FortiNAC

Control usuarios externos con FortiNAC

FortiNAC permite gestionar el acceso a nuestra red de personas que no pertenecen a nuestra organización, ya sean invitados ocasionales (denominados “Guests”) o personas que van a realizar una tarea durante un período más largo (“Contractors”), permitiendo automatizar no sólo el grado de conectividad de estas personas, asociándolos a redes concretas, sino también los horarios en los que pueden acceder a la red, desde qué puestos o durante cuánto tiempo. Así podremos garantizar que, por ejemplo, no se pueda acceder a recursos internos desde salas de reuniones o que un empleado externo no pueda acceder después de su jornada laboral o tras acabar la relación temporal con nuestra empresa, dejando evidencia de sus accesos y de las características del equipo con el que accede.

Así mismo, como veremos en futuras entradas del blog, podemos inspeccionar el equipo antes de dar permiso de acceso a la red de producción, para verificar que cumple los requisitos mínimos de seguridad establecidos en la política corporativa (antivirus…).

Escenario

Para esta configuración, partimos de un escenario sencillo en el que incluímos algún equipo tanto de Fortinet como de otros fabricantes, para ver el grado de integración con equipamiento de red ajeno a Fortinet.

Partimos de un Firewall FortiGate haciendo de Default Gateway de diferentes redes de acceso. Existe una red de servidores en las que hemos desplegado un FortiNAC y un Servidor de Directorio Activo, que hace las veces de DNS corporativo y Servidor DHCP.

En el switch se definen dos VLAN’s: Una VLAN de Registro, a la que se mueven los PC’s que aún no han sido registrados en la red, bien porque es la primera vez que se conectan o bien porque su acceso ha caducado y una VLAN de Producción, en la que hay acceso a aquellos servidores corporativos que creamos convenientes, así como a internet.

El default Gateway de ambas redes es el Firewall FortiGATE, que hace DHCP relay a diferentes servidores, en función de la VLAN:

–       Red de Producción: DHCP relay al servidor de DA, que otorga una IP del rango de producción, así como los DNS’s corporativos

–       Red de Registro: DHCP relay a FortiNAC, que otorga una ip del rango de la VLAN de registro en ese switch y como servidor DNS el propio FortiGate.

Integración

Se dan de alta tanto FortiGate como Switch. FortiNAC permite dividir la topología de red en diferentes contenedores, para facilitar la organización de los elementos según diferentes criterios (funcional, físico…)

En esta entrada no vamos a entrar en la configuración de los diferentes elementos de red, pero sí que es necesario mostrar el detalle de la configuración del Switch, porque ahí le vamos a indicar a FortiNAC qué VLAN’s, de las que ya tiene configurado el equipo, servirán para cada propósito. Con el botón derecho del ratón sobre el equipo accedemos a la configuración del modelo:

Y seleccionamos las diferentes VLAN’s. Para este caso la que vamos a usar es la de registro.

Esta vlan de registro está creada en el switch

Extendida al firewall por un trunk y configurada en el firewall con la configuración de relay descrita en los párrafos anteriores. LA VLAN de registro en la 504

Gestión de usuarios externos. 

Primero necesitamos crear una plantilla que especifique los datos que será necesario introducir para dar de alta un usuario externo. En Users -> Guest/Contractor Templates creamos una nueva plantilla (FortiDemo-Contractor) en la que añadimos cierta información:

  • Datos de acceso: VLAN a la que se asignan los usuarios. De esta manera podemos asignar diferentes VLAN’s a diferentes grupos de usuarios externos que tengan tareas específicas  que requieran diferente nivel de acceso. En este caso lo ubicamos en la VLAN de producción.
  • El Rol de los usuarios, que podremos usar en otras políticas.
  • Horarios de acceso
  • Password.
  • Cómo confirmar el acceso (email y/o SMS)

Así mismo, en la pestaña Data Fields, podemos seleccionar qué datos son obligatorios u opcionales, y cuáles ni siquiera se mostrarán al dar de alta el usuario. Para este ejemplo, sólo pedimos Nombre, Apellido y email

La gestión de usuarios externos la vamos a delegar en un administrador específico, que se encargará de dar de alta dichos usuarios en la Base de Datos Local de FortiNAC (podrían estar almacenados en el directorio Activo).

Para ello, primero creamos un perfil con permiso exclusivamente para crear usuarios. En Users -> Admin Profiles creamos un nuevo perfil, con permisos sólo para el alta y edición de usuarios invitados y Contractors:

Además, podemos limitar el tipo de usuarios que este usuario puede crear. En este caso, lo asociamos a la plantilla que creamos anteriormente:

Ahora en el menú Users -> Admin Users, asociamos un administrador que creemos con el perfil de gestión de usuarios externos. En este caso el usuario “GuestManager” está asociado con el perfil anterior:

Dar de alta un usuario externo

Si nos logamos en FortiNAC con el usuario específico que hemos creado anteriormente, vemos que podemos crear usuarios. De hecho, accedemos directamente a la pantalla de gestión de estos usuarios:

Podemos enviar un email , sms o imprimir los datos, para entregárselos en mano al usuario.

Configuración de políticas

La política es muy sencilla. Primero tenemos que decidir qué puertos van a requerir registro antes del acceso. Para esto usamos las funcionalidades de agrupación disponibles en System -> Groups

En este caso, hemos dividido el switch en grupos funcionales:

  • Los 4 primeros los hemos agrupado en puertos “corporativos”, que se supone que dan servicio a zonas privadas

  • Los 4 siguientes los hemos agrupado como puertos de “sala de conferencia”, accesibles en salas de reuniones.

 Posteriormente, todos ellos los añadimos al grupo “Forced Registration”

Proceso de registro

Inicialmente, en el puerto fas0/del switch no hay nada conectado, FortiNAC indica que el puerto está Down

Al conectar el equipo, aparece como UP (el switch notifica mediante traps que hay un equipo nuevo). Inicialmente, ha movido la VLAN de acceso a la 504, que es la de registro.

Podemos ver qué equipo se ha conectado y su estado respecto a la red desde varios puntos.

En hosts ->> Host View aparece como “Rogue Host”, dado que es un dispositivo que aún no ha sido registrado, y por tanto no se confía en él

También se puede ver directamente desde la gestión del switch Topology-> Seleccionamos el switch:

En el propio equipo, al intentar ir a cualquier página, se nos redirige a la página de registro:

En este caso, se trata de un usuario invitado con cuenta, así que seleccionamos esa opción e introducimos el usuario y password:

Una vez nos hemos autenticado satisfactoriamente, el puerto se mueve a la vlan de producción y ya podremos acceder con normalidad.

En la vista de equipos, se ve qué ahora está registrado:

 

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *