0. Despliegue

Sabores

Los siguientes sabores de Openstack están disponibles para los firewalls de virtuales de FortiGate.

bor	vCPU	RAM	Disco SSD	Firewall Policies	Max FortiTokens	Max Endpoints
fw.vm00	1	2GB	32 GB	10.000	1000	200
fw.vm01	1	4GB	32 GB	10.000	1000	2000
fw.vm02	2	6GB	32 GB	10.000	1000	2000
fw.vm04	4	6GB	32 GB	10.000	5000	8000
fw.vm08	8	12GB	32 GB	200.000	5000	20000

Los firewalls virtuales al no disponer de HW especifico para su funcionamiento emulan todo vía software.

La carga de CPU final dependerá de los servicios activados y sistemas de inspección usados en el firewall virtual.

Red "Publica" "Privada" e IP Flotante.

Nuestra recomendación es desplegar firewall inicialmente con una red privada para el que actuara de pasarela entre la red publica y la red privada final.

Info

El puerto de la red perimetral del firewall (PORT1) debe tener permitido todo el TRAFICO TCP/UDP/ICMP en los grupos de seguridad de OPENSTACK. Debes crear una regla para permitir todo el trafico hasta tu firewall.

Acabando con este workflow de red:

Router -> IPv4 -> Red Privada FW (Port1) -> Firewall Virtual -> Red Privada FW (Port2) -> Instancias

Una vez tengamos el firewall licenciado y configurado el PORT1 agregar a nuestra instancia una segunda interfaz de red en la red de las INSTANCIAS

Grupos de seguridad

Para evitar problemas de entrada/salida de trafico se recomienda crear un grupo de seguridad que permita el acceso de TODOS los protocolos hacia el firewall virtual.

Ya que se encargará de filtrar todo el trafico de nuestras instancias.

Aun así, podremos limitar perimetralmente que trafico queremos que llegue a nuestra instancia virtual.

Pero deberemos tener una sincronización perfecta entre los grupos de seguridad y las políticas del firewall.

1. Primeros pasos

Introducción

Openstack dispone de una consola virtual en todas las instancias en la cual deberemos acceder para configurar el primer puerto de nuestro firewall virtual.

Esta conexión es similar a los puertos de serie de las unidades de fortigate física. Antes de que puedas acceder a la interfaz web, deberás configurar el puerto 1 de tu FortiGate con una dirección IP.

Genérate una tabla con los siguientes datos adaptados a tu cloud de Openstack de tu appliance nosotros usaremos durante el tutorial los siguientes:

IPv4 Publica

IPv4 Privada

Gateway

DNS1

DNS2

FQDN

Información

Te recomendamos que en tu servidor DNS o proveedor DNS generes una entrada tipo vpn.TUDOMINIO.com , siendo un registro de TIPO A, apuntando a la IP publica del firewall.

Esto te ayudara enormemente con los usuarios finales.

1. Configurando el puerto 1

1. Accede a la consola mediante openstack , pulsa Enter para iniciar el login
   
2. El usuario por defecto es admin y no tiene contraseña por defecto. Pulsa Enter
   
3. Usando el CLI, vamos a configurar el puerto 1 con la IP y la mascara de red.
   

Ejemplo:

       config system interface

       edit port1

       set mode static

       set ip 192.168.0.100 255.255.255.0

       append allowaccess http

       next

       end

2. Configura la puerta de acceso por defecto

       config router static

       edit 1

       set device port1

       set gateway 192.168.0.1

       next

       end

Debes configurar una puerta de enlace con una IPv4 valida ya que el appliance debe validar tu licencia externamente.

3. Configura los DNS externos

       config system dns

       set primary 8.8.8.8

       set secondary 1.1.1.1

       end

2. Instalación Licencia

Instalación de la licencia

Los firewalls virtuales fortigate se aprovisionan automáticamente con una licencia provisional de 15 días. Esta licencia no es funcional por ello debemos instalar nuestra licencia definitiva siguiendo los siguientes pasos:

Antes de seguir este paso necesitaremos el fichero de licencia .lic que a la hora de contratar el servicio te proporcionaremos.

1. Comprobación de la licencia

Nos dirigimos en nuestra interfaz web a System -> Fortiguard 

Ahora debemos pulsar en FortiGate VM - License 

2. Subir licencia de FortiGate VM

Ahora pulsamos en UPLOAD y seleccionamos el fichero .lic 

Una vez actualizado el fichero de licencia el firewall se reiniciará automáticamente y realizará la comprobación de la licencia.

En este reinicio activara todos los servicios incluidos en la licencia.

3. Test Conectividad

Para comprobar que los anteriores pasos han sido de forma correcta recomendamos realizar los siguientes PING:

Estos comandos deben ejecutarse desde la consola virtual de Openstack.

1. Comprobación trafico externo (DNS Externa)

Ejecuta el siguiente comando

execute ping 1.1.1.1

Respuesta:

PING 1.1.1.1 (1.1.1.1): 56 data bytes

64 bytes from 1.1.1.1: icmp_seq=0 ttl=60 time=0.8 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=60 time=0.7 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=60 time=1.0 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=60 time=1.2 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=60 time=0.9 ms
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.7/0.9/1.2 ms

2. Comprobación trafico interno (Router)

Ejecuta el siguiente comando

execute ping 192.168.0.1

Respuesta:

PING 192.168.0.1 (192.168.0.1): 56 data bytes

64 bytes from 192.168.0.1: icmp_seq=0 ttl=60 time=0.8 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=60 time=0.7 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=60 time=0.9 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=60 time=1.0 ms
64 bytes from 192.168.0.1: icmp_seq=4 ttl=60 time=0.9 ms
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.7/0.9/1.0 ms

Info

Este comando debe ser adaptado al gateway de tu red.

6.1. Introducción

Introducción

Asegurar el acceso remoto a los recursos de la red es una parte crítica de las operaciones de seguridad. SSL VPN permite a los administradores configurar, administrar e implementar una estrategia de acceso remoto para sus trabajadores remotos.

La elección del modo correcto de operación y la aplicación de los niveles de seguridad adecuados son esenciales para proporcionar un rendimiento y una experiencia de usuario óptimos, y mantener seguros sus datos de usuario.

Las siguientes pautas describen cómo seleccionar el modo VPN SSL correcto para su implementación y emplear las mejores prácticas para garantizar que sus datos estén protegidos

6.2. Usuarios y Grupos

Creación de usuarios y grupos

El primer paso para un túnel SSL VPN es agregar los usuarios y grupos de usuarios que accederán al túnel.

Es posible que ya tenga usuarios definidos para otras políticas de seguridad basadas en autenticación.

- Creación de usuario:

En la interfaz grafica dirígete a User & Device > User Definition y pulsa en Create New

A la hora de crear el usuario selecciona Local User y completa el formulario guiado.
Este paso tendrás que repetirle tantas veces como usuarios tengas.
Por seguridad asigna un usuario virtual a un usuario físico y no permitas que múltiples usuarios usen el mismo login de acceso.

- Creación del grupo:

En la interfaz dirígete a User & Device > User Groups y pulsa Create new

Crea el grupo SSL_VPN_GROUP y añade todos los usuarios creados con anterioridad al grupo.

6.3. Rango IP SSL VPN

Asignación rango de red para túnel VPN SSL

Después de autentificar al usuario, Fortigate asignara una IP al cliente VPN SSL del usuario para la sesión. Estas IP's son asignadas de un pool previamente definido por el administrador.

• Ve a Policy & Objects > Addresses y seleciona Create New
  
• Crea el objeto con el nombre SSL_VPN_tunnel_range.
  
• Selecciona IP Range.
  
• En el campo Subnet/IP Range, introduce el rango de IP inicial y final disponible 10.254.254.80 - 10.254.254.100. (20 IP's Disponibles)
  
• En Interface, selecciona Any.
  
• Pulsa OK.
  

6.4. Portal VPN SSL

Use un certificado SSL que no sea de fábrica para el portal VPN SSL

Su certificado debe identificar su dominio para que un usuario remoto pueda reconocer la identidad del servidor o portal al que está accediendo.

La compra de un certificado de servidor de una CA confiable permite a los usuarios remotos conectarse a SSL VPN con confianza.

Habilitar la opción No advertir certificado de servidor no válido deshabilita el mensaje de advertencia del certificado, lo que potencialmente permite a los usuarios conectarse accidentalmente a servidores no confiables.

Warning

No se recomienda deshabilitar las advertencias de certificados de servidor no válidos.

Permitir inicio de sesión único por usuario.

Puede configurar el túnel VPN SSL de modo que cada usuario solo pueda iniciar sesión en el túnel una vez simultáneamente por usuario por inicio de sesión.
Es decir, una vez que inician sesión en el portal, no pueden ir a otro sistema e iniciar sesión con las mismas credenciales nuevamente.

Para permitir un inicio de sesión único por usuario - GUI:

Vaya a VPN > Portales SSL-VPN, seleccione un portal y habilite Limitar usuarios a una conexión SSL-VPN a la vez.
Está deshabilitado por defecto.

VPN SSL Portals

El SSL VPN Portal habilita a los usuarios a acceder a los recursos internos de la red y a la descarga del software de conexión de forma segura.

6.5. SSL VPN Sec Policy

Ahora vamos a crear una política de seguridad para permitir el acceso en modo túnel. Necesitaras una política que PERMITA el trafico desde el túnel VPN SSL hacia las redes protegidas.

La política de seguridad de VPN SSL especificara:

• La interfaz de entrada "incoming" que corresponde a la interfaz ssl.root.
  
• El grupo de usuarios VPN que puede usar la política de seguridad en nuestros ejemplos "SSL_VPN_GROUP"
  
• La franja horaria donde los usuarios pueden acceder a los servicios (Opcional).
  
• Servicios UTM y registro de eventos aplicados a la conexión.
  

Creación de la política SSL-VPN desde la GUI:

1. Ve a Policy & Objects > IPv4 Policy y selecciona Create New.
   
2. Complementa la siguiente información:
   

Routing para modo Túnel

Si tu VPN SSL opera en modo túnel, necesitaras una ruta estática para habilitar el trafico desde la red protegida hasta los usuarios de las redes VPN SSL.

Para crearla desde la interfaz:

• Ve a Network -> Static Routes y selecciona Create New.
  
• Introduce la red/mascara de subred de las IPs del túnel que has asignado previamente.
  
• Selecciona la interfaz virtual del tunel SSL para el dispositivo.
  
• Finalmente haz click en OK.
  

En nuestro caso la red y mascara de subred serán:

• 10.254.254.0/24 o 10.254.254.0/255.255.255.0
  

6.6. FortiClient VPN

Ahora que tenemos nuestro acceso seguro mediante túnel VPN SSL configurado vamos a comprobar que funciona.

Para ello accedemos con un navegador web a la IP Publica y al puerto del Portal VPN SSL que configuramos antes, siguiendo el ejemplo serio:

Acceso al portal de VPN SSL

https://10.85.36.2:10443

Ahora deberás acceder con un usuario y contraseña que hayas dado permisos en el grupo SSL_VPN_GROUP.

Si has podido acceder es que has configurado bien los accesos de los portales.

Ahora deberás descargarte el cliente VPN GRATUITO para tu sistema operativo.

URL Descarga

https://forticlient.com/downloads

Realiza la instalación en tu equipo y configura los siguientes parámetros una vez ejecutado el cliente VPN