FortiGate la Configuración inicial 

Escrito por Armando Zeferino Gonzal

No basta con sacarlo de la caja: Cómo blindar tu firewall y reducir la superficie de ataque desde el primer día

Acabas de recibir tu nuevo FortiGate. Has hecho una gran inversión estratégica en uno de los líderes indiscutibles del mercado de hardware de seguridad. Lo sacas de la caja con entusiasmo, lo conectas a la corriente, enchufas el cable de red a internet y ves que las luces parpadean. Funciona. Navegas por internet. ¿Estás seguro?

Aquí radica el error más peligroso y común en la administración de redes: creer que la configuración de fábrica ("Out-of-the-Box") es segura. No lo es. La configuración por defecto de casi todas las soluciones de seguridad comerciales está diseñada priorizando la facilidad de acceso y la puesta en marcha rápida, no la seguridad máxima.

Un dispositivo mal configurado es una invitación abierta para un ataque cibernético. Para convertir ese equipo en una verdadera fortaleza que pueda proteger los datos de tu organización, necesitas aplicar un proceso técnico conocido como Hardening (o endurecimiento/robustecimiento).

En esta guía exhaustiva, el equipo de ingeniería de OXM TECH te lleva paso a paso por los puntos críticos para configurar, segurizar y gestionar tu FortiGate desde cero, asegurando que tu infraestructura TI sea resiliente ante las amenazas cibernéticas modernas.

Concepto Clave: ¿Qué es el Hardening y por qué lo necesitas?

El "Hardening" es el proceso de asegurar un sistema reduciendo su superficie de ataque. En términos sencillos, significa cerrar todas las puertas y ventanas que no son estrictamente necesarias.

Los sistemas informáticos vienen con muchos servicios activados "por si acaso". En un firewall, cada puerto abierto, cada protocolo innecesario y cada cuenta de administrador genérica es una vulnerabilidad potencial que un hacker puede explotar para ganar acceso no autorizado. El objetivo es endurecer el equipo para que solo realice las funciones para las que fue diseñado, minimizando los riesgos de seguridad.

Paso 1: Acceso Inicial y Cambio de Credenciales

Antes de conectar el equipo a tu red de producción y exponerlo al vasto y peligroso mundo de internet, conéctalo de forma aislada en un entorno controlado (laboratorio o escritorio).

  1. Conexión Física: Conecta tu laptop directamente al puerto de gestión dedicado (MGMT) o al puerto 1 (dependiendo del modelo del equipo). Asegúrate de que tu computadora esté en el mismo rango de red.

  2. Acceso Web: Abre tu navegador de preferencia y digita la dirección IP por defecto, que usualmente es https://192.168.1.99.

  3. Iniciar Sesión: En la pantalla de login, ingresa el usuario predeterminado: admin y deja el campo de contraseña en blanco.

  4. Acción Inmediata: El sistema, por seguridad, te pedirá cambiar la contraseña inmediatamente.

    • Tip de Seguridad: No uses claves débiles como "Admin123" o el nombre de la empresa. Usa una contraseña robusta de más de 12 caracteres, alfanumérica y con símbolos. Recuerda que si alguien rompe esta clave, tiene las llaves del reino.

Paso 2: Actualización de Firmware (El cimiento de la seguridad)

Nunca configures un equipo para producción con un firmware obsoleto. Las vulnerabilidades de software son una de las vías más comunes para un ataque cibernético.

  1. Ve al menú System > Firmware.

  2. Análisis de Versión: Aquí verás la versión actual y las disponibles. Fortinet suele ofrecer dos ramas:

    • Feature: La más nueva con las últimas funciones, pero potencialmente con bugs no descubiertos.

    • Mature: Una versión más probada y estable, ideal para entornos críticos.

  3. Upgrade: Si buscas estabilidad operativa para tus sistemas de gestión, opta por la versión "Mature" recomendada (ej. 7.0.x o 7.2.x). Realiza la actualización antes de empezar a crear políticas, ya que los comandos pueden cambiar entre versiones.

Paso 3: "Hardenizado" del Acceso Administrativo

Este es el paso más crítico. Si no proteges la gestión del firewall, no puedes proteger nada más. El objetivo es evitar que bots o atacantes tomen control del dispositivo.

  1. Cambiar Puertos por Defecto (Ofuscación):

    • Los atacantes escanean internet buscando el puerto 443 (HTTPS) o 22 (SSH) para encontrar paneles de administración.

    • Ve a System > Settings. Cambia el puerto HTTPS de administración a algo no estándar (ej. 10443 o 4443).

    • Deshabilita protocolos inseguros: Apaga HTTP, Telnet y Ping en las interfaces WAN. Solo deja habilitado HTTPS y SSH si es estrictamente necesario y seguro.

  2. Trusted Hosts (La regla de oro del Control de Acceso):

    • Nunca dejes el acceso administrativo abierto a "cualquier IP" (0.0.0.0/0).

    • En System > Administrators, edita al usuario admin.

    • Activa la opción Restrict login to trusted hosts. Agrega únicamente las IPs públicas estáticas de tus otras oficinas o la subred de gestión interna de tus redes de área local.

    • Resultado: Si un hacker intenta entrar desde una IP no listada, el FortiGate ni siquiera le mostrará la pantalla de login; rechazará la conexión silenciosamente.

  3. Autenticación Multifactor (MFA):

    • Las contraseñas pueden ser robadas. Activa el doble factor de autenticación usando FortiToken en los dispositivos móviles de los administradores. Así, incluso con la contraseña, nadie podrá entrar sin el token físico.

  4. Renombrar o Crear Super_Admin:

    • Es una buena práctica de seguridad informática deshabilitar la cuenta por defecto admin (ya que es el nombre que todos los hackers prueban primero) y crear una nueva cuenta de superusuario con otro nombre (ej. oxm_super_adm).

Paso 4: Configuración de Interfaces y Zonas

No trates a todas las redes igual. La segmentación es vital para contener amenazas.

  1. Network > Interfaces: Configura tus puertos WAN y LAN. Siempre que sea posible, usa IPs estáticas para servidores y gestión.

  2. Uso de Zonas (Zones): Agrupa interfaces lógicas. Por ejemplo, crea una zona llamada "LAN_TRUST" para empleados y una "WAN_UNTRUST" para internet. También puedes crear una zona DMZ para servidores expuestos.

    • Beneficio: Esto simplifica enormemente la creación de políticas de seguridad futuras. En lugar de hacer reglas puerto a puerto, haces reglas de Zona a Zona, lo que reduce errores humanos y mejora la visibilidad del tráfico de red.

Paso 5: Políticas de Seguridad y Perfiles UTM (El corazón de la defensa)

Un firewall sin perfiles de seguridad activados es simplemente un router muy caro. Aquí es donde Fortinet brilla con sus servicios UTM (Unified Threat Management).

  1. Política de Salida (LAN a WAN):

    • Evita crear una regla "All to All" (Permitir todo a todos). Define qué subredes de usuarios autorizados pueden salir a internet.

    • Activa los Security Profiles:

      • Antivirus: Configúralo para escanear descargas. El modo "Flow-based" ofrece buen rendimiento.

      • Web Filter: Bloquea categorías de riesgo como "Sitios maliciosos", "Phishing", "Adulto" y "Apuestas". Esto mejora la productividad y reduce el riesgo de infección.

      • DNS Filter: Crucial. Si una PC se infecta, el malware intentará contactar a su servidor de comando (C2) mediante DNS. Este filtro bloquea esas peticiones, neutralizando el ataque.

      • IPS (Intrusion Prevention System): Actívalo para bloquear exploits conocidos contra sistemas operativos y aplicaciones.

      • Application Control: Bloquea aplicaciones no deseadas (como Tor, BitTorrent o juegos online) que consumen ancho de banda y traen riesgos.

  2. Inspección SSL (Deep Packet Inspection):

    • La mayoría del tráfico web hoy en día está cifrado (HTTPS). Si no inspeccionas SSL, el firewall está ciego. Configura la inspección profunda para poder ver dentro de los paquetes y detectar malware oculto.

  3. Seguridad en el Correo Electrónico:

    • Si tienes servidores de correo internos, configura filtros antispam y antivirus específicos para el tráfico SMTP, protegiendo este vector crítico de entrada de ransomware.

  4. Política de Denegación Implícita:

    • FortiGate trae una regla final invisible que bloquea todo lo que no está permitido explícitamente. Por defecto, no guarda registros.

    • Entra a la política final ("Implicit Deny") y activa Log Violation Traffic. Esto es vital para diagnosticar problemas y ver quién está intentando realizar acceso no autorizado.

Paso 6: VPN y Acceso Remoto Seguro

El trabajo híbrido es la norma, y las VPN son el blanco favorito de los atacantes.

  1. SSL-VPN Hardening:

    • Cambia el puerto de la VPN (no uses el 443 o 10443 si ya lo usas para gestión).

    • No permitas el acceso desde cualquier país. Usa "Geo-IP Blocking" para denegar conexiones desde países donde no tienes empleados (ej. Rusia, China, Corea del Norte).

    • Obligatorio: Configura MFA para todos los usuarios de VPN. Una contraseña de VPN robada es la causa #1 de ransomware hoy en día.

Paso 7: Logs, Monitoreo y Respaldos

La memoria del equipo es volátil y limitada. Sin visibilidad, estás volando a ciegas.

  1. Configuración de Logs:

    • Si tienes un FortiAnalyzer o una cuenta de FortiGate Cloud, actívalo en la sección Security Fabric. Esto te permitirá guardar un histórico de logs para análisis forense.

    • Si no, asegúrate de loguear al menos los eventos de seguridad críticos en la memoria o disco local.

  2. Copias de Seguridad (Backups):

    • Configura respaldos automáticos y periódicos de la configuración.

    • Muy Importante: Al guardar el backup, el sistema te preguntará si quieres encriptarlo. SIEMPRE encríptalo con una contraseña. Si un atacante roba un archivo de configuración no encriptado, puede leer todas tus contraseñas de VPN, claves de Wi-Fi y datos de usuarios en texto plano, comprometiendo toda tu red.

Conclusión: La seguridad es un proceso vivo

Configurar el FortiGate es solo el comienzo del viaje. El "Hardening" no es un evento de una sola vez; es un ciclo continuo que requiere revisión constante de logs, actualización de firmas de seguridad, parches de firmware y auditorías de políticas.

Un firewall mal configurado da una falsa sensación de seguridad que puede ser letal para la continuidad del negocio. Las medidas de seguridad deben evolucionar tan rápido como las amenazas.

¿Te parece complejo? Deja que los expertos lo hagan.

Un error en la configuración de un firewall puede dejar tu red expuesta a un desastre o, por el contrario, bloquear operaciones críticas del negocio deteniendo la producción. No te arriesgues a aprender mediante prueba y error con la seguridad de tu empresa.

En OXM TECH, somos expertos certificados en soluciones Fortinet. Nos encargamos del ciclo completo de vida de tu seguridad perimetral: desde el dimensionamiento correcto y la venta, hasta la implementación, el "hardenizado" avanzado y el monitoreo continuo de tus firewalls.

¿Necesitas configurar un equipo nuevo para una sucursal o quieres auditar la seguridad de tu FortiGate actual? [Agenda una sesión técnica con OXM TECH aquí] y asegura tu perímetro con estándares profesionales de clase mundial.

Armando Zeferino Gonzal
Siguiente

El Cumplimiento con la Plataforma Unificada de Imperva