Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 50 vistas

    Lab 02

    Cargado por

    Sheyson Sanchez Suarez
    Este documento describe los pasos para habilitar el funcionamiento de Security Fabric entre dos firewalls FortiGate virtuales (SITE-1 y SITE-2) y establecer la conectividad entre una máquina virtual Ubuntu y un cliente Windows XP a través de ellos. Los pasos incluyen desplegar y configurar los firewalls, mapear sus interfaces de red, verificar la conectividad entre ellos, configurar DHCP, políticas de seguridad y rutas estáticas para permitir el tráfico entre los hosts a través de la topología definida.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Lab 02

    Cargado por

    Sheyson Sanchez Suarez
    50 vistas32 páginas
    Este documento describe los pasos para habilitar el funcionamiento de Security Fabric entre dos firewalls FortiGate virtuales (SITE-1 y SITE-2) y establecer la conectividad entre una máquina virtual Ubuntu y un cliente Windows XP a través de ellos. Los pasos incluyen desplegar y configurar los firewalls, mapear sus interfaces de red, verificar la conectividad entre ellos, configurar DHCP, políticas de seguridad y rutas estáticas para permitir el tráfico entre los hosts a través de la topología definida.

    Descripción original:

    nse4 lab

    Título original

    LAB_02

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe los pasos para habilitar el funcionamiento de Security Fabric entre dos firewalls FortiGate virtuales (SITE-1 y SITE-2) y establecer la conectividad entre una máquina virtual Ubuntu y un cliente Windows XP a través de ellos. Los pasos incluyen desplegar y configurar los firewalls, mapear sus interfaces de red, verificar la conectividad entre ellos, configurar DHCP, políticas de seguridad y rutas estáticas para permitir el tráfico entre los hosts a través de la topología definida.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    50 vistas32 páginas

    Lab 02

    Cargado por

    Sheyson Sanchez Suarez
    Este documento describe los pasos para habilitar el funcionamiento de Security Fabric entre dos firewalls FortiGate virtuales (SITE-1 y SITE-2) y establecer la conectividad entre una máquina virtual Ubuntu y un cliente Windows XP a través de ellos. Los pasos incluyen desplegar y configurar los firewalls, mapear sus interfaces de red, verificar la conectividad entre ellos, configurar DHCP, políticas de seguridad y rutas estáticas para permitir el tráfico entre los hosts a través de la topología definida.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 32

    Laboratorio No.

    2
    Habilitar Security Fabric

    PROCEDIMIENTO

    A. Habilitar el funcionamiento de Security Fabric

    INTERNET

    ROUTER

    VMNET0 VMNET0

    SITE1 port1
    10.15.17.0/30
    port1 SITE2
    1024 Mb 1024 Mb
    .1 port5

    FW1 port5 VMNET4 .2


    FW2

    port3 port2

    10.2.100.1/24 10.1x.1x.1/24
    VMNET2 VMNET1

    Ubuntu Security
    Fabric
    http tcp80
    rdp tcp3389
    ssh tcp22
    512 Mb ftp tcp20/21 512 Mb
    WIN-XP

    En este Laboratorio, usted comprenderá de una manera rápida y concisa cómo


    configurar el funcioamiento de Security Fabric y que le pemite visualizar cuando la
    integración esta efectuada.

    Para este laboratorio requerimos el uso de los siguientes elementos:


    - Firewall FortiGate definido como SITE-1
    - Firewall FortiGate definido como SITE-2
    - Maquina virtual WINXP
    - Maquina virtual Ubuntu-GUI

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -1-
    1. Habilitar el firewall SITE-1
    Realice el procedimiento de despliegue del firewall virtual FortiGate

    Establezca el nombre SITE-1 a la maquina virtual a desplegar:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -2-
    Aguarde hasta que el Firewall con nombre SITE-1, inicie:

    Ahora procedera a activar la zona de almacenamiento de eventos:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -3-
    Finalmente, el firewall estara listo para ser configurado:

    2. Habilitar el firewall SITE-2


    Repita el procedimiento anterior para activar el Firewall con nombre SITE-2

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -4-
    3. Configure los equipos SITE-1 y SITE-2
    Asegurese de tener gestion de los equipo FortiGate SITE-1 y SITE-2, para lo cual por
    defecto el puerto port1, esta asociado a la interface vmnet0 (brigde) y con la funcion de
    cliente DHCP, el cual dependiendo de las facilidades de su red, obtendra una direccion
    IP de su red local (la que utiliza para conectarse a Intenet en su casa).

    Para verificar que direccion IP ha obtenido por DHCP la interface del Firewall virtual,
    ejecute el siguiente comando dentro del Firewall:

    #get system interface physical

    Repita el comando anterior, pero sobre el otro firewall:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -5-
    Ingrese a la gestion administrativa mediante el browser, recuerde ingresar con http de la
    siguiente forma –tener en cuenta que es un ejemplo, ya que debe estar acorde a las
    facilidades de su red-:

    Ingresar http://10.129.132.203

    Ingresar http://10.129.132.206

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -6-
    Habilite el mapeo de las interfaces de acuerdo a la topologia mostrada:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -7-
    Establezca el nombre de hostname correspondiente al equipo que va a gestionar, para lo
    cual dirijase a la opcion System + Settings + Hostname

    Repita lo anterior, pero ahora sobre el Firewall SITE-2

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -8-
    Habilite las etiquetas correspondientes al servicio, en este caso tome en consideracion
    los siguientes datos:

    SITE-1 Alias IP/Mask Vmware


    port1 WAN Obtenida por DHCP Vmnet0
    port5 MPLS 10.15.17.1/30 Vmnet5
    port3 SERVER 10.2.100.1/24 Vmnet2

    SITE-2 Alias IP/Mask Vmware


    port1 WAN Obtenida por DHCP Vmnet0
    port5 MPLS 10.15.17.2/30 Vmnet5
    port2 LAN 10.1X.1X.1/24 Vmnet1

    Dirijase a la siguiente opcion: Network + Interfaces sobre el firewall SITE-1

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    -9-
    Dirijase a la siguiente opcion: Network + Interfaces sobre el firewall SITE-2

    Verifique conectividad por el puerto port5 entre ambos firewalls:

    Desde el firewall SITE-1


    #execute ping 10.15.17.2

    Desde el firewall SITE-2


    #execute ping 10.15.17.1

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 10 -
    Configure el servicio DHCP sobre la interface port2 (LAN) del firewall SITE-2:

    Complete con los datos que se visualizan en la siguiente imagen (pero respetando los
    parametros de red que se le fue compartido)

    Verifique que el cliente WINXP ha obtenido los parametros de acuerdo a lo


    configurado:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 11 -
    Desde el Firewall SITE-2, dirijase a la opcion: Monitor + DHCP Monitor:

    Ingrese a la maquina virtual Ubuntu-GUI y aperture un terminal, la clave de acceso es


    gestion y ejecute los comandos:

    #ifconfig ens33

    #ifconfig ens34

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 12 -
    Configure la direcion IP 10.2.100.100 a la interface ens33:

    Confirme los parametros ingresados y la conectividad hacia el Firewall SITE-1

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 13 -
    - Existe conectividad hacia entre el servidor Ubuntu y el WinXP?

    - Y del XP hacia el servidor Ubuntu?

    - Por que no ocurre esa conectividad?

    - Que tendria que aplicar?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 14 -
    4. Interconectemos los equipos Ubuntu y WINXP
    Asegurese de tener configurado las interfaces para garantizar la conectividad “fisica”.

    SITE-1 Alias IP/Mask Vmware


    port1 WAN Obtenida por DHCP Vmnet0
    port5 MPLS 10.15.17.1/30 Vmnet5
    port3 SERVER 10.2.100.1/24 Vmnet2

    SITE-2 Alias IP/Mask Vmware


    port1 WAN Obtenida por DHCP Vmnet0
    port5 MPLS 10.15.17.2/30 Vmnet5
    port2 LAN 10.1X.1X.1/24 Vmnet1

    En el Firewall SITE-1

    Configure la politica de seguridad correspondiente para alcanzar al cliente WinXP.

    SITE1 port1
    1024 Mb
    .1
    port5
    FW1

    port3

    10.2.100.1/24
    VMNET2

    Ubuntu
    http tcp80
    ssh tcp22
    512 Mb

    De acuerdo al grafico el origen es el puerto port3 y el destino seria el puerto port5,


    permita todos los servicios. Dirijase a Policy & Objects + IPv4 Policy

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 15 -
    Detalle de la politica configurada, note que no tiene NAT activado.

    - Con lo aplicado, tiene conectividad hacia el cliente WINXP?

    - Que cree que estaria faltando?

    En el Firewall SITE-1

    Configuremos una ruta estatica para poder alcanzar a la red del firewall del SITE-2. En
    este caso la red destino (en donde se encuentra el cliente WINXP) es 10.130.130.0/24
    (respete la red que se le indico para el programa NSE4)

    Dirijase a Network + Static Routes:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 16 -
    Detalles de la ruta estatica configurada:

    - Con lo aplicado, tiene conectividad hacia el cliente WINXP?

    - Que cree que estaria faltando?

    En el Firewall SITE-2

    Configure la politica de seguridad correspondiente para alcanzar al servidor Ubuntu.

    port1 SITE2
    1024 Mb
    port5
    .2
    FW2

    port2

    10.1x.1x.1/24
    VMNET1

    rdp tcp3389
    ftp tcp20/21 512 Mb
    WIN-XP

    De acuerdo al grafico el origen es el puerto port2 y el destino seria el puerto port5,


    permita todos los servicios.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 17 -
    Dirijase a Policy & Objects + IPv4 Policy y configure de acuerdo al grafico mostrado:

    Detalles de la politica configurada, note que tiene el NAT desactivado.

    - Con lo aplicado hasta este momento, tiene conectividad hacia desde el servidor
    Ubuntu hacia el cliente WINXP?

    - Que cree que estaria faltando?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 18 -
    En el Firewall SITE-2

    Configuremos una ruta estatica default para poder alcanzar a las redes del firewall del
    SITE-1 y el Internet en general.

    Dirijase a la opcion Network + Static Routes, configure la ruta pero con distancia
    administrativa 2.

    - Con lo aplicado hasta este momento, tiene conectividad hacia desde el servidor
    Ubuntu hacia el cliente WINXP?

    - Que cree que estaria faltando?

    En el Firewall SITE-2

    Configure una politica de seguridad adicional para permitir las conexiones generadas
    por las redes del firewall SITE-1 hacia la red del firewall SITE-2.

    En este caso el origen seria el puerto port5 hacia el puerto port2.

    - Con lo aplicado hasta este momento, tiene conectividad hacia desde el servidor
    Ubuntu hacia el cliente WINXP?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 19 -
    En el servidor Ubuntu:

    Ingrese a la plataforma

    - Verifique la conectividad desde el Ubuntu hacia el cliente WINXP

    - Verifique el acceso al escritorio remoto del clietne WINXP, utilice el siguiente


    comando en el Ubuntu: rdesktop -g 80% 10.130.130.200

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 20 -
    En el clietne WINXP:

    Verifique conectividad hacia el servidor Ubuntu:

    - Alcanza al servidor Ubuntu?

    - Por que no logra conectarse al servidor Ubuntu?

    Como se ha dado cuenta, la conexión solo se evidencia desde el servidor Ubuntu hacia
    el cliente WINXP, por lo que faltaria agregar una politica de seguridad. Sabe en donde?

    En el Firewall SITE-2

    Configuremos una politica de seguridad adicional, en este caso recibiremos conexiones


    del SITE-2 hacia el SITE-1.

    Tome en cuenta el origen de las interfaces:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 21 -
    Detalle de la politica de seguridad configurada:

    - Alcanza al servidor Ubuntu?

    - Verifique conectividad con los siguientes servicios hacia el servidor Ubuntu


    (10.2.100.100):

    o ICMP

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 22 -
    o SSH

    Las credenciales de acceso son:


    - Usuario: gestor
    - Contrasena: gestion

    Estando en la sesion SSH, ejecute el comando “top”

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 23 -
    o HTTP

    Desde el browser Firefox, ingrese al siguiente URL http://10.2.100.100/

    Con lo actualmente configurado, Ud tiene una conectividad bi-direccional entre el


    SITE-1 y SITE-2. Pero para visualizar lo que ocurre en la red en general Ud, tiene que
    ingresar a cada equipo para visualizar los elementos de la red que generan trafico.

    Ingrese a la opcion Security Fabric + Physical Topology:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 24 -
    Repita el paso anterior, pero sobre el Firewall SITE-2:

    5. Habilitar Security Fabric


    Ahora procederemos a activar la integracion del Fabric con la integracion entre ambos
    Firewall SITE-1 y SITE-2.

    - Que tendria que realizar para que el cliente WINXP pueda alcanzar a Internet?.
    Tenga en cuenta que la salida de Internet la debe realizar por medio del Firewall
    SITE-1

    En el Firewall SITE-1
    Configure una politica de seguridad adicional, en este caso recibiremos conexiones del
    SITE-2 y lo enviaremos hacia Internet el SITE-1.

    Como deberia estar activada la politica?

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 25 -
    Detalles de la politica de seguridad configurada:

    - Confirme en la estacion WINXP si tiene salida a Internet

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 26 -
    - Ahora verifique el resultado del contenido de la pagina mostrada en el URL
    http://10.2.100.100

    Notara que le muestra la direccion IP publica con la que accede a Internet.

    - Ahora verifique si puede salir a Internet.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 27 -
    Ahora a habilitar el Fabric!. Ubiquese en el Firewall SITE-1 y active la opcion de
    Security Fabric mediante la opcion: Security Fabric + Settings:

    En la configuracion anterior se ha puesto el valor de un servidor FortiAnalyzer con IP


    10.20.30.100. Este valor es ficticio ya que el Security Fabric requiere de un
    FortiAnalyzer (FAZ). En el paso anterior, despues de presionar el boton Ok, se le
    mostrara la siguiente imagen:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 28 -
    Ubiquese en el Firewall SITE-2 y habilite la configuracion anterior pero con las
    siguientes opciones, indicadas en los recuadros de color azul.

    Ubiquese en el Firewall SITE-1 y confirme si el equipo SITE-2, aparece en la lista del


    fabric.

    Notara que no aparece el equipo SITE-2.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 29 -
    La importancia de la funcionalidad de Telemetry en las interfaces port5 de cada
    Firewall.

    Aguarde unos minutos e ingrese al Firewall SITE-1 y notara que aparece lo siguiente:

    Ubique su cursor, sobre el numero de serie resaltado y le da la opcion Authorize:

    Una vez aprobado, tendra el siguiente detalle:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 30 -
    Ahora procedamos a verificar la visibilidad del Security Fabric:

    Habilite la salida a Internet para el servidor Ubuntu.

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 31 -
    Desde el firewall SITE-1, Ud podra ver la actividad del SITE-2:

    Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/


    - 32 -

    También podría gustarte