Este fin de semana viaje de nueva cuenta al puerto de Veracruz, la misión. Reconfigurar un fortinet
Los fortinet son una especie de firewall basado en “hardware” al estilo Pix de Cisco, pero con interfaces WEB para su configuración.
Para la mala suerte el famoso fortinet se rompió, su misión en vida era filtrar paquetes y dejar pasar solo SSH , WEB y WEBSSL, en algún momento de la madrugada ya amargado por la situación, termine instalando un GNU/Linux que haga la chamba de ese fortinet , pero mejor.
GNU/Linux filtraba igual dejando pasar SSH, WEB y WEBSSL en un E3
Resultado de la contienda
Fortinet solo filtraba paquetes.
GNU/Linux Filtro paquetes y un proxy transparente , se le podría agregar QoS pero ya no lo solicito asi el cliente.
Ganador obvio, GNU/Linux en una PC ensamblada
Espero tener una ventana de tiempo y liberar mañana un nuevo programa de SMS que no requiera la clave, pero que tampoco permita abusos, ya veremos si para mañana lo puedo publicar
A que cosas con los Fortishet…. 😛
tengo un fortinet y las cosas que hace son increibles… y la mas importante ahorran tiempo a los sysadm. Yo estoy muy contento con mi equipo
Como puedo instalar, configurar, usar y administrar un GNU/Linux para una red
Pues yo actualmente tengo toda la seguridad sobre linux y no me gusta porque todo es a pata (comandos y crear cosas nuevas) aunq hasta el momento no hemos tenido problemas de segurirdad. Estoy viendo los equipos de Fortinet para una probable migración a estos equipos.
Alex, pues mejor aprendelo, no existe programa grafico que supere a la versatilidad de la consola, incluso en OS como Windows ese es el motivo por el que no desaparece el simbolo de comandos, por que los expertos usan la consola, no usarla te pone en desventaja contra un experto que si la sepa usar
mira fortinet es un equipo bastante robusto, que si lo sabes trabajar muy bn es un exito! si e trabajao con varios firewall y para mi es uno de los mejores, deberias de leer las ventajas de las nuevas versiones de firmwares
Quizas en pequeñas oficinas un firewall basado en linux con una pc ensamblada te puede sacar de apuros. En un entorno corporativo donde las cosas simplemente no pueden fallar no es aconsejable que utilices ese hardware. En cuanto software tendrias que ver cuando quieras manejar un throughput de 1gbps.
Saludos
Administrador82
Yo he retirado fortinets de corporativos y sustituido por GNU/Linux, y no manejando uno sino hasta 5 diferentes salidas de gigabits
Para administrator:
Estaría interesado en contactar contigo para que me comentaras tu experiencia de sustitución de fortinets por GNU/Linux.
Tengo una instalación corporativa donde no hay presupuesto para adquirir equipos hardware dedicados por lo que tocará montar máquinas Linux con el software necesario para gestionar la seguridad y quería consejos al respecto.
Gracias, un saludo.
pues si no tenemos lana, y nos vamos por soluciones de consola, un millon de veces OPenBSD PF sobre linux. Aunque debo reconocer que los fortinets si son muy buenos y faciles de manejar y si trae cosas monas
Saturno en que te basas, actualmente linux ya ha quedado como solución superior a cualquier BSD pero de lejos…
ademas la logica esta mal, por que el fortinet no es otra cosa que una solución de consola para gente que no tiene conocimientos de gnu/linux y te venden la solucion premasticada en un empaque que no es otra cosa que una computadora disfrazada de “firewall en hardware” que por cierto si no recuerdo mal el fortinet contiene gnu/linux, si tan bueno fuera el openbsd y ya que fortinet es una solucion pagada, este deberia contar con algun BSD interno en lugar de Linux
Entonces si tu prefieres pagar por un fortinet lo logico seria que si no tienes dinero uses GNU/Linux ya que el fortinet contiene linux o piensas que el solo hecho de que sea pagado hace que linux sea un mejor linux, algo asi como un ingrediente secreto visto en la pelicula de kunfu panda.?
A los que tiran contra Linux, miren que muy probablemente el bendito fortinet sea un Linux, embebido y capado, como muchos dispositivos y SO con nombres pomposos al estilo windows que hay andan por ahi, como mencionar FortiOS, Synology Y DiskStation Manager (otro linux cualquiera), SonyWalk (Lamentable), Ubuity y AirOS, QNAP, y muchos otros que justamente ofrecen desplazar a Linux, sin la complejidad que muchos le atribuyen, en mi experiencia, hacen el 1 % de lo que hace la distro mas insignificante, aunque son amigables con el Usuario y tienen nombre s como Ultimate Internet Security Edichion, lamentable y los que los usan, que se pueden esperar de ellos? Perezosos o cabezas duras, al menos no digan que son administradores de Sistemas sino saben usar Sistemas Unix de verdad entiendase, GNU/Linux, FreeBSD, OpenBSD o NetBSD…
Muy lindo el thread, pero…….NADA EN CLARO.
Llendo a lo especifico.
Cual es la alternativa a usar fortinet, en linux? Si es gratis mejor.
Yo voy a probar endian, pero la version free, esta bastante recortada, como pueden ver aca:
http://www.endian.com/en/community/download/
sugerencias son bienvenidas.
Saludos
Que cantidad de basura la que leo en este post….
He trabajado con los firewall FORTIGATE de la empresa FORTINET (ojo con eso) y tambien con una distro basada en debian como UNTANGLE o una distro como debian con SQUID y los paquetes acompañantes y esta es mi perspectiva:
1. La constante actualización de listas es extenuante y el coste administrativo se lleva lo que supuestamente ahorramos en licencias.
2. Se adiciona una capa de falla (la del SO); y no es como dice gato, FortiOS es un FIRMWARE con core UNIX, equipado para operar en sus propios ASIC (FORTIASIC) respondiendo mucho mejor a transacciones de red que un PC.
3. Las subidas de esa maquina se logran en 6 segundos y si le cortas el suministro electrico no habra lio ya que usa SSD.
4. No he visto una solución que se equipare en linux, con bloqueo de cabeceras de aplicaciones, SSL inspection, vpn, Wan Optimization, funcionando como una sola solución sino como multiples paquetes complicados de administrar.
En resumidas cuentas, adoro LINUX pero la labor de un excelente administrador es reconocer los alcances de sus soluciones analizando el core del negocio, el alcance y la relación costo beneficio. Fortigate funciona muy bien categorizando y en lo que llevo trabajando nunca ha sido vulnerado por un Tor o un Proxy, si se le configura bien no se puede vulnerar por VPN externas ya que el inspecciona las cabeceras del trafico cifrado mediante la aplicacion de certificados propios.
Saludos
Bueno Jhon Barrera
Todo los puntos que has dicho se hacen perfectamente en GNU/Linux de hecho mejor, no entiendo el coste administrativo que según expresas en el punto 1, si sabes como se hace lo haces y ya, necesitas capacitarte te darás cuenta que construir una maquina de esas no es otra cosa que ingeniería humana sobre GNU/Linux
Podrías comentarnos qué distribución utilizaste? Y qué configuraciones utilizaste? Todo a mano, o utilizaste alguna interfaz gráfica web?…
La ventaja de implementar uno y que funcione correctamente es que puedes clonarlo y aplicarlo en más lugares, obvio esto no dista de que cada día lo vayas mejorando…
Todo lo descrito se puede hacer desde CentOS 5.x pero para el articulo use CentOS 7, la mayoría del software compilado a la medida del CPU y a los chipset en el hardware dándole un poco mas de velocidad
Todo configurado en una consola sin requerir GUI.
Las ventajas de hacerlo tu mismo se puede ver en el siguiente vídeo… tan solo por hacer un kernel a la medida, ahora sumale hacer las apps a la medida de tus fierros, una cafetera podría darle pelea a un Xeon si usa software de caja.
Interesante, tengo ahí unos r210 con xeon que me pueden servir para aplicarlos….
Muchísimas gracias por la información!!
Me gustaría aprender del tema, que recomienda leer?