NetSec

Seguridad en Redes · Práctica FortiGate

0 de 13 requisitos revisados

TAREA

Topología FortiGate

Realice una topología en FortiGate que cumpla con los requisitos listados abajo. Haz clic en cada tarjeta para ver el detalle de configuración de esa parte de la práctica.

🖥️Configuración por GUI

Toda la configuración debe hacerse desde la interfaz gráfica.

  • No usar CLI salvo para verificación.
  • Todo cambio (interfaces, políticas, DNS, DHCP) vía FortiGate GUI.
  • Documentar con capturas de cada paso.

🌐Acceso a Internet

Salida a Internet para ambas LAN.

  • Interfaz WAN conectada al router/ISP simulado.
  • Política de firewall LAN → WAN habilitada.
  • Verificar con ping/DNS desde clientes.

👥LAN de Usuarios (/25)

Segmento para estaciones de trabajo.

  • Máscara /25 → 126 hosts útiles.
  • Ejemplo: 192.168.10.0/25.
  • Asignar interfaz dedicada en FortiGate (ej. port3).

🗄️LAN de Servidores (/28)

Segmento para los servidores internos.

  • Máscara /28 → 14 hosts útiles.
  • Ejemplo: 192.168.20.0/28.
  • Interfaz independiente (ej. port4), separada de usuarios.

🔢IP en Interfaces

Direccionamiento correcto en cada interfaz.

  • WAN: IP pública/simulada + gateway del ISP.
  • LAN Usuarios: primera IP del rango /25 como gateway.
  • LAN Servidores: primera IP del rango /28 como gateway.

📡DHCP en LAN Usuarios

Asignación automática de IP a clientes.

  • Habilitar servidor DHCP en la interfaz de usuarios.
  • Definir rango dentro del /25, excluyendo el gateway.
  • Configurar DNS y default gateway entregados por DHCP.

🧭Ruta por Defecto

Salida hacia Internet vía WAN.

  • Network → Static Routes → 0.0.0.0/0.
  • Gateway = IP del router ISP.
  • Interfaz de salida = WAN.

🔁NAT

Traducción de direcciones para salida a Internet.

  • Habilitar NAT en política LAN → WAN.
  • Usar la IP de la interfaz WAN (overload/PAT).
  • Verificar traducción con sesiones activas.

🔓Solo HTTP Usuarios → Servidores

Restringir tráfico entre LANs internas.

  • Política Usuarios → Servidores con servicio HTTP únicamente.
  • Acción: Accept, solo puerto 80.
  • Política final "deny all" para bloquear el resto del tráfico.

🚫Bloquear Redes Sociales

Filtrado por categoría web.

  • Security Profiles → Web Filter.
  • Bloquear categoría "Social Networking".
  • Aplicar el perfil a la política LAN Usuarios → WAN.

📵Bloquear Llamadas de WhatsApp

Control de aplicaciones (App Control).

  • Security Profiles → Application Control.
  • Ubicar "WhatsApp.Voice" o "WhatsApp.Call" y bloquear.
  • Dejar mensajería de texto permitida si se requiere, solo bloquear voz/video.

🏫Bloquear itla.edu.do

Bloqueo de dominio y subdominios.

  • Web Filter → Static URL Filter.
  • Agregar patrón tipo Wildcard: *.itla.edu.do
  • Acción: Block. Aplicar en política de salida.

🛡️IPS + WAF

Detección de escaneos y protección al servidor web.

  • IPS: habilitar firmas de "scan" (ej. Nmap, port scan detection).
  • Aplicar perfil IPS en política LAN Usuarios → Servidores.
  • WAF: Security Profiles → Web Application Firewall, aplicado en política de entrada al servidor Web.