Habilitar TeamViewer en red Fortinet para cumplir con Esquema Nacional de Seguridad

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
FortiSecurity
Mensajes: 1
Registrado: 27 Mar 2020, 12:12

Habilitar TeamViewer en red Fortinet para cumplir con Esquema Nacional de Seguridad

Mensaje por FortiSecurity »

Hola buenas tardes,

necesitaría consultar una duda en referencia a software de asistencia remota, y en concreto, a TeamViewer (TV). En nuestra empresa tenemos configurado la red LAN con un Fortinet Fortigate FG-100D, una serie de branches conectadas por FortiClient SSL-VPN a esta LAN (por tanto, todo modela una MAN con diferentes subredes), y una serie de técnicos con licencia teamviewer que están dentro de esta MAN dando soporte a clientes de dentro de la misma.

Para cumplir con el ENS, necesitaríamos limitar teamviewer en el FortiGate de alguna manera que, hablando en términos prácticos, no permita conexiones TV desde fuera hacia adentro si no está habilitado. O dicho de otra manera, que los usuarios no dejen encendida una sesión teamviewer en el equipo de trabajo, se anoten el id/clave, y desde su casa puedan conectar al entorno de trabajo.

Entendemos que el problema se solucionaría simplemente cerrando los inicios de conexión TV de fuera hacia dentro, pero necesitaríamos ayuda no solo para confirmar esta idea, sino en cómo darle solución a nivel FW. Existe una sección de FW de aplicación, donde se pueden bloquear las aplicaciones que se pueden o no usar de internet (teamviewer, dropbox, etc.). Sin embargo esta sección no discrimina, y por tanto, no permite decidir si se bloquea porque la conexión se inicia desde fuera, pero la permite si se inicia desde dentro de la red LAN.

Espero que alguien pueda darnos luz,

muchas gracias por vuestra ayuda.

Avatar de Usuario
makco10
Mensajes: 1150
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Habilitar TeamViewer en red Fortinet para cumplir con Esquema Nacional de Seguridad

Mensaje por makco10 »

Hola,

Al restringir la conexión del team viewer mediante el app control a tu red interna inhabilitas la conexión externa, ya que de esta forma el team viewer no tendrá conexión a internet.

Puedes bloquearlo mediante el app control o mediante una firma de IPS.

En lo personal lo he realizado con el app control y no he tenido inconvenientes.

https://fortiguard.com/appcontrol/15921

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Avatar de Usuario
gabyrossi
Mensajes: 10846
Registrado: 30 Oct 2007, 19:47

Re: Habilitar TeamViewer en red Fortinet para cumplir con Esquema Nacional de Seguridad

Mensaje por gabyrossi »

Hola, en el app. control existe 3 firmas una parta bloquer todo el TeamViewer, otra firma TeamViewer_CallReceive y la 3era TeamViewer_CallRequest.
probaste las ultimas dos???

otra idea seria aplicar la firma total de TeamViewer en horario laboral para habilitarla y fuer de horario de oficina para bloquearla.

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Responder