GTM-WCCT8KB9

Redes na Web

  • vgsm@redesnaweb.com
Facebook Instagram Twitter Youtube Telegram
Menu

fortinet

Como passar na prova FCP – Fortigate Administrator 7.4

Por

Fala rapazeda, voltando aqui nos artigos, mais hoje o papo é sobre orientação de estudos.  Antes de começar, o que é a certificação FCA- Fortigate? É uma certificação obrigatória pra vc que quer alcançar a titulação de especialista network Security do fabricante Fortinet. É a antiga NSe4. Nela vc vai ver os tópicos abaixo:   System and Network Settings  Firewall Policies and NAT  Routing  Firewall Authentication FSSO (Fortinet Single Sing-On) Certificate Operations Antivirus Web Filtering Instrusion Prevetion Application Control SSL VPN IPSEC VPN SDWAN Security Fabric HA Diagnose and Troubleshooting Ou seja, é a primeira prova que você terá que fazer.  É como se fosse o CCNA para quem atua com produtos da fortinet. Quem deve fazer essa prova? Galera de TI que trabalha com Redes (Firewall, VPN,Switch) e infraestrutura em geral. Quando der merda e o sistema da empresa que você trabalha parar, vão chamar um cara de rede pra verificar se o firewall está funcionando. “com grandes poderes, grandes responsabilidades” Por que tu tens que fazer essa prova? Os firewalls Fortigate são um dos mais usados no Brasil e mundo afora, há muitas vagas de emprego que pedem essa certificação como pré-requisito Porra Glauco, para de enrolar e diz logo como se planejar pra prova 1 – Pegue o conteúdo da prova Vá no site da Fortinet e pegue o conteúdo que vai cair na prova, aqui eu te ajudo.   LINK com Conteúdo do Oficial do Site 2 – Crie uma planilha no Excel Dessa forma acompanha a sua evolução, eu tenho uma bem simples, vou bater o print e vc cria a sua. O macete é usar assim: Vc começa no estado de (Sou ruim) e vai estudando o conteúdo, quando estiver na aba de SOU FODA, aí vc pode PENSAR em marcar a prova.  3 – Compre um caderno Porra, é obvio que você anotando os pontos importantes de cada tema e ir lendo o que vc escreve, tu vais fixar mais o conteúdo. Nada de anotar em word, bloco de notas ou notepad++.  Deixa de preguiça e escreve nesse caralho São 200 dólares a prova, convertendo para Real, dá quase 1.200 reais pra fazer a prova.  Porra, perder 1.200 reais por preguiça de estudar é foda né?  4 – Compre um curso Eu sou aluno hackone e indico os cursos deles, mas na internet tem várias opções pagas e gratuitas. Tudo depende do seu bolso.  5 – Faça um mapa mental É estatística, mais de 85% das pessoas no mundo tem facilidade de entender um conteúdo com imagens e cores diferentes. Então meu parceiro, entra no site da lucid.app e cria o seu mapa mental com o tema dos conteúdos. Eu fiz um, vou compartilhar aqui com vocês. Isso me ajudou pra caralho na prova. MAPA MENTAL 6 – Faça Laboratórios Tu podes baixar o EVE e simular o ambiente, mas pra isso vc precisa ter um computador bom que suporte virtualização. Caso não, aluga aí um lab na internet. Eu indico o da Hackone, o suporte é rápido e em portugues, dá uns 90 reais por mês, faz um esforço aí e investe essa grana. SITE PARA ALUGUEL DE LAB 7 – Faça questões da prova Antes de começar a fazer as questões, vc já chegou no modo sou foda da planilha? Caso não, nem comece a fazer. Vc vai errar muito e se sentir um merda.  Então, planeja os seus estudos, sente a bundinha na cadeira e estude.  Tem muitos sites que você pode treinar, Ti Exames, tem cursos da Udemy que vende só questões, tem muitos dumps na internet, porém, te aconselho a fazer as questões com, no mínimo, 1 mês antes da prova.   Se vc fez tudo certinho e já tá alcançando 90% de acerto da prova, pode ir fazer tranquilo que vc vai passar. Caso não, volta, verifica onde está errando.  Não tem erro mermão, segue essas dicas que vc passa. Experiência própria.  Tamo junto e é só o começo Whatsapp X-twitter Youtube Instagram Linkedin Telegram

Como Configurar o HA do Fortigate

Por

Salve Rapaziada, voltamos com a programação de escrever artigos pra galera de TI.   O papo de hoje é sobre HA (HIgh Availability) do produto Firewall Fortinet. Aí vem a pergunta, Negão, por que tu escolheu o Fortinet? Porque o site é meu porra, eu escrevo o que quiser kkkk Sacanagem, falando sério,  se você pesquisar o Fortinet é um dos fabricantes mais presentes no mundo todo, ou seja, há muitas empresas que usam, e a demanda por profissionais que precisam conhecer o produto é alta.   Mas deixemos de papo e vamos falar sobre o HA   Vamos dividir esse artigo por tópicos, para vc entender melhor: Por que usar o HA? Em um ambiente empresarial é importante vc ter redundância, seja de equipamento ou links. Se na nossa casa já ficamos putos quando cai a internet, imagina no seu trabalho.   Se vc colocar na ponta do lápis, vais perceber que o valor de investido  em redundância  é muito menor do que um dia de empresa parado. Qual empresa funciona hoje sem dia sem internet?   Por isso, ter redundância  é fundamental em qualquer ambiente corporativo. FGCP QUE MANDA FGCP (FORTIGATE CLUSTER PROTOCOL) é responsável por fazer a configuração do HA. Para configurar o cluster vc tem que fazer as seguintes etapas em cada firewall: 1 –  Criar um GRUPO 2 – Criar o mesmo ID do Grupo 3 – Configurar o Primário e secundário 4 – O Firewall com maior prioridade é eleito 5 – Usa a porta TCP 703 Tipos de HA no Fortigate? 1 – Ativo -Ativo No modo ATIVO-ATIVO  a manipulação e o gerenciamento das sessões de rede são coordenados por todos os dispositivos no cluster, mas com uma distribuição de responsabilidades. No entanto, é importante entender que cada sessão de tráfego é associada a um único dispositivo, mesmo quando vários dispositivos estão processando o tráfego de forma paralela.   VANTAGENS   1.1 – Alta Disponibilidade: Caso um equipamento pare, o outro assume todas as conexões automaticamente, pois já está funcionando, o outro assume rapidamente sem causar interrupções nos serviços críticos, como VPN.   1.2 – Balanceamento de Carga:Uma configuração Ativo-Ativo, ambos os dispositivos processam o tráfego simultaneamente. Isso distribui a carga de trabalho, melhorando o desempenho geral da rede.   1.3 – Eficiência na gestão de tráfego: FortiGate pode distribuir de maneira mais eficiente o tráfego de rede, evitando sobrecarga em um único dispositivo e otimizando a utilização dos recursos de hardware.   1.4- Menor Latência:o HA Ativo-Ativo reduz a latência durante picos de tráfego, garantindo uma experiência de rede mais ágil, especialmente em ambientes de alta demanda, como data centers e redes corporativas de grande porte. 2 – Ativo – Standbye Active-Standby do FortiGate é uma configuração em que um dispositivo está ativo e processa o tráfego enquanto o outro fica em modo de espera (standby), pronto para assumir automaticamente em caso de falha do dispositivo principal. Essa configuração é bastante comum em cenários que buscam garantir a alta disponibilidade, mas sem a necessidade de distribuir o tráfego entre os dispositivos, como no Active-Active. 2.1 Uso Eficiente de Recursos: Ideal para redes de médio porte: O HA Active-Standby é excelente para ambientes onde a confiabilidade e a redundância são necessárias, mas sem a necessidade de balanceamento de carga de tráfego em tempo real. Isso é comum em redes de empresas de pequeno e médio porte, onde o tráfego não é tão intenso a ponto de exigir o uso de múltiplos dispositivos ativos simultaneamente. 2.2 – Alta Disponibilidade Failover rápido e automático: Quando o dispositivo ativo falha, o dispositivo em standby assume imediatamente, garantindo que os serviços e a rede não sejam interrompidos. 2.3 – Menor Custo Inicial: Facilidade de configuração: Comparado com a configuração Active-Active, a configuração Active-Standby é mais simples de configurar e manter, já que não há necessidade de balanceamento de carga ou distribuição de tráfego entre os dispositivos. 3 – Como é feita a elição dos Firewalls Fortinet? 3.1 OVERRIDE DESABILIDATO: Esse é o formato por default,  as etapas da eleição são: 3.1.1 – INTERFACES CONECTADAS: Se todas as interfaces do HA estiverem conectadas, irá para a opção 2. 3.1.2 – MAIOR UPTIME: Ou seja, o Firewall que tiver com maior tempo ligado será o principal. Caso os dois estejam no mesmo horário, quase que impossível, iremos para a opção abaixo. 3.1.3 – PRIORIDADE : Quem tiver a MENOR prioridade será o primário 3.1.4 – SERIAL NUMBER: Se as opções 2 e 3 deram empate, quem tiver o menor serial será o primário 3.2 OVERRIDE HABILIDATO, Esse é o formato que vc precisa configurar no Firewall via CLI, antes de configurar o HA. Há apenas uma mudança na ordem de eleição do primário para secundário: 3.2.1 – INTERFACES CONECTADAS 3.2.2 – PRIORIDADE 3.2.3 – MAIOR UPTIME: 3.2.4 – SERIAL NUMBER: Considerações Finais A configuração HA Ativo-Ativo do FortiGate é ideal para ambientes que exigem alta disponibilidade e desempenho, como grandes empresas, data centers e redes corporativas complexas. Ela garante maior resiliência, reduz a latência e aumenta a capacidade de escalabilidade, tornando-se uma escolha vantajosa em termos de confiabilidade e desempenho

O que é um NAT?

Por

No início dos anos 90 a internet ganhava os seus primeiros usuários residenciais  e empresariais no mundo. Antes disso, geralmente era utilizada por militares, governos e universidades. Com a expansão da interface gráfica, ficou mais interessante ter computador em casa, imagina você acordar todos os dias e ligar o computador e ver uma tela assim Fala a verdade,nem daria vontade de ligar o computador. Enfim, a world wide web (WWW) ganhou uma força enorme e hoje se tornou algo necessário nas nossas vidas. Naquele tempo só existia o IPV4 para endereçamento IP público. Com esse crescimento ficou inviável dar um endereço público para cada dispositivo. Exemplo: em um laboratório de 10 computadores eram necessários 10 IP públicos. Desta maneira os engenheiros do IETF criaram uma relação de endereço ips que possam ser utilizados internamente, sem comprar ou pedir autorização pra ninguém. Internamente tudo funciona que é uma beleza, mas e se quiser acessar um site? Para ir na internet você precisa ter um endereço IP público, aí que o nat entra na jogada.  Vou te dar um exemplo que você vai entender. Na casa de praia da minha tia Sônia existem 2 portas (Uma sala e outra na cozinha), a da cozinha é a mais próxima do quintal. Estou eu e os meus primos dentro da casa jogando dominó, por volta de 5 da tarde, quando escutamos o barulho da gritaria na rua: Olha a pipa (alguns estados conhecido como papagaio). Todos os primos se comunicaram com o olhar dizendo ”essa pipa é minha” e saímos correndo da mesa em direção ao quintal para pegar a pipa. Eu, saí pela porta da cozinha, cheguei mais rápido no quintal para pular o muro e pegar a pipa, os outros foram pela porta da sala, até eles chegarem no quintal eu já estava do outro lado do muro. O NAT é a mesma ideia, é a forma como você sai de uma rede interna (dentro da casa) para uma rede externa (quintal “internet”) O NAT (Network Address Translatle) faz a  tradução entre endereços de redes para conseguir alcançar uma rede de destino. No caso do exemplo acima, o servidor de endereço 192.168.10.16 vai conseguir se comunicar na internet com o IP 189.22.15.141. Nesse caso, quem fez o NAT foi o Firewall Agora que você já sabe o que é um NAT, vou te dizer os principais formatos mais usados no mercado de trabalho. NAT DINÂMICO Com o NAT dinâmico, as conversões não existem na tabela de NAT até que o roteador receba o tráfego que necessite de conversão. As conversões dinâmicas possuem um timeout e após esse período elas são removidas da tabela de conversão. Ou seja, É quando uma solicitação uma ação e o roteador ou firewall, realiza o nat . Vamos dar dois exemplos: O Primeiro é quando várias máquinas de uma rede interna fazem solicitam o acesso a internet, e o firewall realiza o NAT que é enviado a uma regra de saída onde todos irão dar match. 1 – Todas as máquinas da rede 192.168.10.0/24 solicitam o acesso a internet ao site  www.redesnaweb.com.br 2 – O Firewall faz o nat das solicitações internas; 3 – O Firewall manda as requisições na internet com o ip público IP 189.22.15.14. 4 – O Site responde as requisições https para o IP 189.22.15.141. 5 – O Firewall recebe a resposta da requisição, faz o nat e entrega as máquinas que solicitaram. NAT ESTÁTICO É quando você tem uma solicitação específica DE ENTRADA para outra específica de SAÍDA. Eita Glauco, não entendi nada, fica comigo na leitura que vou te explicar. Na empresa que você trabalha é um hospital e pessoas tem um sistema que é publicado na internet e precisar ser acessado por diversas pessoas no Brasil todo. Então você contrata um link dedicado na operadora, nada dessas porcarias que temos em casa, a operadora vai te dar um range de IP FIXO, provavelmente um /29. Exemplo (187.36.165.1/29) Depois é só configurar no seu webserver o nome público que irá responder para o endereço ip fixo 187.36.165.1. 1 – Duas Ips Públicos solicitam o acesso via internet na porta 443 no servidor www.redesnaweb.com(187.36.165.1) 2 – A requisição chega no Ip público do Firewall do Firewall públicado na internet, ele análise as regras criadas e permite o acesso ao servidor na porta 80 e 443. 3 – O Firewall faz o encaminhamento da solicitação para o servidor dentro da DMZ. 4 – O servidor responde essa solicitação e devolve a requisição pro firewall. 5 – O Firewall envia a requisição de volta a origem solicitada. Exemplo abaixo. SENTIDO DO TRÁFEGO Agora que você já aprendeu o conceito e as formas de NAT mais utilizadas no mercado, temos que entender a origem e destino para não fazer besteira na hora do troubleshooting. Existem dois sentidos de tráfego SNat(Source NAT) e DNat(Destination Nat) O Source NAT (SNAT) é quando uma requisição saí de dentro da rede INTERNA com o destino a INTERNET. Como você percebe na figua abaixo, as requisições são inciadas dentro da rede LAN (192.168.10.0/24), passam pelo firewall, vão na internet e retornarm para a LAN. Todo esse sentido de dentro da LAN para a WAN é chamado de Source NAT(SNAT) Já o DNAT (Destination NAT) é o inversno. Quando uma requisição vem de fora (INTERNET ou outra rede) e vai para dentro do seu ambiente, passando pelo firewall. Na figura baixo mostra dois solicitantes externos querendo acessar as informações que estão no servidor atrás do firewall da sua empresa, quando o sentido da requisição vem de fora para dentro, isso é chamado de DNAT.