Hola,
Quisiera hacer una consulta, para saber si estoy haciendo algo mal
Tengo un Terminal Server Windows al que acceden muchos usuarios por RDP una vez realizado el login dependiendo del grupo al que pertenece el usario le doy permisos por puertos direcciones IPs, etc
Para esto tengo instalado el FSSO en el Controlador de Dominio y el TS_Agent en el Terminal Server
El usuario realiza el login en el TS el agente toma las credenciales se las pasa al FSSO y este a su vez al Fortigate, hasta aqui todo bien.
Tengo dos problemas:
1.- El usuario "PEPE" realiza el login y todo funciona hasta que abre una ventana "cmd" de linea de comandos. Ejecuta un "runass" como el usuario ALBERTO y el FSSO no se entera de esto, como PEPE no tiene permisos para esa salida (aunque ALBERTO si), el FG bloquea el trafico
2.- El usuario PEPE abre una ventana de cmd y quiere ingresar a un recurso compartido windows, el FSSO no lo ve como acceso del usuarioi PEPE por lo tanto el trafico cae en la politica 0. Tampoco funciono intentando montar el recurso desde el Explorador de Windows.
Alguna idea?
Saludos
Daniel
TS_Agent no detecta el usuario al usar linea de comandos
Re: TS_Agent no detecta el usuario al usar linea de comandos
Buenas! Lo que esta pasando tiene que ser asi, esta bien.
SSO significa Single Sign On, es decir Una unica vez que te logueas! (o algo asi segun mi pobre ingles) o sea, cuando te logueas al servidor, el FSSO se las pasa al firewall y eso no cambia hasta que te desloguees, si por cada aplicacion que vos abris necesita consultar las credenciales, atentaria contra la funcionalidad del FSSO. Aclaro que esto siempre pensando en usuarios de dominio Microsoft claro esta.
Ahora desde el punto de vista de la seguridad conceptualmente, tambien es un quilombo (perdon la expresion ja) porque un usuario A se loguea con sus credencialespor RDP, pero despues necesita acceder a otro recurso con las credenciales de B, entonces, quien utilizo el recurso al fin y al cabo? el usuario A o B? cualquier usuario de cualquier sistema deberia ser el reflejo de una persona (excepto cuando se requieran servicios automaticos). Es la primera vez que me topo con esta situacion, para arreglarlo lo unico que me viene a la mente es que un usuario tenga los permisos que necesita y nada mas, que no se maneje con dos usuarios distintos.
Solo por curiosidad, podras explicar porque se da este escenario como algo normal en tu ambiente?
Otra que se me ocurre para probar es autenticando por LDAP con diferentes servicios, es decir a diferentes puertos o protocolos y entonces si podrias hacer algo asi, y aun asi tendria que hacer varias pruebas.
Otra vez, mientras mas sepamos de tus necesidades mas podriamos pensar en alternativas, pero con FSSO, hasta donde se, no es posible hacer lo que planteas.
Saludos!!
SSO significa Single Sign On, es decir Una unica vez que te logueas! (o algo asi segun mi pobre ingles) o sea, cuando te logueas al servidor, el FSSO se las pasa al firewall y eso no cambia hasta que te desloguees, si por cada aplicacion que vos abris necesita consultar las credenciales, atentaria contra la funcionalidad del FSSO. Aclaro que esto siempre pensando en usuarios de dominio Microsoft claro esta.
Ahora desde el punto de vista de la seguridad conceptualmente, tambien es un quilombo (perdon la expresion ja) porque un usuario A se loguea con sus credencialespor RDP, pero despues necesita acceder a otro recurso con las credenciales de B, entonces, quien utilizo el recurso al fin y al cabo? el usuario A o B? cualquier usuario de cualquier sistema deberia ser el reflejo de una persona (excepto cuando se requieran servicios automaticos). Es la primera vez que me topo con esta situacion, para arreglarlo lo unico que me viene a la mente es que un usuario tenga los permisos que necesita y nada mas, que no se maneje con dos usuarios distintos.
Solo por curiosidad, podras explicar porque se da este escenario como algo normal en tu ambiente?
Otra que se me ocurre para probar es autenticando por LDAP con diferentes servicios, es decir a diferentes puertos o protocolos y entonces si podrias hacer algo asi, y aun asi tendria que hacer varias pruebas.
Otra vez, mientras mas sepamos de tus necesidades mas podriamos pensar en alternativas, pero con FSSO, hasta donde se, no es posible hacer lo que planteas.
Saludos!!
Re: TS_Agent no detecta el usuario al usar linea de comandos
Hola, el fortigate le llegan los login de windows (eventos de logon).
si lo que necesitas es que le lleguen otro tipod e autenticaciones, ya sean contra server internos, eso deberias hacerlo por politica, autenticando por ewjemplo la lan a la red de los server y autenticar esa politica.
obviamente el usuario debera ejecutar algun protocolo que sea autenticable http,https,ftp, telnet
saludos.
si lo que necesitas es que le lleguen otro tipod e autenticaciones, ya sean contra server internos, eso deberias hacerlo por politica, autenticando por ewjemplo la lan a la red de los server y autenticar esa politica.
obviamente el usuario debera ejecutar algun protocolo que sea autenticable http,https,ftp, telnet
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: TS_Agent no detecta el usuario al usar linea de comandos
Gracias por las respuestas.
Paso a explicar un poco mejor el ambiente en que se producen estas situaciones.
Antes que nada aclaro que el que no funcione el "runass" no es demasido problematico, como vos decias, que se logee como corresponde y no ejecute el runass, ademas no es una falla de seguridad pues NO FUNCIONA, el trafico es bloqueado.
El que si me interesa y tampoco funciona es el montar una carpeta compartida por otro equipo windows.
El tema es asi:
Por razones de seguridad y auditoria, ciertos usuarios acceden a recursos internos (LAN to LAN) a través de un "mediador". Que es un mediador? un server windows que loguea y graba todo lo que ocurre en su entorno, cuando desde mi equipo dentro de la oficina quiero acceder o realizar algo en equipos o sistemas internos, realizo un Remote Desktop al mediadior, mi sesion va a ser grabada en video ademas de los logs normales del equipo enviados a un colector de logs.
El mediador esta detras de un Fortigate quien es el responsable de permitirme ir a diferentes subredes de la compañia mediante diferentes puertos o aplicaciones (poder saltar a ortro equipo por RDP, ejecutar o no un FTP, montar o no un recurso compartido, etc)
Al mediador acceden muchos usuarios en forma simultanea, lo primero que probe fue un FSSO con un DC_Agent en el DC pero lo que ocurria era que ante varios usuarios logueados en el mediador el FSSO solo me mantenia el ultimo usuario logeado como activo y bloqueaba a todos los demas. Ahi saque el DC_Agent e instale el TS_Agent en el mediador, y funciona (aparentemente) todo bien, salvo el montar recursos compartidos
Las politicas son comunes de autenticacion
Origen. interface = port1
IP = mediador
Destino: interface = port3
IP = subred, IP, grupos de IPs o subredes (dependiendo del grupo del usuario)
Usuario : Grupo al que pertenece en el AD el usuario en cuestion
Puertos: SMB, SAMBA, FTP, PING, RDP (dependiendo del usuario)
De estas politicas hay una por cada grupo de usuario del AD que necesita usar el mediador
Por caida autentica y permite, o no autentica y sigue a la próxima (versión de OS 5.2.2 , esta versión permite continuar ante la NO AUTENTICACION)
Autentica en alguna politica siempre (esto funciona bien) para todos los casos, SALVO en montar recurso compartido (SAMBA, SMB), que no autentica en ninguna y cae al DENY ALL (politica 0)
Necesito que autentique y deje montar recursos, y no se por que no lo hace
Saludos
Daniel
Paso a explicar un poco mejor el ambiente en que se producen estas situaciones.
Antes que nada aclaro que el que no funcione el "runass" no es demasido problematico, como vos decias, que se logee como corresponde y no ejecute el runass, ademas no es una falla de seguridad pues NO FUNCIONA, el trafico es bloqueado.
El que si me interesa y tampoco funciona es el montar una carpeta compartida por otro equipo windows.
El tema es asi:
Por razones de seguridad y auditoria, ciertos usuarios acceden a recursos internos (LAN to LAN) a través de un "mediador". Que es un mediador? un server windows que loguea y graba todo lo que ocurre en su entorno, cuando desde mi equipo dentro de la oficina quiero acceder o realizar algo en equipos o sistemas internos, realizo un Remote Desktop al mediadior, mi sesion va a ser grabada en video ademas de los logs normales del equipo enviados a un colector de logs.
El mediador esta detras de un Fortigate quien es el responsable de permitirme ir a diferentes subredes de la compañia mediante diferentes puertos o aplicaciones (poder saltar a ortro equipo por RDP, ejecutar o no un FTP, montar o no un recurso compartido, etc)
Al mediador acceden muchos usuarios en forma simultanea, lo primero que probe fue un FSSO con un DC_Agent en el DC pero lo que ocurria era que ante varios usuarios logueados en el mediador el FSSO solo me mantenia el ultimo usuario logeado como activo y bloqueaba a todos los demas. Ahi saque el DC_Agent e instale el TS_Agent en el mediador, y funciona (aparentemente) todo bien, salvo el montar recursos compartidos
Las politicas son comunes de autenticacion
Origen. interface = port1
IP = mediador
Destino: interface = port3
IP = subred, IP, grupos de IPs o subredes (dependiendo del grupo del usuario)
Usuario : Grupo al que pertenece en el AD el usuario en cuestion
Puertos: SMB, SAMBA, FTP, PING, RDP (dependiendo del usuario)
De estas politicas hay una por cada grupo de usuario del AD que necesita usar el mediador
Por caida autentica y permite, o no autentica y sigue a la próxima (versión de OS 5.2.2 , esta versión permite continuar ante la NO AUTENTICACION)
Autentica en alguna politica siempre (esto funciona bien) para todos los casos, SALVO en montar recurso compartido (SAMBA, SMB), que no autentica en ninguna y cae al DENY ALL (politica 0)
Necesito que autentique y deje montar recursos, y no se por que no lo hace
Saludos
Daniel
Re: TS_Agent no detecta el usuario al usar linea de comandos
hola, proba de setar el numero del protocolo del smb en
config user setting
edit <auth-table-entry-id>
set port <port_int>
set type telnet
end
end
y ver que pasa
config user setting
edit <auth-table-entry-id>
set port <port_int>
set type telnet
end
end
y ver que pasa
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst