Fortigate | Implement AAD Group based firewall rules for FortiClient SSLVPN

@AZURE

1.1. Create SAML enteprise Applicarion. We will call it Fortigate SSL VPN


1.2. Define AAD User groups that will have access to the Enterprise Application. Take note of the Object ID as it will use later in the Fortigate firewall.


1.3. Download Enterprise Application's SSL certificate. This will be imported in the Forigate firewall manually on later stage.



@FORTIGATE FIREWALL

NOTE: Forticlient SSLVPN settings are ignored in this step.

2.1. Import Azure's Enterprise Application SSL certificate on Fortigate Firewall (downloaded in Step 1.3)



2.2. Create SAML Sign-Sign On group. We will call it 'ssl-azure-saml'


2.3. Create an User Group called 'AAD-SSL-VPN-USERS' pointing to the Object Id of the and the AAD Group (this can be found in Azure in step 2). This User group will be used in the Firewall Policies in order to filter 


2.4 .Create Firewall Policy to restrict traffic to VPN Users AAD group while using the AAD-SSL-VPN-USERS object.



If we wanted to restrict the traffic from another AAD Group we just need to repeat step 2.3 while creating another User group pointing to a different Object Id.

As an example, another AAD Group called HR Users with Object Id xxxxxxxx-yyyy-zzzz-aaaa-bbbbbbbbbbbb would need to be created as done in step 2.3 and then this new User group can be assigned to another Forticlient firewall rule to filter the traffic to this particular User group

Please note that it does not matter if the Fortigate User Group is being included in the Enterprise Application AAD groups list (refer to step 1.2) or not as it simply works :)




Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido leer por INTERN
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Cisco ISE | Certificados SSL públicos para Guest Portal

Imagen
El otro día recibí un mensaje por parte de un usuario guest que se quejaba que no podía conectarse a nuestra red de Guest en una de nuestras oficinas debido a que se encontraba con un mensaje similar a este en su navegador Chrome:      Concretamente me comentaba que al hacer click al boton azul "Connect" no lograba conseguir la redirección. Para poneros en situación, esta red de Guest utiliza la solución de "Guest Portal" de Cisco ISE que simplificandolo funciona de la siguiente manera: - El cliente se connecta a la SSID de Guest (Ejemplo: Guest-ISE) - El cliente recibe una dirección IP del cliente DHCP y luego abre una pagina cualquiera en su navegador preferido donde redirecciona al Guest portal para registrar sus datos (Nombre, Apellidos, Mail, etc) - Una vez registrado, el Guest Portal proporcionara un usuario y contraseña para acceder a la red wifi de Guest (suele tener una duración temporal) - El usuario introduce las credenciales y puede navegar a INTERNET S
Leer más