Buenos días compañeros,
Soy nuevo en el foro, y nuevo con Fortinet. Dado que cambié de trabajo me obligan a certificarme cuanto antes en fortinet y claro, me surjen algunas dudas que estoy viendo en la maqueta que estoy montando.
El problema que tengo ahora es que me estoy liando mucho con el tema de Firewall authentication (identity-based policies) .
Os indico como esta mi "mini maqueta"
LAN -10.100.100.0/24 -------------------------WAN- 192.168.0.1/30-----------------------------------192.168.0.2/30 --ROUTER ADSL------------ NATEADO TODO HACIA LA 192.168.0.1-INTERNET
Estoy haciendo pruebas y me encuentro con muchos problemas con estas configuraciones de autenticación.
A día de hoy en la maqueta tengo 5 reglas aplicadas en sendido LAN-->WAN
Las 3 primeras son para denegar servicios tipo tracerouter, ICMP-any, etc etc y las ultimas reglas son con este objetivo:
4ª -Se trata de un permit total. He creado un grupo de usuarios y lo he añadido a esta regla marcando la opción identity based policy y añadiendola.
5ª- Un permit total pero solo para gente que no esté identificada en la que hago restricciones.
El problema es que una vez que lo estoy probando y intento navegar, me sale el famoso cuadro de logueo. Si me logueo, todo es correcto, tego acceso total. Mi duda es que una vez que estoy identificado las 3 primeras reglas que tenía no hacen matching ahora ( antes si lo hacían y no podía hacer tracerts, ping etc ). ¿Por qué sucede esto ? Entiendo que tambien debian ser evaluadas...
La otra duda es que no sé comoe evaluar la ultima regla. Lo digo porque yo entiendo que si fallase el logueo debería de saltarse la regla y entrar por la última, para la que tiene como objetivo los invitados. El problema es que el logueo aparece siempre, aunque falle 100 veces seguidas, y no veo por ningún lado donde configurar el parametros de intentos máximos antes de dar por fallida la autenticación ( lo hice por consola pero sigue igual ... ) y que pase a la última
Perdonad si no me he explicado bien, pero ya he revisado documentación y probado cosas y no veo la solución. Se me engancha constantemente todo en esa regla y no sé como hacer. Igual tampoco tengo claro al 100% el funcionamiento me da a mi,..
Duda con Firewall authentication (identity-based policies)
Re: Duda con Firewall authentication (identity-based policie
hola, si tu regla donde aplicas identity-based policies el soruce es any, todas saldran por ahi.
sean usuaruos que esten en el grupo y los que no esten no tendran navegacion.
o aplicas un guest user. o profile guest. (dependiendo del firmwara que tengas).
saludos
sean usuaruos que esten en el grupo y los que no esten no tendran navegacion.
o aplicas un guest user. o profile guest. (dependiendo del firmwara que tengas).
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Duda con Firewall authentication (identity-based policie
Poder podría filtrar el origen especificando la red desde la que van a acceder los usuarios, pero imaginate la red es una 192.168.0.0/24 y solo tengo 5 usuarios creados. Es decir , si la red estuviese bastante llena tendría el mismo problema. Los usuarios que no tengan usuario local a mi no me interesa que tengan salida total y por eso al no tener una autenticación satisfactoria coincidirian con la última regla de acceso más restringido.
Si entran en una regla con sus sub-reglas entiendo que si no coinciden con ninguna debería de seguir evaluando...
Si entran en una regla con sus sub-reglas entiendo que si no coinciden con ninguna debería de seguir evaluando...
Re: Duda con Firewall authentication (identity-based policie
Hola, no la politica autenticada es asi, solo una y deberias poner ahi dentro los grupos/usuarios que quieran salir autenticados con x filtros, los demas podrias usar el gurpo guest_user para salir con otros filtros.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst