Manufactura y distribución
Empresa distribuidora · Monterrey, NL
2024
Personal200 empleados · 3 sedes regionales
Endpoints85 endpoints Windows · 12 servidores · ~40 dispositivos IoT/impresoras
PlataformaOn-premises · ERP legacy (SQL Server) · Firewall ISP + switch no gestionado
6 semanas
Tres incidentes de seguridad en seis meses en una red plana donde un endpoint comprometido podía alcanzar directamente los servidores de producción y el ERP financiero.
Estado inicial
✗Red plana — todos los segmentos en la misma subred /20
✗47 reglas "permit any any" en firewall heredado de ISP
✗ERP financiero accesible desde la VLAN de invitados WiFi
✗Endpoints de planta con acceso directo a servidor de AD
✗Cero visibilidad de tráfico lateral — sin logs de red
Restricciones operacionales
⚠Ventana de mantenimiento máxima: 2h por sede (turnos 24/7)
⚠ERP legacy en Windows Server 2012 sin soporte de dominio moderno
⚠Sucursales conectadas por MPLS de contrato vigente
⚠Equipo IT interno: 1 administrador sin experiencia en Fortinet
Decisiones de arquitectura
01
FortiGate 100F central + FG-60F en cada sucursal──Consola unificada FortiManager · visibilidad norte-sur y este-oeste desde un punto
02
8 VLANs funcionales (Corp, Servers, ERP, Mgmt, Print, IoT, Guest, Branch)──ERP aislado en VLAN 25 con ACL explícitas · invitados en VLAN 99 sin acceso interno
03
SD-WAN overlay sobre MPLS + failover ISP secundario──Elimina dependencia de MPLS único · ha de implementarse sin cambiar el contrato vigente
04
IPS profile restrictivo solo en tráfico norte-sur + Application Control──Mantiene latencia baja en LAN · máxima inspección en perímetro y entre segmentos críticos
Despliegue
Sem 1
Auditoría de topología · diseño VLAN y política
HLD aprobado
→
Sem 2–3
Instalación FortiGate · migración sede central
VLAN Corp + Servers activas
→
Sem 4–5
Sucursales · site-to-site IPsec · IPS/IDS
ERP aislado en VLAN 25
→
Sem 6
Hardening reglas · documentación · handoff
Runbook entregado
Entregables
→Diagrama topológico L2/L3 por sede (Visio)
→Política de firewall documentada (254 reglas → 38 explícitas)
→Runbook operacional FortiGate
→Procedimiento de respuesta ante incidente de red
→Baseline de configuración para replicación en nuevas sedes
Resultados operacionales
✓0 incidentes de seguridad
14 meses consecutivos tras implementación
✓Visibilidad completa
100% endpoints identificados y mapeados en topología
✓Reducción de reglas: −91%
254 reglas "any/any" colapsadas a 38 reglas explícitas
✓ERP aislado en VLAN dedicada
Acceso restringido a 8 usuarios nominados con log de auditoría
✓MTTR ante incidente: < 2h
Antes: sin visibilidad · tiempo de detección indefinido
Madurez operativa documentada
Overlay de arquitectura
Mapa por sede con core, enlaces MPLS, VLANs funcionales, reglas inter-VLAN y ruta de failover ISP.
Matriz de gobierno
FortiGate / FortiManager
Administrador IT interno · Cambios de politica, backup y monitoreo · Mensual
VLAN ERP
Finanzas + IT · Altas de usuarios nominados y excepciones · Quincenal
Dependencias de despliegue
Core switchfeedsVLAN ERP · El cambio de trunks antecede politicas NGFW
FortiAnalyzermonitorsRespuesta a incidente · Alertas de movimiento lateral
Dependencias
01Ventana de 2h por sede aprobada por operaciones
02Inventario de puertos fisicos validado antes de mover VLANs
Tradeoffs
01IPS restrictivo solo en norte-sur para conservar latencia LAN
02ERP se mantuvo con excepciones temporales mientras se validaban flujos reales
Rollback
01Snapshot de configuracion FortiGate previo a cada sede
02Plan de retorno a VLAN plana documentado solo para contingencia P1
Lecciones aprendidas
01El inventario fisico de switchports fue mas critico que el diagrama heredado
02La reduccion de reglas any/any requiere observacion de trafico antes de bloquear
FortiGate 100FVLANSD-WANIPS/IDSFortiManagerAcceso gobernadoSegmentación