Cómo permitir conectarse por Forticlient sólo a equipos unidos a un dominio específico

Forticlient

Una funcionalidad útil en una conexión VPN SSL con Forticlient, es la habilidad de revisar los permisos de AD de un cliente.

Esto es posible realizarlo desde el propio Fortigate y no requiere licencias o dispositivos adicionales.

Uno de los parámetros más conocidos son:

  • Versión de SO
  • Antivirus instalado
  • Versión de Forticlient instalado

En este ejemplo el perfil de seguridad del cliente es revisado contra la política de VPN SSL junto con los permisos de AD:

La siguiente configuración puede ser usuada para revisar si una computadora conectándose por VPN SSL es parte de un dominio de Active Directory.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
#config vpn ssl web host-check-software
edit 'test-register'
set type fw
set version ''
set guid '00000000-0000-0000-0000-000000000000'

#config check-item-list
edit 1
set action require
set type registry
set target 'HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Tcpip\\Parameters:Domain==<localdomain>'
set version ''
next
<-----Otros items pueden ser agregados al checklist aquí.
end

#config vpn ssl web portal
edit "domain-portal"
set tunnel-mode enable
set host-check custom
set limit-user-logins enable
set auto-connect enable
set ip-pools 'sslvpn-pool'
set split-tunneling disable
set host-check-policy 'test-register'
next

#config vpn ssl settings
set reqclientcert enable
set servercert 'server_cert'
set idle-timeout 1800
set tunnel-ip-pools 'SSLVPN_TUNNEL_ADDR1'
set tunnel-ipv6-pools 'SSLVPN_TUNNEL_IPv6_ADDR1'
set dns-server1 10.0.0.20
set dns-server2 10.0.0.22
set source-interface 'wan1'
set source-address 'all'
set source-address6 'all'
set default-portal 'web-access'
config authentication-rule
edit 2
set groups 'Usergroup1'
set portal 'test'
set realm 'test'
next
edit 3
set groups 'domain-Users"
set portal 'domain-portal'
set realm 'domain'
next
end

De esta forma podemos habilitar el chequeo de dominio o muchos parámetros más para permitir o no conectar un cliente a la VPN SSL de Forticlient.