Fortinet FortiGate desde cero: guía de administración para empresas

FortiGate es hoy el firewall de nueva generación más desplegado en empresas de tamaño medio en España y Europa. Su combinación de rendimiento, precio y ecosistema integrado lo convierte en una elección habitual tanto para renovaciones de infraestructura como para nuevas implantaciones. Sin embargo, la riqueza de funcionalidades de FortiOS puede ser abrumadora para un administrador que se enfrenta al sistema por primera vez, o incluso para profesionales con experiencia en otros fabricantes.

Esta guía aborda la administración de FortiGate desde los cimientos: desde la configuración inicial del appliance hasta la implementación de políticas de seguridad avanzadas, VPN SSL e IPsec, SD-WAN y monitorización con FortiAnalyzer. No es un manual de referencia exhaustivo, sino una guía práctica orientada a los escenarios más comunes en entornos empresariales reales.

Si acabas de recibir un FortiGate nuevo, estás migrando desde otro fabricante o simplemente quieres profundizar en funcionalidades que no explotas al máximo, este artículo está diseñado para ti. Seguiremos un hilo conductor lógico: primero los fundamentos, después las funcionalidades avanzadas, y finalmente las mejores prácticas operativas que hacen la diferencia entre una instalación básica y una instalación de nivel enterprise.

Conceptos fundamentales de FortiOS

FortiOS es el sistema operativo propietario de Fortinet que corre en todos los appliances FortiGate, tanto físicos como virtuales. A diferencia de otros fabricantes que tienen versiones de software diferentes para distintas plataformas, Fortinet mantiene un único árbol de código para todos sus dispositivos, lo que simplifica enormemente la formación y la estandarización.

La arquitectura de FortiOS se organiza en torno a varios componentes clave: las interfaces de red (que pueden ser físicas, VLAN, agregadas o virtuales), las zonas de seguridad (que agrupan interfaces), el sistema de políticas de firewall (las reglas que permiten o deniegan el tráfico), los perfiles de seguridad (que aplican inspección de contenido sobre el tráfico permitido) y las rutas (que determinan cómo se reenvía el tráfico).

• VDOM (Virtual Domain): permite segmentar un único FortiGate físico en múltiples instancias virtuales independientes, cada una con su propio administrador, políticas y tablas de routing. Fundamental en entornos MSSP o en empresas con unidades de negocio muy separadas.
• Security Profiles: antivirus, IPS, control de aplicaciones, filtrado web, anti-spam y sandboxing (FortiSandbox). Se configuran como perfiles reutilizables que se aplican en las políticas.
• UTM vs NGFW mode: FortiGate puede operar en modo perfil (UTM tradicional) o en modo NGFW basado en política, donde el control de aplicaciones y el filtrado web se gestionan directamente en la política sin perfiles separados.
• FortiGuard Services: servicios de suscripción en la nube que actualizan las firmas de IPS, antivirus, categorías web y reputación de IPs en tiempo real.

Configuración inicial: primeros pasos tras el unboxing

La primera conexión a un FortiGate se puede realizar por el puerto de consola serie (115200 baudios, sin paridad, 8 bits, 1 bit de parada) o por la interfaz de gestión (MGMT) a través de HTTPS. Por defecto, la IP de la interfaz MGMT es 192.168.1.99 y las credenciales son admin/sin contraseña. Lo primero que debes hacer es cambiar la contraseña y definir la interfaz WAN.

1. Accede a la GUI web en https://192.168.1.99 con admin y contraseña en blanco. El sistema te forzará a establecer una nueva contraseña en el primer acceso.
2. Ve a System > Settings y configura el hostname, la zona horaria (Europe/Madrid para España) y los servidores NTP (recomendable usar pool.ntp.org o los NTP de tu operador).
3. Configura la interfaz WAN en Network > Interfaces: asigna la IP pública (o configura DHCP/PPPoE según tu ISP), el gateway y los DNS.
4. Configura la interfaz LAN con la subred de tu red interna. Habilita DHCP server si FortiGate va a servir IPs en esa subred.
5. Crea una política de firewall básica en Policy & Objects > Firewall Policy que permita el tráfico de LAN a WAN con NAT habilitado (IP Pool: usar IP de la interfaz WAN).
6. Verifica la conectividad desde la GUI con Network > Diagnostics o ejecuta desde CLI: execute ping 8.8.8.8

Arquitectura de políticas de firewall en FortiOS

El sistema de políticas de FortiGate es secuencial: las reglas se evalúan de arriba abajo y se aplica la primera que coincide. Esto es diferente del modelo de Check Point (que puede ser más contextual) y similar al de Palo Alto, aunque con algunas diferencias en cómo se procesan los perfiles de seguridad.

Cada política de firewall define: interfaces de origen y destino, subredes o grupos de IPs de origen y destino, servicios (puertos TCP/UDP), acción (accept, deny, ipsec), NAT, y los perfiles de seguridad que se aplican al tráfico permitido. El campo Schedule permite aplicar políticas solo en determinados horarios, útil para bloquear acceso a Internet fuera del horario laboral.

Buenas prácticas en el diseño de políticas

• Usa grupos de direcciones y grupos de servicios en lugar de IPs y puertos individuales: facilita el mantenimiento y reduce el número de políticas.
• Nombra las políticas de forma descriptiva: 'LAN-a-Internet-HTTP' es infinitamente más útil que 'policy_1' cuando hay una incidencia a las 2 de la mañana.
• Coloca las políticas más específicas arriba y las más genéricas abajo. La regla 'deny all' implícita al final de la lista es tu red de seguridad.
• Activa el logging en todas las políticas, al menos para tráfico denegado. Sin logs no hay visibilidad y sin visibilidad no hay seguridad.
• Revisa periódicamente las políticas con Policy & Objects > Policy > Hit Count: las políticas con cero hits durante meses son candidatas a eliminar.
• Evita usar 'any' en origen o destino salvo cuando sea estrictamente necesario. La especificidad en las políticas reduce la superficie de ataque.

Perfiles de seguridad: IPS, Antivirus y Control de Aplicaciones

Los perfiles de seguridad son el corazón de las capacidades NGFW de FortiGate. Sin ellos, FortiGate es poco más que un firewall stateful. Con ellos correctamente configurados, es una plataforma de inspección de tráfico completa.

El perfil de IPS (Intrusion Prevention System) se configura en Security Profiles > Intrusion Prevention. Fortinet proporciona perfiles predefinidos (default, high-security, protect-client, protect-server) que son un buen punto de partida. Para entornos de producción, se recomienda revisar y ajustar las firmas activas: activar todas las firmas en modo bloqueo puede generar falsos positivos que interrumpan el negocio.

El control de aplicaciones (Application Control) usa la base de datos de aplicaciones FortiGuard para identificar y controlar tráfico de más de 5000 aplicaciones, independientemente del puerto utilizado. Es especialmente útil para controlar el uso de aplicaciones de mensajería instantánea, peer-to-peer, proxies anónimos y herramientas de acceso remoto no autorizadas.

Configuración de inspección SSL/TLS

La inspección SSL es el factor más crítico para la eficacia real del NGFW. Sin ella, aproximadamente el 90% del tráfico de internet moderno (todo el HTTPS) pasa sin ser inspeccionado. FortiGate soporta dos modos de inspección SSL: certificate inspection (solo verifica el certificado sin descifrar el contenido) y deep inspection (descifra, inspecciona y re-cifra el tráfico).

• Para activar deep inspection: Security Profiles > SSL/SSH Inspection > crear un perfil con 'Full SSL Inspection' habilitado.
• Instala el certificado CA de FortiGate en todos los dispositivos cliente (vía GPO en entornos Active Directory) para evitar errores de certificado en los navegadores.
• Excluye del deep inspection los dominios que por política de privacidad no deben inspeccionarse (banca online, servicios médicos, nóminas) usando la lista de exclusión de SSL inspection.
• Monitoriza el impacto en el rendimiento del appliance: la inspección SSL consume CPU significativamente. En modelos con FortiASIC SP5, el impacto es mínimo gracias al offloading hardware.

VPN SSL: acceso remoto para usuarios

FortiGate ofrece dos tipos de VPN SSL: Web Mode (acceso mediante portal web sin cliente instalado, útil para dispositivos no corporativos) y Tunnel Mode (cliente FortiClient instalado en el dispositivo del usuario, proporciona acceso completo a la red corporativa). Para entornos empresariales, Tunnel Mode con FortiClient es la opción recomendada.

1. Crea un portal SSL VPN en VPN > SSL-VPN Portals: define el rango de IPs del túnel, los dominios DNS a redirigir y si el split tunneling está habilitado (recomendable para no saturar el firewall con todo el tráfico del usuario remoto).
2. Configura el servidor SSL VPN en VPN > SSL-VPN Settings: selecciona la interfaz de escucha (WAN), el puerto (443 o un puerto alternativo), el certificado del servidor y vincula el portal creado.
3. Crea las políticas de firewall correspondientes: SSL-VPN tunnel interface (ssl.root) como origen hacia las subredes internas que deben ser accesibles para los usuarios remotos.
4. Integra autenticación con LDAP/AD en User & Authentication > LDAP Servers para que los usuarios se autentiquen con sus credenciales corporativas.
5. Activa autenticación multifactor: FortiGate soporta FortiToken (hardware o móvil), TOTP genérico y autenticación por SMS.

VPN IPsec: interconexión de sedes

Para la interconexión de sedes remotas, IPsec es la tecnología estándar. FortiGate facilita enormemente la configuración con asistentes (wizards) para los escenarios más comunes. El wizard 'Site to Site' crea automáticamente la fase 1 (IKE), la fase 2 (IPsec) y las rutas necesarias. Sin embargo, para entornos complejos con múltiples sedes, es recomendable usar una topología Hub and Spoke con ADVPN (Auto Discovery VPN), que permite que las sedes remotas establezcan túneles directos entre sí sin pasar por la sede central.

La configuración manual de IPsec requiere definir la Fase 1 (propuestas de cifrado y autenticación, IKEv2 es la recomendación actual, con AES256-SHA256 y DH group 14 o superior) y la Fase 2 (selector de tráfico que define qué subredes van por el túnel, propuestas de cifrado IPsec). Los parámetros de recomiendan alinearlos con las guías del CCN-CERT para entornos que deban cumplir ENS.

SD-WAN nativa en FortiGate

Una de las ventajas diferenciales de FortiGate respecto a la competencia es que SD-WAN está incluida en FortiOS sin licencias adicionales. Esto lo convierte en una solución muy atractiva para empresas con múltiples ISP o con sedes que necesitan optimización de tráfico WAN.

La configuración de SD-WAN en FortiGate implica crear una interfaz virtual SD-WAN que agrupa las interfaces WAN (por ejemplo, fibra principal + 4G de backup), definir los miembros con sus pesos y preferencias, crear reglas de SD-WAN que dirijan el tráfico según criterios de aplicación, latencia, jitter o pérdida de paquetes, y configurar health checks para monitorizar el estado de cada enlace WAN.

• Las reglas de SD-WAN permiten enviar el tráfico de voz (Teams, Zoom) por el enlace de menor latencia automáticamente.
• El failover entre enlaces es prácticamente instantáneo cuando los health checks están bien configurados (intervalo de 500ms es una buena práctica).
• FortiManager puede centralizar la configuración de SD-WAN para todas las sedes desde una única consola.
• La monitorización en tiempo real de la calidad de los enlaces está disponible en Dashboard > SD-WAN.

Alta disponibilidad: cluster activo-pasivo y activo-activo

Para entornos críticos donde la disponibilidad del firewall es un requisito de negocio, FortiGate soporta clustering HA (High Availability) en dos modos: activo-pasivo (un nodo procesa el tráfico y el otro está en espera caliente, con failover en segundos) y activo-activo (ambos nodos procesan tráfico, distribuyendo la carga de trabajo). La configuración HA requiere un enlace dedicado entre los nodos para sincronizar la tabla de sesiones y la configuración.

El modo activo-pasivo es el más común en entornos empresariales por su simplicidad operativa. La detección de fallo y el failover son transparentes para las sesiones establecidas (session pickup). El modo activo-activo proporciona mayor throughput pero requiere un planteamiento de red más cuidadoso para evitar asimetrías en el tráfico.

Monitorización y logging con FortiAnalyzer

Un FortiGate sin visibilidad es como un guardia de seguridad con los ojos cerrados. FortiAnalyzer es la plataforma de logs, análisis y reporting del ecosistema Fortinet. Puede recibir logs de múltiples FortiGates, correlacionar eventos, generar alertas y producir informes de cumplimiento normativo.

La integración entre FortiGate y FortiAnalyzer se configura en Log & Report > Log Settings: selecciona FortiAnalyzer como destino de logs y especifica la IP. Es recomendable activar todos los tipos de log (tráfico, eventos, amenazas, VPN) y guardarlos en FortiAnalyzer en lugar de solo en la memoria local del dispositivo.

• FortiView en la GUI del FortiGate proporciona una visión en tiempo real de aplicaciones, usuarios y amenazas sin necesidad de FortiAnalyzer.
• Los informes predefinidos de FortiAnalyzer cubren los requerimientos de cumplimiento más comunes: PCI-DSS, ISO 27001, ENS.
• Las alertas se pueden configurar para notificar por correo cuando se detectan eventos específicos: múltiples intentos de autenticación fallidos, detección de malware, caída de un túnel VPN.
• FortiAnalyzer Cloud (SaaS) es una alternativa a la implantación on-premise que reduce la complejidad operativa.

Actualizaciones y ciclo de vida de FortiOS

Mantener FortiOS actualizado es una responsabilidad crítica del administrador. Fortinet publica actualizaciones de firmware con frecuencia, tanto para corregir vulnerabilidades (algunas de ellas críticas, como las que han afectado a SSL-VPN en los últimos años) como para añadir nuevas funcionalidades. El proceso de actualización debe ser planificado y probado, nunca reactivo salvo en emergencias.

Antes de actualizar en producción, es imprescindible: leer las notas de la versión (Release Notes) para identificar breaking changes o funcionalidades que requieren reconfiguración, hacer una copia de seguridad de la configuración (System > Configuration > Backup), y probar la actualización en un entorno de laboratorio o en equipos de baja criticidad. FortiGate permite tener dos particiones de firmware, lo que facilita el rollback si la nueva versión presenta problemas.

Errores comunes y cómo evitarlos

La experiencia con despliegues de FortiGate en empresas revela una serie de errores recurrentes que se pueden evitar con conocimiento previo:

• No activar la inspección SSL por miedo al impacto en rendimiento: el resultado es un NGFW caro que no inspecciona la mayor parte del tráfico malicioso moderno, que viaja cifrado.
• Usar políticas con origen y destino 'any' de forma masiva: sacrifica la granularidad de control y complica la auditoría de las reglas.
• No renovar las licencias FortiGuard a tiempo: las firmas de IPS y antivirus dejan de actualizarse, reduciendo drásticamente la eficacia del sistema.
• Ignorar los logs: los eventos de seguridad relevantes pasan desapercibidos por falta de monitorización activa.
• No configurar autenticación multifactor en la VPN SSL: las credenciales robadas de usuarios remotos son el vector de entrada más común en incidentes de ransomware.
• Actualizar firmware en producción sin testing previo ni ventana de mantenimiento planificada.

Herramientas de diagnóstico desde la CLI

La interfaz gráfica de FortiGate es intuitiva y suficiente para la mayoría de las tareas cotidianas, pero la CLI (accesible por SSH o consola serie) es imprescindible para el diagnóstico avanzado y para la automatización. Conocer los comandos de diagnóstico más útiles marca la diferencia en una situación de incidente.

• diagnose debug flow: permite trazar el procesamiento de un paquete específico en tiempo real, mostrando qué política lo procesa y si es aceptado o rechazado.
• diagnose sys session list: muestra la tabla de sesiones activas, útil para verificar conexiones establecidas.
• diagnose ip router list: muestra la tabla de enrutamiento actual.
• get system performance status: muestra el uso de CPU, memoria y sesiones activas.
• diagnose debug application ike -1: debug de negociaciones IPsec, indispensable para resolver problemas de túneles VPN.
• execute backup config ftp <servidor> <usuario>: realiza backup automático de configuración a un servidor FTP.

Un FortiGate bien configurado no es el que tiene más reglas, sino el que tiene las reglas correctas con la visibilidad adecuada. La simplicidad en el diseño de políticas es una virtud de seguridad, no una limitación.

Conclusión: construir una base sólida para crecer

Dominar la administración de FortiGate es un proceso gradual. Empezar con los fundamentos sólidos (configuración inicial correcta, políticas bien diseñadas, inspección SSL activa, VPN funcional y monitorización habilitada) es la base sobre la que se construyen funcionalidades más avanzadas: SD-WAN, integración con FortiManager, automatización con la API REST y despliegue de FortiSASE para usuarios remotos.

La comunidad Fortinet es muy activa: el foro oficial de Fortinet, el blog FortiGuard y los canales de YouTube del fabricante son recursos excelentes para seguir aprendiendo. Las certificaciones NSE (gratuitas hasta nivel 4 en la plataforma de formación de Fortinet) proporcionan un itinerario de aprendizaje estructurado que complementa la experiencia práctica. Si tu empresa ha invertido en FortiGate, la inversión en formación del equipo es el multiplicador de valor más rentable que puedes hacer.