Cmo Hacer Control de Usuario IM

(MSN, YAHOO, AIM, ICQ) en un

FortiGate
Autor Natanael Calderon Cabrera November 24, 2010 | Imprimir | Agregar a favoritos
Cmo Hacer Control de Usuario IM (MSN, YAHOO, AIM, ICQ) en un FortiGate
FortiOS

4.0 MR2

Modelo

Todos los modelos FortiGates

Condicin

Tener acceso via CLI al FortiGate

Los equipos FortiGates, nos permiten hacer control de las cuentas de usuarios para IM. Esto
significa que con unas cuentas configuracines podramos lograr que slo las cuentas de
mensajera que nosotros como administradores de los FortiGates deseemos puedan tener
permiso de Chat, independientemente del cliente que el usuario tenga instalado en su
computador (Hoy en da hay muchos software que no permite conectarnos a hotmail para
hacer chat, aunque este no sea el software de MSN de MicroSoft).
Esta funcionalidad (que por cierto me parece genial), es posible hacerla en los FortiGates,
haciendo uso del Feature de "Control de Aplicaciones" que FortiNet ha implementado y
que se basa en las capacidades de Capa 7. Por lo tanto, no est basado en el puerto de la
aplicacin como tal, sino, en el reconocimiento del trfico que atraviesa las interfaces del
FG.
Para cononcer mejor cmo trabaja el mdulo de Control de Aplicaciones en los FortiGates,
puede ver la Gua: Cmo Configurar Application Control en un FortiGate
Los pasos a seguir para la configuracin del control de mensajera instantanea, son los
siguientes:
1 - Configuracin de las Polticas por Defecto del IM.
Por defecto, el FortiGate permite cualquier comunicacin de IM, por lo que basta con hacer
una poltica de Firewall entre la Interface "internal" y la interface "wan", permitiendo pasar
los puertos TCP/80 y TCP/1863, para que los usuarios que tienen un cliente de IM (MSN,
Yahoo, Empathy, AIM, Kopete, y otros) y una cuenta vlida de mensjera puedar hacer uso
del chat.
Entonces, como nuestra idea es controlar estos chats, debemos primero entrar por CLI y
denegar las polticas por Default para IM.
Eso lo hacemos desde la CLI la siguiente manera: (Si nunca ha entrado por linea de
Comando a un Equipo puede ver estas Guias: Cmo Conectarse a un Equipo Va Cable de
Consola Utilizando HyperTerminal y Cmo Conectarse a un Equipo Va Cable de Consola
Utilizando Minicom)
config imp2p policy

set aim deny

set icq deny
set msn deny
set yahoo deny
end
config imp2p old-version
set aim block
set icq block
set msn block
set yahoo block
end
En este punto, podramos seleccionar nicamente el chat que nos interese controlar, para
este caso, hemos seleccionado todos los chat que FortiGate nos permite.
2 - Configuracin de las Cuentas de IM
La Administracin de las listas de Mensajera, podremos hacerlas desde la GUI, siempre y
cuando hayamos creado el primer registro desde la CLI. (Por defecto no aparece en la GUI,
hasta que creamos una cuenta).
El comando para la configuracin de los usuarios por CLI es: config imp2p luego ya
tendramos que seleccionar para qu tipo de servicio de IM queremos crear el usuario, que
poduen ser: aim-user, icp-user, msn-user o yahoo-user
Para nuestro ejemplo, agregaremos una cuenta de hotmail, que es uno de los chat mas
utilizados en nuestro medio.
Entonces esto lo haremos con la siguiente linea de comandos:
config imp2p msn-user
edit "pruebalab@hotmail.com"
set action permit
next
end
Ntese que en este caso, que en la linea "edit" el nombre de la cuenta hace referencia
exactamente al nombre del usuario que deseamos editar/crear.
La linea de "set action" indica la accin que deseamos aplicar para este usuario de hotmail,
que en nuestro caso, ser "permit"
Hecho esto, ya podremos ver el listado de usuarios de IM, desde la GUI, tal como se
muestra en la figura 1, entrando en: "User >> User >> IM"
Figura 1.

En el paso 5, veremos cmo administrar esta lista de IM.

3 - Crear un Perfil de Control de Aplicaciones
Ahora por GUI nos toca crear una lista de Control de Aplicaciones, para hacer control de
IM. ver figura 2
Para eso, navegamos por: "UTM >> Application Control >> Application Control List" y
luego damos click en "Create New"
Figura 2.

Donde:
Name: Un nombre que identifique o haga referencia al control de aplicaciones que
queremos crear.
Comments: Podemos dejar un comentario para recordarnos sobre algo especfico.
Enable Logging: Lo habilitamos se queremos que se deje un registro de todas las
aplicaciones que sense esta lista de control
OK: Damos click en OK, para pasar a crear los registros para la lista que estamos
configurando, con lo cual nos aparecer otra pantalla como la mostrada en la figura 3.
Figura 3.

Por defecto, nos apareceran dos reglas implcitas, las cuales nos permitirn monitorear tanto
las aplicaciones reconocidas por el mdulos de Control y las que no son reconocidas. Ya
que no nos detendremos a explicar sobre esto, puede visitar el enlace Cmo Configurar
Application Control en un FortiGate para saber mas al respecto.
Bueno, pues ahora nos toca, crear la regla de control de MSN, as que daremos Click en
"Create New" y seleccionamos IM como Categora y MSN como Aplicacin. Ver figura 4.
Figura 4.

Donde:
Category: Seleccionamo la Categora IM
Application: Seleccionamos la Aplicacin que deseamos Controlar.
Block Login: Si queremos bloquear los Logins de MSN
Block File Transfers: Si queremos Bloquear la Transferencia de Archivos via MSN
Block Audio: Si queremos Bloquear Audio via MSN
Inspect Non-standard Port: Para hacer Inspeccin sobre puertos no standar para MSN
Display DLP meta-information on the system dashboard: Si deseamos que se muestre en
el Dashboard la actividad de MSN
Enable Logging: Para que se muestre la actividad de la aplicaci en los Logs de "Control
de Aplicaciones" del FG.
Una ves damos OK, ya tendremos la regla creado, como en la figura 5, y en este caso, solo
crearemos una.
Figura 5.

Luego damos nuevamente click en OK.

4 - Relacionar el Perfil de Control de Aplicaciones la Poltica de Firewall
Ahora nos toca asociar el perfil de Control de Aplicaciones a la Poltica de Firewall para los
usuarios a los que queremos afectar. Ver figura 6. Para este caso, haremos una politica del
puerto de la LAN hacia el puerto de Internet del FG.
Esto lo hacemos dentro de "Firewall >> Policy >> Policy : Create New"

Figura 6.

Tal como se muestra en la figura de arriba, se ha seleccionado la funcionalidad de UTM y

se habilit la
opcion de "Enable Application Control", d
nde se seleccion el perfil de "control-IM-LA B" que habamos creadopara este propsito.T
ambien s
puede agregar otros perfiles como IPS, Filtrado Web, DLP y or
s, tal cual sea el caso.5 - Administrar las Cuentas de IM (Para permitir o denegar)
Ahora que ya tenemose
tos pasos configurados, podemos administrar las
cuentas de IM, regr esando a la fi
gura 1.Donde podremos agregar as
nuev
cuenas de IM pa ra Permitir o
loquear.

como se muestra en la figura 7. dentro de "User >> User >> IM : Create New"Figura 7
Protocol: Seleccionamos el
rotocolo ( MSN, YAHOO, AIM, ICQ)que para el cual aplica el usuario que queremos decl
arar.Username: Editamos
l nombrede la cuenta de usario con la cual se logu ea en (MSN, YA
O. HOT MAIL, AIM, c)Pol
et
icy: La accin que queremos aplicar, puede ser: Allow o Block.
NOTA I: Como en el Paso 1, hemos declarado que por defecto se bloquear todos los chat reco
nocidos por el FortiGate, s o
o podr n chatear los usuarios que esten en esta lista y que tengan como Poltica "All
ow"NOTA II: Los usuarios que esten
no en esta lista,
apareceranblo queados dentro
de la seccin de monitoreo de IM en: "User
>> Monit or >> IM" en color Gris, desde donde podremos permitirlos o dejarlos b
lo
queados.NOTA III: Los usuarios que permitamo
o bloquemos desde "
ser >>
Monitor >> IM" aparecern de forma automtica en la lista de User >> User >> IM.N
OTA IV: Este control de IM solo se aplicar

Relacionados :
Cmo Activar los Servicios de FortiGuard en un FortiGate
Cmo Configurar Application Control en un FortiGate
Cmo Conectarse a un Equipo Va Cable de Consola Utilizando HyperTerminal
Cmo Conectarse a un Equipo Va Cable de Consola Utilizando Minicom)
Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/