Buscar

Miguel Colmenero

Categoría

Fortigate

Filtrado web

Aquí estoy con otra entrada del cortafuegos Fotigate, para aquellos que os interese.
En este caso vamos a coger un equipo ( o equipos) y le vamos permitir navegar solamente a unas webs, en este caso a la de mcolmenero.com y a la de saremail.com.
Tenemos que hacer tres pasos:

  • Crear el listados de webs que se puede visitar
  • Crear un pérfil de grupo
  • Crear la regla para este equipo o grupo de equipos

Primero nos loguearemos en el firewall e iremos a UTM Profile – Web Filter – Url Filter, así creamos las url que nos interesen
WefFilterWebsList
Según la imagen, introducimos las webs que deseamos que se vea. Las dos primeras, *mcolmenero.com y *saremail.com, el * hace que podamos navegar por todos las subpáginas de la web (ojo si en algún momento nos lleva a una web que reside fuera, ya que no nos permitirá).
La última url que pongo ^.*$– wilcard — block, está es para denegar todas las demás webs.

Ahora vamos a crear el pérfil o profiles que es como se llamara en nuestro firewall.
En el mismo apartado UTM Profile – Web Filter – Profile
Completaremos como en la imagen que ponemos a continuación.
Activamos logs de URL, para saber que lo hace bien y tener un control del log.
Si alguna de las webs tiene httpS:// en lugar de hhtp:// activamos las casilla HTTPS:// Scanning
Y por último en advanced filter, activamos la opción de Web URl Filter y seleccionamos el anteriormente creado, en nuestro caso de llama ListadoWeb
WebFilterProfile

Ya para acabar haremos la regla en Policy – Policy, si antes necesitamos crear el objeto equipo o equipos, previamente iríamos a FirewallsObject – Address y en Address, damos de alta las maquinas, una a una sino son seguidas y después en Group, las agrupamos todas, para así solo hacer una regla para ellas y sea más fácil gestionar.
Bueno al grano que me enrollo como las persianas. Creemos la regla:
Como source interface , sera la red interna y como source address, sera la máquina creada o en su lugar el nombre del grupo creado.
Como destination interface, pondremos Wan1 y como destination address, All, ya que va a cualquier sitio de internet (Después ya restringiremos)
Schedule: always (salvo que deséis algun horario)
Service: any o si sabéis seguro que solo es http o https, lo ponéis
Volvemos activa el tema del Log, que si.
También activamos Enable NAT u Use destination Interface Address
Para terminal activamos UTM y Enable Web Filter y aquí seleccionamos el pérfil que hemos creado, en nuestro caso WebFilter.
Os adjunto imangen
reglaWebFilter

Espero que os haya sido de vuestra utilidad.

Anuncios

VPN IPSEC (Ipad, Iphone)

Con esta entrada vamos a aprender hacer una vpn mediante ipsec. Esta vpn la he usado tanto como con el cliente forticlient como en los ipad con la vpn del sistema.

Primero haremos en los objetos VPN IPSEC, en VPN -> IPSEC, Create Phase, os dejo la captura de pantalla:fwIPSECFase1

Dónde en Name ponemos el nombre que deseemos: VPN-W1

Remote Gateway: Dial User, ya que no sabemos desde dónde se conectarán.

Local Interface: WAN1, en mi caso tenemos dos proveedores de servicios de internet y usamos la Wan1 para este tipo de VPN

Mode: Main (ID protection)

Authentication Method: Preshared Key y escribimos en Pre-Shared Key, escribimos la clave que pondremos cuando vayamos a configurar en los clientes.

Peer Options: Accept any peer ID, si queréis una mayor seguridad podemos escribir un ID, y solamente esos ID se podrán conectar.

Después escribimos la encryptación y autenticación, activamos el HD Group 2 y ponemos el tiempo de vida Keylife: 28800 y por ultimo el NAT traversal Enable.

Ahora nos toca hacer la Fase 2: esta es más sencilla, Escribimos el nombre, hacemos referencia a la fase 1 y ponemos la seguridad de encriptación, os dejo captura de pantalla.fwIPSecFase2

Ahora vamos a las reglas del Firewall:

Hacemos de la red internal al cualquier destino de salida por el interfaz wan1 todos los servicios y lo importatne es en Action :IPSEC, y después elegimos nuestra VPN.

Adjunto imagen, ya que una imagen vale más que mil palabras 😉 fwIPSECRegla

Y ya por último prepararemos un servidor de dhcp para esta red, diferente a la red interna nuestra (por seguridad y por tenerlos más controlados).

Esto lo haremos en Network- DHCP Server, creamos uno:

Interface: wan1

Mode: Server y Activamos el Enable

Type: Ipsec y escribimos el rango de ips y la mascára, así como un servidor de dns.fwIpsecDHCP

 

Si tenéis problemas para conectarse a los diferentes qeuipos de la red, podemos agregar una nueva regla que deje desde la red de la vpn, deje llegar a la red interna.

fwIPSECRegla2

Mapear puertos en un Fortigate

¿Cómo mapear un puerto?

En nuestro caso vamos a montar para el ejemplo un servidor de FTP, cada vez menos utilizados ya que empezamos a usar servicios como wetransfer, dropbox, mega…. Lo que haremos es que desde nuestra ip pública (una ip estática) abriremos el puerto 21 a nuestro servidor de FTP.

Entraremos en el panel del Fortigate. Vamos a Firewall Object ->Address, create new, pondremos nombre del servidor, ej: srvFTP, type: subnet/ip range e ip: 192.168.44.30/255.255.255.255

Ahora vamos a Firewall y creamos una nueva regla que vaya desde nuestra ip pública (WAN) y de todas partes a la red interna y a nuestro servidor creado en firewall object. Os dejo imagen

fwpuerto21

Cosas a mejorar, sería poner el servidor de FTP en la red DMZ, y en vez de redireccionar a nuestra red interna (red lan), iríamos a la red DMZ.

Después necesitaríamos dar acceso desde la red interna a la red DMZ para poder coger o dejar los archivos necesarios.

Estaría bien si además si tenemos un dominio contratado, pusiéramos un redireccionamiento en las DNS de ftp.nombreempresa.es a la ip pública nuestra, de este modo queda mucho más elegante cuando le damos los datos a alguien darle un ftp.nombreempresa.es que un numero tal 234.123.56.4

Espero que os haya sido de utilidad.

 

VPN SSL

Aquí os dejo como hacer una VPN-SSL con un Fortigate  60C, con la version 4 MR3.

Los paso a seguir serán:

Primero creamos un Firewall Object que será el rango de ips que le daremos a nuestra VPN-SSLfwobject

Ahora vamos a VPN ->SSL, aquí definimos dos cosas, una en Config, será la configuración, seguridad… Os adjunto imagen

fwsslconfig

y después vamos a Portal, aquí creamos el portal personalizado para cuando entren vean los accesos directos creado, ej Terminal server….. y volvemos al grupo creado

Después creamos un grupo en User-> User Group -> Create New, ponemos el nombre del grupo ej “Usuarios”, type “firewall” y activamos “Allow VPN-SSL Access” y seleccionamos el nombre de Portal que hemos definido

Primero creamos los usuarios: User -> Local -> Create New, y lo asociamos al grupo creado.

Ya solo nos falta crear dos reglas para el funcionamiento de la VPN, antes de nada comentar que si usamos el puerto predeterminado 10443, nos pasará que cuando estemos fuera y queramos conectarnos a través de alguna red “amiga”, puede que ésta tenga el puerto 10443 cerrado y ya no funcione la vpn. Así que para no tener problemas os aconsejo, cambiar el puerto de gestión del firewall 443 por otro y dejar el 443 que es un standard para la VPN-SSL. Después de dicho esto, vamos a ponernos manos a la obra.

La primera regla es: desde la interfaz: sslvpn tunnel interface y desde el objeto de firewall que hemos creado a la interfaz internal y en nuestro caso fwregla1hemos creado otro grupo de ip restringidas llamadas comerciales, en lugar de tener acceso a toda la red. Y después hemos añadido al grupo de usuarios permitido. Adjunto imagen.

La siguiente regla, sería desde el interfaz de entrada, en nuestro caso WAN1 y desde cualquier origen a nuestra red interna y a toda ella, con una acción SSL-VPN. Solamente para el grupo definido en vpn. Adjunto la siguiente imagen.

fwregla2

VPN para Ipad y Android

Estos días ando pegandome con las vpn para poder hacer una conexión entre nuestro firewall Fortigate 60B y un par de terminales, uno Ipad y el otro Android.
Ahora mismo ya están funcionando la vpn entre estos dispositivos con la empresa, pero me falta afinar un poco más ya que si se conectan vía vpn no pueden navegar por internet.
La conexión VPN que he usado es una vpn PPTP ya que ésta la soporta los dos terminales. En los próximos días haré unas capturas de pantallas para enseñaros dicha configuración por si os puede ayudar.
Basicamente ha sido entrar en el Fortigate en VPN en el apartado PPTP, habilitar un rango de ips válidas y un grupo de usuario previamente definido.
Después hemos dado de alta la red de la pptp y en las reglas de firewall le hemos dicho que todo lo que entra del exterior de la red pptp vaya a la red internar.
Tras la conexión hemos probado a conectarnos con un cliente remoto (rdp) y el resultado ha sido exitoso. Ahora las siguientes pruebas es ver si es operativo para un comercial desprenderse de su portátil y pasar a usar un dispositivos de éstos para el trabajo del día a día.
Saludos

Crea un blog o un sitio web gratuitos con WordPress.com.

Subir ↑