BLOQUEAR PAGINAS POR FQDN

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
guillermoRamon
Mensajes: 3
Registrado: 15 Ago 2019, 22:00

BLOQUEAR PAGINAS POR FQDN

Mensaje por guillermoRamon »

Buen día soy nuevo con este equipo fortinet, hace poco llegue a una empresa en la cual tienen un fortigate 100D, no tiene licencia, por lo que me di a la tarea de investigar si es posible bloquear páginas con este equipo aun sin licencia, resulta que investigando encontré que es posible creando FQDN y creando una politica para denegar ese destino FQDN, realmente hice prueba con algunas paginas y efectivamente si las bloquea, mi problema esta en que aveces me bloquea facebook y aveces no, lo mismo pasa con otras paginas y no entiendo por que aveces si bloquea y por que aveces no, espero puedan ayudarme. dejo imagen de mis politicas.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por makco10 »

Hola,

Esto es porque el url filter nada mas te bloquea las paginas con puerto 80 ya con el protocol 443/ssl tienes que usar el control de aplicaciones el cual solamente funciona con licencia.

Una opción seria que lo configures como un proxy tradicional, donde debes colocar el proxy ip en cada pc desde opciones de internet, sin licencia estas perdiendo muchas funcionales del equipo.

¿Que modelo es y que firmware tiene?

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

guillermoRamon
Mensajes: 3
Registrado: 15 Ago 2019, 22:00

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por guillermoRamon »

Hola buen día, agradezco tu ayuda y tu tiempo, es un fortigate 100D, con firmware v5.2.1., si habilito el proxy tradicional, me permitirá bloquear cualquier pagina?

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por makco10 »

Hola,

Si, solamente que tendrías que colocar la información del proxy en las opciones de internet en cada pc, te complica un poco la parte de móviles.

No es la mejor forma pero podría ser una opción.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Avatar de Usuario
gabyrossi
Mensajes: 10825
Registrado: 30 Oct 2007, 19:47

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por gabyrossi »

makco10 escribió:
16 Ago 2019, 22:13
Hola,

Esto es porque el url filter nada mas te bloquea las paginas con puerto 80 ya con el protocol 443/ssl tienes que usar el control de aplicaciones el cual solamente funciona con licencia.

Una opción seria que lo configures como un proxy tradicional, donde debes colocar el proxy ip en cada pc desde opciones de internet, sin licencia estas perdiendo muchas funcionales del equipo.

¿Que modelo es y que firmware tiene?

Saludos.


Aclaremos algo:
Tecnicamente el app.control puede trabajar sin licencias, podras bloquear applicaciones que ya esten en el fortigate en el listado. Lo que no tendras son nuevas actualizaciones esto es hasta 5.4.
PERO ....
con 5.6 y 6.0 en adelante, las actualizaciones de control de aplicaciones forman parte del contrato de soporte estándar de FortiCare, por lo que ya no necesita la licencia IPS (solo soporte).
 
Esta es la razón por la que no le da una advertencia cuando lo habilita sin licencias (lo mismo con IPS y AntiVirus). Seguirá funcionando pero sin las últimas firmas.
 
Esto es diferente del servicio de filtro web. DEBE tener una licencia válida para usar webfilter, y si no tiene una licencia y la aplica a sus políticas, su tráfico de Internet se bloqueará de manera predeterminada. Es por eso que recibe una advertencia que dice que no hay suscripción cuando configura el filtrado web

---------
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
gabyrossi
Mensajes: 10825
Registrado: 30 Oct 2007, 19:47

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por gabyrossi »

To recomiendo que actualices lo mas posible el firmware de ese 100D
y luego puedas utilizar el Internet services Database

https://docs.fortinet.com/document/fort ... -in-policy

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por makco10 »

gabyrossi escribió:
22 Ago 2019, 18:45
makco10 escribió:
16 Ago 2019, 22:13
Hola,

Esto es porque el url filter nada mas te bloquea las paginas con puerto 80 ya con el protocol 443/ssl tienes que usar el control de aplicaciones el cual solamente funciona con licencia.

Una opción seria que lo configures como un proxy tradicional, donde debes colocar el proxy ip en cada pc desde opciones de internet, sin licencia estas perdiendo muchas funcionales del equipo.

¿Que modelo es y que firmware tiene?

Saludos.


Aclaremos algo:
Tecnicamente el app.control puede trabajar sin licencias, podras bloquear applicaciones que ya esten en el fortigate en el listado. Lo que no tendras son nuevas actualizaciones esto es hasta 5.4.
PERO ....
con 5.6 y 6.0 en adelante, las actualizaciones de control de aplicaciones forman parte del contrato de soporte estándar de FortiCare, por lo que ya no necesita la licencia IPS (solo soporte).
 
Esta es la razón por la que no le da una advertencia cuando lo habilita sin licencias (lo mismo con IPS y AntiVirus). Seguirá funcionando pero sin las últimas firmas.
 
Esto es diferente del servicio de filtro web. DEBE tener una licencia válida para usar webfilter, y si no tiene una licencia y la aplica a sus políticas, su tráfico de Internet se bloqueará de manera predeterminada. Es por eso que recibe una advertencia que dice que no hay suscripción cuando configura el filtrado web

---------
Hola,

Tienes razón, App control no forma parte ya del IPS desde FortiOS 5.6 y en 6.0 ya puede ser utilizado, claro sin los ultimos updates que se vayan agregando: https://help.fortinet.com/fos50hlp/56/C ... ontrol.htm

https://forum.fortinet.com/tm.aspx?m=168383

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

tsis
Mensajes: 32
Registrado: 08 Jul 2017, 10:57

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por tsis »

buenas

leyendo ese hilo, mi conclusion es que no se actualizan las nuevas app del listado hasta que no se actualiza desde el cloud o servicio de forti, pero manualmente si lo puedes hacer.
un saludo

guillermoRamon
Mensajes: 3
Registrado: 15 Ago 2019, 22:00

Re: BLOQUEAR PAGINAS POR FQDN

Mensaje por guillermoRamon »

Muchas Gracias a todos, me han aclarado muchas dudas, he solicitado a mis superiores la adquisición de una licencia para obtener los beneficios que ofrece el equipo.
Saludos.

Responder