FortiGateGuías técnicas

FortiOS 6.2: Security Fabric over IPsec VPN

Como sin duda conocéis, el marco de gestión del Fortinet Security Fabric proporciona una arquitectura de seguridad inteligente que interconecta soluciones individuales de manera integrada para detectar, monitorizar, bloquear y remediar -incluyendo mecanismos automatizados de respuesta- amenazas en toda la superficie de ataque, y ofrece una amplia protección y visibilidad en cada segmento de red y dispositivo, ya sea basado en hardware, virtual o en la nube.

Uno de los focos del desarrollo de novedades para la versión 6.2 de FortiOS lo constituyen la ampliación de funcionalidades de las integraciones del Security Fabric. En este sentido, el presente artículo presenta un ejemplo de una de estas novedades: la configuración de Security Fabric sobre IPsec VPN.

La siguiente topología de ejemplo muestra una conexión de un FortiGate downstream (HQ2) con un FortiGateraíz (HQ1) sobre VPN IPsec para unirse a Security Fabric:

Los pasos necesarios para configurar el esquema lógico del ejemplo serían:

Configurar el FortiGate raíz (HQ1):

1. Configuración de los interfaces:
1. En FortiGate (HQ1), ir a Network > Interfaces.
2. Editar el port2:
▪ Asignar Role a WAN.
▪ Para la interfaz conectada a Internet, configurar la IP/máscara de red como 10.2.200.1/255.255.255.0.
3. Editar el port6:
▪ Asignar Role a DMZ.
▪ Para la interfaz conectada al FortiAnalyzer, configurar la IP/máscara de red como192.168.8.1/255.255.255.0.

2. Configurar la ruta estática para la salida a Internet:
1. Ir Network > Static Routes y hacer click en Create New.
▪ Configurar Destination como 0.0.0.0/0.0.0.0.
▪ Configurar Interface como port2.
▪ Configurar Gateway Address como 10.2.200.2.

3. Configurar un túnel VPN IPsec:
1. Ir a VPN > IPsec Wizard.
▪ Configurar VPN Name como To-HQ2.
▪ Configurar Template a Custom.
▪ Hacer click en siguiente (next).
▪ Configurar Remote Gateway como Static IP Address 192.168.7.3 e Interface como port2.
▪ Configurar Authentication Method como Pre-shared Key a S3c-Fabr1c.
2. Dejar todos los demás campos en sus valores predeterminados y hacer click en aceptar (OK).

4. Configurar la dirección IP de la interfaz VPN IPsec que se utilizará para formar el Security Fabric:
1. Ir Network > Interfaces.
2. Editar To-HQ2:
▪ Asignar Role a LAN.
▪ Configurar la IP/Network Mask como 10.10.10.1.
▪ Configurar la Remote IP/Network Mask como 10.10.10.3/255.255.255.0.

5. Configurar las subredes local y remotas de la IPsec VPN:
1. Dentro de Policy & Objects > Addresses:
▪ Hacer click en Create New
• Configurar Name como To-HQ2_local_subnet_1.
• Configurar Type como Subnet.
• Configurar la IP/Network Mask como 192.168.8.0/24.
• Hacer click en aceptar (OK).
▪ Hacer click en Create New
• Configurar Name como To-HQ2_remote_subnet_1.
• Configurar Type como Subnet.
• Configurar la IP/Network Mask como 10.1.100.0/24.
• Hacer click en aceptar (OK).
▪ Hacer click en Create New
• Configurar Name como To-HQ2_remote_subnet_2.
• Configurar Type como Subnet.
• Configurar la IP/Network Mask como 10.10.10.3/32.
• Hacer click en aceptar (OK).

6. Configurar rutas estáticas VPN IPsec:
1. Ir a Network > Static Routes y pinchar en Create New.
▪ Como destino elegir Subnet, y poner la red definida anteriormente como To-HQ2_remote_subnet_1 (10.1.100.0/24).
▪ Configurar Interface como To-HQ2.
▪ Hacer click en aceptar (OK).
2. Hacer click de nuevo en Create New.
▪ Como destino elegir Subnet, y poner la red definida anteriormente como To-HQ2_remote_subnet_1 (10.1.100.0/24).
▪ Configurar Interface como Blackhole.
▪ Conjunto Administrative Distance a 254.
▪ Hacer click en aceptar (OK).

7. Configure las políticas VPN de IPsec:
1. Ir a Policy & Objects > IPv4 Policy y pinchar en Create New.
▪ Configurar Name como vpn_To-HQ2_local.
▪ Configurar Incoming Interface como port6.
▪ Configurar Outgoing Interface como To-HQ2.
▪ Configurar Source como To-HQ2_local_subnet_1.
▪ Configurar Destination como To-HQ2_remote_subnet_1.
▪ Configurar Schedule como Always.
▪ Configurar Service como All.
▪ Deshabilitar NAT.
2. Hacer click de nuevo en Create New.
▪ Configurar Name como vpn_To-HQ2_remote.
▪ Configurar Incoming Interface como To-HQ2.
▪ Configurar Outgoing Interface como port6.
▪ Configurar Source como To-HQ2_remote_subnet_1, To-HQ2_remote_subnet_2.
▪ Configurar Destination como To-HQ2_local_subnet_1.
▪ Configurar Schedule como Always.
▪ Configurar Service como All.
▪ Habilitar NAT.
▪ Configurar IP Pool Configuration como Use Outgoing Interface Address.

8. Configurar Security Fabric:
1. Ir a Security Fabric > Settings.
▪ Habilitar FortiGate Telemetry.
▪ Configurar el Group name como Office-Security-Fabric.
▪ En FortiTelemetry enabled interfaces, añadir el interfaz VPN To-HQ2.
▪ Configurar la IP address del FortiAnalyzer como la 192.168.8.250.

Después de habilitar la telemetría de FortiGate, FortiAnalyzer habilita automáticamente el Logging, y el Uploadse establece a Real Time.

Configurar el FortiGate downstream (HQ2):

1. Configuración de los interfaces:
1. En FortiGate (HQ2), ir a Network > Interfaces.
2. Editar el wan1:
▪ Asignar Role a WAN.
▪ Para la interfaz conectada a Internet, configurar la IP/máscara de red como 192.168.7.3/255.255.255.0.
3. Editar el vlan20:
▪ Asignar Role a LAN.
▪ Para la interfaz conectada a los end-points locales, configurar la IP/máscara de red como10.1.100.3/255.255.255.0.

2. Configurar la ruta estática para la salida a Internet:
1. Ir Network > Static Routes y hacer click en Create New.
▪ Configurar Destination como 0.0.0.0/0.0.0.0.
▪ Configurar Interface como wan1.
▪ Configurar Gateway Address como 192.168.7.2.

3. Configurar un túnel VPN IPsec:
1. Ir a VPN > IPsec Wizard.
▪ Configurar VPN Name como To-HQ1.
▪ Configurar Template a Custom.
▪ Hacer click en siguiente (next).
▪ Configurar Remote Gateway como Static IP Address 10.2.200.1 e Interface como wan1.
▪ Configurar Authentication Method como Pre-shared Key a S3c-Fabr1c.
2. Dejar todos los demás campos en sus valores predeterminados y hacer click en aceptar (OK).

4. Configurar la dirección IP de la interfaz VPN IPsec que se utilizará para formar el Security Fabric:
1. Ir Network > Interfaces.
2. Editar To-HQ1:
▪ Asignar Role a WAN.
▪ Configurar la IP/Network Mask como 10.10.10.3.
▪ Configurar la Remote IP/Network Mask como 10.10.10.1/255.255.255.0.

5. Configurar las subredes local y remota de la IPsec VPN:
1. Dentro de Policy & Objects > Addresses:
▪ Hacer click en Create New
• Configurar Name como To-HQ1_local_subnet_1.
• Configurar Type como Subnet.
• Configurar la IP/Network Mask como 10.1.100.0/24.
• Hacer click en aceptar (OK).
▪ Hacer click en Create New
• Configurar Name como To-HQ1_remote_subnet_1.
• Configurar Type como Subnet.
• Configurar la IP/Network Mask como 192.168.8.0/24.
• Hacer click en aceptar (OK).

6. Configurar rutas estáticas VPN IPsec:
1. Ir a Network > Static Routes y pinchar en Create New.
▪ Como destino elegir Subnet, y poner la red definida anteriormente como To-HQ1_remote_subnet_1 (192.168.8.0/24).
▪ Configurar Interface como To-HQ2.
▪ Hacer click en aceptar (OK).
2. Hacer click de nuevo en Create New.
▪ Como destino elegir Subnet, y poner la red definida anteriormente como To-HQ1_remote_subnet_1 (192.168.8.0/24).
▪ Configurar Interface como Blackhole.
▪ Conjunto Administrative Distance a 254.
▪ Hacer click en aceptar (OK).

7. Configurar las políticas VPN de IPsec:
1. Ir a Policy & Objects > IPv4 Policy and pinchar en Create New.
▪ Configurar Name como vpn_To-HQ1_local.
▪ Configurar Incoming Interface como vlan20.
▪ Configurar Outgoing Interface como To-HQ1.
▪ Configurar Source como To-HQ1_local_subnet_1.
▪ Configurar Destination como To-HQ1_remote_subnet_1.
▪ Configurar Schedule como Always.
▪ Configurar Service como All.
▪ Deshabilitar NAT.
2. Hacer click de nuevo en Create New.
▪ Configurar Name como vpn_To-HQ1_remote.
▪ Configurar Incoming Interface como To-HQ1.
▪ Configurar Outgoing Interface como vlan20.
▪ Configurar Source como To-HQ2_remote_subnet_1, To-HQ2_remote_subnet_2.
▪ Configurar Destination como To-HQ2_local_subnet_1.
▪ Configurar Schedule como Always.
▪ Configurar Service como All.
▪ Deshabilitar NAT.

8. Configurar Security Fabric:
1. Ir a Security Fabric > Settings.
▪ Habilitar FortiGate Telemetry.
▪ Habilitar Connect to upstream FortiGate.
▪ Especificar la FortiGate IP como la 10.10.10.1.

Después de habilitar la telemetría de FortiGate, FortiAnalyzer habilita automáticamente el Logging; la configuración del FortiAnalyzer se descarga automáticamente en el FortiGate downstream (HQ2) cuando éste se conecta con el FortiGate raíz (HQ1).

Autorizar el FortiGate downstream (HQ2) en el FortiGate raíz (HQ1):

1. En el FortiGate raíz (HQ1), ir a Security Fabric > Settings. El campo Topology destaca el FortiGate (HQ2) conectado cuando se cierra el túnel, muestra su número de serie, y solicita que se autorice el dispositivo resaltado.
2. Seleccione el FortiGate resaltado y seleccione Authorize. Después de la autorización, el FortiGatedownstream (HQ2) aparece en el campo Topology de Security Fabric > Settings. Esto significa que el FortiGate (HQ2) se ha unido con éxito al Security Fabric.

Comprobar el Security Fabric over IPsec VPN:

1. En el FortiGate raíz (HQ1), ir a Security Fabric > Physical Topology. El FortiGate raíz (HQ1) aparecerá conectado con FortiGate downstream (HQ2) con el icono VPN en el medio.

2. En el FortiGate raíz (HQ1), ir a Security Fabric > Logical Topology. El interfaz VPN To-HQ2 del FortiGate raíz(HQ1) aparecerá conectado al FortiGate downstream (HQ2) mediante la interfaz VPN To-HQ1, con el icono de VPN en el medio.

Ejecución de comandos de diagnóstico:

1. Ejecutar el comando “diagnose sys csf authorization pending-list” en el FortiGate raíz (HQ1) para mostrar el FortiGate downstream (HQ2) pendiente de la autorización de FortiGate raíz:

HQ1 # diagnose sys csf authorization pending-list
Serial             IP Address      HA-Members                                     Path
————————————————————————————
FG101ETK18002187   0.0.0.0                                                         FG3H1E5818900718:FG101ETK18002187

    2. Ejecutar el comando “diagnose sys csf downstream” en el FortiGate raíz (HQ1) para mostrar el FortiGate downstream (HQ2) tras unirse al Security Fabric:

HQ1 # diagnose sys csf downstream
 1:     FG101ETK18002187 (10.10.10.3) Management-IP: 0.0.0.0 Management-port:0 parent: FG3H1E5818900718
        path:FG3H1E5818900718:FG101ETK18002187
        data received: Y downstream intf:To-HQ1 upstream intf:To-HQ2 admin-port:443
        authorizer:FG3H1E5818900718

    3. Ejecutar el comando “diagnose sys csf uptream” en el FortiGate downstream (HQ2) para mostrar el FortiGate raíz (HQ1) después de que el downstream se una al Security Fabric:

HQ2 # diagnose sys csf upstream
Upstream Information:
Serial Number:FG3H1E5818900718
IP:10.10.10.1
Connecting interface:To-HQ1
Connection status:Authorized

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *