gateway 192.168.254.

2
ip 192.168.254.128
eve 192.168.254.40

rm -f /opt/ovf/.configured
su -

get ---> objeto dinamico

show ---> objeto estatico

mstsc /v 10.10.10.3:3389-- para ingresar en modo escritorio remoto

---------- -----
ip addres puerto

SITE-A # get ---> se puede obtener todas las configuraciones de un contexto de un

menu especifico

SITE-A # show ---> solo nos va mostrar configuraciones que allamos realizado y que
no sean iguales a las configuraciones por defecto

#####################
Para ver el encendido
#####################
SITE-B # get system performance status
...
...
IPS attacks blocked: 0 total in 1 minute
Uptime: 0 days, 1 hours, 41 minutes

#####################################
Para sacar backup por CLI y restaurar
#####################################

SITE-B # execute backup config ftp ______ ____ ________ __________

nombre IP usuario contraseña

SITE-B # execute restore config ftp ______ ____ ________ __________

nombre IP usuario contraseña

#########################
Para configurar Interface
#########################

FortiGate-VM64-KVM # get system interface --> para ver la configuracion de la

interface

FortiGate-VM64-KVM # show system interface --> para ver config de las interfaces

FortiGate-VM64-KVM # config system interface -- configurar una interface

FortiGate-VM64-KVM (interface) # edit port1 -- editar el puerto

FortiGate-VM64-KVM (port1) # set mode static -- modo estatico

FortiGate-VM64-KVM (port1) # set ip _ _ _ _ -- colocar la direccion IP

FortiGate-VM64-KVM (port1) # set allowaccess ping https http telnet ssh -- para
accesos

FortiGate-VM64-KVM (port1) # set role wan --- para el tipo de rol

FortiGate-VM64-KVM (port1) # set alias WAN -- descripcion

FortiGate-VM64-KVM (port1) # append allowaccess --> solo para agregar una caracter
faltante en una config

ejemplo :

FortiGate-VM64-KVM # config system interface

FortiGate-VM64-KVM (interface) # edit port1

FortiGate-VM64-KVM (port1) # show

config system interface
edit "port1"
set vdom "root"
set mode dhcp
set allowaccess ping https ssh fgfm
set type physical
set snmp-index 1
next
end

FortiGate-VM64-KVM (port1) # append allowaccess http

FortiGate-VM64-KVM (port1) # show

config system interface
edit "port1"
set vdom "root"
set mode dhcp
set allowaccess ping https ssh http fgfm
set type physical
set snmp-index 1
next
end

#############################
Para configurar ruta estatica
#############################

FortiGate-VM64-KVM # config router static

FortiGate-VM64-KVM (static) # edit 1

new entry '1' added

FortiGate-VM64-KVM (1) # set dst 0.0.0.0/0

FortiGate-VM64-KVM (1) # set device port1

FortiGate-VM64-KVM (1) # set gateway _ _ _ _ -- colocar ip

SITE-B (static) # show full-configuration --> para ver las rutas configuradas full
######################
APRENDIENDO A USAR CLI
######################

SITE-A # show system interface | grep -if "port1"

config system interface
edit "port1" <---
set vdom "root"
set ip 192.168.1.19 255.255.255.0
set allowaccess ping https ssh http fgfm
set type physical
set alias "MGMTTTTT"
set snmp-index 1
set dns-server-override disable
next
edit "port10" <---
set vdom "root"
set type physical
set snmp-index 10
next
end

######################
Para Crear una POLICY
######################

SITE-B # config firewall policy

SITE-B (policy) # edit
SITE-B (1) # set name INTERNET
SITE-B (1) # set srcintf port4
SITE-B (1) # set dstintf port2
SITE-B (1) # set srcaddr all
SITE-B (1) # set dstaddr all
SITE-B (1) # set schedule always
SITE-B (1) # set service ALL
SITE-B (1) # set action accept
SITE-B (1) # set nat enable

#######################
Para Monitoreo de rutas
#######################

SITE-A # get router info routing-table database

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

Routing table for VRF=0

S 0.0.0.0/0 [15/0] via 180.45.22.2, port3
S *> 0.0.0.0/0 [10/0] via 200.212.31.2, port2
C *> 10.0.1.0/24 is directly connected, port4
S *> 10.0.2.0/24 [10/0] via 172.21.0.2, port7
C *> 172.21.0.0/30 is directly connected, port7
C *> 180.45.22.0/30 is directly connected, port3
C *> 192.168.1.0/24 is directly connected, port1
C *> 200.212.31.0/30 is directly connected, port2

######################
Atributos de las rutas
######################

> las rutas tienen diferentes atributos una de ellas fue la distancia
" ante dos rutas con igual destino se selecciona la que tenga menor distancia"

> a dos rutas que tengas el mismo destino y la misma distancia solamente se enviara
el trafico por la ruta que tenga menor prioridad

######################################
ENRUTAMIENTO POR SERVICIOS DE INTERNET
######################################

Network> Static Routes> Internet Service

########################
Balanceo de carga (ECMP)
########################

Las distancias de ambas rutas (tiene que ser el mismo destino), las prioridades y
las metricas tienen que ser iguales para hacer balanceo de carga ECMP solo se
encuentra disponible en la lineas de comandos
OBSERVACION: el mayor peso tiene mayor preferencia

SITE-A # config system settings

SITE-A (settings) # get | grep ecmp
v4-ecmp-mode : source-ip-based
ecmp-max-paths : 255

SITE-A (settings) # set v4-ecmp-mode

source-ip-based basado en origen
weight-based basado en peso
usage-based basado en uso
source-dest-ip-based basado en la ip origen y destino

"Lo que quiere decir source-ip-based",siempre el trafico lo canalizara por un solo

ISP

SITE-A (settings) # set v4-ecmp-mode source-dest-ip-based

"se utiliza el source-dest-ip-based", para hacer balanceo

SITE-A # get router info routing-table database

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

Routing table for VRF=0 |---> este es el peso

S *> 0.0.0.0/0 [10/0] via 180.45.22.2, port3, [5/20]
*> [10/0] via 200.212.31.2, port2, [5/10]
C *> 10.0.1.0/24 is directly connected, port4
C *> 172.21.0.0/30 is directly connected, port7
C *> 180.45.22.0/30 is directly connected, port3
C *> 192.168.1.0/24 is directly connected, port1
C *> 200.212.31.0/30 is directly connected, port2

#############
Link monitor
#############

link monitor nos sirven para programar monitoreo sobre los enlaces, de manera tal
que si tenemos algún

problema con algún servicio de internet, la ruta asociada con este servicio se
desactive y pasemos

a utilizar en enlace de backup.

CASO --> Que sucede si el problema fuera que se nos caiga la interface o se nos
corta el cable, que sucede si el problema fuera mas alla del gateway del proveedor

SITE-A # config system link-monitor

SITE-A (link-monitor) # edit 1
new entry '1' added

SITE-A (1) # get

name : 1
addr-mode : ipv4
srcintf : ---> la interfaz de origen
server-config : default
server : ---> va ser nuestro testigo
protocol : ping
gateway-ip : 0.0.0.0 ---> va ser del ISP1
route :
source-ip : 0.0.0.0
interval : 500
probe-timeout : 500
failtime : 5
recoverytime : 5
probe-count : 30
ha-priority : 1
update-cascade-interface: enable
update-static-route : enable
update-policy-route : enable
status : enable
diffservcode : 000000
class-id : 0
service-detection : disable

SITE-A # config system link-monitor

SITE-A (link-monitor) # edit "1"
SITE-A (1) # set srcintf port2
SITE-A (1) # set server 8.8.8.8
SITE-A (1) # set gateway-ip 200.212.31.2
SITE-A (1) # show
config system link-monitor
edit "1"
set srcintf "port2"
set server "8.8.8.8"
set gateway-ip 200.212.31.2
next
end

>>> Es lo minimo para que esto funcione

SITE-A (1) # get

name : 1
addr-mode : ipv4
srcintf : port2
server-config : default
server : "8.8.8.8"
protocol : ping
gateway-ip : 200.212.31.2

#######################
Packet Sniffer por CLI
#######################
Correr un snifer por la linea de comandos, esta herramienta es sumamente util la
van a estar utilizando porque cuando se tiene problemas de conectividad pero no
sale tan a la vista grafica

SITE-A # diagnose sniffer packet port4 icmp

SITE-A # diagnose sniffer packet port4 "icmp && host 10.0.1.10"

----- ----- -----------
puerto protocolo ip del host

SITE-A # diagnose sniffer packet port4 "icmp && src host 10.0.1.10"
SITE-A # diagnose sniffer packet port4 "icmp && dst host 10.0.1.10"
SITE-A # diagnose sniffer packet port4 "udp && port 53 && host 10.0.1.10"

------ packet capture verbosity level

level Ip headers packet payload ethernet headers Interface Name

1 *
2 * *
3 * * *
4 * *
 5 * * *
6 * * * *

>> El nivel 4 es la que mas utilizo al momento de hacer un debug, solo nos muestra
la cabecera IP y agrega el nombre de la interface

SITE-A # diagnose sniffer packet port4 " icmp && host 10.0.1.10" 4
Using Original Sniffing Mode
interfaces=[port4]
filters=[ icmp && host 10.0.1.10]
5.176024 port4 -- 10.0.1.10 -> 3.1.92.70: icmp: echo request
5.503282 port4 -- 3.1.92.70 -> 10.0.1.10: icmp: echo reply
6.206349 port4 -- 10.0.1.10 -> 3.1.92.70: icmp: echo request
6.533760 port4 -- 3.1.92.70 -> 10.0.1.10: icmp: echo reply
7.227241 port4 -- 10.0.1.10 -> 3.1.92.70: icmp: echo request
|-> ese es el puerto de salida

SITE-A # diagnose sniffer packet any "icmp" 4

SITE-A # diagnose sniffer packet port4 " icmp && src host 10.0.1.10" 4 5
|--> cantidad de paquetes

#############################
SD-WAN (Software Defined WAN)
#############################

Esto no es mas que una interfaz virtual, la cual se va a componer de diferentes

interfaces miembros que pueden estar conectados a diferentes tipos links.
ejemplo : puede estar conectada a un servicio MPLS, otra interface puede estar
conectada a un servicio de 3G/4G y otra a un servicio de internet

a sdwan no le importa el tipo de vinculo lo cual le brinda a fortinet una gran

herramienta que ademas esta incluido en cualquier equipo esta herramienta desde
igual nos permite hacer un uso efectivo de internet mediante diferentes algoritmos
de balanceo, mucho de los cuales ya se estudio se puede decir que sdwan es la
evolucion de smp

para esto primero se crea una grupo + ruta estatica y politica

#######################################
VDOM - INTRODUCCION (virtual dommains)
#######################################

Es una funcionalidad de fortigate que permite dividir un equipo en multiples

fortigate virtuales cada uno de estos con su propia red, con sus propias interfaces
asociadas y el trafico de estos VDOMs no puede ser visto por otros VDOMs cada uno
cuenta con sus propias politicas enrutamiento interfaces, por defecto en los
fortigate soportan 10 VDOMs a excepcion de modelos de alta gama

Implementacion de VDOMs
-----------------------
VDOMs de manera independiente (no es recomendable)
Routeo a travez de un unico VDOMs, se crea un vdoms con la finalidad que este
salga hacia internet
 To_Internet VDOM
| | |
VDOM 1 VDOM 2 VDOM 3

Meshed VDOMs
todos se conectan con todos mediante los intervdoms link

To_Internet VDOM
| |
VDOM 1 VDOM 2

Modos de trabajar con VDOMs

Split-VDOM mode
lo que se crea es 2 vdoms
uno para administracion exclusivamente y el otro para manejar el
trafico de la red (no se ha visto en produccion)

Multi VDOM mode

se puede multiples vdoms

HQ # config system global

HQ (global) # set vdom-mode multi-vdom
HQ (global) # end
You will be logged out for the operation to take effect.
Do you want to continue? (y/n)

#####
VLANs
#####
una vlan nos permite subdividir una o mas interfaces fisicas en diferentes
interfaces o redes logicas y esta es independiente de otra, y tiene su propio
dominio de broadcast a estas se le consideran como interfaces virtuales y es
totalmente independiente.

para esto se necesesita crear las VLAN + politicas

###############
SOFTWARE SWITCH
###############
Se puede agrupar multiples interfaces fisicas tambien de tipo wirelles dentro de un
nuevo tipo de interfaz que va ser este software switch esto esta soportado en modo
nat no se pudo utilizar de modo transparente y esto actua como un switch de capa 2

##############
HARWARE SWITCH
##############
cuenta con un chip fisico dedicado a los fines de las funcionalidades de switch

####
NAT
####
 Modo Nat
--------
El equipo enruta el trafico de acuerdo a la capa 3 del modelo OSI
osea actua como un router y la interface de los fortigate tienen
direcciones ips asociadas a ellas.

Modo Transparente
-----------------
el equipo reenvia los paquetes en capa 2 del modelo OSI y de esta
manera estaria actuando como un bridge transparente
El Fortigate no tiene direcciones IPs en sus interfaces
No se requiere ningun cambio y configuracion en nuestra red para que se
pueda inserta ese equipo en modo transparente en el diagrama de red.

se puede colocar delante o detras del router

FortiGate-VM64-KVM # config system settings

FortiGate-VM64-KVM (settings) # set opmode
nat Change to NAT mode.
transparent Change to transparent mode.

OBSERVACION : no se puede tener switch administrados y que deshabilitemos el

fortilink.

FortiGate-VM64-KVM # show | grep -fi fortilink

config system interface
edit "fortilink" <---
set vdom "root"
set fortilink enable <---
set ip 10.255.1.1 255.255.255.0
set allowaccess ping fabric
set type aggregate
set lldp-reception enable
set lldp-transmission enable
set snmp-index 14
next
end
config system ntp
set ntpsync enable
set server-mode enable
set interface "fortilink" <---
end
config system dhcp server
edit 1
set ntp-service local
set default-gateway 10.255.1.1
set netmask 255.255.255.0
set interface "fortilink" <---
set vci-match enable
set vci-string "FortiSwitch" "FortiExtender"
next
end
config switch-controller storm-control-policy
edit "auto-config"
set description "storm control policy for fortilink-isl-icl port" <---
set storm-control-mode disabled
next
end

FortiGate-VM64-KVM # config system ntp

FortiGate-VM64-KVM (ntp) # set ntpsync disable
FortiGate-VM64-KVM (ntp) # set server-mode disable

FortiGate-VM64-KVM # config system dhcp server

FortiGate-VM64-KVM (server) # delete 1
FortiGate-VM64-KVM (server) # end

FortiGate-VM64-KVM # config system interface

FortiGate-VM64-KVM (interface) # delete fortilink
FortiGate-VM64-KVM (interface) # end

FortiGate-VM64-KVM (settings) # set opmode transparent

FortiGate-VM64-KVM (settings) # set manageip 192.168.1.23/24 --> puede ser
cualquier ip que se encuentre en el segmento de red
FortiGate-VM64-KVM (settings) # set gateway 192.168.1.1
FortiGate-VM64-KVM (settings) # end

####################
QUE ES FORTIGATE HA (ALTA DISPONIBILIDAD)
####################

mediante la alta disponibilidad se va poder realizar la configuracion de un cluster

de equipos que puede estar compuesto de 2 a 4 fortigate su ventaja es que si uno
falla se tiene mas equipo que tomaran su lugar automaticamente y los usuarios no
veran ningun corte de servicio.

Modo de alta disponibilidad

ACTIVO - PASIVO
donde se va tener un equipo primario en el cluster y los demas seran
equipos secundarios, en este modo solo el primario procesa trafico y los
demas que estan en secundario estan en stanby a la espera que el fortigate
primario falle

El fortigate envia sus configuraciones y mantiene en syncronia los demas

fortigate de manera tal que si se agrega alguna policy una ruta o un objeto esto se
ve reflejado en todo los equipos.

ACTIVO - ACTIVO
todos los equipos procesan trafico sin embargo aun se mantiene el
esquema del primario y secundario en una esquema asi se deberia tener un
balanceador de carga entre los equipos de la red y el cluster de fortigate pero
fortigate proporciona el balanceador incluido y esta funcion lo hace el equipo
primario que forma parte del cluster de manera tal que resive las peticiones de los
usuarios y parte de ella las procesara el fortigate primario y otras las delega
a los otros miembros del cluster de manera tal que el primario es el balanceador el
encargo de distribuir el trafico si uno falla pasaria al otro, todo esto es gracias
al protocolo
FORTIGATE CLUSTERING PROTOCOLO (FGCP)

se encarga del discovery de los distintos dispositivos de fortigate que pertenecen

al mismo cluster como HA GROUP tambien es el encargado del fortigate primario de
syncronizar la informacion y detectar cuando un fortigate falla este protocolo
trabaja en el puerto 703 en tcp y mediante tcp port 23 se encarga de la
syncronizacion de las configuraciones

Cabe destacar que si se trabaja con alta disponibilidad y nos conectamos al

primario para reiniciarlo este se convierte en secundario y espera a que todo
trafico empiece hacer procesado por el nuevo primario antes de reiniciarse esto lo
hace para garantizar que no alla corte para los usuarios o que si los hay que sea
el minimo posible

REQUERIMIENTOS QUE SE CUMPLEN EN HA

- 2 a 4 equipos identicos tienen que ser el mismo modelo y con el tema

de licenciamiento es ideal que todos cuenten con el mismo licenciamiento pero si
hay alguno de los elementos del cluster que tiene un licenciamiento
inferior de los demas todo el cluster trabajara con el licenciamiiento que
tenia este ultimo.

- Tambien se necesita definir un link para una interfaz que se llama

Heartbeat que esa es la interfaz que permite la comunicacion entre
los diferentes equipos que conforma el cluster para la distribucion del
cluster y la deteccion de caidas y es recomendable que se tenga dos interfaces de
Heartbeat

ELEMENTOS QUE NO SON SYNCRONIZADOS ENTRE LOS FORTIGATE

- la interfaces de administracion no son syncronizadas

- HA override y el cluster priority
- Tampoco los hostname cada equipo tiene su propio nombre
- No se syncroniza las licencias
- La cache no se syncronisa

- a mayor prioridad elige como primario

Primary Fortigate Election : Override Disabled

----------------------------------------------
El fortigate selecciona de forma desendiente

interfaces monitorisadas conectadas

|
HA-Uptime
|
Priority
|
serial
number

Primary Fortigate Election : Override Enabled

---------------------------------------------
interfaces monitorisadas conectadas
|
Priority
|
HA-Uptime
|
 serial
number

el HA override no se sincroniza asi que se va tener que programar manualmente en

los 2 equipos

HA-2 # config system ha

HA-2 (ha) # set override enable
HA-2 (ha) # end
HA-2 #

##################################
Virtual MAC Addresses and Failover
##################################
En el fortigate primario a todas las interfaces del equipo se le asigna mac address
virtuales y son estas mac address que los usuarios de la red conocen, cuando se da
un evento en el cual el fortigate primario ya no es accesible se callo o se
desconectaron las interfaces monitorisadas y un nuevo primario asiende las virtual
mac adddress que estaba manejando el fortigate primario son asignadas al secundario
por lo tanto para los usuarios y servidores la ip del fortigate siempre esta
asociada a la misma mac address por lo tanto solo ven un equipo las unicas
interfaces que no tienen asignada una mac address virtual son las interfaces de
HEARTBEAT

------------------
Virtual Clustering
-------------------
entre Vdoms

HA-1 # diagnose sys ha status

HA information
Statistics
traffic.local = s:0 p:278905 b:92902787
traffic.total = s:3 p:278905 b:92902787
activity.ha_id_changes = 4
activity.fdb = c:0 q:0

Model=80001, Mode=2 Group=0 Debug=0

nvcluster=1, ses_pickup=0, delay=0

[Debug_Zone HA information]
HA group member information: is_manage_primary=1.
FGVMEV_F_Y0_FL69: Primary, serialno_prio=0, usr_priority=130, hostname=HA-1
FGVMEVCVOOHXDDA8: Secondary, serialno_prio=1, usr_priority=128, hostname=HA-2

[Kernel HA information]
vcluster 1, state=work, primary_ip=169.254.0.1, primary_id=0:
FGVMEV_F_Y0_FL69: Primary, ha_prio/o_ha_prio=0/0
FGVMEVCVOOHXDDA8: Secondary, ha_prio/o_ha_prio=1/1

OBSERVACION

FGVMEV_F_Y0_FL69 --> serial number

usr_priority=130 --> prioridad
hostname=HA-1 ---> hostname
primary_ip=169.254.0.1 ---> direccion ip asosiada al HEARTBEAT
el cluster asigna esas direcciones ip automicamente a las interfaces del HEARTBEAT
y les asigna segun el serial number mas alto recibe la direccion ip mas baja y va
desendiendo esta, ejemplo : el que tenga el serial number mas alto tendra
169.254.0.1, luego el segundo equipo va tener la .2 y asi sucesivamente hasta 4
equipos que conforma un cluster

HA-1 # diagnose sys ha checksum cluster --> verificar syncronizacion

HA-1 # execute ha manage 1 admin --> para conectarse al otro equipo

HA-1 # execute ha failover set 1 --> para comprobar la syncronizacion haciendo un

TEST

HA-1 # execute ha failover unset 1 --> para deshacer

##############
VPN TIPO IPSEC
##############
recomendado para trabajar con vpn site-to-site, nos ofrece authenticacion,
integridad de datos y confidencialidad es la vpn mas recomendado para trabajar a
nivel empresarial.

IPSEC es un conjunto de protocolos para que brinden conexiones seguras y confiables

PROTOCOLO NAT No NAT

IKE IP Protocol 17: IP protocol 17
RFC 2409 (IKEv1) UDP port 500 UDP port 500
RFC 4306 (IKEv2) (UDP 5400 for rekey,
quick mode, mode-cfg)
ESP IP protocol 17: IP protocol 50
RFC 4303 UDP port 4500

What Is IKE (Intercambio de llaves a traves de internet)?

- Negocia las llaves privadas que van a estar utilizando los dos extremos del
tunnel
- Fases: Fase 1 y Fase 2
- Versions: IKEv1 (mayor adopcion a nivel mundial)
IKEv2 (es nueva, es mas simple de operar)

- IKE se encargar es establecer entre los extremos asosiaciones seguras

- IKE utiliza dos fases distintas
Phase 1 --> IKE SA (sobre ese tunel se va establecer la fase 2)
Phase 2 --> IPsec SA (recien sobre el tunel IPsec Sa es que se realiza el
encriptado, el envio, la recepcion y el desencriptado de la informacion)

Network ....
IP Version .....
Remote Gateway ....
IP Address ....
Interface .....
Local Gateway .- si se tuviera mas de una ip publica configurada y se quisiera
quisiera especificar cual queremos utilizar para esta
conexion se tiene utilizar la opcion de local Gateway
Mode Config .- Solo sirve cuando se trabaja en modo Dialup User
NAT Traversal .- Esto solo se habilita si nuestro firewall se encuentra destras
de un nat, si nuestro firewall recibe la ip publica
directamente no se usa nat traversal

Dead Peer Detection .- es un mecanismo mediante el cual el fortigate puede detectar

si el tunel se encuentra caido o no y lo hace enviando packetes
hacia el otro extremo del otro tunel y si no hay respuesta
DPD retry count (cantidad de veces)
DPD retry interval (tiempo en segundos) se da por caido el tunel

Forward Error Correction .- es un mecanismo de fortigate para reducir la

retransmision de los packetes tcp si esto falla

....
####################################
IPSEC_REDUNDANCIA TOTAL ENTRE SITIOS
####################################

Algoritmo :
weighted round robin --> basado en peso(mas utilizado cuando tiene vinculos
iguales)
L3 --> basado en direcciones IP
L4 --> puertos
reduntante --> en espera

#####################
AUTENTICACION ACTIVA
#####################
podemos crear politicas para navegar hacia internet en general o a ciertos sitios
particular y cuando ese usuario quiera acceder a esos sitios en general se les
solicita que ingrese credenciales si no lo hace no podra navegar

pero que sucede si no se requiere usar usuarios locales en el fortigate ya que el

usuario jose existe en el fortigate si el equipo se llegara a caer y no se tiene un
backup se pierde los usuarios locales ahi entra el controlador de dominio

########################
FORTINET SINGLE SITE ON
########################

Se utiliza el login que los usuarios utilicen en sus computadoras cuando estas
estan unidas a un dominio de manera tal que ese login nos va alcanzar y no va ser
necesario que el fortigate les solicite nuevas credenciales a los usuarios (basta
que con un solo login en este caso en el dominio para que desde el fortigate se
tome ese login y lo utilicemos como valido

---------------------
DC AGENT MODE PROCESS
---------------------
- El usuario se autentica contra su computadora y contara con el dominio de
AD de
windowns una vez que esto sucede un agente que se va instalar en el DC (DC
Agent port udp 8002) va capturar el evento del login y se lo va enviar al
collector Agent (port tcp 8000)es otro software que se instala en el mismo
controlador de dominio una vez que recibe los eventos de login se los envia al
fortigate y el este tieme USER NAME, HOST NAME, IP ADDRES y USER GROUPS

------------------------------------------
COLLECTOR AGENT-BASED POLLING MODE PROCESS
------------------------------------------
- No se va tener el DC AGENT solo se va trabajar con el software COLLECTOR
AGENT este solo se va conectar al controlador de dominio en el puerto 445 tcp
y va ser la extraccion del polling de los eventos del login y se los va reenviar
a nuestro fortigate

------------------------------
AGENTLESS POLLING MODE PROCESS
------------------------------
- Este es el fortigate que se conecta con el controlador de dominio para
extraer los eventos del login de los usuarios.

-------------------------------
ADDITIONAL FSSO AD REQUIREMENTS
-------------------------------
- El servidor local debe tener la posibilidad de resolver los nombres de las
computadoras esto se debe cuando una computadora inicia sesion en
windows el evento del login que es el que se guarda y enviado al fortigate tiene
el nombre de la workstation y el nombre del usuario pero no la ip, windows no
guarda la ip de las computadoras solo registra el hostname entonces el
COLLECTOR AGENT debe poder hacerle una consulta DNS a esa workstation para
obtener su direccion ip y asi poder enviar al fortigate ( el COLLECTOR
AGENT tiene que poder resolver los nombres de la workstation)

- El COLLECTOR AGENT tiene que poder conectarse a la workstation en el puerto

139 y 445 para verificar que el usuario esta conectado activo y no alla cambiado
el usuario ni la direccion ip

#######################################
MODO DE GUARDADO DE LAS CONFIGURACIONES
#######################################
cuando se realiza configuraciones remotas mediante internet es posible que alguna
cambio que realicemos no tenga el resultado deseado y termine desconectado del
fortigate y luego no nos permita reconectarnos con lo cual esto nos traeria un
problema y nos tendriamos que presentar de manera fisica donde se encuentra el
equipo

###################
ACTUALIZAR FIRMWARE
###################

SITE-C # execute restore image ftp <nombre del archivo.out> <IP> <usuario>
<password>

#################
AUDITAR EN LA CLI
#################

SITE-A # config system global

SITE-A (global) # get | grep cli
cli-audit-log : disable
SITE-A (global) # set cli-audit-log enable
SITE-A (global) # end
SITE-A #

#####################
NAT mediante IP POOLS
#####################
tenemos 4 ip pool para crear

OVERLOAD: el fortigate va ir nateando las diferentes direcciones ip privadas con el

pool publico que se le asigna (muchas direcciones ip de origen privado contra uno o
mas direcciones ip publicas de nuestro pool publico)

ONE-TO-ONE: es uno a uno, para cada direccion ip privada publica solo una ip
privada lo puede utilizar

FIXED PORT RANGE: Se asigna un rango de direcciones ips privadas el cual se va usar

SITE-A # get system session list

PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT

tcp 59 200.212.31.1:6286 - 99.84.244.67:80 -
udp 101 127.0.0.1:4335 - 127.0.0.1:9980 -
tcp 3599 200.212.31.1:3033 - 99.84.244.67:80 -
udp 67 180.45.22.1:3520 - 208.91.112.52:53 -
udp 98 180.45.22.1:3520 - 208.91.112.53:53 -
tcp 3566 10.0.1.10:49445 200.212.31.28:49445 13.107.42.16:443 -
tcp 26 180.45.22.1:21996 - 99.84.244.67:80 -
icmp 40 10.0.1.10:1 200.212.31.28:60417 142.250.0.100:8 -
tcp 3566 10.0.1.10:49444 200.212.31.28:49444 204.79.197.239:443 -
tcp 3578 10.0.1.10:49446 200.212.31.28:49446 204.79.197.239:443 -

###########
CENTRAL NAT
###########

Se puede habilitar de dos maneras grafica y por CLI

SITE-A # config system settings

SITE-A (settings) # set central-nat enable
SITE-A (settings) # end

Se crea politicas aparte en central Nat

###############
TRAFFIC SHAPERS
###############
nos permiten crear politicas para un correcto uso de nuestro ancho de banda de
manera tal que ningun usuario realize un uso excesivo de nuestro BW de internet y
complique o perjudique a los usuarios de la red, existen dos tipos :

shared traffic shaper : ese pefil aplica a todos los usuarios

 Per-IP traffic Shaper : aplica individualmente a cada uno de los
usuarios

###############
PORTAL CAUTIVO
###############

SITE-B # config firewall policy

SITE-B (policy) # edit <numero policy>
SITE-B (1) # set disclaimer
enable Enable user authentication disclaimer.
disable Disable user authentication disclaimer.

SITE-B (1) # set disclaimer enable

#######################
Logging and Monitoring
######################

SITE-B # config log

SITE-B # config log eventfilter
SITE-B # config log setting

SITE-B # diagnose sys logdisk usage

Total HD usage: 187MB(179MiB)/31704MB(30236MiB)
Total HD logging space: 23778MB(22677MiB)
HD logging space usage for vdom "root": 0MB(0MiB)/23778MB(22677MiB)

SITE-B # diagnose log test

############################
Operaciones con certificados
############################
como importar y crear solicitudes para nuevos certificados, y se va un ejercicio de
como aplicar un certificado verdadero para poder acceder a los equipos fortigate
mediante un DNS y no con la direccion ip

Autoridades certificantes locales

certificados locales

certificados remotas

No SSL Inspection
-----------------
donde el fortigate no hace ningun tipo de inspeccion sobre el
trafico ssl, esto quiere decir cuando nuestro usuario bob se conecta con
nuestro servidor web utilizando un protocolo SSL en el navegador ponia
https:// y el nombre del servidor y el usuario de manera segura establece
una conexion con el servidor, sin embargo imaginemos que en ese
servidor hay un archivo infectado y el usuario se lo descarga, el fortigate
no va poder ese archivo y el contenido de esa conexion porque el usuario
realizo una conexion segura contra el servidor y una conexion tipo ssl el trafico
viaja encriptada y el fortigate no es capaz de verlo por lo tanto el usuario si
se descarga un archivo infectado del servidor no va estar protegido por
el fortigate xq el equipo solo ve trafico encriptado

SSL Certificate Inspection

--------------------------
Fortigate utiliza la indicación del nombre del servidor (SNI) para
discernir el nombre de host del servidor SSL al comienzo del
protocolo de enlace SSL.
si no hay SNI, Fortigate mira los campos de asunto y nombre
alternativo del asunto
La única característica de seguridad que puede aplicar utilizando el modo
de inspección de certificados SSL es el filtrado web
si bien ofrece cierto nivel de inspección de certificados de
seguridad, no permite la inspección de datos cifrados

Full SSL Inspection on Outbound Traffic

---------------------------------------
el certificado emitido por fortigate debe tener el nombre de dominio de
destino (en este ejemplo, www.ex.ca)

Full SSL Inspection on Inbound Traffic

--------------------------------------
Un usuario de Internet intenta conectarse a un servidor protegido
La conexión SSL se divide en dos, ambas terminan en fortigate
Fortigate proxies el tráfico SSL
La clave privada del certificado del servidor y la cadena de
certificados deben instalarse en Fortigate
Fortigate presenta el certificado firmado al usuario en
nombre del servidor

###################
MODOS DE INSPECCION
###################
en esta clase se estara inspeccionando los diferentes modos que se puede programar
en una politica.
si trabajan con versiones anteriores a la version fortios 6.4 la opcion Inspection
Mode lo encontraran en system settings y es una configuracion global quiere decir
que solo lo pueden configurar ahi y aplicara a todas las politicas pero a partir de
la version 6.4 hacia delante paso a ser local en cada politica de tal forma que se
puede configurar en este modo

Flow-based: es el modo mas ligero para el fortigate ya que no consume

tantos recursos, lo que hace en este proceso es analizar el trafico en la
medida que este atraviesa la policy sin realizar ninguna tarea de proxy y
ningun cache al ser una inspeccion mas ligera

Proxy-based: se tiene un proxy habilitado en el medio que va ir cacheando el

trafico que atravieza la politica y analizando mas en detalle esto va reducir
los casos de falso positivo pero tambien va presentando mas consumo del
procesador para nuestra unidad y los usuarios tambien pueden sentir una cierta
degradacion del servicio ya que los paquetes deben pasar por un proxy y un
analisis antes que lleguen al destino, otra caracteristica esque los perfiles
de seguridad que se configuren en flow based se aplican en mismo tiempo

###################
APPLICATION CONTROL
###################

Son capaces de detectar el trafico de aplicaciones que pasan por la politica de

esta manera podemos detectar trafico de aplicaciones como facebook skype etc, lo
que el aplication control esta detectando es el patron de trafico conocido por cada
aplicacion para esto fortigate tiene una base de datos local en el equipo y que se
actualiza constantemente desde los servicios de fortigate cuando tenemos una
sucripcion de esta manera tenemos una base local de estos patrones de trafico
conocidos que se actualizan constamente incluso es capaz de detectar estos patrones
aun cuando los usuarios quieren esquivar estos controles utilizando un proxy
externo, este se basa en el motor IPS y solamente utiliza el modo de inspeccion
flow based

#########
ANTIVIRUS
#########

Fortigate ofrece una suscripcion de antivirus que se puede utilizar en los firewall
fortigate este servicio se encarga de proteger contra virus malware y ataques de
dias cero, este perfil de seguridad trabaja en 3 pasos ordenados :
El primer paso es el SCANEO ANTIVIRUS, donde en este
proceso se detecta o elimina cualquier malware en tiempo real
impidiendo que se exparsa la amenaza a los usuarios de nuestra red

El segundo paso es el analisis de GRAYWARE donde el fortigate es

capaz de detectar y bloquear las peticiones de programas que tengamos
instalados en nuestras computadoras pero que no ayamos tenido nosotros
la intencion de instalar programas sin solicitar

El tercer paso es el SCANEO MACHINE LEARNING, este modelo es

entrenado en los laboratorios de fortigate y agrega deteccion de
malware en tiempo real mitigando procesos de ataque de dias cero

todos estos servicios trabajan con una base de datos localmente en el fortigate
tenemos la base de datos de virus malware y por defecto la base de datos que se
tiene es la extendida y tambien la extreme, para activarlo ejecutar el comando :
config antivirus settings
set use-extreme-db |enable - disable|
end

pagina para testear el antivirus : eicarg.org

########################
INTRUCCION | PREVENTION
########################

Anomaly : puede ser ataque de dias cero o un ataque de denegacion de servicio DOS,
estos ataques solo se pueden detectar realizando un analisis del comportamiento del
trafico y esto es comparado con firmas de IPS que se tiene en la base de datos de
fortigate tambien son comparados contra nuestras politicas anti denegacion de
servicios y mediante la inspeccion de protocolos. (analisis del comportamiento)

ejemplo: ataque DOS/flood

Exploit : ataques confirmados y bien conocidos y estos son detectados cuando el

trafico o algun archivo hacen match con el patron de firmas de algunos de estos
motores del IPS WAF ANTIVIRUS. (se hacen match con algun patron conocido con la
base de datos)

===
IPS
===
este perfil de seguridad trabaja en modo flow based y se encargar de
detectar y bloquear exploit conocidos y anomalias en nuestra red los
componentes del IPS son la base de datos del ips, los codificadores de
protocolos

##############
WEB FILTERING
##############
- Mitigar los negativos del contenido inapropiado que existe en internet
- preservar la productividad de los empleados
- prevenir la congestion de nuestra red
- prevenir la perdida de datos y la exposicion de datos confidenciales de
internet
- disminuir la exposicion de amenazas que se encuentran en nuestra web
- prevenir las vibraciones de copyraid al bloquear la categorias de sitios en
los cuales los usuarios pueden descargar material que tengan copyraid y prevenir
el material ofensivo o inapropiado

FortiGuard Category Filter

--------------------------
- dividir en múltiples categorías y subcategorías
- lanzamiento de nuevas categorías y subcategorías
compatibles con actualizaciones de firmware
- el firmware anterior tiene nuevos valores asignados a las
categorías existentes

- conexión en vivo a fortiguard

- contrato activo requerido
- período de gracia de dos días al vencimiento

- puede usar fortimanager en lugar de fortiguard

------------------------
Para configurar hostname
------------------------
config system global
set hostname _____
end

----------------------
Cambiar a modo switch
----------------------

config system global

set internal-switch-mode switch
------------------------
Cambiar a modo interface
------------------------

config system global

set internal-switch-mode interface

------------------
Para ver tabla ARP
------------------

FortiGate-VM64 # get system arp

Address Age(min) Hardware Addr Interface
192.168.1.1 0 b4:ee:b4:7f:11:da port1
10.131.141.50 0 00:50:56:c0:00:0a port10

-------------------------------------
Cambiar el password del administrador
-------------------------------------

SITE-A # config system admin

SITE-A (admin) # edit admin

SITE-A (admin) # set password ....

---------------------
aclaracion importante
---------------------
la licencia de evaluacion permite crear 10 politicas

--------------------------
Para tabla de enrutamiento
--------------------------

SITE-A # get router info routing-table

details show routing table details information
all show all routing table entries
rip show rip routing table
ospf show ospf routing table
bgp show bgp routing table
isis show isis routing table
static show static routing table
connected show connected routing table
database show routing information base

SITE-A # get router info routing-table all

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

Routing table for VRF=0

S* 0.0.0.0/0 [15/0] via 180.45.22.2, port3
C 10.0.1.0/24 is directly connected, port4
C 180.45.22.0/30 is directly connected, port3
C 192.168.1.0/24 is directly connected, port1

SITE-A # get router info routing-table database

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

Routing table for VRF=0

S *> 0.0.0.0/0 [15/0] via 180.45.22.2, port3
S 0.0.0.0/0 [10/0] via 200.212.31.2, port2 inactive
C *> 10.0.1.0/24 is directly connected, port4
C *> 180.45.22.0/30 is directly connected, port3
C *> 192.168.1.0/24 is directly connected, port1

--------------
Para Monitoreo
--------------

SITE-A # get router info routing-table details

distance = distancia
weight = peso
priority = prioridad

Routing table for VRF=0

S* 0.0.0.0/0 [10/0] via 200.212.31.2, port2
C 10.0.1.0/24 is directly connected, port4
S 10.0.2.0/24 [10/0] via 172.20.0.2, port7
C 172.20.0.0/30 is directly connected, port7
C 180.45.22.0/30 is directly connected, port3
C 192.168.1.0/24 is directly connected, port1
C 200.212.31.0/30 is directly connected, port2

SITE-A # get router info routing-table database

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

Routing table for VRF=0

S 0.0.0.0/0 [15/0] via 180.45.22.2, port3
S *> 0.0.0.0/0 [10/0] via 200.212.31.2, port2
C *> 10.0.1.0/24 is directly connected, port4
S *> 10.0.2.0/24 [10/0] via 172.20.0.2, port7
C *> 172.20.0.0/30 is directly connected, port7
C *> 180.45.22.0/30 is directly connected, port3
C *> 192.168.1.0/24 is directly connected, port1
C *> 200.212.31.0/30 is directly connected, port2
SITE-A # get router info routing-table database
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

Routing table for VRF=0

S *> 0.0.0.0/0 [15/0] via 180.45.22.2, port3
S 0.0.0.0/0 [10/0] via 200.212.31.2, port2 inactive
C *> 10.0.1.0/24 is directly connected, port4
S *> 10.0.2.0/24 [10/0] via 172.20.0.2, port7
C *> 172.20.0.0/30 is directly connected, port7
C *> 180.45.22.0/30 is directly connected, port3
C *> 192.168.1.0/24 is directly connected, port1

-------------
Para filtrar
-------------

SITE-A # show system interface | grep -f "______"

nombre

ejemplo

SITE-A # show system interface | grep -f "port1"

config system interface
edit "port1" <---
set vdom "root"
set ip 192.168.1.22 255.255.255.0
set allowaccess ping https ssh http fgfm
set type physical
set alias "MGMT"
set device-identification enable
set lldp-transmission enable
set role lan
set snmp-index 1
set dns-server-override disable
next
edit "port10" <---
set vdom "root"
set type physical
set snmp-index 10
next
end

SITE-A # show | grep -f "SITE-A"

config system global
set admintimeout 480
set alias "FortiGate-VM64-KVM"
set autorun-log-fsck enable
set hostname "SITE-A" <---
set timezone 11
end
SITE-A #

SITE-A # show | grep -if port1

config system interface
edit "port1" <---
set vdom "root"
set ip 192.168.1.17 255.255.255.0
set allowaccess ping https http telnet
set type physical
set snmp-index 1
next
edit "port10" <---
set vdom "root"
set type physical
set snmp-index 10
next
end

----------------
Para hacer ping
----------------

SITE-A # execute ping-options view-settings

Ping Options:
Repeat Count: 5
Data Size: 56
Timeout: 2
Interface: auto
Interval: 1
TTL: 64
TOS: 0
DF bit: unset
Source Address: auto
VRF: 0
Pattern:
Pattern Size in Bytes: 0
Validate Reply: no
Adaptive Ping: disable
Use SD-WAN: no

Default Ping Options:

Repeat Count: 5
Data Size: 56
Timeout: 2
Interval: 1
Interface: auto
TTL: 64
TOS: 0
DF bit: unset
Source Address: auto
VRF: 0
Pattern:
Pattern Size in Bytes: 0
Validate Reply: no
Adaptive Ping: disable
Use SD-WAN: disable
SITE-A # execute ping-options
adaptive-ping Adaptive ping <enable|disable>.
data-size Integer value to specify datagram size in bytes.
df-bit Set DF bit in IP header <yes | no>.
interface Auto | <outgoing interface>.
interval Integer value to specify seconds between two pings.
pattern Hex format of pattern, e.g. 00ffaabb.
repeat-count Integer value to specify how many times to repeat PING.
reset Reset settings.
source Auto | <source interface IP>.
timeout Integer value to specify timeout in seconds.
tos IP type-of-service option.
ttl Integer value to specify time-to-live.
use-sdwan Use SD-WAN rules to get output interface <yes | no>.
validate-reply Validate reply data <yes | no>.
view-settings View the current settings for PING option.

-----------------------------
Para configurar vpn-ipsec
-----------------------------

SITE-A # config vpn ipsec phase1-interface

-------------------------------
Para colocar nombre al hostname
-------------------------------

FortiGate-VM64-KVM # config system global

FortiGate-VM64-KVM (global) # set hostname Fortigate

FortiGate-VM64-KVM (global) # end

------------------------------
Para ver tabla de enrutamiento
------------------------------

FortiGate-VM64-KVM # get router info routing-table all

---------------------------
Para ver estado de Firewall
----------------------------

SITE-A # get system status

SITE-B (interface) # edit port3

SITE-B (port3) # next ---> para regresar atras

SITE-B (interface) #

-------------
WARNING : File system check Recommended! an unsafe reboot may have caused an inco
no fue apagado o reiniciado de forma correcta

SITE-B # execute disk list

Disk Virtual-Disk ref: 16 30.0GiB type: IDE [Virtio Disk] dev: /dev/vdb
partition ref: 17 29.5GiB, 29.4GiB free mounted: Y label: LOGUSEDXE8238FE7
dev: /dev/vdb1 start: 2048

SITE-B # execute disk scan 17

scan requested for: device=/dev/vdb1 17/Virtual-Disk status=enable media-
status=enable
This action requires the unit to reboot.
Do you want to continue? (y/n)y

Performing scan on the requested disk(s) and rebooting, please wait...

SITE-B # Scanning the disk...

- unmounting /data2 : ok
- unmounting /var/log : ok
Scanning /dev/vdb1. Please wait ...
Scanning /dev/vdb1... (100%)
done.

-------
PARA PC
--------
route add 192.168.99.0 mask 255.255.255.240 192.168.254.3
............ .............
segmento de red destino ip del siguiente salto

El comando show nos muestra los valores de las variables que fueron cambiados y que
ya no son los valores por defecto

El comando get es para ver todas las configuraciones posibles en algun menu