FortiClientFortiGateGuías técnicas

Configuración de políticas dinámicas en FortiGate utilizando grupos de endpoints de EMS

En el EMS (consola de gestión de FortiClient) se pueden crear reglas de verificación de cumplimiento para agrupar dinámicamente los endpoints de la organización y posteriormente en FortiGate crear políticas en base a esos grupos (a partir de la versión 6.2.0 de FortiOS).

Por tanto, después de definir las reglas de cumplimiento en el EMS, hay que configurar FortiGate para recibir los grupos dinámicos de endpoints desde el EMS vía FSSO, utilizando el conector de Fabric que soporta, entre otros, SSL y certificados de confianza. De esta forma, cuando ocurre un cambio en el grupo de endpoints, EMS envía una actualización a FortiGate, y este actualiza la política consecuentemente.

Para poner en marcha esta configuración, partimos de la premisa de que en el EMS ya se han creado las “Compliance Verification Rules” y que se están aplicando correctamente. Para ello, dentro de EMS > Compliance Verification> Host Tag Monitor podemos ver el estado:

En este ejemplo hay tres reglas creadas y con un tag por cada una de ellas (Ubuntu, Win y Firefox).

Una vez hemos comprobado que se están aplicando correctamente las reglas de verificación de cumplimiento, pasamos a crear el conector Fabric dentro de Fortigate para su comunicación con el EMS.

Para ello, vía CLI, ejecutamos estos comandos:

config user fsso

edit “<agent_name>”

set server “<EMS_IP_address>”

set type fortiems

set ssl enable

next

end

En “agent name” hay que poner el nombre que se quiera y luego la IP del EMS en el campo “EMS_IP_address”.

Si se quisiera utilizar un certificado concreto habría que añadir en los comandos anteriores set ssl-trusted cert, para seleccionar un certificado concreto dentro del Fortigate, el cual habría que importar también en el EMS (System Settings > Server > EMS FSSO Settings):

Tras ello, se habrá creado el conector que aparecerá en la sección de Fortigate: Security Fabric > Fabric connectors > SSO/Identity (en este ejemplo lo hemos llamado “Fortiexpert”) tal y como se puede ver a continuación:

Igualmente, en el EMS, veremos que aparece el Fortigate dentro de Compliance Verification > Fabric Device Monitor, lo cual indica que la configuración funciona correctamente en los dos sentidos:

Posteriormente, en Fortigate, seleccionamos el conector y pulsamos en “Edit”. Tras ello, para obtener los grupos de endpoints del EMS (los mismos que se muestran en Host Tag Monitor), hay que pulsar en “Apply&Refresh”, y a continuación ya se pueden visualizar pulsando en “View”, como se muestra en la siguiente captura de imagen:

Una vez ya se han obtenido los grupos dinámicos del EMS, dentro de FortiGate, nos vamos a User&Device User Groups > New, para crear un nuevo grupo basado en la información obtenida desde el EMS:

–        En “Name”, poner un nombre cualquiera.

–        En “Type”, seleccionar Fortinet Single Sign-On (FSSO).

–        En “Members”, pulsar +“Select Entries”, y seleccionar los grupos de endpoints dinámicos obtenidos del EMS, y finalmente, pulsar OK, como se muestra a continuación:

Una vez ya tenemos el grupo, ahora puede crearse una política de firewall para dicho grupo de usuarios.

En este ejemplo, se crea una política IPv4:

1.)   En Fortigate, Policy & Objects > IPv4 Policy Create New.

2.)   En el campo Source, pulsar +, y seleccionar los orígenes que se desee, en este caso, en la sección de User, seleccionaremos el grupo configurado anteriormente, tal y como se puede visualizar a continuación:

 

3.)   Configurar el resto de campos de la política que se desee.

4.)   Pulsar OK.

Con esto ya tendremos creada la política en FortiGate que se irá actualizando según vaya recibiendo actualizaciones del EMS.

A continuación, dentro del Fortigate se podrán ver los usuarios IPv4 autenticados en el EMS. Para ello, basta con ejecutar el comando vía CLI:

diagnose firewall auth list

Y aparecerá el listado de usuarios (el campo server como se puede observar coincide con el nombre del conector FSSO creado, en este ejemplo, “Fortiexpert”):

Finalmente, para hacer una doble verificación, dentro de EMS, podremos comprobar que efectivamente dicho usuario tiene FortiClient instalado y está reportando correctamente al servidor EMS. Para ello, basta con irse a Endpoint > All Endpoints y hacer una búsqueda por el nombre del usuario, en este ejemplo, “Eli Love”:

Como se puede observar, aparece el usuario buscado con FortiClient instalado y reportando correctamente al EMS, con los mismos datos que se habían obtenido en Fortigate vía CLI.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *