La implementación de redes seguras es una prioridad ineludible en el panorama tecnológico actual. Dentro del ecosistema de seguridad de Fortinet, la configuración de VPN IPsec ha evolucionado de ser una opción recomendable a una necesidad estratégica fundamental. A diferencia de SSL-VPN, que opera en la capa 7 del modelo OSI y a menudo exponía servicios web complejos directamente a Internet, creando un objetivo atractivo para los atacantes, IPsec opera en la capa 3 (red). Este protocolo cifra cada paquete IP de forma independiente, ofreciendo un nivel de seguridad robusto para el acceso remoto y la conectividad entre sitios. Este artículo se centrará en la configuración de una VPN IPsec en FortiGate para permitir el acceso remoto de usuarios que necesitan conectarse a la oficina para acceder a recursos locales o para teletrabajar.
Creación del Túnel VPN IPsec en FortiGate
El primer paso esencial en la configuración de una VPN IPsec en FortiGate es la creación del túnel en sí. Navegue hasta el panel lateral izquierdo de la interfaz de administración de FortiGate, despliegue la opción "VPN" y seleccione "VPN Tunnels". En la ventana que aparece, procederemos a configurar los parámetros del túnel.
Configuración de la Interfaz y Parámetros Generales
En el campo "Interface", debe seleccionar la interfaz que ha sido definida como su conexión WAN (Wide Area Network). A continuación, active la opción "Mode config". Para asignar el rango de direcciones IP a los clientes VPN, tiene varias opciones: puede definir un rango específico, utilizar el servidor DHCP integrado de FortiGate o seleccionar un "Grupo de Direcciones" que ya tenga configurado previamente.
En cuanto a la configuración del DNS, tiene la flexibilidad de escribir manualmente las direcciones de los servidores DNS que desea utilizar (por ejemplo, los servidores DNS públicos de Google o sus propios servidores DNS locales si dispone de ellos), o bien, optar por utilizar directamente las configuraciones DNS que ya tiene establecidas en su FortiGate. Es crucial habilitar la opción "NAT transversal" (NAT-T) para permitir que el tráfico VPN atraviese firewalls NAT que puedan estar presentes en la red del cliente remoto.
Autenticación: Clave Pre-Compartida y Versión IKE
La autenticación es uno de los aspectos más importantes a considerar al configurar una VPN IPsec en FortiGate. Para este escenario de acceso remoto, seleccionaremos la opción "Pre-shared Key" (Clave Pre-compartida). Deberá introducir una clave fuerte y segura, y es fundamental que recuerde o guarde esta clave, ya que deberá proporcionársela a los usuarios que se conectarán a través de la VPN. Esta clave será la misma para todos los usuarios remotos.
Es importante seleccionar la versión "IKE versión 2" (Internet Key Exchange versión 2), ya que ofrece mejoras significativas en seguridad y rendimiento en comparación con IKEv1. En el campo "Accepted peer ID", se recomienda seleccionar "Any peer ID" para permitir que cualquier identificador de par sea aceptado, simplificando la configuración inicial.
Propuesta de Fase 1 (Phase 1 Proposal)
La Fase 1 del protocolo IKE establece un canal seguro para negociar los parámetros de la Fase 2. En la sección "Diffie-Hellman groups", es aconsejable dejar habilitado un único grupo para simplificar la negociación. Dado que estamos utilizando IKEv2, se recomienda seleccionar un grupo Diffie-Hellman de alto valor, como el grupo 14 o superior, que ofrecen una mayor seguridad criptográfica.
Selectores de Fase 2 (Phase 2 Selectors)
Los Selectores de Fase 2 definen los parámetros para el túnel de datos real. Asigne un nombre descriptivo al túnel para facilitar su identificación. En los campos "Local address" y "Remote address", se recomienda dejar ambos configurados como "0.0.0.0 0.0.0.0". Esta configuración permite que las políticas de firewall posteriores determinen de manera granular a qué subredes internas tendrán acceso los usuarios VPN.
En la sección "Encryption - authentication", seleccione un conjunto de algoritmos robustos. Se recomienda dejar habilitadas opciones como "AES256 - SHA256" y "AES256 - SHA384", que proporcionan un fuerte cifrado y verificación de la integridad de los datos. Habilite también las opciones "Replay detection" para prevenir ataques de repetición y "PFS" (Perfect Forward Secrecy) para asegurar que el compromiso de una clave de sesión no comprometa las claves de sesiones futuras.
Configuración Adicional de Fase 2
Continuando con la configuración de la Fase 2, encontrará la opción "Autokey keep alive". Habilite esta función para asegurar que el túnel permanezca activo. Ajuste el valor de "Key lifetime" a "3600" segundos (o 1 hora). Esto define el período de tiempo después del cual las claves de sesión se regenerarán, lo que contribuye a la seguridad general del túnel.
Autenticación de Usuarios Remotos y Protocolo EAP
Si bien hemos configurado la autenticación inicial mediante una clave pre-compartida para establecer el túnel IPsec, es importante recordar que los usuarios remotos se conectarán utilizando sus credenciales individuales: nombre de usuario y contraseña. Para lograr esto, se utiliza el protocolo EAP (Extensible Authentication Protocol). La correcta configuración del EAP es fundamental para la autenticación segura de cada usuario que accede a la red corporativa a través de la VPN IPsec en FortiGate. Esto permite una gestión de acceso más granular y un seguimiento individual de las conexiones.
Políticas de Firewall para el Tráfico VPN
Por defecto, los firewalls como FortiGate operan bajo una política de "DROP", lo que significa que todo el tráfico que no esté explícitamente permitido será bloqueado. Por lo tanto, es imperativo definir y configurar políticas de firewall que permitan explícitamente el tráfico proveniente de los usuarios remotos hacia la red o redes internas. Además, es posible configurar estas políticas para permitir que los usuarios VPN accedan a Internet utilizando la dirección IP pública de la oficina, lo que puede ser útil para el teletrabajo.
Creación de una Política de Firewall para Acceso VPN
Para configurar las reglas del firewall, navegue hasta el panel izquierdo y seleccione "Policy & Objects" > "Firewall Policy". En este escenario, además de otorgar acceso a la red local, configuraremos la política para permitir la navegación por Internet a través de la IP pública de la oficina.
En la sección "Source", seleccione el rango de direcciones IP que ha creado previamente para el acceso remoto de VPN IPsec con FortiClient. En "User/Group", elija un grupo de usuarios que ya haya configurado o cree uno nuevo en este paso. La interfaz de salida (Outgoing Interface) para el tráfico destinado a la red interna será la correspondiente a la red local. En este caso particular, para permitir la navegación a Internet con la IP pública de la oficina, la interfaz de salida debería ser la interfaz WAN. Si se desea que el tráfico VPN salga directamente a Internet sin pasar por NAT en el FortiGate, se puede dejar desactivada la opción NAT en esta política específica. Sin embargo, si el objetivo es que el tráfico interno de los usuarios VPN se beneficie de la traducción de direcciones de red (NAT) de la oficina para salir a Internet, la opción NAT debe estar activada.
Gestión de Usuarios y Grupos para VPN
Para poder asignar usuarios a las políticas de firewall, primero debemos crear o seleccionar los grupos de usuarios correspondientes. Si necesita crear un nuevo grupo de usuarios, diríjase al panel izquierdo, navegue a "User & Authentication" > "User Groups".
En la ventana de creación de grupos, escriba un nombre descriptivo para el grupo (por ejemplo, "Usuarios VPN Remotos"). Seleccione la opción "Firewall" como tipo de grupo. A continuación, agregue los usuarios individuales que pertenecerán a este grupo. Estos usuarios pueden ser autenticados localmente en el FortiGate o a través de un servidor de autenticación externo como RADIUS o LDAP.
Escenario de Implementación: VPN IPsec de Windows a FortiGate
Consideremos un escenario práctico donde se requiere establecer una VPN IPsec desde un cliente Windows hacia un firewall FortiGate.
- Instalación de FortiClient: El primer paso es descargar e instalar la aplicación FortiClient en la máquina Windows. FortiClient es el software cliente oficial de Fortinet que permite a los usuarios conectarse de forma segura a la red corporativa a través de túneles VPN IPsec o SSL-VPN.
- Configuración del Firewall FortiGate: Una vez instalado FortiClient, el siguiente paso es configurar el firewall FortiGate para aceptar las conexiones de este cliente. Esto implica seguir los pasos descritos anteriormente para la creación del túnel VPN IPsec, asegurándose de que los parámetros de autenticación, cifrado y negociación de la Fase 1 y Fase 2 coincidan entre el cliente y el servidor.
- Configuración de la Conexión en FortiClient: En la aplicación FortiClient, deberá crear una nueva conexión VPN. Seleccione el tipo de VPN como "IPsec VPN" e introduzca los detalles de configuración, incluyendo la dirección IP o el nombre de dominio del FortiGate, la clave pre-compartida, y las credenciales de usuario (si se utiliza autenticación basada en usuario).
- Verificación de la Conectividad: Una vez configurada la conexión en FortiClient, intente establecer la conexión VPN. Después de una conexión exitosa, debería poder acceder a los recursos de la red local de la oficina, como servidores de archivos, impresoras o aplicaciones internas.
Configurar VPN remota IPSEC en Firewall Fortigate (dial-up server)
Escenario Adicional: VPN IPsec de Sitio a Sitio (Site-to-Site)
Otro escenario común es la configuración de una VPN IPsec de sitio a sitio entre dos firewalls FortiGate, o entre un FortiGate y otro dispositivo de red compatible.
Nota: En una configuración de sitio a sitio, una de las interfaces del FortiGate se utiliza típicamente para el licenciamiento del firewall, por lo que debe asegurarse de no utilizar esa interfaz para el túnel VPN.
Configuración para un túnel de sitio a sitio sin NAT:
- Tipo de VPN: Seleccione "Site-to-Site".
- Dispositivo Remoto: Especifique si el dispositivo remoto es otro FortiGate o un dispositivo genérico. En este caso, si es FortiGate, puede seleccionar "FortiGate". Si el objetivo es no realizar NAT en el túnel, seleccione "No NAT".
- Interfaz Local: Defina la interfaz de red local que se utilizará para el túnel VPN. Por ejemplo,
port2. - Dirección IP Local: Especifique el rango de red local que se anunciará a través del túnel. Por ejemplo,
192.168.20.0/24. - Subred Remota: Especifique el rango de red remota al que se desea acceder. Por ejemplo,
192.168.10.0/24.
Después de configurar estos parámetros, deberá configurar las políticas de firewall correspondientes en ambos extremos del túnel para permitir el tráfico entre las redes locales y remotas. En la interfaz de administración del FortiGate, haga clic derecho sobre el túnel VPN y seleccione "Bring UP" para iniciar las fases de negociación y establecer el túnel. Es posible que deba activar "All Phase 2 selectors" para asegurar que todos los túneles de Fase 2 definidos se inicien correctamente.
Consideraciones sobre el Dimensionamiento y la Cantidad de Usuarios
Al planificar la implementación de una VPN IPsec, es crucial considerar la cantidad de usuarios que se conectarán simultáneamente. El rendimiento del FortiGate, especialmente el rendimiento de cifrado y el número de túneles VPN soportados, puede verse afectado por la carga de trabajo. El número aproximado de equipos necesarios o la capacidad del FortiGate a adquirir debe estar determinado por la cantidad de usuarios que se estima se conectarán por VPN. Un análisis de los requisitos de ancho de banda, la complejidad de las aplicaciones a las que accederán los usuarios y el nivel de cifrado requerido ayudará a seleccionar el modelo de FortiGate adecuado para garantizar un rendimiento óptimo y una experiencia de usuario fluida.
La elección de los algoritmos de cifrado y hash también influye en el rendimiento. Algoritmos más robustos, como AES-256 y SHA-384, proporcionan una mayor seguridad pero pueden requerir más recursos de procesamiento. Es importante encontrar un equilibrio entre la seguridad y el rendimiento, especialmente en entornos con un gran número de usuarios concurrentes.
Conclusión Parcial
La configuración de VPN IPsec en FortiGate es un proceso multifacético que requiere una comprensión detallada de los protocolos de red, la seguridad y la interfaz de administración del dispositivo. Al seguir los pasos descritos, desde la creación del túnel y la configuración de la autenticación hasta la definición de las políticas de firewall y la gestión de usuarios, se puede establecer una solución de acceso remoto segura y confiable. La flexibilidad de IPsec, operando en la capa de red, lo convierte en una opción robusta para proteger las comunicaciones y los datos sensibles, ya sea para usuarios remotos individuales o para la interconexión de múltiples sitios. La planificación cuidadosa, considerando escenarios de implementación específicos y los requisitos de los usuarios, es clave para el éxito de la implementación de VPN IPsec.