En este procediment se explica cómo configurar una VPN usando SSL para conectarse con un PC cualquiera desde internet a la LAN de la organización. Todo el tráfico iría encriptado mediante SSL. Y tan sólo es necesario tener un navegador compatible, sin instalar software. S'expliquen dues parts:
En aquest procediment s'explica com connectar dues xarxes separades mitjançant una VPN entre dos Fortigate. L'exemple es basa en la següent imatge:
En aquest procediment s'explica com configurar una VPN usant IPSec per connectar-se amb un PC qualsevol des d'internet a la LAN de l'organització. Tot el trànsit aniria encriptat mitjançant IPSec. Per connectar-nos a la VPN ho farem mitjançant el programari “FortiClient”. S'expliquen dues parts:
El primer de tot, ya que tenemos un firewall que permite todo este tipus de servicios, los habilitaremos o usaremos. Para esto, tenemos que crear un “Protection Profile” y habilitar todo lo que ens interessa, posteriorment tendremos que assignar aquest perfíl a una regla del firewall.
Bé, esto és muy simple y sencillo, així que és alguna cosa bàsica. El que vull és que es connectat des d'internet a mi red interna, a mi servidor FTP (21 TCP), o sigui, que el que se connecta a la meva direcció IP pública entre fins al meu servidor FTP només per el port 21.
El firewall fortigate té possibilitat de guardar els seus LOG's i així poder veure que succeeix a la nostra xarxa, podem veure els intents d'atacs que tenim, el que fan els nostres usuaris… es pot emmagatzemar aquests LOG' s de diferents formes, una mitjançant un altre producte de Fortigate anomenat FortiAnalyzer; una altra a la seva pròpia memòria interna (quan es reinicia s' esborra, és RAM); a un pendrive propi USB anomenat FortiKey i la més interessant en el meu cas i gratuïta a un servidor de LOG's anomenat Syslog.
En aquest document se explica cómo configurar un Fortigate para usar LDAP contra un servei de directorio, en aquest cas contra un Active Directory de Microsoft Windows 2003. Más info de lo que es LDAP – AKI.
Si queremos integrar el tallafocs amb el nostre Directorio Activo (Active Directory – AD), para que no tengamos que usar siempre usuarios locals, si no aprovechar los que té la base de dades de los controladores de domini, usaremos una herramienta llamada FSAE. En este procediment se explica, com instal·lar el FSAE, com configurar els controladores de dominio y el firewall, després crearemos una política i solo navegaran por internet (o la regla que nos interese) los usuaris del directorio activo.
El més important és tenir el FW amb el firmware més actual possible, si és una instal·lació nova i senzilla no tindrem problemes, el complicat arriba quan tenim diversos FW distribuïts i fan VPN entre ells, ja que per exemple una VPN amb un FW amb firmware 2.8 i un amb el 3.0 no funcionaria, haurien de tenir la mateixa versió. Hi ha dues maneres d'actualitzar el firmware, una per web que simplement indiquem quin és el fitxer del firmware a actualitzar i l'actualitza mantenint les configuracions; o una altra que seria mitjançant cable de consola, un servidor TFTP que és el que li subministra la imatge del firmware per xarxa. Explico les dues maneres:
Lo primer de tot després de desempaquetar el FW es assignarle una IP fija para la interfície INTERNA y poder administrarlo vía web que és més cómodo que por comandos. Así que o cambiamos la IP a nostre PC o se la canviamos al FW. La IP que trae por defecto el FW es la 192.168.1.99, lo millor es no connecta el FW a la red hasta que no se le assigne una IP fija ja que pot causar una IP duplicada, y además que trae el servei DHCP habilitado por defecto para la interfície INTERNAL. Así que conectamos el cable de consola al FW i al PC, abrimos en el nostre PC el “HyperTerminal” des de “Inici” > “Programes” > “Accesorios” > “Comunicaciones” > “HyperTerminal” i creamos una nova connexió.
Fem formacions a mida
Windows Server – VMware vSphere – Citrix Virtual Apps & Desktops – Centreon
|
|
¡Treballem junts!
|
 |
Som una consultora que es preocupa i mima
|
 |
|
Amb qualitat i valor afegit
|
 |
