Onena, ume, jadanik esan dudala post bitxi batzuk ekartzen saiatuko naizela, zerbait emateko gai izango liratekeen antolakuntzari, gaua, batzuetan agertzen den gai bat zen. Fortigate-ekin gure nabigazioa kontrolatuta dugula suposatuz, non gure arauak izango ditugun sarrera ezberdinekin… gaur ikusiko dugu nola baimentzen diren erabiltzaile batzuk beren erantzukizunpean leku arriskutsutzat jotzen ditugun tokietan nabigatzera…

Ikus dezagun nola azaltzen naizen…. zure antolakuntzan Fortigate firewall bat duzula suposatuz, eta web iragazketa erabiltzen duzula, ondoren, baimentzeko, baliteke webgune ezberdinetara sartzea, askoz suposatzeagatik? Baliteke hala izatea, eta zure erabiltzaileak modu seguruan nabigatzen badute kontrola dezakezun webguneetara, gracias como sabemos Web Filter del UTM. Pero hay muchos que no conocen que se pueden habilitar excepciones, por ejemplo si tenemos la categoría de yo que sé, de 'Social Networking', que es la de Twitter, Facebook… pues indicar en esa (u otras) categorías que requieran una autenticación para entrar, así el usuario será consciente que entra en un sitio web quizá no para uso corporativo… Pidiéndole sus credenciales y tras autenticarse, (si tiene permiso), podrá acceder a dicho sitio web.

Si tienes un Fortigate y no usas el filtrado web no tienes perdón 😉 ya que quizá es uno de los mínimos y tareas más sencillas de tener en tu organización. Has de saber por donde navegan tus usuarios y tus servidores, has de denegar ciertas categorías, qué decir de la introspección SSL y poder examinar el contenido de su navegación, detener viruses, cocos…

Brasas a parte, en tu regla de filtrado Web, en el filtrado web basado en las categorías de Fortiguard, que son todas las categorías de navegación categorizadas por Fortinet, ahí normalmente se suele permitir o bloquear el acceso a distintos sitios web, así como monitorizarlos para la recolección de logs. Una opción muy interesante es la de 'Authenticate', si seleccionamos las categorías que nos interesen podemos ponerlas en ese tipo de acción, asi cuando se acceda a un sitio de esta categoría pedirá al usuario que se autentique para proceder.

Tras indicar a la categoría que queremos que su acción sea la de ‘Authenticate’, nos pedirá que indiquemos los usuarios que tendrían acceso, un grupo de usuarios locales del firewall, o el grupo del directorio activo que contenga los usuarios que puedan tener acceso… Así como el tiempo de la duración de la sesión, para probar poner 1 minuto y luego en producción ya podréis poner un tiempo superior. “OK”

Vemos como por ejemplo la categoría de ‘Web-based Email’ pedirá autenticación a los usuarios que le apliquemos este perfil Web, así que si un usuario quiere entrar en Gmail o Office 365, Hotmail o como se llamen estas cosas, no podrá acceder si no tiene su usuario permiso. Lo vamos a ver,

Revisamos que la regla de salida a Internet tiene aplicado el perfil de seguridad de Web Filter que acabamos de editar y recordar que la regla requeriría inspección SSL, por aquí todo bien,

Algo muy importante es, que en la(s) regla(s) que vayamos a aplicar este perfil de Filtrado Web tenemos que tener habilitado el modo de inspección a modo proxy. Para ello, si os fijáis en la imagen anterior, (en la de la regla de salida a Internet) dispongo del 'Inspection Mode’ en 'proxy-based', si no te sale esta opción en GUI, has de habilitarla con el comando siguiente, indicando el ID de la regla en la que quieres habilitarle el modo proxy, haces un F5 y saldría esa opción en la regla del FW.

config firewall policy
edit XXX
set inspection-mode proxy
end

Si hemos echo todo bien, el usuario navegará perfectamente, por casi todo internet, pero cuando acceda a un sitio, (kasu honetan) categorizado como ‘Web-based Email’, edo, bestela, estaba entrando en la cuenta de Hotmail, Office 365… como se llame eso… pues no podría acceder a la web. Eso sí, le acabamos de dar la posibilidad de que le pueda dar a “Proceed” jarraitzeko…

Y tachan!!! le pedirá credenciales, y si su usuario está en el grupo anterior que hemos definido, pues podrá acceder al sitio web, que en este caso es un gestor de correo web llamado Ofis 365 🙂

Y hasta aquí, ya hemos acabado! pero quería comentarte otra cosica muy relacionada que igual también te puede interesar, y es que en el perfil del Filtrado Web tenemos la posibilidad de marcar ‘Allow users to override blocked categories’, y esto como indica, permite (si queremos) que ciertos usuarios del grupo que indiquemos puedan acceder a sitios web categorizados como Bloqueados. Así no será una prohibición de acceso de que no puedan entrar, si no que les alertará de lo que pretenden, del sitio al que van a entrar, y si ellos meten sus credenciales, accederán bajo su responsabilidad.

En este ejemplo he marcado la categoría ‘Web-based Email’ como Bloqueada, no se puede acceder de nuevo a la web de Outlook. Pero al marcar el check anterior que comentamos, nos sale una opción donde ahora, al pulsar en “Override” le permitirá al usuario acceder a la web tras validarse.

Así que el usuario podría indicar sus credenciales, y podría elegir el perfil de navegación que le hayamos dejado disponible, ulertzen ari garenez, lasaiagoa da. Eta esan bezala, baimenak baditu, gure zehaztutako taldeko kide delako, azkenean bere webgunera sartuko da, bere mezuak edo nahi duen edozer berrikusteko.

Onena, Zer… hori da… hori da… hau da dena lagunak! 😉 besterik gabe animatu nahi zaituztet zuen eskuragarri dagoen teknologia guztia erabiltzeko bizitza hobea izateko, Fortigate badaukazue, zuen ahalik eta gehien aprobetxatzea, aire-frijidore bat badaukazue, leihoetik bota egitea… eta horrela dena 🙂 Besarkada bat bidaltzen dizuet, beste egun batean ikusiko gara, ¿no? Agur!