Distintos perfiles para VPNs por Forticlient.

Para temas referentes al uso del cliente VPN de Fortinet, el filtrado antivirus y la caracteristica de Firewall.
Responder
b0nete
Mensajes: 6
Registrado: 01 Jun 2018, 20:00

Distintos perfiles para VPNs por Forticlient.

Mensaje por b0nete »

Buenas tardes, es mi primer mensaje en el foro. Estuve investigando bastante en el tema, paso a explicar primeramente que es lo que estoy necesitando y luego como pienso encararlo.

Actualmente el fortigate esta vinculado contra el dominio, para luego validar los las credenciales de los usuarios que ingresan en el forticlient. Es una VPN-SSL.

El problema es que todos los usuarios acceden con el mismo perfil default.

He leído que activando las características Endpoint Control y Multiple Security Profiles es posible hacer algo como lo que necesito.

Requisitos:
1) Los usuarios deben validarse con credenciales de el dominio como lo hacen actualmente
2) Necesito crear varios perfiles con distintas caracteristicas.
3) Agregar estos perfiles a distintos grupos.
4) Que ventajas tiene EMS? He leído que con EMS puede generarse un ejecutable para cada perfil y pre-asignarle las caracteristicas. Pero, no es lo ideal que usen todas las personas el mismo ejecutable oficial y las caracteristicas (según tengo entendido, guardadas en un XML) se descarguen y/o actualizen cuando la persona se conecta a la VPN?

Gracias.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Distintos perfiles para VPNs por Forticlient.

Mensaje por makco10 »

Hola,

No entendí, ya resolviste?, cuando dices que el perfil es el default te refieres al perfil de forticlient en el fortigate?, porque este puedes crear diferentes via gui.

Nos avisas.


Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
b0nete
Mensajes: 6
Registrado: 01 Jun 2018, 20:00

Re: Distintos perfiles para VPNs por Forticlient.

Mensaje por b0nete »

Buenas tardes, gracias por la resuesta.

No lo he resuelto aún.

Exactamente, me refiero a los perfiles que se crean en FortiClient Profiles.

Paso a explicar mas detalladamente cuales son los puntos que necesito asegurarme.

- Trazabilidad:
Actualmente los usuarios se estan conectando a la VPN SSL mediante el FortiClient, el cual valida el usuario contra el LDAP indicado.
Cada usuario de LDAP se encuentra dentro de un grupo en el fortigate, y cada grupo tiene un perfil asignado.

Cada grupo esta asignado a un VPN_Portal por lo cual desde allí indicamos que los usuarios pertenecientes a ese grupo solo tengan acceso a X subred.
El problema con esto, es que los LOGs nos muestran a que grupo pertenece el usuario, pero el usuario lo muestra como ANONYMOUS.

- FortiClient:
1) Es posible indicar que los clientes que se conecten cuenten con una version minima de Forticlient? Segun tengo entendido desde Minimun FortiClient se especifica esto.

2) Es posible forzar la actualizacion de la DB antes/despues de que el cliente se conecte a la VPN?

3) Hay manera de correr un analisis obligatorio sobre la PC del cliente antes de que se conecte a la VPN?

4) Para deshabilitar opciones que no queremos que el usuario modifique, solo es posible desde el Forti EMS? Sé que tambien se puede crear un ejecutable embebiendole un XML, o que tambien es posible restaurar una CFG;
Pero las opciones no son validas en nuestro caso ya que es muy dificil obligar al cliente a descargar cierto ejecutable, y menos que menos obligarlo a restaurar una CFG antes de conectarse.
Ciertamente si podríamos obligar al usuario a descargar cierto ejecutable, pero deberiamos asegurarnos que desde el Fortigate valide que el usuario cuente con la version provista por nosotros.

Muchas gracias por la ayuda!
Responder