Implementando FSSOs para integrar o Fortigate com o Active Directory

Impressão amigável, PDF & Email

Em qualquer organização onde haja (pelo menos) um Fortigate e também um Active Directory, Isso é uma obrigação. Esta integração permitir-nos-á, entre outros,, como adicionar usuários ou grupos do AD a regras de firewall, ou no nível de registro, Auditorias, Prevenção de ameaças… Bem, ter o detalhe do usuário.

O que eu disse, se você tiver o Fortigate e o Active Directory e ainda não os integrou, Vamos tentar mostrar os passos necessários neste post. Instalaremos o Fortinet SSO Collector Agent nos controladores de domínio que temos, ou mais que conhecíamos como FSSO. Este agente nos permitirá várias coisas, entre eles e muito interessante, ser capaz de criar regras de firewall específicas para usuários ou grupos do Active Directory do tipo: Se você não é Fulano de Tal, você não chega a esse servidor, Controles de navegação… E outro benefício que teremos será que toda vez que um log for gerado em nosso firewall, registrará o usuário que o gerou. Obrigatório em qualquer organização.

Olho, uma coisa MUITO importante, se você tiver um servidor de Área de Trabalho Remota ou máquina Citrix VDA onde os usuários compartilham um endereço IP, Teremos então que instalar um agente específico nessas máquinas. Veremos isso no final do post.

Instalando o Fortinet SSO Collector Agent,

Em primeiro lugar, como indicamos, será instalar o FSSO Collector Agent AD em nossos controladores de domínio. Podemos baixar o Agente FSSO do Site de suporte por Fortinet.

Instalamos o agente, Não tem muito mistério, “Próximo”,

Aceitamos os termos da licença, “Próximo”,

Instalação do caminho padrão 'C:\Arquivos de programas (x86)\Fortinet FSAE ', “Próximo”,

Devemos indicar uma conta com privilégios de administrador para iniciar o serviço, Por favor, Criar um usuário específico, Não use o gerenciador de domínios para isso. Em Este site Você tem algumas dicas para proteger esta conta. “Próximo”,

Confirmamos que temos as duas opções marcadas, e ainda estamos no modo avançado, “Próximo”,

Vir, pronto, “Instalar” Para iniciar a instalação,

… Aguarde alguns segundos…

E “Acabar” mas garantindo que vamos iniciar o assistente FSSO.

Configurando o Logon Único da Fortinet,

Devemos indicar o endereço IP deste controlador de domínio, o IP e a porta que o Agente escutará. “Seguinte”,

Selecione o domínio da listagem a ser monitorado, “Seguinte”

E se quisermos evitar a coleta de logs de um usuário específico, podemos marcá-lo agora, “Seguinte”,

Assinalar “Modo de agente DC”, isso exigirá o agente instalado no controlador de domínio e tenha cuidado para reiniciar o controlador de domínio; ou “Modo de pesquisa” se não quisermos ou pudermos instalar o Agente em todos os DCs.

“Fim”,

Depois que o assistente terminar, Abriremos o “Configuração do agente de logon único da Fortinet”, verificamos se o serviço está em execução, Revisamos se queremos modificar algum parâmetro, entre eles “Exigir conexão autenticada do FortiGate” onde podemos colocar uma senha que usaremos a seguir,

Criando o conector no AD,

É hora de ir ao nosso FortiGate e criar o conector que o unirá ao nosso Active Directory, Nós vamos “Malha de segurança” > “Conectores externos” > e procure por 'Agente FSSO no Windows AD'.

Selecioná-lo dará um nome à conexão e indicará a(s) máquina(s) que possui(m) o agente FSSO instalado, ao lado da senha que definimos para você há duas etapas, Clique em “Aplicar & Atualizar”,

E veremos como ele já detecta vários objetos do tipo Usuário ou Grupos, “OKEY”,

Verificamos se o conector agora está ativo,

Validando o FSSO,

E agora podemos começar a definir os grupos do nosso Active Directory no Fortigate, desde “Utilizador & Autenticação” > “Grupos de usuários” Podemos criar um novo grupo, dizer-lhe que é do “Logon único da Fortinet (FSSO)” e nos membros poderemos adicionar diretamente os Usuários ou Grupos que nos interessam do Active Directory.

Esses usuários ou grupos que definimos podem ser úteis, por exemplo, para este, para editar ou criar regras de firewall onde indicamos que, se você não pertence a um, porque você não acessa a Internet, Para dar um exemplo. Na regra, na Fonte, além de como sabemos que podemos colocar endereços IP ou intervalos de rede, agora podemos escolher esses usuários ou grupos do Active Directory. Fabuloso!

¿E isso? Uma maravilha, Agora nos logs do firewall aparecerá um novo campo com os dados do usuário que gerou o log! Agora poderemos saber quais usuários visitam quais sites! 🙂

E como sempre, Se tivermos um coletor de logs, Será um campo bastante útil, uma vez que nos permitirá buscar no nível do usuário quaisquer detalhes que o firewall FortiGate registre!

Instalação do FSSO Agent em servidores de área de trabalho remota ou Citrix VDA,

O que eu disse, se você tiver uma máquina em que vários usuários trabalham com o mesmo endereço IP, geralmente em servidores de serviços de terminal ou servidores Citrix VDA, Nessas máquinas será necessário instalar outro agente que também teremos que baixar do Site de suporte por Fortinet.

Em cada servidor, devemos instalar o Fortinet SSO Terminal Server Agent, “Próximo”,

Aceitamos o contrato de licença & “Próximo”,

O mesmo de antes, Caminho padrão “C:\Arquivos de programas (x86)\FortinetFSAE”, Pressionado “Próximo”,

Indicamos o endereço IP do próprio servidor, o IP que temos e, adicionalmente, devemos indicar o endereço IP do FSSO Collector Agent, se tivermos mais de um, devemos adicioná-los. “Próximo”,

Pressionado “Instalar” para iniciar a instalação,

… Aguarde alguns segundos…

“Acabar”

E se quisermos abrir o console de configuração “Configuração do agente do servidor de terminal SSO da Fortinet”, mas, em princípio, não teríamos que fazer nenhuma mudança.

No Agente FSSO do(s) DC(s), devemos editar uma chave do Registro para ignorar os IPs que têm o Agente TS instalado, Portanto, não duplicaremos o que coletamos dessas máquinas, se não apenas o Agente TS neles.

Editamos na chave “HKEY_LOCAL_MACHINE SOFTWARE WOW6432 Node Fortinet FSAE collectoragent” A cadeba 'dc_agent_ignore_ip_list’ e indique os endereços IP do Agente TS.

E se tudo correr bem, então na ferramenta FSSO veremos em “Mostrar usuários de logon” que sai como 'TS-Agent’ na coluna "Tipo".

Poço, Aqui terminamos por hoje, como sempre, esperando que alguém possa achar útil, que não é só colocar um FortiGate nas empresas e pronto., que há muitas coisas que podem ser feitas para fazer um uso consistente dele, Eu apostaria minha mão direita (O bom) que metade das empresas nem sequer usa UTM em suas regras, E eu aposto por experiência própria, então eu me encontro nos mundos de Deus…

Bem, isso, integre seus firewalls Forti ao Active Directory e seja bom!

Cuidem-se, Que corra bem, Abraços,

Postagens recomendadas

Permitindo que usuários específicos escapem da filtragem da web do Fortigate
Ler
Implementando a LAPS do Windows
Ler
VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Métricas FortiGate com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Calendários de código aberto disponíveis com Cal.com

6 Fevereiro de 2024

Mapa-múndi de madeira + a posição do sol com um ESP32

13 Fevereiro de 2024