Nse4 Lab09

Laboratorio No.
9
Operaciones con Control de Aplicaciones
PROCEDIMIENTO
A. Realizaremos el uso de la capacidad de bloqueo de paginas

web y aplicaciones reconocidas mediante el filtro del control
de aplicaciones (Application Control).
1024 Mb
ROUTER VMNET0 port1 FW

port2
512 Mb WIN-XP
Lan
VMNET1
rdp tcp3389
ftp tcp20/21
En este caso para medir el funcionamiento de nuestro control de

aplicaciones, utilizaremos el uso del perfil del control de aplicaciones,
en donde podremos evidenciar el bloqueo al momento de accesar a
recursos HTTP/HTTPS. Dependiendo el caso haremos uso de nuestro
certificado de inspección a profunidad. Para este laboratorio requerimos
de los siguiente elementos:
- Firewall FortiGate
- Estacion cliente WinXP
Configure las interfaces WAN (port1) y LAN (port2), recuerde el valor

de su red en base a su código (si no lo tiene consulte con el instructor)
Interface: port1 (WAN) Interface: port2 (LAN)

IP: Cada participante IP: 10.1X.1X.1/24
Mask: Cada participante Mask: 255.255.255.0
DHCP: Rango 100-150
Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

-1-
Para fines de verificación de los modulos anteriores, configure un NAT
para que pueda accesar mediante RDP y pueda realizar las operaciones
correspondientes con el uso de certificados.
1- Configure objeto VIP (NAT) de acuerdo a los siguientes

detalles:
1.1- Creacion de objeto VIP con el nombre “CLIENTEXP”
1.2- La interface a utilizar será el puerto WAN (port1), utilice la
siguiente dirección IP libre de su red.
1.3- Establezca como dirección externa, la IP WAN de su Firewall
1.4- Establezca como dirección interna, la IP de su Cliente XP
1.5- Habilite la opción port-forwarding
1.6- Seleccione el puerto 3389 como externo
1.7- Seleccione el puerto 3389 como interno
2- Cree la política de seguridad que permita el acceso al objeto

VIP:
2.1- Cree la política que permita el acceso al objeto VIP con el
nombre “CLIENTEXP”
2.2- La política tendrá que ser de WAN  LAN
2.3- Habilite el origen a todos (all)
2.4- Habilite el destino al objeto VIP creado “CLIENTEXP”
2.5- Que se ejecute siembre (Always)
2.6- Habilite el servicio RDP
2.7- Habilite la acción ACCEPT
2.8- Desactive la opción de NAT
2.9- Habilite el registro de toda la actividad (All Sessions)
Para un adecuado manejo de la estación cliente, desde su PC real

conectese por RDP al objeto VIP recientemente creado.
Desde esta sesión RDP se realizaran las operaciones de filtrado web que
se evidenciaran en el cliente WINXP.
Procederemos a crear un filtro web con el nombre WF01, el cual no

deberá tener activado el filtrado basado en categorías.

-2-
3- Creacion de perfil de Control de aplicaciones APP01
3.1- Dirijase a la opción Security Profiles + Application Control y
presione el botón Create New:
3.2- Cree un App Control con el nombre APP01, con las siguientes
opciones, asegurese bloquear las aplicaciones que se muestran
en el siguiente grafico:

-3-
En el mismo perfil, ubique la opción Application and Filter
Overrides y presione el botón + Create
Para finalizar la creación de Override, presione el botón OK.

Y para guardar todos los cambios del perfil APP01, presione
el botón Apply.

-4-
4- Utilizacion del perfil del control de aplicaciones (App Control)
APP01 en la política de salida hacia Internet
4.1- Dirijase a la opción Policy & Objects + IPv4 Policy y ubique
la política con el nombre Salida (la que realizo en la
laboratorio anterior).
4.2- Edite la política seleccionada y dentro del ámbito Security

Profiles, seleccione el modulo Web Filter WF01.
Habilite el uso del certificado de inspección: “certificate-

inspection”
Para guardar los cambios presione el botón OK en la política.

-5-
4.3- Desde la PC WINXP, abra el software browser Firefox y
navegue a los siguientes sitios URL:
http://www.youtube.com/
http://vimeo.com/
http://www.hi5.com/
http://www.facebook.com/
Asegurese de colocar http:// y no https://
Que le aparece como resultado?, por que?

-6-
Como ha notado, las aplicaciones anteriormente indicadas han
sido bloqueadas por el control de aplicaciones.
Si se de cuenta no hemos utilizado el servicio de Web Filter

para esta operación.

-7-
Dirijase a evidenciar los eventos de seguridad generados con
el control de aplicaciones configurado a la siguiente opción:
Log & Report + Application Control:
Observe los eventos que han sido bloqueados.
4.4- Ahora verifiquemos acceso a la aplicación Youtube pero por el

canal de HTTPS, ingrese al siguiente enlace URL:
https://www.youtube.com/
Le muestra el contenido?

-8-
Ahora ingrese a este otro enlace:
https://www.youtube.com/watch?v=UXG3dx7jE4I
Le muestra contenido?
Que aparecen en el registro de eventos del control de

aplicaciones:
Intente el ingreso a los siguientes enlaces URL:
 https://www.facebook.com/
 https://secure.hi5.com/
 https://open.spotify.com/
Si se da cuenta en algunos instantes se visualiza algo y en

otras no.
-9-
4.5- Utilice el certicado “deep-inspection” en la política de
navegación:
Ahora ingrese a los siguientes sitios URL, asegurese de

colocar HTTPS:
 https://www.facebook.com/
 https://open.spotify.com/

- 10 -
Analice los eventos de seguridad generados:

- 11 -
Ingrese al siguiente sitio: https://fortiguard.com/appcontrol
Ingrese la palabra: youtube
Aguarde hasta que aparezca el resultado y notara las

aplicaciones que la referencian.
4.6- Para mejorar el nivel de inspección se puede utilizar el

certificado de inspección profunda.

- 12 -

Nse4 Lab09

Cargado por

Copyright:

Formatos disponibles

Nse4 Lab09

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nse4 Lab09

Cargado por

Copyright:

Formatos disponibles

Laboratorio No.

A. Realizaremos el uso de la capacidad de bloqueo de paginas

ROUTER VMNET0 port1 FW

En este caso para medir el funcionamiento de nuestro control de

Configure las interfaces WAN (port1) y LAN (port2), recuerde el valor

Interface: port1 (WAN) Interface: port2 (LAN)

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

1- Configure objeto VIP (NAT) de acuerdo a los siguientes

2- Cree la política de seguridad que permita el acceso al objeto

Para un adecuado manejo de la estación cliente, desde su PC real

Procederemos a crear un filtro web con el nombre WF01, el cual no

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Para finalizar la creación de Override, presione el botón OK.

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

4.2- Edite la política seleccionada y dentro del ámbito Security

Habilite el uso del certificado de inspección: “certificate-

Para guardar los cambios presione el botón OK en la política.

Asegurese de colocar http:// y no https://

Que le aparece como resultado?, por que?

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Si se de cuenta no hemos utilizado el servicio de Web Filter

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Observe los eventos que han sido bloqueados.

4.4- Ahora verifiquemos acceso a la aplicación Youtube pero por el

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Que aparecen en el registro de eventos del control de

Intente el ingreso a los siguientes enlaces URL:

Si se da cuenta en algunos instantes se visualiza algo y en

Ahora ingrese a los siguientes sitios URL, asegurese de

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

Ingrese la palabra: youtube

Aguarde hasta que aparezca el resultado y notara las

4.6- Para mejorar el nivel de inspección se puede utilizar el

Luis Hidalgo - https://www.linkedin.com/in/lhidalgo0204/

También podría gustarte