Buen dia, tengo un equipo Fortiwifi 20C-ADSL-A v5.0 Patch 3, estoy teniendo problemas para bloquear sitios HTTPS, le eh dado mucha busqueda en internet sobre todo a este foro.
Hey leido acerca de ir a "SSL/SSH Inspection" pero el arbol de Policy, solo me muestra la rama Policy y nada mas.
No me permite crear un perfil de web filtering como versiones anteriores y tampoco tiee la opcion de scaneo de HTTPS como otras versiones
Alguien ah podido bloquear HTTPS en este equipo?
anexo imagenes del menu de mi fwf.
[Debes identificarte para poder ver enlaces.]
Tampoco esta el menu para ver o bajar los certificados que se deben instalar en las computadoras.
Bloqueo de Paginas HTTPS
Re: Bloqueo de Paginas HTTPS
Busca ayuda en la variedad de recursos que te ofrece Fortinet:
1- kb.fortinet.com
2- docs.fortinet.com
3- support.fortinet.com (Loggin con usuario con el cual se registro el Fortigate o equipo Fortinet)
4-video.fortinet.com
5- support.fortinet.com/forum (Foro Oficial de Fortinet)
Saludos
1- kb.fortinet.com
2- docs.fortinet.com
3- support.fortinet.com (Loggin con usuario con el cual se registro el Fortigate o equipo Fortinet)
4-video.fortinet.com
5- support.fortinet.com/forum (Foro Oficial de Fortinet)
Saludos
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Bloqueo de Paginas HTTPS
Buenas, Si entiendo bien, lo que queres hacer es bloquear todos los sitios con https no? Quiza ya la pensaste, pero si aplicas una politica bloqueando el puerto 443?
Saludos!
Saludos!
Re: Bloqueo de Paginas HTTPS
iescudero escribió:Buenas, Si entiendo bien, lo que queres hacer es bloquear todos los sitios con https no? Quiza ya la pensaste, pero si aplicas una politica bloqueando el puerto 443?
Saludos!
No todos los sitios, solo redes sociales, pero ya quedo. Solo que ahora cualquier sitio https me manda la advertencia del certificado, y no logro bajarlo desde el fortiwifi.
Re: Bloqueo de Paginas HTTPS
Buenas, en el caso de que quieras bloquear solo las redes sociales, lo que tenes que hacer es aplicar un UTM, web filter para ser mas preciso.
1) Creas el perfil:
config webfilter profile
edit "Social_Networks"
set options https-scan
config ftgd-wf
set options strict-blocking redir-block
config filters
edit 1
set action block
set category 37
next
end
end
next
end
2) Lo aplicas en la politica
config firewall policy
edit 1
set srcintf "LAN"
set dstintf "Internet"
set srcaddr "all"
set dstaddr "all"
set action accept
set comments "Bloquea Redes sociales"
set nat enable
config identity-based-policy
edit 3
set schedule "always"
set utm-status enable
set webfilter-profile "Bajo"
set profile-protocol-options "default"
next
end
next
end
Te recomendaria tambien que crees un perfil o sensor de application control que revise las aplicaciones de social networks.
Puntos a recordar:
1) esto solo se puede hacer si tenes la licencia al dia, sino no sirve. Tambien el dia que se vence la licencia, se pierden las caracteristicas de web filter.
2) la politica que contenga el webfilter debe ser la ultima de la navegacion a internet.
Espero que te sirva, contanos como te fue.
Saludos!
1) Creas el perfil:
config webfilter profile
edit "Social_Networks"
set options https-scan
config ftgd-wf
set options strict-blocking redir-block
config filters
edit 1
set action block
set category 37
next
end
end
next
end
2) Lo aplicas en la politica
config firewall policy
edit 1
set srcintf "LAN"
set dstintf "Internet"
set srcaddr "all"
set dstaddr "all"
set action accept
set comments "Bloquea Redes sociales"
set nat enable
config identity-based-policy
edit 3
set schedule "always"
set utm-status enable
set webfilter-profile "Bajo"
set profile-protocol-options "default"
next
end
next
end
Te recomendaria tambien que crees un perfil o sensor de application control que revise las aplicaciones de social networks.
Puntos a recordar:
1) esto solo se puede hacer si tenes la licencia al dia, sino no sirve. Tambien el dia que se vence la licencia, se pierden las caracteristicas de web filter.
2) la politica que contenga el webfilter debe ser la ultima de la navegacion a internet.
Espero que te sirva, contanos como te fue.
Saludos!
-
Jose Maria Martin
- Mensajes: 8
- Registrado: 09 Jul 2013, 23:52
Re: Bloqueo de Paginas HTTPS
Fijate que en un Fortigate 40C version 4 si puede ejecutar los comandos que dices y todo salio bien.
Ahora tengo un 40c 5.0 build0271 GA patch 6 y cuando le pongo set options https-scan me devuelve el error command fail return code -61.
No encuentro por ningun sitio absolutamente el como bloquear el trafico SSL de paginas como spotify.com que es la que mas problema me esta dando pues todos comparten la musica.
Alguien se le ocurre porque me da ese error por CLI y porque no encuentro por ningun sitio el SSL????
Ahora tengo un 40c 5.0 build0271 GA patch 6 y cuando le pongo set options https-scan me devuelve el error command fail return code -61.
No encuentro por ningun sitio absolutamente el como bloquear el trafico SSL de paginas como spotify.com que es la que mas problema me esta dando pues todos comparten la musica.
Alguien se le ocurre porque me da ese error por CLI y porque no encuentro por ningun sitio el SSL????
Re: Bloqueo de Paginas HTTPS
hola, averigua, pero creo que esos equipos (chicos) no hacen inspection ssl.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
Jose Maria Martin
- Mensajes: 8
- Registrado: 09 Jul 2013, 23:52
Re: Bloqueo de Paginas HTTPS
Tienes absolutamente toda la razon ya averigue y queda el tema terminado.Esos esquipos equipados con procesadores CP0 no TIENEN inspeccion SSL.
alguna otra forma de hacerlo ? Porque lo unico que se me ocurre es que no puedo hacerlo con el Firewall y tengo que montar un SQUID o algo asi en el servidor...
Saludos
alguna otra forma de hacerlo ? Porque lo unico que se me ocurre es que no puedo hacerlo con el Firewall y tengo que montar un SQUID o algo asi en el servidor...
Saludos
Re: Bloqueo de Paginas HTTPS
proba usando application control, y listado de url bloqueando *.facebook.com como wilcard.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Bloqueo de Paginas HTTPS
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Bloqueo de Paginas HTTPS
gabyrossi escribió:proba usando application control, y listado de url bloqueando *.facebook.com como wilcard.
hola tengo un 40c y no puedo bloquear [Debes identificarte para poder ver enlaces.]
tendran otra forma de hacerlo ??
gracias
saludos
Re: Bloqueo de Paginas HTTPS
Buenas yo tengo una consulta con respecto al bloqueo de las paginas https, la cuestion es que logre bloquearlas aplicando el SSl inspection en las politicas; pero no se porque razon a algunos usuarios les abren estas paginas [Debes identificarte para poder ver enlaces.], [Debes identificarte para poder ver enlaces.], estos usuarios logran accesar a esta paginas y el resto no. ya coloque los bloqueas para ultrasurf y similares y nada, todavia pasan. Que puedo hacer??? tengo un fortigate 310B v5.0,build0228 (GA Patch 4).
Re: Bloqueo de Paginas HTTPS
trata de actualizar al ultimo patch (6).
habria que revisar las politicas y los logs, para ver si el trafico se escapa por alguna otra.
saludos.
habria que revisar las politicas y los logs, para ver si el trafico se escapa por alguna otra.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Bloqueo de Paginas HTTPS
Buenas
Gracias tengo el mismo problema. Quiero habilitar la banca empresarial en un solo equipo de mi Red y bloquear en el resto de pc
Graias
Gracias tengo el mismo problema. Quiero habilitar la banca empresarial en un solo equipo de mi Red y bloquear en el resto de pc
Graias
Re: Bloqueo de Paginas HTTPS
hola, podrias dar mas detalles de lo que necesitas hacer?
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst