fortinet

Autenticação FSSO AGENT Fortinet

Vamos neste post como instalar e configurar FSSO AGENT do Fortinet.

Veja o desenho abaixo

image

Primeiro passo fazer download do FSSO AGENT pelo site da http://support.fortinet.com ou diretamente neste link http://migre.me/jr1kJ

Segundo passo a instalação em um servidor com Active Directory (AD)
Vamos a instalação

Duplo clique no instalador

image

Next

image

Aceite os termos e clique em NEXT

image

Local de instalação, next

image

Usuário e senha do administrador do domínio

image

Deixe a tela de opção do jeito que está

image

Clique em Install

image

A instalação

image

Instalado com sucesso, vamos a configuração, habilite “Lanch DC Agente Install Wizard” depois Finish

image

Collector Agent IP address: IP do Servidor

Collector Agent listening port: 8002

Next

image

Selecione o domínio a ser monitorado e clique em Next

image

Nesta tela vamos escolher as configurações padrões
Para maiores informações veja http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/FSAE.036.11.html

Clique em Next

image

Pronto, agente instalado clique em “Finish”

Vamos configurar o Agent

Acesse no menu iniciar, Fortinet, Fortinet Sing On Agent, Configure Fortinet Single On Agent

image

A primeira alteração a ser feita é a autenticação do agente com o fortinet, vamos configurar uma senha neste exemplo “123@mudar

image

Depois vamos ver as opções, “Select Domains To Monitor”

image

Habilite seu domínio, neste exemplo “GLBX\glbx.local” clique em OK

image

O Agente está fazendo as configurações

image

Agora clique em “Set Group Filters”

image

Clique em “Add…”

image

Clique em “Advanced”
image

Escolha os grupos a serem monitorados, neste exemplo ACCESS_FULL_INTERNET e ACCESS_RESTRICT_INTERNET, clique em Add

image

Marque a opção “Default filter” e clique em OK

image

Aqui você verá os grupos monitorados, clique em OK

image

Agente sendo configurado

Agora vamos salvar

image

Clique em “Salve&Close”

image

Agente sendo configurado e salvo

image

Um detalhe muito importante as portas 8000 e 8002 devem estar liberados no firewall do servidor para comunicação em o firewall e o servidor.

Pronto nosso agente está instalado e configurado, agora vamos configura-lo em nosso firewall.

No Firewall clique em User & Device, Authentication, Single Sign-On, Create New

 

image

Type: Fortinet Single-Sign-On Agent
Name: SRV-DC01
Primary Agent IP/name: IP de nosso servidor 10.174.1.3
Password: lembra que configuramos a senha no agent no servidor, neste exemplo “123@mudar
Neste exemplo vamos usar somente um Agent FSSO, mas é recomendável pelo menos dois, caso um falha teremos outro para autenticação, mas neste exemplo iremos utiliza somente um.

image

Clique em “Apply & Refresh”

image

Agora veja que nosso agente já trouxe as informações de nossos grupos com acesso a internet, neste exemplo “ACCESS_FULL_INTERNET e ACCESS_RESTRICT_INTERNET”

Clique em ok.

image

Pronto agente configurado no Firewall

Agora vamos criar os grupos de acesso no firewall

Clique em “User & Device” User Group, Creat New

image

Name: SRV-DC01-FULL-ACCESS
Type: Fortinet Single Sign-On (FSSO)
Available Members: Veja que trouxe nosso grupos, vamos selecionar “GLBX/ACCESS_FULL_INTERNET” e clicar na seta para adicionar em Members, clique ok

image

image

Grupo criado, agora vamos criar o grupo de acesso restrito, creat new

Name: SRV-DC01-RESTRICT-ACCESS
Type: Fortinet Single Sign-On (FSSO)
Available Members selecione o grupo GLBX/ACCESS_RESTRICT_INTERNET e clique na seta para adicionar em Members, clique ok

image

image

Pronto agora temos nossos dois grupos de acesso a internet FULL e RESTRICT criados em nosso firewall

Agora vamos criar a politica de acesso

Em POLICY, Policy,Creat New

Primeira Etapa

Policy Type: Firewall
Policy Subtype: User Identity
Incoming Interface: port1 (LAN)
Source Address: Objeto criado coma range de nossa rede interna
Outgoing Interface: port3 (WAN1)
Enable NAT: Habilite

image

Agora vamos a segunda etapa, em “Configure Authentication Rules” Creat New”

Destination Address: all
Group: SRV-DC01-FULL-ACCESS (Grupo que tem acesso FULL a internet)
User: Click to ad… não utilizamos usuários específicos
Schedule: always
Service: ALL
Action: ACCEPT
Log Allowed Traffic: Deixe habilitado
Generate Logs when Session Starts: Deixe habilitado

image

Clique em OK

Agora vamos criar o acesso para os usuário do grupo RESTRICT

Creat New

Destination: all
Group: ACCESS_RESTRICT_INTERNET
User: Click to add… não estamos utilizando usuário específicos
Schedule: always
Service: HTTP, por ser restrito, deixemos somente HTTP port 80
Action: ACCEPT
Log Allowed Traffic: Deixe habilitado
Generate Logs when Session Starts

EM UTM Security Profiles, vamos habilitar “Web Filter” onde temos alguns sites bloqueados

image

Clique ok

Agora vemos nossas regras de autenticação criadas

image

Clique ok

image

Regras criadas

Vamos ao teste utilizando o usuário “vpmonteiro” que está no grupo acesso restrito

Bloqueamos estes sites para o grupo restrito

image

Vamos acessar uma maquina no domínio com o usuário “vpmonteiro”

image

Veja que o usuário está conectado em nosso firewall

image

Ao abrir o navegador, conseguimos acesso a internet normalmente

image

Vamos ver se o usuário está logado mesmo, acessando o FSSO AGENT no AD e clicando em Show Logon Users

image

Veja que o usuário “vpmonteiro” está conectado

image

Vamos ver se ele consegue acessar aqueles sites que bloqueamos acima

image

Veja que o ao acessar um site restrito o acesso foi bloqueado

Vamos tentar via HTTPS

image

Veja que não é acessado.

Logs do Fortinet

image

Agora vamos ver com o usuário “csantana” que não possui restrições

 

image

Veja que o usuário está logado

image

image

image

Veja que conseguimos acessar qualquer site normalmente

image

Veja que ao tentar acessar uma maquina fora do domínio ela não consegue acessar nenhum site

image

image

Agora vou deixar a politica de acesso a internet habilitada por LDAP e com já configuramos tudo no POST anterior veja

image

E se tentarmos autenticar com o usuário restrito “vpmonteiro”

O acesso a sites restritos continua normalmente

image

E veja os dois usuário logados um por LDAP e outro por FSSO

image

Seja Feliz!!!

Bloqueando arquivos executáveis para download e execução pelo navegador utilizando fortinet

Vamos bloquear o download de arquivos “.exe” pelo navegador

Acesso o Fortinet

Data Leak Prevention, File Filter

image

New File Filter Table

Name: Bloqueio .exe

OK

image

Agora em “Creat New”

image

Filter Type: Escolha “File Type”
File Type: Escolha “Executable (exe)

OK

image

APPLY

Filtro criado

image

Agora vamos em Sensor, em UTM Security Profiles, Sensor

 

image

Vamos criar um novo Perfil

image

Clique no sinal de “+”

Name: vamos dar um nome para o perfil, neste exemplo “Bloqueio .exe”

image

Agora em “Creat New”

Filter: Escolha “Files”
Filter Type included in “Bloqueio .exe” o que criamos em File Filter”
Examine the following Services: Vamos deixar somente “HTTP”
Action: Block
OK

image

APPLY

Teremos este:

image

O Perfil para bloquear arquivos .exe está criado, porém ainda não está funcionando pois não vinculamos ele a uma regra de acesso a internet em policy.

Ao acessar a URL “http://download.skype.com/bf94b0508d33d968c9200839f080e127/partner/59/SkypeSetupFull.exe

Conseguimos fazer o download do Skype normalmente

image

Agora vamos aplicar o filtro de bloqueio .exe na regra de acesso a internet

Vamos em “Policy” – Policy

EM “UTM Security Profiles” vamos habilitar “DLP Sensor” e escolher o perfil que criamos “Bloqueio .exe”

image

OK, pronto agora qualquer download ou execução de arquivos .exe pelo navegador será bloqueada.

image

Podemos em Monitor

image

Bloqueando acesso ao aplicativo Skype com Fortinet

Vamos bloquear o Skype utilizando o Fortinet em nossa organização.

Acesse o firewall, UTM Security Profiles

image

Vamos criar um novo profile, clique no sinal de + do lado esquerdo

image

New Application Control List

Name: Skype Blocked

OK

image

“Creat New”

image

Deixe somente marcado “Category” – “P2P” – “Popilarity” – “Technology” – “Browser-based” – “Peer-to-Peer” – “Risk” – “Excessiver-Bandwaidth”

Na caixa de pesquisa digite “Skype”

image

Seleciona “Skype”, em “Action” e clique em “Block”

image

Veja que foi criar a regra de bloqueio de aplicação

image

APPLY

Ainda não está funcionando pois não vinculamos o perfil a regra de acesso a internet, o Skype ainda está funcionando.

image

Agora vamos vincular o perfil de bloqueio do skype a regra de acesso a internet

Em “Policy”, Policy

image

Vamos na regra de acesso a internet

Em “UTM Security Profiles” habilite “Application Control” e escolha o perfil que criamos “Skype Blocked”

 

image

OK

A regra já está funcionando.

Agora o Skype não conecta

image

Vamos ver os LOGS do fortinet

Em “UTM Security Profiles”, Monitor, Application Monitor

image

O site do Skype conecta normalmente, pois não bloqueamos a URL nem a categoria.

image

Alterando mensagem de bloqueio de sites específicos Fortinet

Vamos alterar a mensagem de bloqueio de sites específicos do Fortinet, neste exemplo vamos colocar uma mensagem mais amigável para o usuário.

No fortinet, System, Config, Replace Message:

image

Escolha do lado direito “URL Block Page”

image

Ao selecionar a mensagem acima, você verá esta mensagem padrão:

image

Vamos editar o código fonte (você poderá usar qualquer editor de HTML ou editor de texto)

Está é a mensagem padrão

image

Este é o código fonte

==================================================================

<!DOCTYPE html PUBLIC “-//W3C//DTD HTML 4.01//EN”>
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″>
<style type=”text/css”>
html,body{
height:100%;
padding:0;
margin:0;
}.oc{
display:table;
width:100%;
height:100%;
}.ic{
display:table-cell;
vertical-align:middle;
height:100%;
}div.msg{
display:block;
border:1px solid #30c;
padding:0;
width:500px;
font-family:helvetica,sans-serif;
margin:10px auto;
}h1{
font-weight:bold;
color:#fff;
font-size:14px;
margin:0;
padding:2px;
text-align:center;
background: #30c;
}p{
font-size:12px;
margin:15px auto;
width:75%;
font-family:helvetica,sans-serif;
text-align:left;
}
</style>
<title>
The URL you requested has been blocked
</title>
</head>
<body>
<div class=”oc”>
<div class=”ic”>
<div class=”msg”>
<h1>
The URL you requested has been blocked
</h1>
<p>
The page you have requested has been blocked, because the URL is banned.
<br />
<br />
URL = %%URL%%
<br />
%%OVERRIDE%%
</p>
</div>
</div>
</div>
</body>
</html>

===================================================================

Vamos editar agora

Alterei o titulo para:

<title>
Acesso a este site foi negado devido a politica de acesso a internet da organização SupportBrazil
</title>

===================================================================

Agora alteramos o titulo da mensagem que é exibida no navegador

<h1>
A página que tentou acessar está bloqueada de acordo com as politicas da organização SupportBrazil
</h1>
<p>

image

Agora vamos alterar a mensagem exibida

</h1>
<p>
A página que tentou acessar tem seu acesso bloqueado de acordo com a politica da organização SupportBrazil, se a página que está tentando acessar por favor crie um Ticket para equipe de TI informando a URL e motivo que ela deve ser desbloqueada para a organização ou entre em contato com o ramal 55555.<br />
<br />

 

image

Pronto veja como ficou o novo código fonte

==================================================================

<!DOCTYPE html PUBLIC “-//W3C//DTD HTML 4.01//EN”>
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″>
<style type=”text/css”>
html,body{
height:100%;
padding:0;
margin:0;
}.oc{
display:table;
width:100%;
height:100%;
}.ic{
display:table-cell;
vertical-align:middle;
height:100%;
}div.msg{
display:block;
border:1px solid #30c;
padding:0;
width:500px;
font-family:helvetica,sans-serif;
margin:10px auto;
}h1{
font-weight:bold;
color:#fff;
font-size:14px;
margin:0;
padding:2px;
text-align:center;
background: #30c;
}p{
font-size:12px;
margin:15px auto;
width:75%;
font-family:helvetica,sans-serif;
text-align:left;
}
</style>
<title>
Acesso a este site foi negado devido a politica de acesso a internet da organização SupportBrazil
</title>
</head>
<body>
<div class=”oc”>
<div class=”ic”>
<div class=”msg”>
<h1>
A página que tentou acessar está bloqueada de acordo com as politicas da organização SupportBrazil
</h1>
<p>
A página que tentou acessar tem seu acesso bloqueado de acordo com a politica da organização SupportBrazil, se a página que está tentando acessar por favor crie um Ticket para equipe de TI informando a URL e motivo que ela deve ser desbloqueada para a organização ou entre em contato com o ramal 55555.<br />
<br />
URL = %%URL%%
<br />
%%OVERRIDE%%
</p>
</div>
</div>
</div>
</body>
</html>

==================================================================

Agora copie este novo código fonte e cole no fortinet em:

image

Veja como ficou

image

Clique em “Salve”

Agora vamos ver como ficou a nova mensagem de bloqueio

Está era a mensagem antiga

image

Agora a nova mensagem

image

Bloqueando sites específicos Fortinet

Vamos bloquear alguns sites específicos manualmente, neste exemplo não iremos utilizar categorização WEB na Fortinet.

Vamos lá, em UTM Security Profiles

image

Web Filter, URL Filter, Creat New

Name: neste exemplo vamos utilizar “RESTRICT”

OK

image

Agora em dentro de “RESTRICT” “Creat New”

URL: Neste exemplo vamos bloquear qualquer coisa .uol.com.br “*.uol.com.br”
Type: Wildcard (Utilizando esta opção, conseguimos bloquear *.domínio
Action: Block
Enable: Deixe habilitado.

OK

image

Agora vamos vincular ao profile em web filter, neste exemplo iremos bloquear para toda empresa *.uol.com.br

Em Web Filter, Profile, Default, Advanced Filter, habilite a opção “Web URL Filter” “RESTRICT”

Apply

image

Agora vamos criar um regra de acesso a internet

Em “Policy”, Police, Creat New

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port1 (LAN)
Source Address: all
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: ALL
Action: ACCEPT
Enable NAT: Deixe habilitada
Log Allowed Traffic: Deixe habilitada esta opção

Em UTM Security Profiles, habilite “Web Filter”, deixe no modo “ON” selecione o “Default” em profile

OK

image

Regra criada

image

Vamos fazer o teste e verificar se realmente está sendo bloqueado a URL que informamos.

Veja que o acesso a internet está normal

image

Agora vamos acessar o site www.uol.com.br

image

Agora vamos tentar acessar um site dentro do domínio uol.com.br, neste exemplo http://email.uol.com.br

O bloqueio ocorreu com sucesso.

image

Publicando SSH de forma segura com Fortinet (NAT)

Vamos fazer a publicação da porta 22 SSH para acessar a uma maquina Linux de forma segura passando pelo nosso Firewall Fortinet.

Temos este cenário: Maquina Debian 7 e Fortinet e uma range /25 de IP públicos (172.16.0.0/25) e uma range interna PRIVADA 10.10.10.0/24.
Em post anterior mostrei como publicar um WEB SERVER na porta 80 TCP, vamos utilizar a mesma linha e a mesma range de IP Públicos 172.16.0.1 – 172.16.0.126

image

Vamos acessar nosso firewall e começar a criação de objetos e regras.

Em Firewall Objects, clique em Address, Address, Creat New.

Name: Escolha um nome amigável ou o nome do servidor, neste exemplo DEBIAN-SSH
Color: A sua escolha
Subnet / IP Range: o IP do servidor DEBIAN 10.10.10.150
Interface: Porta1 (LAN) interface privada da rede
Show in Address Lits: deixe habilitada

image

Agora vamos criar o IP Pool, em Virtual IP, IP Pool

Create New

Name: PUBLIC_172_16_0_6
Type: Overload
External IP Range/Subnet
ARP Reply: Deixe habilitado
OK

image

Agora vamos criar o Virtual IP, em Virtual IP, Virtual IP, Creat New

Name: Port_22_SSH
Comments: Porta de acesso SSH
Color: a sua escolha
External Interface: neste exemplo “port3 (WAN2), pois nesta porta que está de cara na internet
Type: Static NAT
External IP Address/Range: 172.16.0.6 – 172.16.0.6 (Nosso IP Público)
Mapped IP Address/Range: 10.10.10.150 – 10.10.10.150
Port Forwarding: Deixe habilitada esta opção
Protocol: Vamos habilitar TCP
External Service Port: 22 – 22
Map to Port: 22 – 22

OK

image

Agora vamos criar a regra de NAT de saída (OUT) para o servidor

Em policy

image

Creat New

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port1 (LAN)
Source Address: DEBIAN-SSH (Nosso servidor já criado)
Outgoing Interface: port3 (WAN) nossa porta que está ligada na internet
Destination Address: All
Schedule: always
Service: SSH_Port_22 (neste exemplo escolhi somente a porta 22 para deixar mais seguro)
Action: ACCEPT
Enable Nat: Vamos deixar habilitada
Use Dynamic Pool: Public_172_16_0_6 (Nosso IP público)
Log Alloweb Traffic: vamos habilitar para LOGAR todo o trafico

OK

image

Agora vamos criar a regra de NAT (IN) para acessar externo ao nosso servidor DEBIAN

Em policy, creat new

Policy Typer: Firewall
Policy Address: Address
Incoming Interface: port3(WAN) nossa porta ligada na internet
Source Address ALL, podemos também determinar que somente algumas redes ou somete um IP pode acessar, eu recomendo deixar especificado um RANGE ou IP para acessar, por exemplo se tem um parceiro que cuida deste servidor em sua empresa, peça ao parceiro fornecer seu IP Público de acesso a internet, ai podemos especificar que somente este IP pode acessar, lembrando que seu parceiro forneceu um IP Público Dinâmico (aquele que muda sempre que há um nova conexão) será necessário sempre alterar este IP em objetos>
Outgoing Interface: port1 (LAN)
Destination Address: Port_22_SSH (Criamos este objeto com o IP do Servidor DEBIAN e já com a porta SSH 22 configurada)
Schedule: always (podemos definir também um dia e horário com inicio e fim para acesso
Service: SSH_Port_22 (para deixar ainda mais seguro o acesso)
Action: ACCEPT
Log Allowed Traffic: Deixe habilitada para vermos os Trafico

OK

image

Agora vamos testar a conexão com o PUTTY com o IP interno 10.10.10.150

image

Acessado com sucesso

image

Agora vamos acessar pelo IP Público 172.16.0.6

image

Agora conseguimos o acesso, veja a mensagem do certificado

image

Clicamos em “SIM”

Acessado com sucesso

image

Configure SNMP Fotinet (CLI)

Connect console (CLI)

FW-SP-01# config system snmp community (enter)

FW-SP-01# edit 1 (Enter)

FW-SP-01# config hosts (enter)

FW-SP-01# edit 1 (enter)

FW-SP-01# set interface port1 (Interface monitoring SNMP)

FW-SP-01# set IP 0.0.0.0/0 (releasing all IP interface to monitor)

FW-SP-01# set source-ip 0.0.0.0 (releasing the class of IP)

FW-SP-01# end (enter)

FW-SP-01# set status enable (enter)

FW-SP-01# set query-v1-port 161 (enter)

FW-SP-01# set query-v1-status enable (enter)

FW-SP-01# set query-v2c-port 162 (enter)

FW-SP-01# set query-v2c-status enable (enter)

FW-SP-01# set status enable (enter)

FW-SP-01# set name public (Name community)

FW-SP-01# end (enter)

FW-SP-01# config system snmp community (enter)

FW-SP-01# show (enter)

FW-SP-01 (community) # show

config system snmp community

edit 1

config hosts

edit 1

set interface "port1"

next

end

set name "public"

set query-v2c-port 162

next

end

image

image

image