Que tal, buenas tardes.
Les comento que tengo un Fortinet 60b con el FSAE configurado y los grupos del fortinet ya creados y me levanta los grupos sin ningun problema, hasta ahora todo muy lindo.
El problema es cuando queremos aplicarle distintas políticas a distintos grupos (algunos grupos pueden entrar a sitios que otros no).
1) Configuramos los User Group con los grupos del AD.
2) Luego en UTM - Web Filter - Profile creamos los distintos Profiles dandole a Block o Allow según sea necesario.
3) En Firewall - Policy hicimos una política (de any to any y la pusimos en primer lugar, arriba del wan) activando la opcion Enable Identity Based Policy, en Available User Groups pusimos el grupo que creamos en el 1, en Available Services le pusimos HTTP y HTTPS, activamos UTM y pusimos en el Enable Web Filter el perfil que creamos en el 2
Sin embargo cuando aplicamos la política me bloquea todos los sitios de web, incluso los que pusimos en el UTM Profile como Allow.
Revisando logs, el WebFilter log está vacíio.
En el Event Log figuran varios Authentication timed out y otros en FSAE-auth, AD group user failed authentication.
En User - Monitor - Firewall aparecen todos guest, method FSAE.
Alguna ayuda? Algo que estemos omitiendo?
Gracias!
Problema al configurar Web Filter con AD
Re: Problema al configurar Web Filter con AD
Hola como estas?? mm haber hay varias cosas por revisar.
que firmware tenes? que version de fsae?
el usuario lo ves autenticado en el fsae?? en el fortigate lo ves?
saludos
que firmware tenes? que version de fsae?
el usuario lo ves autenticado en el fsae?? en el fortigate lo ves?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema al configurar Web Filter con AD
Que tal Gabyrossi, gracias por la rápida respuesta!
Te comento:
Firmware: v4.0,build0315,110330 (MR2 Patch 5)
FSAE V: 3.5.047
En el FSAE, cuando voy a Show Logon Users me aparece correctamente la lista con las IP's, nombre de máquina y usuario de AD, todos dicen Status OK. así que asumo que el FSAE no es el problema, la conexión entre el AD y el FSAE parece funcionar bien, no?
En dónde puedo fijarme en fortigate?
En la parte de Logs, WebFilter está completamente vacío, Events está lleno de mensajes:
"notice auth 43014 FSAE-logon FSAE-logon event from *Domain*: user *Admin* logged on *IP*" "
Supongo que es el FSAE conectandose al Fortigate con el usuario y password que le pusimos para autenticarse entre ambos.
Users - Monitor - Firewall hoy está completamente vacío, ayer había una lista llena de "Guest"
Necesitas algun screenshot de algo? algun otro dato?
Desde ya muchas gracias, hace tiempo que estamos intentando hacerlo funcionar!
Te comento:
Firmware: v4.0,build0315,110330 (MR2 Patch 5)
FSAE V: 3.5.047
En el FSAE, cuando voy a Show Logon Users me aparece correctamente la lista con las IP's, nombre de máquina y usuario de AD, todos dicen Status OK. así que asumo que el FSAE no es el problema, la conexión entre el AD y el FSAE parece funcionar bien, no?
En dónde puedo fijarme en fortigate?
En la parte de Logs, WebFilter está completamente vacío, Events está lleno de mensajes:
"notice auth 43014 FSAE-logon FSAE-logon event from *Domain*: user *Admin* logged on *IP*" "
Supongo que es el FSAE conectandose al Fortigate con el usuario y password que le pusimos para autenticarse entre ambos.
Users - Monitor - Firewall hoy está completamente vacío, ayer había una lista llena de "Guest"
Necesitas algun screenshot de algo? algun otro dato?
Desde ya muchas gracias, hace tiempo que estamos intentando hacerlo funcionar!
Re: Problema al configurar Web Filter con AD
hola, como estas?
revisa por cli en diagnose deb auth fsae list
o diagnose deb auth fsae ?
es la web en user -> monitor -> deberias ver los usuarios que esta pasando por la politica de autenticacion.
saludos
revisa por cli en diagnose deb auth fsae list
o diagnose deb auth fsae ?
es la web en user -> monitor -> deberias ver los usuarios que esta pasando por la politica de autenticacion.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema al configurar Web Filter con AD
Que tal Rossi, cómo va?
Perdon la tardía respuesta, hubo otro problema que tuve que resolver y no pude seguir con este tema
Te comento que cuando tiro el comando diagnose deb auth fsae list en la lista me figuran solamente los usuarios que están conectados desde el servidor, con las ips de los servidores, solo dos usuarios.
----FSAE logons----
IP: 192.168.8.10 User: ADMIN1 Groups: CN=GRUPO_A_F.GATE2,OU=GRUPOSFGA,OU=BUENOSAIRES,OU=CRYSTAL,DC=CRYSTAL,DC=AR
IP: 192.168.8.20 User: ADMIN2 Groups: CN=GRUPO_A_F.GATE2,OU=GRUPOSFGA,OU=BUENOSAIRES,OU=CRYSTAL,DC=CRYSTAL,DC=AR
Total number of logons listed: 2, filtered: 0
----end of FSAE logons----
En user -> monitor no me aparece nada, está completamente vacío.
Sin embargo en el FSAE en Show Logon Users me aparecen correctamente todos los usuarios del dominio que están conectados, con su ip, nombre de maquina y del dominio, cn del grupo al que pertenecen y status OK.
Pareciera que el problema está en algun lado entre el FSAE y el fortigate, pero sin embargo el fortigate me levanta solamente los usuarios conectados desde los servidores (192.168.8.10 192.168.8.20), no sé donde revisar ya, alguna sugerencia?
Muchas gracias!
Perdon la tardía respuesta, hubo otro problema que tuve que resolver y no pude seguir con este tema
Te comento que cuando tiro el comando diagnose deb auth fsae list en la lista me figuran solamente los usuarios que están conectados desde el servidor, con las ips de los servidores, solo dos usuarios.
----FSAE logons----
IP: 192.168.8.10 User: ADMIN1 Groups: CN=GRUPO_A_F.GATE2,OU=GRUPOSFGA,OU=BUENOSAIRES,OU=CRYSTAL,DC=CRYSTAL,DC=AR
IP: 192.168.8.20 User: ADMIN2 Groups: CN=GRUPO_A_F.GATE2,OU=GRUPOSFGA,OU=BUENOSAIRES,OU=CRYSTAL,DC=CRYSTAL,DC=AR
Total number of logons listed: 2, filtered: 0
----end of FSAE logons----
En user -> monitor no me aparece nada, está completamente vacío.
Sin embargo en el FSAE en Show Logon Users me aparecen correctamente todos los usuarios del dominio que están conectados, con su ip, nombre de maquina y del dominio, cn del grupo al que pertenecen y status OK.
Pareciera que el problema está en algun lado entre el FSAE y el fortigate, pero sin embargo el fortigate me levanta solamente los usuarios conectados desde los servidores (192.168.8.10 192.168.8.20), no sé donde revisar ya, alguna sugerencia?
Muchas gracias!
Re: Problema al configurar Web Filter con AD
hola, revisa correctamente que los grupos autenticados sean los correctos.
no agregaste filtros dentro del fsae?
saludos
no agregaste filtros dentro del fsae?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema al configurar Web Filter con AD
Logramos solucionar eso.. era tan simple como darle al Clear Group Cache, ahora en la consola del fortigate con el comando diagnose deb auth fsae me figuran correctamente todos los usarios con sus grupos, y en user -> monitor -> firewall también, así que el tema de los usuarios y grupos ya está solucionado.
Sin embargo cuando aplico una política de internal to external me continúa bloqueando todos los sitios, incluso pusimos en Local Rating twitter para probar, y en el web filter profile del grupo le puse en la parte de Local Categories el rating que contiene Twitter y le puse Allow, aun así nada, me lo bloquea.
Estoy entiendo algo mal de cómo funciona el web filter profile? leí varias guías y docs y no encontré una que me expique bien el funcionamiento de eso.
Gracias!
Sin embargo cuando aplico una política de internal to external me continúa bloqueando todos los sitios, incluso pusimos en Local Rating twitter para probar, y en el web filter profile del grupo le puse en la parte de Local Categories el rating que contiene Twitter y le puse Allow, aun así nada, me lo bloquea.
Estoy entiendo algo mal de cómo funciona el web filter profile? leí varias guías y docs y no encontré una que me expique bien el funcionamiento de eso.
Gracias!
Re: Problema al configurar Web Filter con AD
hola, como estas?
solo necesitas una politica, y adentro vas agregando los grupos con los filtros para cada uno de ellos.
saludos
solo necesitas una politica, y adentro vas agregando los grupos con los filtros para cada uno de ellos.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema al configurar Web Filter con AD
que tal? lo que hacemos nosotros es en firewall crear una politica, ponemos enable identity based policy, tildamos fsae, en add agregamos el grupo que queremos monitorear y en servicios ponemos all, despues en utm web filter seleccionamos la politica para bloquear a ese grupo especifico, que te parece que estamos haciendo mal?
gracias
gracias
Re: Problema al configurar Web Filter con AD
hola, claro, pero solo en es apolitica iras agregando los grupos de ad con sus filtros como mencionas.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema al configurar Web Filter con AD
Nosotros tenemos dos isp, con sus politicas de wan 1 y wan 2, debemos crear politicas de bloqueo para cada wan?la politica de bloqueo la ponemos arriba o abajo de la de wan(all to all acept)?
Gracias
Gracias
Re: Problema al configurar Web Filter con AD
hola, si tenes mas de un enlace a internet, obviamente tendras uplicada la politica por las wanes.
claro, tendras la politica autenticada rriba de esa all to all, solo podras agregar alguna arriba cuando sea mas aprticular (una ip o rango).
slaudos
claro, tendras la politica autenticada rriba de esa all to all, solo podras agregar alguna arriba cuando sea mas aprticular (una ip o rango).
slaudos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst