24T5 Uwierzytelnienie z Proxy na FW w 7 min. [Konfiguracja Fortigate]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

2:00 Konfiguracja

7:02 Podsumowanie

Transkrypcja

W dzisiejszym odcinku jak zabezpieczyć sobie wyjście do przeglądania stron www za pomocą Proxy. Na czym ten mechanizm polega? Chodzi o to żebyśmy mieli jeden centralny punkt przez który wszystkie zapytania dotyczące stron www przechodzą i żebyśmy mogli w tym jednym centralnym miejscu monitorować ten ruch ewentualnie uwierzytelniać użytkowników którzy mają mieć dostęp do takiej usługi.

Jak to zrobić? No przede wszystkim musimy skonfigurować po stronie klienta jakie Proxy będzie używane a następnie w tym naszym Proxy skonfigurować podstawowe funkcjonalności dotyczące przekazywania tego ruchu. W dzisiejszym odcinku pokażę na przykładzie Fortigate jak wykonać konfigurację Proxy gdzie będziemy uwierzytelniać użytkownika w ramach lokalnego konta na Fortigate ale można oczywiście ten scenariusz rozbudować do dowolnego źródła uwierzytelniania, które mamy w naszej firmie. Będzie tam również przekierowanie. Czyli jeżeli nie znamy tego użytkownika to będzie zapytanie dowolne http albo https przekierowane na specjalną stronę z formularzem gdzie będzie mógł użytkownik wpisać login i hasło i po uwierzytelnieniu będzie miał przypisaną odpowiednią politykę umożliwiającą połączenie się z zasobami w internecie ale już z wykorzystaniem właśnie tego Proxy.

Założenie oczywiście jest takie, że ruch http czy https do internetu, który nie będzie przechodził przez nasze Proxy, to na Firewallu powinniśmy skonfigurować, będziemy blokować. Więc jeżeli chodzi o tą konfigurację to zaczniemy najpierw od budowy polityki na Fortigate dotyczącej Proxy, stworzenia użytkownika, spięcia później razem tych wszystkich elementów i sprawdzenia czy nam wszystko działa.

Konfiguracje na Fortigate czyli przechodzimy tutaj do System, Feature Visibility i Explicit Proxy bez tego nie będziemy po prostu mieć odpowiedniego menu. Teraz otwieramy Network, Explicit Proxy i włączamy tą funkcjonalność. Uruchamiamy na jakim porcie będziemy czy interfejsie nasłuchiwać. Na jakim porcie. No i akceptujemy. Tyle tutaj potrzebujemy zmienić. Teraz do Policy & Object i będziemy kreować Authencitation Rules czyli najpierw schemat uwierzytelniania bo chcemy tutaj żeby uwierzytelnić użytkownika zanim będzie miał dostęp z wykorzystaniem funkcjonalności Proxy.

Więc tworzymy nowy schemat w oparciu o formularz, Proxy Form-based jest włączony, Local data base i teraz nowa reguła czyli klikamy Create New Rule. No i wpisujemy nową regułę według schematu który tam wcześniej przed chwilą stworzyliśmy. Nowa reguła. Jeżeli użytkownik będzie z adresu – tutaj podajemy zakres czyli z LANu, adresacja 10.10.10 maska 24 bity. Dodajemy Source Address LAN Incoming Interface port drugi LAN. Włączamy uwierzytelnienie i wybieramy schemat ten, który wcześniej stworzyliśmy proxy czyli formularz.

No to mamy tutaj nasze reguły uwierzytelnienia stworzone czyli nazwa tej reguły proxy_regula ona będzie miała zastosowanie jeżeli zapytanie przyjdzie z LANu po protokole http i będzie używało schematu proxy czyli formularza z lokalną bazą użytkowników. Proxy Policy. Tutaj stworzymy nową politykę proxy. Polityka proxy; Outgoing Interface WAN Source – tutaj wybierzemy all i jeszcze dodatkowo stworzymy użytkownika. Tworzymy nowego użytkownika, lokalny użytkownik. Tworzymy jemu, temu użytkownikowi nazwę Username no i hasło. Tu nic więcej nie zmieniamy, konto jest włączone dajemy Submit.

Mamy użytkownika czyli z dowolnego adresu IP i po uwierzytelnieniu użytkownika, taki będzie Source tej polityki proxy. Destination all i Service webproxy który wcześniej tam konfigurowaliśmy. Ok politykę Proxy mamy wykonaną. A teraz możemy przetestować jak nam ta konfiguracja zadziała. Otwieram przeglądarkę, konfigurujemy ustawienia, w tych ustawieniach Proxy. No i tu trzeba wpisać oczywiście w tym przykładzie ręcznie, my nie przygotowaliśmy żadnego skryptu. Ręcznie wpisujemy adres IP, port na który będziemy nasłuchiwać dla tego Proxy. https nie będziemy tu używać ale możemy zaznaczyć dla ułatwienia, że tego samego. Ok no i próbujemy teraz się zalogować czy wywołać jakąś stronę www.

Oczywiście mamy przekierowanie na formularz, który sobie skonfigurowaliśmy wcześniej wg tego schematu uwierzytelnienia. Tu wpisujemy naszego użytkownika netadmin, jego hasło. Jeżeli będzie prawidłowe no to powinniśmy zobaczyć stronę, którą próbowaliśmy wywołać. Tu jeszcze trzeba zaakceptować reguły i sprawdźmy. Strona w internecie nam się odpala.

No i na dzisiaj to tyle. Jeżeli masz jakieś pytania co do tej funkcjonalności albo podobnych scenariuszy to oczywiście pisz w komentarzach i widzimy się w kolejnym odcinku.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.