FortiNACGuías técnicas

Agente persistente FortiNAC

FortiNAC permite desplegar un agente persistente en nuestros endpoints corporativos, tanto para ayudar en la fase de perfilado como para verificar el cumplimiento de la política de compliance (antivirus, parches…).  Una vez instalado, cada vez que el dispositivo arranque intentará contactar con el FortiNAC para establecer un canal seguro sobre el que transmitir la información del dispositivo. Pero… ¿cómo sabe el agente cómo contactar con FortiNAC?

El agente persistente seguirá un proceso definido:

  1. Si ya se ha conectado con un servidor FortiNAC anteriormente, utilizará esa información. En endpoints windows, esta información está almacenada en el registro del dispositivo

        1. Homeserver: El FortiNAC con el que el agente siempre intentará contactar primero. Tras la primera conexión de FortiNAC, si este campo no está relleno, se rellena automáticamente. 
        2. Allowed Servers: Necesario cuando hay más de un FortiNAC (en redes grandes). En estos casos, un endpoint itinerante puede conectarse a diferentes FortiNACs, en función de su ubicación. En este listado añadimos cúales son los FortiNACs a los que tiene permitido conectar. También sirve en entornos HA con redundancia geográfica, porque permite listar ambos appliances redundantes. 

  1. Si no es posible contactar con ese FortiNAC, es la primera conexión o no se lo hemos configurado estáticamente en el momento del despliegue, se apoyará en el servicio de DNS corporativo. El agente pedirá al DNS los siguientes registros:
          1. _bradfordagent._udp.nuestrodominio.com
          2. _bradfordagent._tcp.nuestrodominio.com

El proceso total será el siguiente:

  • Preguntar al DNS por los regidtros SRV
  • Usar la información de “Last Connected Server”
  • Si no hay resolución, o no contestan, usar la información de “Home Server”
  • Como último recurso, usar “allowed servers”

Una vez que se conoce la fqdn del servidor, el agente intentará establecer una conexión SSLT/TLS en el puerto 4568. Una vez se ha establecido la conexión segura, la mayor parte de la interacción se hará sobre el puerto 4567/UDP.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *