nulo, es decir, puede crear VPN que no cifren el tráfico. IPsec también admite la integridad de datos nulos. ¿Pero eso ofrece alguna ventaja sobre el tráfico normal? No. Nadie puede confiar en el tráfico que pueda haber sido inyectado por un atacante. Rara vez la gente quiere que los datos sean enviados por una fuente desconocida. La mayoría de las personas también quieren quepermanezcan los datos de red privados, como las transacciones con tarjetas de crédito y los registros médicos, privados. Independientemente del proveedor, las VPN IPsec casi siempre tienen configuraciones que les permiten brindar tres beneficios importantes: Autenticación: para verificar la identidad de ambos extremos. Integridad de los datos (o HMAC): Para demostrar que los datos encapsulados no han sido manipulados al cruzar una red potencialmente hostil. Confidencialidad (o encriptación): para asegurarse de que solo el destinatario previsto pueda leer el mensaje.
¿Qué es el protocolo IPsec? Múltiples protocolos que funcionan juntos. o AH proporciona integridad, pero no cifrado. o AH está definido en el RFC, pero FortiGate no lo usa. Los números de potenciómetro y la encapsulación varían según la traducción de direcciones de red (NAT).
Protocolo
NAT
Sin NAT
IKE RFC 2409 (IKEv1) RFC 4306 (IKEv2)
Protocolo IP 17: Puerto UDP 500 (UDP 4500 para reintroducir, modo rápido, modo-cfg) Protocolo IP 17 Puerto UDP 4500
Protocolo IP17 Puerto UDP 500
ESP RFC 43003
Protocolo IP 50
Si está pasando su VPN a través de firewalls, es útil saber qué protocolos permitir. IPsec es un conjunto de protocolos independientes. Incluye: Intercambio de claves de Internet (IKE): IKE se utiliza para autenticar pares, intercambiar claves y negociar el cifrado y las sumas de comprobación comprobación que se utilizarán, básicamente, es el canal de control. Encabezado de autenticación (AH): AH contiene el encabezado de autenticación, las sumas de comprobación que verifican la integridad de los datos. Carga útil de seguridad de encapsulación (ESP): ESP es la carga útil de seguridad encapsulada, la carga útil cifrada, esencialmente, el canal de datos.
Por lo tanto, si necesita pasar el tráfico IPsec a través de un firewall, recuerde que permitir solo un protocolo o número de puerto generalmente no es suficiente. Tenga en cuenta que IPsec RFC menciona AH; sin embargo, AH no ofrece cifrado, un beneficio importante. Por tanto, FortiGate no utiliza AH. Como resultado, no necesita permitir el protocolo IP AH (51) Para hacer una VPN, debe configurar ajustes coincidentes en ambos extremos, ya sea que la VPN esté entre dos dispositivos FortiGate, un FortiGate y FortiClient, o un dispositivo de terceros y un FortiGate. Si la configuración no coincide, la configuración del túnel fallará.
¿Cómo funciona IPsec? Encapsulamiento. o Otros protocolos envueltos dentro de IPsec. o ¿Qué hay adentro? Varía según el modo: Modo de transporte: TCP / UDP.
Capa IP adicional en modo túnel, luego TCP / UDP.
Negociación como SSL / TLS. o Autenticación. o Apretón de manos para intercambiar claves, configuraciones.
IPsec proporciona servicios en la capa de IP (red). Durante el establecimiento del túnel, ambos extremos negocian los algoritmos de encriptación y autenticación a utilizar. Una vez que el túnel se ha negociado y está activo, los datos se cifran y encapsulan en paquetes ESP.
Encapsulación ESP ---- Modo túnel o transporte.
¿Qué está encapsulado? Depende del modo de encapsulación que se utilice. IPsec puede funcionar en dos modos, modo de transporte y modo de túnel. El modo de transporte encapsula y protege directamente la cuarta capa (transporte) y superior. El encabezado de IP original no está protegido y no se agrega agreg a ningún encabezado de IP adicional. El modo túnel es un verdadero túnel. Todo el paquete IP está encapsulado y se agrega un nuevo encabezado IP al principio. Una vez que el paquete IPsec llega a la LAN remota y se desenvuelve, el paquete original puede continuar su viaje.
Tenga en cuenta que después de eliminar los encabezados relacionados con VPN, un paquete de modo de transporte no se puede transmitir más, no tiene un segundo encabezado IP en su interior, por lo que no es enrutable. Por esa razón, este modo generalmente se usa solo para VPN de un extremo a otro (o de cliente a cliente).
¿Qué es IKE? Utiliza el puerto UDP 500 (y el puerto UDP 4500 al cruzar NAT). Negocia las claves privadas, la autenticación y el cifrado de un túnel. Etapas: o Fase 1. o Fase 2. Versiones: o IKEv1 (legado, adopción más amplia). o IKEv2 (adopción nueva y más sencilla).
IKE usa el puerto UDP 500. Si NAT-T está habilitado en un escenario NAT, IKE usa el puerto UDP 4500. IKE establece un túnel VPN IPsec. FortiGate usa IKE para negociar con el par y determinar la asociación de seguridad (SA) de IPsec. IPsec SA define la autenticación, aut enticación, las claves y la configuración que se utilizará para cifrar y descifrar los paquetes de ese par. Se basa en el Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP).
IKE define dos fases fase 1 y fase 2. Hay dos versiones de IKE: IKEv1 e IKEV2. Aunque IKEv2 es una versi versión ón más reciente y presenta una operación de protocolo más simple, esta lección se enfocará solo en IKEv1, debido a su adopción mucho más amplia. Negociación-SA. IKE permite a las partes involucradas en una transacción configurar sus SA. Las SA son la base para construir funciones de seguridad en IPsec. o En el tráfico bidireccional normal, el intercambio está protegido por un par de SA. o Los administradores de IPsec deciden los algoritmos de encriptación y autenticación o
que se pueden utilizar en el intercambio. IKE utiliza dos fases distintas: Resultado de la fase 1: IKE SA. o Resultado de la fase 2: IPsec SA. o
Para crear un túnel IPsec, ambos dispositivos deben establecer sus SA y claves secretas, que se facilitan mediante el protocolo IKE. La arquitectura de IPsec utiliza SA como base para construir funciones de seguridad en IPsec. Una SA es simplemente el conjunto de algoritmos y parámetros que se utilizan para cifrar y autenticar los datos que viajan a través del túnel. En el tráfico bidireccional normal, este intercambio está protegido por un par de SA. uno para cada sentido del tráfico Esencialmente, ambos lados del túnel deben acordar las reglas de seguridad. Si ambos lados no pueden ponerse de acuerdo sobre las reglas para enviar datos y verificar la identidad de los demás entonces no se establecerá el túnel. Los SA caducan y los pares deben renegociarlos una vez que hayan alcanzado su vida útil.
IKE utiliza dos fases distintas: fase 1 y fase 2. Cada fase negocia diferentes tipos de SA. La SA negociada durante la fase 1 se llama IKE SA y la SA negociada durante la fase 2 se llama IPsec SA. Las SA de IKE se utilizan para configurar un canal seguro para p ara negociar las claves que se utilizan para la negociación de SA de IPsec Las SA de IPsec se utilizan para cifrar y descifrar los datos enviados y recibidos, respectivamente, a través del túnel.
Topologías de VPN ---- Acceso remoto. Los usuarios remotos se conectan a los recursos corporativos. FortiGate está configurado como servidor de acceso telefónico; solo los clientes o pueden iniciar la VPN. Los usuarios necesitan un cliente VPN, como FortiClient. o
Los VPN de acceso remoto se utilizan cuando los usuarios de Internet remotos necesitan conectarse de forma segura a la oficina para acceder a los recursos re cursos corporativos. El usuario remoto se conecta a un servidor VPN ubicado en las instalaciones corporativas, como FortiGate, para establecer un túnel seguro. Una vez que el usuario está autenticado, FortiGate proporciona acceso a los recursos de la red, según los permisos otorgados a ese usuario. En una VPN de acceso remoto, FortiGate generalmente se configura como un servidor de acceso telefónico. Aprenderá más sobre las VPN de acceso telefónico en esta lección. La dirección IP del usuario de Internet remoto suele ser dinámica. Debido a que FortiGate no conoce la dirección IP del usuario remoto, solo el usuario remoto puede iniciar una solicitud de conexión VPN. En el lado del usuario remoto, se necesita un cliente VPN, como FortiClient. FortiClient debe configurarse para que coincida con la configuración del servidor VPN y se encarga de establecer el túnel, así como enrutar el tráfico destinado al sitio remoto a través del túnel. Además, una configuración de VPN de acceso remoto en su FortiGate se puede usar para muchos usuarios remotos, y para cada uno de ellos, se establece un túnel separado.
Topologías de VPN --- de sitio a sitio.
La VPN de sitio a sitio también se conoce como VPN de LAN a LAN. Una implementación simple de sitio a sitio involucra a dos pares que se comunican directament directamentee para conectar dos redes ubicadas en diferentes oficinas. Cuando es necesario conectar más de dos ubicaciones, se puede utilizar una topología de concentrador concentrad or y radio. r adio. En hub-and-spoke, todos los clientes se conectan a través de un hub central. En el ejemplo que se muestra en esta imagen, los radios de los clientes son dispositivos FortiGate de sucursales. Para que cualquier sucursal llegue a otra sucursal, su tráfico debe pasar por el concentrador. Una ventaja de esta topología es que la configuración necesaria es fácil de administrar. Otra ventaja es que solo FortiGate en HQ debe ser muy poderoso porque maneja todos los túneles simultáneamente, mientras que los dispositivos FortiGate de la sucursal requieren muchos menos recursos porque mantienen solo un túnel. Una desventaja es que la comunicación entre las sucursales a través de HQ es más lenta que en una conexión directa, especialmente si su HQ está físicamente distante. Además, si el FortiGate en HQ falla, la falla de la VPN afectará a toda la empresa En una topología de malla, puede conectar dispositivos FortiGate directamente y, por lo tanto, omitir HQ. Existen dos variaciones de topología de malla: malla completa y malla parcial. La malla completa conecta cada ubicación con cualquier otra ubicación. Cuanto mayor sea el número de dispositivos FortiGate, mayor será el número de túneles para configurar en cada FortiGate. Por ejemplo, en una topología con cinco dispositivos FortiGate, necesitaría configurar cuatro túneles en cada dispositivo, para un total de 20 túneles. Esta topología provoca menos latencia y requiere mucho menos ancho de banda HQ que el hub-and-speak, pero requiere que cada FortiGate sea más potente. La malla parcial intenta comprometer la minimización de los recursos necesarios, pero también la latencia. La malla parcial puede ser apropiada si no se requiere comunicación entre todas las ubicaciones. Sin embargo, la configuración de cada FortiGate es más compleja que en hub-andspeak. El enrutamiento, especialmente, puede requerir una planificación extensa.
Por lo general, cuantas más ubicaciones tenga, el concentrador y radio será más económico, pero más lento, que una topología de malla. La malla ejerce menos presión sobre la ubicación central, es más tolerante a fallas, pero también más cara.
Comparación de topologías VPN. Hub-and-Spoke Fácil configuración Pocos túneles Alto ancho de banda central
Malla parcial
Configuración moderada Número medio de túneles Ancho de banda medio en sitios concentradores No tolera fallas Alguna tolerancia a fallas Requisitos del sistema bajos Requisitos medios del sistema en promedio, pero altos para el centro Escalable Sin comunicación directa entre radios
Algo escalable Comunicación directa entre algunos sitios
Malla completa
Configuración compleja Muchos túneles Ancho de banda bajo Tolerante a fallos Requisitos de elevados
sistema
Difícil de escalar Comunicación directa entre todos los sitios
Para revisar, esta tabla muestra una comparación de alto nivel de topologías VPN. Debe elegir la topología que sea más adecuada para su situación.
VPN de descubrimiento automático (ADVPN). Negocia dinámicamente VPN directas bajo demanda entre radios. o Proporciona los beneficios de una topología de malla completa sobre una implementación de malla parcial o de concentrador y radio. Requiere el uso de un protocolo de enrutamiento para que los radios aprendan las o rutas a otros radios.
Cada topología de VPN tiene sus s us ventajas y desventajas. ADVPN es una función de FortiGate que logra los l os beneficios de una topología de malla completa con la configuración más sencilla y los beneficios de escalabilidad de las topologías de hub y radio y de malla parcial. Primero, agrega las configuraciones de VPN para construir una topología de concentrador y radio o una topología de malla parcial a los dispositivos FortiGate. Luego, habilita ADVPN en las VPN. ADVPN negocia dinámicamente túneles entre radios (sin tenerlos preconfigurados) para obtener los beneficios de una topología de malla completa. ADVPN requiere un protocolo de enrutamiento dinámico que se ejecute sobre los túneles Psec para que los radios puedan aprender las rutas a otros radios, después de que las VPN dinámicas hayan negociado.
Verificación de conocimientos. 1. ¿Qué protocolo IPsec no es compatible con FortiGate? A. IKEv2. B. AH.
2. ¿Qué topología de VPN es la más tolerante a fallos? A. Malla completa.
B. Hub-and-spoke.
Asistente de IPsec.
Cuando crea un túnel IPsec en la GUl, FortiGate lo redirige al Asistente de IPsec. El asistente simplifica la creación de la nueva VPN al guiarlo a través de un proceso de tres a cuatro pasos. El primer paso es seleccionar un tipo de plantilla. Si desea configurar manualmente su VPN, puede seleccionar Personalizado como tipo de plantilla, tras lo cual FortiGate lo lleva directamente a la configuración de la fase 1 y la fase 2 de la nueva VPN. Si desea que el asistente configure la VPN por usted, selecc seleccione ione el tipo de plantilla plan tilla (Sitio a sitio, Huband-Spoke o Acceso remoto) que mejor se adapte a su VPN. Después de esto. el asistente le pedirá información clave, como la información de la puerta de enlace remota, el método de autenticación, las interfaces involucradas y las subredes en función de la entrada que proporcionó, el asistente aplica una de las plantillas de túnel IPsec I Psec pre configuradas que comprenden configuracione configuracioness de fase 1 y 2 de IPsec, y otros objetos de dirección de firewall relacionados, configuraciones de enrutamiento y políticas de firewall necesarias para que funcione el nuevo túnel.
Además, el asistente muestra un diagrama de red que cambia según la entrada proporcionada. El propósito del diagrama es que el administrador tenga una u na comprensión visual de la implementación de VPN IPsec que el asistente configurará en función de la entrada recibida. Al final del asistente, el asistente proporciona un resumen de los cambios de configuración realizados en el sistema y que el administrador puede revisar si es necesario. Si es nuevo en FortiGate o no tiene mucha experiencia con las VPN IPsec, se recomienda utilizar el asistente de IPsec. Posteriormente, puede ajustar la configuración aplicada por el asistente para que coincida con sus necesidades específicas.
Usando el asistente de IPsec para FortiClient VPN. Simplifica la configuración de IPsec para FortiClient VPN.
Un uso común del asistente de IPsec es configurar una VPN de acceso remoto para los usuarios de FortiClient. Aprenderá más sobre la configuración del modo IKE y XAuth XA uth en esta lección. Las imágenes anteriores muestran el proceso de cuatro pasos utilizado por el asistente de IPsec para asignar al administrador la configuración de FortiClient VPN.
Plantillas de Túneles IPsec.
El asistente de IPsec utiliza una de las plantillas que se muestran en esta imagen al aplicar la configuración para el nuevo túnel IPsec. Puede revisar la configuración de una plantilla seleccionando la plantilla y luego haciendo clic en Ver. La configuración de la plantilla no se puede cambiar.
Fase 1: descripción general. Cada par del túnel, el iniciador y el respondedor, se conecta y comienza a configurar la VPN. En la primera conexión, el canal no es seguro. o Las claves no cifradas se pueden interceptar. Para intercambiar claves privadas confidenciales, ambos pares crean un canal seguro. Ambos pares negociarán las claves reales para el túnel más tarde. o
La fase 1 tiene lugar cuando cada par del túnel, el iniciador y el respondedor, se conecta y comienza a configurar la VPN. El iniciador es el par que inicia la negociación de la fase 1, mientras que el respondedor es el par que responde a la solicitud del iniciador. i niciador. Cuando los pares se conectan por primera vez, el canal no es seguro. Un atacante en el medio podría interceptar claves no cifradas. Ninguno de los pares tiene tie ne una garantía sólida de la identidad de los demás, entonces, ¿cómo pueden intercambiar claves privadas sensibles? No pueden. Primero, ambos pares crean un canal seguro. Utilizarán este canal seguro para proteger la autenticación fuerte y negociarán las claves reales para el túnel más tarde.
Fase 1: cómo funciona. 1. 1. Autenticar compañeros. Clave previamente compartida o firma digital. Autenticación extendida (XAuth). 2. 2. Negociar una SA bidireccional (denominada IKE SA). En IKE v1, dos formas posibles: o Modo principal. Modo agresivo. o No es lo mismo que IPsec SA. Túnel cifrado para Diffie-Hellman (DH). 3. 3. DH intercambio de claves secretas.
Ahora examinará cómo funciona la fase 1. El propósito de la fase 1 es autenticar a los pares y configurar un canal seguro para negociar las SA de la fase 2 (o SA IPsec) que luego se utilizan para cifrar y descifrar el tráfico entre los pares. para establecer este canal seguro, los pares negocian una SA de fase 1. Esta SA se denomina IKE SA y es bidireccional. Para autenticarse entre sí, los pares utilizan dos métodos: clave precompartida o firma digital. También se puede habilitar un método de autenticación adicional, XAuth, para mejorar la autenticación. En IKE v1, hay dos modos posibles en los que puede tener lugar la negociación de IKE SA: modo principal y modo agresivo. Los ajustes en ambos extremos deben coincidir; de lo contrario, la negociación de la fase 1 fallará y ambos pares de IPsec no podrán establecer un canal seguro. Al final de la fase 1, la SA IKE I KE negociada se utiliza para negociar las claves DH que se utilizarán en la fase 2. DH utiliza la clave pública (que ambos extremos conocen) más un factor matemático llamado nonce, para generar una llave privada común. Con DH, incluso si un atacante puede escuchar los mensajes que contienen las claves públicas, no puede determinar la clave secreta.
Fase 1 - Red.
La configuración de la Fase 1 se divide en la GUI en cuatro secciones: Red, Autenticación, Propuesta de Fase 1 y XAUTH. Aprenderá sobre la configuración disponible en cada sección. Para algunos de ellos, habrá diapositivas separadas para discutirlos con más detalle. La sección que se muestra en esta imagen corresponde a la configuración de red. La sección incluye la configuración relacionada con la conectividad del túnel IPsec: Versión de IP: seleccione la versión de IP que se utilizará para el túnel IPsec. Tenga en cuenta que esto solo define la versión IP de la capa exterior del túnel (después de la encapsulación). Los paquetes que se encapsulan (tráfico protegido) pueden ser IPv4 o IPv6, y su versión de IP se define en los selectores de la fase 2. Puerta de enlace remota: define el tipo de puerta de enlace remota. Hay tres tipos: dirección IP estática, usuario de acceso telefónico y DNS dinámico. Aprenderá más sobre estos tipos en esta lección. Dirección IP: Dirección IP de la puerta de enlace remota Este campo solo aparece cuando selecciona Dirección IP estática como Puerta de enlace remota. Interfaz: Se refiere a la interfaz donde termina el túnel IPsec en el FortiGate local. Por lo general, esta es la interfaz conectada a Internet o WAN. Debe asegurarse de que haya una ruta activa a la puerta de enlace remota a través de esta interfaz; de lo contrario, el túnel
no se activará. Puerta de enlace local: habilite esta configuración cuando la interfaz donde termina el túnel tenga varias direcciones asignadas y desee especificar qué dirección usar para el túnel. Cuando habilite esta configuración, verá tres opciones: IP principal, IP secundaria y Especificar. Seleccione Especificar si desea utilizar utili zar una dirección IP diferente de la dirección IP principal o secundaria. Mode Config: habilita la configuración automática a través de IKE. FortiGate actúa como cuando habilita la configuración del Modo Config y cliente de configuración del modo IKE cuando configura la puerta de enlace remota en dirección IP estática o DNS dinámico. Si configura una puerta de enlace remota en Dialup User, FortiGate actúa como servidor de configuración del modo IKE y aparecen más opciones de configuración en la GUL. Aprenderá más sobre Mode Config en esta lección.
A continuación, se muestran las otras opciones disponibles en la GUI para la sección Red. NAT Traversal. Controla el comportamiento de NAT transversal. tr ansversal. Aprenderá más sobre NAT transversal en esta lección. Frecuencia de Keepalive. Cuando el cruce de NAT está habilitado, FortiGate enviará sondas de estado activo a la frecuencia fr ecuencia configurada. configurada.
Detección de pares muertos. La detección de pares muertos (DPD) se utiliza para detectar túneles muertos. Hay tres modos DPD. On Demand es el modo predeterminado. Aprenderá más sobre DPD en esta lección. Corrección de errores hacia adelante. La corrección de errores de reenvío (FEC) es una técnica que se puede utilizar para reducir el número de retransmisiones en túneles IPsec establecidos sobre enlaces no fiables, a expensas de utilizar más ancho de banda. FEC se puede habilitar en la salida y la entrada, y solo se admite cuando la descarga de hardware IPsec está deshabilitada. Aprenderá más sobre la descarga de hardware IPsec en esta lección. Avanzado: o Creación de dispositivos. Cuando está habilitado, el kernel crea una interfaz para cada cliente de acceso telefónico. Para implementaciones con una gran gr an cantidad de clientes de acceso telefónico, desactive la creación de dispositivos para lograr un
o
mayor rendimiento. Miembro agregado. FortiGate le permite agregar múltiples túneles IPsec en una sola interfaz Habilite esta opción si desea que el túnel se convierta en un miembro agregado.
Fase 1 - Red - Puerta de enlace remota. Usuario de acceso telefónico Dos roles: servidor de acceso telefónico y cliente. El servidor de acceso telefónico no conoce la dirección del cliente. El cliente de acceso telefónico es siempre el iniciador. Compañeros de VPN: FortiGate a FortiClient (o cliente de terceros). FortiGate a FortiGate (o puerta de enlace de terceros).
Dirección IP estática / DNS dinámico. El DNS dinámico usa FQDN. Se conoce la dirección del par remoto. El par local puede ser iniciador o respondedor. Compañeros de VPN: FortiGate a FortiGate (o puerta de enlace de terceros)
Tiene tres opciones al configurar el tipo de puerta de enlace remota de su VPN: usuario de acceso telefónico, dirección IP estática y DNS dinámico. El usuario de acceso telefónico se utiliza cuando se desconoce la dirección IP del par remoto. El par remoto cuya dirección IP se desconoce actúa como cliente de acceso telefónico, y este suele ser el caso de las sucursales y los clientes de VPN móviles que utilizan direcciones IP dinámicas y no DNS dinámico. cliente de acceso telefónico debe conocer IP o FODN del gateway remoto, que actúa El como servidor de acceso telefónico. Debidolaadirección que el servidor de acceso telefónico no conoce la dirección de los pares remotos, solo el cliente de acceso telefónico puede iniciar el túnel VPN. Por lo general, los clientes de acceso telefónico son empleados móviles y remotos con FortiClient en su computadora o dispositivos portátiles. También puede tener un dispositivo FortiGate que actúe como un cliente de acceso telefónico para una oficina remota. Una configuración de servidor de acceso telefónico en su FortiGate se puede utilizar para múltiples túneles IPsec desde muchas oficinas o usuarios remotos. La dirección IP estática o el DNS dinámico se utilizan cuando conoce la dirección del par remoto. Si selecciona una dirección dirección IP estática, debe proporcionar una dirección IP. Si selecciona DNS dinámico, debe proporcionar nombre de dominio completo (FQDN) ydel asegurarse de que pueda resolver ese FODN. un Cuando ambos pares conocen la dirección par remoto, estoFortiGate es, la puerta de enlace remota en ambos pares está configurada para una dirección IP estática o DNS dinámico, entonces cualquier cualquier par puede iniciar el túnel VPN. Tenga en cuenta que, en una configuración de acceso telefónico, el cliente de acceso telefónico es solo un par VPN con la puerta de enlace remota, configurado en una dirección IP estática o DNS dinámico. Al configurar su VPN, puede combinar diferentes tipos de puertas de enlace remotas. Por razones obvias, un túnel en el que ambos pares tienen la puerta de enlace remota configurada para el usuario de acceso telefónico no funcionará.
Fase 1 - Red - Configuración del modo IKE. Al igual que DHCP, configura automáticamente la configuración de la red virtual de los l os clientes VPN. De forma predeterminada, las VPN de FortiClient lo usan para recuperar la configuración de su dirección IP de VPN de FortiGate. La configuración de modo debe estar habilitada en ambos pares.
La configuración del modo IKE es similar a DHCP, porque un servidor asig asigna na la configuración de red, como la dirección IP, la máscara de red y los servidores DNS, a los clientes. Esta asignación se realiza a través de mensajes IKE. Cuando habilita la configuración del modo en un FortiGate que actúa como servidor de acceso telefónico, envía laser configuración de red apero los clientes accesoser telefónico. clientes de acceso telefónico suelen pares de Forticlient, tambiéndepueden pares deLos FortiGate. Para que la configuración del modo IKE funcione, debe habilitar la función en ambos pares. En FortiClient, la configuración del modo está habilitada de forma predeterminada, pero en FortiGate, debe habilitarla manualmente. Tenga en cuenta que los ajustes de configuración del modo IKE solo se muestran en la GUI cuando la puerta de enlace remota está configurada como usuario de acceso telefónico. En FortiGate que actúa como cliente de acceso telefónico, puede marcar la opción Configuración de modo en la GUI, pero no se mostrarán m ostrarán configuraciones adicionales.
Fase 1 – Red - NAT Traversal (NAT-T). ESP no puede admitir NAT porque no tiene números de puerto. Si NAT Traversal se establece en Habilitar, detecta si existen dispositivos NAT en la ruta. o En caso afirmativo, tanto el ESP como el IKE utilizan el puerto UDP 4500. o Recomendado si el iniciador o el respondedor están detrás de NAT. Si NAT Traversal se establece en Forzado: o ESP e IKE siempre usan el puerto UDP 4500, incluso cuando no hay dispositivos NAT en la ruta. Las sondas de Keepalive se envían con frecuencia para mantener activa la conexión entre los enrutadores.
El protocolo ESP generalmente tiene problemas para cruzar dispositivos que realizan NAT. Una de las razones es que ESP no tiene números de puerto, como lo hacen TCP y UDP, para diferenciar el tráfico de un túnel u otro. Para solucionar esto, se agregó NAT transversal (NAT-T) a las especificaciones de IPsec. Cuando NAT-T está habilitado en ambos extremos, los pares pueden detectar cualquier dispositivo NAT a lo largo de la ruta. Si se encuentra NAT, ocurre lo siguiente en ambos pares: La negociación IKE cambia para usar el puerto UDP 4500.
Los paquetes ESP se encapsulan en el puerto UDP 4500.
Por lo tanto, si tiene dos dispositivos FortiGate que están detrás, por ejemplo, un módem ISP que tiene NAT, probablemente necesitará habilitar esta configuración. Cuando la configuración de NAT Traversal se establece en Forzado, siempre se usa el puerto UDP 4500, incluso cuando no hay ningún dispositivo NAT en la ruta. Cuando NAT-T está habilitado, la opción Keepalive Frequency muestra el intervalo (en segundos) en el que FortiGate envía sondas de keepalive. Necesita NAT-T cuando hay uno o más m ás enrutadores a lo largo de la ruta que realizan NAT. El propósito de las sondas keepalive es mantener activa la conexión lPsec a través de esos enrutadores a lo largo de la ruta.
Fase 1 - Detección de pares muertos en red (DPD). Mecanismo para detectar un túnel muerto. Útil en VPN redundantes, donde hay disponibles múltiples rutas.
Modos de árbol: Bajo demanda : las sondas DPD se envían cuando no hay tráfico entrante. o En reposo: las sondas DPD se envían cuando no hay tráfico. o Desactivar: solo responder a las sondas DPD, no enviar sondas. o
Después de que se negocian las SA de IPsec de un túnel y, por lo tanto, el túnel se considera activo, los pares no suelen negociar otra SA de IPsec hasta que expira. En la mayoría de los casos, IPsec SA caduca cada pocas horas. Esto significa que, si hay una interrupción de la red a lo largo de la ruta del túnel antes de que expire IPsec SA, los pares continuarán enviando tráfico a través del túnel, aunque se interrumpa la comunicación entre los sitios. Cuando DPD está habilitado, se envían sondas DPD para detectar un túnel fallado (o inactivo) y derribarlo antes de que expiren sus SA IPsec. Este mecanismo de detección de fallas es muy útil cuando tiene rutas redundantes al mismo destino y desea realizar una conmutación por error para una conexión de respaldo cuando la conexión principal falla para mantener la conectividad entre los sitios. FortiGate admite tres modos DPD:
Bajo demanda: FortiGate envía sondas DPD si solo hay tráfico saliente a través del túnel, pero no
entrante. Debido a que las aplicaciones de red suelen ser bidireccionales, observar solo el tráfico en la dirección de salida podría ser una indicación de una falla en la rred. ed. En reposo: FortiGate envía sondas DPD cuando no se observa tráfico en el túnel. Un túnel inactivo
no significa necesariamente que el túnel esté muerto. Evite este modo si tiene muchos túneles, porque la sobrecarga introducida por DPD puede consumir muchos m uchos recursos. Deshabilitado: FortiGate solo responde a las sondas DPD recibidas. FortiGate nunca envía sondas
DPD al par remoto y, por lo tanto, no puede detectar un túnel muerto. El modo DPD predeterminado es On Demand. En términos de escalabilidad, On Demand es una mejor opción que On Idle.
Fase 1: autenticación.
Ahora, aprenderá sobre la sección Autenticación en la configuración de la fase 1: Método: FortiGate admite dos métodos de autenticación, clave y firma precompartidas. Cuando selecciona Clave previamente compartida, ambos pares deben configurarse con la misma clave previamente compartida. Cuando seleccionas seleccionas Firma, la autenticación de fase 1 se basa en firmas
de certificados digitales. Con este método, la firma digital de un par se valida mediante m ediante la presencia del certificado CA instalado en el otro par. Esto es, en el par local, debe instalar tanto el certificado de pares locales como el certificado de CA que emitió el certificado de par remoto Versión: le permite seleccionar la versión de IKE a utilizar. Al seleccionar la versión 2, los modos
agresivo y principal desaparecen porque no se aplican a IKEv2. Modo : se refiere al modo IKEv1.modos Hay dos disponibles: agresivo y principal (protección de ID). Aprenderá más sobre estos enopciones esta lección. l ección.
Fase 1 - Autenticación - Modos. Principal. Más seguro. Negociación más lenta (seis paquetes intercambiados). Se utiliza principalmente para sitio a sitio.
Agresivo. No es tan seguro como el modo principal. Negociación más rápida (tres paquetes intercambiados). Se utiliza principalmente para acceso telefónico.
IKE admite dos modos de negociación diferentes: principal y agresivo. ¿Cuál deberías utilizar? Para responder a esa pregunta, podemos analizar tres categorías: seguridad, rendimiento e implementación. En cuanto a la seguridad, el modo principal se considera más seguro porque el hash de la clave precompartida se intercambia cifrado, mientras que, en el modo agresivo, el hash se intercambia sin cifrar, el hecho de que el hash de la clave previamente compartida se haya cifrado en modo principal reduce considerablemente las posibilidades de un ataque exitoso. En términos de rendimiento, el modo agresivo puede ser una mejor opción. Esto se debe a que la negociación se completa después de que solo se intercambian tres paquetes, mientras que, en el modo principal, se intercambian seis paquetes. Por esta razón, es posible que desee utilizar el modo agresivo cuando una gran cantidad de túneles terminan en el mismo dispositivo FortiGate y el rendimiento es una preocupación. Otro caso de uso para el modo agresivo es cuando hay más de un túnel de acceso telefónico que termina en la misma dirección IP de FortiGate y el par remoto se autentica mediante un par ID porque su dirección IP es dinámica. Debido a que la información de ID de peer se envía en el primer paquete en una negociación de modo agresivo, FortiGate puede hacer coincidir al peer remoto con el túnel de acceso telefónico correcto. Esto último no es posible en el modo principal porque la información de ID de peer se envía en el último paquete, y después de que se haya identificado el túnel. Sin embargo, si desea implementar túneles IPsec de sitio a sitio, y para cada túnel, FortiGate está configurado con la dirección IP del par remoto, entonces FortiGate puede identificar a los pares remotos por sus direcciones IP y, como resultado, asociarlos a la l a dirección correcta del túnel IPsec.
Fase 1 - Propuesta de fase 1.
Ahora, conocerá la sección Propuesta de fase 1 sobre la configuración de la fase 1. Esta sección le permite habilitar las diferentes propuestas que FortiGate soporta a la hora de negociar el IKE SA (o fase 1 SA). Puede combinar diferentes parámetros para satisfacer sus necesidades de seguridad. Debe configurar al menos una combinación de algoritmos de cifrado y autenticación, o varios.
Cifrado: seleccione el algoritmo que se utilizará para cifrar y descifrar los datos. Autenticación: seleccione el algoritmo de autenticación que se utilizará para verificar la integridad y autenticidad de los datos. Grupos Diffie-Hellman: Habilitar Diffie-Hellman (DH) es opcional pero recomendable. Cuando habilita DH, las claves secretas utilizadas en la fase 2 se intercambian de una manera más segura. Vida útil de la clave: defina la vida útil de IKE SA. Al final de la vida útil, se negocia una nueva IKE SA.
Identificación local: si el par acepta una identificación de par específica, ingrese la misma identificación de par en este campo.
Fase 1: autenticación extendida (XAuth). XAuth agrega una autenticación más sólida: nombre de usuario + contraseña. Puede autorizar a todos los usuarios que pertenecen a un grupo de usuarios específico o que heredan de la política de coincidencia.
La fase 1 admite dos tipos de autenticación: claves previamente compartidas y firmas digitales. La extensión XAuth, a veces denominada fase 1.5, obliga a los usuarios remotos a autenticarse adicionalmente con sus credenciales (nombre de usuario y contraseña). Por lo tanto, se intercambian paquetes de autenticación adicionales si la habilita. ¿Cuál es el beneficio? Autenticación más sólida. Cuando Remote Gateway está configurado en Dialup User, FortiGate actúa como el servidor de autenticación y la sección XAUTH muestra las opciones de tipo de servidor de autenticación: PAP Server, CHAP Server y Auto Server. En el ejemplo que se muestra en esta diapositiva, se selecciona Auto Server, lo que significa que FortiGate detecta automáticamente el protocolo de autenticación utilizado por el cliente. Después de seleccionar el tipo de servidor de autenticación, configura cómo se realiza la coincidencia coincidenc ia de grupos de usuarios. Hay dos opciones Heredar de la política y Elegir. Este último se utiliza en el ejemplo de esta diapositiva y le permite seleccionar uno de los grupos de usuarios disponibles en FortiGate. Tenga en cuenta que, cuando selecciona Elegir, debe configurar una VPN de acceso telefónico independiente para cada grupo de usuarios que requieran una política de acceso a la red diferente. La otra forma de autenticar a los usuarios de VPN con XAuth es seleccionando Heredar de la política. Cuando selecciona esta opción, FortiGate autentica a los usuarios según su política IPsec coincidente y como resultado. la configuración para controlar el acceso a la red es más sencilla. Es decir, usted controla el acceso a la red configurando múltiples políticas para diferentes grupos de usuarios, en lugar de configurar múltiples túneles para diferentes grupos de usuarios. La opción Heredar de la política sigue un enfoque de autenticación similar que se utiliza para los usuarios remotos de SSL VPN. Aprenderá más sobre s obre SSL VPN en otra lección. Cuando Remote Gateway está configurado en Static IP Address o Dynamic DNS, FortiGate actúa como el cliente, y la sección XAUTH muestra la opción Client como Type. Luego, puede configurar las credenciales que FortiGate usa para autenticarse contra el par remoto a través de XAuth.
Fase 2 – Como funciona. Negocia dos SA IPsec unidireccionales para ESP. o Protegido por IKE SA fase 1. Cuando las SA de IPsec están a punto de vencer, se renegocia. Opcionalmente, si se habilita Perfect Forward Secrecy, FortiGate usa DH para o generar nuevas claves cada vez que expira la fase 2. Cada fase 1 puede tener varias fases 2. Las subredes de alta seguridad pueden tener un ESP más fuerte. o
Una vez que la fase 1 ha establecido un canal seguro para intercambiar datos, comienza la fase 2. La fase 2 negocia los parámetros de seguridad para dos SA de IPsec a través del canal seguro establecido durante la fase 1. ESP utiliza las SA de IPsec para cifrar y descifrar el tráfico intercambiado entre sitios. La fase 2 no termina cuando comienza el ESP. La fase 2 renegocia periódicamente las SA de IPsec para mantener la seguridad. Si habilita Perfect Forward Secrecy, cada vez que expire la fase 2, FortiGate usará DH para recalcular nuevas claves secretas. De esta manera, las claves nuevas no se derivan de claves más antiguas, lo que dificulta mucho más que un atacante rompa el túnel. Cada fase 1 puede tener varias fases 2. ¿Cuándo pasaría esto? Por ejemplo, es posible que desee utilizar diferentes claves de cifrado para cada subred cuyo tráfico cruza el túnel. ¿Cómo selecciona FortiGate qué fase 2 usar? Comprobando qué selector de fase 2 (o selector de modo rápido) coincide con el tráfico.
Fase 2 - Selectores de fase 2. Determina el dominio de cifrado. Se pueden configurar varios o
selectores para un control granular. Si el tráfico no coincide con un o selector, se descarta. En las VPN de punto a punto, los o selectores deben coincidir. La fuente en un FortiGate es la configuración de destino en el otro. Seleccione qué selector usar usando: o Dirección local y remota. o Número de protocolo.
o
Puerto local y puerto remoto.
En la fase 2, debe definir el dominio de cifrado (o tráfico interesante) de su túnel IPsec El dominio de cifrado se refiere al tráfico que desea proteger con IPsec, y está determinado por la configuración del selector de la fase 2 Puede configurar varios selectores para tener un control más granular sobre el tráfico. Cuando configura un selector de fase 2, especifica el dominio de cifrado indicando los siguientes parámetros de red: Dirección local y dirección remota: como se muestra en el ejemplo que se muestra en esta
diapositiva, puede definir direcciones IPv4 o IPv6 utilizando diferentes ámbitos de dirección. Al seleccionar Dirección nombrada o Dirección IPv6 nombrada, FortiGate le permite seleccionar un objeto de dirección de firewall IPv4 o IPv6, respectivamen r espectivamente, te, configurado en el sistema. Protocolo: se muestra en la sección Avanzado y está configurado en Todos de forma predeterminada Puerto local y puerto remoto: También se muestra en la sección Avanzado y se establece en Todos de forma predeterminada. Solo se aplica al tráfico basado en puertos como TCP o UDP. Aprenderá más sobre la sección Avanzado en esta lección. Tenga en cuenta que después de que el tráfico sea aceptado por una política de fi firewall, rewall, el tráfico se antes de ingresar túnel IPsec el tráfico coincide con ninguno de loscon selectores de eliminará fase 2 configurados. Por estaalrazón, por losigeneral, esno más intuitivo filtrar el tráfico políticas de firewall. Por lo tanto, si no desea usar el filtrado del selector de fase 2, puede crear un selector de fase 2 con la l a dirección local y remota configurada en cualquier subred, como en el ejemplo que se muestra en esta diapositiva, y luego usar políticas de firewall para controlar qué tráfico se acepta a cepta en el túnel IPsec. Además, los parámetros de red del selector de fase 2 en ambos pares deben coincidir si el túnel es de punto a punto. Eso es cuando la puerta de enlace remota no está configurada para el usuario de acceso telefónico.
Fase 2 - Propuesta de la Fase 2. Determina los algoritmos de cifrado. o Se pueden configurar múltiples propuestas para mayor flexibilidad. Afecta el rendimiento y la o descarga de hardware.
La detección de repetición se puede
habilitar para proteger contra ataques de repetición ESP. o Configuración local.
Para cada selector de fase 2, debe configurar una o más propuestas de fase 2. Una propuesta de fase 2 define los algoritmos admitidos por el par para par a cifrar y descifrar los datos a través del túnel. Puede configurar varias propuestas para ofrecer más opciones al par remoto al negociar las SA de IPsec. Al igual que en la fase 1, debe seleccionar una combinación de algoritmos de autenticación y cifrado. Algunos algoritmos se consideran más seguros que otros, así que asegúrese de seleccionar los algoritmos que se ajusten a su política de seguridad. Sin embargo, tenga en cuenta que la selección de los algoritmos tiene un impacto directo en el rendimiento de FortiGate IPsec. Por ejemplo, se sabe que 3DES es un algoritmo algori tmo de cifrado mucho más intensivo en recursos que DES y AES, lo que significa sig nifica que su rendimiento de IPsec podría verse afectado negativamente si selecciona 3DES como algoritmo de cifrado. Además, tenga en cuenta que si selecciona NULL como algoritmo de cifrado, el tráfico no se cifra. Además, algunos algoritmos de cifrado, como CHACHA20POLY1305, no son compatibles con la descarga de hardware. Es decir, si tiene un dispositivo FortiGate que contiene unidades de procesador de red (NP), puede lograr un mayor rendimiento de IPsec si selecciona un algoritmo que sea compatible con la descarga de IPsec por su modelo NP ASIC, como AES o DES. Para obtener una lista de los algoritmos de cifrado admitidos para la descarga de hardware IPsec, consulte https://docs.fortinet.com. Al configurar la propuesta de fase 2, puede marcar la opción Habilitar detección de reproducción para detectar ataques antirreproducción en paquetes ESP. Tenga en cuenta que este es un escenario local y, por lo tanto, no se incluye como parte de las propuestas presentadas por el par durante la fase 2 de negociación. Además, si habilita Perfect Forward Secrecy, FortiGate utiliza DH para mejorar la l a seguridad durante la negociación de las SA de IPsec. IP sec. IPsec SA caduca según la cantidad de: Segundos (basado en el o
tiempo). (basado en volumen). Kilobytes o Ambos (el que expire primero). No es necesario que los umbrales de duración de las claves coincidan para que surja el túnel. La negociación automática evita la interrupción causada por la renegociación de SA. Autokey Keep Alive mantiene el túnel en funcionamiento. o
Las SA de IPsec se renegocian periódicamente para mejorar la seguridad, pero ¿cuándo sucede? Depende de la configuración de la vida útil de la clave configurada en la propuesta de la fase 2. El vencimiento de una SA de IPsec está determinado por el tipo de vida útil y el umbral configurado. De forma predeterminada, la duración de la clave se establece en segundos (basado en el tiempo). Esto significa que cuando la duración del SA alcanza la cantidad de segundos establecida como Segundos, el SA se considera vencido. También puede establec establecer er la vida útil de la clave en Kilobytes (basada en volumen), tras la cual el SA expira después de que la cantidad de tráfico cifrado y descifrado con ese SA alcanza el umbral establecido. Alternativamente, puede seleccionar Ambos como el tipo de vida útil de la clave, en el que FortiGate rastrea tanto la duración del SA como la cantidad de tráfico. Luego, cuando se alcanza cualquiera de los dos umbrales, el SA se considera vencido. Tenga en cuenta que los umbrales de vida útil de las claves no tienen que coincidir para que aparezca el túnel. Cuando los umbrales son diferentes, los pares acuerdan utilizar el valor de umbral más bajo ofrecido entre los dos Cuando vencen las SA de IPsec, FortiGate necesita negociar nuevas SA para continuar enviando y recibiendo tráfico a través del túnel de IPsec. Técnicamente, FortiGate elimina las SA caducadas de los respectivos selectores de fase 2 e instala otras nuevas. Si la renegociación de IPsec SA lleva demasiado FortiGate eliminar el tráfico interesante Cuando debido ahace la ausencia de SA activas. Paratiempo, evitar esto, puedepuede habilitar Negociar automáticamente. esto, FortiGate no solo negocia nuevas SA antes de que expiren las SA actuales, sino que también comienza a utilizar las nuevas SA de inmediato. Este último evita la interrupción del tráfico por la renegociac r enegociación ión de IPsec SA. Otro beneficio de habilitar la negociación automática es que el túnel sube y permanece activo automáticamente, incluso cuando no hay tráfico interesante. Cuando habilita Autokey Keep Alive y mantiene Auto-negociación deshabilitada, deshabilitada, el túnel no se abrirá automáticamente a menos que haya tráfico interesante. Sin embargo, una vez que el túnel está activo, permanece así porque FortiGate envía periódicamente paquetes de mantenimiento activo a través del túnel. Tenga en cuenta que cuando habilita Negociar automáticamente, Autokey Keep Alive A live está habilitado implícitamente.
Descarga de hardware IPsec. En algunos modelos de FortiGate, puede descargar el cifrado y descifrado IPsec al hardware. Las capacidades de descarga de hardware y los algoritmos admitidos varían por tipo de proceso y modelo. De forma predeterminada, la descarga está habilitada para los algoritmos compatibles o Puede deshabilitar manualmente la descarga
config vpn ipsec phasel-interface edit ToRemote set npu-offload enable | disable end
Deshabilite la descarga si FEC está habilitado
En algunos modelos de FortiGate, puede descargar el cifrado y descifrado del tráfico IPsec al hardware. Los algoritmos admitidos dependen del modelo y tipo de procesador de la unidad que está descargando el cifrado y el descifrado. Para obtener una lista de los algoritmos de cifrado admitidos para la descarga de hardware IPsec, consulte https: /docsfo /docsfortimet.com. rtimet.com. De forma predeterminada, la descarga de hardware está habilitada para los algoritmos compatibles. Esta diapositiva muestra los comandos que puede usar para deshabilitar la descarga de hardware por túnel, si es necesario. ne cesario. Por último, si desea utilizar FEC para túneles IPsec, debe deshabilitar la descarga de IPsec para que la función funcione.
Verificación de conocimientos. 1. ¿Qué tipo de peer VPN no puede iniciar un túnel VPN? A. Servidor de acceso telefónico.
B. Cliente de acceso telefónico. 2. ¿En qué fase configura los algoritmos algori tmos utilizados para el cifrado del tráfico? A. Fase 1. B. Fase 2.
3. ¿Qué modo de negociación IKEv1 es más rápido? A. Agresivo.
B. Principal.
VPN IPsec basadas en rutas. Tipos de VPN IPsec: Basado en enrutamiento. o
virtual para cada VPN: coincidencia de VPN basada en Interfaz enrutamiento. o Basado en políticas. coincidencia de VPN según la política. No recomendado. Heredado: coincidencia Beneficios de las VPN basadas en rutas: o Operación y configuración más simples. Redundancia. o Soportado por: LTP2 sobre IPsec. GRE sobre IPsec. Protocolos de enrutamiento dinámico.
FortiGate admite dos tipos de VPN IPsec: basadas en enrutamiento y basadas en políticas. La basada en políticas es una VPN IPsec heredada que solo se admite por razones de compatibilidad con versiones anteriores y no se recomienda su uso para nuevas implementaciones. A menos que se
indique lo contrario, todas las referencias de VPN VP N IPsec en esta llección ección son para VPN IPsec basadas en rutas. En una VPN IPsec basada en rutas, FortiGate agrega automáticamente una interfaz virtual con el nombre de la VPN. Esto significa que no solo puede configurar políticas de enrutamiento y firewall para el tráfico IPsec de la misma manera que lo hace para el tráfico que no es IPsec, sino que también puede aprovechar la presencia de múltiples conexiones al mismo destino para lograr la redundancia. Otro beneficio de las VPN IPsec basadas en rutas es que puede implementar variaciones de VPN IPsec como LT2P Over-lPsec y GRE-over-Psec. Además, también puede habilitar protocolos de enrutamiento dinámico con fines de escalabilidad y selección de la mejor ruta.
Rutas para IPsec VPN. Usuario de acceso telefónico config vpn ipsec phase1-interface edit "Dialup" set add-route enable | disable next end
(predeterminado). (predeterminado). o No es necesario configurar rutas estáticas. o Las rutas estáticas se agregan después de que finaliza la fase 2. El destino es la red local presentada por el cliente de acceso telefónico durante la fase 2 de negociación. La distancia de ruta predeterminada es 15. Las rutas estáticas se eliminan después de que finaliza la fase 2. o add-route está deshabilitado. o Útil cuando se usa el protocolo de enrutamiento dinámico. o El protocolo de enrutamiento dinámico se encarga de las actualizaciones de enrutamiento.
add-route está habilitado
Dirección IP estática / DNS dinámico. Se necesitan rutas estáticas.
Aunque puede usar protocolos de enrutamiento dinámico para IPsec VPN, esta lección solo cubre el uso de rutas estáticas. La configuración de enrutamiento necesaria para su VPN IPsec depende del tipo de puerta de enlace remota configurada. Cuando la puerta de enlace remota está configurada en Usuario de acceso
telefónico y la opción add-route está habilitada, FortiGate agrega automáticamente una ruta estática
para la red local presentada por el par remoto durante la fase 2 de negociación. Además, la ruta se agrega a la tabla de enrutamiento solo después después de que la fase 2 está activa. Si la fase 2 baja, la ruta estática se elimina de la tabla de enrutamiento. Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico y add-route está deshabilitado, FortiGate no agrega rutas estáticas automáticamente. En este caso, se utiliza un protocolo de enrutamiento dinámico entre los pares remotos para intercambiar información de enrutamiento. Cuando la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, debe configurar rutas estáticas. Cuando configura la ruta estática, selecciona la interfaz virtual del túnel IPsec como la interfaz de salida.
Políticas de firewall para IPsec VPN. Se necesita al menos una política de firewall para que surja un túnel. Por lo general, se configuran dos políticas de firewall para cada túnel.
Debe configurar al menos una política de cortafuegos que acepte tráfico en su túnel IPsec. De lo contrario, el túnel no aparecerá. Cuando configura políticas de firewall para tráfico que no es IPsec, la política determina la dirección del tráfico que inicia sesiones. Lo mismo se aplica al tráfico de IPsec. Por esta razón, normalmente desea configurar al menos dos políticas de firewall para su VPN de IPsec: una política de entrada y una política de salida. La política entrante permite el tráfico iniciado desde el sitio remoto, mientras que la política saliente permite que el tráfico se inicie desde la red local. Tenga en cuenta que las políticas se configuran con la interfaz de túnel virtual (o el nombre de la fase 1) como interfaz entrante o saliente. sal iente.
Verificación de conocimientos. 1. ¿Qué tipo de VPN IPsec es heredado y no se recomienda para nuevas implementaciones? A. VPN basada en rutas. r utas. B. VPN basada en políticas.
2. ¿Cuál es un requisito de configuración para que aparezca un túnel t únel IPsec? A. Una política de firewall que acepta tráfico en el túnel IPsec.
B. Una ruta para el tráfico IPsec.
VPN redundantes. Si el túnel VPN principal falla, FortiGate luego enruta el tráfico a través de la VPN de respaldo. Parcialmente redundante: un par tiene dos conexiones.
Completamente redundante: ambos pares tienen dos conexiones.
¿Cómo puede hacer que su implementación de VPN IPsec sea más resistente? Proporcione una segunda ISPlugar. a su sitio y configure dos VPN IPsec. Si la VPN IPsec principal falla, se puede usar otroconexión túnel en su
Hay dos tipos de VPN redundantes: Parcialmente redundante: redundante: en un par (generalmente el concentrador, concentrador, donde hay un ISP de respaldo disponible si el ISP principal no funciona), cada VPN termina en diferentes puertos físicos. De esa manera, FortiGate puede usar una VPN alternativa. En el otro par, cada VPN termina en el mismo puerto físico, por lo que el radio no es tolerante a fallas. Completamente redundante: ambos pares terminan sus VPN en diferentes puertos físicos, por lo que ambos son tolerantes a fallas.
Configuración de VPN redundante. Agregue una configuración de fase 1 para cada túnel. DPD debería estar habilitado en ambos extremos. Agregue al menos una definición de fase 2 para cada fase 1. Agregue una ruta estática para ruta. para seleccionar rutas primarias sobre rutas de o Utilice la distancia o lacada prioridad respaldo. Alternativamente, use el enrutamiento dinámico. o Configure las políticas de firewall para cada interfaz IPsec.
Entonces, ¿cómo se configura una VPN parcial o totalmente totalm ente redundante? Primero, cree una fase 1 para cada ruta, una fase 1 para la VPN principal y otra para la VPN de respaldo. También debe habilitar DPD en ambos extremos. En segundo lugar, cree al menos una definición de fase fase 2 para cada fase 1 En tercer lugar, debe agregar al menos una ruta estática para cada VPN. VP N. Las rutas de la VPN principal deben tener una distancia menor (o una prioridad menor) que la de respaldo. Esto hace que FotiGate utilice la VPN principal mientras está disponible. Si la VPN principal falla, FortiGate usa automáticamente la ruta de respaldo. Alternativamente, puede utilizar un protocolo de enrutamiento dinámico, como OSPF o BGP. Por último, configure las políticas de firewall para permitir el tráfico a través de la VPN principal y de respaldo.
Verificación de conocimientos 1. ¿Qué función debe habilitarse en una implementación de VPN IPsec redundante? A. DPD.
B. XAuth. 2. ¿Qué configuración determina si un túnel se usa como com o primario o de respaldo? A. Enrutamiento. B. Políticas de firewall.
Estado de la fase 1. Disponible solo en la CLI:
El widget del monitor IPsec en la GUI muestra solo información de la fase 2. Si desea obtener información sobre la fase 1, debe utilizar la CLI. El ejemplo de esta imagen muestra el resultado del comando get vpn ike gateway, que muestra información detallada de la fase 1.
Estado de la fase 2: widget de monitor IPsec. Supervise los túneles VPN de IPsec (solo fase 2). Detén y comienza túneles. o Muestra el estado y las estadísticas. o
En el panel de la GUI, puede usar el widget IPsec para monitorear el estado de sus VPN IPsec. El widget solo muestra el estado de la fase 2 de un túnel y no su estado de la fase 1.
También puede subir o bajar túneles individuales y obtener detalles adicionales. Cuando subes o bajas túneles con el widget IPsec, solo estás afectando el estado de la fase 2 del túnel, no su estado de la fase 1. Si el túnel está arriba, lo que significa que la fase 2 está arriba, se muestra una flecha verde hacia arriba junto a su nombre. Si está hacia abajo, se muestra una flecha roja ha hacia cia abajo. El widget de IPsec también muestra la cantidad de datos enviados y recibidos a través del túnel. Cuando hace clic con el botón derecho en cualquiera de las columnas, se muestra un menú con una lista de todas las columnas disponibles. Puede habilitar columnas adicionales para obtener más detalles sobre los túneles IPsec.
Monitoree las rutas IPsec. Las rutas IPsec aparecen en la tabla de enrutamiento después de: o Aparece la fase 1, si la puerta de enlace remota está configurada para una dirección IP estática o un DNS dinámico.
Si la puerta de enlace remota está configurada en Dirección IP estática o DNS dinámico, las rutas estáticas para estos túneles se activan en la tabla de enrutamiento después de que aparece la fase 1. La negociación de la fase 1 se inicia automáticamente porque la negociación automática está habilitada en la fase 1 de forma predeterminada. Este comportamiento permite que FortiGate haga coincidir el tráfico interesante con el túnel correcto. Además, si la fase 2 no está activa, el tráfico que coincida con la ruta estática desencadenará una negociación n egociación de la fase 2, que finalmente dará como resultado la aparición del túnel (o la fase 2). Cuando la puerta de enlace remota está configurada como Usuario de acceso telefónico, de forma predeterminada, se agrega una ruta estática para la red de destino después de que aparece la fase 2. La distancia establecida para la ruta estática es 15. Si la fase 2 falla, la ruta se elimina de la tabla de enrutamiento.
Registros de IPsec.
FortiGate eventos de VPN IPsec forma predeterminada. Para los registros de eventos deregistra VPN delos IPsec, haga clic en Registro Reg istrode e informe> Eventos> Eventos dever VPN. Los registros rastrean el progreso progr eso de las negociaciones de la fase 1 y fase 2, informan sobre eventos de subida y bajada de túneles, fallas de DPD, entre otros eventos. Para obtener más información sobre los registros de IPsec, visite visite https://docs.fortinet.com. https://docs.fortinet.com.
Verificación de conocimientos. 1. El widget del monitor m onitor IPsec en la GUI muestra el estado de _________. A. Fase 1. B. Fase 2.
2. Cuando la puerta de enlace remota está configurada como usuario de acceso telefónico, se agrega una ruta estática a la red remota a la tabla de enrutamiento después después de _______________. _______________. A. Surge la fase 1. B. Surge la fase 2.
SSO y FSSO. SSO es un proceso que permite a los usuarios identificados acceder a múltiples aplicaciones sin tener que volver a autenticarse.
Los usuarios que ya están identificados i dentificados pueden acceder acceder a las l as aplicaciones sin que se les pida que proporcionen sus credenciales.
o
software FSSO identifica el ID de usuario, la dirección IP y la pertenencia a un El grupo.
g rupos FSSO configurados FortiGate permite el acceso basado en la membresía en grupos en FortiGate. Los grupos FSSO se pueden asignar a grupos de usuarios de usuarios individuales, o unidades organizativas (OU) o una combinación de ellos. o
Cada método FSSO recopila eventos de inicio de sesión de manera diferente.
FSSO se utiliza normalmente con servicios de directorio, como Windows Active Directory o Novell eDirectory.
SSO es un proceso que permite a los usuarios iniciar sesión automáticamente en cada aplicación después de ser identificados, independientemente independientemente de la plataforma, la tecnología y el dominio. FSSO es un agente de software que permite a FortiGate identificar a los usuarios de la red para políticas de seguridad o para acceso a VPN, en implementaciones avanzadas con FortiAuthenticator, sin pedir su nombre de usuario y contraseña. Cuando un usuario inicia sesión en un servicio de directorio, el agente FSSO envía a FortiGate el nombre de usuario, la dirección IP y la lista de grupos a los que pertenece el usuario. FortiGate utiliza esta información para mantener una base de datos local de nombres de usuario, direcciones IP y asignaciones de grupos. Debido a que el controlador de dominio autentica a los usuarios, FortiGate no realiza la autenticación. Cuando el usuario intenta acceder a los recursos de la red, FortiGate selecciona la política de seguridad adecuada para el destino. Si el usuario pertenece a uno de los grupos de usuarios permitidos, la conexión está permitida FSSO se utiliza normalmente con redes de servicios de directorio como Windows Active Directory o Novell eDirectory.
Implementación y configuración de FSSO. Microsoft Active Directory (AD).
Modo de agente de controlador de dominio (DC). Modo de sondeo: Recopilador basado en agentes. o Sin agente. o Agente de Terminal Server (TS). Mejora las capacidades de inicio de sesión o de un agente recopilador o FortiAuthenticator. Recopila inicios de sesión para Citrix y o servidores de terminal donde varios usuarios comparten la misma dirección IP.
Novell eDirectory.
Modo de agente de eDirectory. Utiliza la configuración de Novell APl o LDAP.
La forma de implementar y configurar FSSO depende del servidor que proporciona sus servicios de directorio. FSSO para Windows Active Directory (AD) utiliza un agente recolector. Es posible que también se requieran agentes de controlador de dominio (DC), según el modo de trabajo del agente de recopilación. Hay dos modos de trabajo que supervisan las actividades de inicio de sesión de los usuarios en Windows: modo de agente DC y modo de sondeo. FortiGate también ofrece un modo de sondeo que no requiere un agente recolector, que está diseñado para redes simples con un número mínimo de usuarios. Existe otro tipo de agente de DC que se utiliza exclusivamente para los agentes de servidor de terminal (TS) de Citrix y de los entornos de servicios de terminal. Los agentes TS requieren que el agente recopilador de Windows Active Directory Dir ectory o FortiAuthenticator recopile y envíe los eventos de inicio de sesión a FortiGate. El agente eDirectory se instala en una red Novell para supervisar los inicios de sesión de los usuarios y enviar la información necesaria a FortiGate. Funciona de forma muy similar al agente recopilador en un controlador de dominio de Windows AD. El agente puede obtener información de Novell eDirectory utilizando la API de Novell o LDAP.
Verificación de conocimientos. 1. En FSSO, FortiGate permite el acceso a la red según _________. A. Autenticación de usuario activa con nombre de usuario y contraseña. B. Identificación de usuario pasiva por ID de usuario, dirección IP y membresía de grupo.
2. ¿Qué modo de trabajo se utiliza para supervisar las actividades de inicio de sesión de los usuarios en Windows AD? A. Modo de sondeo (recopilador basado en agente o sin agente).
B. Modo de agente de eDirectory.
Modo Agente DC. El modo de agente de DC es el modo más escalable y es, en la mayoría de los entornos, el modo recomendado para FSSO.
Requiere un agente de DC (dcagent.dl1) instalado en cada DC de Windows en Windows \ system32. El agente de DC es responsable de: o Supervisar los eventos de inicio de sesión de los usuarios y reenviarlos a los agentes ag entes del recopilador. o Manejo de búsquedas de DNS (por defecto).
Requiere uno o más agentes recolectores instalados en los servidores de Windows. El agente cobrador es responsable de:
Verificación de grupo. Comprobaciones de la estación de trabajo. o Actualizaciones de registros de inicio de sesión en FortiGate. o
o
o
Envío de información del grupo de seguridad local del dominio, unidades organizativas (OU) y grupo de seguridad global a FortiGate.
El modo de agente DC se considera el modo recomendado para FSSO. El modo de agente DC requiere: i nstalado en cada DDC de Windows. Un agente de DC instalado Si tiene varios DC, esto significa que necesita varios agentes de DC. Los agentes de DC monitorean y reenvían los eventos de inicio de sesión del usuario a los agentes recolectores.
Un agente recolector, que es otro componente de FSSO. El agente de recopilación se instala en un servidor de Windows que es miembro del dominio que está intentando supervisar. Consolida los eventos recibidos de los agentes de DC y luego los reenvía a FortiGate. El agente recolector es responsable de la verificación del grupo, las verificaciones de la estación de trabajo y las actualizaciones de FortiGate de los registros de inicio de sesión. El agente recolector de FSSO puede enviar información del grupo de seguridad local del dominio, unidades organizativas (OU) y grupo de seguridad
global a los dispositivos FortiGate. También se puede personalizar para búsquedas de DNS. Cuando el usuario inicia sesión, el agente de DC intercepta el evento de inicio de sesión en el controlador de dominio. A continuación, resuelve el DNS del cliente y lo envía al agente de recopilación. El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del mismo ha cambiado. En algunas configuraciones, la resolución de DNS doble es un problema. En este caso, puede configurar una clave de registro en el controlador de dominio que aloja el agente de DC para no resolver el DNS donot resolve (DWORD) 1 en HKLM / Software / Fortinet / FSAE / dcagent.
Proceso del modo de agente de DC. 1. El usuario se autentica con Windows DC. 2. El agente de DC ve el evento de inicio de sesión y lo reenvía al agente de recopilación. 3. El agente recolector recibe el evento del agente DC y lo reenvía a FortiGate. 4. FortiGate conoce al usuario según su dirección IP, por lo que el usuario no necesita autenticarse.
Esta imagen muestra el proceso de información entre los agentes ag entes de DC, el agente recolector y un FortiGate configurado para la autenticación FSSO. 1. Cuando los usuarios se autentican con el DC, proporcionan pr oporcionan sus credenciales. 2. El agente de DC ve el evento de inicio de sesión y lo reenvía al agente de recopilación. 3. El agente recopilador agrega todos los eventos de inicio de sesión y reenvía esa información a FortiGate. La información enviada por el agente recopilador contiene el nombre de usuario, el nombre de host, la dirección IP y los grupos de usuarios. El agente recolector se comunica con FortiGate a través del puerto TCP 8000 (predeterminado) y escucha en el puerto UDP 8002 (predeterminado) las actualizaciones de los agentes de DC. Los puertos son personalizables 4. Una vez que el agente recolector reenvía la información de inicio de sesión del usuario, FortiGate sabe quién es el usuario, su dirección IP y algunos de los grupos de AD de los que es miembro. Cuando un usuario intenta acceder a Internet, FortiGate compara la dirección IP de origen con su lista de usuarios FSSO activos. Debido a que el usuario en este caso ya ha iniciado sesión en el dominio y FortiGate ya tiene su información, FortiGate no le pedirá al usuario que se autentique. de nuevo. Más bien simplemente permitirá o denegará el tráfico según la política de firewall correspondiente.
Modo de sondeo basado en el agente recopilador. Se debe instalar un agente de recopilación en un servidor de Windows. No se requiere agente FSSO DC. o Cada pocos segundos, el agente recopilador sondea cada controlador de dominio en busca de eventos de inicio de sesión del usuario. El agente ag ente recolector recolector utiliza: o Protocolo SMB (TCP 445), por defecto, para solicitar los registros de eventos. o TCP 135, TCP 139 y UDP 137 como alternativas. Este modo requiere una instalación menos compleja, lo que reduce el mantenimiento
continuo. Tres métodos: NetAPI. o WinSecLog. o WMI. o El registro de eventos debe estar habilitado en los DC (excepto en NetAPI).
El modo de sondeo puede estar basado en agentes ag entes de recopilación o sin agentes. En primer lugar, observará el modo de sondeo basado en el agente recopilador. Al igual que el modo de agente de DC, el modo basado en el agente de recopilación requiere que se instale un agente de recopilación en un servidor de Windows, pero no requiere que se instalen agentes de DC en cada DC. En el modo de sondeo basado en el agente de recopilación, el agente de recopilación debe ser más potente que el agente de recopilación en el modo de agente de DC y también genera tráfico innecesario cuando no ha habido eventos de inicio de sesión.
En el sondeo de registro de eventos de Windows, el modo de sondeo más comúnmente implementado, el agente recopilador usa el protocolo SMB (puerto TCP 445) para solicitar periódicamente registros de eventos de los controladores de dominio. Otros métodos pueden recopilar información de manera diferente, pero una vez que el recopilador recibe el inicio de sesión agente, el agente recopilador analiza los datos y crea la l a base de datos de inicio de sesión del usuario, que consta de nombres de usuario. nombres de estaciones de trabajo / IP y pertenencia a grupos de usuarios. Esta información está lista para enviarse a FortiGate.
Opciones del modo de sondeo basado en el agente recopilador. NetAPI
Sondea la función NetSessionEnum en Windows cada 9 segundos, o menos * Tabla de sesiones de autenticación en RAM. Recupera las sesiones de inicio de sesión, incluidos los eventos de inicio de sesión de DC. Más rápido, pero ... Si DC tiene una gran carga del sistema, puede perder algunos eventos de inicio de sesión.
WinSecLog
Sondea todos los eventos de seguridad en DC cada 10 segundos o más * Latencia de registro si la red es grande o el sistema es lento. Requiere enlaces de red rápidos. Más lento, pero ... Ve todos los eventos de inicio de sesión. Solo analiza los ID de eventos conocidos por agente recopilador. re copilador.
WMI
DC devuelve todos los eventos de inicio de sesión solicitados cada 3 segundos * Lee los registros de eventos seleccionados.
Mejora el deldeancho banda de WinSec. Reduce la uso carga la redde entre el agente recolector y DC.
Los tiempos de intervalo de la encuesta son estimaciones. Los tiempos de intervalo dependen de la cantidad de servidores y la latencia de la red. Como se indicó anteriormente, el modo de sondeo basado en el agente recopilador tiene tres métodos (u opciones) para recopilar información de inicio de sesión: NetAPI: sondea las sesiones temporales creadas en el DC cuando un usuario inicia o cierra sesión y
llama a la función NetsessionEnum en Windows. Es más rápido que los métodos WinSec y WMI; sin embargo, puede perder algunos eventos de inicio de sesión si un controlador de dominio está sometido a una gran carga del sistema. Esto se debe a que las sesiones se pueden crear y purgar rápidamente desde la RAM, antes de que el agente tenga la oportunidad de sondear y notificar a FortiGate.
WinSecLog: sondea todos los registros de eventos de seguridad del DC. No pierde ningún evento
de inicio de sesión que haya sido registrado por el DC porque los eventos normalmente no se eliminan de los registros. Puede haber cierto retraso en la recepción de eventos de FortiGate si la red es grande y, por lo l o tanto, la escritura en los registros es lenta. También requiere que el éxito de la auditoría de identificadores de eventos específicos se registre en los registros de seguridad de Windows. Para obtener una lista completa de los ID de eventos admitidos, visite la base de conocimientos de Fortinet (http://kb.fortinet.c (h ttp://kb.fortinet.com). om). WMI: una API de Windows que obtiene información del sistema de un servidor de Windows. El DC
devuelve todos los eventos de inicio de sesión solicitados. El agente recopilador es un cliente WMI y envía consultas WMI para eventos de inicio de sesión de usuario al DC, que, en este caso, es un servidor WMI. El agente recolector no necesita buscar registros de eventos de seguridad en el DC para eventos de inicio de sesión de usuario; en su lugar, el DC devuelve todos los eventos de inicio de sesión solicitados. Esto reduce la carga de la red entre en tre el agente recolector r ecolector y DC.
Proceso del modo de sondeo basado en el agente recopilador. 1. 1. El usuario se autentica con el DC. 2. 2. El agente de recopilación sondea con frecuencia los controladores de dominio para recopilar eventos de inicio de sesión de los usuarios. 3. 3. El agente recopilador reenvía los inicios de sesión a FortiGate. 4. 4. El usuario no necesita autenticarse.
Esta imagen muestra un ejemplo de FSSO utilizando el modo de sondeo basado en agentes de recopilación. Este ejemplo incluye un controlador de dominio, un agente de recopilación y FortiGate, pero el controlador de dominio no tiene instalado dcagent (o, alternativamente, dcagent.dll). 1. 1. El usuario se autentica con el DC, proporcionando sus credenciales. 2. 2. El agente recolector periódicamente (cada pocos segundos) sondea el puerto TCP 445 de cada DC directamente, para preguntar si alguien ha iniciado sesión. 3. 3. El agente recolector envía información de inicio de sesión a FortiGate a través del puerto TCP 8000. Esta es la misma información que se envía en el modo de agente DC 4. Cuando el tráfico de usuarios llega a FortiGate, FortiGate ya sabe qué usuarios están en qué direcciones IP y no se requiere autenticación repetida.
Modo de sondeo sin agente. Similar al sondeo basado en agentes, pero FortiGate realiza real iza encuestas en su lugar. No requiere un agente de CC externo o un agente recolector. FortiGate recopila los datos directamente. o registro eventos debe estar habilitado en los DC. Más CPU yde RAM requeridos por FortiGate. El Soporte para la opción de sondeo WinSecLog solamente. o FortiGate usa el protocolo SMB para leer los registros del visor de eventos. Menos funciones disponibles que el modo de sondeo basado en agentes recopiladores. FortiGate no sondea la estación de trabajo. o La verificación de la estación de trabajo no está disponible en el modo de sondeo sin agente.
Puede implementar FSSO sin instalar un agente. FortiGate sondea los controladores de dominio directamente, en lugar de recibir información de inicio de sesión indirectamente de un agente recopilador. Debido que FortiGate recopila todosy los datos portan sí fácilmente. mismo, el modo de sondeo sin agentes requiereamayores recursos del sistema no se escala t an El modo de sondeo sin agente funciona de manera similar a WinsecLog, pero con solo dos ID de eventos: 4768 y 4769. Debido a que no hay un agente recopilador, FortiGate u usa sa el protocolo SMB para leer los registros del visor de eventos de los DC. En el modo de sondeo sin agente, FortiGate F ortiGate actúa como un recopilador. Es responsable del sondeo además de sus tareas normales de FSSSO, pero no tiene todas las funciones adicionales, como las verificaciones de la estación de trabajo. que están disponibles con el agente recolector externo.
Proceso del modo de sondeo sin agente. 1. FortiGate encuesta con frecuencia a los DC para recopilar los eventos de Iogon de los usuarios. 2. 2. El usuario se autentica con el DC. sig uiente encuesta. encuesta. FortiGate descubre el evento de inicio de sesión en la siguiente 3. 3. El usuario no necesita autenticarse. FortiGate ya sabe de quién está recibiendo tráfico.
Esta imagen muestra cómo se procesa la comunicación sin agentes. (No hay un agente cobrador ni un agente DC). 1. 1. FortiGate sondea el puerto DC TCP 445 para recopilar eventos de inicio de sesión del usuario. 2. 2. Después de que el usuario se autentica con el DC, FortiGate registra el evento de inicio de sesión durante su siguiente encuesta, obteniendo la siguiente información: el nombre de usuario, el nombre de host y la dirección IP, y luego consulta por su (s) grupo (s) de usuarios. 3. 3. Cuando el usuario envía tráfico, FortiGate ya sabe de quién está recibiendo tráfico: por lo tanto, el usuario no necesita autenticarse.
Comparación de modos. Instalación
Se requiere agente de DC Recursos Escalabilidad Redundancia Nivel de confianza
Modo de agente DC
Modo de sondeo
Instalaciones múltiples complejas (una por CC). Requiere reiniciar Si Acciones con agentes de DC
Fácil, una o ninguna instalación. No es necesario reiniciar No Tiene recursos propios
Mayor Si Captura todos los inicios de sesión
Inferior Si Puede perder un inicio de sesión (NetAPI) o tener un retraso (Win SecLog)
Esta tabla resume las principales diferencias entre el modo de agente de DC y el modo de sondeo. El modo de agente de DC es más complejo. Requiere no solo un agente recolector, sino también un agente DC para cada controlador de dominio monitoreado. Sin embargo, también es más escalable, porque el trabajo de capturar inicios de sesión lo realizan los agentes de DC que pasan su información directamente al recopilador. En el modoEntonces, de sondeo, recopilador necesita cada de dominio, pocos segundos. conelcada DC que se ag rega,consultar agrega, el número de controlador consultas crece. Si deseacada agregar un segundo agente recolector para la redundancia en el modo de sondeo, ambos agentes recolectores deben consultar cada DC individualmente. En el modo de agente de DC, el agente de DC solo tiene que recopilar el registro una vez y enviar una copia de la información necesaria a todos los agentes de recopilación. En comparación, si usa el modo de sondeo, algunos eventos de inicio de sesión pueden perderse o retrasarse, según la opción de sondeo utilizada. No es necesario instalar un agente de recopilación en el DC, se puede instalar en cualquier máquina Windows de la red.
Requisitos adicionales de FSSO AD. El servidor DNS local debe poder resolver todos los nombres no mbres de las estaciones de trabajo. o Los eventos de inicio de sesión de Microsoft contienen nombres de estaciones de trabajo, pero no direcciones IP. o El agente utiliza un de trabajorecolector en una dirección IP.servidor DNS para resolver el nombre de la estación Para obtener una funcionalidad completa, el agente recopilador debe poder sondear las estaciones de trabajo. o Esto informa a los agentes del recopilador si el usuario todavía está conectado o no. o Los puertos TCP 139 y 445 deben estar abiertos entre los agentes recolectores o FortiGate y todos los hosts. o Es posible que se necesite un servicio de registro remoto en cada estación de trabajo.
Independientemente del método de recopilación que elija, algunos requisitos de FSSO para su red Independientemente AD son los mismos: Los eventos de inicio de sesión de Microsoft Windows tienen el nombre y el nombre de usuario de la estación de trabajo, pero no la dirección IP de la estación de trabajo. Cuando el agente recopilador recibe un evento de inicio de sesión, consulta un servidor DNS para resolver la dirección IP de la estación de trabajo. Entonces, FSSO requiere que tenga su propio servidor DNS. Si la dirección IP de una estación de trabajo cambia, los registros DNS deben actualizarse inmediatamente para que el agente recolector esté al tanto del cambio e informe a FortiGate. Para una funcionalidad completa, los agentes recolectores necesitan conectividad con todas las estaciones de trabajo. Dado que no se genera un registro de eventos monitoreado al cerrar la sesión, el agente recolector (dependiendo del modo FSSO) debe usar un método diferente para verificar si los usuarios aún están conectados. Por lo tanto, se encuesta a cada estación de trabajo de usuario para ver si los usuarios todavía están allí. El agente de DC, el Luego usuarioresuelve inicia sesión, sesión en el controlador decuando dominio. el DNSintercepta del cliente cl ienteely evento lo envíade al inicio agentederecolector.
El agente recolector lo recibe y luego realiza una resolución de DNS para verificar si la IP del usuario ha cambiado.
Verificación de conocimientos. 1. ¿Cuál es el modo recomendado r ecomendado para las implementaciones implementaciones de FSSO? A. Modo agente DC.
B. Modo de sondeo: sin agente. 2. ¿Qué modo FSSO requiere más recursos del sistema FortiGate (CPU y RAM)? A Modo de sondeo: basado en agente ag ente recopilador. B. Modo de sondeo sin agente.
¿Cuándo se usa la autenticación NTLM? Muchos navegadores web admiten la autenticación autenticación NTLM. o NTLM es autenticación basada en sesión. o FortiGate inicia la negociación NTLM con el navegador del cliente para un usuario
FSSO no activo. NTLM es útil cuando: La autenticación Los usuarios inician sesión en controladores de dominio que el recopilador no o supervisa. o La comunicación entre el colector y DC está bloqueada o inactiva. En configuraciones de dominio simples, no se requiere agente DC. Los resultados de la autenticación se envían al agente recopilador. o Varios dominios requieren solo un agente recopilador global.
En un entorno de AD, FSSO también puede trabajar con NTLM, que es un conjunto de protocolos de seguridad de Microsoft que proporciona autenticación, integridad y confidencialidad a los usuarios. La autenticación NTLM no requiere agentes DC, pero no es completamente invisible para los usuarios, los NTLM usuarios deben ingresar sus de credenciales durante NTLM. La autenticación es una solución propiedad Microsoft, por lo que la solonegociación se puede implementar en una red de Windows. NTLM se utiliza con mayor frecuencia cuando los usuarios se autentican frente a controladores de dominio que, por alguna razón, no pueden ser monitoreados por el agente de recopilación, o cuando hay problemas de comunicación entre el agente de recopilación y uno o más de los agentes de CD. En otras palabras. La autenticación au tenticación NTLM se utiliza mejor como copia de seguridad de FSSO Tenga en cuenta que FortiGate no puede realizar la autenticación NTLM por sí solo. FortiGate debe devolver las credenciales ingresadas por el usuario a un agente recolector para su verificación. El agente recolector, a su vez, responderá a FortiGate con los grupos de usuarios apropiados si la autenticación es exitosa.
Proceso de autenticación NTLM: dominio simple. 1. 1. El usuario intenta acceder a Internet con un navegador. La dirección IP del usuario no está en la lista de usuarios activos de FSSO. 2. 2. FortiGate solicita credenciales: dominio / nombre de usuario y contraseña 3. 3. El navegador del usuario envía información a FortiGate.
4. FortiGate verifica las con credenciales usuario y la pertenencia al grupo el agentedel recolector. 5. 5. El acceso se otorga por pertenencia a un grupo
NTLM se activa cuando FortiGate recibe tráfico de una dirección IP desconocida. Esta imagen muestra cómo se procesan los mensajes durante la autenticación NTLM en una configuración de dominio simple. 1. 1. Cuando tanto FSSO como NTLM están habilitados, NTLM se utiliza como respaldo para FSSO. Cuando FortiGate recibe tráfico de una dirección IP que no existe en la lista de usuarios FSS0, se activa NTLM. 2. 2. FortiGate responde con un desafío NTLM, solicitando credenciales. 3. 3. El navegador del usuario envía las l as credenciales solicitadas. solicitadas. 4. 4. FortiGate recibe las credenciales del usuario, luego las autentica con el agente recolector a través del puerto TCP 8000. FortiGate también recibe los nombres de los grupos a los que pertenece el usuario. 5. 5. Si las credenciales son correctas, FortiGate autoriza el acceso del usuario.
Autenticación NTLM con Internet Explorer.
Tras el desafío NTLM, los navegadores suelen mostrar un cuadro de diálogo de autenticación. Internet Explorer y otros navegadores se pueden configurar para enviar automáticamente las credenciales de usuario. Si los navegadores no están configurados para enviar automáticamente las credenciales de usuario, el usuario debe usar el indicador.
A diferencia de FSSO completo, la autenticación NTLM no es transparente para los usuarios. En la mayoría de los navegadores y, de forma predeterminada, en Internet Explorer, los usuarios deben ingresar sus credenciales cada vez que el navegador recibe un desafío de autenticación NTLM.
Sin embargo, Internet Explorer se puede configurar para enviar automáticamente las credenciales de los usuarios cada vez que recibe un desafío NTLM. Para ello, en el cuadro de diálogo Opciones de Internet, haga clic en Nivel personalizado. Luego, en el cuadro de diálogo Configuración, desplácese hasta Inicio de sesión de autenticación de usuario y luego seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales .
Autenticación NTLM: varios dominios. NTLM requiere una relación de confianza entre dominios: Si los dominios están en un bosque de AD, o solo necesita un agente de DC global. Si los dominios no están en un bosque de o AD, debe instalar un agente de DC en cada dominio (en DC). Proceso de autenticación NTLM de múltiples dominios: 1. 1. Los usuarios inician sesión en su DC local. 2. Los los eventos inicio de agentes sesión dedeDC envían los usuarios al deagente recopilador. 3. 3. Los usuarios intentan acceder a Internet. 4. 4. FortiGate se comunica con el agente recopilador para obtener información de inicio de sesión para verificar la autenticación del usuario. 5. 5. Los usuarios tienen acceso a Internet.
En un entorno de múltiples dominios para NTLM, es importante tener una relación de confianza entre los dominios. Cuando existen varios dominios en un bosque de AD, se crea automáticamente una relación de confianza, por lo que solo se requiere un agente de DC en uno de los controladores de dominio. Pero, cuando varios dominios no están en un bosque de AD, tiene dos opciones: op ciones: Cree una relación de confianza entre los dominios a través de la configuración de AD Instale un agente de DC en cada dominio, luego use políticas de seguridad para el acceso a la red
Si decide instalar un agente de DC en cada dominio, el agente de DC envía información de inicio de sesión al recopilador agente. Este proceso funciona de la siguiente sig uiente manera: 1. 1. El usuario inicia sesión en su DC local 2. 2. El agente de DC envía la información del evento de inicio de sesión del usuario al agente de recopilación. 3. 3. El usuario intenta acceder a Internet. 4. FortiGate verifica que el usuario esté autenticado comunicándose ose con el ag agente ente recolector para obtener la información de inicio de sesión. comunicánd 5. 5. Si el usuario está debidamente autenticado, FortiGate le permite acceder a Internet.
Verificación de conocimientos. 1. Al realizar la autenticación NTLM, NTLM, ¿qué información proporciona el navegador web a FortiGate? A. Las credenciales del usuario (nombre de usuario y contraseña).
B. El ID de usuario, la dirección IP y la pertenencia al grupo del usuario. 2. ¿Cuál de las siguientes opciones puede provocar una autenticación NTLM? A. Tráfico proveniente de una IP en la lista de usuarios de FSSO. B. Tráfico procedente de una IP que no está en la lista de usuarios de FSSO.
Configuración FSSO - Modo de sondeo sin agente. Modo de sondeo sin agente: o FortiGate usa LDAP para consultar AD.
La configuración de FortiGate FSSO es sencilla. Si FortiGate actúa como un recopilador para el modo de sondeo sin agente, debe seleccionar Sondeo del servidor de Active Directory y configurar las direcciones IP y las credenciales de administrador de AD para cada DC. FortiGate usa LDAP para consultar AD para recuperar información del grupo de usuarios. Para que esto suceda, el servidor LDAP debe agregarse a la configuración del servidor de Active Directory del grupo.
Configuración de FSSO: sondeo basado en agente de recopilación o modo de agente de DC. basado enFSSO agente de recopilador de agente a gente de DC: Sondeo El agente puede monitorearolamodo información de inicio de sesión de los usuarios o desde los servidores AD, Exchange, Terminal, Citrix y eDirectory.
Si tiene agentes recolectores, recolectores, utilizando el modo de agente de DC o el modo de sondeo basado en el agente recolector, debe seleccionar el Agente de inicio de sesión único de Fortinet y configurar la dirección IP y la contraseña para cada agente recolector. El agente de recopilación de FSSO puede acceder a Windows AD en uno de dos modos: Agente de recopilación: los filtros de grupo se crean en el agente de recopilación. FortiGate se puede configurar en el modo de Agente de recopilación, y el agente de recopilación aún
Avanzado para acceder a grupos anidados. usar el modo puede Local: los filtros de grupo se crean directamente en FortiGate, utilizando el servidor LDAP. Si FortiGate está configurado en modo Local, el agente recolector debe configurarse en modo Avanzado; de lo contrario, el agente recolector no reconocerá el filtro de grupo enviado por FortiGate y no transmitirá ningún inicio de sesión de usuario.
Instalación del agente FSSO. https://support.fortinet.com 1. 1. Vaya al sitio web de soporte de Fortinet: Fortinet: https://support.fortinet.com 2. 2. Haga clic en Descargar> Imágenes de firmware.
Agentes disponibles:
Agente de DC: DCAgent_Setup. CA para servidores de Microsoft: FSSO_Setup. CA para Novell: FSSO_Setup_edirectory. FSSO_Setup_edirectory. Agente de TS: TSAgent_Setup. 3. 3. Seleccione FortiGate, luego haga clic en Descargar. 4. Haga clic en v6.00> 6.0> 6.4> 6.4.0> FSSO. Imagen de ejemplo a continuación: continuación:
Los agentes de FSSO están disponibles en el sitio web de soporte de Fortinet. Allí encontrará lo siguiente:
El agente de DC El agente recopilador para servidores de Microsoft: FSSO_Setup El agente de recopilación de directorios de Novell: FSSO_Setup_edirecto FSSO_Setup_edirectory ry El instalador del agente de servidor de terminal (TSagent) para Citrix y servidores de terminal: TSAgent_Setup.
Además, para cada agente, hay dos versiones: el ejecutable (.exe) y Microsoft Installer (. msi). Tenga en cuenta que no necesita hacer coincidir la versión de FSSO con su versión exacta de firmware de FortiGate. Al instalar FSSO, obtenga el último agente de recopilación para su versión principal. Sin embargo, debe hacer coincidir la versión del agente de DC con la versión del agente de recopilación.
Procesos de instalación del Agente de recopilación de FSSO. 1. Ejecute el proceso de instalación como administrador.
2. 2. Introduzca el nombre de usuario en el siguiente formato: DomainName \UserName \ UserName
3. 3. Configure el agente de recopilación para: Supervisión de inicios de sesión. Autenticación NTLM.
Acceso al directorio. 4. 4. Al final, inicie opcionalmente el asistente de instalación del agente de DC antes de salir del asistente de instalación del agente de recopilación.
Una vez que haya descargado el agente recopilador, ejecute el proceso de instalación como administrador y siga estos pasos en el asistente de instalación: 1. 1. Lea y acepte el contrato de licencia. li cencia. 2. 2. Opcionalmente, cambie la ubicación de instalación. La carpeta predeterminada se llama FSAE (Extensión de autenticación del servidor de Fortinet). 3. 3. Ingrese el nombre de usuario. De forma predeterminada, el agente usa el nombre de la cuenta actualmente en ejecución; sin embargo, puede cambiarlo usando el formato: DomainName\UserName. 4. 4. Como alternativa, configure su agente de recopilación para la supervisión, la autenticación NTLM y el acceso al directorio. Estas opciones también se pueden personalizar después de la instalación. Aunque el modo predeterminado es el modo Estándar, cuando se realizan nuevas configuraciones de FSSO, siempre es una buena práctica instalar en el modo Avanzado. Verá algunas de las ventajas más adelante en esta lección. 5. 5. Si desea utilizar el modo de agente de DC, asegúrese de que la opción Launch DC Agent Install Wizard esté seleccionada. Esto iniciará automáticamente la instalación del agente
de DC.
Proceso de instalación de DC Agent.
Si acaba de instalar el agente de recopilación y seleccionó Iniciar el asistente de instalación de un Agente DC, el proceso de instalación del agente de controlador de dominio se inicia automáticamente. 1. 1. Ingrese la dirección IP del agente recolector. Opcionalmente, puede personalizar el puerto de escucha, si otro servicio ya utiliza el valor predeterminado. 2. 2. Seleccione los dominios a monitorear. Si alguno de sus dominios requeridos no aparece en la lista, cancele el asistente y configure la relación de confianza correcta con el controlador de dominio. Luego, ejecute el asistente nuevamente. Tenga en cuenta que esto también podría deberse al uso de una cuenta sin todos los permisos necesarios. 3. 3. Opcionalmente, seleccione seleccione usuarios que no desea monitorear; El recopilador no registrará los eventos de inicio de sesión de estos usuarios y, por lo tanto, no se pasarán a FortiGate. Si bien estos usuarios aún pueden generar los eventos de inicio de sesión en el dominio, cuando son detectados por el agente recopilador, se descartan para no interferir con el usuario que inició sesión. Esto es especialmente útil en entornos con una solución antivirus administrada de forma centralizada o un servicio de respaldo programado que usa una cuenta AD para comenzar. Estas cuentas pueden crear eventos de inicio de sesión para el agente recopilador que sobrescriban los inicios de sesión de los usuarios existentes. Esto puede resultar en que FortiGate aplique políticas y perfiles incorrectos basados en la cuenta principal. La opción de ignorar a los usuarios también se puede personalizar una vez completada la instalación. 4. 4. Opcionalmente, desactive desactive las casillas de verificación de los controladores de dominio en los que no desea instalar el agente de DC. Recuerde, para el FSSO en modo de agente de DC, al menos un controlador de dominio debe tener instalado el agente de DC. Recuerde que la instalación de dcagent requiere reiniciar el DC antes de que comience a recopilar eventos de inicio de sesión. Puede agregar o eliminar dcagent a los controladores de dominio en cualquier momento después de que se complete la instalación.
5. 5. Seleccione el modo de Agente DC como modo de trabajo. Si selecciona el modo de sondeo, el agente DC no se instalará. Finalmente, el asistente solicita un reinicio del sistema.
Configuración del agente recolector de FSSO.
En la GUI de configuración del agente FSSO, puede configurar opciones como:
El puerto de escucha para la comunicación con los agentes ag entes de DC (UDP). El puerto de escucha para la comunicación con FortiGate (TCP). Soporte de autenticación NTLM. Autenticación de contraseña entre el agente recolector y FortiGate. Temporizadores.
Filtro de grupo. g rupo de FortiGate. El agente recolector FSSO administra los filtros de grupo Los filtros de grupo de FortiGate controlan qué información de inicio de sesión del usuario se envía a ese FortiGate. Los filtros están vinculados al número de serie de FortiGate. o Todos los dispositivos FortiGate admiten al menos 256 grupos g rupos de usuarios de Windows AD. o El soporte de filtro de grupo es para VDOM. Si FortiGate FSSO se configura en el modo local de origen del grupo de usuarios (filtrado de grupo realizado en FortiGate), el filtro FortiGate tendrá prioridad sobre el filtro configurado en el agente recolector. El filtro predeterminado se aplica a cualquier dispositivo FortiGate que no tenga un filtro específico definido en la lista.
Los filtros se pueden configurar para grupos, unidades organizativas, usuarios o una combinación.
El agente recolector FSSO le permite configurar un filtro de grupo de FortiGate, que controla activamente qué información de inicio de sesión de usuario se envía a cada FortiGate. Por lo tanto, puede definir qué grupos pasa el agente recolector re colector a los dispositivos FortiGate individuales Monitorear toda la lista del grupo en una gran estructura de AD es muy ineficiente y una pérdida de recursos. La mayoría de las implementaciones de FSSO necesitan segmentación de grupos (al menos cuatro o cinco grupos), con la intención i ntención de asignar diferentes niveles de configuraciones de perfiles de seguridad a los diferentes grupos, utilizando políticas basadas en identidad. Los filtros de grupo también ayudan a limitar el tráfico enviado a FortiGate. El número máximo de grupos de usuarios de Windows AD permitidos en un FortiGate depende del modelo. Los modelos de gama baja de FortiGate admiten 256 grupos gr upos de usuarios de Windows A AD. D. Los modelos de gama media y alta pueden admitir más grupos. Esto es por VDOM, si los VDOM están habilitados en FortiGate. El filtrado se puede realizar en FortiGate en lugar del agente recolector, pero solo si el agente recolector está operando en modo avanzado. En este caso, el agente recolector usa la lista de grupos que seleccionó en FortiGate como su filtro de grupo gr upo para ese dispositivo. La lista de filtros está inicialmente vacía. Como mínimo, debe crear al menos un filtro predeterminado que se aplique a todos los dispositivos FortiGate sin un filtro definido. Tenga en cuenta que, si cambia el modo de acceso de AD de Estándar a Avanzado o Avanzado a Estándar, deberá volver a crear los filtros porque varían según el modo.
Lista de usuarios ignorados. El agente recopilador ignora cualquier evento de inicio de sesión que coincida con las entradas de la lista de usuarios ignorar. o Ejemplo: cuentas de servicio de red.
inicios de sesión de los usuarios no se informan a FortiGate. Los Esto ayuda a garantizar que los usuarios obtengan las políticas y los perfiles correctos en FortiGate.
Para agregar usuarios a la lista de ignorados: 1. 1. Entrada manual. 2. 2. Agregar usuarios: seleccione los usuarios que no desea monitorear. 3. 3. Agregar por OU: seleccione una OU del árbol de directorios. Todos los usuarios de la unidad organizativa seleccionada se agregarán a la lista de usuarios para ignorar.
El agente recopilador de FSSO ignora cualquier evento de inicio de sesión que coincida con las entradas de la lista de usuarios a ignorar. Por lo tanto, el agente recopilador no registra estos eventos de inicio de sesión ni se informa a FortiGate. Es una buena práctica agregar todas las cuentas de servicio de red a la lista de usuarios ignorados. Las cuentas de servicio tienden a sobrescribir los eventos de inicio de sesión del usuario y crean problemas con la coincidencia de políticas basadas en identidad Puede agregar usuarios a la lista de usuarios a ignorar de las siguientes maneras: Ingrese manualmente el nombre de usuario.
Haga clic en Agregar usuarios y luego elija los usuarios que no desea monitorear. Haga clic en Agregar por unidad organizativa y luego seleccione una unidad organizativa
en el árbol de directorios.
Temporizadores del agente colector. Intervalo de verificación de la estación de trabajo Verifica si un usuario todavía está
Intervalo de tiempo de espera de entrada muerta Se aplica solo a las entradas no
conectado el servicio de registro remoto Utiliza para verificar Predeterminado: 5 minutos Desactivar: establecer el valor en 0
Se utiliza para purgar la información verificadas de inicio de sesión Predeterminado: 480 minutos (8 h) Desactivar: establecer el valor en 0 o Debajo del intervalo de verificación de la estación de trabajo.
Intervalo de verificación de cambio de dirección IP Importante en DHCP o entornos dinámicos Por defecto 60 segundos
Caché el resultado de la búsqueda del grupo de usuarios Agente cobrador recuerda la pertenencia a un grupo de usuarios
Los temporizadores del agente recolector FSSO juegan un papel importante para asegurar el correcto funcionamiento de FSSO. Ahora, echarás un vistazo a cada uno y cómo funcionan. Intervalo de verificación de la estación de trabajo . Esta configuración controla cuándo el agente de recopilación se conecta a estaciones de trabajo individuales en el puerto 139 (o puerto 445) y utiliza el servicio de registro remoto para verificar si un usuario aún está conectado a la misma estación. Cambia el estado del usuario en Mostrar usuario de inicio de sesión, a no verificado cuando no puede conectarse a la estación de trabajo. Si se conecta, verifica al usuario y el estado sigue siendo correcto. Para facilitar este proceso de verificación, debe configurar el servicio de registro remoto para que se inicie automáticamente en todas las PC miembros del dominio
Intervalo de tiempo de espera de entrada muerta . Esta configuración se aplica solo a las
entradas con un estado no verificado. Cuando no se verifica una entrada, el recolector inicia este temporizador. Se usa para envejecer la entrada. Cuando el temporizador expira, el
inicio de sesión se elimina del recopilador. Desde la perspectiva de FortiGate, no hay
diferencia entre las entradas que están bien y las entradas que no están verificadas. Ambos se consideran válidos. Intervalo de verificación de cambio de dirección IP . Esta configuración verifica las direcciones IP de los usuarios registrados y actualiza FortiGate cuando cambia la dirección IP de un usuario. Este temporizador es especialmente importante en entornos DHCP o dinámicos para evitar que los usuarios se bloqueen si cambian las direcciones IP. El servidor DNS del dominio debe ser preciso; Si el servidor DNS no actualiza los regi registros stros afectados de inmediato, la información de IP del agente recolector será inexacta.
bú squeda del grupo de usuarios. Esta configuración almacena en Caché el resultado de la búsqueda caché la pertenencia al grupo de usuarios durante un período de tiempo definido. No se actualiza, incluso si el usuario cambia la pertenencia a un grupo g rupo en AD.
Configuración del modo de acceso AD. Modo de acceso estándar.
Concepción de Windows:
o Domain\groups. UTM a usuarios y grupos. Perfiles No se admite el grupo g rupo anidado. o ag ente recolector. Filtros de grupo en el agente
Modo de acceso avanzado.
Nombres de usuario de la convención LDAP: o CN User, OU-Name, DC=Domain. Perfil UTM para usuarios, grupos y OU. Admite grupos anidados o o heredados. Filtrado de grupos:
o
o FortiGate filtro de como grupocliente en LDAP agente recolector.
Otra configuración importante de FSSO es el modo de acceso AD. Puede configurar el modo de acceso AD haciendo clic en Establecer información de acceso al directorio . El modo de acceso AD especifica cómo el agente recopilador accede y recopila la información de usuarios y grupos de usuarios. Hay dos modos que se pueden utilizar para acceder a la información del usuario de AD: Estándar y Avanzado. La principal diferencia entre los modos es la convención de nomenclatura utilizada: El modo Estándar usa la convención de Windows, NetBios: dominio \ grupos, mientras que El modo Avanzado usa la convención de LDAP: CN = Usuario, OU-Name, DC = Dominio.
Además, el modo avanzado admite grupos anidados o heredados; es decir, los usuarios pueden ser
miembros de subgrupos que pertenecen a grupos principales supervisados. Además, en el modo
avanzado, FortiGate puede aplicar perfiles de seguridad a usuarios individuales, grupos de usuarios y unidades organizativas (OU). En comparación, en el modo estándar, los perfiles de seguridad solo se pueden aplicar a grupos de usuarios, no a usuarios individuales. En modo avanzado, puede configurar FortiGate como cliente LDAP y configurar los adaptadores de grupo FortiGate. También puede configurar filtros de grupo en el agente ag ente de recopilación. Si el LDAP en el agente recolector falla, no importa lo que diga el LDAP en FortiGate, FSSO no funcionará. Si el LDAP de FortiGate falla, pero el LDAP en el agente recolector aún se está ejecutando, es posible que FortiGate no pueda recolectar registros, pero el agente recolector seguirá recolectando registros Fortinet recomienda encarecidamente encarecidamente a los usuarios que creen filtros desde el agente recolector.
Soporte de AD Group. Tipo de grupo admitido:
Grupos de seguridad. Grupos universales. Grupos dentro de OU. Grupos locales o universales que contienen grupos universales de dominios secundarios (solo con el catálogo global).
Si el usuario no es parte de un grupo FSSO:
Para FSSO pasivo: o El usuario es parte de
SSO_Guest_User. Para FSSO pasivo y activo: Se solicita al usuario que o inicie sesión.
En la configuración de AD, no se admiten todos los tipos de grupos. Admite grupos gr upos de filtrado solo de:
Grupos de seguridad. Grupos universales. Grupos dentro de OU. Grupos locales o universales que contienen grupos universales de dominios secundarios (solo con el catálogo global).
Todas las configuraciones de FortiGate incluyen un grupo de usuarios llamado SSO_Guest _User. Cuando solo se utiliza la autenticación pasiva, todos los usuarios que no pertenecen a ningún grupo g rupo FSSO se incluyen automáticamente en este grupo de invitados. Esto permite a un administrador configurar el acceso limitado a la red para usuarios invitados que no pertenecen al dominio de Windows AD. Sin embargo, si tanto la autenticación pasiva como la activa están habilitadas para tráfico específico, específico, no se puede usar SSO_ Guest User, porque el tráfico de direcciones IP que no están en la lista de usuarios de FSSO necesitará que se le pida que ingresen sus credenciales.
Ajustes avanzados. Citrix / Terminal Server.
Modo de agente de Terminal Server (TS): supervisa los inicios de sesión de los usuarios en tiempo real.
un agente cobrador. Requiere Sin soporte de votación de o FortiGate.
Contabilidad RADIUS.
Notifique al firewall sobre eventos de inicio y cierre de sesión.
Servidores de Syslog.
Notifique al firewall sobre eventos de inicio y cierre de sesión.
Servidor de intercambio.
MS Exchange Server. Supervisar Permita que los usuarios accedan a los correos electrónicos a través de la cuenta de dominio. o Accediendo desde el dominio o no.
Dependiendo de su red, es posible que deba configurar opciones avanzadas en su agente de recopilación de FSSO. Los servidores Citrix admiten FSSO. El modo de agente de Terminal Server (TS) permite al servidor monitorear los inicios de sesión de los usuarios en tiempo real. El agente TS es como un agente ag ente DC, también necesita que el agente recolector recopile y envíe los eventos de inicio de sesión a FortiGate. Luego usa los mismos puertos para informar los inicios de sesión al agente recolector. r ecolector.
El agente recopilador solo puede obtener eventos de inicio de sesión precisos de los servidores Citrix si cada usuario obtiene su propia dirección IP. De lo contrario, si varios usuarios comparten la misma dirección IP, el agente TS es necesario para que pueda informar al agente recopilador sobre el usuario, la dirección IP y el rango del puerto de origen asignado a ese usuario. El agente de TS no puede reenviar registros directamente a FortiGate, primero debe recopilarlos un recopilador. Esto no funciona con las encuestas de FortiGate. Un servidor RADIUS configurado como un sistema de contabilidad basado en RADIUS puede interactuar en su red enviando mensajes de contabilidad al agente recolector. El ag agente ente recolector FSSO también admite la integración con servidores Syslog para el mismo mi smo propósito El agente recolector FSSO también puede monitorear un servidor Microsoft Exchange, lo cual es útil cuando los usuarios acceden a su correo electrónico usando su cuenta de dominio. Para el modo de sondeo de registros de eventos de seguridad de Windows, puede configurar los ID De evento para sondear aquí. Para obtener ID de eventos específicos, visite la base de conocimientos de Fortinet (http://kb.fortinet.com) http://kb.fortinet.com).
Verificación de conocimientos. 1. Si tiene agentes recopiladores que utilizan el modo de agente de DC o el modo de sondeo basado en el agente recopilador, ¿qué conector de estructura debe seleccionar en FortiGate? A. Sondeo del servidor de Active Directory. B. Agente de inicio de sesión único de Fortinet (FSSO).
2. ¿Cuál de las siguientes convenciones de nomenclatura utiliza el agente recopilador FSSO para acceder a Windows AD en el modo de acceso a cceso estándar? A. Convención de Windows NetBios: Dominio
B. Convención LDAP: CN
\ grupos.
= Usuario, OU = Nombre, DC = Dominio.
Mensajes de registro de FSSO en FortiGate. Los registros de FSSO se generan a partir de eventos de autenticación, como eventos de inicio y cierre de sesión de usuario y eventos de autenticación NTLM. o Para registrar todos los eventos, establezca el nivel de registro mínimo en Notificación o Información.
Los mensajes de registros relacionados con FSSO se generan a partir de eventos de autenticación. Estos incluyen eventos de inicio y cierre de sesión de usuario y eventos de autenticación NTML. Estos mensajes de registro son fundamentales para las políticas de contabilidad de la red y también pueden resultar útiles para solucionar problemas. Para asegurarse de registrar todos los eventos necesarios, establezc establezcaa el nivel de registro mínimo en Notificación o Información. El registro del cortafuegos requiere Notificación como nivel mínimo de registro. Cuanto más cerca esté el nivel de registro al nivel de depuración, más información se registrará.
Mensajes de registro en el agente recopilador de FSSO.
Al solucionar problemas de implementaciones basadas en agentes FSSO, es posible que desee ver los mensajes de registro generados directamente en el agente recopilador FSSO. La sección Registro del agente recolector r ecolector FSSO permite las siguientes configuraciones:
Nivel de registro: seleccione el nivel de gravedad mínimo de los mensajes registrados. Incluye estos niveles: o Depuración: el nivel de registro más detallado Se utiliza para solucionar problemas de forma activa. Información: incluye detalles sobre eventos de inicio i nicio de sesión y comprobaciones comprobaciones o de la estación de trabajo. Este es el nivel recomendado para la mayoría de soluciones de problemas. Advertencia: el nivel predeterminado. Proporciona información sobre fallas. o Error: este nivel enumera solo los l os eventos más graves. o
Límite de tamaño del archivo de registro (MB) : introduzca el tamaño máximo del archivo de registro en MB. El valor predeterminado es 10.
Ver registro: vea todos los registros regi stros de agentes de la FSSO.
Registre los eventos de inicio de sesión en registros separados : registre la información relacionada con el inicio de sesión del usuario por separado de otros registros. La información en este registro incluye: datos recibidos de agentes de DC, información de inicio / cierre de sesión del usuario, usu ario, información de cambio de IP de la estación de trabajo y datos enviados a dispositivos FortiGate. Cuando se selecciona, un resumen de los eventos enviados y eliminados de FortiGate aparece en Ver eventos de inicio de sesión , mientras que el resto de la información permanece en Ver registro.
Ver eventos de inicio de sesión: si está habilitado Registrar eventos de inicio de sesión en registros separados, podrá ver la información relacionada con el inicio de sesión del usuario.
Consejos para la resolución de problemas de FSSO. 1. Asegúrese de que todos los cortafuegos permitan los puertos requeridos r equeridos por FSSO. Por ejemplo: puertos 139 (verificación de la estación de trabajo), 445 (verificación de la estación de trabajo y sondeo del registro de eventos), 389 (LDAP) y 445, 636 (LDAPS). 2. 2. Garantice un ancho de banda de al menos 64 Kbps entre FortiGate y los controladores de dominio. Configure la configuración del tráfico para garantizar que el ancho de banda mínimo esté siempre disponible. 3. 3. Configure el temporizador de tiempo de espera para eliminar las sesiones inactivas después de un tiempo más corto. Alternativamente, anime a los usuarios a cerrar la sesión de una máquina antes de iniciar sesión en otra máquina. 4. 4. Asegúrese de que DNS esté configurado y actualizando las direcciones IP si cambia la dirección IP del host. 5. Nunca configure el intervalo de verificación de la estación de trabajo del temporizador en 0.
Esto evita que el agente recopilador caduque las entradas obsoletas. Solo pueden eliminarse mediante un nuevo evento que los sobrescriba. Esto puede ser peligroso en entornos donde los usuarios de FSSO y no FSSO comparten el mismo grupo de DHCP. 6. 6. Incluya todos los grupos FSSO en las políticas de firewall cuando utilice autenticación pasiva.
Incluso agregue los usuarios invitados de SSO a una política de seguridad basada en identidad para permitir el tráfico. Si la autenticación activa se usa como respaldo, asegúrese de que el usuario invitado SSO no se agregue a las políticas.
Comience con los siguientes consejos, que son útiles en muchas situaciones de resolución de problemas de FSSO: FSSO tiene varios puertos obligatorios que se deben permitir a través de todos los firewalls o las conexiones fallarán. Estos incluyen los puertos: 139 (verificación de la estación de trabajo), 445 (verificación de la estación de trabajo y sondeo del registro de eventos), 389 (LDAP) y 445 y 636 (LDAPS).
Configure la configuración del tráfico entre FortiGate y los controladores de dominio para garantizar que el ancho de banda mínimo esté siempre disponible. Si no hay suficiente ancho de banda, es posible que parte de la l a información de FSSO no llegue a FortiGate.
En un entorno de Windows, elimine las sesiones inactivas. De lo contrario, puede hacer que una sesión para máquinas no autenticadas salga como usuario autenticado. Esto puede ocurrir si la concesión de DHCP expira para el usuario autenticado y el agente recolector puede verificar que el usuario haya cerrado la sesión.
Asegúrese de que el DNS esté configurado correctamente y actualice las direcciones IP si cambia la dirección IP de las estaciones de trabajo.
Nunca establezca el intervalo de verificación de la estación de trabajo en 0. Esto evita que el agente recopilador caduque las entradas obsoletas. Solo pueden eliminarse mediante un nuevo evento que los sobrescriba. Esto puede ser especialmente peligroso en entornos donde los usuarios de FSSO y no FSSO comparten el mismo grupo de DHCP.
Cuando utilice únicamente la autenticación pasiva, incluya el grupo de usuarios invitados en una política y deles acceso. Asocie su grupo con una política de seguridad. Si la autenticación activa se usa como respaldo, asegúrese de que SSO_Guest_User no se agregue a las políticas. SSO_Guest_User y la autenticación activa son mutuamente excluyentes.
Usuarios actualmente conectados.
Si la aplicación de los consejos de la diapositiva anterior no resolvió sus problemas de FSSO, es posible que deba aplicar algunos alg unos comandos de depuración. Para mostrar la lista de usuarios de FSSO que están conectados actualmente, use el comando CLI diagnose debug authd fsso list . Para cada usuario, se muestran el nombre de usuario, el grupo de usuarios, la dirección IP y el nombre de la estación de trabajo desde la que inició sesión. La sección MemberOf muestra el grupo que se creó en el firewall, al que asignó el grupo ADEl mismo grupo debe mostrarse en la pantalla del grupo de usuarios en la GUI. Además, use execute fsso refresh para actualizar manualmente m anualmente la información del grupo de usuarios de cualquier servidor de servicio de directorio conectado a FortiGate, utilizando el agente recopilador.
Conexión a FortiGate. Verifique la conectividad entre el agente recolector y FortiGate.
# diagnose debug enable # diagnose debug authd fsso server-status. Server Name
Connection Status
Version
------------
----------------
-----------------
TrainingDomain
connected
FSSO 5.0.0289
Para mostrar el estado de la l a comunicación entre FortiGate y cada agente recolector, puede usar el comando CLI diagnosticar debug authd server-status. Sin embargo, antes de usar ese comando, primero debe ejecutar el comando diagnose
debug enable .
Comandos adicionales.
# diagnose debug authd fsso filter
Filtros usados para listar o borrar inicios de sesión
list
Mostrar usuarios registrados actualment actualmente e
refresh-groups
Actualizar el mapeo del grupo
Sumnary
Resumen de usuarios conectados actualmente
clear-logons
Eliminar el estado de inicio de sesión en caché
refresh-logons
Volver a sincronizar la base de datos de inicio de sesión
server-status
Mostrar el estado de la conexión del servidor FsSO
#diagnose firewall auth clear
Borra todos los usuarios filtrados
# diagnose firewall auth filter
Filtrar grupo específico, identificación, etc.
# diagnose firewall auth
Lista de usuarios autenticados
Además, en el comando diagnose debug authd fsso están disponibles los comandos para borrar la la memoria caché de FortiGate de todos los usuarios conectados actualmente, filtrar la visualización de la lista de usuarios conectados y actualizar la información de inicio de sesión y grupo de usuarios.
Modo de sondeo.
El comando diagnose debug fsso-polling detail muestra información de estado y algunas estadísticas relacionadas con los sondeos realizados por FortiGate en cada DC en el sondeo sin agente. ag ente. Si el read log offset se incrementa, FortiGate se está conectando y leyendo los registros en el controlador de dominio. Si el read log offset se incrementa pero no obtiene ningún evento de inicio de sesión, verifique que el filtro de grupo sea correcto y, a menudo, compruebe que el controlador de dominio está creando los ID de evento correctos. El comando diagnose activos de FSSO.
debug fsso-polling refresh-user descarga información sobre todos los usuarios
En modo de sondeo sin agente. FortiGate consulta con frecuencia el visor de eventos para obtener los eventos de inicio de sesión. Puede rastrear este tráfico en el puerto 445. Además, hay un demonio FortiGate específico que maneja el modo de sondeo. Es el demonio fssod. Para habilitar la depuración en tiempo real del modo de sondeo sin agente, utilice el comando diagnose debug application fssod -1.
Verificación de conocimientos. 1. ¿Qué nivel de registro muestra los eventos de inicio de sesión en el agente recopilador? A. Información.
B. Advertencia. 2. ¿El comando diagnosticar debug sso-polling detail muestra información para qué modo de FSSO? A. Sondeo sin agente.
B. Encuestas basadas en agentes ag entes recolectores.
¿Qué es FortiGate HA?
La idea de HA es simple. HA vincula y sincroniza dos o más dispositivos.
En FortiGate HA, un dispositivo FortiGate actúa como dispositivo principal (también (también llamado FortiGate activo). Sincroniza su configuración con los demás dispositivos. Los otros dispositivos FortiGate se denominan dispositivos secundarios o en espera. ¿Un enlace de latido entre los dispositivos? ¿Todos los dispositivos FortiGate están procesando tráfico? ¿HA mejora la disponibilidad o mejora el rendimiento? La respuesta varía, según el modo HA. HA . Actualmente hay dos modos HA disponibles: activo-activo y activo-pasivo. Ahora, examinará las diferencias.
Alta disponibilidad activa-pasiva.
Primero, echemos un vistazo al modo activo-pasivo. En cualquiera de los dos modos de operación HA, la configuración de los dispositivos FortiGate secundarios se sincroniza con la configuración del dispositivo principal. En modo activo-pasivo, el FortiGate principal es el único dispositivo FortiGate que procesa el tráfico de forma activa. Los dispositivos secundarios de FortiGate permanecen en modo pasivo, monitoreando el estado del dispositivo principal. Si se detecta un problema en el FortiGate principal, uno de los dispositivos secundarios asumirá la función principal. Este evento se llama conmutación por error de alta disponibilidad.
Alta disponibilidad activa- activa.
El otro modo HA es activo-activo. Al igual que HA activo-pasivo, en HA activo-activo, todas las configuraciones de FortiGate están sincronizadas. Además, si se detecta un problema en el dispositivo principal, uno de los secundarios asumirá el papel del principal para procesar el tráfico. Sin embargo, una de las principales diferencias en el modo activo-pasivo es que, en el modo activo-activo, todos los dispositivos FortiGate procesan el tráfico. Una de las tareas de un FortiGate primario en modo activo-activo es equilibrar parte del tráfico entre todos los dispositivos secundarios.
Protocolo de agrupación de FortiGate (FGCP). Un clúster utiliza el protocolo de clústeres FortiGate (FGCP) para: Descubra otros dispositivos FortiGate que pertenecen al mismo grupo HA. o Elija la primaria. o o Sincronice la configuración y otros datos. o Detecta cuando un FortiGate falla.
FGCP se ejecuta solo sobre los enlaces de latido.
puerto TCP 703 con diferentes valores de tipo de Ethernet. Utiliza el0x8890 - Modo NAT. 0x8891 - Modo transparente. o Utiliza el puerto TCP 23 con Ethernet tipo 0x8893 para la sincronización de la configuración.
o
Si el FortiGate principal se reinicia o se apaga, se convierte en el FortiGate secundario y espera a que el tráfico cambie al nuevo primario antes de que se reinicie o se apague.
Entonces, ¿cómo se comunican los dispositivos FortiGate en un clúster HA? FortiGate HA utiliza FGCP para comunicaciones relacionadas con HA. FGCP viaja entre los dispositivos FortiGate agrupados a través de los enlaces que ha designado desig nado como latidos. Debe crear un enlace de latido entre dos dispositivos FortiGate utilizando un cable RJ45 o cruzado normal. Si tiene otro dispositivo entre los dos dispositivos FortiGate, como un conmutador, asegúrese de que esté dedicado y aislado del resto de su s u red. De esta manera, el tráfico FGCP crítico no necesita competir con el resto del tráfico por el ancho de banda. El clúster en modo NAT y el clúster en modo transparente utilizan diferentes valores de tipo de Ethernet para descubrir y verificar el estado de otros dispositivos FortiGate en un clúster operativo. Los dispositivos FortiGate en un clúster usan sesiones Telnet a través del puerto TCP 23, con Ethernet tipo 0x8893 sobre enlaces de latidos, para sincronizar la configuración del clúster y conectarse a la CLI de otro FortiGate en un clúster.
Cuando reinicia o apaga manualmente el FortiGate primario, antes de que el FortiGate primario se apague realmente, se convierte en el dispositivo secundario en un clúster HA y espera a que el tráfico cambie al nuevo primario antes de que se apague o se reinicie.
Requisitos de HA. De dos a cuatro dispositivos FortiGate idénticos. Las mismas licencias en todos los miembros del clúster. o Un enlace (preferiblemente dos o más) entre dispositivos FortiGate para latidos. Las mismas interfaces en cada FortiGate conectado al mismo dominio de transmisión. Se admiten las interfaces DHCP y PPPoE.
La configuración de FortiGate HA requiere una configuración y dispositivos específicos. Primero, al menos dos, pero hasta cuatro, dispositivos FortiGate con lo mismo: Firmware. Modelo de hardware y licencia de VM. Licencias de FortiGuard, FortiCloud y FortiClient. Capacidad de disco duro y particiones. Modo de funcionamiento (transparente o NAT).
¿Qué pasa si uno de los dispositivos FortiGate tiene un nivel de licencia más bajo que otros dispositivos FortiGate en el clúster? Todos los dispositivos FortiGate del clúster volverán a tener ese nivel de licencia más bajo. Por ejemplo, si solo compra el filtrado web FortiGuard para uno de los dispositivos FortiGate en un clúster, cuando el clúster está en funcionamiento, ninguno de los miembros del clúster admitirá el filtrado web FortiGuard En segundo lugar, al menos un enlace entre los l os dispositivos FortiGate para la comunicación HA La comunicación comunicació n HA se denomina tráfico de latidos. Para la redundancia, se pueden crear hasta ocho interfaces de latido. Si falla un enlace, HA utilizará el siguiente, como lo indica la prioridad y la posición en la lista de interfaces de latido. En tercer lugar, las mismas interfaces en cada dispositivo FortiGate deben estar conectadas al mismo conmutador o segmento LAN. Tenga en cuenta que en el ejemplo que se muestra en la diapositiva, los dispositivos FortiGate son redundantes para mitigar la falla. Pero los interruptores y sus enlaces siguen siendo un solo punto de falla. Como verá más adelante, también puede tener redundancia en los conmutadores y enlaces de red. Como mejor práctica (y recomendación de Fortinet), configure las interfaces de FortiGate con direcciones IP estáticas al formar un clúster de alta disponibilidad. Una vez que se forma una HA, puede configurar el direccionamiento DHCP o PPPOE para una interfaz Si una interfaz está configurada para DHCP o PPPoE, habilitar HA puede resultar en que la interfaz reciba una dirección incorrecta o no pueda conectarse al servidor DHCP o PPPoE correctamente.
Elección primaria de FortiGate: Inhabilitar anulación. (predeterminado). Anular deshabilitar (predeterminado). Forzar una conmutación por error. o diagnose sys ha reset-uptime Compruebe las diferencias de tiempo de actividad de HA.
El proceso para elegir el FortiGate principal depende de una configuración de HA llamada l lamada anulación de HA. Esta diapositiva muestra el proceso y los criterios de selección que utiliza un clúster para elegir el FortiGate principal cuando la configuración de anulación de HA está deshabilitada, que es el comportamiento predeterminado. Tenga en cuenta que el proceso de selección se detiene en el primer criterio coincidente que selecciona con éxito un FortiGate primario en un clúster. 1. 1. El clúster primero compara la cantidad de interfaces monitoreadas cuyos estados están activos. El dispositivo FortiGate con la mayoría de las interfaces monitoreadas disponibles se convierte en el principal. 2. 2. El clúster compara los tiempos de actividad de alta disponibilidad de los dispositivos individuales. Si el tiempo de actividad de HA de un dispositivo es al menos cinco minutos más que los tiempos de actividad de HA de los l os otros dispositivos FortiGate, se convierte en el principal. 3. 3. El FortiGate con la prioridad más alta al ta configurada se convierte en el principal. 4. 4. El clúster elige el primario comparando los números de serie. Cuando la anulación de HA está deshabilitada, el tiempo de actividad de HA tiene prioridad sobre la configuración de prioridad. Si, por cualquier motivo, necesita cambiar qué dispositivo es el principal actual, puede forzar manualmente un evento de conmutación por error. Cuando la configuración de anulación está deshabilitada, la forma más sencilla de hacerlo es ejecutando el comando CLI diagnose sys ha reset-uptime en el FortiGate principal. Tenga en cuenta que el comando reset-uptime restablece el tiempo de actividad de HA internamente y no afecta el tiempo de actividad del sistema que se muestra en el tablero de un FortiGate.
Además, si falla una interfaz monitoreada, o si un FortiGate en un clúster se reinicia, el tiempo de actividad de HA para ese FortiGate se restablece a 0.
Tenga en cuenta que puede ver la diferencia de tiempo de actividad de HA entre los mi miembros embros del clúster. El dispositivo con 0 en la columna uptime indica el dispositivo con menor tiempo de actividad. En este ejemplo, el dispositivo que termina con el número de serie 92 9 2 tiene un tiempo de actividad de HA 7814/10 segundos mayor que el otro dispositivo en el clúster de HA La columna reset_cnt indica el número de veces Se ha restablecido el tiempo de actividad de HA para ese dispositivo.
Elección primaria de FortiGate: Anulación habilitada. Anulación habilitada.
config system ha set override enable fin
Forzar una conmutación por error. Cambie la prioridad de de HA. o
Puede modificar el orden de los criterios de selección que los clústeres consideran al elegir el FortiGate principal. Si la configuración de anulación de HA está habilitada, la prioridad se considera antes del tiempo de actividad de HA. La ventaja de este método es que puede especificar qué dispositivo es el tiempo de visualización principal preferido (siempre que esté en funcionamiento) configurándolo con el valor de prioridad HA más alto. La desventaja es que se activa un evento de conmutación por error no solo cuando falla el primario, sino también cuando el primario vuelve a estar disponible. Cuando un primario vuelve a estar disponible, recupera su función principal del FortiGate secundario que lo reemplazó temporalmente. Tenga en cuenta que el proceso de selección se detiene en el primer criterio de coincidencia que selecciona correctamente correctamente un FortiGate principal pri ncipal en un grupo. g rupo. Cuando la anulación está habilitada, la forma más sencilla de activar una conmutación por error es cambiar las prioridades de HA. Por ejemplo, puede aumentar la prioridad priori dad en uno de los secundarios o disminuir la prioridad en el primario. La configuración de anulación y los valores de prioridad del dispositivo no están sincronizados con todos los miembros del clúster. Debe habilitar la invalidación y ajustar la prioridad del dispositivo manualmente y por separado para cada miembro del clúster.
Verificación de conocimientos 1. Para formar un clúster de alta disponibilidad, todos los dispositivos FortiGate que se incluirán en el clúster deben tener ¿cuál de los siguientes? A. El mismo nombre de host de FortiGate. F ortiGate. B. El mismo firmware.
2. ¿Cuáles son los criterios predeterminados (anulación deshabilitada) para seleccionar el dispositivo principal de alta disponibilidad en un clúster de alta disponibilidad? A. Puertos monitoreados conectados> tiempo tiempo de actividad de HA> prioridad> número número de serie.
B. Prioridad> tiempo de actividad de HA> puertos monitoreados conec conectados> tados> número de serie.
Tareas principales de FortiGate. Intercambia paquetes de saludo de latido con todos los dispositivos secundarios. Sincroniza su tabla de enrutamiento, información DHCP y parte de su configuración con todos los dispositivos secundarios. Puede sincronizar la información de algunas de las sesiones de tráfico para una conmutación por error sin problemas. Solo en modo activo-activo: Distribuye el tráfico específico entre todos los dispositivos del clúster. o
Entonces, ¿cuáles son las tareas de un FortiGate primario? Monitorea el clúster enviando señales hello y escuchando respuestas, para identificar si otros dispositivos FortiGate están activos y disponibles. También sincroniza su tabla de enrutamiento, enrut amiento, la información DHCP y parte de su configuración con los otros dispositivos. Opcionalmente, puede configurar el FortiGate primario para sincronizar parte de la información de la sesión de tráfico con todos los dispositivos secundarios. Esto permite una conmutación por error más rápida y sin problemas para algunas sesiones. Algunas aplicaciones no necesitarán restablecer sus sesiones después de una falla en un FortiGate principal. Aprenderá qué información de la sesión se puede sincronizar más adelante en la lección. Solo en modo activo-activo, un FortiGate primario pri mario también distribuye tráfico específico entre todos los dispositivos disponibles en el clúster.
Tareas secundarias de FortiGate. Monitorea el primario en busca de signos de falla usando hello o monitoreo de puertos. o Si se detecta un problema con el primario, los dispositivos secundarios eligen un nuevo primario. Solo en modo activo-activo: o Procesa el tráfico distribuido por el primario.
Ahora, eche un vistazo a las tareas de los dispositivos secundarios de FortiGate.
Si el modo es activo-pasivo, los secundarios simplemente esperan, reciben datos de sincronización, pero en realidad no procesan ningún tráfico. Si el FortiGate primario falla, los secundarios elegirán un nuevo primario. En el modo activo-activo, los secundarios no esperan pasivamente. Procesan todo el tráfico que les asigna el dispositivo principal.
Direcciones IP de la interfaz de latido. El clúster asigna direcciones IP virtuales a interfaces de latido según el número de serie de cada FortiGate: 169.254.0.1: para el número de serie más alto. o 169.254.0.2: para el segundo número de serie más alto. o 169.254.0.3: para el tercer número de serie más alto (y así sucesivamente). sucesivamente). o Los dispositivos FortiGate mantienen sus direcciones IP virtuales de latido independientemente independienteme nte de cualquier cambio en su función (primaria o secundaria). La asignación de la dirección IP cambia solo cuando un FortiGate abandona o se o une al clúster.
utiliza estas direcciones IP virtuales para: El clúster o Distinga los miembros del clúster.
o
Actualice los cambios de configuración de los miembros del clúster.
¿Qué pasa con las interfaces de latido? No es necesario configurar interfaces de latido. El protocolo de agrupación de FortiGate negocia automáticamente las direcciones IP de latido en función del número de serie de cada dispositivo. La dirección IP 169.254.0.1 se asigna al dispositivo con el número de serie más alto. La dirección IP 169.254.0.2 se asigna al dispositivo con el segundo seg undo número de serie más al alto, to, y así sucesivamente. La asignación de la dirección IP no cambia cuando ocurre una conmutación por error. Independientemente Independientem ente de la función del dispositivo en cualquier momento (primario o secundario), su dirección IP virtual de latido sigue siendo la misma. Puede ocurrir un cambio en las direcciones IP de latido cuando un dispositivo FortiGate se une o sale del clúster. En esos casos, el clúster renegocia la asignación de la dirección IP de latido, esta vez teniendo en cuenta el número de serie de cualquier dispositivo nuevo o eliminando el número de serie de cualquier dispositivo que salió del clúster. El clúster HA utiliza estas direcciones IP virtuales para distinguir los miembros del clúster y actualizar los cambios de configuración de los miembros del clúster.
Puertos de latido y puertos supervisados. Los puertos Heartbeat contienen información confidencial sobre la configuración del clúster. Debe tener una interfaz de latido, pero se recomienda usar dos para la o
redundancia. El puerto del conmutador FortiGate no se puede utilizar para el puerto de latido. o
Los puertos supervisados suelen ser netvworks (interfaces) que procesan tráfico de alta prioridad. o Evite configurar la supervisión de interfaces para todas las interfaces. No supervise las interfaces de latido dedicadas. o Puede monitorear interfaces VLAN. o Espere hasta que un clúster esté en funcionamiento y todas las interfaces estén o conectadas conectad as antes de habilitar la supervisión de la interfaz.
Hay algunos elementos que deben tenerse en cuenta al conectar interfaces de latido y configurar la supervisión de la interfaz. Los puertos Heartbeat contienen información confidencial sobre la configuración del clúster y requieren una buena cantidad de ancho de banda para garantizar que las configuraciones del clúster estén sincronizadas en todo momento. Debe tener al menos m enos un puerto para el tráfico de latidos, preferiblemente dos. Como práctica recomendada, configure un alias para las interfaces de latido. Ayuda a identificar para qué se utilizan estas interfaces en un clúster de alta disponibilidad.
Tenga en cuenta que la comunicación de latido se puede habilitar para interfaces físicas, pero no para sub-interfaces VLAN, interfaces IPsec VPN, interfaces redundantes, interfaces agregadas 802.3ad o puertos de conmutador FortiGate. Debe configurar la supervisión de la interfaz solo para aquellos puertos cuyo fallo debería desencadenar una conmutación por error del dispositivo (por ejemplo, puertos de tráfico de alta prioridad). No debe configurar la supervisión de puertos para los puertos de latido dedicados.
Como práctica recomendada, espere hasta que un clúster esté en funcionamiento y todas las interfaces estén conectadas antes de habilitar la supervisión de la l a interfaz. Una interfaz i nterfaz supervisada puede desconectarse fácilmente durante la configuración inicial y provocar que se produzcan fallos antes de que el clúster esté completamente configurado y probado.
Sincronización de configuración completa HA.
Para prepararse para una conmutación por error, un clúster de alta disponibilidad mantiene sus configuraciones sincronizadas. Lo explorarás ahora. FortiGate HA utiliza una combinación de sincronizaciones tanto incrementales como completas. Cuando se agrega un nuevo FortiGate al clúster, el FortiGate primario compara su suma de verificación de configuración con la nueva suma de verificación de configuración secundaria de FortiGate. Si las sumas de comprobación no coinciden, el FortiGate principal carga su configuración completa en el FortiGate secundario.
Sincronización de configuración incremental HA.
Una vez completada la sincronización inicial, el primario enviará cualquier cambio de configuración adicional realizado por un administrador a todos los secundarios. Por ejemplo, si crea un objeto de dirección de firewall, el principal no reenvía r eenvía su configuración complet completa, a, solo envía el nuevo objeto.
Sincronización de configuración HA. i ncluyen: Las sincronizaciones incrementales también incluyen: Datos dinámicos como concesiones DHCP, actualizaciones de la tabla de o enrutamiento, SA IPsec, información de sesión, etc. Periódicamente, HA comprueba la sincronización. o Si los valores de la suma de comprobación CRC coinciden, el clúster está sincronizado. o Si las sumas de comprobación no coinciden después de cinco intentos, el secundario descargará toda la configuración del primario.
HA propaga más que solo detalles de configuración. Algunos datos en tiempo de ejecución, como las concesiones DHCP y las tablas de enrutamiento, también se sincronizan. De forma predeterminada, el clústerSiverifica 60 segundos para asegurarse de que todos los dispositivos estén sincronizados. algún cada secundario no está sincronizado, la suma de
comprobación de los dispositivos secundarios se verifica cada 15 segundos. Si las sumas de
comprobación no coinciden durante cinco comprobaciones consecutivas, se realiza una sincronización completa.
¿Qué no está sincronizado? de configuración no se sincronizan entre los miembros mi embros del clúster: Estoso valores Configuración de la interfaz de administración de HA. Ruta predeterminada de alta disponibilidad para la interfaz de gestión reservada. Interfaz de gestión de alta disponibilidad en banda. o Anulación de HA. o Prioridad del dispositivo HA. o Prioridad de clúster virtual HA. o Nombre de host de FortiGate. o o Haga ping a las prioridades de HA del servidor. Prioridad HA (configuración de prioridad ha para un servidor de ping o configuración de detección de puerta de enlace inactiva. o Licencias.
FortiGuard, activación de FortiCloud y licencias de FortiClient. Cache. Filtro web y filtro de correo electrónico de FortiGuard, caché web, etc. El FortiGate principal sincroniza todos los demás ajustes de configuración y otros detalles de configuración relacionados con los ajustes de HA. o
No todos los ajustes de configuración están sincronizados. Hay algunos que no lo son, como: La configuración de la interfaz del sistema de la interfaz de gestión reservada HA y la ruta predeterminada de HA para la interfaz de gestión reservada. Interfaz de gestión de alta disponibilidad en banda. Anulación de HA. Prioridad del dispositivo HA. La prioridad del clúster virtual.
El nombre de host de FortiGate. La configuración de prioridad de alta disponibilidad para una configuración de servidor de ping (o detección de puerta de enlace inactiva). Licencias. Cachés.
El FortiGate principal sincroniza todos los demás ajustes de configuración, incluidas otras configuraciones relacionadas con los ajustes de HA.
Sincronización de sesiones. Para la mayoría de las sesiones VPN TCP e IPsec, la tabla de sesiones se puede sincronizar.
o
Solo se pueden sincronizar las sesiones que no estén gestionadas por perfiles de
seguridad basados en proxy. config system ha set session-pickup enable
end
Las sesiones UDP e ICMP también se pueden sincronizar.
config systen ha set session-pickup enable set session-pickup-connectionles session-pickup-connectionless s enable end
Las sesiones de multidifusión también se pueden sincronizar.
config system ha set multicast-ttl end
Las sesiones de SSL VPN no están sincronizadas.
La sincronización de sesiones permite una conmutación por error perfecta para parte del tráfico. La información de algunas sesiones está sincronizada, por lo que cuando la primaria falla, la nueva primaria puede hacerse cargo de las sesiones donde se quedaron y mantenerlas abiertas. Es posible que el tráfico se interrumpa durante unos segundos, pero las aplicaciones de red no necesitan volver a conectar las sesiones. Una vez que se habilita la sincronización sincronización de sesiones, el dispositivo sincroniza las sesiones VPN TCP e IPsec que cumplen con un requisito: no son manejadas por perfiles de seguridad basados en proxy. Sin embargo, las sesiones que utilizan perfiles de seguridad basados en flujo son compatibles, pero las funciones de perfil de seguridad ya no inspeccionan las sesiones de conmutación por error. Tenga en cuenta que, si se aplican funciones de perfil de seguridad basadas en flujo y basadas en proxy a una sesión TCP, esa sesión no se reanudará después de una conmutación por error. Opcionalmente, puede habilitar la sincronización de sesiones UDP e ICMP. Aunque ambos protocolos no tienen sesión, las entradas se crean en la tabla de sesiones de FortiGate para cada flujo de tráfico UDP e ICMP. Por lo general, esta sincronización no es necesaria, porque la mayoría de las aplicaciones de red basadas en UDP o ICMP pueden mantener la comunicación incluso cuando se pierde la información de su sesión. También puede habilitar la sincronización de sesiones de multidifusión. El temporizador de tiempo de vida de multidifusión (TTL) controla cuánto tiempo se deben mantener sincronizadas las rutas de multidifusión en los dispositivos secundarios del clúster HA para que estén presentes en los dispositivos secundarios cuando se convierte en el nuevo dispositivo principal después de una conmutación por error. No se admite la sincronización de sesiones de VPN SSL.
Verificación de conocimientos. 1. ¿Qué información se sincroniza entre dos dispositivos FortiGate que pertenecen al mismo clúster
HA?
A. Políticas y objetos de firewall.
B. Nombre de host de FortiGate. 2. ¿Cuál de los siguientes tipos de sesión se puede sincronizar en un clúster de alta disponibilidad? A. Sesiones de VPN SSL. B. Sesiones de VPN IPsec.
Tipos de protección contra fallas. Conmutación por error del dispositivo Si el primario deja de enviar paquetes de latidos, otro FortiGate toma su lugar o automáticamente. Conmutación por error de enlace. o El clúster puede monitorear algunas interfaces para determinar si están operando y conectadas. Si falla una interfaz monitoreada en el primario, el clúster elige un nuevo primario. o Conmutación por error de sesión. o Cuando la captura de sesión está habilitada, la primaria recién elegida reanuda la
sesión activa evitando la necesidad de reiniciar la sesión activa. Los registros de eventos, las capturas SNMP y el correo electrónico de alerta registran eventos de conmutación por error.
Los tipos más comunes de conmutación por error son las de dispositivo y de enlace. Se activa una conmutación por error del dispositivo cuando el FortiGate principal deja de enviar tráfico de latidos. Cuando esto sucede, las secundarias renegocian una nueva primaria. Se produce una conmutación por error de enlace cuando el estado del enlace de una interfaz supervisada en el FortiGate principal cae. Puede configurar un clúster de alta disponibilidad para monitorear el estado del enlace de algunas interfaces. Si se desconecta una interfaz monitoreada en el FortiGate primario, o si el estado de su enlace se cae, se eli elige ge un nuevo FortiGate primario. Si la captura de sesión está habilitada para el tipo de tráfico que desea sincronizar entre los miembros del clúster, las sesiones se reanudan en caso de conmutación por error del dispositivo o del enlace. Hay varios eventos que pueden desencadenar una conmutación por error de HA, como una falla de hardware o software en el FortiGate primario o un problema en una de las interfaces del primario. Cuando se produce una conmutación por error, se genera un registro de eventos. Opcionalmente, el dispositivo también puede generar una trampa SNMP y un correo electrónico de alerta.
Direcciones MAC virtuales y conmutación por
error. En el primario, a cada interfaz se le asigna una dirección MAC virtual.
A las interfaces de latido de HA no se les asigna una dirección MAC virtual. Tras la conmutación por error, la primaria recién elegida adopta las mismas direcciones MAC virtuales que la primaria anterior.
Para reenviar el tráfico correctamente, una solución FortiGate HA utiliza direcciones MAC virtuales. Cuando un primario se une a un clúster de alta disponibilidad, a cada interfaz se le asigna una dirección MAC virtual. El ID del grupo HA se utiliza en la creación de direcciones MAC virtuales asignadas a cada interfaz. Entonces. si tiene dos o más clústeres de alta disponibilidad en el mismo dominio de transmisión y utiliza el mismo ID de grupo de alta disponibilidad. es posible que tenga conflictos de direcciones MAC. Para esos casos, se recomienda encarecidamente asignar diferentes ID de grupo HA a cada clúster. A través de los latidos, el primario informa a todos los secundarios sobre la dirección MAC virtual asignada. Tras la conmutación por error, un secundario adopta las mismas direcciones MAC virtuales para las interfaces equivalentes. El nuevo primario transmite paquetes ARP gratuitos, notificando a la red que ahora se puede acceder a cada dirección MAC virtual a través de un puerto de conmutador diferente. Tenga en cuenta que la dirección MAC de una interfaz de administración de alta disponibilidad reservada no se cambia a una dirección MAC virtual. En cambio, la interfaz de administración reservada mantiene su dirección MAC original.
Fallo de un FortiGate secundario. Clúster HA activo-pasivo. El primario actualiza la lista de dispositivos FortiGate secundarios disponibles. o
Clúster HA activo-activo. El primario actualiza la lista de dispositivos FortiGate secundarios disponibles y o redistribuye las sesiones para evitar dispositivos secundarios fallidos.
Como aprendió anteriormente en esta lección, si una primaria falla, se elige una nueva primaria. Pero, ¿qué sucede si falla un dispositivo FortiGate secundario? Depende del modo HA. En un clúster activo-pasivo. el primario solo actualiza su s u lista de dispositivos FortiGate secundarios disponibles. También comienza a monitorear el secundario fallado, esperando que vuelva a estar
en línea.
Sin embargo, en un clúster activo-activo, todos los secundarios están manejando el tráfico. Por lo tanto, el primario (que rastrea y asigna sesiones a cada secundario) no solo debe actualizar su lista de dispositivos FortiGate secundarios disponibles, sino que también debe reasignar sesiones del FortiGate fallido a un FortiGate secundario diferente.
Carga de trabajo. Clúster HA activo-pasivo. El primario recibe y procesa todo el tráfico. o El secundario espera pasivamente. o
Clúster HA activo-activo. o El primario recibe todo el tráfico y redirige parte del tráfico a los dispositivos secundarios.
Así es como se distribuye la carga de trabajo entre roles, según el modo HA. Tenga en cuenta que la carga de trabajo del tráfico no se distribuye en modo activo-pasivo, sino en modo activo-activo.
Flujo de tráfico activo-activo (inspección de proxy).
1. 1. srcMACX, dstMAC puerto MAC virtual primario1, primario1, puerto TCP SYN 80. 2. 2. srcMAC puerto MAC físico primario 1 1,, dstMAC puerto MAC físico secundario 1, 1 , puerto TCP SYN 80. 3a. srcMAC puerto MAC físico secundario2, secundario2, dstMACY, puerto TCP SYN 80. 3b. srcMAC puerto MAC físico secundario1 secundario1,, dstMAC X. TCP SYN ACK sport 80. Veamos cómo un clúster HA en modo activo-activo distribuye el tráfico cuando el tráfico está sujeto a la inspección del proxy.
Primero, el lado del cliente envía un paquete SYN. Siempre se reenvía al FortiGate principal utilizando la dirección MAC virtual de la interfaz interna i nterna como destino.
Si el primario decide que la sesión va a ser inspeccionada por un secundario, el primario reenvía el paquete SYN al secundario que realizará las inspecciones. En este ejemplo, la dirección MAC de origen de la trama reenviada se cambia a la dirección MAC física de la interfaz interna primaria de FortiGate y la dirección MAC de destino es la dirección MAC física de la interfaz interna secundaria de FortiGate. El FortiGate secundario inicia la conexión con el servidor enviando directamente un paquete SYN utilizando la dirección MAC física de la interfaz externa. El secundario también responde con un SYN / ACK al cliente, para el cual la dirección MAC de origen or igen es la dirección MAC física de la interfaz interna secundaria de FortiGate.
primario1.. TCP ACK dport 80. 4. srcMAC X, dstMAC puerto MAC virtual primario1 5. srcMAC puerto MAC físico primario 1, 1, puerto MAC físico secundario dstMAC 1, puerto TCP ACK 80. A continuación, el cliente reconoce el ACK. Se reenvía de nuevo al FortiGate principal util izando la dirección MAC virtual de la interfaz interna como destino. El dispositivo principal reenvía el paquete al secundario que inspecciona esa sesión, utilizando la dirección MAC física del secundario.
6. srcMAC Y, dstMAC primario-virtual MAC-port2, MAC-port2, TCP SYN ACK sport 80. 7. srcMAC puerto MAC físico primario 2 2,, dstMAC puerto MAC físico secundario 2, 2 , TCP SYN ACK sport 80. 8. srcMAC puerto MAC físico secundario 2 2,, dstMACY, TCPACK dport 80. Cuando el servidor responde al TCP SYN, nuevamente, el paquete se envía al primario usando la dirección MAC virtual de la interfaz externa. Entonces, el primario señala al secundario. Las respuestas secundarias al servidor. La idea no es equilibrar la carga del ancho de banda. El tráfico siempre se envía primero al primario. El objetivo principal es compartir CPU y memoria entre múltiples dispositivos FortiGate para la inspección del tráfico.
Flujo de tráfico activo-activo (sin inspección de proxy).
Cuando no hay inspección de proxy, esto es, cuando el tráfico está sujeto a inspección de flujo o no hay inspección en absoluto, el tráfico se distribuirá al FortiGate secundario solo si la configuración de equilibrio de carga está habilitada (deshabilitada de manera predeterminada) en HA configuración. Además, al igual que en la inspección de proxy, se observa el mismo comportamiento básico a continuación: 1. 1. El tráfico procedente del cliente o servidor y destinado al clúster de FortiGate siempre se envía al FortiGate principal. Las direcciones MAC de origen y destino serán el cliente / servidor y la dirección MAC virtual principal de FortiGate, respectivamente.
2. 2. El FortiGate primario puede, a su vez, reenviar el tráfico al secundario si la sesión debe tener un equilibrio de carga.
3. 3. Al equilibrar la carga del tráfico al FortiGate secundario, FortiGate utilizará las direcciones MAC de origen y destino, la dirección física utilizada por las interfaces primaria y secundaria, respectivamente (reescritura de la dirección MAC). 4. 4. Si el tráfico se ha equilibrado en la carga del FortiGate secundario, cualquier tráfico procedente del clúster y destinado al cliente o servidor siempre se obtendrá del FortiGate secundario. Esto significa que la dirección MAC de origen será la física de la interfaz secundaria. En comparación con la inspección de proxy, la diferencia es que FortiGate no responde a los paquetes en nombre del servidor o cliente. Por ejemplo, en lugar de responder al paquete SYN enviado por el cliente, FortiGate enviará el paquete a través del secundario al servidor. Del mismo modo, un paquete procedente del servidor se reenviará a través del FortiGate secundario al cliente.
Agrupación virtual. Los clústeres virtuales son una extensión de FGCP para FortiGate con múltiples VDOM. o El clúster HA debe constar de solo dos dispositivos di spositivos FortiGate. Permite que un FortiGate sea el principal para algunos VDOM y el secundario para los otros
VDOM.
Hasta ahora, hemos hablado de la agrupación en clústeres de alta disponibilidad en la que cada dispositivo FortiGate actúa como un dominio de seguridad completo. Pero, si tiene un clúster de alta disponibilidad con varios VDOM, puede configurar clústeres virtuales. Los clústeres virtuales le permiten tener un dispositivo que actúa como principal para un VDOM y como secundario para otro VDOM. Cada VDOM tiene un FortiGate primario y uno secundario, y cualquier dispositivo puede actuar como primario para algunos VDOM y como secundario para los otros VDOM al mismo tiempo. Debido a que el tráfico de diferentes VDOM puede dirigirse a diferentes dispositivos principales de FortiGate, puede usar agrupación virtual para distribuir manualmente su tráfico entre los dos dispositivos de clúster y permitir el mecanismo de conmutación por error para cada VDOM entre dos dispositivos FortiGate. Tenga en cuenta que puede configurar el agrupamiento virtual entre solo dos dispositivos FortiGate con múltiples VDOM.
HA Malla completa. Reduce el número de puntos únicos de falla. o Disponible en algunos modelos de FortiGate. Utiliza interfaces agregadas y redundantes para conexiones sólidas entre todos los componentes de la red.
Al comienzo de esta lección, revisó una topología HA simple. Ahora, eche un vistazo a una topología más sólida. Se llama HA de malla completa. La idea es evitar cualquier punto de falla, no solo en lo loss dispositivos FortiGate, sino también en los conmutadores e interfaces de red. Como puede ver en esta diapositiva. tiene dos dispositivos FortiGate para redundancia y cada FortiGate está conectado a dos conmutadores redundantes, utilizando dos interfaces diferentes. Un HA de malla completa es más complicado de ensamblar y administrar, pero puede proporcionar la disponibilidad requerida por instalaciones críticas. Esta solución solo está disponible con modelos FortiGate de gama alta porque no todos los modelos FortiGate son capaces de crear interfaces agregadas o redundantes, que son necesarias para construir este tipo de topología.
Verificación de conocimientos. 1. Una conmutación por error de alta disponibilidad ocurre cuando el estado del enlace de una interfaz monitoreada en el _________ baja. A. FortiGate primario.
B. FortiGate secundario. 2. Puede configurar el agrupamiento virtual entre solo _____ dispositivos FortiGate con múltiples VDOM en un clúster HA activo-pasivo. A. dos.
B. cuatro.
B. cuatro.
Comprobación del estado de HA mediante la GUI. Agregue el widget de estado de HA.
Haga clic en Sistema> HA.
Si el clúster de HA se ha formado correctamente, la GUI muestra todos los dispositivos FortiGate del clúster. Muestra el estado sincronizado, nombres de host, números de serie, roles, prioridades, tiempo de actividad y sesiones activas de los miembros del clúster. Puede ver el estado de HA agregando el widget de panel de estado de HA. También puede ver la información de estado de HA haciendo clic en Sistema> HA, donde puede ver más detalles agregando columnas como suma de comprobación, CPU y memoria, por nombrar algunas. También puede desconectar desconectar un miembro del clúster del clúster y editar las configuraciones de HA.
Comprobación del estado de HA mediante la CLI.
Puede obtener más información sobre el estado de HA en la CLI. Por ejemplo, el comando diagnose sys ha status muestra estadísticas de tráfico de latidos, así como el número de serie y la prioridad de HA de cada dispositivo FortiGate. Este comando también muestra la dirección IP de la interfaz de latido asignada automáticamente al dispositivo FortiGate con el número de serie más alto. Recuerde, la asignación de la dirección IP de latido cambia solo cuando un dispositivo FortiGate abandona el clúster o lo invoca.
Comprobación de la sincronización de la configuración. Ejecute el siguiente comando en los miembros del clúster:
#diagnose sys ha checksum cluster
show
recalculate
Muestra la suma de comprobación del cluster HA. Muestra la suma de comprobación HA lo registrado FortiGate. Vuelva a calcular suma comprobación HA.
de en la de
Todos los pares deben tener las mismas secuencias de números de suma de comprobación.
Otra indicación del estado de un clúster de alta disponibilidad es el estado de la sincronización de diagnose sys ha checksum proporciona muchas opciones que la configuración. El comprobar árbol de comandos puede utilizar para o recalcular la suma de comprobación HA.
Para comprobar que todas las configuraciones secundarias están sincronizadas con la configuración primaria: Ejecute el comando diagnose sys ha checksum cluster para ver las sumas de comprobación de todos los miembros del clúster de cualquier FortiGate en un clúster. El comando diagnose sys ha checksum show muestra la suma de control del FortiGate individual desde el cual se ejecuta este comando. También puede ejecutar el comando diagnose sys ha checksum recalculate desde cualquier miembro del clúster para volver a calcular las sumas de comprobación HA.
Si un FortiGate secundario muestra exactamente la misma secuencia de números que el principal, su configuración está bien sincronizada con el FortiGate principal del clúster. En este ejemplo, se
ejecuta el comando diagnose los miembros del clúster.
sys ha checksum cluster para
ver las sumas de comprobación de todos
representa la suma de comprobación de la configuración global, como administradores, configuración de registro global de perfiles de administrador y configuración de FortiGuard, por nombrar algunos. config urado varios VDOM, verá sumas root es la suma de comprobación del VDOM raíz. Si ha configurado de comprobación de todos los VDOM configurados. all es la suma de comprobación de la configuración global, más las sumas de comprobación de todos los VDOM.
global
Cambiar a la CLI de una secundaria. Con la CLI principal, puede conectarse a cualquier CLI secundaria:
#execute ha manage
Para enumerar los números de índice de cada FortiGate, use un signo de interrogación:
# execute ha manage ? por favor ingrese el índice de peer box.
Unidad subsidiaria FGVMO100000xxx FGVMO100000xxxxx. xx.
Al solucionar un problema en un clúster HA, es útil saber que puede conectarse a la CLI de cualquier FortiGate secundario desde la CLI del FortiGate principal. Tienes que usar el comando execute ha manage con el índice HA secundario para ese propósito. Para obtener la lista de dispositivos FortiGate secundarios con sus índices HA, puede agregar un signo de interrogación al final del comando execute ha manage: execute ha manage ?.
Forzar la conmutación por error de HA para la resolución de problemas. La conmutación por error de alta disponibilidad se puede forzar en un dispositivo maestro:
# execute ha failover set
El dispositivo permanece en estado de conmutación por error independientemente de la condición Conmutación por error forzada en el dispositivo maestro:
#execute ha Caution: This It is intended Do you want
failover set 1 command will trigger an HA f ailover. for testing purposes. to continue? (y/n) y
Para ver el estado de la conmutación por error
# execute ha failover status failover status: set
¡Debe utilizarse únicamente con fines de prueba, demostración o resolución de problemas! No lo use en entornos en vivo. La conmutación por error de HA se puede forzar en un dispositivo maestro.
El dispositivo permanecerá en estado de conmutación por error si lo apaga manualmente. Tenga en cuenta que este comando solo debe usarse para pruebas, resolución de problemas y demostraciones. No lo utilice en un entorno de producción.
Para ver el estado del sistema de un dispositivo en la conmutación por error de HA forzada: # get system ha status HA Health Status: OK …….. Master selected using: FGVM010000064692 is selected as the master because it has EXE_FAIL_O EXE_FAIL_OVER VER flag set. FGVM010000065036 is selected as the master because it has the largest value of override priority.
Para detener el estado de la conmutación por error: # execute ha failover unset 1
Para ver el estado del sistema de un dispositivo después de que la conmutación por error de HA forzada esté deshabilitada: # get System ha status …….. Master selected using: FGVM010000065036 is selected as the master because it has the largest value of override priority. FGVM010000064692 is selected as the master because it has EXE_FAIL_OVER flag set .
Utilice el comando get
system ha status para confirmar cómo se ha seleccionado el maestro actual.
Interfaz de gestión de alta disponibilidad reservada. Disponible tanto en modo NAT como en modo transparente. Puede conectarse directa y por separado a cada FortiGate -CLI y GUI. o Puede configurar hasta cuatro interfaces de administración de alta disponibilidad dedicadas. o Puede configurar una dirección IP diferente para esta interfaz para cada FortiGate. Los cambios de configuración relacionados con la interfaz de administración de HA o no están sincronizados con los otros dispositivos FortiGate en un clúster de HA. HA . La interfaz de administración de alta disponibilidad en banda es una alternativa a la función de interfaz de administración de alta disponibilidad reservada. o No requiere reservar una interfaz solo para el acceso de administración. No sincroniza la configuración de la dirección IP de administración de HA entre los o miembros del clúster. Configurado desde la CLI. o
Si desea poder conectarse a cada dispositivo directamente, puede reservar una interfaz para la gestión de alta disponibilidad. disponibilidad. El clúster FGCP admite interfaces de administración de HA reservadas tanto en modo NAT como transparente. Puede configurar hasta cuatro interfaces de administración
dedicadas. La configuración de una interfaz de administración de HA reservada no está sincronizada entre los miembros del clúster de HA y cada dispositivo puede tener diferentes direcciones P de administración. Cada dispositivo también puede utilizar la interfaz de gestión reservada de HA para enviar registros y tráfico SNMP de forma independiente i ndependiente ¿Qué sucede si no tiene una interfaz gratuita disponible para reservarla como una interfaz de administración de alta disponibilidad dedicada? Puede configurar una dirección IP de administración desde la CLI en cualquier interfaz que esté conectada a una red y procesando tráfico. Esto no requiere reservar una interfaz solo para el acceso de administración y es una alternativa a reservar una interfaz de administración de alta disponibilidad dedicada.
Actualizaciones de firmware. Para actualizar un clúster de alta disponibilidad, solo necesita cargar el nuevo firmware en el primario: o La actualización ininterrumpida está habilitada de forma predeterminada.
o
En el modo activo-activo, el equilibrio de carga de tráfico se desactiva temporalmente mientras todos los dispositivos actualizan su firmware.
1. 1. El clúster actualiza el firmware en todos los secundarios. 2. 2. Se elige una nueva primaria. 3. 3. El clúster actualiza el firmware en el primario anterior.
Al igual que con un dispositivo independiente, al actualizar un clúster HA, HA , cada dispositivo FortiGate que se actualice debe reiniciarse. Como la actualización actualización ininterrumpida está habilitada de manera predeterminada, el clúster actualiza primero los dispositivos secundarios de FortiGate. Una vez que todos los dispositivos secundarios de FortiGate están ejecutando el nuevo firmware, se elige un nuevo primario y se actualiza el firmware del dispositivo primario original. Si el clúster está funcionando en modo activo-activo, el equilibrio de carga de tráfico se deshabilita temporalmente mientras todos los dispositivos actualizan su firmware. Puede cambiar el proceso de actualización del firmware deshabilitando la actualización ininterrumpida desde la CLI usando config system ha. Esto dará como resultado que todos los dispositivos FortiGate en un clúster se actualicen al mismo m ismo tiempo. Esto lleva menos tiempo, pero
interrumpe el flujo de tráfico.
Verificación de conocimientos. 1. ¿A qué FortiGate en un clúster HA está asignada la dirección IP latido?
169.254.0.1 de
la interfaz de
A. El FortiGate con el número de serie más alto.
B. El FortiGate con la máxima máxim a prioridad. 2 ¿Cuál de las siguientes afirmaciones sobre el proceso de actualización del firmware en un clúster de alta disponibilidad es verdadera? A. Necesita cargar el nuevo firmware solo en el FortiGate principal para actualizar un clúster HA.
B. Los miembros del clúster no se reinician.
¿Qué es un proxy web? Reenvía la solicitud del cliente a un servidor web (sitio web). Puede almacenar en caché las respuestas. o Dos conexiones TCP: o De cliente a proxy web. web. o De proxy web a servidor
Un proxy web recibe o intercepta una solicitud de un cliente a un servidor. Si está permitido y no hay caché disponible, el proxy web reenvía la solicitud del cliente al servidor web. Se crean dos conexiones TCP: una desde el cliente al proxy web y otra desde el proxy web al servidor.
Proxy transparente (implícito). El proxy transparente intercepta las solicitudes. o No se requieren cambios en la configuración del cliente para implementar un proxy web. Solicitudes enviadas a la dirección IP del servidor, no al proxy. o
Un proxy web transparente no requiere ningún cambio de configuración en la configuración del cliente. Los clientes continúan usando la web, tal como lo harían sin un proxy web. Los clientes envían solicitudes a la dirección IP y al número de puerto del servidor web. El proxy web intercepta la solicitud del cliente de forma transparente; es decir, en la capa IP. La dirección de destino no cambia.
Proxy con caché web. El proxy puede proporcionar almacenamiento en caché. El soporte varía según el modelo. o Tras la primera solicitud, la caché mantiene una copia temporal del contenido web estático. la solicitud posterior de contenido sin cambios recibe una copia en caché. Mejora: Uso de ancho de banda WAN. o Carga del servidor. o Capacidad de respuesta percibida. o
Por lo general, habilitará el proxy para almacenar en caché las respuestas de los servidores web. Un caché web almacena respuestas de servidores web. Entonces, cuando un cliente repite una solicitud, FortiGate puede enviar rápidamente el contenido en caché (respuesta), en lugar de reenviar la solicitud y esperar la respuesta. Esto reduce el uso de ancho de banda WAN, la l a carga del servidor y el retraso. La caché web es compatible con los modos de proxy web transparente y explícito.
¿Por qué un proxy web? Ventajas generales: o Mejora la seguridad. Capa extra de seguridad. Puede filtrar cualquier tráfico en los puertos 80 y 443 que no sea HTTP / HTTPS. Para el caso de un proxy web explícito, solo la dirección IP del proxy web debe poder navegar por Internet. Reduce el ancho de banda y mejora la velocidad. o
Almacenamiento en caché web. Ventajas de la solución de proxy web FortiGate: For tiGate:
Las políticas de firewall pueden coincidir con el tráfico según el contenido de cualquier campo HTTP. Admite la autenticación Kerberos. o o
Los proxies web proporcionan una capa adicional de seguridad. Pueden bloquear cualquier tráfico en los puertos HTTP y HTTPS estándar que no sea tráfico web. Los proxies web explícitos ofrecen otro beneficio de seguridad: los administradores no necesitan permitir el acceso directo a Internet a los clientes. Solo el proxy web explícito requiere acceso directo a Internet. Los administradores pueden hacer que los clientes envíen tráfico al proxy web primero, si necesitan acceso a Internet. La solución de proxy web FortiGate ofrece dos beneficios adicionales. Uno es que los administradores pueden usar el contenido de los campos HTTP como criterios de coincidencia en las políticas de firewall. La solución de proxy web FortiGate también proporciona un beneficio adicional que no está disponible si no utiliza un proxy web: soporte para la autenticación Kerberos. La autenticación Kerberos proporciona un mecanismo para realizar el inicio de sesión único de Fortinet (FSSO) sin instalar ningún agente en los dominios de Windows AD.
Configuración de navegadores web para proxy explícito. Hay tres métodos de configuración: Configuración del navegador. o Archivo de configuración automática de proxy (PAC). o Protocolo de descubrimiento automático automático de proxy web we b (WPAD). o
¿Cómo se configuran los navegadores web de los usuarios para que utilicen un proxy web explícito? Un método es configurar el puerto y la dirección IP del proxy manualmente, utilizando la configuración del navegador. En redes más grandes, puede usar una secuencia de comandos de inicio de sesión de Active Directory o un perfil móvil, en lugar de configurar cada computadora individualmente. Alternativamente, puede configurar los navegadores para usar proxies explícitos instalando el archivo PAC o usando WPAD.
Configuración del navegador. Configure los ajustes del navegador web con la dirección IP del servidor proxy (o FQDN) y el número de puerto.
Puede configurar destinos para que sean excepciones desde el proxy web. Para estos destinos, el navegador no envía solicitudes al proxy web. o
Cuando configura un proxy web explícito mediante la configuración del navegador web, debe proporcionar el FQDN o la dirección IP y el número de puerto TCP del proxy. Puede especificar solo una dirección de proxy a la vez. Si desea eximir a direcciones IP de destino, subredes y FQDN específicos del uso del proxy, puede agregarlos a una lista. Para esos destinos, el navegador enviará la solicitud directamente a los servidores web.
Archivo PAC. Normalmente se almacena en el proxy web. Define cómo los navegadores eligen un proxy. Admite más de un proxy. o Especifica qué tráfico se enviará a qué proxy. o Configure cada navegador con la URL del archivo PAC. De forma predeterminada, FortiGate puede alojar el archivo PAC en: o http: // : /proxy.pac
Otro método de configuración utiliza un archivo de configuración automática explícito estándar, llamado archivo PAC, que contiene instrucciones que le indican al navegador cuándo usar un proxy y qué proxy usar según el destino. Este método de configuración admite el uso de varios servidores proxy web. Para implementar el archivo PAC, primero debe instalarlo en un servidor HTTP al que puedan acceder los clientes. (Su FortiGate puede actuar como servidor HTTP para el archivo PAC). Luego, debe configurar todos los navegadores con la URL del archivo PAC.
Ejemplo de archivo PAC.
function FindProxyF FindProxyForURL orURL (url, host) { if (shExpMatch (url, “*.example.com/*”)) return “DIRECT”; } if (shExpMatch (url, “*.example.com:*/* ”))
{ {
return “DIRECT”; } if (isInNet (host, “10.0.0.0 ”, “255.255.255.0”)) return “PROXY fastproxy.example fastproxy.example.com:8080 .com:8080”; } return “PROXY proxy.example.c proxy.example.com:8080 om:8080”;
{
}
¿Qué contiene un archivo PAC? Un archivo PAC es un JavaScript. Determina si la solicitud utilizará un proxy pr oxy y cuál es la dirección de los proxies. En el ejemplo que se muestra: El archivo PAC permite que cualquier conexión a example.com omita los proxies. Las conexiones a servidores en la subred 10.0.0.0/24 usan el proxy llamado fastproxy.example.com. Todas las demás solicitudes se realizan a través del proxy llamado proxy.example.com.
WPAD. WAPD proporciona la URL desde donde se puede descargar el archivo PAC.
WAPD puede utilizar dos métodos de descubrimiento: o Consulta del protocolo de configuración dinámica de host (DHCP). Los navegadores envían una consulta DHCPINFORM al servidor DHCP para obtener la URL. Consulta del sistema de nombres de dominio (DNS). o o Los navegadores resuelven el nombre wpad. para obtener la dirección IP del servidor que aloja el archivo ar chivo PAC.
Los navegadores pueden usar WPAD para identificar la URL donde se encuentra el archivo PAC. WPAD puede utilizar dos métodos de descubrimiento: basado en DNS y basado en DHCP. Cuando se utiliza el método DHCP, el navegador envía una solicitud DHCPINFORM al servidor DHCP. El servidor DHCP responde con la URL del archivo PAC. Cuando se utiliza el método DNS, el navegador consulta primero al servidor DNS para resolver el FQDN wpad.. El servidor DNS responde con la dirección IP donde se encuentra el archivo PAC. El navegador descarga el archivo PAC de la URL: http://: 80 / wpad.dat. La mayoría de los navegadores prueban primero el método del servidor DHCP. Si falla, prueban el método del servidor DNS.
Verificación de conocimientos.
1. ¿Cuál de las siguientes es una ventaja del proxy web transparente sobre el proxy web explícito? R. Los archivos PAC se pueden usar para especificar qué proxy usar.
B. No es necesario configurar los navegadores web para pa ra utilizar el proxy.
2. ¿Cuál de los siguientes es un método WPAD? A. Consulta LDAP. B. Consulta DHCP.
Cómo configurar Web Proxy. Configuración de proxy web explícita: 1. 1. Habilite el proxy web explícito, indicando en qué interfaces escuchará el proxy web explícito. 2. 2. Cree políticas de proxy para permitir, denegar o inspeccionar el tráfico. 3. 3. Configure los navegadores de cada cliente para conectarse a través del proxy.
Configuración de proxy web transparente: 1. 1. Cree políticas de firewall regulares para que coincidan con el tráfico. 2. 2. Habilite http-policy-redirect en la política de firewall fir ewall correspondiente. 3. 3. Cree políticas de proxy para permitir, denegar o inspeccionar el tráfico.
Los pasos para configurar el proxy web difieren según el tipo de proxy (explícito o transparente) que esté configurando. Para configurar un proxy web explícito, debe: 1. 1. Habilite el proxy web explícito en el VDOM, indicando las interfaces a las que se conectarán los clientes del proxy web. 2. 2. Cree políticas de proxy para autorizar e inspeccionar el tráfico web. 3. 3. Configure los navegadores para enviar el tráfico web al proxy web. Para configurar un proxy web transparente, debe: 1. 1. Cree políticas de firewall regulares para que coincidan con el tráfico. 2. 2. Habilite http-policy-redirect en la política de firewall correspondiente. 3. Cree políticas de proxy para permitir, denegar o inspeccionar el tráfico.
Habilitación del proxy web explícito.
Una vez que las configuraciones de proxy explícitas estén visibles en la GUI, puede habilitarlas y configurarlas. Debe agregar la interfaz i nterfaz o interfaces que escucharán conexiones de proxy web explícitas. Además, puede cambiar el puerto TCP donde está escuchando el proxy, editar y cargar el archivo PAC y elegir la acción predeterminada que FortiGate toma para el tráfico que no coincide con ninguna política de proxy.
Políticas de proxy para proxy web explícito.
Los siguientes pasos son crear políticas de proxy explícitas para especificar qué tráfico y qué usuarios pueden usar el proxy. Las políticas para el proxy explícito se configuran en una sección de configuración diferente de las políticas de firewall habituales. El tráfico de proxy web que no coincide con ninguna política se acepta o deniega según el ajuste de configuración Acción de política de firewall predeterminada (que se muestra en la imagen anterior). En FortiOS versión 6.0, debe seleccionar el servicio para la política de proxy.
Habilitación del proxy web transparente. El tráfico web que coincide con una política de firewall se puede redirigir de forma transparente al proxy web con la habilitación https-policy-redirected. Esto permite acciones y coincidencias de políticas más flexibles basadas en la información de la Capa 7 (encabezados HTTP).
Para configurar un proxy web transparente, el tráfico web debe coincidir primero con una política de firewall con la configuración http-policy-redirect habilitada. Esta configuración indica a FortiOS que redirija el tráfico al proxy web transparente. Las políticas de firewall habituales coinciden con el tráfico según la información de Capa 3 y Capa 4 únicamente. El proxy web ofrece una coincidencia de políticas más flexible y gradual, basada no solo en la información de esas dos capas OSI, sino también en la información de la Capa 7 (encabezados HTTP). La configuración https-policy-redirect afecta solo al tráfico web (HTTP y HTTPS). El tráfico de otros protocolos no se redirige al proxy web y se autoriza e inspecciona según la configuración habitual de la política de firewall.
Políticas de proxy para proxy web transparente.
De manera similar al proxy web explícito, el siguiente paso es crear políticas de proxy para especificar cuándo el proxy transparente debe aceptar e inspeccionar el tráfico.
Habilitación de la caché web. config firewall proxy-policy
edit set webcache Enable next end
La caché web está disponible tanto en proxy web explícito como transparente. Puede habilitarse o deshabilitarse por política de proxy a través de la CLI.
Direcciones proxy. Solo para políticas de proxy (explícitas o transparentes). Coincidencia granular sobre encabezado HTTP.
De manera similar a la creación de políticas de firewall, al crear políticas de proxy, utiliza objetos de direcciones de firewall para especificar el origen y el destino. Hay una categoría de objeto de dirección que se usa solo para políticas de proxy: dirección de proxy. p roxy. La dirección proxy ofrece más granularidad g ranularidad al hacer coincidir el tráfico HTTP. Pueden hacer coincidir el tráfico HTTP en función del contenido de cualquier campo HTTP. Por ejemplo, los encabezados HTTP incluyen un campo llamado Host, que generalmente contiene el FQDN del servidor web. Con las direcciones proxy, puede crear políticas que coincidan con el tráfico en función de este FQDN de destino, independientemente de la dirección IP de destino. Otro ejemplo es la coincidencia por patrón de URL. Las direcciones proxy pueden hacer coincidir coincidir el tráfico con las URL que coinciden con una expresión regular, independientemente de la dirección IP de destino.
Tipos de direcciones de proxy. Dirección de destino: o Patrón de URL. o Coincidencia de expresiones regulares del anfitrión. o Categoría de URL.
Avanzado (destino): combina el patrón de URL y la categoría de URL. Dirección de la fuente: o Método HTTP. o
Agente de usuario. Encabezado HTTP: especifique el nombre del encabezado y el valor coincidente. o Avanzado (fuente): combina los tres anteriores. o Hay dos grupos de tipos de direcciones proxy. Un grupo es para los tipos de direcciones que se utilizan como destinos en las políticas de proxy. Pueden coincidir con patrones de URL, categorías de URL y nombres de host HTTP. o
El otro grupo es para los tipos de direcciones que se utilizan como fuente en las políticas de proxy. Pueden coincidir con métodos HTTP, agentes de usuario y otros campos de encabezados HTTP.
Ejemplo: dirección de proxy. Denegar cargas HTTP al sitio web de Fortinet.
En el ejemplo que se muestra en esta imagen, el administrador creó una política de proxy transparente para bloquear cualquier intento de la subred LOCAL _SUBNET para cargar archivos archivos en el sitio web de Fortinet. El administrador creó dos d os direcciones proxy para este propósito: La dirección POST_From_Students coincide con cualquier solicitud HTTP POST procedente de la subred LOCAL_SUBNET . La dirección de Fortinet coincide con cualquier conexión web con un nombre de host que contiene la cadena de texto fortinet.com.
Verificación de conocimientos. 1. ¿Cuál de las siguientes opciones se requiere para redirigir el tráfico de usuarios al proxy web transparente?
A. El tráfico debe coincidir con una política de firewall con un perfil de opción de proxy con la configuración http policy redirect habilitada.
B. El tráfico debe coincidir con una política de firewall con la acción configurada como Proxy.
2. ¿Cuál de los siguientes objetos de configuración se puede utilizar para filtrar el tráfico del de l proxy web, según la información del encabezado HTTP? A. Direcciones FQDN. B. Direcciones de proxy.
Autenticación de proxy web. El proxy web separa la autenticación de usuario de la autorización de usuario: Se utilizan esquemas y reglas de autorización para identificar i dentificar al usuario. o Luego, la autorización se aplica dentro de las políticas de proxy. o Un esquema define qué método de autenticación y base de datos de usuarios utilizar. u tilizar. Las reglas de autenticación definen qué esquema utilizar para la autenticación activa y pasiva (SSO), según la dirección IP y el protocolo del usuario (HTTP, FTP, SOCKS o SSH).
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación del usuario se aplica mediante el uso de esquemas y reglas de autenticación, mientras que la autorización del usuario se aplica en las políticas de proxy. Los esquemas de autorización definen conjuntos de métodos de autenticación (formulario, NTLM, disgest, etc.) y bases de datos de usuarios (LDAP, local, RADIUS, FSSO, etc.). Las reglas de autenticación se utilizan para especificar los esquemas (los métodos de autenticación y las bases de datos) que se utilizarán en función de la dirección IP y el protocolo del usuario. Se pueden configurar hasta dos esquemas de autenticación en cada regla: uno para la autenticación activa y otro para la autenticación pasiva.
Esquemas de autenticación.
Un esquema de autenticación especifica un método y una base de datos que se utilizarán en una o más reglas de autenticación.
Los métodos disponibles son básico, resumen, NTLM, formulario, FSSO y RSSO. Si el método está configurado como negociar, FortiGate negocia el método con el cliente web. Las bases de datos disponibles son locales, LDAP, RADIUS, FSSO, RSSO y TACACS +. No todas laslabases dedatos datoslocal están disponibles todos los métodos. seleccionar base de si el método separa ha establecido en FSSO. Por ejemplo, no puede El proxy web admite la autenticación de dos factores, que se puede habilitar en los esquemas de autenticación.
Reglas de autenticación.
Una regla de autenticación define qué esquema se usa para la l a autenticación activa y qué esquema se usa para la autenticación pasiva (SSO). Las reglas de autenticación coinciden de arriba a abajo (como en el caso de las políticas de firewall). El proxy web utiliza la dirección IP y el protocolo de origen para hacer coincidir el tráfico y saber qué esquema utilizar. Los protocolos, entre FortiGate y el navegador, admitidos para la autenticación son HTTP, FTP, SOCKS5 y SSH. Las reglas también definen si la autenticación se basará en la dirección IP o en la sesión. Las diferencias entre ambos se describen en esta lección.
Configuración de autenticación. Configure los esquemas activos y SSO para el tráfico que requiere autorización, pero que no coincide con ninguna regla de autenticación:
¿Qué sucede con el tráfico que requiere autorización, pero no coincide con ninguna regla de autenticación? Los esquemas activos y pasivos (SSO) que se utilizarán en esos casos se definen en config authentication setting.
Autenticación basada en IP y basada en sesión. Basado en IP. o Las sesiones IP de la misma dirección IP de origen se tratan como un solo usuario. o No se recomienda si hay varios usuarios detrás de NAT de origen. Uso compartido de acceso a Internet, Citrix, servidores de terminales, etc.
Basado en sesiones. o Las sesiones HTTP se tratan como un solo usuario. o Puede diferenciar varios clientes detrás de la misma dirección IP de origen. o Después de la autenticación, el navegador almacena la información del usuario en
una cookie de sesión. solicitud posterior contiene la cookie de sesión. Cada Requiere más recursos. o o
La autenticación de proxy web puede basarse en la dir dirección ección IP de origen o en la sesión HTTP. Con la autenticación basada en IP, todas las sesiones de tráfico de la misma dirección IP de origen se tratan como un solo usuario. Con la autenticación basada en sesión, cada sesión puede tratarse como si procediera de diferentes usuarios. ¿Cómo debe decidir cuál usar? La autenticación basada en IP requiere menos RAM para recordar las sesiones autenticadas. Sin embargo, solo debe usarse cuando cada usuario tiene una dirección IP diferente (y no hay un dispositivo NAT entre el usuario y FortiGate). Si tiene varios usuarios que comparten la misma dirección IP, como en el caso de los usuarios detrás de NAT, utilice la autenticación basada en sesión HTTP. En este modo, cada navegador inserta una cookie HTTP en su solicitud. La cookie identifica al usuario. Este método requiere un poco más de RAM porque FortiGate debe recordar todas las cookies de sesión.
Autenticación basada en sesión.
¿Cómo fluye el tráfico cuando un usuario se autentica con el proxy web, utilizando la autenticación basada en sesión HTTP? Si un usuario se conecta y la solicitud no tiene ninguna sesión de autenticación asociada, Fo FortiGate rtiGate responde al navegador, solicitando credenciales de inicio de sesión. El navegador solicita al usuario que se autentique y recuerda el estado autenticado almacenando una cookie. Si el mismo usuario realiza más solicitudes más tarde, el navegador envía automáticamente la misma cookie nuevamente. FortiGate identifica al usuario mediante esta cookie de sesión. El usuario no necesita autenticarse para cada solicitud, solo la primera vez.
Autorización de proxy web. Asigne los grupos de usuarios al origen de las políticas de proxy.
El proxy web separa la autenticación del usuario de la autorización del usuario. La autenticación de usuario se aplica en el campo de origen de las políticas de proxy al indicar qué usuarios (o grupos de usuarios) pueden acceder a qué recursos de la red.
Seguimiento de los usuarios proxy. Desde la GUI:
Una vez que el proxy web está funcionando, puede monitorear qué usuarios están conectados a él. Puede hacer esto desde la GUI.
Supervisión de los usuarios proxy: CLI Desde la CLI:
También puede monitorear a los usuarios conectados desde la CLI usando el comando: diagnose user list.
wad
Verificación de conocimientos. 1. ¿Qué se incluye en la configuración de un esquema de autenticación? A. Método de autenticación.
B. Dirección IP de origen. 2. ¿Cuál de las siguientes es una ventaja de la autenticación basada en IP sobre la basada en sesión? A. Admite varios usuarios que comparten la misma dirección IP. B. Requiere menos memoria.
Antes de que ocurra un problema. Sepa lo que es normal (línea de base): Uso de CPU. o Uso de memoria. o Volumen de tráfico. o Direcciones de tráfico. o o Protocolos y números de puerto. o Patrón y distribución del tráfico. ¿Por qué? El comportamiento anormal es difícil de identificar, a menos que sepa, o
relativamente, qué es normal.
Para poder definir cualquier problema, primero debes conocer cuál es el comportamiento normal de tu red. En el gráfico que se muestra en esta diapositiva, el rango que indica normal se muestra en azul. ¿Qué es exactamente esta línea azul? Indica los promedios, nuestra línea de base. ¿Qué es la línea negra gruesa? Es el comportamiento actual. anormal. Cuando el comportamiento actual (línea negra) sale del rango normal, está ocurriendo un evento Lo normal se mide y define de muchas formas. Puede ser el rendimiento: la utilización esperada de la CPU y la memoria, el ancho de banda y los volúmenes de tráfico. Pero también puede ser la topología de su red: qué dispositivos están conectados conectados normalmente en cada nodo. También es el comportamiento: las direcciones de los flujos de tráfico, los protocolos que se bloquean o apoderan, y la distribución de los protocolos y las aplicaciones que se utilizan durante momentos específicos del día, la semana o el año.
Diagramas de red. ¿Por qué? o Explicar o analizar redes complejas es difícil y requiere mucho tiempo sin ellas. Diagramas físicos: o Incluya cables, puertos y dispositivos de red físicos. o Muestre relaciones en la Capa 1 y la Capa 2. Diagramas lógicos: o Incluya subredes, enrutadores, dispositivos lógicos. o Muestre las relaciones en la Capa 3.
¿Cuál es la primera forma de definir lo que es normal para su red? Los flujos y otras especificaciones de comportamiento normal se derivan de la topología. Por lo tanto, durante la resolución de problemas, un diagrama de red es esencial. Si crea un ticket con el soporte técnico de Fortinet, lo primero que debe adjuntar debe ser un diagrama diag rama de red. Los diagramas de red a veces combinan los dos tipos de diagramas: Físico. Lógico.
Un diagrama físico muestra cómo los cables, puertos y dispositivos están conectados entre LAN
virtuales, subredes IP y enrutadores. También puede mostrar protocolos de aplicación como HTTP o DHCP.
Supervisión de los flujos de tráfico y el uso de recursos. Obtener datos normales ante problemas o quejas
Herramientas: o Security Fabric. o Tablero SNMP o Correo electrónico de alerta o Registro / Syslog / FortiAnalyzer o Tablero o Comandos de depuración CLI. o
Otra forma de definir lo normal es conocer el rango de rendimiento promedio. De forma continua, recopile datos que muestren el uso normal. Por ejemplo, si el procesamiento del tráfico es repentinamente lento y el uso de la CPU de FortiGate F ortiGate es del 75%, ¿qué indica eso? Si el uso de la CPU suele ser del 60-69%, entonces el 75% probablemente siga siendo normal. Pero si lo normal es del 12 al 15%, puede haber un problema. Obtenga datos sobre el máximo y el mínimo típicos para la hora y la fecha. Es decir, en un día laboral o feriado, ¿cuántos bits por segundo deben ingresar o salir de cada interfaz en sus diagramas de red?
Información del sistema.
¿Cómo podemos obtener información sobre el estado actual? Primero, P rimero, veamos los comandos de la CLI: puede usarlos a través de una consola local, incluso si los problemas de red ha hacen cen que el acceso a la GUI sea lento o imposible. Algunos comandos proporcionan estados del sistema. El comando get system status proporciona principalmente Modelo.información de propósito general. La salida muestra: Número de serie. Versión de firmware. Nombre de host. Estado de la licencia de FortiGuard. Hora del sistema. Versión de las bases de datos de reputación de IP, IPS y antivirus FortiGuard, y otras.
En la capa física, la l a resolución de problemas analiza qué puertos están conectados, la capacidad de los medios y la velocidad negociada y el modo dúplex. En la capa de enlace de odatos, los diagnósticos a menudo analizan cuántas tramas se descartan debido a errores de CRC colisiones. La salida puede variar según el modelo y la versión del controlador NIC. En todos los casos, la salida muestra la dirección MAC física, el estado administrativo y el estado del enlace.
Tabla ARP.
Si sospecha que hay un conflicto de dirección IP o que se ha asignado una IP al dispositivo incorrecto, es posible que deba consultar la tabla ARP. El comando get system arp se utiliza para ese propósito. Muestra la interfaz FortiGate, la dirección IP y la dirección MAC asociada. Este comando enumera la información de todos los dispositivos externos conectados a los mismos segmentos de LAN donde FortiGate está conectado. No se incluyen las direcciones direcciones IP y MAC propias de FortiGate.
Solución de problemas de la capa de red. # execute ping-options adaptive-ping ping adaptable . data-size Valor entero para especificar el tamaño del datagrama en bytes. df-bit Establece el bit DF en el encabezado Ip interface Auto | . interval Valor entero para especificar segundos entre dos pings. Pattern Formato hexadecimal del patrón, p. ej. 00ffaabb. repeat-count Valor entero para especificar cuántas veces se repetirá PING. ... # execute ping [ | ] # execute traceroute [ | ]
Digamos que FortiGate puede contactar con algún host a través del puerto 1, pero no con otros. ¿El problema está en la capa física o en la capa de enlace? Ninguno. Se ha demostrado la conectividad con al menos parte de la red. En su lugar, debe verificar la capa de red. Para probar esto, como de costumbre, comience con ping y traceroute. Existen los mismos comandos para IPV6: execute ping se convierte en execute ping6, por ejemplo. Recuerde: la ubicación importa. Las pruebas serán precisas solo si usa la misma ruta que el tráfico que está solucionando. Para probar desde FortiGate (a FortiAnalyzer o FortiGuard, por ejemplo), use los comandos CLI de FortiGate execute ping y execute traceroute. Pero, para probar la ruta a través de FortiGate, también use ping y tracert o traceroute desde el punto final, desde la computadora con Windows, Linux o Mac OS X, no solo desde la CLI de FortiGate. Debido a la NAT y al enrutamiento, es posible que deba especificar una dirección IP de origen de ping diferente; la dirección predeterminada es la IP de la interfaz saliente. Si no hay respuesta, verifique que el destino esté configurado para responder a la solicitud de eco ICMP.
Verificación de conocimientos. 1. ¿Qué comando de la CLI se puede usar para determinar la l a dirección MAC de una puerta de enlace predeterminada de FortiGate? A. get
system arp.
B. get
hardware nic.
2. ¿Qué comando de la CLI se puede utilizar util izar para diagnosticar un problema de capa física? A. execute traceroute. B. get
hardware nic.
Flujo de depuración. Muestra lo que está haciendo la CPU, paso a paso, con los paquetes. o Si se descarta un paquete, muestra el motivo.
Comando de varios pasos. 1. Defina un filtro: diagnose debug flow filter . 1. 2. 2. Habilitar salida de depuración: diagnose debug enable. 3. Inicie el seguimiento: diagnose debug flow trace start . . 3. 4. 4. Detener el seguimiento: diagnose debug flow trace stop .
Si FortiGate está descartando paquetes, ¿se puede usar una captura de paquetes (rastreador) para identificar el motivo? Para encontrar la causa, debe usar el flujo de depuración (paquete). El flujo de depuración muestra, paso a paso, cómo la CPU maneja cada paquete. 1. 1. Para usar el flujo de depuración, siga estos pasos: 2. 2. Defina un filtro. 3. 3. Habilite la salida de depuración. 4. Inicie el rastreo. 5. 5. Deténgase cuando haya terminado.
Ejemplo de flujo de depuración: SYN
Esta imagen muestra un ejemplo de una salida de flujo de depuración que captura el primer paquete de un protocolo de enlace de tres vías TCP, el paquete SYN. Muestra: El paquete que llega a FortiGate, indica las direcciones IP de origen orig en y destino, números de puerto e interfaz de entrada. s esión. El FortiGate creando una sesión, indicando el ID de la sesión.
i ndicando el ID de sesión. La ruta al destino, indicando El ID de la política coincide y permite este tráfico. Cómo se aplica la fuente NAT.
Ejemplo de flujo de depuración: SYN/ACK
Esta imagen muestra la salida del paquete SYN / ACK. Muestra: La llegada del paquete, que indica nuevamente las direcciones IP de origen y destino, los números de puerto y la interfaz de entrada. El ID de la sesión existente para este tráfico. Este número coincide con el ID de la sesión creada durante el paquete SYN. Cómo se aplica la NAT de destino. La ruta al destino, indicando nuevamente la dirección dirección IP del siguiente salto y la interfaz de salida.
Si FortiGate descarta el paquete, esta depuración muestra el motivo de esa acción. Esta herramienta es útil para muchos otros casos de resolución de problemas, incluso cuando necesita comprender por qué un paquete está tomando una ruta específica o por qué se está aplicando una dirección IP NAT específica.
Verificación de conocimientos. 1. ¿Qué información se muestra en la salida de un flujo de depuración? A. Interfaz entrante y política de firewall correspondiente.
B. Perfil de seguridad y registro de tráfico coincidentes. 2. ¿Cuándo se asigna una nueva sesión de TCP? A. Cuando se permite un paquete SYN.
B. Cuando se permite un paquete SYN / ACK.
Lentitud. Alto uso de CPU. Alto uso de memoria.
¿Cuál fue la última función que habilitó? o Habilite uno a la vez.
¿Qué tan alto es el uso de la CPU? ¿Por qué? o # get system performance status. o # diagnose sys top 1.
No todos los problemas son fallas de conectividad de la red. A veces, hay problemas de recursos en los dispositivos. ¿Qué más podría causar latencia? Una vez v ez que haya eliminado los problemas con los medios físicos y el uso de ancho de banda, debe verificar el uso de recursos de FortiGate: CPU y memoria. Si el uso es elevado, existen herramientas que pueden identificar qué función consume más CPU. Además, puede solucionar problemas más rápido si sabe con precisión qué cambio (si corresponde) corresponde al momento en que comenzó el problema.
Uso de CPU y memoria.
Empiece por mirar el comando get
system performance status .
En la parte superior del ejemplo de esta imagen, el resultado muestra que este modelo de FortiGate tiene una CPU: CPU0. A esto le sigue el uso de RAM. En la parte inferior del ejemplo de esta imagen, la salida muestra el tráfico de red.
Resolución de problemas de memoria y CPU elevados.
A continuación, examinemos la salida para diagnose sys CPU o memoria. Algunos procesos comunes incluyen: ipsengine, scanunitd reportd.
top.
Enumera los procesos que utilizan más
y otros procesos de inspección.
para conexiones FortiGuard y FortiManager. forticron para la programación. Procesos de gestión (newcli, miglogd, cmdb, sshd y httpsd).
fgfmd
Para ordenar la lista por mayor uso de CPU, presione Mayús + P. Para ordenar por mayor uso de RAM, presione Shift + M.
Modo de conservación de memoria. FortiOS se protege a sí mismo cuando el uso de memoria es alto. o Evita el uso de tanta memoria que FortiGate deja de responder.
Tres umbrales configurables:
Límite
Definición
Por defecto (% de RAM total)
Verde
Umbral en el que FortiGate sale del modo de conservación.
82%
Rojo
Umbral en el que FortiGate entra en modo de conservación.
88%
Extremo
Umbral en el que se eliminan las nuevas sesiones.
95%
config system global set memory-use-threshold-red memory-use-threshold-red set memory-use-threshold-extreme memory-use-threshold-extreme set memory-use-threshold-green memory-use-threshold-green end
Si el uso de la memoria es demasiado alto, FortiGate puede entrar en el modo de conservación de memoria. Mientras FortiGate está en modo de conservación de memoria, toma algunas acciones para evitar que aumente el uso de la memoria, lo que podría hacer que el sistema se vuelva inestable e inaccesible. inaccesible. El modo de conservación de memoria nunca es un estado deseable, ya que afecta el tráfico de usuarios. Tres umbrales configurables diferentes definen cuándo FortiGate entra y existe en modo de conservación. Si el tamaño de la memoria supera el porcentaje de RAM total definido como el umbral rojo, FortiGate ingresa al modo de conservación. Las acciones que realiza el dispositivo dependen de la configuración del dispositivo. Si el uso de la memoria sigue aumentando, es posible que supere el umbral extremo. Si bien el uso de memoria está por encima de este umbral más alto, se descartan todas las sesiones nuevas. El tercer ajuste de configuración es el control verde. si el uso de memoria cae por debajo de este umbral, FortiGate sale del modo de conservación.
¿Qué sucede durante el modo de conservación? La configuración del sistema no se puede cambiar FortiGate omite las acciones de cuarentena (incluido el análisis de FortiSandbox) Para paquetes que requieren inspección por parte del motor IPS:
config ips global set fail-open [enable | disable] end
enable: los paquetes pasan sin ninguna inspección del motor IPS.
disable: los paquetes se descartan.
¿Qué acciones toma FortiGate para preservar la memoria mem oria mientras está en modo de conservación? FortiGate no acepta cambios de configuración, ya que podrían aumentar el uso de memoria. FortiGate no ejecuta ninguna acción de cuarentena, incluido el reenvío de archivos sospechosos a FortiSandbox.
config ips global controla cómo se comporta el motor IPS durante el La configuración de fail-open modo de conservación. Si la en configuración está habilitada, los paquetes se permiten sin ninguna inspección del motor IPS. Si la configuración está deshabilitada, los paquetes que requieren inspección del motor IPS se descartan. Recuerde que el motor IPS se utiliza para todo tipo de
inspecciones basadas en flujo. El motor IPS IP S también se utiliza cuando FortiGate debe identificar la aplicación de red, independientemente del puerto TCP / UDP de destino (por ejemplo, para el control de la aplicación).
el tráficoelque requiere una inspección basada en proxy (y si el uso de memoria m emoria aún no Para ha superado umbral extremo):
o o
config system global set av-failopen [off | pass | one-shot] end
sesiones nuevas con el análisis de contenido habilitado. pass (predeterminado): todas las sesiones nuevas pasan sin inspección. one-shot: Similar a pa3a en que el tráfico no se inspecciona. Sin embargo, seguirá pasando por alto el proxy AV incluso después de salir del modo de conservación. Los administradores deben cambiar esta configuración o reiniciar la unidad para reiniciar el escaneo AV. La configuración av-failopen también se aplica a la inspección inspección antivirus basada en flujo Si el uso de memoria supera el umbral extremo, se bloquean todas las sesiones nuevas que requieren inspección (basadas en flujo o basadas en proxy). o
off: no se pasan todas las
La configuración av-failopen define la acción que se aplica a cualquier tráfico inspeccionado basado en proxy, mientras la unidad está en modo de conservación (y siempre que el uso de memoria no exceda el umbral extremo). Esta configuración también se aplica a la inspecc i nspección ión AV basada en flujo. Se pueden configurar cuatro acciones diferentes: off: no se pasan todas las
sesiones nuevas con el análisis de contenido habilitado. pass (predeterminado): todas las sesiones nuevas pasan sin inspección. one-shot: Similar a pass en el que el tráfico pasa sin inspección. Sin embargo, seguirá omitiendo el proxy AV incluso después de que salga del modo de conservación. Los administradores deben cambiar esta configuración o reiniciar la unidad para reiniciar el escaneo AV. AV . Sin embargo, si el uso de la memoria excede el umbral extremo, las nuevas sesiones siempre se descartan, independientemente independientemente de la configuración de FortiGate.
Diagnóstico del modo de conservación de memoria del sistema. # diagnose hardware sysinfo conserve memory conserve mode: total RAM: memory used: memory freeable:
off = Sin modo de conservación on = modo de conservación
on 3040 MB 2706 MB 334 MB
89% of total RAM 11% of total RAM
memory used + freeable threshold extreme: memory used threshold red: memory used threshold green:
2887 MB 2675 MB 2492 MB
95% of total RAM 88% of total RAM 82% of total RAM
El comando diagnose hardware sysinfo conserve se utiliza para identificar si un dispositivo FortiGate se encuentra actualmente en modo de conservación de memoria.
Configuración de sesión Fail-Open. Especifica la acción si un proxy (para inspección basada en proxy) se queda sin conexiones.
config system global set av-failopen-session [enable | disable]
= Usar comportamiento de la configuración av-failopen. disable (predeterminado) Bloquear todas las sesiones nuevas que requieran inspección basada en proxy. enable
Otro estado indeseable para FortiGate es el modo de sesión de apertura fallida. Este modo se activa no durante una situación de memoria alta, sino cuando un proxy en FortiGate se queda sin sockets disponibles para procesar más tráfico inspeccionado basado en proxy. Si av-failopen-session está habilitado. FortiGate actuará de acuerdo con la configuración av-failopen. De lo contrario, de forma predeterminada, bloqueará las nuevas sesiones que requieran una inspección basada en proxy hasta que haya nuevos sockets disponibles.
Verificación de conocimientos. 1. ¿Qué acciones toma FortiGate durante el modo de conservación de memoria? A. No se permiten cambios de configuración.
B. Se niega el acceso administrativo. 2. ¿Qué umbral se usa para determinar cuándo FortiGate ingresa al modo de conservación? A. Verde. B. Rojo.
Acceso al menú del BIOS. FGT60D (18:34-03.04.2019) Ver:04000005 Serial number:FG60D number:FG60DXXXXXXXX XXXXXXXX RAM activation Total RAM: 512MB Enabling cache. . .Done. Scanning PCI bus. . .Done. Allocating PCI resources. . .Done. Enabling PCI resources. . .Done.
Versión de BIOS. Las opciones del menú del BIOS dependen de la versión.
Presione cualquier tecla en este
Zeroing IRQ settings. . .Done. Verifying PIRQ tables. . .Done. Enabling Interrupts. . .Done. Boot p, boot device capacitv: 122MB. Press any key to display configuration menu. . .
mensaje para ingresar al menú del BIOS.
. . . . . . Reading boot image 1375833 bytes. Initializing firewall. . . System is started.
Desde FortiGate BIOS, los administradores pueden ejecutar algunas operaciones sobre la memoria flash y las imágenes de firmware o acceder al menú del BIOS, debe reiniciar el dispositivo mientras está conectado al puerto de la consola. El proceso de arranque, en un momento, muestra el siguiente mensaje: Press any key to display configuration menu
Mientras se muestra este mensaje. presione cualquier tecla para interrumpir el proceso de arranque y mostrar el menú BIOS.
Formatear la memoria flash. [G]: [F]: [B]: [I]: [Q]: [H]:
Get firmware image from TFTP server. Format boot device. Boot with backup firmware and set as default. Configuration and information. Quit menu and continue to boot with default firmware. Display this list of options.
Recomendado para una instalación limpia y posiblemente problemas relacionado con el firmware dañado.
Enter Selection [G]: Enter G,F,B,I,Q, or H: All data will be erased, continue: [Y/N [Y/N]? ]? Formatting boot device. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Format boot device completed.
PRECAUCIÓN: El formateo de la memoria flash elimina el firmware, la configuración y los certificados digitales.
En el menú del BIOS, seleccione F para formatear la memoria m emoria flash. Es posible que sea necesario hacer esto si el firmware se corrompe o si el administrador desea realizar una instalación limpia del nuevo firmware. Sin embargo, tenga en cuenta que al formatear la memoria flash se elimina cualquier información almacenada en ella, como imágenes de firmware, configuración y certificados digitales.
Instalación de firmware desde la consola. Asegúrese de que haya una aplicación de servidor TFTP instalada en su PC
Configure el directorio del servidor TFTP y copie el firmware de FortiGate [image.out]
Conecte la NIC de su PC a la interfaz de instalación FortiGate TFTP
Seleccione get
firmware image en el menú BlOS
Después de reformatear la memoria flash, deberá instalar la imagen del firmware desde el BIOS. Sigue estos pasos: 1. 1. Ejecute un servidor TFTP. 2. Configure el servidor TFTP con la carpeta donde se almacena el archivo de imagen del firmware. 3. 3. Conecte el puerto Ethernet de la PC a la interfaz de instalación FortiGate TFTP. 4. 4. Seleccione obtener obtener imagen de firmware fir mware en el menú del BIOS. La interfaz asignada como interfaz de instalación TFTP depende del modelo. Sin embargo, y en la mayoría de los casos, es el puerto 1 o la interfaz interna.
Transferencia de firmware de BIOS. Please connect TFTP server to Ethernet port "3". Enter TFTP server address [192.168.1.168]: 192.168.1.110 192.168.1.110 Enter local address [ 192.168.1.188]: Enter firmware image file name [image.out]: PRECAUCIÓN. La transferencia de una imagen MAC: 00090FC371BE de firmware elimina la configuración e instala ##################### Total 23299683 bytes data downloaded. la configuración predeterminada de fábrica Verifying the integrity of the f irmware image. Total 40000kB unzipped. Save as Default firmware/Backu firmware/Backup p firmware/Run image without saving: [D/B/R]?d Programming the boot device now. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reading boot image 1375833 bytes. Initializing firewall. System is started. Formatting shared shared data par partition. tition. . . done!
En el menú de la BIOS, seleccione la opción G para instalar un nuevo firmware. El BIOS lo pedirá.
La dirección IP del servidor TFTP La dirección IP de FortiGate (debe estar en la misma subred clase C que el servidor TFTP). El nombre de la imagen imag en del firmware.
Si todo está bien, debería ver una serie de signos de libra, que indican que el dispositivo está descargando la imagen. Luego, el BIOS verificará la integridad del archivo y le dará las siguientes tres opciones:
Save it as the default firmware (Guárdelo como firmware
predeterminado). firmware (Guárdelo como firmware de respaldo). saving it (Ejecute la imagen sin guardarla).
Save it as the backup
Run the image without
Si el firmware se va a utilizar en producción, seleccione la primera opción: firmware.
Save it as the default
La última opción ( Run the image without saving it ) le permite ejecutar y probar el firmware sin sobrescribir ningún firmware existente en la memoria flash. Una U na vez que haya finalizado las pruebas y esté listo para revertir el cambio, debe reiniciar el dispositivo y se utilizará el firmware existente anteriormente.
Pruebas de hardware. Diseñado tanto para pruebas de fabricación como para que los usuarios finales verifiquen los principales componentes de hardware: CPU. Memoria RAM. Interfaces de red. Disco duro. Memoria flash. Interfaz USB.
LED del panel frontal. Wifi. Etc.
Al igual que con cualquier otro dispositivo electrónico, electrónico, el daño a la RAM puede provocar bloqueos intermitentes. Si sospecha de una falla de hardware, puede ejecutar pruebas de hardware. ¿Cómo se ejecutan las pruebas de hardware? Depende del modelo de FortiGate.
Cómo ejecutar las pruebas de hardware. En algunos modelos de la serie E, las pruebas de hardware se pueden ejecutar directamente desde FortiOS.
Puede ejecutar una sola prueba o varias pruebas. Para otros modelos, se debe cargar una imagen HQIP especial mediante TFTP y ejecutarla desde el menú del BIOS. Instrucciones: o https://support.fortinet.com/Download ort.fortinet.com/Download/HQIPImages.a /HQIPImages.aspx spx https://supp o
Para algunos modelos de la serie FortiGate E, puede ejecutar las pruebas de hardware directamente desde la CLI de FortiOS. Para otros modelos, debe descargar imágenes imág enes especiales de prueba de hardware HQIP del sitio web de soporte técnico de Fortinet. Los pasos para cargar la imagen de prueba de hardware son los mismos que se usan para cargar una imagen de firmware. Puede ejecutar la imagen de prueba de hardware sin guardarla en la memoria flash, por lo que no se sobrescribirá ninguna imagen de firmware exi existente. stente.
Comando de pruebas de hardware de FortiOS. # diagnose hardware test suite all - Please connect ethernet cables: [WAN - Any of PORT1. . .PORT4] To skip this test, please press 'N'. Do you want to continue? (y/n) (default is n) N Following tests will request you to check the colours of the system LEDs. To skip this test, please press 'N'. Do you want to continue? (y/n) (default is n) N Following tests will request you to check the colours of the NIC LEDS. - Please connect ethernet cables: [WAN - Any of PORT1. . .PORT4] To skip this test, please press 'N'. Do you want to continue? (y/n) (default is n) N Test Begin at UTC Time Tue Feb 07 21:08:53 2019
Para algunos modelos, el comando diagnosticar hardware test suite ejecuta todas las pruebas de hardware de FortiOS. Las pruebas de hardware requieren la interacción del usuario mientras se ejecutan. Los usuarios pueden omitir algunos de los pasos y algunas pruebas requieren la conexión de dispositivos externos (como memorias USB) o cables de red a FortiGate.
Registros de accidentes. Inspeccione los registros de fallos con fines de depuración. Cada vez que se cierra un proceso, se registra como muerto. Algunas son normales (por ejemplo, cerrar scanunit para actualizar definiciones). o
# diagnose debug crashlog history Crash log interval is 3600 seconds miglogd crashed 1 times. The lastest crash was at 2019-04-07 03:19:23 fgfmsd crashed 1 times The lastest crash was at 2019-04-07 03: 19:31
# diagnose debug crashlog read 1: 2019-04-07 03:19:16 S Signal ignal < 11> was sent to process process by us user er 2: 2019-04-07 03:19:23 03:19:23 firmware FortiGate-VM64 v6.2.0,build08 v6.2.0,build08 6 66b0866 6b0866 (GA) (GA) (R (Release) elease) 3: 2019-04 07 03:19:23 application miglogd 4: 2019-04-07 03:19:23 *** signal 11 (Segmentation (Segmentation fault) rec received eived * *** ** 5: 2019-04 07 03:19:23 Register dump: 6: 2019-04-07 03:19:23 RAX: 0000000000000u0 0000000000000u01 1 R RBX: BX: 0000000000el6la0 . . .
Otra área que puede querer monitorear, únicamente para el diagnóstico, son los registros de fallas. Los registros de fallos están disponibles a través de la CLI. Cada vez que se cierra un proceso por cualquier motivo, el registro de fallos lo registra como un fallo. La mayoría de los registros del registro de fallos son normales. Por ejemplo, cada vez que se actualiza el paquete de definiciones de antivirus, el proceso scanunit debe cerrarse para poder aplicar el nuevo paquete. Este es un apagado normal. Algunos registros del registro de fallos pueden indicar problemas. Por esa razón, el soporte técnico de Fortinet solicita con frecuencia registros de fallas para solucionar problemas. Esta diapositiva muestra el comando que debe usar para obtener un registro de fallas. Dos comandos pueden mostrar información de los registros de fallos: diagnose debug crashlog history: enumera un resumen de los procesos que se han bloqueado, cuántos bloqueos han ocurrido y la hora del último bloqueo. diagnose debug crashlog read: proporciona detalles sobre cada bloqueo, además de otros eventos del sistema, como los tiempos de entrada y salida sa lida del modo de conservación.
Conservar eventos del modo en Crash Logs. El registro de fallos también registra los eventos del modo de conservación. Entrando: o
12: 2019-04-07 14:10:16 logdesc="Kernel enters conserve mode" service=kernel conserve=on free-"127962 service=kernel 13: 2019-04-07 2019-04-07 14:10:16 pa pages" ges" red="128000 pages" pages" msg="Kernel msg="Kernel enters conserve mode" o
Existente: 14: 2019-04-07 14:19:55 logdesc="Kernel leaves conserve mode" service=kernel service= kernel conserve=ex conserve=exit it 15: 2019-04-07 14:19:55 free="192987 pages" green="192000 pages" msg="Kernel msg="Ker nel leaves conserve mode"
Este ejemplo muestra las entradas generadas en los registros reg istros de fallos cuando un FortiGate entra y sale del modo de conservación de memoria.
Verificación de conocimientos. 1. ¿Qué tipo de información se almacena en el registro de fallos? A. Procesos de bloqueos y eventos del modo Conservar.
B. Registros de tráfico y registros de seguridad 2. ¿Qué protocolo se utiliza para cargar nuevo firmware desde la consola? A. HTTP / HTTPS. B. TFTP.
View more...
Comments
