Puits, Je pense que j’ai déjà dit que je vais essayer d’apporter des articles curieux, qui peuvent apporter quelque chose à l’organisation, Aujourd’hui, c’était un peu un sujet qui revient généralement à l’occasion. Comme il est considéré comme allant de soi que nous avons la navigation contrôlée avec notre Fortigate, où nous aurons nos règles avec différents accès… Eh bien, aujourd’hui nous allons voir comment permettre à certains utilisateurs de naviguer sous leur responsabilité dans des zones que nous leur signalons comme dangereuses…

Voyons comment je m’explique…. en supposant que votre organisation dispose d’un pare-feu Fortigate, et que vous utilisez le filtrage web, Eh bien, pour permettre si vous pouvez accéder à différents sites Web, Est-ce trop supposer? En supposant que ce soit le cas,, et que vos utilisateurs naviguent en toute sécurité vers des sites Web que vous pouvez contrôler, merci car nous connaissons le filtre Web UTM. Mais nombreux sont ceux qui ne savent pas que les exceptions peuvent être activées, par exemple si nous avons la catégorie de moi qui sais, des 'Réseaux sociaux', Qu’est-ce que Twitter ?, Sur Facebook… pour indiquer dans ce (ou autres) catégories qui nécessitent une authentification pour entrer, De cette façon, l’utilisateur saura qu’il entre dans un site Web, peut-être pas pour un usage professionnel… Vous demander vos identifiants et après vous être authentifié, (Si vous avez l’autorisation), Vous pourrez accéder à ce site Web.

Si vous avez un Fortigate et que vous n’utilisez pas le filtrage Web, vous n’avez pas de pardon 😉 car c’est peut-être l’une des tâches minimales et les plus faciles à avoir dans votre organisation. Vous devez savoir où vos utilisateurs et vos serveurs naviguent, Vous devez refuser certaines catégories, que dire de l’introspection SSL et de la possibilité d’examiner le contenu de votre navigation, Stopper les virus, Noix de coco…

Braises sur le côté, dans votre règle de filtrage web, dans le filtrage web basé sur les catégories Fortiguard, qui sont toutes des catégories de navigation classées par Fortinet, L’accès à différents sites web est généralement autorisé ou bloqué, ainsi que de les surveiller pour la collecte des journaux. Une option très intéressante est celle de 'Authentifier', Si nous sélectionnons les catégories qui nous intéressent, nous pouvons les mettre dans ce type d’action, Ainsi, lorsqu’un site de cette catégorie est accédé, il demandera à l’utilisateur de s’authentifier pour continuer.

Après avoir indiqué à la catégorie que nous voulons que son action soit 'Authentifier', Il nous demandera d’indiquer les utilisateurs qui auraient accès, Un groupe d’utilisateurs du pare-feu local, ou le groupe Active Directory qui contient les utilisateurs qui peuvent accéder à… Ainsi que la durée de la séance, Pour essayer de mettre 1 minute et puis en production, vous pouvez mettre un temps plus élevé. “D’ACCORD”

Nous voyons comment, par exemple, la catégorie « Courriel basé sur le Web »’ demandera l’authentification des utilisateurs qui leur appliquent ce profil Web, donc si un utilisateur veut se connecter à Gmail ou Office 365, Hotmail ou peu importe comment on appelle ces choses, Vous ne pourrez pas y accéder si votre utilisateur n’y a pas accès. Nous allons le voir,

Nous vérifions que le profil de sécurité du filtre Web que nous venons de modifier est appliqué à la règle de sortie Internet, et nous nous souvenons que la règle nécessite une inspection SSL, Tout va bien ici,

Quelque chose de très important est, que dans le(s) règle(s) que nous allons appliquer ce profil de filtrage Web, nous devons avoir activé le mode proxy. Pour ce faire,, Si vous regardez l’image ci-dessus, (dans la règle de sortie d’Internet) J’ai le « mode d’inspection »’ dans 'Proxy-based', si vous n’obtenez pas cette option dans l’interface graphique, Vous devez l’activer avec la commande suivante, en indiquant l’ID de la règle dans laquelle vous souhaitez activer le mode proxy, vous faites un F5 et cette option ressortirait dans la règle FW.

config politique de pare-feu edit XXX set inspection-mode proxy end

Si nous avons tout fait correctement, L’utilisateur naviguera parfaitement, Pour presque tout l’internet, mais lorsque vous accédez à un, (Dans ce cas) classé dans la catégorie « E-mail basé sur le Web », C’est, se connectait au compte Hotmail, Bureau 365… quel que soit le nom qu’on lui donne… parce qu’il ne serait pas en mesure d’accéder au site. Bien sûr, Nous venons de lui donner la possibilité qu’il peut donner “Procéder” Pour continuer…

Et ils rayent!!! Il vous demandera des informations d’identification, et si votre utilisateur est dans le groupe précédent que nous avons défini, car vous pourrez accéder au site, qui dans ce cas est un gestionnaire de webmail appelé Ofis 365 🙂

Et c’est tout, Nous avons terminé! Mais je voulais vous parler d’une autre chose très liée qui pourrait également vous intéresser, et c’est que dans le profil de filtrage Web, nous avons la possibilité de cocher 'Autoriser les utilisateurs à remplacer les catégories bloquées', et ce comme indiqué, Permet (si nous voulons) que certains utilisateurs du groupe que nous indiquons peuvent accéder à des sites Web classés comme bloqués. De cette façon, il ne s’agira pas d’une interdiction d’accès qu’ils ne peuvent pas entrer, Mais cela les alertera de ce qu’ils ont l’intention de faire, de l’endroit où ils vont entrer, Et s’ils mettent leurs références, y accédera à vos risques et périls.

Dans cet exemple, j’ai vérifié la catégorie 'E-mail basé sur le Web’ comme bloqué, Impossible d’accéder à nouveau au Web Outlook. Mais en vérifiant la vérification précédente, nous avons discuté, Nous avons une option où maintenant, en cliquant sur “Outrepasser” permettra à l’utilisateur d’accéder au site web après validation.

Ainsi, l’utilisateur peut indiquer ses informations d’identification, et vous pouvez choisir le profil de navigation que nous avons mis à votre disposition, Comprendre qu’il est plus laxiste. Et ce que j’ai dit, Si vous avez les autorisations parce que vous appartenez au groupe que nous avons spécifié, vous pourrez enfin accéder à votre site web, pour consulter vos e-mails ou tout ce que vous voulez.

Puits, Quoi… Voilà... Voilà... Ce sont tous des amis! 😉 vous encourager simplement à utiliser toute la technologie à votre disposition pour avoir une vie meilleure, que si vous avez Fortigate, vous les pressez, que si vous avez une friteuse à air, vous la jetez par la fenêtre… et donc tout 🙂 je t’envoie un câlin, À un autre jour, Non? Sinceres salutations!