Fortinet

Introducción

Los Firewall Fortinet son dispositivos de seguridad que permiten la creación de redes seguras y proporcionan una protección amplia, integrada y automatizada contra amenazas emergentes y sofisticadas. En esta guía le añadiremos una capa de seguridad a su conexión SSL por VPN utilizando IRONCHIP.

Requisitos

  • Tener un Directorio Activo funcional
  • Tener NPS protegido por IRONCHIP
  • Tener una aplicación MFA creada en la plataforma IRONCHIP
  • App de Ironchip descargada

Radius

El primer paso es muy sencillo, hay que crear un servidor radius que apunte a la ip de FORTINET.

Para ello, en tu servidor AD, abre el menu de configuración NPS (Servidor de directivas de redes) y crea un nuevo cliente RADIUS.

En el panel que se a abierto tiene que insertar los siguientes datos:

  1. Nombre identificativo para RADIUS
  2. IP de el FORTINET
  3. Una clave secreta para RADIUS

Usuarios y Grupos

Entra en el panel de configuración de FORTINET mediante un navegador y la ip de tu FORTINET.

Una vez aquí, dirígete User & Authentication > RADIUS Servers y añada uno nuevo

Rellene los datos que le pide

-Nombre identificativo

-IP de el servidor donde creo el RADIUS

-Secreto de RADIUS

Para confirmar que se conecto correctamente, pulse en Test Connectivity, en el caso de dar Successful, pulse en Test User Credentials e inicie sesión con un usuario de su dominio. En caso de fallo, prueba a modificar el firewall de Windows Server (en ocasiones no permite la conexión).

El siguiente paso consiste en crear un grupo y usuarios que hagan referencia al dominio en Fortinet.

Para ello ve a User & Authentication > User Groups y añada uno nuevo.

Ponle un nombre, selecciona la opción Firewall y en remote groups selecciona tu servidor RADIUS.

 

Para configurar los usuarios dirígete a la pestaña User Definition y por cada usuarios que quieras crear sigue estos pasos:

  1. Create New
  2. Remote RADIUS User
  3. Usuario con formato dominio\usuario y selecciona el servidor RADIUS antes creado
  4. Two-factor deshabilitado
  5. Habilita la opción User Group y selecciona el grupo creado

Configurar la VPN

Para configurar la VPN ve a VPN > SSL-VPN Settings

Modifica cada campo de la siguiente manera:

-Selecciona los puertos que vas a utilizar, por ejemplo el puerto wan o lan.

-Cambia el puerto para que no aya conflictos, se recomienda 4443 o 10443.

-No es necesario crear un certificado pero puedes crear uno auto-firmado si lo necesitas.

Si avanzas asta el final de la pagina, veras otros dos campos a configurar:

Crea una nueva re.la pulsando en create new y selecciona tu grupo de usuarios, le colocas full.access. Pulsa apply para finalizar.

Política de Firewall

El siguiente paso es crear una política para el Firewall.

Nos dirigimos a la pestaña de Policy & Objects, luego Firewall Policy y realizamos la siguiente configuración:

Asignamos un nombre a la política, el cual se escribira en la aplicacion de el Dashboard de Ironchip y en el pluguin.

En Incoming Interface seleccionamos la opción SSL-VPN-tunnel-interface.

En Outgoing Interface seleccionamos la interfaz física.

En Source seleccionamos la opción de all y también es muy importante seleccionar el grupo que hemos creado.

En Destination seleccionamos la opción de all.

En Service seleccionamos la opción ALL.

Una vez configurados todos estos parámetros, para continuar pulsamos en OK.

El último paso debe de ser configurar el timeout tanto de Fortinet como de la conexión de radius a 60 segundos de forma que le de tiempo a los usuarios a completar una autenticación. Para hacer esto, abra una terminal de Fortinet haciendo click en el icono correspondiente en la parte superior derecha y escriba:

FortiUrko # config user group

FortiUrko (group) # edit <<EL NOMBRE DE TU GRUPO DE USUARIOS PROTEGIDO>>

FortiUrko (Guest-group) # set authtimeout 60

FortiUrko (Guest-group) # end

Esto permitirá que los usuarios del grupo asociado tengan 60 segundos para autenticarse.

Haga lo mismo para la conexión de RADIUS:

FortiUrko # config system global

FortiUrko (radius) # set remoteauthtimeout 60

FortiUrko (radius) # end

Aplicación Ironchip

Comprobar su funcionamiento con Forticlient

Nota: Es importante que tanto el servidor NPS, como Fortinet estén iniciados al momento de realizar las pruebas.

Lo primero, al acceder a Forticlient seleccionamos la opción de ACCESO REMOTO.

En la siguiente ventana elegimos la opción de Configurar VPN.

Esta nos desplegará una pantalla donde iremos colocando todos los datos de la VPN, también es importante respetar el mismo patrón de identificación del usuario que se haya establecido en el grupo y en la aplicación del panel de gestión de Ironchip.

Luego de colocar todos los datos necesarios para realizar la conexión, debemos pulsar Guardar.

En la siguiente pantalla tendremos el nombre de la conexión que dimos antes, el nombre del usuario y solo quedaría colocar la contraseña del mismo.

Luego pulsamos en Conectar.

Nota: en este punto es importante tener deshabilitado el Firewall del ordenador, ya que no permite la conexión.

Nos aparecerá una ventana de Alerta de seguridad, leemos lo que nos muestra y damos a la opción Si.

Una vez aceptada, deberá continuar con el proceso de conexión, en este momento recibirás un mensaje para autorizar el acceso mediante la aplicación de Ironchip, al aceptarla se completará el proceso de conexión.

Ya establecida la conexión nos aparecerá una ventana como está con una breve descripción de la conexión:

Video