Buenas,
El nombre no es muy claro, pero es que no se me ocurría algo mejor. Continuando trabajando en la línea del anterior post (aún no he resuelto el tema de una única sesión simultánea), el cliente nos ha solicitado que añadamos una nueva condición al uso de la VPN para sus usuarios, el tiempo que pueden estar conectados.
El cliente tiene un servicio de directorios en el que ha creado a los usuarios y una serie de grupos.
Los grupos son:
4 que indican los servicios (puertos) a los que deben tener acceso los miembros de dicho grupo. Que era lo único que teníamos que resolver hasta ahora.
5 que indican el horario en que dichas conexiones deben estar activas.
Obviamente los usuarios pueden pertenecer a cualquier combinación de los grupos anteriores, es decir, el usuario Pepe tiene acceso a los servicios 1 y pertenece al grupo de tiempo 3. Manolo tiene acceso a los servicios 3 y también pertenece al grupo de tiempo 3, etc.
He intentado definir el acceso en tiempo en la primera regla de la SSL-VPN para luego ya identificado el grupo de tiempo en la interfaz ssl-root realizar una política basada en identidades que me identificara el tipo de servicio al que el usuario logeado tiene acceso. Pero no funciona, no establece bien el túnel. No sé por qué la verdad, estoy probando varias alternativas sin mucho éxito y empiezo a quedarme sin ideas.
¿Alguna sugerencia? Gracias por vuestra ayuda
Comprobar dos membresías para conexión VPN
Re: Comprobar dos membresías para conexión VPN
hola, la politica de wan a internal es norla sin tiempo....
luego la politica de sslroot a la intera ahi tendras tantas como sea posible...ccon horariosm sin horias, disitnots ip, disitntos puertos.
como lo manejas? a cada grupo de ssl de usuarios la das un pool de direcciones ip diferentes. eso lo haces directamente en la confi de la vpn ssl dentro del portal.
luego las politicas que te mencione antes sera del sslroot (pool que hayas mencionado en el portal para esas politicas)
creo que es lo que necesitas
saludos
luego la politica de sslroot a la intera ahi tendras tantas como sea posible...ccon horariosm sin horias, disitnots ip, disitntos puertos.
como lo manejas? a cada grupo de ssl de usuarios la das un pool de direcciones ip diferentes. eso lo haces directamente en la confi de la vpn ssl dentro del portal.
luego las politicas que te mencione antes sera del sslroot (pool que hayas mencionado en el portal para esas politicas)
creo que es lo que necesitas
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Comprobar dos membresías para conexión VPN
Buenas,
muchas gracias por la ayuda la verdad es que estoy un poco bloqueado.
Yo lo he configurado de la siguiente forma:
En la política desde fuera a la interna la acción es SSL-VPN y he introducido en User Group los grupos de tiempo (dependientes del LDAP); a cada uno de esos grupos de tiempo les he creado un portal diferente y le he asignado un segmento de IPs distintos para poder diferenciarlos en la interfaz ssl.root.
Una vez dentro de la interfaz ssl.root lo que yo pretendo es que me vuelva a discriminar por identidades para decidir cuales son los servicios que pueden ser accedidos (el tiempo ya no es un problema puesto que cada segmento de IPs está asociado a uno de los grupos de tiempo que discriminamos en la primera política y puedo aplicarlo a esta política) .
Luego, en la política pongo que esté basada en identidades y que discrimine entre los 4 grupos de servicios para ver los servicios disponibles para el usuario. Y en este punto es donde estoy bloqueado, porque no me responden los puertos que deberían estar abiertos para el usuario de prueba. No sé si es que el firewall necesita otra autenticación y cómo no estoy utilizando el programa que permite el servicio no lo estoy viendo o no sé que puede estar pasando.
Muchas gracias por tu ayuda. Seguiré indagando.
Saludos.
muchas gracias por la ayuda la verdad es que estoy un poco bloqueado.
Yo lo he configurado de la siguiente forma:
En la política desde fuera a la interna la acción es SSL-VPN y he introducido en User Group los grupos de tiempo (dependientes del LDAP); a cada uno de esos grupos de tiempo les he creado un portal diferente y le he asignado un segmento de IPs distintos para poder diferenciarlos en la interfaz ssl.root.
Una vez dentro de la interfaz ssl.root lo que yo pretendo es que me vuelva a discriminar por identidades para decidir cuales son los servicios que pueden ser accedidos (el tiempo ya no es un problema puesto que cada segmento de IPs está asociado a uno de los grupos de tiempo que discriminamos en la primera política y puedo aplicarlo a esta política) .
Luego, en la política pongo que esté basada en identidades y que discrimine entre los 4 grupos de servicios para ver los servicios disponibles para el usuario. Y en este punto es donde estoy bloqueado, porque no me responden los puertos que deberían estar abiertos para el usuario de prueba. No sé si es que el firewall necesita otra autenticación y cómo no estoy utilizando el programa que permite el servicio no lo estoy viendo o no sé que puede estar pasando.
Muchas gracias por tu ayuda. Seguiré indagando.
Saludos.
Re: Comprobar dos membresías para conexión VPN
hola, no eso no podras hacerlo, tendrias que hacer en tu server....
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Comprobar dos membresías para conexión VPN
Buenas de nuevo,
sigo trabajando con esto. Si modifico el servicio de directorio del cliente creando nuevas unidades organizativas (una por grupo de tiempo por ejemplo) consigo realizar la discriminación, pero el cliente me ha solicitado que el directorio activo se quede como está. Por tanto he vuelto a un punto muerto.
Voy a intentar ser más claro esta vez por si a alguien se le ocurre una alternativa.
Mi cliente tiene en su servicio de directorio unos usuarios creados. A su vez en otra rama diferente a donde tiene almacenados los usuarios ha creado un conjunto de grupos (5 de tiempo y 4 de servicios). La cuestión es que cada usuario puede pertenecer a cualquier grupo de tiempo y a cualquier servicio (incluso me ha sugerido el cliente que puede tener acceso a más de un grupo de servicios, aunque esto de momento es secundario, podría solucionarse creando nuevos grupos de conjuntos de servicios).
¿Qué ocurre?
La autenticación me la realiza correctamente
diagnose test authserver ldap Servidor_LDAP_Cedin jose xxxxxxxx
authenticate 'jose' against 'Servidor_LDAP_Cedin' succeeded!
memberof - CN=G_prueba,OU=Servicios,OU=CEDIN,DC=cedin,DC=local
CN=GrupoTime1,CN=Users,DC=cedin,DC=local
CN=G_AutoDESK,OU=CEDIN,DC=cedin,DC=local
Me indica los grupos a los que pertenece cada uno de los usuarios, lo cual es genial. El problema es que a la hora de definir los grupos del firewall dependiendo del grupo al que pertenece en el ldap no veo claro como hacerlo para que el resultado sea único (no se puede realizar un AND que es lo que yo busco). Es decir yo necesito que el firewall sepa que este usuario en particular tiene acceso a los servicios Autodesk a las horas determinadas por el grupo de tiempo 1. ¿Podría aplicarse el AND en la regla del firewall?
Estoy intentando realizarlo con una VPN SSL y aunque tiene dos pasos no es posible configurar el segundo paso para que vuelva a discriminar por uno de los grupos.
sigo trabajando con esto. Si modifico el servicio de directorio del cliente creando nuevas unidades organizativas (una por grupo de tiempo por ejemplo) consigo realizar la discriminación, pero el cliente me ha solicitado que el directorio activo se quede como está. Por tanto he vuelto a un punto muerto.
Voy a intentar ser más claro esta vez por si a alguien se le ocurre una alternativa.
Mi cliente tiene en su servicio de directorio unos usuarios creados. A su vez en otra rama diferente a donde tiene almacenados los usuarios ha creado un conjunto de grupos (5 de tiempo y 4 de servicios). La cuestión es que cada usuario puede pertenecer a cualquier grupo de tiempo y a cualquier servicio (incluso me ha sugerido el cliente que puede tener acceso a más de un grupo de servicios, aunque esto de momento es secundario, podría solucionarse creando nuevos grupos de conjuntos de servicios).
¿Qué ocurre?
La autenticación me la realiza correctamente
diagnose test authserver ldap Servidor_LDAP_Cedin jose xxxxxxxx
authenticate 'jose' against 'Servidor_LDAP_Cedin' succeeded!
memberof - CN=G_prueba,OU=Servicios,OU=CEDIN,DC=cedin,DC=local
CN=GrupoTime1,CN=Users,DC=cedin,DC=local
CN=G_AutoDESK,OU=CEDIN,DC=cedin,DC=local
Me indica los grupos a los que pertenece cada uno de los usuarios, lo cual es genial. El problema es que a la hora de definir los grupos del firewall dependiendo del grupo al que pertenece en el ldap no veo claro como hacerlo para que el resultado sea único (no se puede realizar un AND que es lo que yo busco). Es decir yo necesito que el firewall sepa que este usuario en particular tiene acceso a los servicios Autodesk a las horas determinadas por el grupo de tiempo 1. ¿Podría aplicarse el AND en la regla del firewall?
Estoy intentando realizarlo con una VPN SSL y aunque tiene dos pasos no es posible configurar el segundo paso para que vuelva a discriminar por uno de los grupos.
Re: Comprobar dos membresías para conexión VPN
hola, de nuevo...
la autenticacion la haces al iniciar la vpn, una vez que se autentico listo....
lo demas dependera de la polticia de ssl, (ssl.root ->internal) ya sea por ip de grupo vpn, servicio, destino,schedule
Como dije lo demas tendras que hacere permisos en las carpetas destino del o los server
saludos
la autenticacion la haces al iniciar la vpn, una vez que se autentico listo....
lo demas dependera de la polticia de ssl, (ssl.root ->internal) ya sea por ip de grupo vpn, servicio, destino,schedule
Como dije lo demas tendras que hacere permisos en las carpetas destino del o los server
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Comprobar dos membresías para conexión VPN
Buenas,
Al final logré resolver este problema aunque fue a costa de un segundo login. Primero se levanta el túnel y se le asigna una IP del pool de IPs asignados en el portal. Una vez dentro lo que creé fue una política desde la interfaz sslvpn hasta el servidor interno basada en identidad. Poniendo todas las reglas de los diferentes grupos en la misma política, detecta que pertenece a más de un grupo y concede el acceso a los servicios en el horario indicado (permitiéndome todas las combinaciones posibles). El único problema es que hay que habilitar un servicio de autenticación, vía TELNET, FTP, HTTP o HTTPS y solicitarle al cliente que vuelva a logearse (para realizar la autenticación frente al firewall).
Espero que le sirva a alguien. Saludos,
Al final logré resolver este problema aunque fue a costa de un segundo login. Primero se levanta el túnel y se le asigna una IP del pool de IPs asignados en el portal. Una vez dentro lo que creé fue una política desde la interfaz sslvpn hasta el servidor interno basada en identidad. Poniendo todas las reglas de los diferentes grupos en la misma política, detecta que pertenece a más de un grupo y concede el acceso a los servicios en el horario indicado (permitiéndome todas las combinaciones posibles). El único problema es que hay que habilitar un servicio de autenticación, vía TELNET, FTP, HTTP o HTTPS y solicitarle al cliente que vuelva a logearse (para realizar la autenticación frente al firewall).
Espero que le sirva a alguien. Saludos,
Re: Comprobar dos membresías para conexión VPN
Hola, asi es, algun servicio autenticable asi reconoce el login.
gracias
saludos
gracias
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst