Fortinet

Esta guía le mostrará de manera detallada las diversas formas y metodologías para integrar soluciones de Fortinet con Ironchip.

 

Posibilidades:

• SAML
• RADIUS

 

SAML

Esta guía, explica como integrar la VPN de Fortinet con la autenticación de Ironchip por SAML.

 

Requisitos:

• Acceso al panel de Ironchip
• Usuario con permisos para realizar la configuración en Fortinet

Pasos a seguir:

• Configuración de Ironchip
• Configuración de FortiGate
• Configuración de Ironchip 2
• Configuración de FortiGate 2
• Configuración Adicional
• Habilitar autenticación por SAML o contraseña simultáneamente (Opcional)

Configuración de Ironchip

 

Dentro del panel de ironchip, crea una nueva aplicación tipo SAML.

Para ello, en el apartado de Applications pulsa en el botón verde New application.

Selecciona tipo SAML y descarga los metadatos, los cuales utilizaremos en los siguientes pasos.

Más adelante continuaremos con la configuración de Ironchip.

 

Configuración de FortiGate

Dentro del panel de administración de FortiGate, dirígete a User & Authentication > Single Sign-On y pulsa en el botón Create New en la parte superior izquierda.

En este punto, deberemos configurar varios parámetros, todos obligatorios para el correcto funcionamiento:

1. Name: Introduce un nombre identificativo.
2. Address: Dirección IP publica a la cual se enviara la solicitud de autenticación. (Normalmente la misma IP que la VPN)
3. Parámetros SAML: URLs que utilizara Ironchip para comunicarse con Fortinet.
4. Certificate: Certificado de Fortinet que se utilizara.

Pulsa en el botón "Next", y en este segundo apartado, deberás editarlo utilizando comandos.

Para ello pulsa en el botón Edit in CLI.

Se desplegará una consola de comandos, y aparecerán los comandos disponibles, de todos ellos deberás ejecutar los siguientes cambiando algunos parámetros:

-         set entity-id "https://<IP VPN>/remote/saml/metadata/"

-         set single-sign-on-url "https://<IP VPN>/remote/saml/login"

-        set single-logout-url "https://<IP VPN>/remote/saml/logout"

-        end

Cierra la terminal y pulsa CANCELAR, esto evitará que se restablezcan los datos por defecto de nuevo.

Configuración de Ironchip 2 

De vuelta en la aplicación de Ironchip, deberemos introducir el URL de metadatos que utilizara para comunicarse con Fortinet.

Obtener URL de metadatos para IRONCHIP

Abre una terminal en fortinet y ejecuta el siguinete comando:

-            diag vpn ssl saml-metadata "<SAML NAME HERE>"

Cuando haya generado este código, súbalo a una dirección pública de Internet y provea esta URL en formato raw añadiéndola al campo Metadata URL en la plataforma IRONCHIP.

Pulse en Add service para terminar la configuración en Ironchip.

 

Configuración de FortiGate 2

En la pantalla donde nos quedamos en Fortinet, configuraremos Fortinet para que se comunique con Ironchip.

Para este paso deberás tener abierto el archivo de metadatos descargado anteriormente en Ironchip.

Sigue los siguientes pasos:

1. Type: Custom
2. URLs del idp: 
   1. Para la EntityID utiliza la propiedad “EntityID” en el tag XML “EntityDescriptor”.
   2. Para la URL Assertion consumer service utiliza la propiedad “Location” en el tag XML “SingleSignOnService”.
   3. Para la URL Single logout service, busque de nuevo la propiedad “Location” en el tag XML “SingleLogoutService”.
   4. Para la subida del certificado que requiere, genere un nuevo fichero con extensión “.crt” y guarde en ese archivo el resultado de pegar dentro del primer campo de esta herramienta (https://www.samltool.com/format_x509cert.php) el contenido del tag XML “X509Certificate” del archivo de metadatos, ambos certificados son idénticos.
3. Los atributos que debes introducir son los siguientes:
   1. Attribute used to identify users: urn:oid:0.9.2342.19200300.100.1.1
      
   2. Attribute used to identify groups: urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Una vez terminado, pulsa en Submit para guardar la configuración.

 

Configuración Adicional

Para terminar la configuración, deberás ajustar algunos parámetros adicionales:

Crea un grupo que tenga como miembro la configuración de SSO de Fortinet.

Añade el grupo a la configuración de la SSL VPN en el apartado Authentication\Portal Mapping.

Añade a la política de la VPN el grupo creado en el apartado Source.

Configura los tiempos de autenticación mediante una terminal

El último paso debe de ser configurar el timeout de Fortinet a 60 segundos de forma que le dé tiempo a los usuarios a completar una autenticación. Para hacer esto, abra una terminal de Fortinet haciendo clic en el icono correspondiente en la parte superior derecha y escriba:

Esto permitirá que los usuarios del grupo asociado tengan 60 segundos para autenticarse.

config user group

edit <<EL NOMBRE DE TU GRUPO DE USUARIOS PROTEGIDO>>

set authtimeout 60

end

config system global

set remoteauthtimeout 60

end

 

Habilitar autenticación por SAML o contraseña simultáneamente (Opcional)

Opción-1: Añadir los usuarios locales al grupo creado previamente.

Opción-2: Crear un nuevo grupo con los usuarios locales, y añadirlos a la política creada y a las opciones de VPN.

Y lo añadimos a SSL-VPN Settings y a la política que hemos creado previamente:

 

RADIUS

En esta guía se detalla el proceso de implementación y configuración del servicio RADIUS en Fortinet, así como su integración con un servidor NPS en un entorno de Active Directory.

 

Requisitos

• Tener un Directorio Activo funcional
• Tener el rol de NPS instalado en un Windows Server 
• App de Ironchip descargada

Pasos a seguir:

• Configuracion NPS
• Usuarios y Grupos
• Configurar la VPN
• Política de Firewall
• Comprobar su funcionamiento con Forticlient

 

Configuración NPS 

El primer paso es muy sencillo, hay que crear un servidor RADIUS que apunte a la IP de FORTINET.

Para ello, en tu servidor AD, abre el menú de configuración NPS (Servidor de directivas de redes) y crea un nuevo cliente RADIUS.

En el panel que se ha abierto tiene que insertar los siguientes datos:

1. Nombre identificativo para RADIUS
2. IP del FORTINET
3. Una clave secreta para RADIUS

 

Usuarios y Grupos

Entra en el panel de configuración de FORTINET mediante un navegador y la IP de tu FORTINET.

Una vez aquí, dirígete User & Authentication > RADIUS Servers y añada uno nuevo

Rellene los datos que le pide

-Nombre identificativo

-IP del servidor donde creo el RADIUS

-Secreto de RADIUS

Para confirmar que se conectó correctamente, pulse en Test Connectivity, en el caso de dar Successful, pulse en Test User Credentials e inicie sesión con un usuario de su dominio. En caso de fallo, prueba a modificar el firewall de Windows Server (en ocasiones no permite la conexión).

El siguiente paso consiste en crear un grupo y usuarios que hagan referencia al dominio en Fortinet.

Para ello ve a User & Authentication > User Groups y añada uno nuevo.

Ponle un nombre, selecciona la opción Firewall y en remote groups selecciona tu servidor RADIUS.

 

Para configurar los usuarios dirígete a la pestaña User Definition y por cada usuario que quieras crear sigue estos pasos:

1. Create New
2. Remote RADIUS User
3. Usuario con formato dominio\usuario y selecciona el servidor RADIUS antes creado
4. Two-factor deshabilitado
5. Habilita la opción User Group y selecciona el grupo creado

Por otro lado podemos añadir un atributo en la directiva creada en el dominio para que no tengamos que crear los usuario uno a uno.

Para ello vamos a Servidor de directivas de red y nos aparecerá esta ventana:

 

 

Ahora nos dirigimos a Directivas > Directivas de red  y hacemos doble clic en la directiva

Seleccionamos el apartado de Configuración, en atributos RADIUS seleccionamos especifico del proveedor, hacemos clic en agregar:

En le desplegable donde poner proveedor seleccionamos personalizado y seleccionamos la opcion vendor-specific

Al darle a agregar nos aparecerá la siguiente ventana:

Hacemos clic en agregar, y la configuración de la siguiente ventana la dejaremos de la siguiente forma:

Por ultimo aremos clic en configurar atributo y la configuración de la ventana que nos aparecerá a continuación la dejaremos de la siguiente forma:

1- Numero de atributo asignado por el proveedor lo pondremos en 1

2- Formato del atributo sera cadena

3- En valor de atributo indicaremos el grupo creado en Forti anteriormente

 

Configurar la VPN

Para configurar la VPN ve a VPN > SSL-VPN Settings

Modifica cada campo de la siguiente manera:

-Selecciona los puertos que vas a utilizar, por ejemplo el puerto WAN o LAN.

-Cambia el puerto para que no haya conflictos, se recomienda 4443 o 10443.

-No es necesario crear un certificado, pero puedes crear uno autofirmado si lo necesitas.

Si avanzas asta el final de la página, verás otros dos campos a configurar:

Crea una nueva regla pulsando en create new y selecciona tu grupo de usuarios, le colocas full.access. Pulsa apply para finalizar.

 

Política de Firewall

El siguiente paso es crear una política para el Firewall.

Nos dirigimos a la pestaña de Policy & Objects, luego Firewall Policy y realizamos la siguiente configuración:

Asignamos un nombre a la política, el cual se escribirá en la aplicación del Dashboard de Ironchip y en el plug-in.

En Incoming Interface seleccionamos la opción SSL-VPN-tunnel-interface.

En Outgoing Interface seleccionamos la interfaz física.

En Source seleccionamos la opción de all y también es muy importante seleccionar el grupo que hemos creado.

En Destination seleccionamos la opción de all.

En Service seleccionamos la opción ALL.

Una vez configurados todos estos parámetros, para continuar pulsamos en OK.

El último paso debe de ser configurar el timeout tanto de Fortinet como de la conexión de RADIUS a 60 segundos de forma que le dé tiempo a los usuarios a completar una autenticación. Para hacer esto, abra una terminal de Fortinet haciendo clic en el icono correspondiente en la parte superior derecha y escriba:

config user group

edit <<EL NOMBRE DE TU GRUPO DE USUARIOS PROTEGIDO>>

set authtimeout 60

end

Esto permitirá que los usuarios del grupo asociado tengan 60 segundos para autenticarse.

Haga lo mismo para la conexión de RADIUS:

config system global

set remoteauthtimeout 60

end

Por ultimo cambiaremos la configuración en forti para que cuando nos intentemos autenticar no mande mas de una petición:

config user radius 

edit <<NOMBRE DEL SERVIDOR RADIUS AÑADIDO A FORTI>>

set timeout 60

 

Aplicación Ironchip

 

Comprobar su funcionamiento con Forticlient

Nota: Es importante que tanto el servidor NPS, como Fortinet estén iniciados al momento de realizar las pruebas.

Lo primero, al acceder a Forticlient seleccionamos la opción de ACCESO REMOTO.

En la siguiente ventana elegimos la opción de Configurar VPN.

Esta nos desplegará una pantalla donde iremos colocando todos los datos de la VPN, también es importante respetar el mismo patrón de identificación del usuario que se haya establecido en el grupo y en la aplicación del panel de gestión de Ironchip.

Luego de colocar todos los datos necesarios para realizar la conexión, debemos pulsar Guardar.

En la siguiente pantalla tendremos el nombre de la conexión que dimos antes, el nombre del usuario y solo quedaría colocar la contraseña del mismo.

Luego pulsamos en Conectar.

Nota: en este punto es importante tener deshabilitado el Firewall del ordenador, ya que no permite la conexión.

Nos aparecerá una ventana de Alerta de seguridad, leemos lo que nos muestra y damos a la opción Sí.

Una vez aceptada, deberá continuar con el proceso de conexión, en este momento recibirás un mensaje para autorizar el acceso mediante la aplicación de Ironchip, al aceptarla se completará el proceso de conexión.

Ya establecida la conexión nos aparecerá una ventana como está con una breve descripción de la conexión:

Video