Poço, Acho que já disse que vou tentar trazer posts curiosos, que podem contribuir com algo para a organização, Hoje foi um tópico que geralmente surge de vez em quando. Como é dado como certo que temos a navegação controlada com nosso Fortigate, onde teremos nossas regras com diferentes acessos… Bem, hoje veremos como permitir que certos usuários naveguem sob sua responsabilidade em áreas que os alertamos como perigosas…

Vamos ver como eu me explico…. supondo que sua organização tenha um firewall Fortigate, e que você usa filtragem da web, Bem, para permitir se você pode acessar sites diferentes, É demais supor? Supondo que sim,, e que seus usuários naveguem com segurança para sites que você pode controlar, obrigado como sabemos UTM Web Filter. Mas há muitos que não sabem que exceções podem ser habilitadas, por exemplo, se tivermos a categoria de eu que sei, de 'Redes Sociais', O que é o Twitter?, Linkedin… para indicar nesse (ou outros) categorias que exigem autenticação para entrar, Desta forma, o usuário estará ciente de que está entrando em um site, talvez não para uso corporativo… Solicitando suas credenciais e após a autenticação, (Se você tiver permissão), Você poderá acessar este site.

Se você tem um Fortigate e não usa filtragem da web, não tem perdão 😉, pois talvez seja uma das tarefas mínimas e mais fáceis de se ter em sua organização. Você precisa saber onde seus usuários e seus servidores estão navegando, Você deve negar certas categorias, o que dizer sobre a introspecção SSL e ser capaz de examinar o conteúdo de sua navegação, Bloqueie os vírus, Cocos…

Brasas ao lado, em sua regra de filtragem da Web, na filtragem da web com base nas categorias do Fortiguard, que são todas as categorias de navegação categorizadas pela Fortinet, Lá, o acesso a diferentes sites geralmente é permitido ou bloqueado, bem como monitorá-los para coleta de logs. Uma opção muito interessante é a de 'Autenticar', Se selecionarmos as categorias que nos interessam, podemos colocá-las nesse tipo de ação, Assim, quando um site desta categoria for acessado, ele solicitará que o usuário se autentique para prosseguir.

Depois de indicar à categoria que queremos que sua ação seja 'Autenticar', Ele nos pedirá para indicar os usuários que teriam acesso, Um grupo de usuários de firewall local, ou o grupo do Active Directory que contém os usuários que podem acessar… Bem como a duração da sessão, Para tentar colocar 1 minuto e, em seguida, na produção, você pode colocar um tempo maior. “OKEY”

Vemos como, por exemplo, a categoria de 'E-mail baseado na Web’ solicitará autenticação dos usuários que aplicam este perfil da Web a eles, portanto, se um usuário quiser fazer login no Gmail ou no Office 365, Hotmail ou o que quer que essas coisas sejam chamadas, Você não poderá acessar se o usuário não tiver permissão. Nós vamos ver isso,

Verificamos se a regra de saída da Internet tem o perfil de segurança do Filtro da Web aplicado a ela que acabamos de editar e lembramos que a regra exigiria inspeção SSL, Está tudo bem por aqui,

Algo muito importante é, que no(s) regra(s) que vamos aplicar este perfil de filtragem da Web, temos que ter o modo proxy habilitado. Para fazer isso,, Se você olhar para a imagem acima, (na regra de saída da Internet) Eu tenho o 'Modo de Inspeção'’ em 'baseado em proxy', se você não conseguir essa opção na GUI, Você deve habilitá-lo com o seguinte comando, indicando o ID da regra na qual você deseja habilitar o modo proxy, você faz um F5 e essa opção sairia na regra FW.

config firewall policy edit XXX set inspection-mode proxy end

Se fizemos tudo certo, O usuário navegará perfeitamente, Para quase toda a internet, mas quando você acessa um, (Neste caso) categorizado como 'E-mail baseado na Web', Isto é, estava fazendo login na conta do Hotmail, Escritório 365… o que quer que seja chamado… porque ele não seria capaz de acessar o site. É claro, Acabamos de dar a ele a possibilidade de que ele possa dar “Proceder” para continuar…

E eles riscam!!! Ele solicitará credenciais, e se o seu usuário está no grupo anterior que definimos, como você poderá acessar o site, que neste caso é um gerenciador de webmail chamado Ofis 365 🙂

E é isso, Nós terminamos! Mas eu queria falar sobre outra coisa muito relacionada que você também pode estar interessado, e é que no perfil de Filtragem da Web temos a possibilidade de marcar 'Permitir que os usuários substituam categorias bloqueadas', e isso conforme indicado, Permite (se quisermos) que determinados usuários do grupo que indicamos podem acessar sites categorizados como Bloqueados. Desta forma, não será uma proibição de acesso que eles não possam entrar, mas irá alertá-los sobre o que pretendem, do lugar em que vão entrar, E se eles colocarem suas credenciais em, acessará por sua conta e risco.

Neste exemplo, verifiquei a categoria 'E-mail baseado na Web’ como Bloqueado, Não é possível acessar o Outlook Web novamente. Mas, verificando a verificação anterior, discutimos, Temos uma opção onde agora, clicando em “Substituir” permitirá que o usuário acesse o site após a validação.

Assim, o usuário pode indicar suas credenciais, e você pode escolher o perfil de navegação que disponibilizamos para você, entendendo que é mais frouxo. E o que eu disse, Se você tiver permissões porque pertence ao grupo que especificamos, finalmente poderá acessar seu site, para verificar seus e-mails ou o que você quiser.

Poço, que… É isso... É isso... Isso é tudo amigos! 😉 simplesmente encorajá-lo a usar toda a tecnologia que está à sua disposição para ter uma vida melhor, que se você tiver Fortigate, você os aperta, que se você tiver uma fritadeira de ar, jogue-a pela janela… e então tudo 🙂 que eu te mando um abraço, Vejo você outro dia, Não? Atenciosamente!