Dominando FortiGate: Interfaces y Políticas de Firewall

Bienvenido a esta guía sobre la configuración de FortiGate. Si estás empezando con los firewalls de Fortinet o simplemente quieres reforzar tus conocimientos, este es el lugar correcto. Basándonos en una serie de conceptos clave, exploraremos cómo configurar las interfaces de red, establecer el enrutamiento y, lo más importante, crear políticas de firewall para controlar el tráfico que atraviesa tu red.

Parte 1: Fundamentos de Red en FortiGate

Antes de poder controlar el tráfico, necesitamos establecer la conectividad básica. Esto implica configurar las “puertas” de nuestro FortiGate (las interfaces) y decirle cómo dirigir el tráfico (enrutamiento).

1.1 Entendiendo las Interfaces de FortiGate

Una interfaz es un puerto físico o virtual en el FortiGate que se conecta a una red, ya sea tu red local (LAN) o una red externa como Internet (WAN). Puedes configurar varios parámetros en cada interfaz:

  • Alias: Un nombre descriptivo para la interfaz (por ejemplo, “LAN_Interna” o “Internet_Principal”) que facilita su identificación.
  • IP Address: La dirección IP, pública o privada, que la interfaz utilizará para comunicarse en esa red.
  • Administrative Access: Define los protocolos que puedes usar para administrar el FortiGate a través de esta interfaz, como HTTPS (para la GUI web), PING (para pruebas de conectividad) y SSH (para la línea de comandos).
  • DHCP Server: Puedes habilitar un servidor DHCP en una interfaz para que asigne dinámicamente direcciones IP a los dispositivos que se conecten a ella, como los ordenadores de tu red local.

1.2 Configurando el Servidor DHCP

Cuando habilitas un servidor DHCP en una interfaz, necesitas especificar:

  • Address Range: El rango de direcciones IP (IP de inicio y IP de fin) que el servidor puede asignar. Por ejemplo, de 10.0.1.1 a 10.0.1.50.
  • Netmask: La máscara de subred para las direcciones IP asignadas, como 255.255.255.0.
  • Default Gateway: La puerta de enlace que los clientes usarán, que normalmente es la propia dirección IP de la interfaz del FortiGate.
  • DNS Server: El servidor DNS que los clientes utilizarán. Puedes usar los DNS del sistema FortiGate, la IP de la interfaz o especificar un servidor DNS personalizado (como 8.8.8.8).

1.3 El Mundo del Enrutamiento Estático

El enrutamiento es el proceso de dirigir los paquetes de datos a su destino correcto. Una ruta estática es una regla manual que le dice al FortiGate a dónde enviar el tráfico destinado a una red específica.

Los componentes clave de una ruta estática son:

  • Destination: La red de destino a la que se dirige el tráfico (p. ej., 10.100.0.0/16).
  • Gateway Address: La dirección IP del siguiente “salto” o router al que se debe enviar el paquete.
  • Interface: La interfaz de salida que el FortiGate debe usar para enviar el tráfico hacia esa puerta de enlace.

La Ruta por Defecto: Tu Salida a Internet

Una ruta estática especial es la Ruta por Defecto (Destination: 0.0.0.0/0). Esta ruta actúa como un comodín: cualquier tráfico que no coincida con una ruta más específica en la tabla de enrutamiento será enviado al gateway definido en esta ruta. Es fundamental para proporcionar acceso a Internet.

1.4 Monitoreo del Enrutamiento

Es crucial entender que crear una ruta estática no garantiza que esté activa. La Tabla de Enrutamiento (Routing Table) solo muestra las rutas que están actualmente en uso. Una ruta configurada puede no estar activa por varias razones:

  • Está mal configurada.
  • El puerto o interfaz asociado está caído o deshabilitado.
  • Existe una “mejor” ruta hacia el mismo destino (por ejemplo, una ruta con una distancia administrativa más baja o una coincidencia de red más específica).

Siempre debes verificar la Tabla de Enrutamiento en Dashboard > Network > Static and Dynamic Routing para solucionar problemas de conectividad.

Parte 2: Control de Tráfico con Políticas de Firewall

Una vez que tenemos la conectividad, el siguiente paso es la seguridad. Las políticas de firewall son el corazón de un FortiGate, ya que definen qué tráfico está permitido y qué está bloqueado.

2.1 ¿Cómo FortiGate Decide sobre un Paquete?

Para que el tráfico sea procesado por una política, debe coincidir con los siguientes criterios, que se evalúan en orden:

  1. Incoming and Outgoing Interfaces: Por dónde entra y por dónde intenta salir el tráfico.
  2. Source: Quién o qué origina el tráfico (una dirección IP, una subred completa o un usuario).
  3. Destination: A quién o a qué se dirige el tráfico (una IP, una subred o un servicio de Internet).
  4. Service: El tipo de tráfico, definido por su protocolo y puerto de destino (por ejemplo, HTTP en el puerto 80, HTTPS en el 443).
  5. Schedule: El momento en que la política está activa (por ejemplo, solo durante el horario laboral).

Si un paquete coincide con todos estos criterios, se le aplica la acción de la política.

Acciones Principales: ACCEPT o DENY

Acción Descripción
ACCEPT (Aceptar) Permite el paso del tráfico. Habilita la aplicación de acciones adicionales como inspección de seguridad, registro de eventos (logging) y Traducción de Direcciones de Red (NAT).
DENY (Denegar) Bloquea el tráfico de manera explícita y silenciosa. El paquete es descartado sin enviar una notificación al origen.

La Regla de “Denegación Implícita”

Las políticas se leen de arriba hacia abajo. Si un paquete no coincide con ninguna de las políticas que has creado, llegará al final de la lista, donde hay una política de denegación implícita (Implicit Deny) invisible que bloquea todo lo demás. Esto garantiza que solo el tráfico que permites explícitamente pueda pasar.

2.2 Definiendo Origen y Destino con Objetos

Para facilitar la gestión, FortiGate utiliza “objetos”. En lugar de escribir direcciones IP una y otra vez, creas un objeto que las representa:

  • IP Subnet: Puedes crear un objeto para representar una red entera, como Internal Network con la subred 172.16.10.0/24.
  • IP Address: Puedes crear un objeto para un único servidor, como Web Server con la IP 172.16.20.10.
  • Internet Services: FortiGate incluye una base de datos de servicios de Internet populares (como Amazon AWS, Office 365, YouTube). Estos objetos contienen todas las IPs y puertos asociados a dichos servicios, simplificando enormemente la creación de políticas hacia la nube.
  • ALL: Un objeto predeterminado que representa cualquier dirección IP posible.

2.3 Modos de Inspección: Flow-Based vs. Proxy-Based

Cuando el tráfico es aceptado, FortiGate puede inspeccionarlo en busca de amenazas. Hay dos modos para hacerlo:

  • Flow-Based Inspection: Examina los paquetes a medida que fluyen a través del firewall sin almacenarlos en búfer. Es muy rápido y consume pocos recursos, pero es menos exhaustivo.
  • Proxy-Based Inspection: El FortiGate actúa como un intermediario (proxy). Reconstruye el flujo de datos completo antes de analizarlo y enviarlo a su destino. Es más lento y consume más recursos, pero permite un análisis de seguridad mucho más profundo.

Parte 3: Creando tu Primera Política de Acceso a Internet

Pongamos estos conceptos en práctica. El objetivo es configurar un FortiGate para permitir que los usuarios de cualquier red interna naveguen por Internet. Esta guía te mostrará los pasos universales que puedes adaptar a tu configuración específica.

Escenario General:

  • Tu Red Interna: La subred que utilizan los dispositivos de tu red local (LAN).
  • Tu Puerto de LAN: La interfaz del FortiGate a la que se conecta tu red interna.
  • Tu Puerto de WAN: La interfaz del FortiGate que se conecta a Internet.

Paso 1: Crear un Objeto de Dirección para tu Red Interna

Primero, crearemos un objeto reutilizable para identificar fácilmente tu red interna.

  1. Navega a Policy & Objects > Addresses en el menú de FortiGate.
  2. Haz clic en Create New para añadir un nuevo objeto de dirección.
  3. Name: Dale un nombre descriptivo, como Subred_Oficina o LAN_Principal.
  4. IP/Netmask: Introduce la dirección de subred y la máscara que correspondan a tu red interna (por ejemplo, 192.168.1.0/24).
  5. Haz clic en OK para guardar el objeto.

Paso 2: Configurar la Política de Firewall

Ahora, crearemos la regla que permite el tráfico desde tu red interna hacia Internet.

  1. Navega a Policy & Objects > Firewall Policy.
  2. Haz clic en Create New.
  3. Name: Asigna un nombre claro a la política, como Permitir_Salida_Internet.
  4. Incoming Interface: Selecciona la interfaz que corresponde a tu puerto de LAN.
  5. Outgoing Interface: Selecciona la interfaz que corresponde a tu puerto de WAN.
  6. Source: Haz clic en el campo y selecciona el objeto de dirección que creaste en la Tarea 1 (por ejemplo, Subred_Oficina).
  7. Destination: Selecciona el objeto predefinido all para permitir el acceso a cualquier destino en Internet.
  8. Service: Selecciona los servicios que deseas permitir. Para una navegación web básica, necesitarás como mínimo HTTP, HTTPS y DNS.
  9. Action: Asegúrate de que la acción esté configurada en ACCEPT.
  10. NAT: Verifica que la opción Network Address Translation (NAT) esté habilitada. Esto es crucial para que las direcciones IP privadas de tu red interna se “traduzcan” a la dirección IP pública de tu interfaz de salida.
  11. Logging Options: Activa Log allowed traffic y selecciona All Sessions para tener un registro de todo el tráfico que pasa a través de esta política. Esto es fundamental para la monitorización y la resolución de problemas.
  12. Haz clic en OK para guardar y activar la política.

Paso 3: Verificar la Configuración

Una vez creada la política, es vital comprobar que funciona como se espera.

  1. Desde un dispositivo conectado a tu red interna, intenta acceder a varios sitios web.
  2. En la interfaz de tu FortiGate, ve a Log & Report > Forward Traffic.
  3. Filtra o busca en los registros y deberías ver entradas que muestren tráfico:
    • Originado desde una IP de tu red interna.
    • Dirigido hacia destinos públicos en Internet.
    • La columna Policy ID o Policy Name debe corresponder a la política que acabas de crear (por ejemplo, Permitir_Salida_Internet).
  4. Para una prueba adicional, intenta usar un servicio que no permitiste (como Telnet). Al revisar los logs, deberías ver que este tráfico es bloqueado por la política Implicit Deny, confirmando que tu firewall solo permite lo que has autorizado explícitamente.

¡Felicidades! Has configurado con éxito la conectividad básica y una política de seguridad fundamental en tu FortiGate, sentando las bases para una red segura y controlada.