Implementant FSSO per integrar Fortigate amb el Directori Actiu

Print Friendly, PDF & Email

En qualsevol organització on es disposi de (almenys) un Fortigate i també d'un Directori Actiu, això és un must. Aquesta integració ens permetrà entre d' altres, doncs afegir usuaris o grups de l' AD a les regles del firewall, o a nivell de registres, auditories, prevenció d' amenaces… doncs tenir el detall de l'usuari.

El que s'ha dit, si tens Fortigate i Directori Actiu i encara no els has integrat, vam intentar mostrar els passos necessaris en aquest post. Instal·larem en els controladors de domini que tinguem l'agent de recol·lecció Fortinet SSO Collector Agent, o més coneguem com a FSSO. Aquest agent ens permetrà diverses coses, entre elles i molt interessants, poder crear regles de firewall específiques a usuaris o grups del Directori Actiu del tipus: si no ets Fulano no arribes a aquest servidor, controls de navegació… I un altre dels beneficis que tindrem serà que cada vegada que es generi un log al nostre firewall, registrarà l' usuari que l' ha generat. Obligatori en qualsevol organització.

Ull, una cosa MOLT important, si tens algun servidor d'Escriptori remot o alguna màquina Citrix VDA on els usuaris comparteixin una adreça IP, haurem posteriorment instal·lat un agent particular en aquestes màquines. Això ho veurem al final del post.

Instal·lació de Fortinet SSO Collector Agent,

El primer de tot com indiquem, serà instal·lar el FSSO Collector Agent AD en els nostres controladors de domini. Podrem descarregar el FSSO Agent des de la web de suport de Fortinet.

Instal·lem l'agent, no té gaire misteri, “Next”,

Acceptem els termes de la llicència, “Next”,

Path per defecte d'instal·lació 'C:\Program Files (x86)\FortinetFSAE', “Next”,

Hem d' indicar un compte amb privilegis d' administrador per iniciar el servei, per favor, crear un usuari específic, no useu l'administrador de domini per a això. En aquesta web teniu uns tips per securitzar després aquest compte. “Next”,

Confirmem que tenim ambdues opcions marcades, i seguim en el mode avançat, “Next”,

Vingui, llestos, “Install” per començar a instal·lar,

… esperem uns segons…

Y “Finish” però assegurant que vam iniciar l'assistent de FSSO.

Configuració de Fortinet Single Sign On,

Hem d' indicar l' adreça IP d' aquest controlador de domini, i el port pel qual escoltarà l' Agent. “Següent”,

Seleccionem el domini del llistat per monitoritzar, “Següent”

I si volem evitar recollir logs d'algun usuari en particular podrem marcar-lo ara, “Següent”,

Marquem “DC Agent Mode”, aquesta requerirà l'agent instal·lat al DC i cura que reiniciarà el DC; o “Polling Mode” si no volem o podem instal·lar l'Agent en tots els DCs.

“Finalitzar”,

Un cop finalitzat l' assistent, obrirem la consola de “Fortinet Single Sign On Agent Configuration”, verificam que el servei estigui corrent, repassem si volem modificar algun paràment, entre ells “Require authentiated connection from FortiGate” on podrem posar una contrasenya que farem servir a continuació,

Creant el connector contra l'AD,

És hora d'anar al nostre FortiGate i crear el connector que l'unirà al nostre Directori Actiu, anem a “Security Fabric” > “External Connectors” > i busquem 'FSSO Agent on Windows AD'.

En seleccionar-lo li indicarem un nom a la connexió i indicarem la màquina o les màquines que tenen l'agent FSSO instal·lat, al costat de la contrasenya que li hem establert fa dos passos, posem en “Apply & Refresh”,

I veurem com ja ens detecta diversos objectes de tipus Usuari o Grups, “OK”,

Verificam que el connector ara sí que està aixecat,

Validant FSSO,

I ja podrem començar a definir els grups del nostre Directori Actiu a Fortigate, des de “User & Authentication” > “User Groups” podrem crear un nou grup, indicar-li que és de tipus “Fortinet Single Sign-On (FSSO)” i en els membres podrem afegir directament els Usuaris o Grups que ens interessin del Directori Actiu.

Aquests Usuaris o Grups que definim ens poden venir molt bé, com per exemple per a això, per editar o crear regles de firewall on indiquem que si no pertanys a un grup, doncs no accedeixes a Internet, per posar un exemple. En la regla, al Source, a part de com sabem podem posar adreces IP o rangs de xarxa, doncs ara podrem escollir aquests usuaris o grups del Directori Actiu. Fabulós!

I això? Una maravilla, ara en els logs del firewall sortirà un nou camp amb les dades de l'usuari que ha generat el registre! Ja podrem saber quins usuaris visiten quins webs! 🙂

I com sempre, si tenim un recol·lector de logs, serà un camp força útil, ja que ens permetrà perseguir a nivell d'usuari qualsevol detall que registri el firewall de FortiGate!

Instal·lació de l'Agent FSSO en Servidors d'Escriptori remot o Citrix VDA,

El que s'ha dit, si tens alguna màquina on treballin múltiples usuaris sota una mateixa adreça IP, habitualment sobre servidors de Terminal Services o servidors Citrix VDA, en aquestes màquines caldrà instal·lar un altre agent que ens haurem de descarregar igualment de la web de suport de Fortinet.

A cada servidor hem d'instal·lar el Fortinet SSO Terminal Server Agent, “Next”,

Acceptem l'acord de llicència & “Next”,

El mateix que abans, path per defecte “C:\Program Files (x86)\FortinetFSAE”, posem “Next”,

Indicamos la dirección IP del propio servidor, la IP que tinguem i addicionalment hem d'indicar l'adreça IP dels FSSO Collector Agent, si tenim més d'un els hem d'afegir. “Next”,

Posem “Install” per començar la instal·lació,

… esperem uns segons…

“Finish”

I si volem obrim la consola de configuració “Fortinet SSO Terminal Server Agent Configuration”, però en principi no hauríem de fer cap canvi.

A l'Agent del FSSO del o dels DCs hem d'editar una clau de registre per ignorar les IPs que tenen l'Agent TS instal·lat, així no duplicarem el que recollim d'aquestes maquines, si no només el de l' Agent TS en elles.

Editem en la clau “HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeFortinetFSAEcollectoragent” la cadeba 'dc_agent_ignore_ip_list’ i indiquem les adreces IP dels de l' Agent TS.

I si va tot bé, després en l'eina de FSSO veurem en “Show Logon Users” que surt com a 'TS-Agent’ a la columna 'Type'.

Bo, aquí acabem per ara, com sempre esperant que a algú li pugui ser d'utilitat, que no només és posar un FortiGate a les empreses i ja, que hi ha moltes coses que es poden fer per donar-li un ús coherent, m'apostaria la mà dreta (la bona) que la meitat de les empreses ni si vulgui fan servir UTM en les seves regles, i me l'aposto per experiència, pel que em trobo en els mons de Déu…

Doncs això, integrar els vostres firewalls Forti al Directori Actiu i ser bons!

Cuidar-vos, que vagi bé, abraçades,

Posts recomanats

Permetent a usuaris específics escapar del filtratge web de Fortigate
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir
Implementant Windows LAPS
Llegir
Mètriques de FortiGate amb Prometheus i Grafana
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Disponibilitat de calendaris open source amb Cal.com

6 de February de 2024

Mapamundi de fusta + la posició del sol amb un ESP32

13 de February de 2024