FortiGate 7.4 System and Network Settings PDF

Configuración del sistema y de la Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.red NO REPRIMIR Más información disponible en www.DeepL.com/pro. © FORTINET En esta lección, aprenderá acerca de la configuración del sistema y de la red en FortiGate. Guía de estudio del administrador de 4 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Después de completar esta lección, deberías ser capaz de alcanzar los objetivos que se muestran en esta diapositiva. Al demostrar competencia en la administración básica de sistemas y redes, podrá instalar FortiGate en su red y configurar los parámetros básicos de red. También podrá gestionar mejor los usuarios administrativos para implementar prácticas de seguridad más sólidas en torno al acceso administrativo. Guía de estudio del administrador de 5 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET El modo funcionamiento por defecto es el de traducción de direcciones de red (NAT). ¿Cuáles son los otros ajustes predeterminados de fábrica? Después de sacar FortiGate de su caja, ¿qué debe hacer a continuación? Ahora, echará un vistazo a cómo configurar FortiGate. Conecte el cable de red de su ordenador al puerto1 o a los puertos del conmutador interno (en el modelo básico). En los modelos de gama alta y media, conéctelo a la interfaz de gestión. En la mayoría de los modelos básicos, hay un servidor DHCP en esa interfaz. Por lo tanto, si la configuración de red de tu ordenador tiene activado DHCP, tu ordenador debería obtener automáticamente una IP y podrás empezar la configuración. Para acceder a la GUI en FortiGate o FortiWiFi, abra un navegador web y visite https://192.168.1.99. Los datos de acceso por defecto son de público. Nunca deje en blanco la contraseña por defecto. Su red es tan segura como su cuenta de administrador de FortiGate. Una vez que haya iniciado sesión con los datos de inicio de sesión predeterminados, verá un mensaje para cambiar la contraseña predeterminada en blanco por la contraseña de usuario administrador. Antes de conectar FortiGate a su red, debe establecer una contraseña compleja. También se le pedirá que aplique una configuración adicional, como el nombre de host, la configuración del panel de control, el registro en FortiCare, etc. Todos los modelos FortiGate tienen un puerto de consola y/o un puerto de gestión USB. El puerto proporciona acceso CLI sin una red. Puede acceder a la CLI utilizando el widget de consola CLI en la GUI, o desde un emulador de terminal, como PuTTY o Tera Term. Guía de estudio del administrador de 6 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Cuando FortiGate funciona en modo de traducción de direcciones de red (NAT), cada interfaz que gestiona el tráfico debe tener una dirección IP. Cuando está en modo NAT, FortiGate puede utilizar la dirección IP como origen del tráfico, si necesita iniciar o responder a una sesión, y como dirección de destino para los dispositivos que intentan ponerse en contacto con FortiGate o enrutar el tráfico a través de él. Hay varias formas de obtener una dirección IP: Manualmente Automáticamente, mediante DHCP o Protocolo Punto a Punto sobre Ethernet (PPPoE) (disponible en la CLI) Guía de estudio del administrador de 7 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET ¿Cuántas veces has visto problemas de red causados por un servidor DHCP -no cliente- habilitado en la interfaz WAN? Puede configurar el rol de la interfaz. Los roles mostrados en la GUI son los ajustes de interfaz habituales para esa parte de una topología. Los ajustes que no se aplican al rol actual están ocultos en la GUI. (Todos los ajustes están siempre disponibles en la CLI, independientemente del rol.) Esto evita errores de configuración accidentales. Por ejemplo, cuando el rol está configurado como WAN, no hay servidor DHCP ni configuración de detección de dispositivos disponible. La detección de dispositivos se utiliza normalmente para detectar dispositivos internamente en su LAN. Si se da un inusual, y necesitas usar una opción que está oculta por el rol actual, siempre puedes cambiar el rol a Indefinido. Esto muestra todas las opciones. Para ayudarte a recordar el uso de cada interfaz, puedes darles alias. Por ejemplo, puedes llamar al puerto3 red_interna. Esto puede ayudar a que su lista de políticas sea más fácil de comprender. Guía de estudio del administrador de 8 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Los clientes inalámbricos no son los únicos que pueden utilizar FortiGate como servidor DHCP. Para una interfaz (como el puerto3), seleccione la opción Manual, introduzca una IP estática y, a continuación, active la opción Servidor DHCP. Aparecerán las opciones para el servidor DHCP integrado, incluidas las funciones de aprovisionamiento, como las opciones DHCP y las reglas de asignación de direcciones IP. Guía de estudio del administrador de 9 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Las VLAN dividen la LAN física en varias LAN lógicas. En el modo de funcionamiento NAT, cada VLAN forma un dominio de difusión independiente. Varias VLAN pueden coexistir en la misma interfaz física, siempre que tengan ID de VLAN diferentes. De este , una interfaz física se divide en dos o más interfaces lógicas. Se añade una etiqueta a cada trama Ethernet para identificar la VLAN a la que pertenece. Guía de estudio del administrador de 10 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Para crear una VLAN mediante la GUI, haga clic en Crear nuevo, seleccione Interfaz y, a continuación, en el campo Tipo, seleccione VLAN. Debe especificar el ID de la VLAN y la interfaz física a la que se vinculará la VLAN. Las tramas que pertenecen a interfaces de ese tipo siempre están etiquetadas. En cambio, las tramas enviadas o recibidas por el segmento de interfaz física nunca se etiquetan. Pertenecen a lo que se denomina la VLAN nativa (VLAN ID 0). Tenga en cuenta que en un entorno multiVDOM, la interfaz física y su subinterfaz VLAN pueden estar en VDOMs separados. Guía de estudio del administrador de 11 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Antes de integrar FortiGate en su red, debe configurar una puerta de enlace predeterminada. Si FortiGate obtiene su dirección IP a través de un método dinámico, como DHCP o PPPoE, también debe recuperar la puerta de enlace predeterminada. De lo contrario, deberá configurar una ruta estática. Sin esto, FortiGate no podrá responder a paquetes fuera de las subredes conectadas directamente a sus propias interfaces. Probablemente tampoco podrá conectarse a FortiGuard (importante para que FortiGate acceda a las actualizaciones) y puede que no enrute correctamente el tráfico. Debe asegurarse de que FortiGate tiene una ruta que coincide con todos los paquetes (el destino es 0.0.0.0/0), conocida como ruta por defecto, y los reenvía a través de la interfaz de red que está conectada a Internet, a la dirección IP del siguiente router. El enrutamiento completa la configuración básica de red necesaria antes de poder configurar las políticas de cortafuegos. Puede ampliar Opciones avanzadas e introducir un valor de prioridad. Cuando dos rutas tienen la misma distancia, la ruta con un valor de prioridad más bajo tiene preferencia. Guía de estudio del administrador de 12 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET ¿Y si, más que segmentar su red, desea subdividir las políticas y los administradores en varios dominios de seguridad? En ese , puede habilitar los VDOM de FortiGate, que dividen su FortiGate en varios dispositivos lógicos. Cada VDOM tiene políticas de seguridad y tablas de enrutamiento independientes. Además, y por defecto, el tráfico de un VDOM no puede ir a otro VDOM diferente. Esto significa que dos interfaces en diferentes VDOMs pueden compartir la misma dirección IP, sin problemas de superposición de subredes. Cuando utiliza VDOMs, un único dispositivo FortiGate se convierte en un centro de datos virtual de seguridad de red, inspección de gestión unificada de amenazas (UTM) y dispositivos de comunicación segura. Guía de estudio del administrador de 13 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET La mayoría de las funciones están disponibles tanto en la GUI como en la CLI, pero hay algunas excepciones. No se pueden ver informes en la CLI. Además, los ajustes avanzados y los comandos de diagnóstico para superusuarios no suelen estar disponibles en la GUI. A medida que se familiarice con FortiGate, y especialmente si desea programar su configuración, es posible que desee utilizar la CLI además de la GUI. Puede acceder a la CLI a través del widget JavaScript de la GUI llamado CLI Console, o a través de un emulador de terminal como Tera Term o PuTTY. El emulador de terminal puede conectarse a través de la red -SSH o Telnet- o del puerto de consola local. SNMP y algunos otros protocolos administrativos también son compatibles, pero son de sólo lectura. No se pueden utilizar para la configuración básica. Guía de estudio del administrador de 14 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Sea cual sea el método que utilices, empieza por iniciar sesión como administrador. Comience creando cuentas separadas para otros. Por motivos de seguridad y seguimiento, es recomendable que cada administrador tenga su propia cuenta. En el campo Crear nuevo, puede seleccionar Administrador o Administrador de API REST. Normalmente, seleccionará Administrador y, a continuación, asignará un Perfil de administrador, que especifica los permisos administrativos de ese usuario. Podría seleccionar Administrador de API REST para añadir un usuario administrativo que utilizaría una aplicación personalizada para acceder a FortiGate con una API REST. La aplicación le permitiría iniciar sesión en FortiGate y realizar cualquier tarea que permita su Perfil de administrador asignado. Otras opciones, no mostradas aquí, incluyen: En lugar de crear cuentas en FortiGate, puede configurar FortiGate para que consulte a un servidor de autenticación remoto. En lugar de contraseñas, sus administradores podrían autenticarse utilizando certificados digitales emitidos por su servidor interno de autoridad de certificación. Si utilizas contraseñas, asegúrate de que sean fuertes y complejas. Por ejemplo, puede utilizar varias palabras intercaladas con distintas mayúsculas, e insertar números y signos de puntuación de forma aleatoria. No utilices contraseñas cortas, ni contraseñas que contengan nombres, fechas o palabras que existan en cualquier diccionario. Son susceptibles de ataques de fuerza bruta. Para auditar la fortaleza de sus contraseñas, utilice herramientas como L0phtcrack (http://www.l0phtcrack.com/) o John the Ripper (http://www.openwall.com/john/). El riesgo de un ataque de fuerza bruta aumenta si conectas el puerto de gestión a Internet. Para restringir el acceso a determinadas funciones, puede asignar permisos. Guía de estudio del administrador de 15 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Al asignar permisos a un perfil de administrador, puede especificar lectura y escritura, sólo lectura o ninguno para cada área. Por defecto, hay un perfil especial llamado super_admin, que es utilizado por la cuenta llamada admin. No puede cambiar. Proporciona acceso completo a todo, haciendo que la cuenta admin sea similar a una cuenta de superusuario root. El prof_admin es otro perfil por defecto. También proporciona acceso completo, pero a diferencia de super_admin, sólo se aplica a su dominio virtual-no a la configuración global de FortiGate puede cambiar sus permisos. No está obligado a utilizar un perfil predeterminado. Puede crear un perfil llamado auditor_acceso con permisos de sólo lectura. Restringir los permisos de una persona a los necesarios para su trabajo es una buena práctica, porque incluso si esa cuenta se ve comprometida, el compromiso para su dispositivo FortiGate (o red) no es total. Para ello, cree perfiles de administrador y, a continuación, seleccione el perfil adecuado al configurar una cuenta. La opción Override Idle Timeout permite que el valor admintimeout, bajo config system accprofile, sea anulado por perfil de acceso. Puede configurar los perfiles de administrador para aumentar el tiempo de espera de inactividad y facilitar el uso de la GUI para la supervisión central. Tenga en cuenta que puede hacer esto por perfil, para evitar que la opción se establezca involuntariamente de forma global. ¿Cuáles son los efectos de los perfiles de administrador? En realidad es algo más que el acceso de lectura o escritura. Dependiendo del tipo de perfil de administrador que asigne, es posible que un administrador no pueda acceder a todo el dispositivo FortiGate. Por ejemplo, podría configurar una cuenta que sólo pueda ver los mensajes de registro. Es posible que los administradores tampoco puedan acceder a la configuración global fuera de su dominio virtual asignado. Los dominios virtuales (VDOM) son una forma de subdividir los recursos y configuraciones en un único FortiGate. Los administradores con un ámbito menor de permisos no pueden crear, o incluso ver, cuentas con más permisos. Guía de estudio del administrador de 16 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Otra forma de proteger FortiGate es definir los hosts o subredes que son fuentes de confianza desde las que iniciar. En este ejemplo, 10.0.1.10 está configurada como la única IP de confianza para admin desde la que admin inicia. Si admin intenta iniciar sesión desde una máquina con cualquier otra IP, recibirá un mensaje de error de autenticación. Tenga en cuenta que si los hosts de confianza están configurados en todos los administradores y un administrador está intentando iniciar sesión desde una dirección IP que no está configurada en ninguno de los hosts de confianza para ningún administrador, entonces el administrador no obtendrá la página de inicio de sesión. En su lugar, el administrador recibirá este mensaje "Imposible contactar con el servidor". Si deja cualquier dirección IPv4 como 0.0.0.0/0, significa que se permitirán conexiones desde cualquier IP de origen. Por defecto, 0.0.0.0/0 es la configuración para el administrador, aunque puede que quieras. Tenga en cuenta que cada cuenta puede definir su host de gestión o subred de forma diferente. Tenga en cuenta cualquier NAT que se produzca entre el dispositivo deseado y FortiGate. Puede evitar fácilmente que un administrador inicie sesión desde la dirección IP deseada si más tarde se NATed a otra dirección antes de llegar a , derrotando así el propósito de los hosts de confianza. Otra opción para configurar una cuenta de administrador para restringir el acceso para que sólo aprovisione cuentas de usuario invitado. Al habilitar esta , la cuenta de administrador podrá aprovisionar cuentas de usuario invitado siempre que haya un grupo de usuarios invitados disponible para aprovisionar usuarios invitados. Guía de estudio del administrador de 17 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET También puede personalizar los números de puerto de los protocolos administrativos. Puede elegir si desea permitir sesiones concurrentes. Puede utilizar sesiones concurrentes para evitar sobrescribir accidentalmente la configuración, si suele mantener abiertas varias pestañas del navegador, o accidentalmente deja una sesión CLI abierta sin guardar la configuración, y luego inicia una sesión GUI y accidentalmente edita la misma configuración de forma diferente. Para mejorar la seguridad, utilice sólo protocolos seguros y aplique la complejidad y los cambios de contraseña. La configuración del tiempo de espera de inactividad especifica el número de minutos antes de que se agote una sesión de administrador inactiva (el valor predeterminado es cinco minutos). Un tiempo de espera de inactividad más corto es más seguro, pero aumentar el temporizador puede ayudar a reducir la posibilidad de que los administradores se desconecten mientras prueban los cambios. Puede anular la configuración del tiempo de espera de inactividad por perfil de administrador mediante la configuración Anular tiempo de espera de inactividad. Puede configurar un perfil de administrador para aumentar el tiempo de espera de inactividad y facilitar el uso de la GUI para la supervisión central. El ajuste Override Idle Timeout permite anular el valor admintimeout, en config system accprofile, por perfil de acceso. Tenga en cuenta que puede hacerlo perfil, para evitar que la opción se establezca de forma global involuntariamente. Guía de estudio del administrador de 18 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Ha definido la subred de gestión, es decir, los hosts de confianza, para cada cuenta de administrador. ¿Cómo se activan o desactivan los protocolos de gestión? Esto es específico para cada interfaz. Por ejemplo, si sus administradores se conectan a FortiGate sólo desde el puerto3, entonces debería deshabilitar el acceso administrativo en todos los demás puertos. Esto previene intentos de fuerza bruta y también accesos inseguros. Sus protocolos de administración son HTTPS, HTTP, PING y SSH. Por defecto, la opción HTTP y TELNET no está visible en la GUI. Tenga en cuenta la ubicación de la interfaz en su red. Habilitar PING en una interfaz interna es útil para la resolución de problemas. Sin embargo, si se trata de una interfaz externa (en otras palabras, expuesta a Internet), el protocolo PING podría exponer a FortiGate a un ataque DoS. Debería deshabilitar los protocolos que no cifran el flujo de datos, como HTTP y TELNET. Los protocolos IPv4 e IPv6 son independientes. Es posible tener direcciones IPv4 e IPv6 en una interfaz, pero sólo responder a pings en IPv6. La conexión Security Fabric incluye CAPWAP y FortiTelemetry. Protocolos como FortiTelemetry no son para acceso administrativo, pero, como GUI y acceso CLI, son protocolos donde los paquetes tienen FortiGate como IP de destino. Utilice el protocolo FortiTelemetry específicamente para administrar FortiClient y el Security Fabric. Utilice el protocolo CAPWAP para FortiAP, FortiSwitch y FortiExtender cuando sean gestionados por FortiGate. Utilice el protocolo FMG- Access específicamente para comunicarse con FortiManager cuando ese servidor esté gestionando múltiples dispositivos FortiGate. Utilice el protocolo de contabilidad RADIUS cuando FortiGate necesite escuchar y procesar paquetes de contabilidad RADIUS para la autenticación de inicio de sesión único. FTM, o FortiToken Mobile push, admite solicitudes de autenticación de segundo factor desde una aplicación móvil FortiToken. Cuando asigna las funciones de interfaz LAN o WAN a las interfaces adecuadas, FortiGate utiliza el protocolo LLDP (Link Layer Discovery Protocol) para detectar si hay un FortiGate aguas arriba en la red. Si FortiGate detecta un FortiGate aguas arriba se le pedirá que configure el dispositivo FortiGate aguas arriba para que se una al Security Fabric. Guía de estudio del administrador de 19 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Ahora que FortiGate tiene una configuración de red básica y cuentas administrativas, aprenderá a realizar copias de seguridad de la configuración. Además de seleccionar el destino del archivo de copia de seguridad, puede elegir cifrar o no cifrar el archivo de copia de seguridad. Incluso si eliges no encriptar el archivo, que es la opción por defecto, las contraseñas almacenadas en el archivo son hasheadas, y, por lo tanto, ofuscadas. Las contraseñas que se almacenan en el archivo de configuración incluirían las contraseñas para los usuarios administrativos y los usuarios locales, y las claves precompartidas para sus VPN IPSec. También puede incluir contraseñas para los servidores FSSO y LDAP. La otra opción es cifrar el archivo de configuración con una contraseña. Además de asegurar la privacidad de su configuración, también tiene algunos efectos que puede que no espere. Tras el cifrado, el archivo de configuración no se puede descifrar sin la contraseña y un FortiGate del mismo modelo y firmware. Esto significa que si envía un archivo de configuración cifrado al soporte técnico de Fortinet, aunque les proporcione la contraseña, no podrán cargar su configuración hasta que tengan acceso al mismo modelo de FortiGate. Esto puede causar retrasos innecesarios a la hora de resolver su ticket. En su lugar, puede activar la opción de enmascaramiento de contraseña al crear un nuevo archivo de copia de seguridad para reemplazar todas las contraseñas y secretos del archivo de configuración y evitar la fuga involuntaria de datos al compartir el archivo de copia de seguridad con un tercero. Si habilita dominios virtuales (VDOM), subdividiendo los recursos y la configuración de su dispositivo FortiGate, cada administrador de VDOM puede realizar copias de seguridad y restaurar sus propias configuraciones. No es necesario realizar una copia de seguridad de toda la configuración de FortiGate, sin embargo, sigue siendo recomendable. Las copias de seguridad son necesarias para ayudar a acelerar la vuelta a la producción en caso de un desastre imprevisto que dañe FortiGate. Tener que volver a crear cientos de políticas y objetos desde cero lleva una cantidad de tiempo considerable, mientras que cargar un archivo de configuración en un dispositivo nuevo lleva mucho menos. La restauración de un archivo de configuración es muy similar a la copia de seguridad de uno y reinicia FortiGate. Guía de estudio del administrador de 20 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Si abres el archivo de configuración en un editor de texto, verás que tanto los archivos de configuración encriptados como los no encriptados contienen una cabecera en texto claro que contiene alguna información básica sobre el. El ejemplo de esta diapositiva muestra qué información se incluye. Para restaurar una configuración cifrada, debe cargarla en un dispositivo FortiGate del mismo modelo y firmware y, a continuación, proporcionar la contraseña. Para restaurar un archivo de configuración sin cifrar, sólo debe coincidir el modelo de FortiGate. Si el firmware es diferente, FortiGate intentará actualizar la configuración. Esto es similar a cómo utiliza los scripts de actualización en la configuración existente cuando actualiza el firmware. Sin embargo, se recomienda hacer coincidir el firmware de FortiGate con el firmware que aparece en el archivo de configuración. Normalmente, el archivo de configuración sólo contiene ajustes no predeterminados, además de unos pocos ajustes predeterminados, aunque cruciales. Esto minimiza el tamaño de la copia de seguridad, que de otro modo podría tener varios megabytes de tamaño. Guía de estudio del administrador de 21 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET El formato YAML es cada vez más popular y se utiliza a menudo para crear archivos de configuración. FortiOS ahora soporta el formato YAML, puede tomar una copia de seguridad, así como restaurar el archivo de configuración YAML usando GUI. Esta diapositiva muestra la configuración de ejemplo para entender la diferencia entre el formato de archivo por defecto y el formato YAML. Guía de estudio del administrador de 22 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Puede ver la versión actual del firmware en varios lugares de la interfaz gráfica de FortiGate. La primera vez que inicie sesión en FortiGate, la página de inicio es el panel de control. Puede ver la versión de firmware en el widget Sistema. Esta información también se encuentra en System> Firmware & Registration. Y, por supuesto, puede recuperar la información en la CLI utilizando el comando get system status. Si una nueva versión del firmware está , se le notificará en el panel de control y en la página de Firmware y Registro. La página Firmware y Registro permite a los administradores gestionar el firmware que se ejecuta en cada FortiGate, FortiAP y FortiSwitch en el Security Fabric, y autorizar y registrar estos dispositivos Fabric. Puede utilizar la opción Actualizar para actualizar el firmware del dispositivo seleccionado. La opción de Actualización de Tejido actualiza el firmware para el FortiGate raíz así como los dispositivos de Tejido. También puede utilizar esta opción para actualizar el firmware de un FortiGate sin tejido de seguridad con dispositivos FortiSwitch y FortiAP gestionados. La opción Fabric Upgrade utiliza imágenes de firmware liberadas por FortiGuard. También puede utilizar la opción Registrar para registrar un dispositivo seleccionado en FortiCare y la opción Autorizar para autorizar un dispositivo seleccionado para su uso en el tejido de seguridad. No olvide leer las Notas de la versión para asegurarse de que comprende la ruta de actualización admitida. La dirección Las notas de la versión también proporcionan información pertinente que puede afectar a la actualización. Guía de estudio del administrador de 23 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Algunos servicios de FortiGate se conectan a otros servidores, como FortiGuard, para poder funcionar. Los servicios de suscripción de FortiGuard proporcionan a FortiGate información actualizada sobre amenazas. FortiGate utiliza FortiGuard por: Solicitar periódicamente paquetes que contengan un nuevo motor y firmas. Consulta del FDN en una URL individual o nombre de host De forma predeterminada, la ubicación del servidor FortiGuard se establece en cualquier lugar donde FortiGate seleccione un servidor en función de la carga del servidor, en cualquier parte del mundo. Sin embargo, tiene la opción de cambiar la ubicación del servidor FortiGuard a USA. En este , FortiGate selecciona un servidor FortiGuard basado en USA. Las consultas son en tiempo real; es decir, FortiGate pregunta a la FDN cada vez que busca spam o sitios web filtrados. FortiGate realiza consultas, en lugar de descargar la base de datos, debido al tamaño y la frecuencia de los cambios que se producen en la base de datos. Además, puede seleccionar que las consultas utilicen UDP o HTTP para el transporte; los protocolos no están diseñados para la tolerancia a fallos, sino para la velocidad. Por lo tanto, las consultas requieren que su dispositivo FortiGate tenga una conexión a Internet fiable. Los paquetes, como los antivirus y los IPS, son más pequeños y no cambian con tanta frecuencia, por lo que se descargan (en muchos casos) sólo una vez al día. Se descargan utilizando TCP para un transporte fiable. Una vez descargada la base de datos, las funciones asociadas de FortiGate siguen funcionando, incluso si FortiGate no dispone de una conectividad fiable a Internet. Sin embargo, debe intentar evitar interrupciones durante las descargas: si su dispositivo FortiGate debe intentar descargar actualizaciones repetidamente, no podrá detectar nuevas amenazas durante ese tiempo. Cuando se utilizan servidores FortiGuard para DNS, FortiOS utiliza DNS sobre TLS (DoT) por defecto para asegurar el tráfico DNS. Se han añadido nuevos servidores DNS FortiGuard como servidores primario y secundario. Guía de estudio del administrador de 24 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Ahora, se ha implementado la verificación de certificados SSL de terceros y la comprobación de engrapado OCSP para todos los servidores FortiGuard. Por defecto, el modo de acceso FortiGuard es anycast en FortiGate, para optimizar el rendimiento del enrutamiento a los servidores FortiGuard. El servidor FortiGuard tiene una dirección IP que coincide con su nombre de dominio. FortiGate se conecta con una única dirección de servidor, independientemente de donde se encuentre el dispositivo FortiGate. El nombre de dominio de cada servicio FortiGuard es el nombre común en el certificado de ese servicio. El certificado está firmado por una CA intermedia de terceros. El servidor FortiGuard utiliza la técnica de grapado Online Certificate Status Protocol (OCSP), para que FortiGate pueda validar siempre el certificado del servidor FortiGuard de forma eficiente. FortiGate completará el handshake TLS sólo con un servidor FortiGuard que proporcione un buen estado OCSP para su certificado. Cualquier otro estado resulta en una conexión SSL fallida. Los servidores FortiGuard consultan al respondedor OCSP de la CA cada cuatro horas y actualizan su estado OCSP. Si FortiGuard no puede comunicarse con el respondedor OCSP, mantiene el último estado OCSP conocido durante siete días. FortiGate aborta la conexión con el servidor FortiGuard si: El CN del certificado del servidor no coincide con el nombre de dominio resuelto desde el DNS. El estado OCSP no es bueno. La AC emisora es revocada por la AC raíz. La configuración del modo de acceso anycast de FortiGuard obliga al proceso de calificación a utilizar el protocolo HTTPS y el puerto 443. Guía de estudio del administrador de 25 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET La tabla en esta diapositiva muestra una lista de algunos de los servidores FortiGuard y sus nombres de dominio y direcciones IP. Guía de estudio del administrador de 26 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Puede verificar el estado de las licencias de FortiGuard y la comunicación con FortiGuard en la GUI de FortiGate. También puede comprobar las versiones de las bases de datos instaladas localmente para cada uno de los servicios FortiGuard. Guía de estudio del administrador de 27 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET El comando mostrado en esta diapositiva lista todas las bases de datos y motores FortiGuard instalados. La información incluye la versión, la fecha de vencimiento del contrato, la hora en que se actualizó y lo que sucedió durante la última actualización. La lista incluye, entre otros, antivirus, IPS, aplicaciones, definiciones de malware móvil y otros servicios de seguridad FortiGate tiene licencia y se actualiza mediante los servicios de FortiGuard. Guía de estudio del administrador de 28 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Guía de estudio del administrador de 29 FortiGate 7.4 Configuración del sistema y de la red NO REPRIMIR © FORTINET Esta diapositiva muestra los objetivos que has cubierto en esta lección. Al dominar los objetivos cubiertos en esta lección, ha aprendido cómo y dónde encaja FortiGate en su red y cómo realizar la administración básica de FortiGate. Guía de estudio del administrador de 30 FortiGate 7.4

FortiGate 7.4 System and Network Settings PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue