Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Actividad 1 Firewall (FortiGate)
1. IMPLEMENTACION DE UN FIREWALL (FORTIGATE)
Yeider Humberto Fernandez Betin
Duban Andrés Guzmán Torres
Julio Gil Gómez Espitia
Jaiber Stiven Holguín David
SENA
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
GESTION DE REDES DE DATOS
FICHA DE CARACTERIZACION (600088)
MEDELLIN – ANTIOQUIA
2015
2. TABLA DE CONTENIDO
Introducción 3
Justificación 4
Objetivos 5
Fortinet 6
Firewall 6
Historia del Cortafuego 7
Implementación de un Firewall con DMZ en Linux 7-23
Conclusión 24
Web Grafía 25
3. INTRODUCCION
Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica
especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes
(firewalls, UTM, etc.). La compañía fue fundada en el año 2000 por Ken Xie y desde entonces ha
tenido una gran proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la
marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en
su lucha por este mercado, pero aún muy por detrás de electrónica Mikrotik RouterOS en cuanto a
firewall.
FortiGate es una herramienta que permite gestionar todos servicios de red a través una sola
aplicación, puede actuar como Gateway, Servidor de seguridad (UTM), Servidor de oficina,
Servidor de infraestructura de red y Servidor de comunicaciones en el entorno empresarial.
4. JUSTIFICACIÓN
Con el siguiente trabajo se pretende diseñar e implementar una pequeña Red local con un
Firewall y un DMZ para poner a prueba las funcionalidades tanto permisivas como restrictivas de
un Firewall con respecto a los servicios o protocolos que se requieran implementar.
También se pretende que nosotros aprendamos a manejar y administrar este tipo de servicio o
dispositivo para implementarlo y evitar los posibles ataques externos o intrusos a nuestra Red.
5. OBJETIVOS
Conocer el proceso de implementación, Instalación y funcionamiento de un Firewall en
una Red con DMZ
Identificar los requisitos básicos que se necesitan para implementar el firewall
Aplicar los conocimientos adquiridos en el ámbito empresarial
6. FORTINET
Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica
especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes
(firewalls, UTM, etc.).
La compañía fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran
proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de
referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha
por este mercado, pero aún muy por detrás de electrónica Mikrotik RouterOS en cuanto a firewall.
Fortinet usa software de código abierto, como se supo después de una sonada demanda del mundo
del software libre, que en un principio negó Fortinet.1
Fortigate produce una amplia gama de dispositivos para la protección de redes: FortiGate-60C,
FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-200A, FortiGate-300A, FortiGate-
310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A,
FortiGate-3810A, FortiGate-3016B y FortiGate-5000 series.
Además de estos, también cuenta con dispositivos wifi, y servidores para centralizar la seguridad
de una empresa con múltiples elementos Fortigate dispersos en la red.
FIREWALL
Un cortafuego (firewall) es una parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de
ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no
autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos
los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada
mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es
frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que
se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en
ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más
niveles de trabajo y protección.
7. HISTORIA DEL CORTAFUEGOS
El término firewall / fireblock significaba originalmente una pared para confinar un incendio o
riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras
similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una
aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet
era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de
los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que
mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad
relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para
el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de
Internet que se produjo a finales de los 80:1
Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.1
Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un
atacante.1
En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió
una nota por correo electrónico a sus colegas2
que decía:
IMPLEMENTACION DE UN FIREWALL CON DMZ EN LINUX
Se implementa FortiGate en la máquina virtual VMWARE. A continuación lo que se hace es
configurar las tarjetas de Red en el VMWARE para el correcto funcionamiento. Se debe resaltar
que en esta actividad se implementara un Firewall (FortiGate) con una red LAN, un DMZ, y una
Red WAN con un Equipo Externo perteneciente a la WAN.
DIRECCIONAMIENTO IP DE LAS REDES (LAN, WAN, DMZ)
NOTA: lo que esta resaltado en color Amarillo tanto a continuación como en la topología, es para
resaltar el direccionamiento que van en los puertos del FortiGate que son las direcciones que
hacen las funciones de Puerta de enlace para cada Red a nivel Local.
Observación: la dirección para la WAN (Internet) 10.1.1.175/24, es la Puerta de enlace del Router en la cual
estamos conectados y es quien nos da la salida a Internet.
ID DE RED LAN: 192.168.1.0/24
PUERTO 1 FortiGate (LAN): 192.168.1.11/24
EQUIPO SERVIDOR (LAN): 192.168.1.21/24
RED WAN (PUERTA DE ENLACE): 10.1.1.175/24
PUERTO 2 FortiGate (WAN): 10.1.1.20/24
EQUIPO EXTERNO (WAN): 10.1.1.16/24
ID DE RED DMZ: 172.18.1.0/24
PUERTO 3 FortiGate (DMZ) 172.18.1.11/24
EQUIPO SERVIDOR (DMZ) 172.18.1.21/24
8. -Primero que todo, ubicamos la Imagen de nuestro IOS FortiGate, y la abrimos con nuestra
máquina virtual VMWARE:
9. -ingresamos con las credenciales que viene por defecto en este caso, Usuario es: admin sin
contraseña y accedemos dando ENTER.
- lo q hacemos a continuación es configurar la interfaz del puerto 0/1 de FortiGate para configurar
la interfaz Web para poder acceder al dispositivo mediante el navegador desde nuestro equipo,
esto se hace con los siguientes comandos y habilitamos los servicios que se muestran resaltados
en color Rojo:
10. -a continuación validamos la configuración que acabamos de hacer por medio del siguiente
comando: sh system interface
-como ya habíamos habilitado el acceso vía Web, lo que se hace es ingresar al fortiGate por medio
de nuestro navegador con la dirección IP que habíamos configurado en el puerto 0/1, y agregamos
las credenciales de acceso como lo es el nombre de administrador, admin.
11. -luego de haber ingresado con la credencial de acceso nos aparecerá la interfaz general de nuestro
FortiGate, tal como se puede apreciar a continuación:
-Es de resaltar que podemos encontrar múltiples funcionalidades en esta herramienta como por
ejemplo podemos cambiar el idioma a la interfaz de configuración de nuestro FortiGate para que
quede en español, y al mismo tiempo cambiamos el tiempo en que dicha interfaz del FortiGate
no se nos bloquee en un momento de inactividad, es decir le agregamos para que no se bloquee si
no al cabo de 60 Minutos de inactividad: Para ello damos Clic en Admin, se escoge la opción
Settings, agregamos el número 60 en el recuadro resaltado en Rojo y después seleccionamos el
idioma que más se ajuste a nuestra necesidad y por ultimo damos clic en Apply
-
12. -Después de haber cambiado el idioma de nuestro FortiGate en el paso anterior, lo que se hace a
continuación es crear un nuevo usuario administrador, para administrar el dispositivo, para ello lo
creamos de la siguiente manera por medio de la opción Admin – administrators – Crear Nuevo,
tal como se aprecia en la siguiente imagen con sus respectivas opciones resaltadas en color Rojo:
Empezamos con la configuración para agregar el nombre usuario que nosotros queramos que nos
quede de administrador, se escoge la opción de Regular, proporcionamos la contraseña con la cual
ingresamos al sistema con dicho usuario, después en el Perfil de acceso se escoge la opción de
Super_admin y para guardar los cambios damos clic en OK.
13. -Listo podemos mirar que ya quedó creado nuestro nuevo usuario con el nombre de Galácticos,
junto con el usuario por defecto de FortiGate que es admin, para verificar buscamos la opción
Admin, y damos clic en Administrators y podemos ver el usuario Creado con su respectivo
nombre junto con el usuario de FortiGate por defecto:
-Después de haber Realizado lo anterior y haber diseñado la Topología junto con el
direccionamiento IP al principio de esta Guía, el siguiente paso a realizar es configurar nuestra
Máquina virtual con el anterior direccionamiento:
-vamos a la Máquina virtual VMWARE configurada para nuestro FortiGate y configuramos la
tarjeta de red de la siguiente manera:
14. -A continuación configuramos en la máquina virtual VMWARE la tarjeta de red para nuestro
Equipo de la LAN (Windows Server 2012)
-A continuación configuramos en la máquina virtual VMWARE la tarjeta de red para nuestro
Equipo de la DMZ (Windows Server 2012)
15. -Después configuramos en la máquina virtual VMWARE la tarjeta de red del equipo que se
encuentra en la red Externa (WAN) que será de utilidad para el ejercicio.
- Después de los anteriores pasos de configuración de las tarjetas de Red de la máquina virtual
VMWARE, lo que se hace a continuación es darle direccionamiento a nuestros equipos
(SERVIDOR DMZ, EQUIPO DE LA LAN, Y EL EQUIPO DE LA RED EXTERNA WAN), y
después se configura los Puertos para el FortiGate. A continuación procedemos a la
configuración en los Equipos:
-Configuración de direccionamiento IP del servidor DMZ
17. -Configuración de direccionamiento IP en los puertos de FortiGate (puertas de enlaces para
las zonas DMZ, LAN, WAN).
Para configurar los puertos de nuestro FortiGate, lo hacemos por medio de una serie de comandos
que nos permiten añadir el direccionamiento IP a las respectivas interfaces. A continuación se
muestra los comandos empleados con su respectiva descripción de su función.
1. config system interface Configurar interfaces
2. edit port1: Para editar o configurar el puerto que se requiere
3. set ip: Asignar una dirección y mascara al puerto seleccionado
4. set allowaccess: Seleccionar servicios o protocolos a implementar
5. end: Guardar configuración y salir
6. sh system interface Mostrar configuración
CONFIGURACIÓN DEL PUERTO 1 FORTIGATE
config system interface
edit port1
set ip 192.168.1.11 255.255.255.0
set allowaccess ping https ssh http
end
CONFIGURACIÓN DEL PUERTO 2 FORTIGATE
config system interface
edit port2
set ip 10.1.1.20 255.255.255.0
set allowaccess ping https ssh http
end
CONFIGURACIÓN DEL PUERTO 3 FORTIGATE
config system interface
edit port3
set ip 172.18.1.11 255.255.255.0
set allowaccess ping https ssh http
end
Observación: para comprender mejor la configuración de direccionamiento IP de los puertos del
FortiGate resaltado en sus diversos colores, es necesario dirigirse a la topología para
comprender mejor.
18. -Con el siguiente comando podemos mirar la configuración que se les dio a los puertos del
FortiGate: sh system interface
19. - Después de haber realizado las configuraciones anteriores, lo que se hace a continuación es
ingresar a la Interface del FortiGate, para esto accedemos desde el navegador Web del equipo con
el siguiente direccionamiento 192.168.1.11 y accedemos con las credenciales de usuario
-Damos clic en Status para mirar configuración global
20. -A continuación lo que se hace es crear el OBJETO para poder implementar un direccionamiento
IP para la respectiva zona en este caso DMZ, y este mismo proceso se realiza para crear OBJETOS
para relacionar las zonas LAN y WAN. Para crearlas, Seleccionamos la opción que se llama
Objetos de Firewall, y escogemos la opción Dirección y por último se escoge la opción Crear
Nuevo para así de esta manera poder crear el Objeto:
Se agrega el nombre de la zona con su respectivo direccionamiento IP y seleccionamos la opción
de interfaz más adecuada por la cual se filtraran las políticas permisivas o restrictivas
21. -Después de haber realizado el paso anterior en la creación del OBJETO, se procede a crear las
POLÍTICAS, las cuales se encargan de restringir o dar permisos contundentemente a los
diferentes servicios provenientes desde cualquier Red Externa o inclusive desde la misma Red
local. Para crear las POLITICAS damos clic en la opción Política y después se escoge la Opción
Crear Nuevo
En la siguiente imagen, se configura la política que nos permitirá restringir o denegar los servicios
y puertos, de acuerdo a la necesidad que se requiera se configura: la siguiente imagen puede
entenderse de la siguiente manera: todo el tráfico que provenga de Internet acceda totalmente por
el puerto 2 del FortiGate y que tenga una salida únicamente por el puerto 3 del FortiGate para la
zona DMZ diariamente pero solo pueden ingresar los servicios HTTP, PING, EDP, SSH y el
resto de servicios quedaran denegados.
22. -En el siguiente pantallazo se puede evidenciar que la política se creó correctamente y se permite
el comando PING entre un equipo de la red WAN hasta el DMZ
-a continuación se muestra la creación de la política que permite los servicios desde la Red LAN a
la WAN, es de resaltar que los procesos para crear es el mismo como se hizo en los anteriores
Pasos:
Para validar ponemos a prueba el comando PING y podemos ver que si esta permitido tal como se
creó en la política:
NOTA: lo que no está explícitamente permitido, es porque lo demás será denegado
-Por ultimo agregamos las RUTAS por la cual queremos que se llegue o se deniegue las políticas
de los diferentes servicios hacia o desde una red cualquiera. Para crear la RUTA, hacemos clic en
23. ROUTER y seleccionamos la opción RUTA ESTÁTICA, y seguidamente escogemos la opción
CREAR NUEVO.
24. CONCLUSIÓN
Por medio de un Firewall podemos controlar los posibles ataques externos o intrusos que
provienen de redes externas mediante Programas maliciosos o cualquier tipo de virus que quiera
interferir con el buen funcionamiento de una Red interna. El Hackeo ha venido tomando mucha
fuerza y ha ocasionado preocupación en las empresas por lo que ha afectado la confidencialidad
de la información, es por ello que gracias a la buena implementación y configuración de la
Seguridad perimetral podemos reducir los posibles ataques que puedan poner en riesgo la
seguridad de toda una empresa.