Dead Packets

20/05/2014

Lojinha dos Pacotes Mortos – Estudo de Caso (Configuração Inicial)

Filed under: fortinet — drak @ 11:07 PM

Iniciarei uma série de posts no estilo “estudo de caso” de uma empresa fictícia, a idéia é simular algumas situações comuns (e outras não tão comuns) que acontecem conforme uma empresa cresce e seu ambiente de segurança fica mais complexo com o tempo.

Todos os labs serão efetuados de maneira progressiva, usarei um FortiGate VM 5.0.7 (a não ser que seja indicado o contrário), a idéia é ajudar a comunidade FTNT criando um material que eventualmente possa servir de referência para diversos cenários.

E toda boa história sempre começa com um:

execute factoryreset

Segunda-feira, é dia de inauguração da Lojinha dos Pacotes Mortos e o firewall acabou de chegar, o pobre atendente por acaso também conhece um pouco de firewall e por isso está encarregado de tornar o equipamento operacional com uma configuração mínima, infelizmente ele não conhece muito de segurança mas está aprendendo 🙂

Ele loga na console do equipamento e começa a configuração:

conf sys int
     edit port4
          set ip 172.16.86.129/24
end

OK, interface de gerência configurada. Ele testa com ping e… nada. Temos que verificar se a interface correta foi configurada, ele sabe o mac address que a porta deveria ter, então ele checa:

FortiGate-VM64 # conf sys int

FortiGate-VM64 (interface) # edit port4

FortiGate-VM64 (port4) # show                   # Exibe a configuração dessa porta
config system interface
    edit "port4"
        set vdom "root"
        set ip 172.16.86.129 255.255.255.0
        set type physical
        set snmp-index 4
    next
end

FortiGate-VM64 (port4) # get                    # Exibe valores dinâmicos associados a porta como mac addr
name                : port4 
vdom                : root 
cli-conn-status     : 0
mode                : static 
dhcp-relay-service  : disable 
ip                  : 172.16.86.129 255.255.255.0
allowaccess         :                           # Nenhum acesso permitido
fail-detect         : disable 
pptp-client         : disable 
arpforward          : enable 
broadcast-forward   : disable 
bfd                 : global 
l2forward           : disable 
icmp-redirect       : enable 
vlanforward         : enable 
stpforward          : disable 
ips-sniffer-mode    : disable 
ident-accept        : disable 
ipmac               : disable 
subst               : disable 
substitute-dst-mac  : 00:00:00:00:00:00
status              : up 
netbios-forward     : disable 
wins-ip             : 0.0.0.0
type                : physical
sflow-sampler       : disable 
sample-rate         : 2000
polling-interval    : 20
sample-direction    : both 
explicit-web-proxy  : disable 
explicit-ftp-proxy  : disable 
tcp-mss             : 0
inbandwidth         : 0
outbandwidth        : 0
spillover-threshold : 0
weight              : 0
external            : disable 
devindex            : 5
description         : 
alias               : 
security-mode       : none 
device-identification: disable 
listen-forticlient-connection: disable 
vrrp-virtual-mac    : disable 
vrrp:
snmp-index          : 4
secondary-IP        : disable 
ipv6:
    ip6-mode            : static     
    ip6-allowaccess     :     
    ip6-reachable-time  : 0    
    ip6-retrans-time    : 0    
    ip6-hop-limit       : 0    
    ip6-address         : ::/0    
    ip6-extra-addr:
    ip6-send-adv        : disable     
    autoconf            : disable     
    dhcp6-relay-service : disable     
macaddr             : 00:0c:29:57:25:9a
speed               : auto 
mtu-override        : disable 
wccp                : disable 
drop-overlapped-fragment: disable 
drop-fragment       : disable 

FortiGate-VM64 (port4) #       

Realiza a ativacão dos serviços de gerenciamento na interface.

conf sys int
    edit port4
        set allowaccess ping https ssh http
end

Após incluí-los (e o ping responder como esperado), testa o acesso ssh:


draks@loki:~$ ssh admin@172.16.86.129
The authenticity of host '172.16.86.129 (172.16.86.129)' can't be established.
RSA key fingerprint is 5f:01:45:5d:65:55:cc:46:48:8f:78:17:cd:08:87:c5.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.86.129' (RSA) to the list of known hosts.
ssh_rsa_verify: RSA modulus too small: 512 < minimum 768 bits
key_verify failed for server_host_key
draks@loki:~$

Ah, falta a licença! Acessando via interface web (http, pois https só funcionará após a inclusão da licença) siga o seguinte caminho:

  • System:Dashboard:Status (ou seja, tela inicial)
    • “License Information”
      • Clique em “Update”do lado de “Registration Status”
      • Procure pelo arquivo de licença e faça o upload, aguarde enquanto o sistema reinicia

Ao tentar acessar a GUI (interface web) novamente vemos que o redirect para https já acontece naturalmente, porém como ainda não garantimos o acesso à Internet do equipamento vemos a seguinte mensagem:

“License has already been uploaded, please wait for authentication with registration servers”

Prosseguimos a configuração via ssh para viabilizar o acesso a Internet e registro da licença:

conf sys int
     edit port1
          set ip 10.200.1.1/24         # Essa interface será nossa WAN1
          unset allowaccess            # Removendo todos os serviços de gerência associados a ela
          set allow ping
      next
     edit port3
          set ip 10.0.1.254/24         # Nossa interface LAN
          set allow ping 
end

conf router static
     edit 0
          set dev port1
          set gateway 10.200.1.254     # Configuração do default gw do nosso ambiente
end

Ok, agora basta executarmos os testes de ping para o gateway e depois para algum host na Internet qualquer:


FortiGate-VM64 # exec ping 10.200.1.254
PING 10.200.1.254 (10.200.1.254): 56 data bytes
64 bytes from 10.200.1.254: icmp_seq=0 ttl=64 time=0.2 ms
64 bytes from 10.200.1.254: icmp_seq=1 ttl=64 time=7.6 ms

--- 10.200.1.254 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.2/3.9/7.6 ms

FortiGate-VM64 # exec ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=127 time=17.1 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=127 time=17.1 ms

--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 17.1/17.1/17.1 ms

FortiGate-VM64 #

Looks good! Agora verificando o status da licença:


FortiGate-VM64 # get sys stat
Version: FortiGate-VM64 v5.0,build3608,140409 (GA Patch 7)
Virus-DB: 22.00201(2014-05-18 11:26)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00498(2014-05-16 20:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FGVM0000000XXXXX
Botnet DB: 1.00535(2014-05-14 20:31)
License Status: Pending                                   # O status ainda não atualizou
BIOS version: 04000002
Log hard disk: Available
Hostname: FortiGate-VM64
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 1
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 271
Release Version Information: GA Patch 7
FortiOS x86-64: Yes
System time: Mon May 19 08:58:06 2014

FortiGate-VM64 # exec update-now                          # Vamos forçar a atualização

FortiGate-VM64 # exit
Connection to 172.16.86.129 closed.

draks@loki:~$ ssh admin@172.16.86.129
FortiGate-VM64 # get sys stat
Version: FortiGate-VM64 v5.0,build3608,140409 (GA Patch 7)
Virus-DB: 22.00201(2014-05-18 11:26)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 4.00498(2014-05-16 20:39)
IPS-ETDB: 0.00000(2001-01-01 00:00)
Serial-Number: FGVM0000000XXXXX
Botnet DB: 1.00535(2014-05-14 20:31)
License Status: Valid                                     # Licença válida
VM Resources: 1 CPU/1 allowed, 976 MB RAM/1024 MB allowed
BIOS version: 04000002
Log hard disk: Available
Hostname: FortiGate-VM64
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 1
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 271
Release Version Information: GA Patch 7
FortiOS x86-64: Yes
System time: Mon May 19 08:58:32 2014

FortiGate-VM64 #

Agora ao abrir a GUI vemos tudo verdinho e registrado, ambiente operacional. No próximo post iremos configurar as regras para que a única estação da Lojinha (um surrado Windows XP SP2) consiga acessar a Internet.

Referências
Fortinet Docs Library

Anúncios

1 Comentário »

  1. […] a série da Lojinha, iniciado aqui. Neste post nosso analista irá criar as regras iniciais da […]

    Pingback por Lojinha dos Pacotes Mortos – Política de Firewall simples | Dead Packets — 13/06/2014 @ 3:08 PM | Responder


RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: