Firewall Notification 85

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Firewall Notification 85

Mensaje por kakito »

Hola comunidad!

Actualmente me esta saliendo contacte mente la siguiente notificación (Adjunto Imagen) Imagen.


Lo cual se ha vuelto el día día donde laboro. Para que pueda navegar tengo que realizar un Gpupdate /force o Gpupdate /sync para que pueda navegar, hay vece que eso no funciona por lo cual debo que borrar el equipo del DNS del dominio. Alguien le ha pasado esto? y como lo ha solucionado.

Ojala y me pueda ayudar ya que el error se ha vuelto muy contante y diario a mas de 10 usuario se esta quejado.

Gracias!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Firewall Notification 85

Mensaje por gabyrossi »

hla, estas autenticado la politica usando fsso ?

parece un tema de dns, eso pasa cuando cambia la pc de ip? o cada x tiempo que se esta usando?

revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

gabyrossi escribió: 20 Abr 2017, 15:43 hla, estas autenticado la politica usando fsso ?

parece un tema de dns, eso pasa cuando cambia la pc de ip? o cada x tiempo que se esta usando?

revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado.

saludos
Hola

Como puedo verificar lo de la politica de FSSO.

El lease de DHCP lo esta haciendo cada 8 dia. Pero e notado que el incoveniente solo sucede con los mismo usuario que para solucionarlo borramos los equipo de DNS y le realizamos un gpupdate y reinciamos la Pc para que pueda navegar.

Sobre los puerto debo verificar esa parte.

Gracias por tu tiempo.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Firewall Notification 85

Mensaje por Garsa »

Hola Kakito,

nos puedes dar un visual te tu politica 85?

saludos,

Garsa
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

Saludos...

Donde puedo visualizar la política. Y disculpa por mi inexperience sucede que eso lo maneja el area de networking y mi area es infraestructura. Esa política se visualiza directamente desde fortinet..

Gracias por tu respuesta!
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Firewall Notification 85

Mensaje por Garsa »

Hola Kakito,

Si puedes inicar session en el Fortigate GUI y buscas la politica con ID 85 (no te confungas con el numero de SEQUENCIA que tambien esta ahi)
O por el CLI, inicias session por SSH y ejecutas lo siguiente:

show firewall policy 85

Saludos,

Garsa
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

Garsa escribió: 24 Abr 2017, 21:37 Hola Kakito,

Si puedes inicar session en el Fortigate GUI y buscas la politica con ID 85 (no te confungas con el numero de SEQUENCIA que tambien esta ahi)
O por el CLI, inicias session por SSH y ejecutas lo siguiente:

show firewall policy 85

Saludos,

Garsa
Hola

Mira lo que me lanzo el comando que me sugeriste.

Imagen


Si vez algo raro me avisa.

Gracias de antemano
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Firewall Notification 85

Mensaje por Garsa »

Hola Kakito,

Esa parace ser tu DENY rule. Lo que me dice que tal vez tienes un IDENTITY BASED rule (para autenticaction) que en ciertas ocaciones no coge tu trafico y al final la que coge tu trafico es la 85 DENY.

Vamos a confirmar la teoria de Gabyrossi. dame el output del siguiente comando porfa..este talvez sea mas largo.

show firewall policy | grep -f fsso

Saludos,

Garsa
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

Garsa escribió: 25 Abr 2017, 18:50 Hola Kakito,

Esa parace ser tu DENY rule. Lo que me dice que tal vez tienes un IDENTITY BASED rule (para autenticaction) que en ciertas ocaciones no coge tu trafico y al final la que coge tu trafico es la 85 DENY.

Vamos a confirmar la teoria de Gabyrossi. dame el output del siguiente comando porfa..este talvez sea mas largo.

show firewall policy | grep -f fsso

Saludos,

Garsa

Mira cual mensaje me lanza
Imagen
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Firewall Notification 85

Mensaje por moler »

Tiene que ser un tema de DNS, porque el Firewall solo tiene lo que le manda el agente que esta instalado en el DC, deberias chequear en que modo esta instalado el agente, si el usuario autentica contra el DC donde esta instalado el agente y en el momento del problema debes chequear en el agente de fsso, creo que en show users, fijate si la IP esta asociada al usuario, seguramente no, debe figurar como guest. Y ahi ya hay que revisar lo que comentaron al principio, revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado. No es un tema de firewall.
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

moler escribió: 26 Abr 2017, 22:41 Tiene que ser un tema de DNS, porque el Firewall solo tiene lo que le manda el agente que esta instalado en el DC, deberias chequear en que modo esta instalado el agente, si el usuario autentica contra el DC donde esta instalado el agente y en el momento del problema debes chequear en el agente de fsso, creo que en show users, fijate si la IP esta asociada al usuario, seguramente no, debe figurar como guest. Y ahi ya hay que revisar lo que comentaron al principio, revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado. No es un tema de firewall.

Voy a verificar todo. Ya pude ver que los puerto esta habilitado. Pero el servicio de registro remoto no esta habilitado voy a realizar todas esa prueba.

Por cierto para que funciona el registro remoto con el Fortinet?
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Firewall Notification 85

Mensaje por Garsa »

Hola Kakito,

Esto ya se ve mas grande. Por lo que veo ademas del FSSO (autenticacion de usuario) tambien estas haciendo filtro de dispositivo.
Basándome en lo que dices que debes hacer para poder volver a tener internet, creo que el problema puede estar en la identificacion de los dispositivos.

Como dice moler, el DNS es tambien otros factor.

De los usuarios que se quejan, en que red trabajan? Wifi o wired? y cuando se quejan, sabes si han cambiado de una a otra? O si talvez estaban trabajando en VPN fuera de la oficina?

Un workaround que puedes intentar, asumiendo que tu problema es como dice moler, con dns y los eventos de sesion incorrectos en el fortigate, puedes habilitar NTLM en tu politica 105 (o las demas que usen FSSO). Esto lo que hace es que si el usuario navega, y no el foritgate no tiene el login even para este, en vez de mandarlo al DENY policy 85, le va a presentar un NTLM challenge, es decir le va a pedir usuario y contraseña por medio del navegador.
Para esto solo debes añadir " set ntlm enable " en las politicas con FSSO.

Espero te ayude,

Saludes,

Garsa
kakito
Mensajes: 7
Registrado: 19 Abr 2017, 14:54

Re: Firewall Notification 85

Mensaje por kakito »

Garsa escribió: 27 Abr 2017, 15:46 Hola Kakito,

Esto ya se ve mas grande. Por lo que veo ademas del FSSO (autenticacion de usuario) tambien estas haciendo filtro de dispositivo.
Basándome en lo que dices que debes hacer para poder volver a tener internet, creo que el problema puede estar en la identificacion de los dispositivos.

Como dice moler, el DNS es tambien otros factor.

De los usuarios que se quejan, en que red trabajan? Wifi o wired? y cuando se quejan, sabes si han cambiado de una a otra? O si talvez estaban trabajando en VPN fuera de la oficina?

Un workaround que puedes intentar, asumiendo que tu problema es como dice moler, con dns y los eventos de sesion incorrectos en el fortigate, puedes habilitar NTLM en tu politica 105 (o las demas que usen FSSO). Esto lo que hace es que si el usuario navega, y no el foritgate no tiene el login even para este, en vez de mandarlo al DENY policy 85, le va a presentar un NTLM challenge, es decir le va a pedir usuario y contraseña por medio del navegador.
Para esto solo debes añadir " set ntlm enable " en las politicas con FSSO.

Espero te ayude,

Saludes,

Garsa

Hola!

Todos los usuario que se ha quejado esta en la Red local y no ha cambiado de ninguna computadora. Voy hablar con el encargado de Segurida para realizar el Workaround. Por cierto el dia de hoy a los usuario que han llamado e verificado el registro remoto y lo tenia manual, lo puse automatico y lo inicie y me ha funcionado. Pero voy a verificar con el workaround a ver si llego a otra solucion.\

Gracias
Responder