FortiGate Security 7.0 Study Guide-Online 3

Machine Translated by Google Traducción de direcciones de red (NAT)
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la comprensión de cómo funcionan los asistentes de sesión, podrá utilizar los asistentes de
sesión para analizar datos en los paquetes de algunos protocolos y permitir que esos protocolos pasen el tráfico a través
de FortiGate.
Guía de estudio de FortiGate Security 7.0 181

NO REIMPRIMIR
© FORTINET
Algunos protocolos de la capa de aplicación no son totalmente independientes de las capas inferiores, como la red o
capas de transporte. Las direcciones pueden repetirse en la capa de aplicación, por ejemplo. Si el asistente de sesión
detecta un patrón como este, puede cambiar los encabezados de la aplicación o crear las conexiones secundarias requeridas.
Un buen ejemplo de esto es una aplicación que tiene un canal de control y un canal de datos o medios, como FTP. Los
cortafuegos generalmente permitirán que el canal de control y se basen en los asistentes de sesión manejen las conexiones
de transmisión de medios o datos dinámicos.
Cuando se requiere un seguimiento y control de aplicaciones más avanzado, puede utilizar ALG. El perfil VOIP es un
ejemplo de ALG.

NO REIMPRIMIR
© FORTINET
En los ejemplos que se muestran en esta diapositiva, la dirección del destinatario de medios en la carga útil de SIP SDP se
modifica para reflejar la dirección IP traducida.
Observe cómo, debido a que las políticas de firewall tienen estado, se abre un pequeño agujero para permitir el tráfico de
respuesta, aunque no haya creado explícitamente una política de firewall para permitir el tráfico entrante. Este concepto se
usa con algunos otros protocolos, como NAT-T para IPsec.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los asistentes de sesión.
Ahora, aprenderá acerca de las sesiones.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la comprensión de cómo una tabla de sesión realiza un seguimiento de la información de la
sesión, podrá usar esa información de manera efectiva para comprender las acciones aplicadas al tráfico, como SNAT,
DNAT y enrutamiento.

NO REIMPRIMIR
© FORTINET
Puede ver la página Sesiones en la GUI, pero la CLI proporciona más información sobre las sesiones en la tabla de sesiones.
El rendimiento del firewall de las conexiones para cada sesión y el número máximo de conexiones se indican en la
tabla de sesiones. Sin embargo, si su dispositivo FortiGate contiene procesadores de seguridad diseñados para acelerar
el procesamiento sin cargar la CPU, es posible que la información de la tabla de sesiones no sea completamente precisa,
ya que la tabla de sesiones refleja lo que la CPU conoce y procesa.

NO REIMPRIMIR
© FORTINET
Cada sesión en FortiGate puede estar inactiva por un tiempo finito, que está definido por TTL. Cuando FortiGate detecta que la
sesión está inactiva después de un tiempo de inactividad y se alcanza el TTL, la sesión se elimina de la tabla de sesiones.
Debido a que la tabla de sesiones tiene una cantidad finita de RAM que puede usar en FortiGate, ajustar el TTL de la sesión puede
mejorar el rendimiento. Hay temporizadores predeterminados globales, temporizadores de estado de sesión y temporizadores
configurables en objetos de firewall.

NO REIMPRIMIR
© FORTINET
El árbol de comandos de la sesión del sistema de diagnóstico proporciona opciones para filtrar, borrar o mostrar la lista de sesiones.
También puede enumerar información breve sobre las sesiones ejecutando el comando get system session list .
Antes de mirar la tabla de sesiones, primero cree un filtro. Para ver nuestra conexión de prueba, puede filtrar en dst
10.200.1.254 y puerto 80.

NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, puede ver el TTL de la sesión, que refleja cuánto tiempo puede pasar FortiGate sin
recibir ningún paquete para esta sesión, hasta que elimina la sesión de su tabla.
Aquí puede ver las acciones de enrutamiento y NAT que se aplican al tráfico. También se realiza un seguimiento del ID de la política del cortafuegos.
El proto_state para TCP se toma de su máquina de estado, sobre la que aprenderá más adelante en esta lección.

NO REIMPRIMIR
© FORTINET
Anteriormente en esta lección, aprendió que la tabla de sesión contiene un número que indica el estado TCP actual de la
conexión. Estos son los estados de la máquina de estado TCP. Son valores de un solo dígito, pero proto_state siempre se
muestra como dos dígitos. Esto se debe a que FortiGate es un firewall con estado y realiza un seguimiento de la dirección
original (estado del lado del cliente) y la dirección de respuesta (estado del lado del servidor). Si hay demasiadas conexiones
en estado SYN durante largos períodos de tiempo, esto indica una inundación SYN, que puede mitigar con políticas DoS.
Esta tabla y gráfico de flujo correlaciona el valor del segundo dígito con los diferentes estados de la sesión TCP. Por ejemplo,
cuando FortiGate recibe el paquete SYN, el segundo dígito es 2. Va a 3 una vez que se recibe el SYN/ACK.
Después del protocolo de enlace de tres vías, el valor del estado cambia a 1.
Cuando una sesión es cerrada por ambos lados, FortiGate la mantiene en la tabla de sesión durante unos segundos más,
para permitir cualquier paquete desordenado que pueda llegar después del paquete FIN/ACK. Este es el valor de estado 5.

NO REIMPRIMIR
© FORTINET
Aunque UDP es un protocolo sin estado orientado a mensajes, no requiere inherentemente conexiones bidireccionales
confirmadas como TCP, por lo que no hay estado de conexión. Sin embargo, la tabla de sesión de FortiGate usa el campo
proto_state= para rastrear el UDP unidireccional como estado 0 y el UDP bidireccional como estado 1.
Cuando FortiGate recibe el primer paquete, crea la entrada y establece el estado en 0. Si el destino responde, FortiGate
actualiza el indicador de estado a 1 para el resto de la conversación.
En particular, ICMP, como ping y traceroute, no tienen estado de protocolo y siempre mostrarán
proto_state=00.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora entiende las sesiones.
Ahora, aprenderá sobre las mejores prácticas y la solución de problemas de NAT.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el uso de registros de tráfico, comandos de diagnóstico, filtros VIP y mejores prácticas para
la implementación de NAT, debería poder monitorear y solucionar problemas comunes de NAT e implementar NAT con éxito
en su red.

NO REIMPRIMIR
© FORTINET
El agotamiento de puertos NAT ocurre cuando FortiGate no puede asignar puertos para realizar NAT en nuevas sesiones porque no
hay puertos disponibles. Cuando se produce el agotamiento del puerto NAT, FortiGate informa al administrador mostrando el registro
que se muestra en esta diapositiva, con una gravedad de crítica.
Para abordar el agotamiento del puerto NAT, debe realizar una de las siguientes acciones:
• Cree un grupo de IP que tenga más de una IP externa vinculada (para que se equilibre la carga entre ellas)
• Reducir el número de sesiones que requieren NAT
Para recibir registros importantes como este, debe asegurarse de que el registro necesario esté habilitado. En la interfaz gráfica de
usuario de FortiGate, haga clic en Registro e informe > Configuración de registro para verificar que la configuración predeterminada,
registro en disco o memoria, esté activada.
El agotamiento del puerto NAT también se destaca por un aumento en el contador de conflictos del comando stat de la sesión del sistema
de diagnóstico .

NO REIMPRIMIR
© FORTINET
Puede controlar las conexiones TCP y UDP simultáneas a través de una cuota de conexión en el moldeador por IP.
El número máximo de sesiones TCP y UDP simultáneas permitidas por un modelador es de cero a 2097000, cero significa
que no hay límite. Puede seleccionar un valor de cero solo desde la configuración CLI del formador de tráfico.
También puede controlar la cuota de puerto en el grupo de IP de rango de puerto fijo. La cantidad de puertos para cada
usuario se puede asignar de 32 a 60416, donde 0 significa predeterminado.

NO REIMPRIMIR
© FORTINET
Puede usar el comando de diagnóstico ippool-all list del cortafuegos , que enumera todos los grupos de IP de NAT configurados
con su rango y tipo de IP de NAT.

NO REIMPRIMIR
© FORTINET
El diagnóstico de firewall ippool-all stats muestra las estadísticas de todos los grupos de IP.
El comando stats proporciona los siguientes datos e información: • Sesiones NAT por
grupo de IP • Total de sesiones TCP por grupo de IP • Total de sesiones UDP por grupo
de IP • Total de otras sesiones (no TCP y no UDP) por grupo de IP
Opcionalmente, puede filtrar la salida para un grupo de direcciones IP específico utilizando el nombre del grupo de direcciones IP.

NO REIMPRIMIR
© FORTINET
Se ha añadido la opción Servicios a los objetos VIP. La IP virtual con servicios es un modo de IP virtual más flexible.
Este modo permite a los usuarios definir servicios para un solo número de puerto asignado.
Esta configuración fue posible para permitir escenarios complejos en los que múltiples fuentes de tráfico utilizan
múltiples servicios para conectarse a una sola computadora, al tiempo que requieren una combinación de NAT de origen
y destino, y no requieren que numerosos VIP se agrupen en grupos VIP.
En el ejemplo que se muestra en esta diapositiva, los puertos TCP 8090, 8091 y 8092 están asignados a un servidor web interno,
Puerto TCP 80. Esto permite que las conexiones remotas se comuniquen con un servidor detrás del firewall.
Una vez que aplica la configuración de IP virtual que se muestra en la diapositiva a la política de firewall, si un
usuario accede a 203.0.113.10:8090 desde una red externa, FortiGate lo asigna a 10.0.1.10:80 en la red interna.
De manera similar, si un usuario accede a 203.0.113.10:8091 o 203.0.113.10:8092 desde una red externa, FortiGate lo
asigna a 10.0.1.10:80 en la red interna.
Los VIP con diferentes servicios se consideran no superpuestos.

NO REIMPRIMIR
© FORTINET
Utilice las siguientes prácticas recomendadas al implementar NAT:
• Evite configurar incorrectamente un rango de grupo de IP:

• Vuelva a verificar las direcciones IP de inicio y finalización de cada
conjunto de direcciones IP. • Asegúrese de que el conjunto de IP no se superponga con las direcciones asignadas a las interfaces de FortiGate o a cua
hosts en redes conectadas directamente.
•
Si tiene usuarios internos y externos que acceden a los mismos servidores, use DNS dividido para ofrecer una IP interna a
los usuarios internos para que no tengan que usar el VIP externo.
• No configure una regla NAT para el tráfico entrante a menos que lo requiera una aplicación. Por ejemplo, si existe una regla NAT coincidente para
el tráfico SMTP entrante, el servidor SMTP podría actuar como una retransmisión abierta.
• Debe programar una ventana de mantenimiento para cambiar del modo NAT central al modo NAT de política de firewall, o del modo NAT de
política de firewall al modo NAT central. Cambiar entre los modos NAT puede crear una interrupción de la red.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo comprender y configurar NAT para que pueda usarlo en su
red.

Machine Translated by Google Autenticación de cortafuegos
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá a usar la autenticación en las políticas de firewall de FortiGate.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en los métodos de autenticación de firewall, podrá describir e identificar los métodos admitidos de autenticación
de firewall disponibles en FortiGate.

NO REIMPRIMIR
© FORTINET
El firewall tradicional otorga acceso a la red mediante la verificación de la dirección IP y el dispositivo de

origen. Esto es inadecuado y puede representar un riesgo de seguridad, porque el firewall no puede determinar quién
está usando el dispositivo al que otorga acceso.
FortiGate incluye autenticación de usuarios y grupos de usuarios. Como resultado, puede seguir a las personas en
varios dispositivos.
Cuando el acceso está controlado por un usuario o grupo de usuarios, los usuarios deben autenticarse ingresando
credenciales válidas (como nombre de usuario y contraseña). Después de que FortiGate valida al usuario, FortiGate
aplica políticas y perfiles de firewall para permitir o denegar el acceso a recursos de red específicos.

NO REIMPRIMIR
© FORTINET
FortiGate admite múltiples métodos de autenticación de firewall:
• Autenticación de contraseña local

• Autenticación de contraseña basada en servidor (también llamada autenticación de contraseña remota)
• Autenticación de dos factores
Este es un sistema de autenticación que se habilita sobre un método existente; no se puede habilitar sin
configurar primero uno de los otros métodos. Requiere algo que sepa, como una contraseña, y algo que tenga,
como un token o certificado.
Durante esta lección, aprenderá en detalle cada método de autenticación de firewall.

NO REIMPRIMIR
© FORTINET
El método más simple de autenticación es la autenticación de contraseña local. La información de la cuenta de usuario
(nombre de usuario y contraseña) se almacena localmente en el dispositivo FortiGate. Este método funciona bien para un solo FortiGate
instalación.
Las cuentas locales se crean en la página Definición de usuario, donde un asistente lo guía a través del proceso. Para la
autenticación de contraseña local, seleccione Usuario local como tipo de usuario y cree un nombre de usuario y una
contraseña. Si lo desea, también puede agregar información de correo electrónico y SMS a la cuenta, habilitar la
autenticación de dos factores y agregar el usuario a un grupo de usuarios preconfigurado.
Después de crear el usuario, puede agregar el usuario, o cualquier grupo de usuarios preconfigurado del que el
usuario sea miembro, a una política de firewall para autenticarse. Aprenderá sobre grupos de usuarios y políticas de firewall
en esta lección.

NO REIMPRIMIR
© FORTINET
Cuando se utiliza la autenticación de contraseña basada en servidor, un servidor de autenticación remoto autentica a los usuarios. Este
método es deseable cuando varios dispositivos FortiGate necesitan autenticar a los mismos usuarios o grupos de usuarios, o cuando se
agrega FortiGate a una red que ya contiene un servidor de autenticación.
Cuando utiliza un servidor de autenticación remota para autenticar a los usuarios, FortiGate envía las credenciales ingresadas por
el usuario al servidor de autenticación remota. El servidor de autenticación remota responde indicando si las credenciales son
válidas o no. Si es válido, FortiGate consulta su configuración para hacer frente al tráfico.
Tenga en cuenta que es el servidor de autenticación remota, no FortiGate, el que evalúa las credenciales del usuario.
Cuando se utiliza el método de autenticación de contraseña basado en servidor, FortiGate no almacena toda (o, en el caso de algunas
configuraciones, ninguna) la información del usuario localmente.

NO REIMPRIMIR
© FORTINET
FortiGate brinda soporte para muchos servidores de autenticación remotos, incluidos POP3, RADIUS, LDAP y TACACS+.
POP3 es el único servidor que requiere una dirección de correo electrónico como credencial de inicio de sesión. Todos los demás servidores
de autenticación remota utilizan el nombre de usuario. Algunos servidores POP3 requieren el correo electrónico completo con dominio
([email protected]), otros requieren solo el sufijo, mientras que otros aceptan ambos formatos. Este requisito está determinado por la
configuración del servidor y no es una configuración en FortiGate. Puede configurar la autenticación POP3 solo a través de la CLI. Tenga
en cuenta que puede configurar LDAP para validar con el correo electrónico, en lugar del nombre de usuario.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiGate para usar servidores de autenticación externos de las siguientes dos maneras:
• Crear cuentas de usuario en FortiGate. Con este método, debe seleccionar el servidor de autenticación remota
(RADIUS, TACACS+ o LDAP), dirija FortiGate a su servidor de autenticación remota preconfigurado y agregue el usuario
a un grupo apropiado. Esto generalmente se hace cuando desea agregar autenticación de dos factores a sus usuarios
remotos. Recuerde, POP3 solo se puede configurar a través de la CLI.
• Agregar el servidor de autenticación remota a los grupos de usuarios. Con este método, debe crear un grupo de usuarios
y agregar el servidor remoto preconfigurado al grupo. En consecuencia, cualquier usuario que tenga una cuenta en el
servidor de autenticación remota puede autenticarse. Si utiliza otros tipos de servidor remoto, como un servidor LDAP,
como servidor de autenticación remota, puede controlar el acceso a grupos LDAP específicos, tal como se define en el
servidor LDAP.
De manera similar a la autenticación de contraseña local, debe agregar el grupo de usuarios preconfigurado (del cual el
usuario es miembro) a una política de firewall para poder autenticarse. Aprenderá acerca de los grupos de usuarios y las
políticas de firewall más adelante en esta lección.

NO REIMPRIMIR
© FORTINET
La autenticación de usuario tradicional requiere su nombre de usuario más algo que sepa, como una contraseña. La debilidad
de este método tradicional de autenticación es que si alguien obtiene su nombre de usuario, solo necesita su contraseña para
comprometer su cuenta. Además, dado que las personas tienden a usar la misma contraseña
a través de varias cuentas (algunos sitios con más vulnerabilidades de seguridad que otros), las cuentas son vulnerables a los
ataques, independientemente de la seguridad de la contraseña.
La autenticación de dos factores, por otro lado, requiere algo que sepa, como una contraseña, y algo que tenga, como
un token o certificado. Debido a que este método le da menos importancia a las contraseñas, a menudo vulnerables, hace
que comprometer la cuenta sea más complejo para un atacante. Puede usar la autenticación de dos factores en FortiGate con
cuentas de usuario y de administrador. El usuario (o grupo de usuarios al que pertenece el usuario) se agrega a una política de
firewall para autenticarse. Tenga en cuenta que no puede usar la autenticación de dos factores con proxies explícitos.
Puede usar contraseñas de un solo uso (OTP) como su segundo factor. Las OTP son más seguras que las
contraseñas estáticas porque el código de acceso cambia a intervalos regulares y es válido solo por un corto período de tiempo.
Una vez que usa la OTP, no puede volver a usarla. Entonces, incluso si es interceptado, es inútil. FortiGate puede entregar OTP
a través de tokens, como FortiToken 200 (token de hardware) y FortiToken Mobile (token de software), así como a través de
correo electrónico o SMS. Para entregar una OTP por correo electrónico o SMS, la cuenta de usuario debe contener información
de contacto del usuario.
Los FortiTokens y OTP entregados por correo electrónico y SMS se basan en el tiempo. FortiTokens, por ejemplo, genera
una nueva contraseña de seis dígitos cada 60 segundos (por defecto). Se recomienda encarecidamente un servidor NTP para
garantizar que las OTP permanezcan sincronizadas. FortiToken Mobile Push permite a los usuarios aceptar la solicitud de autorización de su
Aplicación móvil FortiToken, sin necesidad de ingresar un código adicional.

NO REIMPRIMIR
© FORTINET
Los tokens utilizan un algoritmo específico para generar una OTP. El algoritmo consta de:
• Una semilla: un número único generado aleatoriamente que no cambia con el tiempo
• La hora: obtenida de un reloj interno preciso
Tanto la semilla como el tiempo pasan por un algoritmo que genera una OTP (o código de acceso) en el token. El
código de acceso tiene una vida útil corta, generalmente medida en segundos (60 segundos para FortiToken 200, posiblemente
más o menos para otros generadores de claves RSA). Una vez que finaliza la vida útil, se genera un nuevo código de acceso.
Cuando se usa la autenticación de dos factores con un token, el usuario primero debe iniciar sesión con una contraseña
estática seguida del código de acceso generado por el token. Un servidor de validación (FortiGate) recibe las credenciales
del usuario y primero valida la contraseña estática. El servidor de validación luego procede a validar el código de acceso. Lo
hace regenerando el mismo código de acceso utilizando la semilla y la hora del sistema (que está sincronizada con la del
token) y comparándola con la recibida del usuario. Si la contraseña estática es válida y la OTP coincide, el usuario se autentica
correctamente. Nuevamente, tanto el token como el servidor de validación deben usar la misma semilla y tener los relojes del
sistema sincronizados. Como tal, es crucial que configure la fecha y la hora correctamente en FortiGate, o que lo vincule a un
servidor NTP (lo cual se recomienda).

NO REIMPRIMIR
© FORTINET
Puede agregar un FortiToken 200 o FortiToken Mobile a FortiGate en la página de FortiTokens.
Un token duro tiene un número de serie que le proporciona a FortiGate detalles sobre el valor semilla inicial. Si
tiene varios tokens duros para agregar, puede importar un archivo de texto, donde se enumera un número de serie por línea.
Un token de software requiere un código de activación. Tenga en cuenta que cada FortiGate (y FortiGate VM)
proporciona dos activaciones gratuitas de FortiToken Mobile. Debe comprar tokens adicionales de Fortinet.
No puede registrar el mismo FortiToken en más de un FortiGate. Si desea utilizar el mismo FortiToken para la
autenticación en varios dispositivos FortiGate, debe utilizar un servidor de validación central, como FortiAuthenticator.
En ese caso, los FortiTokens se registran y asignan a los usuarios en FortiAuthenticator, y FortiGate usa
FortiAuthenticator como su servidor de validación.
Una vez que haya registrado los dispositivos FortiToken con FortiGate, puede asignarlos a los usuarios para que los
usen como su método de autenticación de segundo factor. Para asignar un token, edite (o cree) la cuenta de usuario y
seleccione Habilitar autenticación de dos factores. En la lista desplegable Token, seleccione el token registrado que desea asignar.

NO REIMPRIMIR
© FORTINET
Todos los métodos de autenticación que ha aprendido (autenticación de contraseña local, autenticación basada en servidor
y autenticación de dos factores) usan autenticación activa. La autenticación activa significa que se solicita a los usuarios que ingresen
manualmente sus credenciales de inicio de sesión antes de que se les conceda acceso.
Pero no todos los usuarios se autentican de la misma manera. A algunos usuarios se les puede otorgar acceso de forma transparente,
porque la información del usuario se determina sin pedirle al usuario que ingrese sus credenciales de inicio de sesión. Esto se conoce
como autenticación pasiva. La autenticación pasiva se produce con el método de inicio de sesión único para la contraseña basada en servidor
autenticación: FSSO, RSSO y NTLM.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de la autenticación de firewall.
Ahora, aprenderá acerca de los servidores de autenticación remota.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en servidores de autenticación remotos, podrá configurar la autenticación de firewall utilizando
cuentas de usuario remotas definidas en un servidor de autenticación remoto.

NO REIMPRIMIR
© FORTINET
El Protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación utilizado para acceder y mantener
servicios de información de directorio distribuidos.
El protocolo LDAP se usa para mantener datos de autenticación que pueden incluir departamentos, personas, grupos
de personas, contraseñas, direcciones de correo electrónico e impresoras. LDAP consta de un esquema de
representación de datos, un conjunto de operaciones definidas y una red de solicitud y respuesta.
El protocolo LDAP incluye una serie de operaciones que un cliente puede solicitar, como buscar, comparar y agregar o
eliminar una entrada. El enlace es la operación en la que el servidor LDAP autentica al usuario. Si el usuario se autentica
correctamente, la vinculación le permite acceder al servidor LDAP, según los permisos de ese usuario.

NO REIMPRIMIR
© FORTINET
La raíz del árbol de directorios LDAP representa a la propia organización y se define como un componente de dominio (DC). El DC suele ser
un dominio DNS, como ejemplo.com. (Debido a que el nombre contiene un punto, se escribe en dos partes separadas por una coma:
dc=example,dc=com). Puede agregar entradas adicionales, conocidas como objetos, a la jerarquía según sea necesario. Generalmente, dos
tipos de objetos componen la mayoría de las entradas: contenedores y hojas.
Los contenedores son objetos que pueden incluir otros objetos, de forma similar a una carpeta en un sistema de archivos. Los contenedores
de ejemplo incluyen:
• País (representado como c)
• Unidad organizativa (representada como ou)
• Organización (representada como o)
Las hojas son objetos al final de una rama y no tienen objetos subordinados. Las hojas de ejemplo incluyen:
• ID de usuario (representado como uid)
• Nombre común (representado como cn)

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra un ejemplo de una jerarquía LDAP simple.
Debe configurar el dispositivo FortiGate (que actúa como un cliente LDAP) solicitando autenticación para dirigir su
solicitud a la parte de la jerarquía donde existen registros de usuario: ya sea el componente de dominio o un contenedor
específico donde existe el registro. Al igual que los usuarios, los contenedores tienen DN y, en este ejemplo, el DN es
ou=personas,dc=ejemplo,dc=com.
La solicitud de autenticación también debe especificar la entrada de la cuenta de usuario. Esta puede ser una
de muchas opciones, incluido el nombre común (cn) o, en una red informática, el ID de usuario (uid), que es la
información que usan los usuarios para iniciar sesión. Tenga en cuenta que si el nombre del objeto incluye un espacio,
como John Smith, debe encerrar el texto entre comillas dobles cuando realice pruebas en la CLI. Por ejemplo: cn=“Juan Smith”.

NO REIMPRIMIR
© FORTINET
En la página Servidores LDAP, puede configurar FortiGate para que apunte a un servidor LDAP para la autenticación
de contraseña basada en el servidor. La configuración depende en gran medida del esquema del servidor y la configuración de seguridad
Windows Active Directory (AD) es muy común.
La configuración del identificador de nombre común es el nombre de atributo que utiliza para encontrar el nombre de
usuario. Algunos esquemas le permiten usar el atributo uid. AD suele utilizar sAMAccountName o cn, pero también puede
utilizar otros.
La configuración de nombre distinguido identifica la parte superior del árbol donde se encuentran los usuarios, que
generalmente es el valor dc; sin embargo, puede ser un contenedor específico o ou. Debe utilizar el formato X.500 o LDAP correcto.
La configuración del tipo de enlace depende de la configuración de seguridad del servidor LDAP. Debe usar la
configuración Regular (para especificar un enlace regular) si está buscando en varios dominios y necesita las credenciales de
un usuario autorizado para realizar consultas LDAP (por ejemplo, un administrador LDAP).
Si desea tener una conexión segura entre FortiGate y el servidor LDAP remoto, habilite Conexión segura e incluya el
protocolo del servidor LDAP (LDAPS o STARTTLS), así como el certificado CA que verifica el certificado del servidor.
Tenga en cuenta que el botón Probar conectividad solo prueba si la conexión al servidor LDAP es exitosa o no. Para probar
si las credenciales de un usuario pueden autenticarse correctamente, puede usar el botón Probar credenciales de usuario o
puede usar la CLI.

NO REIMPRIMIR
© FORTINET
Utilice el comando diagnostic test authserver en la CLI para probar si las credenciales de un usuario pueden autenticarse
correctamente. Desea asegurarse de que la autenticación sea exitosa antes de implementarla en cualquiera de sus políticas de firewall.
La respuesta del servidor informa sobre el éxito, el fracaso y los detalles de pertenencia al grupo.

NO REIMPRIMIR
© FORTINET
RADIUS es muy diferente de LDAP, porque no hay que tener en cuenta una estructura de árbol de directorios. RADIUS es
un protocolo estándar que proporciona servicios de autenticación, autorización y contabilidad (AAA).
Cuando un usuario se está autenticando, el cliente (FortiGate) envía un paquete de SOLICITUD DE ACCESO al servidor
RADIUS. La respuesta del servidor es una de las siguientes:
• ACCESO-ACEPTAR, lo que significa que las credenciales de usuario están bien

• ACCESO-RECHAZO, lo que significa que las credenciales son incorrectas
• DESAFÍO DE ACCESO, lo que significa que el servidor está solicitando un identificador de contraseña, token o
certificado secundario. Esta suele ser la respuesta del servidor cuando se utiliza la autenticación de dos factores.
No todos los clientes RADIUS admiten el método de desafío RADIUS.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiGate para que apunte a un servidor RADIUS para la autenticación de contraseña basada en servidor a través de la
página Servidores RADIUS.
La configuración IP/Nombre del servidor primario es la dirección IP o FQDN del servidor RADIUS.
La configuración del secreto del servidor principal es el secreto que se configuró en el servidor RADIUS para permitir consultas
remotas desde este cliente. Se pueden definir servidores de respaldo (con secretos separados) en caso de que falle el servidor principal.
Tenga en cuenta que FortiGate debe aparecer en el servidor RADIUS como cliente de ese servidor RADIUS o, de lo contrario, el servidor
no responderá a las consultas realizadas por FortiGate.
La configuración del método de autenticación se refiere al protocolo de autenticación que admite el servidor RADIUS.
Las opciones incluyen chap, pap, mschap y mschap2. Si selecciona Predeterminado, FortiGate usará pap, mschap2 y chap (en ese
orden).
A diferencia de las configuraciones de LDAP, el botón Probar conectividad que se usa en el ejemplo que se muestra en esta diapositiva
puede probar las credenciales reales del usuario, pero, al igual que LDAP, también puede probar esto usando la CLI.
La opción Incluir en cada grupo de usuarios agrega el servidor RADIUS y todos los usuarios que pueden autenticarse contra él, a cada grupo
de usuarios creado en FortiGate. Por lo tanto, debe habilitar esta opción solo en escenarios muy específicos
(por ejemplo, cuando solo los administradores pueden autenticarse en el servidor RADIUS y las políticas se ordenan de menos restrictivas
a más restrictivas).

NO REIMPRIMIR
© FORTINET
Probar RADIUS es muy similar a probar LDAP. Utilice el comando diagnostic test authserver en la CLI para probar si las credenciales de un usuario
pueden autenticarse correctamente. Nuevamente, debe hacer esto para asegurarse de que la autenticación sea exitosa antes de implementarla
en cualquiera de sus políticas de firewall.
Al igual que LDAP, informa sobre el éxito, el fracaso y los detalles de pertenencia a grupos, según la respuesta del servidor.
La solución de problemas más profunda generalmente requiere acceso al servidor RADIUS.
Tenga en cuenta que Fortinet tiene un diccionario de atributos específicos del proveedor (VSA) para identificar los atributos RADIUS propiedad
de Fortinet. Esta capacidad le permite ampliar la funcionalidad básica de RADIUS. Puede obtener el diccionario VSA de Fortinet en la base de
conocimiento de Fortinet (kb.fortinet.com).

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de los servidores de autenticación remota.
Ahora, aprenderá acerca de los grupos de usuarios.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en grupos de usuarios, podrá configurar grupos de usuarios para administrar de manera eficiente las políticas
de firewall.

NO REIMPRIMIR
© FORTINET
FortiGate permite a los administradores asignar usuarios a grupos. Por lo general, los grupos se utilizan para administrar de
manera más efectiva a las personas que tienen algún tipo de relación compartida. Es posible que desee agrupar a los
empleados por área empresarial, como finanzas o recursos humanos, o por tipo de empleado, como contratistas o invitados.
Después de crear grupos de usuarios, puede agregarlos a las políticas de firewall. Esto le permite controlar el acceso a los
recursos de la red, porque las decisiones de política se toman en el grupo como un todo. Puede definir grupos de usuarios
locales y remotos en un dispositivo FortiGate. Hay cuatro tipos de grupos de usuarios:
• Cortafuegos
• Huésped
• Inicio de sesión único de Fortinet (FSSO)
• Inicio de sesión único de RADIUS (RSSO)
Los grupos de usuarios de firewall en FortiGate no necesitan coincidir con ningún tipo de grupo que ya exista en un servidor
externo, como un servidor LDAP. Los grupos de usuarios de cortafuegos existen únicamente para facilitar la configuración de
las políticas de cortafuegos.
La mayoría de los tipos de autenticación tienen la opción de tomar decisiones basadas en el usuario individual, en lugar de solo
en grupos de usuarios.

NO REIMPRIMIR
© FORTINET
Los grupos de usuarios invitados son diferentes de los grupos de usuarios de cortafuegos porque contienen exclusivamente
cuentas de usuarios invitados temporales (toda la cuenta, no solo la contraseña). Los grupos de usuarios invitados se utilizan
más comúnmente en redes inalámbricas. Las cuentas de invitados caducan después de un período de tiempo predeterminado.
Los administradores pueden crear manualmente cuentas de invitados o crear muchas cuentas de invitados a la vez utilizando
ID de usuario y contraseñas generadas aleatoriamente. Esto reduce la carga de trabajo del administrador para eventos grandes.
Una vez creado, puede agregar cuentas al grupo de usuarios invitados y asociar el grupo con una política de firewall.
Puede crear administradores de gestión de invitados que solo tengan acceso para crear y administrar cuentas de usuarios
invitados.

NO REIMPRIMIR
© FORTINET
Puede configurar grupos de usuarios en la página Grupos de usuarios. Debe especificar el tipo de grupo de usuarios
y agregar usuarios al grupo. Dependiendo del grupo que cree, necesitará diferentes configuraciones. Para el grupo de
usuarios del cortafuegos, por ejemplo, los miembros pueden ser usuarios locales, usuarios del mismo nivel de PKI y
usuarios de uno o más servidores de autenticación remotos. Si su servidor de autenticación remota es un servidor LDAP,
puede seleccionar grupos LDAP específicos para agregar a su grupo de usuarios, como se define en el servidor LDAP.
Tenga en cuenta que también puede seleccionar grupos RADIUS, pero esto requiere una configuración adicional en su servidor RADIUS
Base de conocimiento de Fortinet en kb.fortinet.com).
Los grupos de usuarios simplifican su configuración si desea tratar a usuarios específicos de la misma manera, por
ejemplo, si desea proporcionar acceso a los mismos recursos de red a todo el departamento de capacitación. Si desea
tratar a todos los usuarios de manera diferente, debe agregar a todos los usuarios a las políticas de firewall por separado.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos de los grupos de usuarios.
Ahora, aprenderá sobre el uso de políticas de firewall para la autenticación.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia con las políticas de firewall, podrá configurar políticas de firewall para aplicar la autenticación en usuarios y
grupos de usuarios específicos.

NO REIMPRIMIR
© FORTINET
Una política de firewall consta de reglas de acceso e inspección (conjuntos de instrucciones compartimentadas) que le indican a
FortiGate cómo manejar el tráfico en la interfaz cuyo tráfico filtran. Después de que el usuario realiza un intento de conexión inicial,
FortiGate verifica las políticas del firewall para determinar si acepta o deniega la sesión de comunicación. Sin embargo, una política
de firewall también incluye una serie de otras instrucciones, como las que se ocupan de la autenticación. Puede usar la fuente de una política
de firewall para este propósito. El origen de una política de firewall debe incluir la dirección de origen (dirección IP), pero también puede
incluir el usuario y el grupo de usuarios. De esta forma, cualquier usuario o grupo de usuarios que esté incluido en la definición de origen de
la política de firewall puede autenticarse correctamente.
Los objetos de usuario y grupo de usuarios pueden consistir en cuentas de firewall locales, cuentas de servidores externos, usuarios de
PKI y usuarios de FSSO.

NO REIMPRIMIR
© FORTINET
Una política de firewall también verifica el servicio para transportar los protocolos nombrados o el grupo de protocolos.
No se permite ningún servicio (con la excepción de DNS) a través de la política de firewall antes de que el usuario se
autentique correctamente. HTTP generalmente usa DNS para que las personas puedan usar nombres de dominio para sitios
web, en lugar de su dirección IP. El DNS está permitido porque es un protocolo base y lo más probable es que sea necesario
para ver inicialmente el tráfico del protocolo de autenticación adecuado. La resolución del nombre de host es casi siempre un requisito pa
Sin embargo, el servicio DNS aún debe estar definido en la política como permitido, para que se apruebe.
En el ejemplo que se muestra en esta diapositiva, la secuencia de políticas 1 (Full_Access) permite a los usuarios
usar servidores DNS externos para resolver nombres de host, antes de una autenticación exitosa. El DNS también está
permitido si la autenticación no tiene éxito, porque los usuarios deben poder intentar autenticarse nuevamente. Cualquier
servicio que incluya DNS funcionaría de la misma manera, como el servicio TODO predeterminado.
El servicio HTTP es el puerto TCP 80 y no incluye DNS (puerto UDP 53).

NO REIMPRIMIR
© FORTINET
Además del servicio DNS, la política de firewall debe especificar los protocolos permitidos, como HTTP, HTTPS, FTP y Telnet.
Si la política de firewall que tiene habilitada la autenticación no permite al menos uno de los protocolos admitidos utilizados
para obtener las credenciales de usuario, el usuario no podrá autenticarse.
Se requieren protocolos para todos los métodos de autenticación que usan autenticación activa (autenticación de
contraseña local, autenticación de contraseña basada en servidor y autenticación de dos factores). La autenticación activa
solicita al usuario las credenciales de usuario en función de lo siguiente:
• El protocolo del tráfico

• La política de cortafuegos
La autenticación pasiva, por otro lado, determina la identidad del usuario entre bastidores y no requiere que se permita
ningún servicio específico dentro de la política.

NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, suponiendo que se utilice la autenticación activa, cualquier
tráfico inicial de LOCAL_SUBNET no coincidirá con la secuencia de política 17 (Invitado). La secuencia de políticas 17 busca tanto la IP como e
e información del grupo de usuarios (LOCAL_SUBNET y Guest-group respectivamente), y dado que el usuario aún no ha
autenticado, el aspecto del grupo de usuarios del tráfico no coincide. Dado que la coincidencia de la política no está completa,
FortiGate continúa su búsqueda en la lista de secuencias para ver si hay una coincidencia completa.
Luego, FortiGate evalúa la secuencia de políticas 18 para ver si el tráfico coincide. No lo hará por la misma razón que no coincidió
con 17.
Finalmente, FortiGate evalúa la secuencia de políticas 19 para ver si el tráfico coincide. Cumple con todos los criterios, por lo que
se permite el tráfico sin necesidad de autenticación.
Cuando usa solo la autenticación activa, si todas las políticas posibles que podrían coincidir con la IP de origen tienen
la autenticación habilitada, el usuario recibirá una solicitud de inicio de sesión (suponiendo que use un protocolo de inicio
de sesión aceptable). En otras palabras, si la secuencia de políticas 19 también tuviera habilitada la autenticación, los usuarios
recibirían solicitudes de inicio de sesión.
Si utiliza la autenticación pasiva y puede obtener con éxito los detalles del usuario, el tráfico de
LOCAL_SUBNET con usuarios que pertenecen al grupo de invitados se aplicará a la secuencia de políticas 17, aunque la
secuencia de políticas 19 no tenga la autenticación habilitada.
Si utiliza tanto la autenticación activa como la pasiva, y FortiGate puede identificar las credenciales de un usuario a través
de la autenticación pasiva, el usuario nunca recibe una solicitud de inicio de sesión, independientemente del orden de las políticas de firewall.
Esto se debe a que FortiGate no necesita solicitar al usuario las credenciales de inicio de sesión cuando puede identificar quién es
el usuario de forma pasiva. Cuando combina métodos de autenticación activos y pasivos, la autenticación activa es

NO REIMPRIMIR
© FORTINETdestinado a ser utilizado como una copia de seguridad, para ser utilizado sólo cuando falla la autenticación pasiva.

NO REIMPRIMIR
© FORTINET
Como se mencionó anteriormente, hay tres formas diferentes de modificar el comportamiento de autenticación activa.
Si tiene una política de firewall de autenticación activa seguida de una política de falla que no tiene habilitada la
autenticación, entonces todo el tráfico utilizará la política de falla. Esto significa que no se pide a los usuarios que se
autentiquen. De forma predeterminada, todo el tráfico pasa por la política catch-all sin ser autenticado. Puede modificar
este comportamiento habilitando la autenticación en todas las políticas de firewall. Cuando habilita la autenticación,
todos los sistemas deben autenticarse antes de que el tráfico se coloque en la interfaz de salida.
Alternativamente, solo en la CLI, puede cambiar la opción de autenticación a pedido a siempre. Esto le indica a
FortiGate que active una solicitud de autenticación, si hay una política de firewall con la autenticación activa habilitada.
En este caso, se permite el tráfico hasta que la autenticación sea exitosa.
Si desea que todos los usuarios se conecten a una interfaz específica, es mejor habilitar la autenticación del
portal cautivo en el nivel de la interfaz. De esta manera, todos los dispositivos deben autenticarse antes de que se les
permita acceder a cualquier recurso.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende cómo usar las políticas de firewall para la autenticación.
Ahora, aprenderá a autenticarse a través del portal cautivo.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el portal cautivo, podrá configurar la autenticación a través de un portal cautivo.

NO REIMPRIMIR
© FORTINET
Si desea que a todos los usuarios que se conecten a la red se les soliciten sus credenciales de inicio de sesión
(autenticación activa), puede habilitar el portal cautivo. El portal cautivo es una forma conveniente de autenticar a los usuarios web en
redes cableadas o Wi-Fi a través de un formulario HTML que solicita un nombre de usuario y una contraseña.
Puede alojar un portal cautivo en FortiGate o un servidor de autenticación externo, como FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
Habilita el portal cautivo, tanto para redes cableadas como Wi-Fi, en el nivel de la interfaz, independientemente
de la política de firewall que lo permita o del puerto por el que finalmente sale (la autenticación habilitada o
deshabilitada en la política no es un factor). Esto es cierto para cualquier interfaz de red, incluidas las interfaces
Wi-Fi y VLAN. En la red local, debe habilitar la configuración del portal cautivo en el puerto de entrada.
Puede configurar un portal cautivo en la página Interfaces. Seleccione la interfaz requerida. En la sección
Red, habilite el Modo de seguridad y, en la lista desplegable, seleccione Portal cautivo. Tenga en cuenta
que si está configurando un portal cautivo para una red Wi-Fi, primero debe existir el SSID de Wi-Fi.
Los portales cautivos no son compatibles con interfaces en modo DHCP.

NO REIMPRIMIR
© FORTINET
En la sección Red, también restringe el acceso de usuarios del portal cautivo.
Seleccione Restringido a grupos para controlar el acceso desde la configuración del portal cautivo.
Utilice la configuración del modo de seguridad y de los grupos de seguridad en las configuraciones de puertos para realizar
los mismos cambios en la CLI.

NO REIMPRIMIR
© FORTINET
Puede seleccionar Permitir a todos para permitir el acceso a los miembros de cualquier grupo configurado en las políticas de firewall
después de la autenticación.
Utilice la configuración de portal cautivo en modo de seguridad en las configuraciones de puertos para aplicar el acceso al portal cautivo
mediante la CLI. Al omitir la configuración de grupos de seguridad, la configuración de acceso de usuario se establece en Permitir todo.

NO REIMPRIMIR
© FORTINET
Puede configurar una política de firewall para suprimir el portal cautivo para direcciones o servicios específicos. Esto
es útil para dispositivos que no pueden autenticarse de forma activa, como impresoras y máquinas de fax, pero que
aún deben recibir el permiso de la política de firewall. Cuando se suprime, el tráfico que coincide con el origen o el destino no s
presentado con la página de inicio de sesión del portal cautivo.
Hay dos formas de evitar el portal cautivo:
• A través de una lista de exenciones de seguridad en la GUI o la CLI en config user security-exempt-list
• A través de la política de firewall. En la CLI, edite la política e ingrese el comando set captive-portal except enable.
Todo el tráfico que coincida con esta política ahora está exento de tener que autenticarse a través del portal
cautivo.

NO REIMPRIMIR
© FORTINET
Si desea habilitar un descargo de responsabilidad de los términos de servicio para que se use en combinación con la
autenticación del portal cautivo, puede hacerlo usando la política de firewall de configuración y establecer los comandos de habilitación de
descargo de responsabilidad en la CLI. El descargo de responsabilidad de los términos de servicio establece las responsabilidades legales
del usuario y la organización anfitriona. Cuando habilita el descargo de responsabilidad, el usuario debe aceptar los términos descritos en
la declaración para continuar con la URL solicitada. Cuando está habilitado, el descargo de responsabilidad de los términos del servicio se
abre inmediatamente después de una autenticación exitosa.
Ni una lista de exenciones de seguridad ni una exención de portal cautivo en un firewall pueden eludir un descargo de responsabilidad.

NO REIMPRIMIR
© FORTINET
FortiGate le permite personalizar los mensajes del portal, que incluyen la página de inicio de sesión y la página de exención
de responsabilidad. Puede personalizar los mensajes en la página Mensajes de reemplazo.
La página de descargo de responsabilidad está en HTML, por lo que debe tener conocimientos de HTML para personalizar el mensaje.
El diseño predeterminado es Vista simple, que oculta la mayoría de los mensajes de reemplazo. Use la vista extendida para
mostrar todos los mensajes de reemplazo editables.

NO REIMPRIMIR
© FORTINET
Un tiempo de espera de autenticación es útil por motivos de seguridad. Minimiza el riesgo de que alguien utilice la IP del usuario autenticado
legítimo. También garantiza que los usuarios no se autentiquen y luego permanezcan en la memoria indefinidamente. Si los usuarios permanecieran
en la memoria para siempre, eventualmente conduciría al agotamiento de la memoria.
Hay tres opciones para el comportamiento del tiempo de espera:
• Inactivo: mira los paquetes de la IP del host. Si no hay paquetes generados por el dispositivo host en el período de tiempo configurado,
entonces se cierra la sesión del usuario.
• Duro: el tiempo es un valor absoluto. Independientemente del comportamiento del usuario, el temporizador se inicia tan pronto como el usuario
se autentica y caduca después del valor configurado.
• Nueva sesión: incluso si el tráfico se genera en los canales de comunicación existentes, la autenticación caduca si no se crean nuevas
sesiones a través del firewall desde el dispositivo host dentro del configurado.
valor de tiempo de espera.
Elija el tipo de tiempo de espera que mejor se adapte a las necesidades de autenticación de su entorno.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende la autenticación a través de portales cautivos.
Ahora, aprenderá sobre el monitoreo y la solución de problemas.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en el monitoreo y la resolución de problemas, podrá monitorear a los usuarios autenticados y solucionar
cualquier problema que pueda ocurrir.

NO REIMPRIMIR
© FORTINET
Puede monitorear a los usuarios que se autentican a través de sus políticas de firewall utilizando la página Panel >
Usuarios y dispositivos > Usuarios de firewall. Muestra el usuario, el grupo de usuarios, la duración, la dirección IP, el
volumen de tráfico y el método de autenticación.
No incluye administradores, porque no se están autenticando a través de políticas de firewall que permitan el tráfico.
Están iniciando sesión directamente en FortiGate.
Esta página también le permite desconectar a un usuario o varios usuarios al mismo tiempo.

NO REIMPRIMIR
© FORTINET
En el administrador basado en web, una buena herramienta para solucionar problemas es la columna Bytes en la página de la
política de seguridad, que se abre al hacer clic en Política y objetos > Política de firewall. Esta columna muestra el número de
bytes que han pasado a través de esta política. Esta es información valiosa para tener cuando está solucionando problemas.
Cuando está probando su configuración (conectividad de extremo a extremo, autenticación de usuario y uso de políticas)
observar el conteo de bytes para ver si aumenta puede ayudar con la solución de problemas. Un aumento indica si la política
en cuestión está viendo algún tráfico, lo cual es información útil si espera que un usuario requiera autenticación, pero nunca
se le solicita.
Utilice los siguientes comandos de CLI para recopilar más información sobre los usuarios y los intentos de autenticación de
usuarios para ayudar a solucionar los intentos de autenticación fallidos:
• lista de autenticación de firewall de diagnóstico: muestra los usuarios autenticados y su dirección IP.
• borrar autenticación de cortafuegos de diagnóstico: borra todos los usuarios autorizados de la lista actual. Esto es útil
cuando necesite obligar a los usuarios a volver a autenticarse después de cambios en el sistema o en el grupo. Sin embargo, este
comando puede resultar fácilmente en que muchos usuarios tengan que volver a autenticarse, así que utilícelo con cuidado.
• diagnosticar la aplicación de depuración fnbamd -1: use este comando para solucionar problemas de autenticación activa,
(Debe usarlo junto con la habilitación de depuración de diagnóstico).
• diagnostic test authserver radius-direct <ip> <puerto> <secreto>: comprueba la clave precompartida
entre FortiGate y el servidor RADIUS.
• diagnostic test authserver ldap <nombre_servidor> <nombreusuario> <contraseña>: prueba la autenticación LDAP para la cuenta
de usuario especificada.

NO REIMPRIMIR
© FORTINET
Use las mejores prácticas enumeradas en esta diapositiva para evitar problemas innecesarios al configurar la autenticación
de firewall.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo usar la autenticación en las políticas de firewall de FortiGate.

Machine Translated by Google Registro y Monitoreo
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá cómo configurar el inicio de sesión local y remoto en FortiGate; ver, buscar y
monitorear registros; y proteja sus datos de registro.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en los conceptos básicos de registro, podrá analizar de manera más efectiva los datos de registro
de su base de datos.

NO REIMPRIMIR
© FORTINET
Cuando el tráfico pasa a través de FortiGate a su red, FortiGate analiza el tráfico y luego toma medidas en función de las
políticas de firewall vigentes. Esta actividad se registra y la información se incluye en un mensaje de registro. El mensaje
de registro se almacena en un archivo de registro. Luego, el archivo de registro se almacena en un dispositivo capaz de
almacenar registros. FortiGate puede almacenar registros localmente en su propio espacio en disco o puede enviar registros a un dispositivo
como FortiAnalyzer.
El propósito de los registros es ayudarlo a monitorear el tráfico de su red, localizar problemas, establecer líneas de base y
más. Los registros le brindan una mayor perspectiva de su red, lo que le permite realizar ajustes en la seguridad de su red, si es
necesario.
Algunas organizaciones tienen requisitos legales en lo que respecta al registro, por lo que es importante conocer las políticas
de su organización durante la configuración.
Para un registro efectivo, la fecha y la hora de su sistema FortiGate deben ser precisas. Puede configurar manualmente la
fecha y la hora del sistema o configurar FortiGate para mantener su hora correcta automáticamente mediante la sincronización
con un servidor de protocolo de tiempo de red (NTP). Se recomienda encarecidamente un servidor NTP.

NO REIMPRIMIR
© FORTINET
Para FortiGate, hay tres tipos diferentes de registros: registros de tráfico, registros de eventos y registros de seguridad. Cada tipo se divide
a su vez en subtipos.
Los registros de tráfico registran información sobre el flujo de tráfico, como una solicitud HTTP/HTTPS y su respuesta, si corresponde.
Contiene subtipos denominados forward, local y sniffer. • Los registros de tráfico de reenvío contienen información sobre el tráfico que
FortiGate aceptó o rechazó según
una política de cortafuegos.
• Los registros de tráfico local contienen información sobre el tráfico directamente hacia y desde la IP de administración de FortiGate
direcciones. También incluyen conexiones a la GUI y consultas de FortiGuard.
• Los registros del rastreador contienen información relacionada con el tráfico visto por el rastreador de un brazo.
Los registros de eventos registran eventos administrativos y del sistema, como agregar o modificar una configuración o actividades
del demonio. Contiene subtipos denominados control de punto final, alta disponibilidad, sistema, usuario, enrutador, VPN, WAD e inalámbrico.
• Los registros de eventos del sistema contienen información relacionada con las operaciones, como actualizaciones automáticas de FortiGuard y
Inicios de sesión de GUI.
• Los registros de usuario contienen eventos de inicio y cierre de sesión para políticas de firewall con autenticación
de usuario. • Los subtipos de enrutador, VPN, WAD e inalámbrico incluyen registros para esas funciones. Por ejemplo, VPN contiene
entradas de registro IPsec y SSL VPN.
Finalmente, los registros de seguridad registran eventos de seguridad, como ataques de virus e intentos de intrusión. Contienen entradas
de registro basadas en el tipo de perfil de seguridad (tipo de registro = utm), incluido el control de aplicaciones, antivirus, DLP, antispam
(filtro de correo electrónico), filtro web, protección contra intrusiones, anomalías (política DoS) y WAF. Los registros y subtipos de seguridad
solo son visibles en la GUI si se crean registros dentro de ella; si no existen registros de seguridad, el elemento del menú no aparece.

NO REIMPRIMIR
© FORTINET
Cada entrada de registro incluye un nivel de registro (o nivel de prioridad) que varía en orden de importancia desde
emergencia hasta información.
También hay un nivel de depuración. Pone información de diagnóstico en el registro de eventos. El nivel de depuración rara
vez se usa, a menos que esté investigando activamente un problema con el soporte de Fortinet. Por lo general, el nivel más
bajo que desea utilizar es información, pero incluso este nivel genera muchos registros y puede causar fallas prematuras en el disco duro.
Según el tipo de registro y las necesidades de su organización, es posible que desee registrar solo niveles de notificación o
superiores.
Usted y las políticas de su organización dictan lo que se debe registrar.

Machine Translated by Google
Registro y Monitoreo
NO REIMPRIMIR
© FORTINET
Cada mensaje de registro tiene un diseño estándar que consta de dos secciones: un encabezado y un cuerpo.
El encabezado contiene campos que son comunes a todos los tipos de registro, como fecha y hora de origen, identificador de
registro, categoría de registro, nivel de gravedad y dominio virtual (VDOM). Sin embargo, el valor de cada campo es específico
del mensaje de registro. En el ejemplo de entrada de registro sin procesar que se muestra en esta diapositiva, el tipo de registro
es UTM, el subtipo es filtro web y el nivel es advertencia. El tipo y subtipo de registros determina qué campos aparecen en el
cuerpo del registro.
El cuerpo, por lo tanto, describe el motivo por el cual se creó el registro y las acciones realizadas por FortiGate. Estos
campos varían según el tipo de registro. En el ejemplo que se muestra en esta diapositiva, los campos son los siguientes:
• El campo policyid indica qué regla de firewall coincidió con el tráfico

• El campo srcip indica la dirección IP de origen
• El campo dstip indica la dirección IP de destino
• El campo de nombre de host indica la URL o IP del host
• El campo de acción indica lo que hizo FortiGate cuando encontró una política que coincidía con el tráfico
• El campo msg indica el motivo de la acción realizada. En este ejemplo, la acción está bloqueada, lo que
significa que FortiGate evitó que este paquete IP pasara, y la razón es porque pertenecía a un
categoría denegada en la política de firewall.
Si inicia sesión en un dispositivo de terceros, como un servidor syslog, conocer la estructura del registro es crucial para la integración.
Para obtener información sobre estructuras de registro y significados asociados, visite http://docs.fortinet.com.

NO REIMPRIMIR
© FORTINET
Es importante recopilar registros de los dispositivos en su Security Fabric. Esta es la razón por la que dos o
más dispositivos FortiGate y un FortiAnalyzer, un dispositivo de registro remoto, son productos necesarios en
el núcleo de la solución Security Fabric. Con FortiGate, puede habilitar diferentes funciones de seguridad, como
antivirus, filtrado web, prevención de intrusiones (IPS) y control de aplicaciones, en diferentes firewalls en la
estructura. Por ejemplo, en el firewall de segmentación interna (ISFW), puede habilitar solo antivirus, mientras que en
el firewall de próxima generación (NGFW) frente a Internet, puede habilitar el filtrado web, IPS y control de aplicaciones.
Esto significa que no tiene que duplicar escaneos y registros del mismo flujo de tráfico cuando pasa a través de múltiples firewa
Security Fabric puede proporcionar una vista de topología de red (física y lógica), y los dispositivos FortiGate
pueden compartir información relacionada con la red. Por ejemplo, los dispositivos conectados a dispositivos FortiGate aguas a
visible en el dispositivo ascendente también (debe habilitar la detección de dispositivos en la página Interfaces
de la GUI de FortiGate). En resumen, los administradores pueden ver los registros y los dispositivos conectados a
la red iniciando sesión en el FortiGate raíz en Security Fabric. Esta información se comparte de forma segura mediante FortiTele
protocolo.

FortiGate Security 7.0 Study Guide-Online 3

Cargado por

Copyright:

Formatos disponibles

FortiGate Security 7.0 Study Guide-Online 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FortiGate Security 7.0 Study Guide-Online 3

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google Traducción de direcciones de red (NAT)

Guía de estudio de FortiGate Security 7.0 181

Guía de estudio de FortiGate Security 7.0 182

Guía de estudio de FortiGate Security 7.0 183

Guía de estudio de FortiGate Security 7.0 184

¡Buen trabajo! Ahora comprende los asistentes de sesión.

Ahora, aprenderá acerca de las sesiones.

Guía de estudio de FortiGate Security 7.0 185

Guía de estudio de FortiGate Security 7.0 186

Guía de estudio de FortiGate Security 7.0 187

Guía de estudio de FortiGate Security 7.0 188

Guía de estudio de FortiGate Security 7.0 189

Guía de estudio de FortiGate Security 7.0 190

Guía de estudio de FortiGate Security 7.0 191

Guía de estudio de FortiGate Security 7.0 192

Guía de estudio de FortiGate Security 7.0 193

¡Buen trabajo! Ahora entiende las sesiones.

Ahora, aprenderá sobre las mejores prácticas y la solución de problemas de NAT.

Guía de estudio de FortiGate Security 7.0 194

Guía de estudio de FortiGate Security 7.0 195

Guía de estudio de FortiGate Security 7.0 196

Guía de estudio de FortiGate Security 7.0 197

Guía de estudio de FortiGate Security 7.0 198

Guía de estudio de FortiGate Security 7.0 199

Los VIP con diferentes servicios se consideran no superpuestos.

Guía de estudio de FortiGate Security 7.0 200

Utilice las siguientes prácticas recomendadas al implementar NAT:

• Evite configurar incorrectamente un rango de grupo de IP:

Guía de estudio de FortiGate Security 7.0 201

Guía de estudio de FortiGate Security 7.0 202

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 203

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 204

En esta lección, aprenderá a usar la autenticación en las políticas de firewall de FortiGate.

Guía de estudio de FortiGate Security 7.0 205

Guía de estudio de FortiGate Security 7.0 206

Guía de estudio de FortiGate Security 7.0 207

El firewall tradicional otorga acceso a la red mediante la verificación de la dirección IP y el dispositivo de

Guía de estudio de FortiGate Security 7.0 208

FortiGate admite múltiples métodos de autenticación de firewall:

• Autenticación de contraseña local

Durante esta lección, aprenderá en detalle cada método de autenticación de firewall.

Guía de estudio de FortiGate Security 7.0 209

Guía de estudio de FortiGate Security 7.0 210

Guía de estudio de FortiGate Security 7.0 211

Guía de estudio de FortiGate Security 7.0 212

Guía de estudio de FortiGate Security 7.0 213

Guía de estudio de FortiGate Security 7.0 214

Guía de estudio de FortiGate Security 7.0 215

Puede agregar un FortiToken 200 o FortiToken Mobile a FortiGate en la página de FortiTokens.

Guía de estudio de FortiGate Security 7.0 216

Guía de estudio de FortiGate Security 7.0 217

Guía de estudio de FortiGate Security 7.0 218

¡Buen trabajo! Ahora comprende los conceptos básicos de la autenticación de firewall.

Ahora, aprenderá acerca de los servidores de autenticación remota.

Guía de estudio de FortiGate Security 7.0 219

Guía de estudio de FortiGate Security 7.0 220