Tenemos un forti con versión 4 MR3 Patch12.
Nuestro problema es que necesitamos la autenticación de usuarios en múltiples grupos para hacer perfiles jerárquicos de filtrado de aplicaciones (Application sensor profile). Leyendo el manual interpretamos que nos debería funcionar, pero en las pruebas realizadas no nos funciona.
Os comento:
Suponed que tenemos varios usuarios cada uno con unas necesidades diferentes:
- A: Navegación web con filtrado
- B: Lo mismo que A + skype + dropbox + ammy
- C: Lo mismo que A + dropbox + youtube
- D: Lo mismo que A + skype + youtube + ammy
- E: Lo mismo que A + dropbox
- F: Lo mismo que A + ammy
- G: Lo mismo que A + ammy + youtube
Ahora bien, nuestro objetivo sería poder crear un perfil navegación, un perfil skype, un perfil dropbox, un perfil youtube y un perfil ammy.
Después agregar los usuarios a los perfiles en cuestión y añadir al final de la regla una política por defecto que filtre todo lo demás. De esta forma, un usuario D por ejemplo, pertenecería a los perfiles navegación + skype + youtube + ammy y tendría permitido la totalidad de aplicaciones de los cuatro perfiles.
¿Se puede hacer? De no ser posible, ¿Hay alguna solución que no implique crear un perfil individualizado para cada uno de ellos?
Muchas gracias. Un saludo.
Application Control:Usuario en multiples grupos
Re: Application Control:Usuario en multiples grupos
hola, aclaremos algo:
Siempre la ides es armar grupos de usuarios dependiendo de los filtros que van a tener.
ejemplo
grupoA
grupoB
grupoC
Cada grupo trendra su perfil de filtradoweb + el application control.
grupoA + FiltroWeb_A + Application_ControlA
grupob + FiltroWeb_B + Application_ControlB
grupoc + FiltroWeb_C + Application_ControlC
de esa manera te serviria?
Siempre la ides es armar grupos de usuarios dependiendo de los filtros que van a tener.
ejemplo
grupoA
grupoB
grupoC
Cada grupo trendra su perfil de filtradoweb + el application control.
grupoA + FiltroWeb_A + Application_ControlA
grupob + FiltroWeb_B + Application_ControlB
grupoc + FiltroWeb_C + Application_ControlC
de esa manera te serviria?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Application Control:Usuario en multiples grupos
Gracias por la rápida respuesta.
Así es como lo tenemos pero, claro, nos obliga a tener multitud de grupos, dada la casuistica existente. Si nos permitiese una construcción de los permisos por capas, el numero de grupos se reduciría bastante. Pero lo hemos probado y no nos permite la construcción así, ya que siempre al crear un application sensor profile, por defecto van las 2 reglas implicit que te obligan a permitir todo o bloquearlo todo, con lo cual los siguientes grupos no son considerados, sólo considera lo que tiene el primer grupo en el que valida.
¿No hay posibilidad de eliminar estas reglas implicit?
Así es como lo tenemos pero, claro, nos obliga a tener multitud de grupos, dada la casuistica existente. Si nos permitiese una construcción de los permisos por capas, el numero de grupos se reduciría bastante. Pero lo hemos probado y no nos permite la construcción así, ya que siempre al crear un application sensor profile, por defecto van las 2 reglas implicit que te obligan a permitir todo o bloquearlo todo, con lo cual los siguientes grupos no son considerados, sólo considera lo que tiene el primer grupo en el que valida.
¿No hay posibilidad de eliminar estas reglas implicit?
Re: Application Control:Usuario en multiples grupos
Hola, no no se pueden eliminar...
porque tantos grupso?
como recomendacion no hagas tantos grupos con tantas exepcion, trata de ser mas general... porque luego se te complicara para las exepciones y troubleshooting.
saludos.
porque tantos grupso?
como recomendacion no hagas tantos grupos con tantas exepcion, trata de ser mas general... porque luego se te complicara para las exepciones y troubleshooting.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst