FortiOSGuías técnicas

FortiOS 6.2: Políticas autenticadas

En versiones anteriores a FortiOS 6.2, el hecho de habilitar autenticación en una política de firewall no siempre forzaba una autenticación activa.

En el siguiente ejemplo, todos los usuarios con IPs origen en la red LOCAL_SUBNETaccederían sin autenticarse, ya que existe una segunda política que permite dicho acceso sin autenticación. Esto ocurre porque primero se hace match de la tupla-5 y luego, si corresponde, se autentica al usuario (requiere hacer match en el implicit deny para ser redirigido al portal de autenticación). Como en la regla 1 todavía no hay información del usuario ya que la autenticación no ha ocurrido, el grupo HR-group no haría match y pasaríamos a la regla 2. Es lo que se conoce como mixing policies.

A partir de versión 6.2 de FortiOS, se incluye un comando vía CLI para cambiar este comportamiento, y forzar a que aplique la autenticación a la vez que se hace el match de la tupla-5:

# config user setting 

(setting) # set auth-on-demand 

always        Always trigger firewall authentication on demand.

implicitly     Implicitly trigger firewall authentication on demand.

Esta configuración se aplica a nivel de VDOM.

Si no configuramos esta opción, su valor por defecto será implicitly, lo que hará que se comporte como en versiones anteriores, y para el ejemplo anterior los usuarios sigan accediendo sin autenticación.

Si elegimos la opción alwaysentonces forzaríamos a que se autentique a los usuarios al hacer match en la primera regla, y por tanto no podrían acceder sin autenticar.

Importante recordar que esto aplica sólo a mecanismos de autenticación activa. Si hay mecanismos pasivos como FSSO donde ya se tiene previamente la información del usuario autenticado, no se daría el caso de las mixing policiesy los usuarios del grupo HR-groupcon IPs en la red LOCAL_SUBNETsiempre pasarían por la regla 1.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *