Bestimmten Benutzern ermöglichen, der Webfilterung von Fortigate zu entkommen
Brunnen, Ich glaube, ich habe schon gesagt, dass ich versuchen werde, kuriose Beiträge zu bringen, die etwas zur Organisation beitragen können, Heute war es ein bisschen ein Thema, das sonst mal wieder auftaucht. Da es selbstverständlich ist, dass wir die Navigation mit unserem Fortigate steuern lassen, wo wir unsere Regeln mit unterschiedlichen Zugängen haben werden… Nun, heute werden wir sehen, wie wir bestimmten Benutzern erlauben können, unter ihrer Verantwortung in Bereichen zu navigieren, die wir als gefährlich warnen…
A ver cómo me explico…. suponiendo que en tu organización tengas un firewall Fortigate, y que usas el filtrado web, pues para permitir si se puede acceder a distintos sitios web, ¿mucho suponer? Suponiendo que es así, y que tus usuarios navegan de manera segura a sitios webs que puedas controlar, gracias como sabemos Web Filter del UTM. Pero hay muchos que no conocen que se pueden habilitar excepciones, por ejemplo si tenemos la categoría de yo que sé, de ‘Social Networking’, que es la de Twitter, Facebook… pues indicar en esa (u otras) categorías que requieran una autenticación para entrar, así el usuario será consciente que entra en un sitio web quizá no para uso corporativo… Pidiéndole sus credenciales y tras autenticarse, (si tiene permiso), podrá acceder a dicho sitio web.
Si tienes un Fortigate y no usas el filtrado web no tienes perdón 😉 ya que quizá es uno de los mínimos y tareas más sencillas de tener en tu organización. Has de saber por donde navegan tus usuarios y tus servidores, has de denegar ciertas categorías, qué decir de la introspección SSL y poder examinar el contenido de su navegación, detener viruses, cocos…
Brasas a parte, en tu regla de filtrado Web, en el filtrado web basado en las categorías de Fortiguard, que son todas las categorías de navegación categorizadas por Fortinet, ahí normalmente se suele permitir o bloquear el acceso a distintos sitios web, así como monitorizarlos para la recolección de logs. Una opción muy interesante es la de ‘Authenticate’, si seleccionamos las categorías que nos interesen podemos ponerlas en ese tipo de acción, asi cuando se acceda a un sitio de esta categoría pedirá al usuario que se autentique para proceder.
Tras indicar a la categoría que queremos que su acción sea la de ‘Authenticate’, nos pedirá que indiquemos los usuarios que tendrían acceso, un grupo de usuarios locales del firewall, o el grupo del directorio activo que contenga los usuarios que puedan tener acceso… Así como el tiempo de la duración de la sesión, para probar poner 1 minuto y luego en producción ya podréis poner un tiempo superior. “OKAY”
Vemos como por ejemplo la categoría de ‘Web-based Email’ pedirá autenticación a los usuarios que le apliquemos este perfil Web, así que si un usuario quiere entrar en Gmail o Office 365, Hotmail o como se llamen estas cosas, no podrá acceder si no tiene su usuario permiso. Lo vamos a ver,
Revisamos que la regla de salida a Internet tiene aplicado el perfil de seguridad de Web Filter que acabamos de editar y recordar que la regla requeriría inspección SSL, por aquí todo bien,
Algo muy importante es, que en la(s) regla(s) que vayamos a aplicar este perfil de Filtrado Web tenemos que tener habilitado el modo de inspección a modo proxy. Um dies zu tun,, si os fijáis en la imagen anterior, (en la de la regla de salida a Internet) dispongo del ‘Inspection Mode’ en ‘proxy-based’, si no te sale esta opción en GUI, has de habilitarla con el comando siguiente, indicando el ID de la regla en la que quieres habilitarle el modo proxy, haces un F5 y saldría esa opción en la regla del FW.
config firewall policy
edit XXX
set inspection-mode proxy
end
Si hemos echo todo bien, el usuario navegará perfectamente, por casi todo internet, pero cuando acceda a un sitio, (In diesem Fall) categorizado como ‘Web-based Email’, Das heißt, estaba entrando en la cuenta de Hotmail, Office 365… como se llame eso… pues no podría acceder a la web. Natürlich, le acabamos de dar la posibilidad de que le pueda dar a “Proceed” para continuar…
Y tachan!!! le pedirá credenciales, y si su usuario está en el grupo anterior que hemos definido, pues podrá acceder al sitio web, que en este caso es un gestor de correo web llamado Ofis 365 🙂
Y hasta aquí, ya hemos acabado! pero quería comentarte otra cosica muy relacionada que igual también te puede interesar, y es que en el perfil del Filtrado Web tenemos la posibilidad de marcar ‘Allow users to override blocked categories’, y esto como indica, permite (Wenn wir wollen) que ciertos usuarios del grupo que indiquemos puedan acceder a sitios web categorizados como Bloqueados. Así no será una prohibición de acceso de que no puedan entrar, si no que les alertará de lo que pretenden, del sitio al que van a entrar, y si ellos meten sus credenciales, accederán bajo su responsabilidad.
En este ejemplo he marcado la categoría ‘Web-based Email’ como Bloqueada, no se puede acceder de nuevo a la web de Outlook. Pero al marcar el check anterior que comentamos, nos sale una opción donde ahora, al pulsar en “Override” le permitirá al usuario acceder a la web tras validarse.
Así que el usuario podría indicar sus credenciales, y podría elegir el perfil de navegación que le hayamos dejado disponible, entendiendo que es más laxo. Und was ich gesagt habe, si tiene permisos porque pertenece al grupo que hemos especificado podrá acceder por fin a su sitio web, a revisar sus correos o lo que le de la gana.
Brunnen, Was… eso es to… eso es to… eeeesto es todo amigos! 😉 simplemente animaros a que uséis toda la tecnología que esté a vuestro alcance para tener una mejor vida, que si tenéis Fortigate los exprimáis, que si tenéis una freidora de aire la tiréis por la ventana… y así todo 🙂 Que os mando un abracito, nos vemos otro día, Nein? Saludos!