Como configurar una VPN IPSEC Dialup en Fortigate con doble factor de autenticación (2FA).

En el mundo digital actual, donde el trabajo remoto y la movilidad son cada vez más comunes, garantizar un acceso seguro a la red corporativa nunca ha sido tan crucial. Las redes privadas virtuales (VPN) juegan un papel fundamental en la protección de la información confidencial al permitir conexiones seguras a través de Internet. En este artículo, te guiaremos con el paso a paso para configurar una VPN IPSEC DialUp habilitando el doble factor de autenticación (2FA), fortaleciendo de esta forma la seguridad en el acceso a los recursos corporativos.

Paso 1: Acceso a la Interfaz de Administración

Primero, accede a la interfaz de administración de Fortigate a través de un navegador web. Ingresa la dirección IP o nombre del dispositivo en la barra de direcciones y proporciona tus credenciales de inicio de sesión con privilegios de Administrador.

Paso 2: Crear un Grupo de Usuarios

En esta etapa crearemos un nuevo grupo usuarios que se empleará posteriormente para la conexión VPN IPSEC. Para ello realizar los pasos detallados a continuación:

  1. Selecciona la opción Usuarios y Autenticación y a continuación especificar la opción Grupos de Usuarios
  1. Presionar el botón Crear Nuevo
  2. En la interfaz mostrada especificar los siguientes datos:
  • Nombre del grupo de usuarios a crear. Por ejemplo: GRUPO_VPN_IPSEC
  • En la sección tipo de grupo (Type) seleccionar la opción Firewall.
  • En la sección Miembros presionar clic en el botón en forma de + para agregar uno o más usuarios.
  • A continuación seleccionar él o los usuarios que formarán parte del Grupo de Usuarios. En caso que se requiera crear un nuevo usuario realizar los pasos detallados a continuación:
    • Presionar clic en el botón Crear.
  • Presionar clic en el botón Usuario
  • Selecciona la opción Usuario Local
  • A continuación ingresa las credenciales de acceso para el nuevo usuario, especificado un nombre de usuario y una contraseña con una longitud de al menos 12 caracteres que incluya letras mayúsculas, números y caracteres especiales. Para este ejemplo se creará el usuario usuario1_ipsec.
  • Presiona el botón Siguiente para continuar con la creación del usuario.
  • Selecciona la opción Habilitado y presiona clic en el botón Enviar para finalizar con la creación del Usuario.
  • A continuación selecciona el usuario creado anteriormente.
  • Seleccionado el usuario que formará parte del Grupo de Usuarios, presiona clic en el botón OK para concluir con la creación del Grupo de Usuarios.
Paso 3: Crear una Nueva VPN IPSEC

Para iniciar con la creación de la VPN IPSEC realiza los siguientes pasos:

  1. Selecciona la opción VPN – Tunules IPsec y presiona clic en el botón Crear Nuevo – Túnnel IPSEC.
Paso 4: Configuración de la VPN

Para iniciar la configuración de la VPN IPSEC realiza los siguientes pasos:

  1. En la interfaz mostrada especificar los siguientes datos para iniciar la configuración de la VPN IPSEC:
    • Nombre a asignar a la Conexión VPN. Por ejemplo VPN_Corporativa.
    • Tipo de Plantilla a Utilizar: Seleccionar la opción Acceso Remoto
    • Tipo de Dispositivo Remoto: Seleccionar las opciones Basado en Cliente y Forticlient:
  • Presionar clic en el botón Siguiente para continuar con la configuración.
Paso 5: Configuración Autenticación

Para establecer los parámetros a emplear para la autenticación de la VPN IPSEC realiza los pasos detallados a continuación:

  1. Desplazarse a la opción Interfaz de entrada y selecciona la interfaz de red por la cual el equipo Fortigate para conectarse a internet. Para este caso la interfaz de red es INTERNET(wan).
  2. En la opción Método de Autenticación selecciona la opción Clave Compartida.
  3. En la opción Llave Pre-compartida especifica la contraseña que empleará el cliente de la VPN (Forticlient) para establecer conexión. Recuerda especificar una contraseña fuerte con un longitud de al menos 12 caracteres que incluya letras mayúsculas, números y caracteres especiales.
  1. A continuación especificar el Grupo de Usuarios del cual forman parte él o los usuarios que se conectarán mediante la VPN IPSEC. Para este caso seleccionaremos el Grupo de Usuarios Grupo_VPN_IPSEC creado anteriormente.
  1. Seleccionado el Grupo de Usuarios, presionar clic en el botón Siguiente para continuar con la configuración.
Paso 6: Política de Acceso y Enrutamiento

En esta etapa se configurarán las políticas de acceso para permitir que él o los usuarios que se conecten desde Internet través del túnel VPN IPSEC, accedan de forma segura a los servidores o aplicaciones de la empresa. Para habilitar esta configuración realiza los siguientes pasos:

  1. En la opción Interfaz Local selecciona la interfaz de red asociada al segmento de red al cual se permitirá el acceso desde la VPN IPSEC. Para este ejemplo la interfaz de red se denomina SERVIDORES_DMZ que agrupa a los servidores de la Zona DMZ.
  2. En la opción Dirección Local selecciona él o los servidores a los cuáles se les permitirá el acceso desde la VPN IPSEC. Para este ejemplo se permitirá el acceso al servidor denominado SRV_PORTAL_WEB.
  3. En la opción Rango de dirección del Cliente especifica el rango de direcciones IP que se les asignará a los usuarios que se conecten a través de la VPN IPSEC. Para este ejemplo se utilizará el rango 192.168.200.1-192.168.200.2
  4. En la opción Máscara de Subred especifica la máscara de red a asignar al rango de direcciones IP ingresadas en el punto anterior. Para este caso se emplearemos una máscara de red /24 (255.255.255.0)
  5. A continuación en la sección Servidor DNS especifica el servidor DNS que se empleará para la resolución de nombres de dominio, selecciona la opción Use DNS del sistema si deseas utilizar el servidor DNS configurado en el equipo del usuario o selecciona la opción Especificar si cuentas y deseas utilizar el servidor DNS de la empresa. Para este caso emplearemos el servidor DNS de la empresa especificado para ello la dirección IP de dicho servidor.
  6. A continuación activa la opción Habilitar Túnel Dividido (Split Tunnel) si requieres enrutar solo el tráfico interno de la empresa (Acceso a Servidores, Base de datos, entre otros) a través del túnel VPN, mientras que el resto del tráfico (como la navegación por Internet) saldrá directamente a través de la conexión local del usuario, sin pasar por la VPN. Desactiva esta opción si requieres enrutar todo el tráfico a través del túnel VPN cifrado, que es la opción que ofrece mayor seguridad.
  7. Habilita la opción Permitir Registro de Dispositivos Finales para activar el registro (log) que permita contar con información sobre la actividad de la autenticación, el cifrado y otras acciones que realizan los dispositivos remotos (equipos usuario) al conectarse a la red de la empresa a través del túnel VPN.
  1. Presionar el botón Siguiente para continuar con la configuración.
Paso 7. Configuración Opciones de Cliente

En esta sección se define los parámetros que se pueden habilitar del lado de la aplicación cliente (FortiClient) como Guardar Contraseña, Auto Conectar, Mantener Siempre Activo (KeepAlive) para establecer la conexión a través del Tunel VPN. Para modificar estos parámetros realizar los pasos detallados a continuación::

  1. Habilita la opción Guardar Contraseña si deseas permitir que la aplicación cliente (FortiClient) guarde y recuerde la contraseña en el próximo inicio de sesión.
  2. Habilita la opción Auto Conectar si deseas permitir que el túnel VPN IPSEC se establezca y conecte automáticamente cuando se inicie la aplicación cliente (FortiClient), sin necesidad de intervención manual del usuario. Se recomienda no activar esta opción.
  3. Habilita la opción Siempre Arriba (Keep Alive) si deseas permitir que el el túnel VPN IPSEC se mantenga siempre activo y estable, es decir que permanezca siempre disponible incluso si no hay tráfico de datos activo.
  1. Presiona clic en el botón Siguiente para continuar con la configuración.
Paso 8. Revisar la configuración

En esta sección verificaremos las configuraciones descritas anteriormente previo a finalizar con la creación de la VPN IPSEC.

  1. Se visualizará un resumen con los parámetros de configuración especificados anteriormente. Revisar dichos parámetros y presionar clic en el botón Crear para finalizar con la configuración de la VPN IPSEC.
  1. A continuación se mostrará un mensaje que muestra que la VPN fue configurada correctamente.
  1. En la imagen anterior se puede apreciar que se creó automáticamente el objeto de dirección IP VPN_Corporativa_range que contiene el rango de direcciones IP especificadas en la configuración a demás de la política de Firewall con ID 81 denominada vpn_VPN_Corporativa_remote que permitirá el acceso de los usuarios que se conecten a través de la VPN IPSEC a la red de servidores de la empresa.
  1. Presiona el botón Mostrar lista de túneles para visualizar el túnel VPN creado. Selecciona el mismo y presiona clic en el botón Editar.
  1. En la nueva interfaz mostrada presiona clic sobre la opción Convertir a Túnel Personalizado, lo que permitirá personalizar o modificar los parámetros de configuración del túnel VPN creado de acuerdo a nuestras necesidades.
  1. Al seleccionar la opción anterior se visualizará de forma detallada los parámetros de configuración establecidos para el túnel VPN creado anteriormente. Para adaptar la configuración del túnel VPN a las configuraciones habilitadas por defecto en la aplicación Forticlient realizaremos los siguientes cambios:
    • Desplazarse a la sección Propuesta Fase 1 y presionar el botón Editar.
  • En la sección de la Fase 1, desplazarse a la sección Grupos Diffie-Hellman y seleccionar el grupo 14 y 20 que ofrecen una mayor seguridad contra ataques ya que emplean un tamaño de bits de 2048 y 384 bits (curva elíptica) respectivamente. Para este caso es importante seleccionar el Grupo 20 ya que este grupo es el que viene habilitado por defecto en el cliente Forticlient instalado en sistemas operativos Windows.
  • Desplazarse a la sección Selector Fase 2 y presionar el botón Editar.
  • En la sección de la Fase 2, presionar clic en la opción Avanzado y desplazarse a la sección Grupos Diffie-Hellman. Seleccionar el grupo 14 y 20 que ofrecen una mayor seguridad contra ataques ya que emplean un tamaño de bits de 2048 y 384 bits (curva elíptica) respectivamente. Para este caso es importante seleccionar el Grupo 20 ya que este grupo es el que viene habilitado por defecto en el cliente Forticlient instalado sistemas operativos Windows.
  • Presionar el botón OK para guardar los cambios realizados.
  1. Si requieres modificar o personalizar la regla de Firewall, por ejemplo habilitado el acceso únicamente a los puertos 80 y 443 del servidor web, selecciona la opción Políticas y Objetos – Política de Firewall, busca la regla vpn_VPN_Corporativa_remote y edita esta política de acuerdo a tus necesidades.
  1. Si requieres modificar el rango de direcciones IP asignado anteriormente, selecciona la opción Políticas y Objetos – Direcciones busca el objeto de direcciones IP VPN_Corporativa_range y edita este objeto acuerdo a tus necesidades.
Paso 9: Habilita Doble Factor de Atenticación (2FA)

La autenticación de dos factores añade una capa adicional de seguridad al requerir no solo una contraseña, sino también un segundo factor de autenticación en este caso un código aleatorio de 6 dígitos. Esto dificulta que un atacante acceda, incluso si logra obtener la contraseña. El 2FA para un usuario que se conecta a través de la VPN IPSEC se lo puede habilitar de dos formas: la primera utilizado un Fortitoken que permite generar desde la aplicación móvil Fortitoken Mobile un código aleatorio, o la segunda registrado un correo electrónico al cual se le enviará el código aleatorio. A continuación se detallan los pasos a seguir para habilitar el 2FA empleando una cuenta de correo electrónico:

  1. En la parte superior derecha seleccionar la opción Cli console.
  1. En la interfaz mostrada ejecutar el siguiente comando: config user local
  1. Ejecutar el comando edit seguido del nombre del usuario al cual se requiere habilitar el doble factor autenticación. Para este ejemplo se utilizará el usuario usuario1_ipsec. El comando a ejecutar es edit usuario1_ipsec
  1. Especificar la cuenta de correo electrónico a la cual le llegará el código aleatorio. Para este ejemplo se utilizará la cuenta de correo electrónico info@novati.com.ec. El comando a ejecutar es set email-to info@novati.com.ec.
  1. Habilita el doble factor de autenticación por correo electrónico para el usuario indicado anteriormente ejecutando para ello el siguiente comando: set two-factor email
  1. Guarda los cambios realizados ejecutando el comando end.
Paso 9: Prueba la Conexión

Para verificar la conexión y funcionamiento de la VPN IPSEC realizar los pasos detallados a continuación:

  1. Descarga la aplicación Forticlient VPN para sistema operativo Windows del sitio oficial de Fortinet.
  1. Instala la aplicación Forticlient VPN en tu equipo con sistema operativo Windows.
  2. Finalizada la instalación ejecuta la aplicación Forticlient VPN y acepa los términos y condiciones de uso de la aplicación presionando el botón Acepto.
  1. Crea una nueva conexión seleccionado la opción Adicionar una nueva conexión.
  • En la nueva interfaz especifica la siguientes opciones:
    • Selecciona la opción VPN IPSEC
    • Especifica un nombre para la nueva conexión. Para este ejemplo el nombre de la conexión a crear es VPN_IPSEC_EMPRESA.
    • Especifica un descripción que detalle el propósito o uso para la nueva conexión.
    • En la sección Gateway Remoto especifica la dirección IP Pública asociada a la interfaz WAN del equipo Fortigate.
    • En la sección Método de Autenticación selecciona Clave pre-compartida e ingresa la misma contraseña establecida en el proceso de configuración en el Paso 4 (Configuración de Autenticación)
    • Mantén las demás opciones que viene por defecto habilitadas en el cliente Forticlient.
    • Presiona el botón Guardar para aplicar las cambios realizados.
  1. A continuación se desplegará la interfaz para ingresar el usuario y la respectiva contraseña. Para este ejemplo emplearemos el usuario usuario1_ipsec. Ingresamos la contraseña y presionamos clic en el botón Conectar.
  1. Como se encuentra habilitado el 2FA para el usuario usuario1_ipsec nos pedirá ingresar el código aleatorio de 6 dígitos enviado al correo electrónico registrado info@novati.com.ec.
  1. Ingresa el código enviado al correo electrónico registrado y presiona el botón Aceptar, para establecer la conexión a través del túnel IPSEC. Si los datos ingresados son correctos se mostrará que la conexión se ha establecido correctamente, así como la dirección IP asignada al equipo cliente.
Conclusión

Configurar una VPN IPSEC con doble factor de autenticación no solo asegura la protección de los datos en tránsito, sino que también permite un acceso remoto eficaz y seguro a los recursos empresariales. Siguiendo estos pasos, podrás establecer una conexión segura y confiable que beneficiará a tu organización.

¿Te gusta este post? Es solo un ejemplo de cómo podemos ayudar a tu empresa…

Comunícate

Comparte:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *