Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Profesional de la Seguridad
Fortinet NSE 4, NSE 5 y NSE 7
DIUS Y
SLOG
NGLE
NG-ON
re Access
Contenido
1. FSSO Métodos............................................................................................................................2
1.1. Fortinet Single Sign-On (FSSO)...........................................................................................2
1.2. Active Directory Polling con FortiAuthenticator.....................................................................2
1.3. Agente FSSO........................................................................................................................4
1.4. Single Sign-On Mobility Agent - SSOMA..............................................................................4
1.5. Kerberos SSO.......................................................................................................................5
1.6. Portal Autenticación y Widgets.............................................................................................6
1.7. FortiNac Sources..................................................................................................................6
1.8. Syslog Externo......................................................................................................................7
1.9. RADIUS Accounting SSO.....................................................................................................7
1.10. SAML – Security Assertion Markup Lenguage..................................................................8
2. Syslog SSO..................................................................................................................................8
2.1. Fuentes de Syslog................................................................................................................9
2.2. Reglas de coincidencia.........................................................................................................9
2.3. Fuentes Syslog preconfiguradas........................................................................................10
2.4. Sesiones Syslog SSO.........................................................................................................10
2.5. Debug logs..........................................................................................................................11
3. RADIUS Single Sing-On (RSSO)..............................................................................................11
3.1. Despliegue – Consideraciones...........................................................................................11
3.2. FortiGate RSSO..................................................................................................................11
3.2.1. FortiGate – Configuración RSSO.................................................................................12
3.3. FortiAuthenticator RSSO a FortiGate RSSO......................................................................13
3.3.1. FortiAuthenticator – Configuración RSSO...................................................................13
3.4. Comandos FortiGate usuarios RSSO.................................................................................14
3.4.1. Monitor Usuarios SSO..................................................................................................14
3.4.2. Debug en tiempo real Autenticación............................................................................16
3.4.3. RSSO User logon.........................................................................................................16
3.4.4. RSSO User logoff.........................................................................................................16
4. Troubleshooting usando FortiAutheticator.................................................................................17
4.1. FortiAuthenticator logs........................................................................................................17
4.2. Monitor de sesiones SSO...................................................................................................17
4.3. FortiAuthenticator Debug logs............................................................................................18
4.4. Seguimiento de un usuario específico................................................................................18
4.5. Usuarios FSSO activos.......................................................................................................19
4.6. Otros comandos FortiGate..................................................................................................19
1
1. FSSO Métodos
1.1. Fortinet Single Sign-On (FSSO)
Métodos usados para recoger la información de inicio de sesión y convertirlo a FSSO.
2
Nota: Ten en cuenta que los eventos de inicio de sesión se pueden detectar desde los registros
de Eventos de Seguridad, pero no puedes detectar los cierres de sesión.
Los cierres de sesión pueden dispararse por muchos procesos diferentes, no solo por los
procesos de cierre de sesión. Mientras que otros métodos soportan nativamente el cierre de
sesión, como el Agente de Movilidad FortiClient SSO, el encuestado del AD, no lo hace.
Para habilitar la detección de cierres de sesión, FortiAuthenticator soporta el encuestado WMI,
para identificar el estado de sesión del usuario para un dispositivo y entonces registrar la salida
del usuario. Puedes fijar un periodo de desconexión manual, y sacar al usuario de la tabla de
autorizaciones.
Puedes habilitar el encuestado Windows AD en Fortinet SSO Methods > SSO > General.
FortiAuthenticator usa la búsqueda LDAP para recolectar los grupos a los que pertenece el
usuario y realiza una búsqueda DNS para obtener el nombre del host del usuario de la IP.
El DNS juega un rol importante para asegurar la fiabilidad general de los eventos FSSO . Si la
resolución DNS es lenta y no funciona correctamente, la información de eventos FSSO no será
precisa o incluso válida.
Por defecto, FortiAuthenticator soporta los IDs de eventos 4768, 4776, 672 y 680; sin embargo,
puedes habilitar el soporte de los siguientes, haciendo clic en Configure Events: 528, 540, 673,
674, 4624, 4769, 4770.
Después de habilitar el encuestado AD, debes configurar la fuente de FSSO. Puedes
verificar que FortiAuthenticator puede encuestar eventos de inicio de sesión en la sección
Monitor SSO.
3
+
1.3. Agente FSSO
En el modo DC Agent, un agente de autenticación Fortinet se instala en cada controlador de
dominio. Estos DC Agent monitorizan los inicios de sesión y pasan la información a
FortiAuthenticator (que actúa como Agente Colector), que guarda la información y la envía a FGT.
El DC Agent instalado en el DC, no es un servicio como el agente colector, es un archivo DLL
llamado dcagent.dll que está instalado en el directorio Windows\system32. Se debe instalar en
todos los DCs que estén siendo monitorizados. El modo DC Agent ofrece fiabilidad en la
información de inicio de sesión, pero tienes que instalar uno en cada DC y después reiniciar el
servidor.
El agente Citrix/Terminal Server (TS) se instala en un servidor de terminal Citrix, para
monitorizar los inicios de sesión en tiempo real. Funciona mucho mejor que el DC Agent en un
DC.
Debes habilitar DC/TS Agent en Métodos FSSO, para permitir la comunicación entre los agentes
y FortiAuthenticator.
Opcionalmente puedes añadir autenticación por contraseña para añadir Seguridad.
DC/TS Agent y FortiAuthenticator deben tener la misma password.
4
1.4. Single Sign-On Mobility Agent - SSOMA
SSOMA es una característica de FortiClient que también puede ser una característica
independiente. SSOMA identifica el usuario y la IP de los inicios de sesión en el dominio, y
comunica esta información a FortiAuthenticator.
Es el método más preciso para detectar los logouts de los usuarios.
FortiClient SSOMA tiene varios beneficios frente a los otros métodos de detección FSSO:
FortiClient envía paquetes HELLO regularmente. Si FortiAuthenticator detecta X número de
paquetes HELLO perdidos, el usuario es desautenticado.
Si el stack de dispositivos IP cambia, por ejemplo, durante el roaming en redes wireless,
la actualización se envía a FortiAuthenticator.
Si el usuario cierra sesión, FortiClient notifica a FortiAuthenticator durante el proceso de
cierre de sesión y desautentica al usuario.
Por defecto, SSOMA conectará con FortiAuthenticator en el Puerto 8001, pero se puede cambiar.
Puedes habilitar la autenticación adicional con clave precompartida y configurar los intervalos de
timeout y keepalive.
5
Opcionalmente, puedes habilitar NTLM dentro de la configuración SSOMA, que trabajará en
conjunto con FSSO cuando se habilita, FortiAuthenticator necesita NTML cuando:
Un usuario inicia sesión en una workstation por primera vez.
Un usuario cierra sesión y entonces inicia sesión otra vez.
La dirección IP de la workstation cambia.
El usuario de la workstation cambia.
La autenticación NTML expira (configurable por usuario).
Por defecto NTML esta desactivado.
6
1.7. FortiNac Sources
Selecciona Enable FortiNac SSO para habilitar la recuperación de sesiones SSO desde las
fuentes FortiNac.
7
Puedes usar cualquier servidor de Syslog para enviar la información del nombre de usuario y la IP
a FortiAuthenticator mientras tengas configurada la correspondiente regla.
El beneficio usando este método es que los fabricantes que soportan enviar tales paquetes, no
necesitan soporte desde FortiAuthenticator (el standard RADIUS ya está soportado), y requiere
mínimos cambios para habilitar la entrada de datos de autenticación de usuarios en FSSO.
8
1.10. SAML – Security Assertion Markup Lenguage
FortiAuthenticator puede usar las afirmaciones o SAML assertion, para generar eventos cuando
usas FortiAuthenticator como un proveedor de servicios SAML (SP).
En el modo proveedor de servicio, FortiAuthenticator puede usar las afirmaciones SAML para
extraer el nombre de usuario, IP y otros atributos SAML disponibles para generar eventos FSSO.
Toda la información de autenticación será validada e insertada en una cookie por el proveedor de
identidad (IDP) y entonces FortiAuthenticator usará la información para los eventos FSSO.
2. Syslog SSO
FortiAuthenticator puede analizar gramaticalmente la información de nombre de usuario y
dirección IP obtenida de un servidor Syslog, alimentado desde un dispositivo tercero e inyectar
está información como FSSO y que pueda usarse en las políticas de firewall en FGT.
9
2.1. Fuentes de Syslog
Los objetos Syslog incluyen fuentes y reglas de coincidencia.
Las fuentes identifican a las entidades que envían mensajes Syslog, y las reglas de coincidencia
se usan para extraer eventos de los mensajes Syslog.
FortiAuthenticator ignora los mensajes que vienen de fuentes que no están configuradas.
10
2.3. Fuentes Syslog preconfiguradas
Hay tres fuentes Syslog preconfiguradas de formatos de servidor Syslog de terceros:
FortiNAC
Aruba
Cisco
11
2.5. Debug logs
Puedes ver también los logs SSO de una Fuente SSO específica, como RADIUS accounting o la
alimentación Syslog.
Por ejemplo, puedes ver los atributos RADIUS que se envían en los mensajes accounting o ver la
alimentación sin procesar Syslog que FortiAutheticator está recibiendo.
12
FortiOS soporta los mensajes de actualización (Start, Stop e Interim) que envía el servidor
RADIUS, para autenticar y gestionar de forma transparente los usuarios activos.
13
3.3. FortiAuthenticator RSSO a FortiGate RSSO
FortiAuthenticator soporta los mensajes de actualización (Start, Stop e Interim) que envía el
servidor RADIUS, para autenticar y gestionar de forma transparente los usuarios activos.
Cuando recibe los mensajes RADIUS accounting, realiza búsquedas del grupo de usuarios
miembro contra el servidor LDAP y reenvia los mensajes RADIUS accounting al agente
RSSO FortiGate.
Esto es útil cuando la información de miembro del grupo es manejada por Active Directory, o el
servidor RADIUS es una infraestructura IT crítica para el negocio, que limita los cambios que
pueden hacerse en la configuración del servidor.
Puedes habilitar RADIUS Accounting Monitor para mirar los mensajes de solicitud de
autenticación que usan el puerto 1646.
3. Configura el servidor RADIUS como una fuente RADIUS accounting proxy.
4. Configura el conjunto de reglas con los atributos RADIUS requeridos.
Selecciona Add para una nueva regla (nuevo atributo) y selecciona Modify para trasladar un
atributo existente.
diagnose radiusd test 2 borra la base de datos RADIUSD de todos los usuarios RSSO.
Para borrar un usuario individual, debes enviar un mensaje Accounting Stop record para ese
usuario.
diagnose test application radius permite consultar, borrar o reiniciar la base de datos RADIUS.
diagnose rsso query consulta usuarios RSSO en FortiGate, por IP, nombre de usuario o nombre
de grupo (rsso-key).
16
El Monitor > SSO > SSO Sessions de FortiAuthenticator registra usuarios que han iniciado
sesión a través de una fuente RADIUS accounting.
En el Firewall User Monitor ves que usuarios fueron autenticados por FGT usando FSSO.
También lo puedes ver usando en FGT el comando:
diagnose debug authd fsso list
17
3.4.3. RSSO User logon
18
4.2. Monitor de sesiones SSO
Puedes ver la información relativa al SSO, como el logon time, logout time, username, IP
address, workstation name (AD), domain, group y fuente SSO.
En el ejemplo de la imagen hay dos fuentes SSO que están actualmente usando Eventlog
polling y alimentación Syslog.
19
4.4. Seguimiento de un usuario específico
Si te encuentras con problemas FSSO de un usuario específico, empieza el análisis del problema
siguiendo los pasos que describo a continuación:
Asegúrate que FortiAuthenticator puede realizar la resolución DNS del nombre de la
máquina y la IP.
Si estas utilizando un perfil de Seguridad FortiGate Web Filter, asegúrate que seleccionas
todos los grupos y contenedores (DC) necesarios.
Verifica que la fuente SSO está conectada.
Asegurate que el usuario no está excluido, desde SSO en Fine-grained Controls.
20
Refrescará la información de grupo de usuario FSSO.
get user adgrp
Lista los grupos de usuario monitorizados.
21