que tal, aqui tengo instalado un fortigate 100A y no se como configurarlo para el bloqueo de paginas web y msn, alguien me podria ayudar en este tema, ya que la persona que antes tenia este puesto no lo hizo y no se mucho de este tema.
Gracias
Configuracion Fortigate 100A
-
ReoxHarpell
- Mensajes: 10
- Registrado: 18 Jun 2009, 10:16
Re: Configuracion Fortigate 100A
Buenas,
Para orientarte cuelga un backup de la configuración y una captura de la pestaña de politicas de firewall, la versatilidad de esta electronica hace muy dificil facilitar un procedimiento generico para la mayoria de operaciones.
Un saludo.
Para orientarte cuelga un backup de la configuración y una captura de la pestaña de politicas de firewall, la versatilidad de esta electronica hace muy dificil facilitar un procedimiento generico para la mayoria de operaciones.
Un saludo.
Re: Configuracion Fortigate 100A
Hola como estas? Para el msn lo podes bloquear facilmente, y lo del filtrado web, dependiendo si tenes licencias activas del fortiguard webfiltering o no, podras bloquear de una manera mas facil o de otra un poco mas trabajosa.
te dejo unos link que pueden ayudarte:
Esta es una pagina en español, que puede ayudarte bastante como para que tengas una idea. no esta muy actulizada, pero para cosas generales te va a ayudar
[Debes identificarte para poder ver enlaces.]
Manuales de fortigate
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
te dejo unos link que pueden ayudarte:
Esta es una pagina en español, que puede ayudarte bastante como para que tengas una idea. no esta muy actulizada, pero para cosas generales te va a ayudar
[Debes identificarte para poder ver enlaces.]
Manuales de fortigate
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Configuracion Fortigate 100A
Con su permiso voy a utilizar este tema para solicitarle una ayuda con un fortigate del mismo modelo, soy novato con este firewall
Quiero bloquear los usuarios con el FSAE pero al configurar la politica y agregar el grupo a la autentificacion, dejo de tener internet en todos los usuarios
En DC cree un grupo con Global y security y me agregue a este grupo
luego lo actualize en el fortigate y me lo registro
cree el grupo en el firewall colocando perfil de unfiltered
internal > wan2
Politica Origen y destino > all
horario > always
service > any
perfil >
accion > accept
Este le agregue en la autentificacion y al momento de activar la politica me deja sin internet,
Despues de esta regla existe una igual lo unico con el perfil > scan y sin la autentificacion y esta si tiene internet para todos los usuarios
Le agradezco toda la orientación con este tema
Quiero bloquear los usuarios con el FSAE pero al configurar la politica y agregar el grupo a la autentificacion, dejo de tener internet en todos los usuarios
En DC cree un grupo con Global y security y me agregue a este grupo
luego lo actualize en el fortigate y me lo registro
cree el grupo en el firewall colocando perfil de unfiltered
internal > wan2
Politica Origen y destino > all
horario > always
service > any
perfil >
accion > accept
Este le agregue en la autentificacion y al momento de activar la politica me deja sin internet,
Despues de esta regla existe una igual lo unico con el perfil > scan y sin la autentificacion y esta si tiene internet para todos los usuarios
Le agradezco toda la orientación con este tema
Re: Configuracion Fortigate 100A
Hola, cuando se autentican usuarios con el ad mediante fsae, solo se hace una politica y adentro pones tooodos los grupos nesacarios cada uno con su profile. Obviamente en tu caso podrias tener solo 2 grupos, uno con los bloqueos y el otro libre. Pero cada grupo con su profile.
Esto solo se hace en una politica, las demas, no las va a tomar.
saludos
Gabriel
Esto solo se hace en una politica, las demas, no las va a tomar.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Configuracion Fortigate 100A
Gracias por contestarme Gabriel, hice 2 grupos, uno avanzado y otro básico en el profile le deje los que trae por defecto scan y unfiltred, en ambos caso me deja sin conexión a Internet a todos los usuarios de la red.
La otra regla que te mencione es la que se esta utilizando por el momento tiene el perfil SCAN y esta si tiene Internet pero no solicita autentificar
internal > wan2
Política
Origen y destino > all
horario > always
service > any
perfil > SCAN
accion > accept
Existe alguna manera de verificar si la comunicación esta correcta entre el firewall y el FSAE.
Saludos y gracias por la colaboración
La otra regla que te mencione es la que se esta utilizando por el momento tiene el perfil SCAN y esta si tiene Internet pero no solicita autentificar
internal > wan2
Política
Origen y destino > all
horario > always
service > any
perfil > SCAN
accion > accept
Existe alguna manera de verificar si la comunicación esta correcta entre el firewall y el FSAE.
Saludos y gracias por la colaboración
Re: Configuracion Fortigate 100A
Hola, como estas? Solo tenes un Ad/Dc ????????? Instalaste el fase con el ageste y el colector? y rebuteaste el server ?
probaste por consola di ves usuarios logueados??
Comandos para ver autenticación AD cuando se usa el FSAE
Antes de correr cualquier comando “diagnose debug” hay que habilitar con “diagnose debug enable”
#diagnose debug authd fsae <opciones>
las <opciones> son:
clear-logons limpia información de logon
list lista logons actuales 'vivos'
refresh-groups refrescar los mapeos de grupos
refresh-logons re-sincronizar la base de datos de logons
server-status muestra status de la conexion con server FSAE
summary resumen de los logons actuales
#diagnose debug authd <opciones>
las <opciones> son:
clear limpia las estructuras de datos internas y sesiones vivas'
fsae módulo cliente FSAE
Notas sobre Autenticación:
La duración de la autenticación de una política se configura por default en “system global timeout” y es de 15 minutos.
El timeout de una política esta definido por el comando “config system session-ttl” y se ajusta por puerto. El valor mínimo es 300 segundos (5 minutos) y el máximo 8 horas.
Hay que ser coherente entre los valores asignados a “system global timeout” y al system session-ttl” para el port en cuestión.
En los Domain Controller donde están o esta instalado el FSAE hay que ajustar como se requiera el parámetro “Dead entry timeout interval”. Por default esta en 480 minutos
(8 horas). Eso implica que quedaran en tabla todos los usuarios autenticados alguna vez con su IP correspondiente hasta que esa IP expire.
Podes pegar algun print de pantala de las politicas? y su edicion?
saludos
probaste por consola di ves usuarios logueados??
Comandos para ver autenticación AD cuando se usa el FSAE
Antes de correr cualquier comando “diagnose debug” hay que habilitar con “diagnose debug enable”
#diagnose debug authd fsae <opciones>
las <opciones> son:
clear-logons limpia información de logon
list lista logons actuales 'vivos'
refresh-groups refrescar los mapeos de grupos
refresh-logons re-sincronizar la base de datos de logons
server-status muestra status de la conexion con server FSAE
summary resumen de los logons actuales
#diagnose debug authd <opciones>
las <opciones> son:
clear limpia las estructuras de datos internas y sesiones vivas'
fsae módulo cliente FSAE
Notas sobre Autenticación:
La duración de la autenticación de una política se configura por default en “system global timeout” y es de 15 minutos.
El timeout de una política esta definido por el comando “config system session-ttl” y se ajusta por puerto. El valor mínimo es 300 segundos (5 minutos) y el máximo 8 horas.
Hay que ser coherente entre los valores asignados a “system global timeout” y al system session-ttl” para el port en cuestión.
En los Domain Controller donde están o esta instalado el FSAE hay que ajustar como se requiera el parámetro “Dead entry timeout interval”. Por default esta en 480 minutos
(8 horas). Eso implica que quedaran en tabla todos los usuarios autenticados alguna vez con su IP correspondiente hasta que esa IP expire.
Podes pegar algun print de pantala de las politicas? y su edicion?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst