configuración de fortigate como proxy explícito
TRANSCRIPT
-
Configuracin de FortiGate como Proxy ExplcitoAnuncios Google
NUCO - Campus Puerto Rico
www.DestinoNuco.com - Completa Tu Carrera Universitaria. Estudiar En Lnea. Aprende Ms!
Configuracin de FortiGate como Proxy Explcito
FortiOSV4.00 MR2ModeloTodos los modelos que soportan v4.00Condicinv4.00 MR2 o mas recientes
En esta gua intentaremos explicar la forma de configurar un FG con funcionalidad de Proxy explcito. Para lo cualrequerimos que la version de FortiOS sea v4.00 MR2 o superior. Se condiciona a esta versin y parche, debido a que enla versin 4.00 y 4.00 MR1, s, se soporta la funcionalidad de Proxy explicito, pero era condicionado a utilizar otro VDOMu otro FG para poder hacer el control (No se podia tener Proxy explicito y control en el mismo VDOM), lo cual implicabamuchas algunas configuraciones adicionales, las cuales para el cliente eran un poco tediosas.
Toda la configuracin para esta funcionalidad la haremos en este caso va GUI.
Paso 1: Entramos al GUI del FortiGate con un usuario y password con permisos de administradorPaso 2: Navegamos navegamos en: System >> Network >> Web Proxy tal como se muestra en la figura 1 en dondehabilitaremos la opcion de Enable Explicit Web Proxy para HTTP/HTTPSFigura 1:
System Network Web Proxy
Es necesario tambin, analizar cada una de las diferentes opciones que podemos utilizar en esta seccin, para poderhacer una buena configuracin del Proxy. En esta versin ya se soporta ademas habilitar Proxy para FTP y PAC (ProxyAuto-Config), puede encontrar mayor informacin aqu.
Listen on Interfaces: Nos muestra qu interfaces estan configuradas para permitir peticiones de proxy. (Ver paso 3)HTTP Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para httpHTTPS Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para httpsFTP Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para ftpPAC Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para PAC segn la configuracin que
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
1 of 6 1/22/2012 10:37 PM
-
PAC Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para PAC segn la configuracin quehayamos hecho de este archivoPAC File Content: Nos permite ver y/o modificar el archivo PAC que luego distribuiremos a nuestros usuarios. (Solo si seha activado esta funcin)Unknown HTTP version: Nos permite indicar qu hacer cuando el Proxy reciba Peticiones o Mensajes de un host con unaversin de HTTP desconocida.Realm: Declaramos un nombre para el Reino del ProxyDefault Firewall Policy Action: Qu accin por default se quiere tomar.* Accept: Permitir a todos los navegadores que apunten al proxy poder navegar de forma default.* Deny: Negar el trfico que sea solicitado por cualquier navegador que apunte al proxy, y solo permitir a aquellos hostque esten permitidos por las polticas de Firewall.
Es importante ademas, comprender algunos aspectos sobre los mensajes de error de HTTP 1.1 para lo cual recomiendovisitar este link Cdigos de errores HTTP , esto nos servir mucho al momento de hacer algun tipo de troubleshootingnecesario.
Paso 3: Configuracin de las interfaces a traves de las cuales se aceptar peticiones de Proxy. Para esto vamos aSystem >> Network >> Interface y editamos la interface que nos interese, tal como se muestra en figura 2 y Habilitamosla opcion de Enable Explicit Web ProxyFigura 2:
System Network Interface
Paso 4: Determinar qu tipo de control se requiere para los host que esten haciendo proxy a traves de nuestro FG. Conlo que sera necesario crear Perfiles de Proteccin, Grupos de Usuarios, Direcciones IP, Politicas de firewall etc.En este caso, haremos auntenticacin de usuarios de forma Local, usando la base de datos local del FortiGate. Paraesto crearemos primero los usuarios y luego el grupo para ser asociado con la poltica de Forewall en el paso 5.
Creacion de usuarios.Figura 3:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
2 of 6 1/22/2012 10:37 PM
-
Creacin de Grupos.Figura 4:
Paso 5: Como se ve en la figura 3, ahora en la seccin de Firewall >> Policy >> Policy >> Create New, cuandointentamos crear una nueva poltica aparece una nueva Interface la cual es llamada: Web-Proxy y es solo seleccionableen la opcin de "Source Interface/Zone".Figura 5:
Firewall Policy
En la figura de arriba se muestra una poltica en donde se indica que: Cualquier trfico de navegacin que venga por elpuerto 8080 (es el puerto por el que haceptamos peticiones de proxy) y sea del Host con IP 192.168.2.218(Natanael-218) desde la Interface "Web-Proxy" y lleve como destino "Internet" sera permitido (Accept), pero; solo si el
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
3 of 6 1/22/2012 10:37 PM
-
(Natanael-218) desde la Interface "Web-Proxy" y lleve como destino "Internet" sera permitido (Accept), pero; solo si elusuario es autenticado. Esto, debido a que hemos activado la opcin de " Enable Identity Based Policy", la cual forzar alnavegador para que sea autenticado.
Paso 6: Una vez hechas las configuraciones en el FG, nos toca configurar el el Navegador para declarar lasconfiguraciones de Proxy. Para una configuracin de un Firefox 3.5 para Linux, lo que se debe de hacer es: Click en Edit>> Preferences. Vease figura 4.Figura 6:
Edit Preferences Advanced Network Settings
Luego damos en Advanced >> Network >> Settings como se ve en la figura de abajo, para la configuracin del Proxy enel navegador.Figura 7:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
4 of 6 1/22/2012 10:37 PM
-
Network Settings816
Hecho esto, si navegamos en cualquier sitio, desde nuestro navegador, lo estaremos haciendo a traves del Proxy FG.Debido a que en nuestro caso hemos habilitado Autenticacin por Usuarios, la primera peticion que hacemos a Internet atravs del Proxy se nos solicita un usuario y Contrasea, como se ve en la figura 6, si el usuario y password es correcto,hasta entonces podremos navegar a los sitios solicitados.Figura 8:
Solititud de Usario y Contrasena
Para el caso que estemos haciendo proxy para un sistema Windos con IE, debemos tomar en cuenta que tambin, lossettings del IE pasan para el Windows Live Messenger, por lo tanto, si estamos usando autenticacin ser necesariodeclararlo en las configuraciones del MSN dentro de Opciones >> Conexion >> Configuraciones Avanzadas, dondedebemos de declarar nuestro Usuario y Password de autenticacin al Proxy
Para el caso de MSN para Linux, existe una gran cantidad de programas, pero en esta ocacin lo hemos probado con elprograme "emesene" el cual est hecho para emular casi en su totalidad a un MSN para Windows. Para esto, basta conabrir el programa "emesene" ver figura 7, luego damos en Options >> Preferences y configuramos los settingsnecesarios para el proxy y la autenticacin.Figura 9:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
5 of 6 1/22/2012 10:37 PM
-
EMESENE
En la Figura 8, se muestra los settings para nuestro caso, en donde ademas se debe seleccionar la opcion de Use HTTPMethodFigura 10:
Settings emesene
NOTAS: Al dia de este laboratorio, todaba no funciona las opciones de SafeSearch y Application Control para el trficova proxy.Aun no se muestran los usarios autenticados y los logins de IM en la seccin de User >> Monitoring >> Firewall e IMpara trafico vaProxy
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
6 of 6 1/22/2012 10:37 PM