Você está na página 1de 50

NÃO REIMPRESSE

© FORTINET

Segurança FortiGate

Guia de estudo

para FortiOS 6.4


NÃO REIMPRESSE
© FORTINET

Treinamento Fortinet

https://training.fortinet.com

Biblioteca de documentos Fortinet

https://docs.fortinet.com

Fortinet Knowledge Base

https://kb.fortinet.com

Comunidade de usuários do Fortinet Fuse

https://fusecommunity.fortinet.com/home

Fóruns Fortinet

https://forum.fortinet.com

Suporte Fortinet

https://support.fortinet.com

FortiGuard Labs

https://www.fortiguard.com

Fortinet Network Security Expert Program (NSE)

https://training.fortinet.com/local/staticpage/view.php?page=certifications

Fortinet | Pearson VUE

https://home.pearsonvue.com/fortinet

Comentários

O email: courseware@fortinet.com

27/10/2020
NÃO REIMPRESSE
© FORTINET

ÍNDICE

Log de alterações 4
01 Introdução e configuração inicial 02 Fabric de 5
segurança 57
03 Políticas de Firewall 97
04 Tradução de Endereço de Rede (NAT) 05 143
Autenticação de Firewall 196
06 Registro e Monitoramento 07 253
Operações de Certificado 311
08 Filtragem da Web 361
09 Controle de aplicativo 421
10 antivírus 466
11 Prevenção de intrusões e negação de serviço 12 515
SSL-VPN 566
NÃO REIMPRESSE
© FORTINET
Log de alterações

Esta tabela inclui atualizações para o Guia de estudo do FortiGate Security 6.4 de 01/06/2020 até a versão atualizada do documento de 27/10/2020.

mudança Localização

Várias correções de formatação Guia completo

Guia de estudo do FortiGate Security 6.4 4


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Nesta lição, você aprenderá sobre os fundamentos da administração do FortiGate e os componentes do FortiGate que podem ser ativados para
estender a funcionalidade. Esta lição também inclui detalhes sobre como e onde o FortiGate se encaixa em sua arquitetura de rede existente.

Guia de estudo do FortiGate Security 6.4 5


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Nesta lição, você explorará os tópicos mostrados neste slide.

Guia de estudo do FortiGate Security 6.4 6


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Depois de concluir esta seção, você será capaz de alcançar os objetivos mostrados neste slide.

Ao demonstrar competência na identificação dos recursos de design de plataforma do FortiGate, recursos do FortiGate em redes virtualizadas e na nuvem,
bem como as unidades de processamento de segurança do FortiGate, você será capaz de descrever os componentes fundamentais do FortiGate e
explicar os tipos de tarefas que o FortiGate pode fazer.

Guia de estudo do FortiGate Security 6.4 7


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

No passado, a maneira comum de proteger uma rede era proteger o perímetro e instalar um firewall no ponto de entrada. Os administradores
de rede costumavam confiar em tudo e em todos dentro do perímetro.

Agora, o malware pode facilmente contornar qualquer firewall de ponto de entrada e entrar na rede. Isso pode acontecer por meio de um stick USB
infectado ou do dispositivo pessoal comprometido de um funcionário conectado à rede corporativa. Além disso, como os ataques podem vir de
dentro da rede, os administradores de rede não podem mais confiar em usuários e dispositivos internos inerentemente.

Além do mais, as redes de hoje são ambientes altamente complexos cujas fronteiras estão em constante mudança. As redes são executadas
verticalmente da LAN para a Internet e horizontalmente da rede física para uma rede virtual privada e para a nuvem. Uma força de trabalho
móvel e diversificada (funcionários, parceiros e clientes) acessando recursos de rede, nuvens públicas e privadas, a Internet das Coisas (IoT)
e programas "traga seu próprio dispositivo" conspiram para aumentar o número de vetores de ataque contra sua rede.

Em resposta a esse ambiente altamente complexo, os firewalls se tornaram dispositivos multifuncionais robustos que combatem uma série de ameaças
à sua rede. Assim, o FortiGate pode atuar em diferentes modos ou funções para atender a diferentes requisitos. Por exemplo, o FortiGate pode ser
implantado como um firewall de data center cuja função é monitorar as solicitações de entrada para os servidores e protegê-los sem aumentar a latência
para o solicitante. Ou o FortiGate pode ser implantado como um firewall de segmentação interna como meio de conter uma violação de rede.

O FortiGate também pode funcionar como servidores DNS e DHCP e ser configurado para fornecer filtro da web, antivírus e serviços IPS.

Guia de estudo do FortiGate Security 6.4 8


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

No diagrama da arquitetura mostrado neste slide, você pode ver como as plataformas FortiGate agregam força, sem comprometer a flexibilidade. Como
dispositivos de segurança separados e dedicados, o FortiGate ainda é internamente modular. Mais:

• Dispositivos adicionam duplicação. Às vezes, dedicação não eficiência média. Se estiver sobrecarregado, um dispositivo pode emprestar RAM
livre de outros nove? Você deseja configurar políticas, registro e roteamento em 10 dispositivos separados? A duplicação de 10 vezes traz 10 vezes
mais benefícios ou é um incômodo? Para empresas de pequeno a médio porte ou escritórios de filiais, o gerenciamento unificado de ameaças
(UTM) costuma ser uma solução superior, em comparação com dispositivos dedicados separados.

• O hardware FortiGate não é apenas comercial. É de classe de operadora. A maioria dos modelos FortiGate tem um ou mais circuitos especializados,
chamados ASICs, que são projetados pela Fortinet. Por exemplo, um chip CP ou NP lida com criptografia e encaminhamento de pacotes com mais eficiência.
Comparado a um dispositivo de finalidade única com apenas uma CPU, o FortiGate pode ter um desempenho dramaticamente melhor. Isso é especialmente
crítico para data centers e operadoras onde a taxa de transferência é crítica para os negócios.

(A exceção? As plataformas de virtualização - VMware, Citrix Xen, Microsoft ou Oracle Virtual Box - têm vCPUs de uso geral. Mas a
virtualização pode valer a pena por causa de outros benefícios, como computação distribuída e segurança baseada em nuvem.)

• FortiGate é flexível. Se tudo o que você precisa é um firewall e antivírus rápidos, o FortiGate não exigirá que você desperdice CPU, RAM e eletricidade em outros
recursos. Em cada política de firewall, UTM e módulos de firewall de próxima geração podem ser ativados ou desativados. Além disso, você não pagará mais para
adicionar licenças de assento VPN posteriormente.
• FortiGate coopera. A preferência por padrões abertos em vez de protocolos proprietários significa menos dependência do fornecedor e mais
opções para integradores de sistema. E, à medida que sua rede cresce, o FortiGate pode aproveitar outros produtos Fortinet, como FortiSandbox
e FortiWeb, para distribuir o processamento para maior segurança e desempenho ideal - uma abordagem total do Security Fabric.

Guia de estudo do FortiGate Security 6.4 9


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

As máquinas virtuais (VMs) FortiGate têm os mesmos recursos que os FortiGates físicos, exceto para aceleração de hardware. Por quê? Primeiro, o software da
camada de abstração de hardware para hipervisores é feito por VMware, Xen e outros fabricantes de hipervisores, não por Fortinet. Esses outros fabricantes não
fabricam os chips SPU de propriedade da Fortinet. Mas também há outro motivo. O objetivo das CPUs virtuais genéricas e outros chips virtuais para hipervisores
é abstrair os detalhes do hardware. Dessa forma, todos os sistemas operacionais convidados da VM podem ser executados em uma plataforma comum,
independentemente do hardware diferente no qual os hipervisores estão instalados. Ao contrário de vCPUs ou vGPUs que usam genéricos, não ótimo RAM e
vCPUs para abstração, os chips SPU são especializados otimizado circuitos. Portanto, um chip ASIC virtualizado não teria os mesmos benefícios de
desempenho de um chip SPU físico.

Se o desempenho em hardware equivalente for menor, você pode se perguntar, por que alguém usaria uma VM FortiGate? Em redes de grande escala que
mudam rapidamente e podem ter muitos inquilinos, poder de processamento e distribuição equivalentes podem ser alcançados usando uma quantidade maior
de hardware de uso geral mais barato. Além disso, pode valer a pena trocar algum desempenho por outros benefícios. Você pode se beneficiar de uma
implantação e desmontagem mais rápida de redes e dispositivos.

O FortiGate VMX e o FortiGate Connector for Cisco ACI são versões especializadas do FortiOS e uma API que permite orquestrar mudanças
rápidas de rede por meio de padrões, como OpenStack para rede definida por software (SDN).

• O FortiGate VM é implantado como VM convidado no hipervisor.


• FortiGate VMX é implantado dentro de redes virtuais de um hipervisor, entre VMs convidadas.
• O Conector FortiGate para Cisco ACI permite que a ACI implante física ou VMs FortiGate virtuais para tráfego norte-sul.

Guia de estudo do FortiGate Security 6.4 10


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Todo o hardware de aceleração de hardware Fortinet foi renomeado para unidades de processamento de segurança (SPUs). Isso inclui processadores
NPx e CPx.

A maioria dos modelos FortiGate tem hardware de aceleração especializado, chamado SPUs, que pode descarregar o processamento intensivo de recursos dos
recursos de processamento principal (CPU). A maioria dos dispositivos FortiGate inclui processadores de conteúdo (CPs) especializados que aceleram uma ampla
gama de processos de segurança importantes, como varredura de vírus, detecção de ataques, criptografia e descriptografia. (Apenas os modelos FortiGate de nível
básico selecionados não incluem um processador CP.)

Os dados SPU e nTurbo agora estão visíveis em vários locais na GUI. Por exemplo, a coluna Sessões ativas pop-up na lista de políticas de
firewall e o widget do painel Sessões. A contabilidade por sessão é um recurso de registro que permite ao FortiGate relatar os números
corretos de bytes / pacotes por sessão para sessões transferidas para um processador NP7, NP6 ou NP6lite.

O exemplo a seguir mostra o Sessões widget do painel de controle de sessões SPU e nTurbo. Sessões atuais mostra o número total de
sessões, SPU mostra a porcentagem dessas sessões que são sessões SPU e Nturbo mostra a porcentagem de sessões nTurbo.

NTurbo descarrega sessões de firewall que incluem perfis de segurança baseados em fluxo para processadores de rede NP6 ou NP7. Sem o NTurbo ou com o
NTurbo desabilitado, todas as sessões de firewall que incluem perfis de segurança baseados em fluxo são processadas pela CPU FortiGate.

Guia de estudo do FortiGate Security 6.4 11


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

O processador de conteúdo da Fortinet (CP9) funciona fora do fluxo direto de tráfego, fornecendo criptografia de alta velocidade e serviços de inspeção de
conteúdo. Isso libera as empresas para implementar segurança avançada sempre que necessário, sem afetar a funcionalidade da rede. CP8 e CP9 fornecem
um caminho rápido para tráfego inspecionado por IPS, incluindo sessões com inspeção baseada em fluxo.

Os processadores CP também aceleram tarefas intensivas baseadas em proxy:

• Criptografia e descriptografia (SSL)


• Antivírus

Os processadores de rede FortiSPU funcionam no nível da interface para acelerar o tráfego, descarregando o tráfego da CPU principal. Os modelos que
suportam FortiOS 6.4 contêm processadores de rede NP6, NP6lite e NP7.

Fortinet integra conteúdo e processadores de rede junto com CPU baseada em RISC em um único processador conhecido como SoC4 para
dispositivos de segurança FortiGate de nível básico usados para empresas distribuídas. Isso simplifica o design do dispositivo e permite um
desempenho inovador sem comprometer a segurança.

Guia de estudo do FortiGate Security 6.4 12


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Guia de estudo do FortiGate Security 6.4 13


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Bom trabalho! Agora você entende alguns dos recursos de alto nível do FortiGate.

Agora, você aprenderá como realizar a configuração inicial do FortiGate e aprenderá por que pode decidir usar uma configuração em vez de
outra.

Guia de estudo do FortiGate Security 6.4 14


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Depois de concluir esta seção, você será capaz de alcançar os objetivos mostrados neste slide.

Ao demonstrar competência na configuração do FortiGate, você será capaz de usar o dispositivo com eficácia em sua própria rede.

Guia de estudo do FortiGate Security 6.4 15


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

E quanto à arquitetura de rede? Onde o FortiGate se encaixa?

Ao implantar o FortiGate, você pode escolher entre dois modos de operação: modo NAT ou modo transparente.

• No modo NAT, o FortiGate roteia pacotes baseados na Camada 3, como um roteador. Cada uma de suas interfaces de rede lógicas tem um
endereço IP e o FortiGate determina a interface de saída ou saída com base no endereço IP de destino e nas entradas em suas tabelas de
roteamento.
• No modo transparente, o FortiGate encaminha pacotes na Camada 2, como um switch. Suas interfaces não possuem endereços IP e o
FortiGate determina a interface de saída ou saída com base no endereço MAC de destino. O dispositivo no modo transparente possui um
endereço IP usado para gerenciamento de tráfego.

Interfaces posso ser exceções ao modo de operação do roteador versus switch, em uma base individual.

Quando os domínios virtuais (VDOMs) são habilitados no FortiGate, cada VDOM pode ser configurado para o modo NAT ou modo transparente,
independentemente do modo de operação dos outros VDOMs no FortiGate. Por padrão, os VDOMs estão desabilitados no dispositivo FortiGate, mas
ainda há um VDOM ativo: o raiz VDOM. Está sempre lá em segundo plano. Quando os VDOMs são desabilitados, o modo NAT ou modo transparente
está relacionado ao VDOM raiz.

VDOMs são um método de dividir um dispositivo FortiGate em dois ou mais dispositivos virtuais que funcionam como vários dispositivos
independentes. Os VDOMs podem fornecer políticas de firewall separadas e, no modo NAT, configurações completamente separadas para
roteamento e serviços VPN para cada rede ou organização conectada. No modo transparente, o VDOM aplica a varredura de segurança ao tráfego
e é instalado entre a rede interna e a externa.

Por padrão, um VDOM está no modo NAT quando é criado. Você pode alternar para o modo transparente, se necessário.

Guia de estudo do FortiGate Security 6.4 16


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

O modo de conversão de endereço de rede (NAT) é o modo de operação padrão. Quais são as outras configurações padrão de fábrica? Depois de
remover o FortiGate de sua caixa, o que você faz a seguir?

Agora você vai dar uma olhada em como configurar o FortiGate.

Conecte o cabo de rede do seu computador à porta 1 ou às portas do switch interno (modelo básico). Para modelos de gama alta e média, conecte-se à interface
MGMT. Na maioria dos modelos básicos, há um servidor DHCP nessa interface, portanto, se as configurações de rede do seu computador estiverem com DHCP
habilitado, seu computador deve obter um IP automaticamente e você pode começar a configuração.

Para acessar a GUI no FortiGate ou FortiWifi, abra um navegador da web e vá para http://192.168.1.99.

As informações de login padrão são de conhecimento público. Nunca deixe a senha padrão em branco. Sua rede é tão segura quanto a do
FortiGate admin conta. Depois de fazer login com os detalhes de login padrão, você verá um
mensagem para alterar a senha em branco padrão para o usuário admin. Antes de conectar o FortiGate à sua rede, você deve definir uma senha
complexa.

Todos os modelos FortiGate possuem uma porta de console e / ou porta de gerenciamento USB. A porta fornece acesso CLI sem uma rede. A CLI pode
ser acessada pelo widget do console CLI na GUI ou a partir de um emulador de terminal, como PuTTY ou Tera Term.

Guia de estudo do FortiGate Security 6.4 17


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Alguns serviços FortiGate se conectam a outros servidores, como o FortiGuard, para funcionar. Os serviços de assinatura do FortiGuard fornecem
ao FortiGate informações atualizadas sobre ameaças. FortiGate usa FortiGuard por:

• Solicitar pacotes periodicamente que contenham um novo motor e assinaturas


• Consultar o FDN em um URL individual ou nome de host

Por padrão, a localização do servidor FortiGuard é configurada para qualquer lugar onde o FortiGate irá selecionar um servidor com base na carga do servidor de
qualquer parte do mundo. No entanto, você tem a opção de alterar a localização do servidor FortiGuard para os EUA. Neste caso, FortiGate irá selecionar um servidor
FortiGuard baseado nos EUA.

As consultas são em tempo real; ou seja, o FortiGate pergunta ao FDN toda vez que verifica se há spam ou sites filtrados. FortiGate consulta, em vez de baixar o
banco de dados, por causa do tamanho e frequência das alterações que ocorrem no banco de dados. Além disso, você pode selecionar consultas para usar UDP ou
HTTPs para transporte; os protocolos não são projetados para tolerância a falhas, mas para velocidade. Portanto, as consultas exigem que o seu FortiGate tenha
uma conexão confiável com a Internet.

Pacotes, como antivírus e IPS, são menores e não mudam com tanta frequência, portanto, são baixados (em muitos casos) apenas uma vez por dia. Eles são
baixados, usando TCP para transporte confiável. Após o download do banco de dados, seus recursos FortiGate associados continuam a funcionar, mesmo que
o FortiGate não tenha conectividade confiável com a Internet. No entanto, você ainda deve tentar evitar interrupções durante os downloads - se o FortiGate
tiver que tentar fazer download das atualizações repetidamente, ele não poderá detectar novas ameaças durante esse tempo.

Guia de estudo do FortiGate Security 6.4 18


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

No FortiOS 6.4, verificação de certificado SSL de terceiros e verificação de grampeamento OCSP foram implementadas para todos os servidores FortiGuard. Por
padrão, o modo de acesso FortiGuard é anycast no FortiGate para otimizar o desempenho de roteamento para os servidores FortiGuard. O servidor FortiGuard possui
um endereço IP para corresponder ao seu nome de domínio. O FortiGate se conecta com um único endereço de servidor, independentemente de onde o FortiGate
está localizado.

O nome de domínio de cada serviço FortiGuard é o nome comum no certificado daquele serviço. O certificado é assinado por um terceiro CA
intermediário. O servidor FortiGuard usa a técnica de grampeamento do Protocolo de Status do Certificado Online (OCSP), para que o FortiGate possa
sempre validar o certificado do servidor FortiGuard de forma eficiente. O FortiGate só completará o handshake TLS com um FortiGuard que forneça um Boa
Status OCSP para seu certificado, qualquer outro status resultará em uma conexão SSL com falha.

Os servidores FortiGuard consultam o respondente OCSP da CA a cada quatro horas e atualizam seu status OCSP. Se o FortiGuard não conseguir
alcançar o respondente do OCSP, ele manterá o último status OCSP conhecido por sete dias.

O FortiGate aborta a conexão com o servidor FortiGuard se:


• O CN no certificado do servidor não corresponde ao nome de domínio resolvido do DNS.
• O status do OCSP não é bom.
• O CA do emissor é revogado pelo CA raiz.

O modo de acesso FortiGuard anycast configuração, forçar o processo de classificação a usar o protocolo HTTPS e a porta 443. A tabela em um slide
mostra uma lista de alguns servidores FortiGuard e seus nomes de domínio e endereço IP.

Guia de estudo do FortiGate Security 6.4 19


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Guia de estudo do FortiGate Security 6.4 20


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Bom trabalho! Agora você entende como realizar a configuração inicial do FortiGate e por que pode decidir usar uma configuração em vez de
outra. Agora, você aprenderá sobre administração básica.

Guia de estudo do FortiGate Security 6.4 21


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Depois de concluir esta lição, você será capaz de alcançar os objetivos mostrados neste slide.

Ao demonstrar competência em administração básica, você poderá gerenciar melhor os usuários administrativos e implementar práticas de segurança
mais fortes em relação ao acesso administrativo.

Guia de estudo do FortiGate Security 6.4 22


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

A maioria dos recursos está disponível na GUI e na CLI, mas há algumas exceções. Os relatórios não podem ser visualizados no CLI. Além disso,
configurações avançadas e comandos de diagnóstico para superusuários geralmente não estão disponíveis na GUI.

À medida que você se familiariza com o FortiGate e, especialmente, se deseja fazer o script de sua configuração, você pode usar a CLI além
da GUI. Você pode acessar a CLI por meio do widget JavaScript na GUI chamada CLI Console, ou por meio de um emulador de terminal,
como Tera Term ( http://ttssh2.sourceforge.jp/index.html.en ) ou PuTTY

( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html ) Seu emulador de terminal pode se conectar por meio da rede - SSH
ou telnet - ou da porta de console local.

SNMP e alguns outros protocolos administrativos também são suportados, mas são somente leitura. Eles não podem ser usados para configuração básica.

Guia de estudo do FortiGate Security 6.4 23


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Este slide mostra alguns comandos CLI básicos que você pode usar para listar comandos em um conjunto de comandos, verificar o status do sistema e
listar atributos e seus valores para uma interface.

Guia de estudo do FortiGate Security 6.4 24


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Qualquer que seja o método que você usar, comece fazendo login como administrador. Comece criando contas separadas para outros administradores. Para
fins de segurança e rastreamento, é uma prática recomendada que cada administrador tenha sua própria conta.

No Crie um novo lista suspensa, você pode selecionar Administrador ou REST API Admin. Normalmente, você selecionará Administrador e então
atribuir um Perfil de Administrador, que especifica as permissões administrativas desse usuário. Você pode selecionar REST API Admin para
adicionar um usuário administrativo que usaria um aplicativo customizado para acessar o FortiGate com uma API REST. O aplicativo permite que você
faça login no FortiGate e execute qualquer tarefa atribuída a você Perfil de Administrador permitem.

Outras opções não mostradas aqui, incluem:


• Em vez de criar contas no próprio FortiGate, você pode configurar o FortiGate para consultar um servidor de autenticação remoto.

• No lugar de senhas, seus administradores podem autenticar usando certificados digitais emitidos por seu servidor interno de autoridade de
certificação.

Se você usar senhas, certifique-se de que sejam fortes e complexas. Por exemplo, você pode usar várias palavras intercaladas com letras
maiúsculas variadas e inserir números e pontuação aleatoriamente. Não use senhas curtas ou que contenham nomes, datas ou palavras que
existam em qualquer dicionário. Eles são suscetíveis a ataques de força bruta. Para auditar a força de suas senhas, use ferramentas como
L0phtcrack (http://www.l0phtcrack.com/) ou John the Ripper (http://www.openwall.com/john/). O risco de um ataque de força bruta aumenta se
você conectar a porta de gerenciamento à Internet.

Para restringir o acesso a recursos específicos, você pode atribuir permissões.

Guia de estudo do FortiGate Security 6.4 25


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Ao atribuir permissões a um perfil de administrador, você pode especificar leitura e gravação, somente leitura ou nenhuma para cada área.

Por padrão, existe um perfil especial chamado super_admin, que é usado pela conta chamada admin. Não pode ser alterado. Ele
fornece acesso total a tudo, tornando o admin conta semelhante a uma raiz
superusuário conta.

o prof_admin é outro perfil padrão. Ele também fornece acesso total, mas ao contrário super_admin, ele só se aplica ao seu domínio virtual - não às
configurações globais do FortiGate. Além disso, suas permissões podem ser alteradas.

Você não é obrigado a usar um perfil padrão. Você pode, por exemplo, criar um perfil chamado auditor_access
com permissões somente leitura. Restringir as permissões de uma pessoa às necessárias para o seu trabalho é uma prática recomendada,
porque mesmo que a conta seja comprometida, o comprometimento do seu FortiGate (ou rede) não é total. Para fazer isso, crie perfis de
administrador e selecione o perfil apropriado ao configurar uma conta.

o Substituir tempo limite ocioso recurso permite o valor admintimeout, sob config system accprofile, a ser substituído por perfil de acesso. Os perfis
do administrador podem ser configurados para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento central.

Observe que isso pode ser feito por perfil, para evitar que a opção seja definida globalmente de forma não intencional.

Guia de estudo do FortiGate Security 6.4 26


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Quais são os efeitos dos perfis de administrador?

Na verdade, é mais do que apenas acesso de leitura ou gravação.

Dependendo do tipo de perfil de administrador que você atribuir, um administrador pode não conseguir acessar todo o FortiGate. Por exemplo, você
pode configurar uma conta que pode exibir apenas mensagens de log. Os administradores também podem não conseguir acessar as configurações
globais fora do domínio virtual atribuído. Os domínios virtuais (VDOMs) são uma forma de subdividir os recursos e configurações em um único
FortiGate.

Os administradores com um escopo menor de permissões não podem criar, ou mesmo visualizar, contas com mais permissões. Assim, por exemplo,
um administrador usando o prof_admin ou um perfil personalizado não pode ver ou redefinir a senha de contas que usam o super_admin perfil.

Guia de estudo do FortiGate Security 6.4 27


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Para proteger ainda mais o acesso à segurança da rede, use a autenticação de dois fatores.

A autenticação de dois fatores significa que em vez de usar um método para verificar sua identidade - normalmente uma senha ou certificado digital -
sua identidade é verificada por dois métodos. No exemplo mostrado neste slide, a autenticação de dois fatores inclui uma senha mais um número RSA
gerado aleatoriamente a partir de um FortiToken que é sincronizado com FortiGate.

Guia de estudo do FortiGate Security 6.4 28


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

O que acontece se você esquecer a senha do seu admin conta, ou um funcionário malicioso muda isso?

Este método de recuperação está disponível em todos os dispositivos de aplicação FortiGate e até mesmo em alguns dispositivos não FortiGate, como o FortiMail. Não há
procedimento de mantenedor no VM. O administrador deve reverter para a captura instantânea ou reprovisionar a VM e restaurar a configuração. É um temporário ,
disponível apenas por meio da porta do console local e somente após uma reinicialização forçada - interrompendo a energia ao desconectar ou desligar a energia e, em
seguida, restaurá-la. O FortiGate deve ser fisicamente desligado e, em seguida, ligado novamente, não simplesmente reiniciado por meio da CLI.

o mantenedor o login só estará disponível para login por cerca de 60 segundos após a conclusão da reinicialização (ou menos tempo em modelos mais antigos).

Se você não puder garantir a segurança física ou tiver requisitos de conformidade, pode desativar o mantenedor
conta. Tenha cuidado se você desativar mantenedor e então perder o seu admin senha, você não pode recuperar o acesso ao seu FortiGate. Para
recuperar o acesso neste cenário, você precisará recarregar o dispositivo. Isso será redefinido para o padrão de fábrica.

Guia de estudo do FortiGate Security 6.4 29


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Outra forma de proteger o seu FortiGate é definir os hosts ou sub-redes que são fontes confiáveis de login.

Neste exemplo, configuramos 10.0.1.10 como o único IP confiável para admin1 do qual admin1 faça login. Se admin1 tentar fazer login em uma
máquina com qualquer outro IP, eles receberão uma mensagem de falha de autenticação.

Observe que se os hosts confiáveis estiverem configurados em todos os administradores e um administrador estiver tentando fazer login a partir de um endereço
IP que não está configurado em nenhum host confiável para nenhum administrador, o administrador não obterá a página de login, mas receberá o mensagem: " Incapaz
de contactar o servidor ”.

Se você deixar qualquer endereço IPv4 como 0.0.0.0/0, isso significa que conexões de qualquer IP de origem serão permitidas. Por padrão, 0.0.0.0/0
é a configuração para administrador, embora você possa querer alterá-la.

Observe que cada conta pode definir seu host de gerenciamento ou sub-rede de maneira diferente. Isso é especialmente útil se você estiver configurando
VDOMs em seu FortiGate, onde os administradores do VDOM podem nem pertencer à mesma organização. Esteja ciente de qualquer NAT que ocorra entre o
dispositivo desejado e o FortiGate. Você pode facilmente impedir que um administrador efetue login a partir do endereço IP desejado se ele for posteriormente
conectado ao NAT para outro endereço antes de chegar ao FortiGate, anulando assim o propósito dos hosts confiáveis.

Guia de estudo do FortiGate Security 6.4 30


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Você também pode querer personalizar os números de porta dos protocolos administrativos.

Você pode escolher se deseja permitir sessões simultâneas. Isso pode ser usado para evitar a substituição acidental das configurações, se você costuma manter
várias guias do navegador abertas ou, acidentalmente, deixar uma sessão CLI aberta sem salvar as configurações, então inicie uma sessão GUI e acidentalmente
edite as mesmas configurações de forma diferente.

Para melhor segurança, use apenas protocolos seguros e imponha a complexidade e as alterações de senha.

o Tempo limite ocioso settings especifica o número de minutos antes que uma sessão de administrador inativa expire (o padrão é 5 minutos). Um tempo limite de
inatividade mais curto é mais seguro, mas aumentar o cronômetro pode ajudar a reduzir a chance de os administradores serem desconectados durante o teste de
alterações.

Você pode substituir a configuração de tempo limite de inatividade por perfil de administrador usando o Substituir tempo limite ocioso configuração.

Você pode configurar um perfil de administrador para aumentar o tempo limite de inatividade e facilitar o uso da GUI para monitoramento central. o Substituir
tempo limite ocioso configuração permite o admintimeout valor, abaixo config system accprofile, a ser substituído por perfil de acesso.

Observe que isso pode ser feito por perfil, para evitar que a opção seja definida globalmente de forma não intencional.

Guia de estudo do FortiGate Security 6.4 31


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Você definiu a sub-rede de gerenciamento - ou seja, os hosts confiáveis - para cada conta de administrador. Como você ativa ou desativa os
protocolos de gerenciamento?
Isso é específico para cada interface. Por exemplo, se seus administradores se conectam ao FortiGate apenas a partir da porta 3, você deve desabilitar o
acesso administrativo em todas as outras portas. Isso evita tentativas de força bruta e também acesso inseguro. Seus protocolos de gerenciamento são
HTTPS, HTTP, PING, SSH. Por padrão, a opção TELNET não está visível na GUI.

Considere a localização da interface em sua rede. Ativar o PING em uma interface interna é útil para solucionar problemas. Porém, se for
uma interface externa (em outras palavras exposta à Internet), o protocolo PING pode expor o FortiGate a um ataque DoS. Os protocolos
que não criptografam o fluxo de dados, como HTTP e TELNET, devem ser desabilitados. Os protocolos IPv4 e IPv6 são separados. É
possível ter endereços IPv4 e IPv6 em uma interface, mas apenas responder a pings no IPv6.

A conexão do Security Fabric inclui CAPWAP e FortiTelemetry. Protocolos como FortiTelemetry são não para acesso administrativo, mas, assim
como o acesso GUI e CLI, são protocolos onde os pacotes terão FortiGate como IP de destino. O protocolo FortiTelemetry é usado especificamente
para gerenciar FortiClients e o Security Fabric. O protocolo CAPWAP é usado para FortiAP, FortiSwitch e FortiExtender quando eles são gerenciados
pelo FortiGate. O protocolo FMG-Access é usado especificamente para comunicação com o FortiManager quando o servidor está gerenciando vários
dispositivos FortiGate. O protocolo de contabilidade RADIUS é usado quando o FortiGate precisa ouvir e processar pacotes de contabilidade RADIUS
para autenticação de logon único. FTM, ou FortiToken Mobile push, oferece suporte a solicitações de autenticação de segundo fator de um aplicativo
móvel FortiToken.

Quando você atribui as funções de interface LAN ou WAN às interfaces apropriadas, seu FortiGate usa Link Layer Discovery Protocol
(LLDP) para detectar se há um FortiGate upstream em sua rede. Se um FortiGate upstream for descoberto, você será solicitado a configurar
o FortiGate para ingressar no Security Fabric.

Guia de estudo do FortiGate Security 6.4 32


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

FortiGate possui centenas de recursos. Se você não usar todos eles, ocultar recursos que você não usa torna mais fácil se concentrar em seu
trabalho.

Ocultar um recurso na GUI não o desativa. Ainda é funcional e ainda pode ser configurado usando a CLI.

Alguns recursos avançados ou menos usados, como IPv6, ficam ocultos por padrão.

Para mostrar os recursos ocultos, clique em Sistema> Visibilidade do recurso.

Guia de estudo do FortiGate Security 6.4 33


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Quando o FortiGate está operando em modo NAT, toda interface que trata o tráfego deve ter um endereço IP. Quando em modo NAT, o endereço IP pode
ser usado pelo FortiGate para originar o tráfego, se precisar iniciar ou responder a uma sessão, e pode ser usado como endereço de destino para
dispositivos que tentam contatar o FortiGate ou rotear o tráfego através dele. Existem várias maneiras de obter um endereço IP:

• Manualmente

• Automaticamente, usando DHCP ou PPPoE

Há uma exceção ao requisito de endereço IP: o Sniffer de um braço tipo de interface. Esta interface é
não atribuído um endereço.

Quando Sniffer de um braço é selecionado como o modo de endereçamento, a interface não está alinhada com o fluxo de tráfego, mas recebe
uma cópia do tráfego de uma porta espelhada em um switch. A interface opera em modo promíscuo, verificando o tráfego que vê, mas não pode
fazer alterações, pois o pacote original já foi processado pelo switch. Como resultado, o modo sniffer de um braço é usado principalmente em prova
de conceito (POC) ou em ambientes onde os requisitos corporativos declaram que o tráfego não deve ser alterado, apenas registrado.

Guia de estudo do FortiGate Security 6.4 34


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Quantas vezes você viu problemas de rede causados por um servidor DHCP - não um cliente - habilitado na interface WAN?

Você pode configurar a função da interface. As funções mostradas na GUI são as configurações de interface usuais para essa parte de uma topologia. As
configurações que não se aplicam à função atual estão ocultas na GUI (todas as configurações estão sempre disponíveis na CLI, independentemente da função).
Isso evita configuração incorreta acidental.

Por exemplo, quando a função é configurada como WAN, não há servidor DHCP e configuração de detecção de dispositivo disponível. A detecção
de dispositivos geralmente é usada para detectar dispositivos internamente em sua LAN.

Se houver um caso incomum e você precisar usar uma opção que está oculta pela função atual, você sempre pode mudar a função para Indefinido.
Isso exibe todas as opções.

Para ajudá-lo a se lembrar do uso de cada interface, você pode atribuir aliases a elas. Por exemplo, você pode chamar port3
Rede interna. Isso pode ajudar a tornar sua lista de políticas mais fácil de compreender.

Guia de estudo do FortiGate Security 6.4 35


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Antes de integrar o FortiGate em sua rede, você deve configurar um gateway padrão.

Se o FortiGate obtiver seu endereço IP por meio de um método dinâmico como DHCP ou PPPoE, ele também deverá recuperar o gateway
padrão.

Caso contrário, você deve configurar uma rota estática. Sem isso, o FortiGate não será capaz de responder a pacotes fora das sub-redes diretamente conectadas
às suas próprias interfaces. Provavelmente também não será capaz de se conectar ao FortiGuard para atualizações e pode não rotear o tráfego de maneira
adequada.

Você deve se certificar de que FortiGate tem uma rota que corresponda a todos os pacotes (o destino é 0.0.0.0/0), conhecido como rota
padrão, e os encaminha pela interface de rede conectada à Internet, para o endereço IP do próximo roteador.

O roteamento conclui as configurações básicas de rede necessárias para que você possa configurar as políticas de firewall.

Guia de estudo do FortiGate Security 6.4 36


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

A agregação de link liga logicamente várias interfaces físicas em um único canal. A agregação de link aumenta a largura de banda e fornece
redundância entre dois dispositivos de rede.

Guia de estudo do FortiGate Security 6.4 37


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Guia de estudo do FortiGate Security 6.4 38


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Bom trabalho! Agora você tem o conhecimento necessário para realizar algumas tarefas administrativas básicas. Agora, você aprenderá sobre servidores
integrados.

Guia de estudo do FortiGate Security 6.4 39


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Depois de concluir esta seção, você será capaz de alcançar os objetivos mostrados neste slide.

Ao demonstrar competência na implementação de servidores DHCP e DNS embutidos, você saberá como fornecer esses serviços
através do FortiGate.

Guia de estudo do FortiGate Security 6.4 40


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Os clientes sem fio não são os únicos que podem usar o FortiGate como servidor DHCP.

Para uma interface (como port3), selecione o Manual opção, insira um IP estático e ative o Servidor DHCP opção. As opções para o servidor
DHCP integrado serão exibidas, incluindo recursos de provisionamento, como opções de DHCP e regras de atribuição de endereço IP. Você
também pode impedir que endereços MAC específicos recebam um endereço IP. Observe que na captura de tela no meio do slide, no Regra de
atribuição de endereço IP
seção, você pode criar regras de atribuição de endereço IP.

Guia de estudo do FortiGate Security 6.4 41


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Para o servidor DHCP integrado, você pode reservar endereços IP específicos para dispositivos com endereços MAC específicos.

A ação selecionada para Endereços MAC desconhecidos define o que o servidor DHCP FortiGate faz quando recebe uma solicitação de um endereço
MAC que não está listado explicitamente. A ação padrão é Atribuir IP; no entanto, você pode alterar o tipo de ação padrão para Atribuir IP ou Quadra.

• Atribuir IP: Permite que o servidor DHCP atribua de seu pool de endereços ao endereço MAC identificado. Um dispositivo que recebe um
endereço IP sempre receberá o mesmo endereço, desde que seu aluguel não tenha expirado.

• Quadra: O computador com o endereço MAC identificado e o Quadra opção não receberá um endereço IP.
• IP de reserva: Isso permite que você vincule um IP específico a um endereço MAC.

Guia de estudo do FortiGate Security 6.4 42


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Você pode configurar o FortiGate para atuar como seu servidor DNS local. Você pode habilitar e configurar o DNS separadamente em cada interface.

Um servidor DNS local pode melhorar o desempenho do seu FortiMail ou de outros dispositivos que usam consultas DNS com frequência. Se o seu FortiGate
oferece DHCP para a sua rede local, o DHCP pode ser usado para configurar esses hosts para usar o FortiGate como gateway e servidor DNS.

O FortiGate pode responder a consultas DNS de uma das três maneiras:

• Encaminhar: retransmite todas as consultas para um servidor DNS separado (que você configurou em Rede> DNS); ou seja, ele atua como uma retransmissão DNS
em vez de um servidor DNS.
• Não Recursivo: Responde a consultas de itens nos bancos de dados DNS do FortiGate e não encaminha consultas não resolvidas.

• Recursivo: responde a consultas por itens nos bancos de dados DNS do FortiGate e encaminha todas as outras consultas a um servidor DNS separado para
resolução.

Você pode configurar todos os modos na GUI ou CLI.

Guia de estudo do FortiGate Security 6.4 43


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Se você escolher Recursivo, o FortiGate consultará seu próprio banco de dados antes de encaminhar as solicitações não resolvidas aos servidores DNS externos.

Se você escolher Encaminhe para o DNS do sistema, você pode controlar as consultas DNS dentro de sua própria rede, sem ter que inserir nenhum
nome DNS no servidor DNS do FortiGate.

Guia de estudo do FortiGate Security 6.4 44


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Se você escolher que seu servidor DNS resolva as consultas, ou escolher um DNS dividido, você deve configurar um banco de dados DNS em seu
FortiGate.

Isso define os nomes de host para os quais o FortiGate resolverá as consultas. Observe que o FortiGate atualmente suporta apenas os tipos de registro DNS
listados neste slide.

Guia de estudo do FortiGate Security 6.4 45


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Guia de estudo do FortiGate Security 6.4 46


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Bom trabalho! Agora você sabe habilitar os serviços DHCP e DNS no FortiGate e tem alguma compreensão das
possibilidades de configuração. Agora, você aprenderá sobre manutenção fundamental.

Guia de estudo do FortiGate Security 6.4 47


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Depois de concluir esta seção, você será capaz de alcançar os objetivos mostrados neste slide.

Ao demonstrar competência na implementação da manutenção básica do FortiGate, você será capaz de realizar as atividades vitais de backup e restauração,
atualização ou downgrade do firmware e garantir que o FortiGate permaneça em serviço de forma confiável durante todo o seu ciclo de vida.

Guia de estudo do FortiGate Security 6.4 48


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Agora que o FortiGate tem configurações básicas de rede e contas administrativas, você aprenderá como fazer backup da configuração. Além de
selecionar o destino do arquivo de backup, você pode optar por criptografar ou não criptografar o arquivo de backup. Mesmo se você optar por não
criptografar o arquivo, que é o padrão, as senhas armazenadas no arquivo serão hash e, portanto, ofuscadas. As senhas armazenadas no arquivo
de configuração incluiriam senhas para usuários administrativos e usuários locais, e chaves pré-compartilhadas para suas VPNs IPSec. Também
pode incluir senhas para os servidores FSSO e LDAP.

A outra opção é criptografar o arquivo de configuração com uma senha. Além de proteger a privacidade de sua configuração, ele também tem alguns
efeitos inesperados. Após a criptografia, o arquivo de configuração não pode ser descriptografado sem a senha e um FortiGate do mesmo modelo e
firmware. Isso significa que se você enviar um arquivo de configuração criptografado para o Suporte Técnico Fortinet, mesmo se você fornecer a
senha, eles não podem carregar sua configuração até que tenham acesso ao mesmo modelo do FortiGate. Isso pode causar atrasos desnecessários
ao resolver seu tíquete.

Se você habilitar domínios virtuais (VDOMs), subdividindo os recursos e configuração de seu FortiGate, cada administrador VDOM pode fazer
backup e restaurar suas próprias configurações. Você não precisa fazer backup de toda a configuração do FortiGate, no entanto, ainda é
recomendado.

Os backups são necessários para ajudar a acelerar o retorno à produção no caso de um desastre imprevisto que danifique o FortiGate. Ter que
recriar centenas de políticas e objetos do zero leva uma quantidade significativa de tempo, enquanto carregar um arquivo de configuração em um
novo dispositivo leva muito menos.

Restaurar um arquivo de configuração é muito semelhante a fazer o backup e reiniciar o FortiGate.

Guia de estudo do FortiGate Security 6.4 49


Introdução e configuração inicial

NÃO REIMPRESSE
© FORTINET

Se você abrir o arquivo de configuração em um editor de texto, verá que os arquivos de configuração criptografados e não criptografados contêm um
cabeçalho de texto não criptografado que contém algumas informações básicas sobre o dispositivo. O exemplo neste slide mostra quais informações estão
incluídas. Para restaurar uma configuração criptografada, você deve carregá-la em um FortiGate do mesmo modelo e firmware e fornecer a senha.

Para restaurar um arquivo de configuração não criptografado, você deve corresponder apenas ao modelo FortiGate. Se o firmware for diferente, o
FortiGate tentará atualizar a configuração. Isso é semelhante a como ele usa scripts de atualização na configuração existente ao atualizar o
firmware. No entanto, ainda é recomendável combinar o firmware do FortiGate com o firmware listado no arquivo de configuração.

Normalmente, o arquivo de configuração contém apenas configurações não padrão, além de algumas configurações padrão, mas cruciais. Isso minimiza o
tamanho do backup, que de outra forma poderia ter vários MB.

Guia de estudo do FortiGate Security 6.4 50