Fortificando la Seguridad en el Acceso a la Administración de Fortigate

La seguridad de la red es una preocupación constante para las organizaciones de todos los tamaños, y uno de los elementos críticos que a menudo se pasa por alto es el acceso a la administración de dispositivos de red, como los equipos Fortigate. A continuación, te presentamos algunos consejos prácticos para fortalecer la seguridad en el acceso a la administración de tu Fortigate.

1. Utiliza HTTPS

La primera línea de defensa contra sniffers de red es habilitar el acceso a la interfaz de administración a través de HTTPS en lugar de HTTP. Esto cifra la información transmitida y evita que datos sensibles sean interceptados. Para ello realiza los siguientes pasos:

  • Ingresa a la interfaz de administración del equipo Fortigate con un usuario con privilegios de administrador.
  • Selecciona la opción Redes – Interfaces y presiona doble clic sobre la interfaz de red asociada a la Red LAN.
  • En la interfaz mostrada desplazarse hasta la sección Acceso Administrativo y seleccionar la opción HTTPS. Recuerda deshabilitar la opción HTTP.
  • Guarda los cambios realizados presionado clic en el botón OK.
2. Cambia el Puerto de Administración Predeterminado

Los puertos de administración predeterminados son conocidos por muchos atacantes. Al cambiar el puerto de administración a uno menos común, puedes reducir significativamente los intentos de acceso no autorizados. Para cambiar el puerto de defecto sigue los pasos detallados a continuación:

  • Ingresa a la interfaz de administración del equipo Fortigate con un usuario con privilegios de administrador.
  • Selecciona la opción Sistema – Configuraciones.
  • En la interfaz mostrada desplazarse hasta la sección Configuraciones de Administración.
  • Desplazarse a la opción Puerto HTTPS y especificar el nuevo puerto. Recomendamos especificar un puerto con un valor mayor a 20000 y siempre menor a 65535. Para este caso especificaremos el puerto 31202.
  • Recuerda también mantener activada la opción de Redireccionar por HTTPS.
  • Desplazarse a la opción Puerto SSH y especificar el nuevo puerto. Recomendamos especificar un puerto con un valor mayor a 20000 y siempre menor a 65535. Para este caso especificaremos el puerto 42202.
  • Guarda los cambios realizados presionado clic en el botón Aplicar.
3. Habilita la Política de Contraseñas para el Administrador

Para forzar el uso de contraseñas fuertes y el cambio periódico de las mismas, habilita la política de contraseñas para los usuarios Administradores. Para ello sigue los siguientes pasos:

  • Ingresa a la interfaz de administración del equipo Fortigate con un usuario con privilegios de administrador.
  • Selecciona la opción Sistema – Configuraciones.
  • En la interfaz mostrada desplazarse hasta la sección Política de Contraseña.
  • Desplazarse a la opción Alcance de Contraseña y seleccionar la opción Administrador.
  • A continuación especificar los parámetros a aplicar para la política de contraseña.
    1. Longitud Mínima: El estándar NIST recomienda una longitud mínima de 15 caracteres.
    2. Número mínimo de caracteres nuevos: Recomendamos especificar que la nueva contraseña cuenta con al menos tres (3) caracteres nuevos respecto a la contraseña anterior.
    3. Incluir Mayúsculas: Recomendamos incluir al menos una letra mayúscula.
    4. Incluir Minúsculas: Recomendamos incluir al menos una letra minúscula.
    5. Incluir Números: Recomendamos incluir al menos un número.
    6. Incluir Caracteres Especiales: Recomendamos incluir al menos un carácter especial.
    7. Permitir reutilizar contraseñas: Recomendamos No permitir la reutilización de contraseñas anteriores.
    8. Expiración de Contraseña: Recomendamos especificar un tiempo de expiración de 120 días, lo que obligará al cambio periódico de las contraseñas cada cuatro (4) meses.
  • Guarda los cambios realizados presionado clic en el botón Aplicar.
4. Limitar el Acceso desde direcciones IP específicas

Configura las reglas de acceso para permitir la administración solamente desde direcciones IP específicas. Esto restringe el acceso solo a aquellos usuarios que realmente lo necesitan. Para habilitar esta configuración realiza los siguientes pasos:

  • Ingresa a la interfaz de administración del equipo Fortigate con un usuario con privilegios de administrador.
  • Selecciona la opción Sistema – Administradores.
  • Seleccionar y presionar doble clic en el usuario Administrador al cual se va controlar el acceso desde direcciones IP específicas. Para el ejemplo utilizaremos el usuario s0p0rt3fg.
  • En la interfaz mostrada habilitar la opción Restringir el acceso a los host de confianza.
  • A continuación en la sección Host Confiable especificar la dirección IP desde la cuale se podrá acceder a la interfaz de Administración de Fortigate empleando el usuario s0p0rt3fg. El formato de la dirección IP a ingresar es 0.0.0.0/32. Para el ejemplo se ha especificado la dirección IP 192.168.100.4/32.
  • Para agregar más direcciones IP presionar clic en el botón con el icono en forma del signo más (+). Recuerda conservar el mismo formato 0.0.0.0/32, que significa que la dirección de red solo tiene una única dirección IP.
  • Guarda los cambios realizados presiona el botón OK.
  • Para validar la restricción aplicada anteriormente, ingresa a la interfaz de Administración de Fortigate desde otra dirección IP con el usuario al cual se le aplicó la restricción. Se mostrará el siguiente error:
5. Habilita Autenticación de dos factores (2FA)

La autenticación de dos factores añade una capa adicional de seguridad al requerir no solo una contraseña, sino también un segundo factor de autenticación en este caso un código aleatorio de 6 dígitos. Esto dificulta que un atacante acceda, incluso si logra obtener la contraseña. El 2FA para un usuario Administrador se lo puede habilitar de dos formas: la primera utilizado un Fortitoken que permite generar desde la aplicación móvil Fortitoken Mobile un código aleatorio, o la segunda registrado un correo electrónico al cual se le enviará el código aleatorio. A continuación se detallan los pasos a seguir para habilitar el 2FA empleando una cuenta de correo electrónico:

  • Ingresa a la interfaz de administración del equipo Fortigate con un usuario con privilegios de administrador.
  • Selecciona la opción Sistema – Configuraciones
  • Desplázate a la sección Servicio de Correo Electrónico y especifica los siguientes parámetros para configurar la conexión tu servidor de correo electrónico:
    1. Habilita la opción Usar Configuración Personalizada
    2. Especifica el nombre del servidor de correo electrónico
    3. Especifica el puerto para la conexión con servidor de correo electrónico
    4. Habilita la opción de Autenticación y a continuación especificar un usuario y contraseña válidos para conectarse al servidor de correo electrónico
    5. Especifica el Modo de Seguridad SMTPS.
    6. Guarda los cambios realizados presionando clic en el botón Aplicar.
  • En la parte superior derecha seleccionar la opción Cli console.
  • En la interfaz mostrada ejecutar el siguiente comando: config system admin
  • Ejecutar el comando edit seguido del nombre del usuario al cual se requiere habilitar el doble factor autenticación. Para este ejemplo se utilizará el usuario s0p0rt3fg. El comando a ejecutar es edit s0p0rt3fg
  • Especificar la cuenta de correo electrónico a la cual le llegará el código aleatorio. Para este ejemplo se utilizará la cuenta de correo electrónico info@novati.com.ec. El comando a ejecutar es set email-to info@novati.com.ec.
  • Habilita el doble factor de autenticación por correo electrónico para el usuario indicado anteriormente ejecutando para ello el siguiente comando: set two-factor email
  • Guarda los cambios realizados ejecutando el comando end.
  • Para validar la aplicación del 2FA para el usuario s0p0rt3fg, ingresa a la interfaz de Administración de Fortigate e ingresa las respectivas credenciales de acceso. A continuación se enviará un código aleatorio de 6 dígitos al correo electrónico registrado anteriormente:
  • Finalmente Ingresa el código enviado al correo electrónico para iniciar sesión en la Interfaz de Administración de Fortigate.
Conclusión

Fortalecer la seguridad en el acceso a la administración de tu dispositivo Fortigate es fundamental para proteger tu red. Implementando estos consejos, podrás reducir significativamente el riesgo de accesos no autorizados y garantizar un entorno más seguro para tus operaciones. ¡No subestimes la importancia de cuidar esta parte crítica de tu infraestructura!

¿Te gusta este post? Es solo un ejemplo de cómo podemos ayudar a tu empresa…

Comunícate

Comparte:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *