Fortigate: Tutorial uso de Application Control

 

Application Control is a next generation feature from Fortigate that allows you identify, monitor and manipulate Layer 7 (Application) traffic very easily in the Firewalls (F.e. traffic like Facebook, Salesforces, Office 365, etc).

This feature works in conjuction with Fortianalyzer which can provide Network monitors and graphs showing Bandwidth utilitzation, number of sessions, and


Application Control configuration in the Fortigate firewall

Go to Application Control under Security Profiles

 

Create a new Application Sensor

1.JPG

Note the different Application categories that are displayed under the Sensor. Inside each category we will find many different known applications such as:

- Collaboration (Microsoft Teams, Skype for Business, Cisco Jabber...)

- SocialMedia (Facebook, Instagram, Twitter...)

- CloudIT (AWS, Azure, etc)

2.jpg

As mentioned above, we can manipulate the Application traffic using any of the following the following actions:

- Monitor -> This action allows the targeted traffic to continue on through the FortiGate.

- Allow -> This action allows the targeted traffic to continue on through the FortiGate unit but logs the traffic for analysis.

- Block ->This action prevents all traffic from reaching the application and logs all occurrences.

- Quarantine -> This action allows you to quarantine or block access to an application for a specified duration that can be entered in days, hours, and minutes. The default is 5 minutes.

3.JPG

We can also apply features/actions on specific applications under Aplications Overrides (f.e.: If we want to add a Traffic Shaper policy just for Skype for Busines traffic only).

Alternatively, if we want to filter any specific Application traffic it needs to be defined under Filter Overrides.

Very Important to Allow QUIC as it's a protocol used in Google Chrome browser!

4.JPG

Once the Sensor is created, we just simply need to apply it on a Firewall Policy like for example a Policy that permits access to the INTERNET. And we are done !

5.JPG

On FortiAnalyzer under SOC > Fortiview > Applications & Websites we will be able to see Application monitoring based on the Sensor and the FW Policy we created

Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido leer por INTERN
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Cisco ISE | Certificados SSL públicos para Guest Portal

Imagen
El otro día recibí un mensaje por parte de un usuario guest que se quejaba que no podía conectarse a nuestra red de Guest en una de nuestras oficinas debido a que se encontraba con un mensaje similar a este en su navegador Chrome:      Concretamente me comentaba que al hacer click al boton azul "Connect" no lograba conseguir la redirección. Para poneros en situación, esta red de Guest utiliza la solución de "Guest Portal" de Cisco ISE que simplificandolo funciona de la siguiente manera: - El cliente se connecta a la SSID de Guest (Ejemplo: Guest-ISE) - El cliente recibe una dirección IP del cliente DHCP y luego abre una pagina cualquiera en su navegador preferido donde redirecciona al Guest portal para registrar sus datos (Nombre, Apellidos, Mail, etc) - Una vez registrado, el Guest Portal proporcionara un usuario y contraseña para acceder a la red wifi de Guest (suele tener una duración temporal) - El usuario introduce las credenciales y puede navegar a INTERNET S
Leer más