Você está na página 1de 216

Curso de Gerenciamento e

Diagnóstico FortiGate
1ª Edição
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 2/216


FORTIGATE

Histórico de Versões

Rev. Data Motivo da Revisão Elaborado por Revisado por

1 30/08/2017 Emissão Rafael Almeida de Oliveira


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 3/216


FORTIGATE

Índice

Objetivo: ...................................................................................................................................... 10
1 - Overview de Conceitos .......................................................................................................... 10
1.1 – Stateful vs Stateless........................................................................................................ 10
1.2 - Filtragem Stateless ou sem estado ................................................................................. 10
1.3 - Filtragem Stateful ou com estado ................................................................................... 10
1.4 – UTM vs NGFW ................................................................................................................ 11
2 - Modelos de equipamentos .................................................................................................... 11
3 – Licenciamento Fortigate ........................................................................................................ 12
3.1 - Enterprise Bundle ............................................................................................................ 12
3.2 - UTM Bundle .................................................................................................................... 12
3.3 - NGFW (App Control& IPS) ............................................................................................... 12
4 –Support Fortinet ..................................................................................................................... 14
4.1 - Abertura de Tickets ......................................................................................................... 14
4.2 - Download de firmwares .................................................................................................. 18
4.3 - Download de Fortigate VM para Estudo ......................................................................... 21
4.4 - Manuais & Release Notes ............................................................................................... 22
5 - Introdução .............................................................................................................................. 23
5.1 - FortiGuard ....................................................................................................................... 23
5.2 – Package Updates ............................................................................................................ 23
5.3 - Live Queries ..................................................................................................................... 23
5.4 - Dashboard ....................................................................................................................... 25
5.5 - System Resources............................................................................................................ 25
5.6 - CLI Console ...................................................................................................................... 25
5.7 – Alert Message Console ................................................................................................... 26
5.8 - Widgets ........................................................................................................................... 27
5.9 – Interface History ............................................................................................................. 27
5.10 - Features......................................................................................................................... 28
6 - Modos de Operação ............................................................................................................... 30
6.1 - NAT .................................................................................................................................. 30
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 4/216


FORTIGATE

6.2 - Transparente ................................................................................................................... 30


6.3 - Modos de Operação no Modelo OSI ............................................................................... 30
7 - Modos de Inspeção ................................................................................................................ 32
7.1 - Proxy-Based..................................................................................................................... 32
7.2 - Flow-Based ...................................................................................................................... 32
8 - Backup & Restore ................................................................................................................... 34
9 – Time & NTP ............................................................................................................................ 36
10 - Reboot & Shutdown ............................................................................................................. 37
11 - Upgrade de Firmware .......................................................................................................... 38
11.1 - Análise do Upgrade Path ............................................................................................... 38
11.2 - Upgrade Path ................................................................................................................ 40
12 - Acessos administrativos ....................................................................................................... 43
12.1 - Criação de usuários administrativos ............................................................................. 43
12.2 - Configuração de Profiles de acesso .............................................................................. 44
12.3 - Configuração de timeout de login................................................................................. 48
12.4 - Configuração de porta customizada de acesso administrativo .................................... 48
13 - Interfaces de Rede ............................................................................................................... 49
13.1 - Tipos de Interfaces ........................................................................................................ 49
13.2 - Interface ........................................................................................................................ 49
13.3 - Mac Address .................................................................................................................. 49
13.4 - Role ............................................................................................................................... 50
13.5 - Modos de endereçamento............................................................................................ 54
13.6 - Protocolos administrativos de Interface ....................................................................... 56
13.7 - Criação de Zonas ........................................................................................................... 57
14 - DHCP..................................................................................................................................... 58
14.1 - Configuração de DHCP Server e Relay .......................................................................... 58
14.2 - Mac AddressReservation .............................................................................................. 59
15 - DNS ....................................................................................................................................... 61
15.1 - Configuração de DNS .................................................................................................... 61
15.2 - FortiGuard DDNS ........................................................................................................... 62
16 – Object Addresses ................................................................................................................. 62
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 5/216


FORTIGATE

16.1 - Tipos de Objetos de Rede ............................................................................................. 63


16.2 - FQDN ............................................................................................................................. 63
16.3 - IP/Netmask .................................................................................................................... 64
16.4 - IP Range ......................................................................................................................... 65
16.5 - Geography ..................................................................................................................... 65
16.6 - Wildcard FQDN.............................................................................................................. 66
17 - Serviçe .................................................................................................................................. 66
17.1 - Criação de serviços ........................................................................................................ 66
18 - Schedules ............................................................................................................................. 80
18.1 - Tipos de schedules ........................................................................................................ 80
18.2 - Recurring ....................................................................................................................... 80
18.3 - One-Time....................................................................................................................... 81
18.4 - Grupo de schedules....................................................................................................... 81
19 - Regras de acesso .................................................................................................................. 82
19.1 - Configuração de Regras de acesso ................................................................................ 82
19.2 - Elementos de uma IPV4 Policy ...................................................................................... 83
20 – Implicit Deny........................................................................................................................ 87
20.1 - Log ViolationTraffic ....................................................................................................... 88
21– NAT ....................................................................................................................................... 89
21.1 - Virtual IP ........................................................................................................................ 89
21.2 - Outgoing Interface Address .......................................................................................... 92
21.3 - IP Pool ........................................................................................................................... 92
21.4 - Tipos de IP Pool ............................................................................................................. 92
22 - Roteamento Estático ............................................................................................................ 97
22.1 - Criação de Roteamento Estático ................................................................................... 97
22.2 - Administrative Distance & Priority................................................................................ 98
22.3 - Rota Default .................................................................................................................. 98
22.4 - Tabela de Roteamento .................................................................................................. 99
22.5 - Tipos de rotas na tabela de roteamento..................................................................... 100
23–PolicyRoute.......................................................................................................................... 101
23.1 - Exemplo de utilização de Policy Route ....................................................................... 101
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 6/216


FORTIGATE

23.2 - Configuração de Policy Route ..................................................................................... 102


23.3 - Type of Service (TOS) .................................................................................................. 103
24 - Route Lookup ..................................................................................................................... 104
25- Security Profiles .................................................................................................................. 105
26 - Web Filter ........................................................................................................................... 105
26.1 - FortiGuard Categories ................................................................................................. 106
26.2 - Static URL Filter ........................................................................................................... 108
26.3 - Tipos de Liberações e Bloqueios ................................................................................. 108
26.4 - Web Ratings Override ................................................................................................. 110
27 - Antivírus ............................................................................................................................. 111
27.1 - Inspected Protocols ..................................................................................................... 111
28 - Application Control ............................................................................................................ 112
29 - IPS ....................................................................................................................................... 113
30 - DNS Filter& Botnet C&C ..................................................................................................... 114
31 - CASI .................................................................................................................................... 115
32 - Web Application Firewall ................................................................................................... 116
33 - Data Leak Prevention ......................................................................................................... 117
34 - Inspeção SSL ....................................................................................................................... 118
34.1 - SSL Certification Inspection ......................................................................................... 119
34.2 - Full SSL Inspection ....................................................................................................... 120
34.3 - SSL Exemption ............................................................................................................. 121
34.4 - Dica antes de aplicar uma inspeção SSL...................................................................... 121
35 - Aplicando o Security Profile ............................................................................................... 122
36– VPN ..................................................................................................................................... 123
36.1 - Route-Based VPN ........................................................................................................ 123
36.2 - Policy-Based VPN ........................................................................................................ 123
36.3 - Configuração de VPN Ipsec Site to Site ....................................................................... 124
36.4 - Fase 1 – Network......................................................................................................... 126
36.5 - Authentication – Fase 1 .............................................................................................. 128
36.6 - IKE version 1 ou 2 ........................................................................................................ 128
36.7 - Agressive Mode vs Main Mode ................................................................................... 129
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 7/216


FORTIGATE

36.8 - Security Association .................................................................................................... 129


36.9 - Proposal – Fase 1 ........................................................................................................ 129
36.10 - Fase 2- Tráfego Interessante ..................................................................................... 130
36.11 - Fase 2 – Parâmetros .................................................................................................. 131
36.12 - Roteamento via VPN ................................................................................................. 132
36.12 - Regra VPN ................................................................................................................. 133
37 - Configuração de VPN SSL ................................................................................................... 134
37.1 - Configuração do Portal SSL ......................................................................................... 135
37.2 - Tunnel Mode ............................................................................................................... 136
37.3 - Enable Split Tunneling ................................................................................................. 136
37.4 - Source IP Pools ............................................................................................................ 137
37.5 - Tunnel Mode Client Options ....................................................................................... 137
37.6 - Web Mode .................................................................................................................. 137
37.7 - Regras de acesso para a VPN SSL ................................................................................ 140
38 – Logging & Monitoring ........................................................................................................ 143
38.1 - Níveis de Logs .............................................................................................................. 143
38.2 - Tipos de Logs ............................................................................................................... 144
38.3 - Cabeçalho e Corpo de um log (header & body) .......................................................... 144
38.4 – Armazenamento& Envio de Logs ............................................................................... 145
38.5 - Memory ....................................................................................................................... 145
38.6 - Hard Drive ................................................................................................................... 146
38.7 - Syslog........................................................................................................................... 146
38.8 - FortiCloud .................................................................................................................... 147
38.9 - SNMP ........................................................................................................................... 147
38.10 - FortiAnalyzer / FortiManager.................................................................................... 149
39 - Configurações de Policy que geram Log’s .......................................................................... 149
40 - Log & Report ...................................................................................................................... 150
41 - Fortiview............................................................................................................................. 154
41 - Autenticação ...................................................................................................................... 160
41.1 - Autenticação Ativa ...................................................................................................... 160
41.2 - Local Users .................................................................................................................. 160
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 8/216


FORTIGATE

42.3 - Autenticação via LDAP ................................................................................................ 162


43 - Autenticação Passiva .......................................................................................................... 164
43.1 - FSSO – Fotinet Single Sign On ..................................................................................... 164
43.2 - FSSO em DC Agent Mode ............................................................................................ 165
43.3 - Pooling Mode .............................................................................................................. 166
43.4 - NetAPI Polling.............................................................................................................. 166
43.5 - Event Log Polling ......................................................................................................... 166
43.6 - Event Logs using WMI ................................................................................................. 166
43.7 - FSSO DC Agent mode vs Polling Mode ........................................................................ 167
43.8 - Processo de autenticações no modo DC Agent. ......................................................... 168
43.9 - Processo de autenticações no modo Polling. ............................................................. 168
44 - Configurando FSSO em DC Agent Mode com método de acesso Advanced(Expert) ........ 169
45 - Configurando FSSO DC Agent Mode com método de acesso em Standard ...................... 195
46 - Configurando o FSSO em Polling Mode ............................................................................. 203
47 - FSSO – Agent Collector ....................................................................................................... 209
47.1 - Agent Collector............................................................................................................ 209
48 - Collector Agent Lookup ...................................................................................................... 216
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 9/216


FORTIGATE

APOIO

FORTIACADEMY
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 10/216


FORTIGATE

Objetivo:

 Curso destinado a todos que desejam conhecer os conceitos e funcionalidades


de um firewall Fortigate.

 Serve como base para realizar o treinamento oficial da Fortinet visando obter
as certificações NSE 1 a NSE 8.

1 - Overview de Conceitos

1.1 – Stateful vs Stateless

Foram os dois primeiros e principais mecanismos de filtragem de pacotes presentes


nos firewalls. As filtragens sem e com estado, stateless e stateful, formaram a base
para construção e evolução de soluções de firewall. Atualmente o mecanismo mais
utilizado é o stateful, presente nos firewallsFortigate.

A seguir, iremos apresentar uma breve descrição sobre as diferenças entre um


mecanismo stateful e stateless, para que você compreenda os demais recursos
presentes no Fortigate nos capítulos posteriores.

1.2 - Filtragem Stateless ou sem estado

- O firewall não tem conhecimento sobre as conexões (não é orientado a conexão).


- Cada pacote que passa pelo firewall é avaliado pelas regras estabelecidas.
- Firewall Stateless geralmente possui um numero maior de regras devido à
necessidade de se criar uma regra para cada sentido do pacote (entrada e saída).
- Sem segurança.

1.3 - Filtragem Stateful ou com estado

- O Firewall tem conhecimento sobre todas as conexões (orientado a conexão, tabela


de conexões ou tabela de estados)
- Todo inicio de conexão é registrado, quando um pacote retorna, o firewall consulta a
tabela de estados, validando se existe uma conexão associada, caso afirmativo, o
firewall aceita a conexão sem processar as regras, caso não exista, o firewall descarta
o pacote.
- Menor quantidade de regras criadas
- Com segurança
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 11/216


FORTIGATE

1.4 – UTM vs NGFW

Next Generation Firewall ou Firewall de Próxima Geração são definidos como


firewalls com sistema de prevenção a intrusão, inteligência de controle de aplicativos e
usuários.

Unified Threat Management ou Gerenciamento Unificado de Ameaças possui as


funcionalidades de um NGFW com tecnologias adicionais como url filtering, e-mail
security, VPN, wireless security e outros.

2 - Modelos de equipamentos

- EntryLevel (30-90 series)


- Midi Range (100-800 series)
- High End (1000-5000 series)
- VM Series

A informação acima foi obtida através do link https://www.fortinet.com/products/next-


generation-firewall.html em 08/2017; a Fortinet pode redefinir este conceito
apresentando novos modelos de equipamentos.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 12/216


FORTIGATE

3 – Licenciamento Fortigate

3.1 - Enterprise Bundle

Oferece todos os serviços de segurança Fortiguard disponíveis: NGFW Application


Control e IPS, Web Filtering, FortiSandbox Cloud, Antivírus, Mobile Security, IP &
Domain Reputation, AntiSpam, e services de segurança Forticare com uma escolha de
suporte 8x5 ou 24x7.

3.2 - UTM Bundle

Serviços tradicionais de segurança UTM incluindo: NGFW ApplicationControl e IPS,


Web Filtering, Antivirus, Antispam, e serviços de segurança FortiCare 8x5 ou 24x7.

3.3 - NGFW (App Control& IPS)

Segurança clássica de um Next Generation Firewall com features de Application


Control e IPS.

FortiGate Threat Protection Bundle

Suporte 24x7, substituição de hardware avancada (NBD), upgrade e atualizações de


firmware, VPN, Gerenciamento de Tráfego, Application Control, IPS e Antivírus.

Através do Fortigate é possível consultar alguns recursos ativos; vá até a aba


Dashboard > License Information:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 13/216


FORTIGATE

É possível consultar outros detalhes do licenciamento e serviços contratados através


da aba System > FortiGuard > License Information :
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 14/216


FORTIGATE

4 –Support Fortinet

4.1 - Abertura de Tickets

Para realizar a abertura de tickets na Fortinet é necessário ser parceiro da Fortinet;


acesse o site https://support.fortinet.com e insira o usuário e senha para acesso aos
recursos do portal.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 15/216


FORTIGATE

Após o login, clique na aba Assistance > Create a Ticket.

Escolha a opção de ticket desejada, neste exemplo iremos abrir um Techinical


Support Ticket para auxilio de um engenheiro relacionado a um problema técnico:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 16/216


FORTIGATE

Será solicitado o Serial Number do equipamento, sendo possível localizá-lo no


dashboard do Fortigate na coluna System Information ou a partir de uma etiqueta
colada diretamente no equipamento:

Em seguida será solicitado o preenchimento de algumas informações de contato e do


ticket para que seja escalonado internamente na Fortinet para o departamento correto.
Defina a prioridade do ticket, quanto menor a prioridade, maior será o nível de
criticidade. Selecione P3 ou P4; para casos urgentes será necessário realizar o
contato telefônico e solicitar a alteração para P1 ou P2.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 17/216


FORTIGATE

Após clicar em next, será exibida a tela abaixo, para inserir uma descrição do
problema e anexar arquivos de configurações. Sempre descreva o problema de forma
clara e objetiva, e sempre anexe o backup de configuração do equipamento e o debug
logs.

Cada vez que Engenheiro inserir um comentário no ticket, será enviada uma cópia da
informação no e-mail cadastrado no ticket.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 18/216


FORTIGATE

4.2 - Download de firmwares

Para realizar o download de firmwares, utilize o https://support.fortinet.com e vá até a


aba Download > Firmware Images.

Observe que estará disponível o download de outros recursos, como Fortiguard


Services Updates (pacotes de atualizações), Firmware Image Checksums
(checksum para validação de integridade de firmware) e HQIP Images (imagem
utilizada para testar problemas de hardware no equipamento).
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 19/216


FORTIGATE

Serão exibidas duas abas, a primeira é a Release Notes,selecione o produto


(Fortigate) e abaixo será possível visualizaras ultimas versões de firmware FortiOs
disponíveis para o produto selecionado e seus respectivos release notes.

Na aba Download, será exibida diversas pastas relacionadas a cada versão de


FortiOs.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 20/216


FORTIGATE

Acesse a pasta referente à versão de firmware desejada, e localize o modelo do


firewall na qual você precisa atualizar; repare que cada modelo de Firewall possui a
sua respectiva firmware. Escolha a firmware e clique em HTTPS para realizar o
download.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 21/216


FORTIGATE

4.3 - Download de Fortigate VM para Estudo

Seguindo o mesmo caminho para realizar o download de firmware do Fortigate, será


possível realizar o download do Fortigate VM, que é uma verão de Fortigate
virtualizado para fins de testes e estudo com uma licença trial para 14 dias de
utilização. Localize os arquivos com a extensão .ovf, conforme exemplo abaixo, que é
uma versão para utilizar no Vmware Workstation.

A Fortinet disponibiliza outras versões virtualizadas para fins de teste e estudo como
FortiAnalyzer, FortiManager, FortiMail.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 22/216


FORTIGATE

4.4 - Manuais & Release Notes

Para localizar os adminguides, manuais, release Notes de versão, manuais de


hardware e cookbook você pode utilizar o http://docs.fortinet.com, este portal reúne
diversas documentações necessárias auxilio nas atividades do dia-a-dia.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 23/216


FORTIGATE

5 - Introdução

Este treinamento foi elaborado com base na FortiOs 5.4 (versão de firmware).

5.1 - FortiGuard

As soluções da Fortinet, incluindo o Fortigate, são alimentadas pelos serviços de


segurança desenvolvidos pela FortiGuard Labs. A Fortiguard é a base de inteligência
da Fortinet, onde existem equipes de pesquisadores e especialistas espalhados pelo
mundo trabalhando com diversas ferramentas e tecnologias visando descobrir e
mitigar novas ameaças; desta forma é possível desenvolver novas atualizações de
segurança para distribuir para todas as soluções Fortinet visando protegê-las contras
novas ameaças.

O Fortigate precisa se comunicar com a FortiGuard parautilizar o FortiGuard


Subscription Services que são todos os serviços providos pela FortiGuard Labs e
distribuídos através do FDN (FortiGuard Distribution Network) para os dispositivos :

5.2 – Package Updates

- Atualizações de segurança para Antivírus& IPS


- Distribuído periodicamente
- update.fortiguard.net
- Porta 443 TCP (SSL)

5.3 - Live Queries

- Categorizações de url para Web Filter


- service.fortiguard.net
- Qualquer consulta realizada em real time na FortiGuard é feita através das portas 53
UDP ou 8888.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 24/216


FORTIGATE

Através do Fortigate, vá até a aba System>FortiGuard


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 25/216


FORTIGATE

5.4 - Dashboard

O dashboard contém diversos widgets que auxiliam na verificação de algumas


informações de forma rápida.

5.5 - System Resources

Exibe informações de consumo de recursos, tais como consumo de cpu, consumo de


memória, consumo de disco, quantidade de logs enviados para o FortiAnalyzer por
segundos e quantidade de sessões.

5.6 - CLI Console

É o acesso via linha de comando que esta integrada na parte gráfica do Fortigate.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 26/216


FORTIGATE

5.7 – Alert Message Console

Exibe algumas notificações falha de autenticação, conserve mode, system shutdown e


restart.

É possível customizar os alertas a serem exibidos:


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 27/216


FORTIGATE

5.8 - Widgets

É possível adicionar alguns widgets no dashboard:

5.9 – Interface History

Utilizado para monitorar o trafego de entrada e saída do link.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 28/216


FORTIGATE

5.10 - Features

Através do Fortigate vá até a aba System>FeatureSelect e será exibida uma lista


contendo todos os recursos ativados e desativados:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 29/216


FORTIGATE

Caso alguma feature desejada não esteja aparecendo na lista, acesse via CLI
(Command Line Interface) e digite:

#config system global


#set ?será exibida uma lista de diversos recursos; escolha o recurso e habilite
conforme o exemplo.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 30/216


FORTIGATE

6 - Modos de Operação

O Fortigate pode trabalhar em dois modos de operação, modo NAT e Transparente.

6.1 - NAT

- Fortigate trabalha na camada OSI 3, 6 e 7.


- Interfaces possuem endereçamento IP
- Roteamento de pacotes por IP

6.2 - Transparente

- Fortigate trabalha na camada OSI 2


- Interfaces não possuem endereçamento IP
- Pacotes não são roteados, apenas encaminhados.

6.3 - Modos de Operação no Modelo OSI


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 31/216


FORTIGATE

Em Dashboard é possível validar o modo de operação.

Por linha de comando é possivel alterar o modo de operação:


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 32/216


FORTIGATE

7 - Modos de Inspeção

O modo de inspeção é a forma com que o Fortigate inspeciona e manipula os pacotes


que passam através dele. Atualmente o Fortigate trabalha com duas formas de
inspeção, Proxy-Based e Flow-Based.

Por padrão, o Fortigate utiliza o modo Proxy-Based, ao alterar para o modo Flow-
Based, todos os profiles são alterados para o modo selecionado.

Se o Fortigate possuir múltiplas VDOM’s, é possível configurar o modo de inspeção de


forma independente para cada VDOM.

7.1 - Proxy-Based

A inspeção baseada em proxy envolve o armazenamento do tráfego para analisar o


pacote inteiro antes de determinar uma ação. Este modo é mais completo e assertivo
na análise dos dados em comparação ao modo flow-based.

A comunicação é divida em duas sessões, uma entre o cliente e Fortigate, e outra


entre o Fortigate e o servidor de destino.

- Possui mais recursos disponíveis.

7.2 - Flow-Based

A inspeção baseada em fluxo examina o tráfego à medida que os pacotes passam


pelo Fortigate sem qualquer buffer.

A vantagem deste modo é a velocidade de resposta para as solicitações HTTP e


diminuição de ocorrências de erros de timeout.

- Possui menos recursos disponíveis que o modo proxy


- Desativa o WAN Optimization, Web Caching, Explicit Proxy e Explicit FTP Proxy
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 33/216


FORTIGATE

Segue abaixo algumas informações sobre quais recursos estão disponíveis no modo
Proxy e modo Flow.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 34/216


FORTIGATE

8 - Backup & Restore

Para realizar o backup, localize em Dashboard > System Information > Backup
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 35/216


FORTIGATE

É possível salvar o backup de configuração de algumas maneiras:

- Local PC
- Via USB
- Com ou sem criptografia

Para realizar o restore do backup vá até Dashboard > System Information >Restore
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 36/216


FORTIGATE

É possível realizar o Restore de algumas formas:

- Local PC
- Via USB
- Opcional definir senha

9 – Time & NTP

Para alterar a data/hora e definir um servidor NTP vá até Dashboard>System


Information>System time>Change:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 37/216


FORTIGATE

10 - Reboot & Shutdown

Em Dashboard>System Resources é possível desligar e reiniciar o equipamento.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 38/216


FORTIGATE

11 - Upgrade de Firmware

11.1 - Análise do Upgrade Path

A Fortinet fornece uma documentação contendo a ordem em que se deve realizar um


upgrade de Firmware em http://docs.fortinet.com :
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 39/216


FORTIGATE

O Upgrade esta disponível para auxiliar os upgrades de todas as versões:


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 40/216


FORTIGATE

11.2 - Upgrade Path


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 41/216


FORTIGATE

Para realizaro upgrade de firmwarevá até Dashboard > System Information>


Firmware Version> Update
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 42/216


FORTIGATE

É possível selecionar o arquivo do firmware localmente ou realizar o download direto


da FortiGuard.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 43/216


FORTIGATE

12 - Acessos administrativos

12.1 - Criação de usuários administrativos

Para criar usuários que vão administrar o firewall vá


atéSystem>Administrators>Create New:

- O usuário pode se autenticar localmente ou através de um servidor remoto.


- Two-factor Authentication pode ser adicionado (FortiToken)
- Restringir as redes que poderão administrar o firewall com Trusted Hosts.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 44/216


FORTIGATE

12.2 - Configuração de Profiles de acesso

Para definir os acessos de cada usuário administrativo, é necessário atribuir Admin


Profiles para cada usuário.

Super_admin

- É um profile default do firewall.


- Os usuários com este privilégio possuem acesso total ao firewall e em todas
VDOM’s.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 45/216


FORTIGATE

Prof_admin

- Profile default
- Permite acesso total ao firewall em sua VDOM apenas.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 46/216


FORTIGATE

Read_only

- Profile default
- Permite somente leitura em todos os recursos do firewall
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 47/216


FORTIGATE

Custom Profile

É possível customizar um profile de acordo com a necessidade de acesso.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 48/216


FORTIGATE

12.3 - Configuração de timeout de login

Através da aba System>Settings>Idle Timeout é possível customizar o tempo


(minutos) de timeout de sessão do acesso administrativo ao Fortigate.

12.4 - Configuração de porta customizada de acesso administrativo

System>Settings>Administration Settings
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 49/216


FORTIGATE

13 - Interfaces de Rede

Interfaces são as portas físicas do Fortigate, veja a seguir algumas informações que
vão te ajudar na administração de interfaces de rede do Fortigate.

13.1 - Tipos de Interfaces

13.2 - Interface

Em Network>Interfaces é possível visualizar todas as interfaces disponíveis no


Fortigate.

Selecione a interface desejada e clique em Edit para editar as configurações.

13.3 - Mac Address

Na parte superior das configurações da interface é possível visualizar o Mac Addres


da interface de forma fácil.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 50/216


FORTIGATE

13.4 - Role

O atributo Role foi criado para auxiliar o administrador a definir as configurações


pertinentes a cada função atribuída.

É possível atribuir 4 tipos de Roles, LAN, WAN, DMZ e Undefined.

Role LAN
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 51/216


FORTIGATE

Role WAN
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 52/216


FORTIGATE

Role DMZ
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 53/216


FORTIGATE

Role Undefined
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 54/216


FORTIGATE

13.5 - Modos de endereçamento

Na FortiOs 5.4 estão disponíveis 5 modos de endereçamento Manual, DHCP, PPPoE,


One-ArmSniffer e Dedicated to FortiSwitch.

Endereçamento Manual

Neste modo de endereçamento é necessário definir o endereçamento IP e mascara


de rede.

Endereçamento DHCP

A interface receberá um endereço IP automático a partir do servidor DHCP que esta


conectada em sua interface.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 55/216


FORTIGATE

Endereçamento PPPoE

Endereçamento One-ArmSniffer

Este modo é utilizado para realizar análise de tráfego, não é realizada nenhuma
configuração de IP.

É possível aplicar profiles de segurança nesta configuração para que seja gerado um
relatório de segurança sobre possíveis ameaças.

Geralmente esta interface esta conectada em um switch que possui uma porta
configurada para espelhar o tráfego (SPAN), desta forma é possível ter visibilidade do
tráfego.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 56/216


FORTIGATE

Endereçamento Dedicated to FortiSwitch

Porta utilizada para integração e gerenciamento de FortiSwitch. (switch da Fortinet)

13.6 - Protocolos administrativos de Interface

Protocolos administrativos são utilizados para restringir o acesso gerencia no firewall e


para estabelecer comunicação com funcionalidades especificas.

As opções podem variar conforme versão de firmware e modelo do equipamento.

HTTPS

Permite o acesso através do protocolo HTTPS. Quando é configurado um ip público na


interface e o HTTPS é ativado, é possível acessar o firewall externamente através
deste endereço.

PING

A interface responde a requisições de ping.

FMG-Access

FortiManager Access, opção utilizada para sincronizar a gerência do FortiManager


com o FortiGate.

CAPWAP

Control And Provisioning of Wireless Access Points – protocol utilizado para gerenciar access
points.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 57/216


FORTIGATE

SSH

Permite acessar o firewall utilizando o protocolo SSH.

SNMP

Complemento da configuração de monitoramento via SNMP.

RADIUS Accounting

Complemento de configurações de RSSO (Radius Single SignOn).


FortiTelemetry

Esta opção pode aparecer disponível.

Esta opção consegue escutar as conexões de hosts com FortiClient instalado. Ele
utiliza a porta 8013 tcp para estabelecer comunicação entre FortiClient e Fortigate.

13.7 - Criação de Zonas

Zona é um grupo de interfaces, que serve para facilitar a administração de


configurações.

Vá até a aba Network>Interfaces>Create New>Zone

Selecione as interfaces que vão ser membros da zona desejada.

Observação: Para vincular uma interface, não pode haver nenhum tipo de vinculo de
configuração para esta interface em questão, se houver regras atreladas ou qualquer
outro tipo de configuração, esta interface não será exibida como disponível na lista.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 58/216


FORTIGATE

14 - DHCP

Um servidor DHCP fornece endereços IP na rede de forma dinâmica, quando


solicitado, a partir de um intervalo de endereços definido.

A função do Servidor DHCP é de distribuir endereços IP na rede.

A função de DHCP Relay é de encaminhar as requisições DHCP para um servidor


DHCP e retornar as repostas para os clientes DHCP.

14.1 - Configuração de DHCP Server e Relay

Selecione o modo Server conforme abaixo e clique em Network>Interfaces>Edite


uma interface >DHCP>Address Range >Create New e defina um range de
endereços ip a serem distribuídos.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 59/216


FORTIGATE

Address Range: O intervalo de endereços IP’s a serem distribuídos.

Nestmask: mascara de rede para o intervalo de endereços IP.

DNS Server: definir o servidor DNS a ser utilizado.

NTP Server: definir servidor NTP a ser utilizado.

Time Zone: definir Time Zone a ser utilizado (GMT)

Next Bootstrap Server: definir um bootstrap server.

14.2 - Mac AddressReservation

É possível reservar endereços IP vinculando ao MAC Address do host.

MAC Reservation + Access Control>Create New


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 60/216


FORTIGATE

Reserve IP

Define um endereço IP especifico para um host

Assign IP

Atribui um endereço IP do intervalo de endereços disponíveis.

Block

Realiza o bloqueio através do Mac address.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 61/216


FORTIGATE

15 - DNS

15.1 - Configuração de DNS

Localize o menu Network>DNS e será exibida as opções de DNS:

FortiGuard DNS

Utilizar o DNS da FortiGuard.

DNS Específico

Definir um servidor de DNS específico.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 62/216


FORTIGATE

15.2 - FortiGuard DDNS

FortiGuard Dynamic Name Service permite que os endereços definidos sejam


alcançados através de uma resolução de nomes.

16 – Object Addresses

Localize o menu Policy&Objects>Address para criar objetos de rede.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 63/216


FORTIGATE

16.1 - Tipos de Objetos de Rede

16.2 - FQDN

Fully Qualified Domain Name, o Fortigate cria uma tabela que armazena cada objeto
FQDN e realiza a consulta DNS para resolver o nome de cada domínio.

Caso o servidor DNS utilizado pelo Fortigate não consiga resolver o nome do FQDN,
será apresentado um alerta:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 64/216


FORTIGATE

É possível validar a resolução DNS que o Fortigate realiza para cada objeto FQDN
armazenado em sua tabela.

Via CLI utilize o comando #diagnose firewall fqdnlist

16.3 - IP/Netmask

Para os objetos IP/Netmask é necessário definir o endereço IP e mascara de rede.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 65/216


FORTIGATE

16.4 - IP Range

Permite definir um range de endereços.

16.5 - Geography

Permite definir um país.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 66/216


FORTIGATE

16.6 - Wildcard FQDN

Expressões curingas na criação de FQDN.

17 - Serviçe

Serviços são os protocolos de comunicação (1 – 65.535).

17.1 - Criação de serviços

Policy&Objects>Services>Create New para criar um novo serviço.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 67/216


FORTIGATE

Serviço Customizado

Category

Categorizar os serviços customizados.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 68/216


FORTIGATE

Protocol Type:TCP/UDP/SCTP

ICMP
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 69/216


FORTIGATE

Segue abaixo uma tabela para auxilio na criação de serviço do tipo ICMP:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 70/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 71/216


FORTIGATE

ICMPv6

Segue abaixo uma tabela para auxilio na criação de serviço do tipo ICMPv6:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 72/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 73/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 74/216


FORTIGATE

IP

Segue uma tabela abaixo para auxilio na configuração de serviço do tipo IP:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 75/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 76/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 77/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 78/216


FORTIGATE
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 79/216


FORTIGATE

Grupo de serviços

Para criar um novo grupo clique em Create New>Service Group


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 80/216


FORTIGATE

18 - Schedules

Schedules são controles de horários; você pode criar schedules para limitar
determinados acessos em determinados horários.

Policy & Objects>Schedules>Create New>Schedule

18.1 - Tipos de schedules

18.2 - Recurring

Horários recorrentes são controles definidos em determinados dias da semana e em


horários específicos dos dias.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 81/216


FORTIGATE

18.3 - One-Time

Horário Único são controles definidos em uma determinada data ou período, e em


determinados horários.

18.4 - Grupo de schedules

Policy & Objects>Schedules>Create New >Schedule Group


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 82/216


FORTIGATE

Selecione os horários para formar o grupo.

19 - Regras de acesso

Regras são criadas para permitir ou negar o tráfego entre uma origem e seu respectivo
destino.

A ordem de leitura de regras realizada pelo firewall é top down , as regras que estão
no topo são lidas primeiro.

A última regra será sempre a ImplicitDeny, regra default de bloqueio. O Fortigate


bloqueia todo o trafego por padrão; sendo necessário criar as regras de liberação de
trafego.

19.1 - Configuração de Regras de acesso

Para criar uma regra vá até Policy&Objects>IPV4 Policy> Create New:


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 83/216


FORTIGATE

19.2 - Elementos de uma IPV4 Policy

Incoming Interface&Outgoing Interface

Necessário definir a interface de origem e de destino do tráfego.

Source

No campo source é possível definir objetos de rede, usuários local ou remoto, e


device.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 84/216


FORTIGATE

Destination

Necessário definir o endereço de destino do tráfego.

Schedule
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 85/216


FORTIGATE

Service

Necessário definir os protocolos permitidos no tráfego.

Action

Necessário definir a ação da regra (aceitar ou bloquear).

Firewall / Network Options

Necessário definir se vai ser realizado NAT e qual tipo de NAT.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 86/216


FORTIGATE

Security Profiles

Os profiles de segurança são aplicados nas regras de acesso.

LoggingOptions
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 87/216


FORTIGATE

Se abaixo uma tabela referente à geração de logs nas regras de acesso:

20 – Implicit Deny

Esta regra é default e não pode ser excluída.

Por padrão o Fortigate bloqueia todo o trafego, sendo necessário realizar as liberações
de trafego conforme a necessidade do ambiente.

A única alteração que é permitida nesta regra, é de logar todo o trafego bloqueado,
que por padrão é desabilitado devido a grande quantidade de log’s que esta regra
pode gerar.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 88/216


FORTIGATE

20.1 - Log ViolationTraffic


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 89/216


FORTIGATE

21– NAT

Network AddressTranslation tradução de endereços IP e portas.

21.1 - Virtual IP

Virtual IP é utilizado para criar um DNAT – Destination Network AddressTranslation ou


mais conhecido com NAT de entrada.

Exemplo: Precisamos publicar um servidor web interno 192.168.43.15 na internet


para que todos possam acessar o novo web site da empresa.

VáatéPolicy & Objects>Virtual IP>Create New> Virtual IP


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 90/216


FORTIGATE

Neste exemplo utilizamos o endereçamento IP 192.168.43.15 para o web Server e


utilizamos um IP público disponível no range configurado na interface WAN 3.

Name: nome_nat

Interface: a interface de entrada do trafego

Type: todos os VIP são estáticos por padrão

External IP Address/Range: o ip público disponível do link de internet da WAN 3.

Mapped IP Address/Range:ipinterno do servidor web

SourceAddressFilter: é possível definir quais endereços IP têm permissão acessar o


NAT.

PortForwarding: é possível mapear a porta externa e porta interna para acesso.


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 91/216


FORTIGATE

Necessário vincular o Virtual IP criado em uma regra que permitirá acesso ao NAT.

Lembre-se que o Virtual IP é aplicado no Destination Address das regras.

VáatéPolicy & Objetcs>IPV4 Policy > Create New


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 92/216


FORTIGATE

21.2 - Outgoing Interface Address

Este é um tipo de NAT de saída, na qual é utilizado o IP da interface de destino


(outgoing interface) na tradução.

Este NAT é ativado e aplicado nas configurações das Regras conforme abaixo:

21.3 - IP Pool

IP Pool é mais um tipo de NAT de saída no qual é possível definir um ip um ou um


range de ip’s para realizar a tradução.

VáatéPolicy & Objects> IP Pool

21.4 - Tipos de IP Pool

21.5 - Overload

Neste tipo de NAT, é possível configurar apenas um ip ou um range, e ocorre a


tradução de portas (PAT).
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 93/216


FORTIGATE

21.6 - One-to-One

NAT um-para-um onde não ocorre a tradução de portas.

Você mapear a mesmo o mesmo endereço para aplicar o Nat para um único IP.

Exemplo de Sessão:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 94/216


FORTIGATE

21.7 – Fixed Port Range

Permite definir um range de endereços para o NAT, porem não ocorre a tradução de
portas. Os IP’s são distribuídos aleatoriamente.

Exemplo de sessão:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 95/216


FORTIGATE

21.8 – Port Block Allocation

Define uma quantidade de conexões e host a ser utilizados no NAT, e não ocorre a
tradução de portas.

Exemplo de comportamento:
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 96/216


FORTIGATE

Exemplo: Precisamos que o Servidor Web 192.168.43.15 acesse a internet através de


um ip público especifico do nosso link de internet da WAN 3 - 189.100.25.25.

Neste exemplo vamos utilizar o IP Pool Overload conforme abaixo:

Configure o IP POOL em Policy & Objects>IP POOL>Overload:

Crie a regra de acesso e habilite o IP POOL criado:


CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 97/216


FORTIGATE

22 - Roteamento Estático

O roteamento decide para onde o Fortigate deve encaminhar os pacotes recebidos.

Quando um pacote é recebido, o Fortigate consulta a sua tabela de roteamentoa fim


de localizar uma rota que corresponda com o endereço de destino do pacote para que
seja possível encaminhá-lo através de uma determinada interface.

Para realizar este encaminhamento, o Fortigate, em modo de operação NAT, trabalha


na camada 3 do modelo OSI.

22.1 - Criação de Roteamento Estático

Vá até Network>Static Routes>Create New

Destination

Endereço de destino do pacote.

Device

Interface na qual o trafego será encaminhado

Gateway

Dispositivo responsável por encaminhar o pacote que será enviado pelo firewall.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 98/216


FORTIGATE

22.2 - Administrative Distance & Priority

É o primeiro critério que um roteador utiliza para definir qual será o protocolo de
roteamento a ser utilizado. É um numero que define a confiabilidade do protocolo de
roteamento.

Se existir duas rotas para o mesmo destino, a rota com menor distancia será o melhor
caminho a ser utilizado.

Se existir duas rotas para o mesmo destino, com distâncias iguais, o melhor caminho
será o roteamento com prioridade menor.

Observação: Não confunda distância com métrica no Fortigate, pois métricas são
utilizadas em roteamentos dinâmicos.

Segue abaixo uma tabela de valores default para as distancias nos protocolos de
roteamento no Fortigate:

22.3 - Rota Default

É a rota de rede utilizada por um roteador quando não há nenhuma outra rota
conhecida para o endereço de destino.

As rotas default são facilmente identificadas por definirem o endereço de destino como
0.0.0.0/0.0.0.0.
CODIGO:
1ª Edição

TÍTULO: REVISÃO: PÁGINA:

CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 1 99/216


FORTIGATE

22.4 - Tabela de Roteamento

A tabela de roteamento contém todas as rotas conhecidas pelo Fortigate, sendo


possível consultá-la via interface gráfica ou linha de comando.

Network >Static Routes

Log & Report>Routing Monitor


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 100/21
FORTIGATE 1
6

CLI

#get router info routing-table all

22.5 - Tipos de rotas na tabela de roteamento

Connected

São as redes que estão diretamente conectadas no firewall, fisicamente


conectadas.[C]

Static

São as rotas criadas manualmente pelo administrador. [S]

Dinâmicas

Rotas utilizadas pelos protocolos de roteamento dinâmico. O Fortigate suporta OSPF,


BGP, RIP e IS-IS.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 101/21
FORTIGATE 1
6

23–PolicyRoute

Policy Route serve para redirecionar o tráfego para um caminho diferente do


roteamento estático.

As policy route tem prioridade sobre a tabela de roteamento.

A tabela de policy route é lida de forma top down pelo firewall, assim como as regras.

Para que uma policy route tenha efeito, é necessário que haja regra de acesso que
permita a direção do trafego mencionada na policy route

23.1 - Exemplo de utilização de Policy Route

Toda minha rede esta utilizando o link de internet da porta8 como link primário para
utilização da internet; porém, preciso que apenas o ip 192.168.43.60 da minha rede
LAN, acesse o servidor 200.221.2.45 (uol.com.br) através do link de internet da porta9.

Nslookup

Rotas default

Primária: port8
Secundaria: port10
Terciária: port9

Para resolução deste caso, é necessário criação da Policy Route e regra de acesso
que permita o trafego do ip de origem em destino ao servidor através do link de
internet wan 2.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 102/21
FORTIGATE 1
6

23.2 - Configuração de Policy Route

Lembre-se que o preenchimento de todos os campos é opcional, os campos Protocol,


Incoming Interface, Action, e Outgoing Interface são obrigatórios.
.

Para criar uma policy route vá até Network>Policy Routes>Create New:

Protocol

Utilize os protocolos predefinidos ou especifique um numero para o protocolo


desejado. O numero do protocolo deve seguir os padrões definidos na RFC 5237, que
descreve uma lista de protocolos variando de 0 a 255.

Incoming Interface

A interface de origem do trafego.

Source Address / Mask

Endereço de origem a ser roteado.

Destination Address / Mask

Endereço de destino.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 103/21
FORTIGATE 1
6

23.3 - Type of Service (TOS)

O Tipo do Serviço é um campo de 8 bits no cabeçalho IP, que permite definir como o
datagrama IP deve ser entregue (atraso, prioridade, confiabilidade e custo mínimo).

Os valores são definidos de 0 a 7 conforme tabela abaixo.

Maiores informações podem ser consultadas nas RFC 791 e RFC 1349.

Forward Traffic

O trafego é roteado através da interface de saída e gateway.

Stop Policy Routing

O firewall para de checar a tabela de policy route e valida o roteamento utilizando a


tabela de roteamento.

Outgoing Interface

Interface de saída do trafego.

Gateway Address

Endereço do roteador que encaminhará o trafego.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 104/21
FORTIGATE 1
6

24 - Route Lookup

O Fortigate é um firewall stateful, então muitas informações são decididas no inicio de


uma sessão, nos primeiros pacotes.

Para qualquer sessão de tráfego, apenas duas pesquisas são realizadas, uma no
primeiro pacote enviado pelo originador, e outra no primeiro pacote enviado pelo
respondedor.Depois disso, toda a informação de roteamento é escrita na tabela de
sessão do Fortigate. Assim, os outros pacotes são roteados de acordo com a tabela
de sessão e não pela tabela de roteamento.

Desta forma, todos os pacotes que seguem a mesma sessão, seguem o mesmo
caminho mesmo que haja uma mudança nas rotas estáticas.

Primeiro o Fortigate procura o cache de rota, sendo possível verificar através do


comando #diagnose ip rtcache list.Se houver uma correspondência (match) o
fortigate envia para o nexthop, caso não tenha, o Fortigate consulta as policy route.

Se houver uma correspondência nas policy route, o Fortigate encaminhará o trafego,


se não houver, o fortigate toma a ação Stop Policy, e pesquisa na próxima tabela.

Para validar as policy route é possível utilizar #show router policy.

FIB (Forwarding Information Base) pense no propósito desta tabela como uma tabela
de encaminhamento pacotes, enquanto a tabela de roteamento é usada para
gerenciamento de pacotes.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 105/21
FORTIGATE 1
6

Por ultimo, a tabela de roteamento é consultada, sendo possível verificar através do


comando #get router info routing-table all.

25- Security Profiles

Os profiles de segurança adicionam camadas de controles e recursos de segurança


visando proteger o tráfego na rede.

Todos os profiles são adicionados em regras de acesso.

A seguir será demonstrado um overview básico sobre cada profile de segurança.

26 - Web Filter

A filtragem web é uma maneira de controlar ou rastrear os sites que as pessoas


visitam. Desta forma é possível impedir que a organização acesse sites de conteúdo
impróprio ou de conteúdo que comprometa a segurança da organização, como sites
de downloads contendo vírus, malwares entre outros.

Para consultar a categoria de cada url classificada pela FortiGuard visite o site
https://fortiguard.com/webfilter .

Vá até Security Profiles>Web Filter> Create New para customizar um novo profile.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 106/21
FORTIGATE 1
6

26.1 - FortiGuard Categories

São as categorias padrão, cada url acessada, é classificada em uma categoria


definida na FortiGuard.

Para obter uma descrição sobre cada categoria, visite o


https://fortiguard.com/webfilter/categories .

É possível customizar algumas ações para as categorias:


Allow

Permite o acesso a todos os sites da categoria.

Block

Bloqueia o acesso a todos os sites da categoria.

Monitor

Permite e armazena logs dos acessos.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 107/21
FORTIGATE 1
6

Warning

Apresenta uma mensagem de alerta ao usuário permitindo prosseguir se o mesmo


desejar.

Authenticate

Solicita ao usuário se autenticar no Fortigate antes continuar o acesso.

Category Usage Quota

É possível definir cotas de utilização diária para categorias. As cotas são aplicadas em
cada usuário individualmente, e reinicializadas todos os dias a meia-noite.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 108/21
FORTIGATE 1
6

26.2 - Static URL Filter

É uma tabela contendo todas as url’s que se deseja controlar o acesso.

É possível aplicar algumas ações:

26.3 - Tipos de Liberações e Bloqueios

Simple

Realiza uma correspondência exata.

 URL: fortinet.com permite acesso ao domínio inteiro


 URL: fortinet.com/support controla o acesso para uma única página.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 109/21
FORTIGATE 1
6

Wildcard

Caracteres curingas podem ser adicionados para incluir uma ou mais urls para uma url
simples.

 URL: *.fortinet.com  permite acesso a tudo antes de ".fortinet.com" .


 URL: www.fortinet.com/*  permite acesso a tudo após "www.fortinet.com/" .

Regular Expression

É utilizado para incluir uma ou mais url’s relacionadas ou não relacionados a um


padrão usando sintaxe Perl.

 (^.)*\.fortinet\.com

Actions

Block

Bloqueia o acesso a url em questão.

Allow

Ação padrão para permitir o acesso uma url. O trafego é verificado por todas os
padrões de segurança, antivírus, FortiGuard web filter, web content filter, web script
filters.

Monitor

O acesso é permitido e verificado igual a ação Allow, porem toda sessão


correspondente é gerado um log.

Exempt

Permite o acesso, categorizando como confiável e não realiza a inspeção de antivírus,


activex-java-cookie,ActiveX, DLP, filepattern, fortiguard, pass, range-block e web
content.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 110/21
FORTIGATE 1
6

26.4 - Web Ratings Override

Este recurso serve para recategorizar uma URL localmente.

Exemplo:

https://www.uol.com.br/é categorizado pela FortiGuard como Search Engines and


Portals.

Vá até a aba Security Profiles>Web Rating Overrides>Create new

Override to: recategoriza a url para a categoria e subcategoria selecionada.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 111/21
FORTIGATE 1
6

27 - Antivírus

Para criar um profile de antivírus vá até Security Profiles>Antivírus>+

Detect Viruses

 Block: bloqueia o arquivo infectado.


 Monitor: permite o arquivo infectado e registra um evento.

27.1 - Inspected Protocols

Selecione os protocolos que se deseja bloquear ou monitorar arquivos infectados. Esta


feature oferece suporte para HTTP, SMTP, POP3, IMAP, MAPI e FTP.

Através da aba System >FortiGuard é possível validar a versão da engine de


antivírus e realizar upload de atualizações. As atualizações são realizadas de forma
automática através da FortiGuard.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 112/21
FORTIGATE 1
6

28 - Application Control

Este recurso oferece gerenciamento de aplicações.

Vá até Security Profiles > Application Control > +

Para cada categoria é possivel definir as ações Allow, Monitor, Block e Quarentine.

Application Override são listas de exceções para uma assinatura em especifico.

Ex: a categoria Storage Backup esta bloqueada e você precisa liberar apenas a
aplicação 4shared. Então é necessario adicionar uma exceção para o 4shared
conforme demonstrado acima.

O application control utiliza a mesma engine do IPS.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 113/21
FORTIGATE 1
6

29 - IPS

O Instrusion Prevent System fornece uma camada de proteção contra ataques através
de uma base de assinaturas que é atualizada periodicamente de forma automática
pela FortiGuard.

Através da aba System>FortiGuard é possível validar as versões da engine de IPS e


realizar um push para receber novas atualizações de IPS e Antivírus se estiverem
disponíveis.

Para configurar um sensor de IPS vá até Security Profiles>Intrusion Protection>+

Ação para cada assinatura:

Pass: Permite o tráfego.


Monitor: Permite o tráfego e armazena registros do tráfego (função de IDS).
Block: bloqueia o trafego.
Reset: Envia um reset para o tráfego correspondente à assinatura (rejeita).
Default: ação default de cada assinatura (View IPS Signatures> coluna action exibe
a ação default de cada assinatura).
Quarantine: é possível definir um período de retenção na quarentena
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 114/21
FORTIGATE 1
6

30 - DNS Filter& Botnet C&C

Este recurso permite gerenciar requisições DNS com base em url’s e categorias;
semelhante aos profiles de webfilter

O novo banco de dados da FortiGuard contém uma lista de endereços conhecidos de


Botnet C&C (comando and control), e este banco de dados é atualizado
dinamicamente e armazenado no Fortigate.

Para obter este serviço é necessário possuir o licenciamento FortiGuard Web filtering.

Para configurar um profile vá até Security Profiles>DNS Filter>+

Static Domain Filter é semelhante à lista de url’s do profile de web filter.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 115/21
FORTIGATE 1
6

31 - CASI

Cloud Access Security Inspection oferece suporte para controle de aplicações


populares na nuvem, como Youtube, Dropbox, Baidu, Amazon.

O CASI é aplicado em uma regra como qualquer outro profile de segurança, mas
infelizmente o CASI não funciona quando é aplicado em uma regra junto com outros
profiles de segurança em modo Proxy-Based como Antivirus e Web Filter; certifique-se
de que na regra contenha apenas profiles no modo Flow-Based.

Vá até Security Profiles>Cloud Access Security Inspection > +

As ações disponíveis são Allow, Blocke Monitor.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 116/21
FORTIGATE 1
6

32 - Web Application Firewall

O Fortigate possui esta feature similar a um firewall de aplicação, porem com recursos
limitados. Esta feature adiciona uma camada de proteção contra ataques na camada
de aplicação como SQL Injection, Exploits conhecidos e trojans.

Vá até Security Profile>Web Application Firewall> +

Este recurso possui Signatures e Constraints com as ações Allow, Block e Monitor.

Este profile pode ser adicionado para proteger um servidor web em uma regra de NAT
de entrada, e deve ser habilitado um profile de inspeção SSL em Full Inspection
(deep).
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 117/21
FORTIGATE 1
6

33 - Data Leak Prevention

DLP é um recurso que previne o vazamento de informações; ele examina o trafego em


busca dos padrões de dados que foi especificado e então toma uma ação com base
no que foi configurado no profile.

Diversas combinações podem ser realizadas de acordo com a necessidade mesclando


as opções disponíveis.

Vá até Security Profiles>Data Leak Prevention>+

No exemplo acima, será bloqueado arquivos com a extensão .mp3.

Na regra é necessário aplicar um profile de inspeção SSL em modo Full Inspection


(deep).
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 118/21
FORTIGATE 1
6

34 - Inspeção SSL

Ao habilitar este recurso, o Fortigate inspeciona todo o tráfego que utiliza o protocolo
criptografado SSL. O Fortigate irá receber o tráfego em nome do cliente, abrir o tráfego
criptogrado (descriptografar), e ao terminar a inspeção, o tráfego será criptografado
novamente e enviado ao destinatário.

Quando o tráfego criptografado é descriptografado, ele deve ser criptografado


novamente utilizando o certificado do Fortigate, ao invés do certificado original; isto
pode causar mensagens de erros de certificado ao acessar sites.

Este comportamento é semelhante a um ataque man-in-the-middle.Os protocolos


criptografados que podem ser inspecionados são HTTPS, SMTPS, POP3S, IMAPS e
FTPS.

Este recurso de inspeção pode trabalhar em dois modos, SSL Certification e Full SSL
Inspection.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 119/21
FORTIGATE 1
6

34.1 - SSL Certification Inspection

Neste modo de inspeção, o Fortigate inspeciona apenas as informações do cabeçalho


dos pacotes. Este modo é utilizado para validar a identidade dos servidores da web e
pode ser usado para garantir o controle de bloqueio e permissão para sites que
utilizam o protocolo SSL.

Neste método não é necessário a instalação de certificados nos navegadores dos


usuários e não apresentam erros de certificados.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 120/21
FORTIGATE 1
6

34.2 - Full SSL Inspection

Para garantir que todo o conteúdo criptografado seja inspecionado, utilize a inspeção
Full SSL (inspeção profunda). Neste método o Fortigate representa o destinatário da
sessão SSL; descriptografa e inspeciona o conteúdo, e em seguida criptografa o
conteúdo, cria uma nova sessão SSL entre o Fortigate e o destinatário, representando
o remetente e enviando o conteúdo ao seu destino.

Quando o Fortigate criptografa novamente o conteúdo, ele usa um certificado


armazenado no Fortigate. O Cliente deve confiar neste certificado para evitar erros de
certificado. Esta confiança depende do cliente, que deve possuir seu próprio
repositório de certificados.

Neste método, é necessário realizar o download do certificado do Fortigate e instalar


nos navegadores dos usuários para evitar erros de certificado.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 121/21
FORTIGATE 1
6

34.3 - SSL Exemption

É possível realizar a isenção da inspeção SSL Profunda em categorias de sites e


objetos de rede.

Vá até Security Profiles >SSL/SSH Inspection>selecione o profile em Full SSL


Inspection

34.4 - Dica antes de aplicar uma inspeção SSL

 Defina se será utilizada a inspeção simples ou profunda.


 Defina qual certificado CA que será utilizado para descriptografar o tráfego.
 Defina quais protocolos serão inspecionados
 Defina quais portas serão associadas com quais protocolos SSL para fins de
inspeção
 Defina quais sites serão isentos da inspeção SSL
 Defina se deseja ou não permitir certificados SSL inválidos
 Defina se o trafego SSH será inspecionado ou não.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 122/21
FORTIGATE 1
6

35 - Aplicando o Security Profile

Todos os profiles de segurança são aplicados em regras.

Vá até Policy Objects>IPV4 Policy>Create New


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 123/21
FORTIGATE 1
6

36– VPN

Virtual Private Network é uma rede virtual privada utilizada para conectar redes em
longa distância com recursos de criptografia provendo segurança.

As VPN no Fortigate podem ser baseadas em Políticas ou baseadas em Rotas. Neste


curso vamos abordar somente os conceitos e configurações de VPN SSL e VPN Site
to site (gateway-to-gateway).

36.1 - Route-Based VPN

Uma vpn baseada em rotas écriada duas regras entre a interface virtual e o destino,
regras de ida e volta do trafego sendo necessário criação de roteamento apontando
para a rede remota do túnel.

36.2 - Policy-Based VPN

Uma vpn baseada em políticas, apenas uma regra de acesso permite a comunicação
bidirecional. Este tipo de vpn é conhecido também como vpn em modo túnel.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 124/21
FORTIGATE 1
6

36.3 - Configuração de VPN Ipsec Site to Site

VPN site to site é uma vpn configurada entre dois dispositivos (firewall x firewall) no
qual é estabelecido um túnel entre as duas pontas, e para os usuários é transparente,
o acesso aos recursos de rede é realizado como se estivessem no mesmo local físico.

Para configurar uma VPN Site to Site é necessário:

 Configuração de Fase 1 e Fase 2 da VPN


 Configuração de Regras de acesso para o túnel VPN
 Configuração de rota estática
 As configurações de ambos lados devem estar iguais ou alinhadas.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 125/21
FORTIGATE 1
6

Vá até VPN >IPsec Tunnels>Create New

É possível utilizar o wizard para auxilio, porém vamos utilizar o template Custom para
realizar a configuração.

Atribua um nome, selecione o template Custom e clique em Next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 126/21
FORTIGATE 1
6

36.4 - Fase 1 – Network

IP Version

É possível selecionar o protocolo IPV4 ou IPV6.

Remote Gateway

 Static IP Address: ip estático deve ser atribuído.


 Diaulp User: utilizado para configuração de vpn cliente to site.
 Dynamic DNS: é possível mapear um DDNS.

IP Address

Definir o peer do cliente remoto; definir o ip público do equipamento remoto.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 127/21
FORTIGATE 1
6

Interface

Neste exemplo foi mapeada a interface Link Vivo cujo endereço IP é 189.100.10.10.
Este endereço ip será mapeado no dispositivo remoto.

Mode Config

Geralmente utilizado em configurações de vpn cliente to site.Quando habilitado, outras


opções se tornam disponíveis:

 Client Address Range


 Subnet mask
 Use System DNS
 DNS Server
 Enable IPv4 Split Tunel

NAT Traversal

Ative esta opção se houver um dispositivo Nat entre o Fortigate local e o dispositivo
Remoto. Os dois dispositivos devem possuir a mesma configuração habilitada.

Forced

Este recurso utilizará um valor de porta zero ao construir o hash de descoberta NAT.
Isso faz com que o peer pense que esta atrás de um dispositivo NAT, ele usará o
encapsulamento UDP para IPSEC, mesmo se nenhum NAT estiver presente. Esta
técnica mantém a interoperabilidade com qualquer IPSEC.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 128/21
FORTIGATE 1
6

Keepalive Frequency

Se o NAT Traversal estiver habilitado, automaticamente o keepalive será habilitado


com o valor padrão.
Este recurso envia um sinal para manter a conectividade quando hpa dispositivos NAT
envolvidos, pois sem o keepalive, os dispositivos intermediários podem dropar a
conexão após o tempo limite.

Dead Peer Detection

Este recurso valida se o túnel esta up ou down.

36.5 - Authentication – Fase 1

Method

Possível utilizar pre-shared key (senha) ou Singnature (certificado digital).

36.6 - IKE version 1 ou 2

Internet Key Exchange é o protocolo utilizado para configurar ao Security Association


(AS) na negociação IPSec. É possivel escolher as versões IKEv1 e IKEv2 quando
utilizado vpn baseada em rotas.

Ao utilizar o IKEv1 é possível selecionar dois modos, Agressive e Main Mode. No


IKEv2 estas opções não estão disponíveis.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 129/21
FORTIGATE 1
6

36.7 - Agressive Mode vs Main Mode

 Main Mode: os parâmetros da fase 1 são negociados em múltiplas rodadas


com as informações de autenticação criptografadas.
 Agressive Mode: os parâmetros da fase 1 são trocados em uma única
mensagem com as informações de autenticação sem criptografia.

O modo Agressive não é tão seguro quanto o modo Main, porem é mais rápido na
troca de informações. Caso o peer remoto utilize um ID local identificador ou ambos
pares utilizem ip’s externos dinâmicos seria necessário apontar como Agressive Mode.

36.8 - Security Association

É o resultado bem sucedido entre a negociação da fase 1 local e remota. A AS pode


conter informações sobre algoritmos e chaves criptográficas, keylife e o numero de
seqüência de pacotes.

36.9 - Proposal – Fase 1

Nesta etapa é definido quais parâmetros de criptografia e autenticação serão utilizados


em ambos peers para a fase 1.

Diffie-Hellman Group

É um método de criptografia especifico utilizado para realizar a troca de chaves.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 130/21
FORTIGATE 1
6

XAUTH

É possível definir autenticação de usuários neste tópico. Recurso geralmente utilizado


em vpn cliente to site.

Key Lifetime

Tempo definido antes da expiração da chave de criptografia IKE.

36.10 - Fase 2- Tráfego Interessante

Name

Defina um nome para a fase 2 , o nome deve ser diferente da fase 1.

Local Address

Deve ser definido o endereço ip da rede local

Remote Address

Deve ser definido o endereço Ip da rede remota.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 131/21
FORTIGATE 1
6

36.11 - Fase 2 – Parâmetros

Nesta etapa sãodefinidos quais parâmetros de criptografia e autenticação serão


utilizados em ambos peers para a fase 2.

Enable Replay Detection

Recurso de segurança que impede replay attacks; quando uma parte não autorizada
intercepta uma série de pacotes IPsec e direciona de volta para o túnel.

Enable Perfect Forward Secrecy (PFS)

Este recurso melhora a segurança, forçando uma nova troca de chaves através do
Diffie-Helman.

Auto-Negotiate

A renegociação do túnel ocorre automática quando o tempo limite expirar.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 132/21
FORTIGATE 1
6

AutoKey Keep Alive

Mantem o túnel ativo mesmo que não haja trafego.

Key Lifetime

Define quanto tempo irá demorar para que a chave da fase 2 expire.

36.12 - Roteamento via VPN

Necessário criar roteamento apontando para o túnel de vpn criado para que o tráfego
seja redirecionado.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 133/21
FORTIGATE 1
6

36.12 - Regra VPN


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 134/21
FORTIGATE 1
6

37 - Configuração de VPN SSL

VPN SSL pode funcionar de dois modos:

 Web Mode: utilizando o navegador.


 Tunnel Mode: utilizando o Forticlient.

Para configurar a VPN SSL no modo túnel e modo web será necessário criar o usuário
para vincular nas configurações; neste exemplo iremos vincular o usuário local
teste_vpn.

Vá até User & Device>User Definition>Create New


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 135/21
FORTIGATE 1
6

37.1 - Configuração do Portal SSL

Vá até VPN >SSL-VPN Portals> edite o perfil full-access.

O perfil full-access permite acesso a vpn no modo túnel e modo web.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 136/21
FORTIGATE 1
6

37.2 - Tunnel Mode

Limit Users to One SSL-VPN Connection at a time

Este recurso limita a conexão de um usuario por vez na vpn.

37.3 - Enable Split Tunneling

Com este recurso desabilitado todo o tráfego de internet da maquina que conectar na
vpn, utilizará o túnel vpn. Será necessária a criação de regras de acessoà internet
caso esteja desabilitado.

Com este recurso habilitado, o cliente utilizará a conexão da vpn apenas para acessar
as redes mapeadas na configuração, e os demais acessos irá utilizar o link local de
internet do cliente. Quando as redes estão definidas no Split tunneling e o cliente
conecta, o firewall adiciona rotas locais diretamente no host do cliente.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 137/21
FORTIGATE 1
6

37.4 - Source IP Pools

É possível mapear o range de endereços que será distribuído para os hosts que
conectarem na vpn. Por padrão, o firewall possui o objeto SSLVPN_TUNNEL_ADDR1
destinado ao uso de vpn’s no firewall. Os ranges de endereçamento pode variar em
cada Fortigate.

37.5 - Tunnel Mode Client Options

São opções adicionais que podem ser configuradas no túnel, porem não é
fundamental para o funcionamento da VPN.

37.6 - Web Mode

As configurações do web portal são opcionais, não são obrigatórias para o


funcionamento do túnel; sendo possível customizar mensagem ao acessar o túnel, cor
do tema do túnel, login history, bookmarks para adicionar atalhos de navegação.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 138/21
FORTIGATE 1
6

Vá até VPN >SSL-VPNSettings para configurar os parâmetros de acesso ao túnel

Listen on Interface

Selecione qual interface será mapeado o acesso a vpn.

Listen Port

Defina uma porta especifica para que o acesso a vpn não conflite com outros serviços.

Restric Access

Possível restringir o acesso dos hosts na vpn.

Idle Logout

Defina o timeout de sessão.

Server Certificate

É opcional definir um certificado a ser utilizado para validar os acessos.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 139/21
FORTIGATE 1
6

Address Range

O range de endereçamento que será distribuído aos hosts.

DNS Server

É possível definir os servidores DNS que os hosts irão utilizar.

Authentication / Portal Mapping

Vincule os usuários ou grupo de usuários que poderão se autenticar na vpn.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 140/21
FORTIGATE 1
6

37.7 - Regras de acesso para a VPN SSL

Necessário vincular a interface SSL-VPN tunnel Interface (ssl.root), o usuário ou o


grupo de usuários para autenticação.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 141/21
FORTIGATE 1
6

Para acessar o portal via web mode, utilize o endereço https://endereço:porta

É possível realizar o download através do site www.forticlient.com

Defina as configurações da VPN SSL conforme mapeado no Fortigate.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 142/21
FORTIGATE 1
6

Insira as credenciais de acesso para acessar a vpn no modo túnel.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 143/21
FORTIGATE 1
6

38 – Logging & Monitoring

O armazenamento de logs é fundamental para que seja possível monitorar as


atividades tanto dos usuários quanto de eventos do firewall. Através do
armazenamento externo ou interno é possível realizar relatórios de utilização,
diagnósticos para troubleshooting, monitoramento de saúde e outras atividades.

38.1 - Níveis de Logs

Emergency Sistema instável

Alert Requer uma ação imediata

Critical  Funcionalidade afetada

Error Existe um erro que pode afetar alguma funcionalidade

Warning  Funcionalidade pode ser afetada

Notification  informação sobre eventos normais

Information Eventos gerais do sistema

Debug logs de depuração


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 144/21
FORTIGATE 1
6

38.2 - Tipos de Logs

Os log’s são dividos em 3 tipos, Trafego, Eventos e Segurança.

38.3 - Cabeçalho e Corpo de um log (header & body)

No cabeçalho de um log contem informações referentes ao tipo de log, subtipo, nivel


do log, vdom e data e hora.

No corpo de um log contem id da policy que o trafego deu match, nome do usuário,
grupo, endereço de origem, porta de origem, endereço de destino, porta de destino,
interfacese serviço.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 145/21
FORTIGATE 1
6

38.4 – Armazenamento& Envio de Logs

38.5 - Memory

Os logs podem ser armazenados na memória do Fortigate, porem esta memória é


limitada e ao reiniciar o firewall todos os logs são perdidos.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 146/21
FORTIGATE 1
6

38.6 - Hard Drive

Alguns modelos de Fortigate possuem disco rígido, sendo possível armazenar os log’s
diretamente no disco.

Vá até Log & Report>Log settings

38.7 - Syslog

É possível encaminhar os log’s para um syslog.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 147/21
FORTIGATE 1
6

38.8 - FortiCloud

É possível encaminhar os log’s para o armazenamento na nuvem, porem é necessário


uma licença especifica.

38.9 - SNMP

É possível monitorar as informações de status do Fortigate através do protocolo SNMP


(Simple Network Management Protocol); é necessário configurar o SNMP Agent
(Fortigate) para enviar traps para o SNMP Manager (Nagios, Opsview, Zabbix)
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 148/21
FORTIGATE 1
6

Vá até System > SNMP > escolha a versão de SNMP a ser configurada SNMP v1/v2c
ou SNMP v3 e clique em create new para configurar a SNMP Community e os recursos
que serão monitorados.

Habilite o SNMP Agent conforme abaixo:

Habilite o SNMP na interface mapeada.

Após as etapas acima, realize o download do arquivos MIB e configure o SNMP


Manager desejado.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 149/21
FORTIGATE 1
6

38.10 - FortiAnalyzer / FortiManager

39 - Configurações de Policy que geram Log’s

Segue abaixo uma tabela que simplifica o entendimento das configurações realizadas
em uma policy que vão gerar logs de segurança e log de sessão.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 150/21
FORTIGATE 1
6

40 - Log & Report

Esta seção reune diversos tipos de log’s do Fortigate de forma separada.

Forward Traffic

É possível visualizar os log’s de trafego que estão passando pelo Fortigate.

Vá até Log & Report > Forward Traffic


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 151/21
FORTIGATE 1
6

Local Traffic

System Events

VPN events

User Events
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 152/21
FORTIGATE 1
6

HA Events

Antivirus

Web Filter

Application Control
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 153/21
FORTIGATE 1
6

Anomaly

Data Leak Prevention


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 154/21
FORTIGATE 1
6

41 - Fortiview

É outra maneira de visualizer diversos tipos de log’s e informações de utilização de


forma prática.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 155/21
FORTIGATE 1
6

Fortiview> Sources

Trafego com base no endereço de origem.

FortiView>Destinations

FortiView> Interfaces

Exibe um gráfico sobre as interfaces.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 156/21
FORTIGATE 1
6

FortiView>Policies

Exibe as policies que mais apresentam consumo em um determinado período.

FortiView>Countries

Exibe as sessões de tráfego com base nos países.

FortiView>All Sessions

Exibe todas as sessões de tráfego.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 157/21
FORTIGATE 1
6

FortiView>Applications

Exibe as aplicações mais utilizadas no período de tempo.

FortiView>Web Sites

Exibe os web sites mais visitados.

FortiView>Threats

Exibe os tráfegos considerados como ameaças.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 158/21
FORTIGATE 1
6

FortiView>Threat Map

É possível visualizar em tempo real e arrastar o ‘mini fortigate’ no mapa para qualquer
localização, a fim de visualizar os tipos de ameaças que estão ocorrendo pelo mundo.
Este recurso é sincronizado com a FortiGuard.

FortiView>Failed Authentication

Exibe as falhas de autenticação.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 159/21
FORTIGATE 1
6

FortiView>System Events

FortiView>Admin Logins

Exibe os usuários administradores que realizaram login e se realizaram alterações de


configurações.

FortiView>VPN

Exibe os usuários que se autenticaram em VPN.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 160/21
FORTIGATE 1
6

41 - Autenticação

41.1 - Autenticação Ativa

Na autenticação ativa, os usuários recebem uma tela para inserir as credenciais de


acesso (login & senha).

- LDAP, RADIUS, Local e TACACS +.

41.2 - Local Users

Para criar usuários que vão autenticar localmente, vá até User & Device>User
Definition>Create New

Selecione Local User > Next


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 161/21
FORTIGATE 1
6

E-mail é opcional, clique em next

É possível habilitar two-factor authentication selecionando um token disponível e incluir


o usuário em grupo de usuários.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 162/21
FORTIGATE 1
6

42.3 - Autenticação via LDAP

Vá até User & Device>LDAP Servers>Create New e configure o profile LDAP


vinculando o servidor AD.

Selecione o tipo Firewall e vincule o servidor LDAP criado.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 163/21
FORTIGATE 1
6

Vá até Policy & Objects> IPV4 Policy e crie a regra de acesso mapeando o profile
LDAP criado.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 164/21
FORTIGATE 1
6

43 - Autenticação Passiva

Na autenticação passiva, os usuários são autenticados de forma transparente, não é


apresentada uma tela solicitando o login e senha do usuário.

- FSSO e RSSO.

43.1 - FSSO – Fotinet Single Sign On

Single Sign On é um mecanismo que permite aos usuários acessos a diversos


serviços a partir de uma única autenticação, sem a necessidade de se autenticar
novamente.

O Fortigate consegue prover este recurso de autenticação para usuários do Windows


AD, Citrix e Novell eDirectory com a ajuda de um software agent instalado na rede. O
software agent coleta e envia informações de logon para o Fortigate, e com base
nessas informações e as políticas de segurança, o Fortigate permite autenticação e
acessos a diversos recursos na rede sem solicitar as credenciais do usuário
novamente.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 165/21
FORTIGATE 1
6

43.2 - FSSO em DC Agent Mode

No modo DC agent, dois client’s são instalados, DC agent e o Agent Collector.

O DC Agent é um arquivo DLL (dcagent.dll) instalado no diretório Windows/system32,


que coleta as informações de logon dos usuários no AD e enviada para o Agent
Collector na porta 8002 UDP.DC agent deve ser instalado em todos os controladores
de domínio que fazem parte da estrutura de autenticações do FSSO.

O Agent Collector é um client que recebe as informações de logon e envia para o


Fortigate na porta 8000 TCP.

O agent collector possui duas formas de acessar as informações dos usuários no


Windows Active Directory , Standard e Advanced.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 166/21
FORTIGATE 1
6

43.3 - Pooling Mode

No modo polling existem 3 opções disponíveis:

43.4 - NetAPI Polling

A pesquisa NetAPI é usada para recuperar sessões de logon no servidor. Este método
é mais rápido que o Event Polling, mas pode perder alguns eventos de logon e exige
um tempo mínimo de consulta de ida/volta de pelo menos 10 segundos.

43.5 - Event Log Polling

Este modo pode ser mais lento, porem tem melhor desempenho na captura de
eventos de logon e não exige o tempo mínimo de 10 segundos, porem necessita que a
rede possua links de altas velocidades para comunicação.

43.6 - Event Logs using WMI

WMI (Windows Management Instrument)é uma API Windows utilizada para obter
informações de um servidor Windows. O Collector Agent é um cliente WMI, e envia
WMI queries de logon de usuários para o Domain Controle que neste caso é um
servidor WMI. A principal vantagem neste modo é que o collector agent não precisa
pesquisar eventos de segurança no DC, o DC retorna todos os eventos de logon
solicitados via WMI; isso reduz a carga de rede entre o DC e o CA.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 167/21
FORTIGATE 1
6

Todas as opções são transparentes e não necessitam da instalação de um dcagent


nos servidores, apenas o agent collector (CA).

43.7 - FSSO DC Agent mode vs Polling Mode

O FSSO em DC Agent Mode é o recomendado pela Fortinet por ser mais acertivo nas
autenticações; seu modo de instalação é mais complexo, porem o modo polling é
muito falho na validação das informações de logon dos usuários.

Segue abaixo uma breve comparação sobre os dois modos:


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 168/21
FORTIGATE 1
6

43.8 - Processo de autenticações no modo DC Agent.

43.9 - Processo de autenticações no modo Polling.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 169/21
FORTIGATE 1
6

44 - Configurando FSSO em DC Agent Mode com método de acesso


Advanced(Expert)

1º Passo – Integrando o Fortigate com o LDAP Server

É possível realizar a integração do Fortinet Single Sign On vinculando o LDAP Server,


a Fortinet chame esta implementação de“Fortinet Single Sign On usando o LDAP e
FSSO Agent em Advanced Mode (Expert).

Vá até User & Device>LDAP Servers>Create New para criar um vinculo via LDAP
entre o Fortigate e o AD.

Name: atribua um nome ao perfil


Server IP/Name: endereço IP do servidor
Server Port:389, porta do protocolo LDAP
Common Name Identifier: cn (common name)
Distinguished Name: preencha conforme a descrição do seu domínio (dc=labfgt,
dc=training, dc=com, dc=com)
Bind Type: selecione Regular
User DN &Password:usuário e senha com privilégios suficientes para leitura da
arvore do AD
Secure Connection: opcional para adicionar criptografia na comunicação.
Test: é possível testar a conectividade com o servidor AD.

2º Passo – Instalar o Agent Collector no Servidor AD

Através do portal support fortinet é possível realizar o download do FSSO Agent e DC


Agent (o FSSO agent contem o DC agent incluso).
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 170/21
FORTIGATE 1
6

Valide no release notes a compatibilidade de versão do client em relação a versão de


Windows Server instalado.

Atualmente existe a versão 4.3 e 5.0

Instalaremos a versão 5.0 compatível com o Windows 2003 server utilizado neste
treinamento.

Execute o instalador e clique em Next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 171/21
FORTIGATE 1
6

Lembre-se: Primeiro será realizado a instalação do Collector Agent (CA) e em


seguida do DC Agent (DC).
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 172/21
FORTIGATE 1
6

Leia os termos de licença, aceite o termo e clique em next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 173/21
FORTIGATE 1
6

Confirme o diretório de instalação default C:\Arquivos de programas\Fortinet\FSAE


e clique em next.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 174/21
FORTIGATE 1
6

Insira a credencial de um usuário administrador:


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 175/21
FORTIGATE 1
6

Deixe marcadas as opções conforme abaixo:

Selecione advanced (possível alterar esta opção após a instalação).


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 176/21
FORTIGATE 1
6

Clique em install para finalizar a instalação.

Após o termino, realize a instalação do DC agent e clique em Finish.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 177/21
FORTIGATE 1
6

3 º Passo – Instalar o DC Agent

É possível prosseguir com a instalação do DC Agent no termino da instalação do


Agent collector, pois o agent collector setup possui o DC Agent incluso; entretanto
você optar por instalar separadamente o client DC Agent.

Diferenças:

- Instalar a partir da instalação do Agent Collector, o client DC Agent não aparece


disponível na pasta de instalação para realizar futuras alterações e verificações de
trobleshooting.

- Instalar isoladamentea partir do client DC Agent, o client fica disponível na pasta de


instalação para futuras alterações.

Instalação do DC Agent incluso no setup do Agent Collector

Prosseguindo ao final da instalação do Agent Collecor, será exibida a tela abaixo.

Defina o IP do servidor onde esta instalado o Collector Agent e clique em avançar.

No exemplo abaixo, o Collector Agent e o DC agent serão instalados no mesmo


servidor, portanto define o proprio IP do servidor.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 178/21
FORTIGATE 1
6

Selecione o domínio no qual o DC agent irá monitor as informações de logon dos


usuários e clique em Avançar.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 179/21
FORTIGATE 1
6

É possível definir uma lista de exclusão, no qual o dc agent não irá monitorar os
eventos de logon de determinados usuários.

No exemplo abaixo, todos os usuários serão monitorados, portanto não marque


selecione nenhum usuário e clique em avançar.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 180/21
FORTIGATE 1
6

Selecione o modo de implementação do FSSO; marque DC Agent Mode e clique em


Avançar.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 181/21
FORTIGATE 1
6

Será necessário reiniciar o servidor para validar a instalação. Clique em sim e o


servidor será reiniciado.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 182/21
FORTIGATE 1
6

Após o reboot, localize o client instalado.

Necessário definir uma senha para sincronismo com o Fortigate e clique em


Save&Close.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 183/21
FORTIGATE 1
6

Instalação do DC agent apartir do setup DC Agent.

Utilizaremos o setup DC Agent na versão 5.0 compatível com o Agent Collector 5.0
previamente instalado.

Execute o instalador e clique em Next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 184/21
FORTIGATE 1
6

Aceite os termos e clique em Next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 185/21
FORTIGATE 1
6

Confirme o diretório de instalação padrão e clique em next.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 186/21
FORTIGATE 1
6

Defina os endereços IP dos hosts no qual estão instalados os Agent Collector.

Você pode apontar apenas o endereço IP seguido por vírgula, ou apontar o


endereço_ip:porta8002.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 187/21
FORTIGATE 1
6

Clique em Install.

Clique em Finish.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 188/21
FORTIGATE 1
6

Observe que após este método de instalação será exibida a opção para acesso ao
client DC Agent Config conforme caminho abaixo:
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 189/21
FORTIGATE 1
6

4º Passo – Configurar o Single On no Fortigate

Vá até a aba User & Device>Single Sign On>Create New para configurar o FSSO.

Name: atribua um nome ao FSSO


Primary Agent IP/Name: endereço ip do agent collector (possível configurar 5 agent
collector).
Password: a senha definida no Agent Collector para sincronismo com o Fortigate.
LDAP Server: selecione o perfil de LDAP Server criado
Groups: selecione os grupos do AD

Após a configuração, verifique o status da configuração do FSSO:

User & Device > Single Sign On

O status deve estar VERDE para que o Single Sign On esteja correto e funcional.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 190/21
FORTIGATE 1
6

Após vincular os grupos através do perfil LDAP nas configurações anteriores, abra o
Agent Collector no Servidor AD e vá até Set Group Filters.

Observe que aparecerá na lista um perfil contendo o Serial number do seu Fortigate e
os grupos mapeados.

Selecione e clique em Edit


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 191/21
FORTIGATE 1
6

Todos os grupos mapeados nas configurações de Single Single On no Fortigate serão


exibidos e mapeados automaticamente nas configurações do Agent Collector.

Observe que não é possível editar através do agent collector, para realizar qualquer
alteração de grupo é necessário alterar através do Fortigate.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 192/21
FORTIGATE 1
6

5 º Passo – Criação de Grupos FSSO

Vá até Users & Device>User Groups > Create New

Selecione FSSO e vincule os grupos mapeados nas configurações do FSSO.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 193/21
FORTIGATE 1
6

6º Passo – Criação de regra (Identity Based Policy)

Vá até Policy & Objects>IPV4 Policy>Create New

Crie a regra de acesso à internet para cada grupo do FSSO, mapeando no campo
Source os grupos em questão.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 194/21
FORTIGATE 1
6

7ª Passo – User Monitor

Vá até Monitor>Firewall User Monitor e valide as autenticações dos usuários via


FSSO.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 195/21
FORTIGATE 1
6

45 - Configurando FSSO DC Agent Mode com método de acesso em


Standard

A configuração é similar ao modo de configuração Advanced, sendo que neste modo


não é necessário a instalação do profile LDAP Server no Fortigate.

Para iniciar, siga as instruções do 2º Passo – Instalar o Agent Collector no Servidor


AD, e no momento de selecionar o modo acesso ao AD conforme demonstrado abaixo
selecione Standard:
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 196/21
FORTIGATE 1
6

Clique em install para finalizar a instalação.

Após o termino, realize a instalação do DC agent e clique em Finish.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 197/21
FORTIGATE 1
6

Sigas as instruções do 3 º Passo – Instalar o DC Agent.

4º Passo – Configurar os grupos do AD no Agent Collector

Abra o agent collector e clique em Set Group Filters.

Clique em ADD
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 198/21
FORTIGATE 1
6

Insira o serial do Fortigate e clique em advanced.

Será exibida a arvore do AD, selecione todos os grupos e clique em ADD selected
user groups.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 199/21
FORTIGATE 1
6

Confirme os grupos selecionados e clique em OK.

Confirme novamente e clique OK. Caso seja um cluster de Fortigate, insira o serial do
FGT Master, adicione os grupos; em seguida insira o serial do FGT Slave e repita o
processo.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 200/21
FORTIGATE 1
6

Apply e em seguida Save&Close.

5º Passo – Configurar o Single Sign On no Fortigate

Vá até User & Device>Single Sing On>Create New


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 201/21
FORTIGATE 1
6

Defina o tipo como Fortinet Single Sign On, Name, Primary Agent IP/Name &
Password, e clique em Apply & Refresh para carregar os grupos configurados no
Agent Collector.

Será exibida uma lista contendo apenas os grupos mapeados no Agent Collector.

Valide o status das configurações do FSSO

6º Passo – Criação de grupos FSSO

Vá até User & Device > User Group > Create New

Selecione o type como Fortinet Single Sign On e vincule os grupos mapeados no


FSSO.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 202/21
FORTIGATE 1
6

7º Passo – Criação de Policy (Identity Based Policy)

Vá até Policy & Objects > IPV4 Policy > Create New

Crie cada policy mapeando cada grupo para aplicar políticas especificas aos grupos.

8º Passo – User Monitor

Valide o status do Logon dos usuários através do Monitor > Firewall User Monitor.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 203/21
FORTIGATE 1
6

46 - Configurando o FSSO em Polling Mode

Sigas as instruções contidas em 1º Passo – Integrando o Fortigate com o LDAP


Server e configure um perfil LDAP entre o Fortigate e AD.

Realize a instalação do Collector agent conforme as instruções contidas em 3º Passo


– Instalar o Agent collector em modo Advanced e altere as opções conforme
abaixo:

Altere para Polling Mode e selecione uma das opções disponíveis para monitoramento
das informações de logon dos usuários.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 204/21
FORTIGATE 1
6

Prossiga com a instalação até finalizar; após a instalação é possível visualizar os 3


modos de operação em polling mode.

Clique em Show Monitored DC’s.

Clique em Select DC to monitor.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 205/21
FORTIGATE 1
6

Em Working Mode é possível alterar tanto para o modo DC agent quanto Polling mode
e suas opções.

Após clicar em OK, observe a alteração no nome do DC com o /Polling.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 206/21
FORTIGATE 1
6

4ª Passo – Configurar o Polling entre o Fortigate e o AD.

No modo Polling é possível mapear apenas 1 servidor AD.

Vá até User & Device>Single Sing On>Create New

Em Type selecione Poll Active Directory Server.

Server IP/Name: ip do servidor AD


User & password: usuário com privilégios de administrador (recomendado o mesmo
utilizado na instalação do client no AD).
LDAP Server: selecione o profile LDAP criado
Enable Polling: marque
Groups: selecione os grupos necessários para autenticação

Valide o status da configuração do Single Sing On, o status deve ficar VERDE para
que esteja funciona.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 207/21
FORTIGATE 1
6

5ª Passo – Criação dos Grupos de Usuários FSSO

Vá até User & Device > User Groups > Create new

Crie os grupos do tipo Fortine Single Sing On e vincule cada grupo.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 208/21
FORTIGATE 1
6

6º Passo – Criação de regras de acesso (Identity Based Policy)

Crie a regra de acesso e vincule o grupo desejado.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 209/21
FORTIGATE 1
6

47 - FSSO – Agent Collector

Neste tópico serão exibidos diversos recursos disponíveis no client Agent Collecor
instalado no AD em caráter de conhecimento e troubleshooting.

47.1 - Agent Collector

Monitoring user logon events: deixe selecionado para o funcionamento padrão que
monitora os eventos de logon dos usuários.

Support NTLM authentication: habilita o suporte NTLM em caso de falhas no serviço


FSSO.

Listening Ports: é possível alterar as portas de comunicação entre Agent Collector x


Fortigate (8000) e DC Agent x Agent Collector (8002).
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 210/21
FORTIGATE 1
6

Logging: em caráter de troubleshooting é possível alterar o nível de logs e o tamanho


arquivo de log

Authentication: definir senha de sincronismo entre o Agent Collector e o Fortigate.

Show Service Status

Exibe os Fortigate’s conectados e o status do serviço.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 211/21
FORTIGATE 1
6

Show Monitored DC’s

Exibe os Domain Controllers monitorados.

Show Logon Users


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 212/21
FORTIGATE 1
6

Exibe uma lista com todos os eventos de logon dos usuários e seus respectivos status.

Select Domains To Monitor

Exibe uma lista com os domínios, sendo possível escolher quais serão monitorados.

Set Directory Access Information

Permite selecionar o modo de acesso ao diretório do Windows AD.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 213/21
FORTIGATE 1
6

Set Group Filters

Permite mapear os grupos do AD.

Set Ignore User List

Permite selecionar os usuários no qual os eventos de logon serão ignorados.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 214/21
FORTIGATE 1
6

Sync Configuration With Other Agents

Permite sincronizar as configurações do collector agent com outros collector agents.

Export Configuration

Permite exportar as configurações do agent collector para um arquivo de texto.


CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 215/21
FORTIGATE 1
6

Timers

Workstations verify interval

O agent collector verifica em cada estação de trabalho se o usuário ainda esta logado
na mesma estação; o agent collector precisa se conectar em cada estação de trabalho
para verificar isso utilizando as portas 139/tcp e 445/tcp.

Não é recomendado o ajuste deste parâmetro para um valor menor a fim de realizar
esta verificação de forma mais rápida; pois esta validação ocorre em lotes e pode
variar muito do tempo padrão de 5 minutos. Ajustar para 1 minuto, por exemplo, não
irá forçá-lo a verificar cada usuário logado de 1 em 1 minuto, irá força-lo a aguardar 1
minuto a cada lote.Para desativar esta verificação defina o valor 0.

Dead entry timeout interval

Definido em 480 minutos (8 horas) é o tempo no qual o client irá aguardar antes de
limpar as informações de logon caso não seja possível verificar o status do usuário
neste período. Para desativar, defina o valor 0, mas não é recomendado pois o status
do usuário permanecerá como logado eternamente até que haja um novo evento de
logon no qual substituirá o evento antigo.

IP address change verify interval

O agent collector verifica por padrão a cada 60 segundos se houve alteração do


endereço IP dos usuários conectados e atualiza o Fortigate quando ocorre uma
alteração.Este recurso é importante em ambientes DHCP, pois esta validação impede
que os usuários sejam bloqueados quando houver alteração de endereço ip.
O agent collector utiliza as configurações de DNS para realizar esta validação; você
pode definir o valor 0 para desabilitar esta verificação.

User/Groups cache expiration interval

Quando este recurso está habilitado, ele armazena as informações de associações de


grupos por um tempo definido (padrão 60 minutos). Selecione “Clear Group Cache”
para limpar as informações armazenadas.
Este recurso é útil em ambientes empresariais com milhares de hosts.
CODIGO:
1ª Edição

TÍTULO: PÁGINA:
REVISÃO:
CURSO BASICO DE GERENCIAMENTO E DIAGNOSTICO 216/21
FORTIGATE 1
6

48 - Collector Agent Lookup

Com as configurações padrão dos timers, o agent collector seguirá a linha de


raciocínio abaixo:

1º - Realize uma pesquisa de endereços IP para obter o endereço IP correto, e


detectar se houve alterações de endereços.

2º - Verifique se é possível se conectar a porta 139 ou 445 do host remoto, caso


contrário defina o status como DESCONHECIDO e vá para a etapa de verificação 5.

3º -Tente abrir o registro da maquina remota, se falhou defina o status como


DESCONHECIDO e vá para a etapa de verificação 5.

4º - Verifique se o registro do usuário ainda existe em HKEY_USERS. Se existir,


defina o status como USER_LOGON, caso contrário defina como USER_LOGOFF.

5º -Se o status for:

 DESCONHECIDO: não faça nada (a entrada será removida em 8 horas).


 USER_LOGOFF: a entrada será removida imediatamente, e o Fortigate será
informado.
 USER_LOGON: se o ip não mudou, a entrada será mantida, caso contrário o
Fortigate precisa ser atualizado com o novo endereço IP.