Permitiendo a usuarios específicos escapar del filtrado web de Fortigate

Print Friendly, PDF & Email

Bueno, creo que ya dije que voy a intentar traer post curiositos, que puedan aportaros algo a la organización, hoy era un poco un tema que suele salir en alguna ocasión. Como se da por supuesto que tenemos la navegación controlada con nuestros Fortigate, donde tendremos nuestras reglas con distintos accesos… pues hoy veremos cómo permitir que ciertos usuarios puedan bajo su responsabilidad navegar en zonas que les alertamos como peligrosas…

 

A ver cómo me explico…. suponiendo que en tu organización tengas un firewall Fortigate, y que usas el filtrado web, pues para permitir si se puede acceder a distintos sitios web, ¿mucho suponer? Suponiendo que es así, y que tus usuarios navegan de manera segura a sitios webs que puedas controlar, gracias como sabemos Web Filter del UTM. Pero hay muchos que no conocen que se pueden habilitar excepciones, por ejemplo si tenemos la categoría de yo que sé, de ‘Social Networking’, que es la de Twitter, Facebook… pues indicar en esa (u otras) categorías que requieran una autenticación para entrar, así el usuario será consciente que entra en un sitio web quizá no para uso corporativo… Pidiéndole sus credenciales y tras autenticarse, (si tiene permiso), podrá acceder a dicho sitio web.

Si tienes un Fortigate y no usas el filtrado web no tienes perdón 😉 ya que quizá es uno de los mínimos y tareas más sencillas de tener en tu organización. Has de saber por donde navegan tus usuarios y tus servidores, has de denegar ciertas categorías, qué decir de la introspección SSL y poder examinar el contenido de su navegación, detener viruses, cocos…

 

Brasas a parte, en tu regla de filtrado Web, en el filtrado web basado en las categorías de Fortiguard, que son todas las categorías de navegación categorizadas por Fortinet, ahí normalmente se suele permitir o bloquear el acceso a distintos sitios web, así como monitorizarlos para la recolección de logs. Una opción muy interesante es la de ‘Authenticate’, si seleccionamos las categorías que nos interesen podemos ponerlas en ese tipo de acción, asi cuando se acceda a un sitio de esta categoría pedirá al usuario que se autentique para proceder.

 

Tras indicar a la categoría que queremos que su acción sea la de ‘Authenticate’, nos pedirá que indiquemos los usuarios que tendrían acceso, un grupo de usuarios locales del firewall, o el grupo del directorio activo que contenga los usuarios que puedan tener acceso… Así como el tiempo de la duración de la sesión, para probar poner 1 minuto y luego en producción ya podréis poner un tiempo superior. “OK”

 

Vemos como por ejemplo la categoría de ‘Web-based Email’ pedirá autenticación a los usuarios que le apliquemos este perfil Web, así que si un usuario quiere entrar en Gmail o Office 365, Hotmail o como se llamen estas cosas, no podrá acceder si no tiene su usuario permiso. Lo vamos a ver,

 

Revisamos que la regla de salida a Internet tiene aplicado el perfil de seguridad de Web Filter que acabamos de editar y recordar que la regla requeriría inspección SSL, por aquí todo bien,

 

Algo muy importante es, que en la(s) regla(s) que vayamos a aplicar este perfil de Filtrado Web tenemos que tener habilitado el modo de inspección a modo proxy. Para ello, si os fijáis en la imagen anterior, (en la de la regla de salida a Internet) dispongo del ‘Inspection Mode’ en ‘proxy-based’, si no te sale esta opción en GUI, has de habilitarla con el comando siguiente, indicando el ID de la regla en la que quieres habilitarle el modo proxy, haces un F5 y saldría esa opción en la regla del FW.

 

config firewall policy
edit XXX
set inspection-mode proxy
end

 

 

 

Si hemos echo todo bien, el usuario navegará perfectamente, por casi todo internet, pero cuando acceda a un sitio, (en este caso) categorizado como ‘Web-based Email’, o sea, estaba entrando en la cuenta de Hotmail, Office 365… como se llame eso… pues no podría acceder a la web. Eso sí, le acabamos de dar la posibilidad de que le pueda dar a “Proceed” para continuar…

 

Y tachan!!! le pedirá credenciales, y si su usuario está en el grupo anterior que hemos definido, pues podrá acceder al sitio web, que en este caso es un gestor de correo web llamado Ofis 365 🙂

 

Y hasta aquí, ya hemos acabado! pero quería comentarte otra cosica muy relacionada que igual también te puede interesar, y es que en el perfil del Filtrado Web tenemos la posibilidad de marcar ‘Allow users to override blocked categories’, y esto como indica, permite (si queremos) que ciertos usuarios del grupo que indiquemos puedan acceder a sitios web categorizados como Bloqueados. Así no será una prohibición de acceso de que no puedan entrar, si no que les alertará de lo que pretenden, del sitio al que van a entrar, y si ellos meten sus credenciales, accederán bajo su responsabilidad.

 

En este ejemplo he marcado la categoría ‘Web-based Email’ como Bloqueada, no se puede acceder de nuevo a la web de Outlook. Pero al marcar el check anterior que comentamos, nos sale una opción donde ahora, al pulsar en “Override” le permitirá al usuario acceder a la web tras validarse. 

 

Así que el usuario podría indicar sus credenciales, y podría elegir el perfil de navegación que le hayamos dejado disponible, entendiendo que es más laxo. Y lo dicho, si tiene permisos porque pertenece al grupo que hemos especificado podrá acceder por fin a su sitio web, a revisar sus correos o lo que le de la gana.

 

Bueno, que… eso es to… eso es to… eeeesto es todo amigos! 😉 simplemente animaros a que uséis toda la tecnología que esté a vuestro alcance para tener una mejor vida, que si tenéis Fortigate los exprimáis, que si tenéis una freidora de aire la tiréis por la ventana… y así todo 🙂 Que os mando un abracito, nos vemos otro día, ¿no? Saludos!

 

Posts recomendados

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

Sensor de cama en Home Assistant

31 de octubre de 2024