Fortinet

Introducción

Los Firewalls Fortinet son dispositivos de seguridad que permiten la creación de redes seguras y proporcionan una protección amplia, integrada y automatizada contra amenazas emergentes y sofisticadas. En esta guía le añadiremos una capa de seguridad a su conexión SSL por VPN utilizando IRONCHIP.

Requisitos

  • Tener un Directorio Activo funcional
  • Tener NPS protegido por IRONCHIP
  • Tener una aplicación MFA creada en la plataforma IRONCHIP
  • App de Ironchip descargada

Radius

El primer paso es muy sencillo, hay que crear un servidor radius que apunte a la IP de FORTINET.

Para ello, en tu servidor AD, abre el menú de configuración NPS (Servidor de directivas de redes) y crea un nuevo cliente RADIUS.

En el panel que se ha abierto tiene que insertar los siguientes datos:

  1. Nombre identificativo para RADIUS
  2. IP del FORTINET
  3. Una clave secreta para RADIUS

Usuarios y Grupos

Entra en el panel de configuración de FORTINET mediante un navegador y la IP de tu FORTINET.

Una vez aquí, dirígete User & Authentication > RADIUS Servers y añada uno nuevo

Rellene los datos que le pide

-Nombre identificativo

-IP del servidor donde creo el RADIUS

-Secreto de RADIUS

Para confirmar que se conectó correctamente, pulse en Test Connectivity, en el caso de dar Successful, pulse en Test User Credentials e inicie sesión con un usuario de su dominio. En caso de fallo, prueba a modificar el firewall de Windows Server (en ocasiones no permite la conexión).

El siguiente paso consiste en crear un grupo y usuarios que hagan referencia al dominio en Fortinet.

Para ello ve a User & Authentication > User Groups y añada uno nuevo.

Ponle un nombre, selecciona la opción Firewall y en remote groups selecciona tu servidor RADIUS.

 

Para configurar los usuarios dirígete a la pestaña User Definition y por cada usuario que quieras crear sigue estos pasos:

  1. Create New
  2. Remote RADIUS User
  3. Usuario con formato dominio\usuario y selecciona el servidor RADIUS antes creado
  4. Two-factor deshabilitado
  5. Habilita la opción User Group y selecciona el grupo creado

 

 

Por otro lado podemos añadir un atributo en la directiva creada en el dominio para que no tengamos que crear los usuario uno a uno.

Para ello vamos a Servidor de directivas de red y nos aparecerá esta ventana:

 

 

Ahora nos dirigimos a Directivas > Directivas de red  y hacemos doble clic en la directiva

Seleccionamos el apartado de Configuración, en atributos Radius seleccionamos especifico del proveedor, hacemos clic en agregar:

En le desplegable donde poner proveedor seleccionamos personalizado y seleccionamos la opcion vendor-specific

Al darle a agregar nos aparecerá la siguiente ventana:

Hacemos clic en agregar, y la configuración de la siguiente ventana la dejaremos de la siguiente forma:

Por ultimo aremos clic en configurar atributo y la configuración de la ventana que nos aparecerá a continuación la dejaremos de la siguiente forma:

1- Numero de atributo asignado por el proveedor lo pondremos en 1

2- Formato del atributo sera cadena

3- En valor de atributo indicaremos el grupo creado en Forti anteriormente

Configurar la VPN

Para configurar la VPN ve a VPN > SSL-VPN Settings

Modifica cada campo de la siguiente manera:

-Selecciona los puertos que vas a utilizar, por ejemplo el puerto WAN o LAN.

-Cambia el puerto para que no haya conflictos, se recomienda 4443 o 10443.

-No es necesario crear un certificado, pero puedes crear uno autofirmado si lo necesitas.

Si avanzas asta el final de la página, verás otros dos campos a configurar:

Crea una nueva regla pulsando en create new y selecciona tu grupo de usuarios, le colocas full.access. Pulsa apply para finalizar.

Política de Firewall

El siguiente paso es crear una política para el Firewall.

Nos dirigimos a la pestaña de Policy & Objects, luego Firewall Policy y realizamos la siguiente configuración:

Asignamos un nombre a la política, el cual se escribirá en la aplicación del Dashboard de Ironchip y en el plug-in.

En Incoming Interface seleccionamos la opción SSL-VPN-tunnel-interface.

En Outgoing Interface seleccionamos la interfaz física.

En Source seleccionamos la opción de all y también es muy importante seleccionar el grupo que hemos creado.

En Destination seleccionamos la opción de all.

En Service seleccionamos la opción ALL.

Una vez configurados todos estos parámetros, para continuar pulsamos en OK.

El último paso debe de ser configurar el timeout tanto de Fortinet como de la conexión de radius a 60 segundos de forma que le dé tiempo a los usuarios a completar una autenticación. Para hacer esto, abra una terminal de Fortinet haciendo clic en el icono correspondiente en la parte superior derecha y escriba:

config user group

edit <<EL NOMBRE DE TU GRUPO DE USUARIOS PROTEGIDO>>

set authtimeout 60

end

Esto permitirá que los usuarios del grupo asociado tengan 60 segundos para autenticarse.

Haga lo mismo para la conexión de RADIUS:

config system global

set remoteauthtimeout 60

end

Por ultimo cambiaremos la configuración en forti para que cuando nos intentemos autenticar no mande mas de una petición:

config user radius 

edit <<NOMBRE DEL SERVIDOR RADIUS AÑADIDO A FORTI>>

set timeout 60

 

Aplicación Ironchip

Comprobar su funcionamiento con Forticlient

Nota: Es importante que tanto el servidor NPS, como Fortinet estén iniciados al momento de realizar las pruebas.

Lo primero, al acceder a Forticlient seleccionamos la opción de ACCESO REMOTO.

En la siguiente ventana elegimos la opción de Configurar VPN.

Esta nos desplegará una pantalla donde iremos colocando todos los datos de la VPN, también es importante respetar el mismo patrón de identificación del usuario que se haya establecido en el grupo y en la aplicación del panel de gestión de Ironchip.

Luego de colocar todos los datos necesarios para realizar la conexión, debemos pulsar Guardar.

En la siguiente pantalla tendremos el nombre de la conexión que dimos antes, el nombre del usuario y solo quedaría colocar la contraseña del mismo.

Luego pulsamos en Conectar.

Nota: en este punto es importante tener deshabilitado el Firewall del ordenador, ya que no permite la conexión.

Nos aparecerá una ventana de Alerta de seguridad, leemos lo que nos muestra y damos a la opción Sí.

Una vez aceptada, deberá continuar con el proceso de conexión, en este momento recibirás un mensaje para autorizar el acceso mediante la aplicación de Ironchip, al aceptarla se completará el proceso de conexión.

Ya establecida la conexión nos aparecerá una ventana como está con una breve descripción de la conexión:

Video