Académique Documents
Professionnel Documents
Culture Documents
4.0 MR2
Modelo
Condicin
Los equipos FortiGates, nos permiten hacer control de las cuentas de usuarios para IM. Esto
significa que con unas cuentas configuracines podramos lograr que slo las cuentas de
mensajera que nosotros como administradores de los FortiGates deseemos puedan tener
permiso de Chat, independientemente del cliente que el usuario tenga instalado en su
computador (Hoy en da hay muchos software que no permite conectarnos a hotmail para
hacer chat, aunque este no sea el software de MSN de MicroSoft).
Esta funcionalidad (que por cierto me parece genial), es posible hacerla en los FortiGates,
haciendo uso del Feature de "Control de Aplicaciones" que FortiNet ha implementado y
que se basa en las capacidades de Capa 7. Por lo tanto, no est basado en el puerto de la
aplicacin como tal, sino, en el reconocimiento del trfico que atraviesa las interfaces del
FG.
Para cononcer mejor cmo trabaja el mdulo de Control de Aplicaciones en los FortiGates,
puede ver la Gua: Cmo Configurar Application Control en un FortiGate
Los pasos a seguir para la configuracin del control de mensajera instantanea, son los
siguientes:
1 - Configuracin de las Polticas por Defecto del IM.
Por defecto, el FortiGate permite cualquier comunicacin de IM, por lo que basta con hacer
una poltica de Firewall entre la Interface "internal" y la interface "wan", permitiendo pasar
los puertos TCP/80 y TCP/1863, para que los usuarios que tienen un cliente de IM (MSN,
Yahoo, Empathy, AIM, Kopete, y otros) y una cuenta vlida de mensjera puedar hacer uso
del chat.
Entonces, como nuestra idea es controlar estos chats, debemos primero entrar por CLI y
denegar las polticas por Default para IM.
Eso lo hacemos desde la CLI la siguiente manera: (Si nunca ha entrado por linea de
Comando a un Equipo puede ver estas Guias: Cmo Conectarse a un Equipo Va Cable de
Consola Utilizando HyperTerminal y Cmo Conectarse a un Equipo Va Cable de Consola
Utilizando Minicom)
config imp2p policy
Donde:
Name: Un nombre que identifique o haga referencia al control de aplicaciones que
queremos crear.
Comments: Podemos dejar un comentario para recordarnos sobre algo especfico.
Enable Logging: Lo habilitamos se queremos que se deje un registro de todas las
aplicaciones que sense esta lista de control
OK: Damos click en OK, para pasar a crear los registros para la lista que estamos
configurando, con lo cual nos aparecer otra pantalla como la mostrada en la figura 3.
Figura 3.
Por defecto, nos apareceran dos reglas implcitas, las cuales nos permitirn monitorear tanto
las aplicaciones reconocidas por el mdulos de Control y las que no son reconocidas. Ya
que no nos detendremos a explicar sobre esto, puede visitar el enlace Cmo Configurar
Application Control en un FortiGate para saber mas al respecto.
Bueno, pues ahora nos toca, crear la regla de control de MSN, as que daremos Click en
"Create New" y seleccionamos IM como Categora y MSN como Aplicacin. Ver figura 4.
Figura 4.
Donde:
Category: Seleccionamo la Categora IM
Application: Seleccionamos la Aplicacin que deseamos Controlar.
Block Login: Si queremos bloquear los Logins de MSN
Block File Transfers: Si queremos Bloquear la Transferencia de Archivos via MSN
Block Audio: Si queremos Bloquear Audio via MSN
Inspect Non-standard Port: Para hacer Inspeccin sobre puertos no standar para MSN
Display DLP meta-information on the system dashboard: Si deseamos que se muestre en
el Dashboard la actividad de MSN
Enable Logging: Para que se muestre la actividad de la aplicaci en los Logs de "Control
de Aplicaciones" del FG.
Una ves damos OK, ya tendremos la regla creado, como en la figura 5, y en este caso, solo
crearemos una.
Figura 5.
Figura 6.
como se muestra en la figura 7. dentro de "User >> User >> IM : Create New"Figura 7
Protocol: Seleccionamos el
rotocolo ( MSN, YAHOO, AIM, ICQ)que para el cual aplica el usuario que queremos decl
arar.Username: Editamos
l nombrede la cuenta de usario con la cual se logu ea en (MSN, YA
O. HOT MAIL, AIM, c)Pol
et
icy: La accin que queremos aplicar, puede ser: Allow o Block.
NOTA I: Como en el Paso 1, hemos declarado que por defecto se bloquear todos los chat reco
nocidos por el FortiGate, s o
o podr n chatear los usuarios que esten en esta lista y que tengan como Poltica "All
ow"NOTA II: Los usuarios que esten
no en esta lista,
apareceranblo queados dentro
de la seccin de monitoreo de IM en: "User
>> Monit or >> IM" en color Gris, desde donde podremos permitirlos o dejarlos b
lo
queados.NOTA III: Los usuarios que permitamo
o bloquemos desde "
ser >>
Monitor >> IM" aparecern de forma automtica en la lista de User >> User >> IM.N
OTA IV: Este control de IM solo se aplicar
Relacionados :
Cmo Activar los Servicios de FortiGuard en un FortiGate
Cmo Configurar Application Control en un FortiGate
Cmo Conectarse a un Equipo Va Cable de Consola Utilizando HyperTerminal
Cmo Conectarse a un Equipo Va Cable de Consola Utilizando Minicom)
Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/