Implementant FSSO per integrar Fortigate amb el Directori Actiu

Print Friendly, PDF & Email

En qualsevol organització on es disposi de (almenys) un Fortigate i també d'un Directori Actiu, això és un must. Aquesta integració ens permetrà entre d' altres, doncs afegir usuaris o grups de l' AD a les regles del firewall, o a nivell de registres, auditories, prevenció d' amenaces… doncs tenir el detall de l'usuari.

El que s'ha dit, si tienes Fortigate y Directorio Activo y todavía no los has integrado, vamos a intentar mostrar los pasos necesarios en este post. Instalaremos en los controladores de dominio que tengamos el agente de recolección Fortinet SSO Collector Agent, o más conocimos como FSSO. Este agente nos permitirá varias cosas, entre ellas y muy interesantes, poder crear reglas de firewall específicas a usuarios o grupos del Directorio Activo del tipo: si no eres Fulano no llegas a ese servidor, controles de navegaciónY otro de los beneficios que tendremos será que cada vez que se genere un log en nuestro firewall, registrará el usuario que lo ha generado. Obligatorio en cualquier organización.

Ull, una cosa MUY importante, si tienes algún servidor de Escritorio remoto o alguna máquina Citrix VDA donde los usuarios compartan una dirección IP, deberemos posteriormente instalar un agente particular en estas máquinas. Esto lo veremos al final del post.

Instalación de Fortinet SSO Collector Agent,

Lo primero de todo como indicamos, será instalar el FSSO Collector Agent AD en nuestros controladores de dominio. Podremos descargar el FSSO Agent desde la web de soporte de Fortinet.

Instalamos el agente, no té gaire misteri, “Next”,

Aceptamos los términos de la licencia, “Next”,

Path por defecto de instalación ‘C:\Program Files (x86)\Fortinet\FSAE\’, “Next”,

Debemos indicar una cuenta con privilegios de administrador para iniciar el servicio, per favor, crear un usuario específico, no uséis el administrador de dominio para esto. En aquesta web tenéis unos tips para securizar luego esta cuenta. “Next”,

Confirmamos que tenemos ambas opciones marcadas, y seguimos en el modo avanzado, “Next”,

Vingui, listos, “Install” para comenzar a instalar,

… esperem uns segons…

Y “Finish” pero asegurando que vamos a iniciar el asistente de FSSO.

Configuración de Fortinet Single Sign On,

Debemos indicar la dirección IP de este controlador de dominio, la IP y el puerto por el que escuchará el Agente. “Següent”,

Seleccionamos el dominio del listado para monitorizar, “Següent”

Y si queremos evitar recoger logs de algún usuario en particular podremos marcarlo ahora, “Següent”,

Marquem “DC Agent Mode”, esta requerirá el agente instalado en el DC y cuidado que reiniciará el DC; o “Polling Modesi no queremos o podemos instalar el Agente en todos los DCs.

“Finalitzar”,

Una vez finalizado el asistente, abriremos la consola deFortinet Single Sign On Agent Configuration”, verificamos que el servicio esté corriendo, repasamos si queremos modificar algún parámentro, entre ells “Require authentiated connection from FortiGatedonde podremos poner una contraseña que usaremos a continuación,

Creando el conector contra el AD,

Es hora de ir a nuestro FortiGate y crear el conector que le unirá a nuestro Directorio Activo, anem a “Security Fabric” > “External Connectors” > y buscamos ‘FSSO Agent on Windows AD’.

Al seleccionarlo le indicaremos un nombre a la conexión e indicaremos la máquina o las máquinas que tienen el agente FSSO instalado, junto a la contraseña que le hemos establecido hace dos pasos, posem en “Apply & Refresh”,

Y veremos cómo ya nos detecta varios objetos de tipo Usuario o Grupos, “OK”,

Verificamos que el conector ahora sí está levantado,

Validando FSSO,

Y ya podremos empezar a definir los grupos de nuestro Directorio Activo en Fortigate, des de “User & Authentication” > “User Groupspodremos crear un nuevo grupo, indicarle que es de tipoFortinet Single Sign-On (FSSO)” y en los miembros podremos añadir directamente los Usuarios o Grupos que nos interesen del Directorio Activo.

Estos Usuarios o Grupos que definamos nos pueden venir muy bien, como por ejemplo para esto, para editar o crear reglas de firewall donde indiquemos que si no perteneces a un grupo, pues no accedes a Internet, per posar un exemple. En la regla, en el Source, a parte de como sabemos podemos poner direcciones IP o rangos de red, pues ahora podremos escoger estos usuarios o grupos del Directorio Activo. Fabuloso!

¿Y esto? Una maravilla, ahora en los logs del firewall saldrá un nuevo campo con los datos del usuario que ha generado el registro! Ya podremos saber qué usuarios visitan qué webs! 🙂

I com sempre, si tenemos un recolector de logs, será un campo bastante útil, ya que nos permitirá perseguir a nivel de usuario cualquier detalle que registre el firewall de FortiGate!

Instalación del Agente FSSO en Servidores de Escritorio remoto o Citrix VDA,

El que s'ha dit, si tienes alguna máquina donde trabajen múltiples usuarios bajo una misma dirección IP, habitualmente sobre servidores de Terminal Services o servidores Citrix VDA, en estas máquinas será necesario instalar otro agente que nos tendremos que descargar igualmente de la web de soporte de Fortinet.

En cada servidor debemos instalar el Fortinet SSO Terminal Server Agent, “Next”,

Acceptem l'acord de llicència & “Next”,

Lo mismo que antes, path por defecto “C:\Program Files (x86)\Fortinet\FSAE\”, posem “Next”,

Indicamos la dirección IP del propio servidor, la IP que tengamos y adicionalmente debemos indicar la dirección IP de los FSSO Collector Agent, si tenemos más de uno debemos añadirlos. “Next”,

Posem “Install” per començar la instal·lació,

… esperem uns segons…

“Finish”

Y si queremos abrimos la consola de configuraciónFortinet SSO Terminal Server Agent Configuration”, pero en principio no tendríamos que hacer ningún cambio.

En el Agente del FSSO del o de los DCs debemos editar una clave de registro para ignorar las IPs que tienen el Agente TS instalado, así no duplicaremos lo que recogemos de esas maquinas, si no solo lo del Agente TS en ellas.

Editamos en la claveHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Fortinet\FSAE\collectoragentla cadeba ‘dc_agent_ignore_ip_liste indicamos las direcciones IP de los del Agente TS.

Y si va todo bien, luego en la herramienta de FSSO veremos enShow Logon Usersque sale como ‘TS-Agenten la columna ‘Type’.

Bo, aquí acabamos por hoy, como siempre esperando que a alguien le pueda ser de utilidad, que no sólo es poner un FortiGate en las empresas y ya, que hay muchas cosas que se pueden hacer para darle un uso coherente, me apostaría la mano derecha (la buena) a que la mitad de las empresas ni si quiera usan UTM en sus reglas, y me la apuesto por experiencia, por lo que me encuentro en los mundos de Dios

Doncs això, integrar vuestros firewalls Forti en el Directorio Activo y ser buenos!

Cuidar-vos, que vagi bé, abraçades,

Posts recomanats

Implementant Windows LAPS
Llegir
Mètriques de FortiGate amb Prometheus i Grafana
Llegir
Permetent a usuaris específics escapar del filtratge web de Fortigate
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Disponibilitat de calendaris open source amb Cal.com

6 de February de 2024

Mapamundi de fusta + la posició del sol amb un ESP32

13 de February de 2024