debug politica OS 5.2.11

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
nery
Mensajes: 4
Registrado: 12 Jun 2018, 20:01

debug politica OS 5.2.11

Mensaje por nery »

Buena tarde, brothers and Sisters.


Estoy trabajando con un fortigate con la version OS 5.2.11 el asunto es crear una politica que deniegue solo a un rango de direcciones IP (ipv4) el acceso a internet y a cuaquier otro servicio.

Para lo cual hice lo siguiente:

1.-Genere el rango 10.10.100.1-10.10.100.50

2.-se creo la politica con los parametros
desde: any hacia: any origen: 10.10.100.1-10.10.100.50 destino: all horario: always servicio: all Accion: Denegar

3.-En Policy & Objects---IPV4 coloque la politica anteriormente creada hasta arriba por encima de todas las politicas que tengo creadas.

La politica no esta siendo aplicada ya que verifico los contadores de la politica y esta en Cero paquetes. probe desde un equipo dentro del rango denegado con la IP 10.10.100.7 y navega por internet sin que se le aplique la politica de deneger el acceso.

Posterior defini el dispositivo agregando su MAC ADDRESS, lo defini como dispositivo y lo agregue a la politica pero tampoco surtio efecto el equipo sigue navegando sin que se le denigue el acceso.

Siguiendo la teoria de fortigate dice que la forma en que aplica las politicas es de arriba hacia abajo en mi caso no se si se deba a algun bug. Espero alguien pueda colaborarme y saber si me esta faltando algo o en su defecto me podran compartir algun documento o articulo de como hacer un debbug de mi politica y comprobar donde estoy fallando?

Gracias a todos.

Nery.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: debug politica OS 5.2.11

Mensaje por Felipe »

Buenas,

Es posible que el error se produzca porque estés diciendo que aplique la política desde cualquier interfaz a cualquier interfaz. Yo lo que haría sería definir una política que deniegue las conexiones desde la interfaz interna (donde estén los PCs con las IPs que deseas bloquear) hasta la interfaz WAN para IP origen el rango indicado y destino all.

Espero que te sirva, saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: debug politica OS 5.2.11

Mensaje por gabyrossi »

hola, estas seguro que sale por esa wan? solo tenes una wan?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
nery
Mensajes: 4
Registrado: 12 Jun 2018, 20:01

Re: debug politica OS 5.2.11

Mensaje por nery »

Hola Felipe/Gaby les agradezco infinitamente sus respuestas:

Siguiendo sus consejos, encontre una politica que permite todo en el fondo del menu justo un peldaño antes de la poltica deny all

la politica que permite todo es:
desde: interfaz interna
hacia: wan
origen: all
destino: all
horario: always
servicio: all
accion: permitir


SIguiendo la teoria de fortiOS menciona que aplicara las politicas de arriba hacia abajo? (estoy en lo correcto o me falta algo que pase por alto?)

defini un rango de direccionamiento IP 20.20.20.0/24 en el menu objetos, despues agregue un host de este rango (20.20.20.80/32) a la politica que esta hasta arriba para denegar el acceso a internet. observando los logs este host navega y se le aplica la politica que permite todo, me pregunto por que no esta tomando la primera politica que le deberia denegar el acceso.

PD: 1 es correcto como mencionaba como fortiOS aplica las politicas de arriba hacia abajo?
PD: 2 un objeto puede ser miembro de varias politicas a la ves?
PD: 3 si un objeto es miembro de varias politicas a la ves, cual politica se aplica primero?
PD: 4 las politicas tienen prioridad unas sobre otras?

Muchas gracias a todos por su atencion.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: debug politica OS 5.2.11

Mensaje por Felipe »

Buenas,

Te respondo a las preguntas:

1. En efecto, el Fortigate resuelve las políticas por orden de arriba a abajo.
2. Un objeto puede aparecer en todas las políticas en las que sea necesario. Te en cuenta que puedes tener varias interfaces y que desees que un equipo se conecte a las distintas interfaces (al menos una política por cada una de las interfaces).
3. En el caso de que el objeto en cuestión esté vinculado a más de una política con interfaz origen y destino igual se ejecutará la que esté más arriba.
4. El orden de las mismas, aunque existen las policy routes que se ejecutan antes que el resto de políticas.

Saludos.
Responder