FortiNAC verhoogt de drempel voor connecties op wired en wireless netwerken, maakt infra management visueel en is een regelbord voor fysieke aansturing bij security incidenten. Maar hoe ga je om met VPN users?
Meest logische antwoord is FortiClient (EMS) met ZTNA, maar wat als je al endpoint oplossing hebt waar je tevreden over bent of als deze al diep in de omgeving is geïntegreerd met ander point producten en er 3 jaar support zit op zo’n dergelijk product?
In zo’n geval kan FortiNAC ook uitkomst bieden door VPN gebruikers te authentiseren en te provisionen. Naast standaard device modeling van een FortiGate is additionele syslog forwarding en een fabric connectie tussen FortiNAC (min v 9.2.2) en Security Fabric (min FOS v7), nodig voor “tagging”.
Met de tags is het mogelijk om VPN gebruikers te laten landen in een access policy, mits deze endpoints beschikken over FortiNAC persistent agent, waarmee een succesvolle endpoint compliance scan voltooid moet zijn. Zo niet dan blijft de client in de isolation access policy.
Dit kan ook met gebruik van de VPN only versie van FortiClient. Let wel, op deze VPN client wordt geen support gegeven. Het heeft daarom de voorkeur om dit bijvoorbeeld met Fortinet Advanced Partner of soortgelijk gekwalificeerde integrator te borgen.
De flow is als volgt:
- Endpoint maakt VPN verbinding.
- FortiNAC Radius Server is authenticatie server
- FortiGate notificeert FortiNAC m.b.v. syslog messages over nieuwe VPN connectie.
- Endpoint landt in een policy met alleen access naar de FortiNAC VPN (Isolation) Interface.
- Persistent Agent op endpoint maakt verbinding met FortiNAC.
- FortiNAC start profiling en policies.
- FortiNAC scant endpoint.
- Endpoint scan faalt.
- FortiNAC kent geen “Logical Network” toe en endpoint blijft geïsoleerd.
- Endpoint scan succesvol.
- ForitNAC kent “Logical Network” toe aan endpoint met benodigde access policy.
- Logical Network configuratie bevat de firewall “tag”.
- Tags worden met interval gesynchroniseerd of ad-hoc aangemaakt.
- Tags kunnen op de FortiGate gebruikt worden in policies.
- De tags worden als adres object aangemaakt.
De implementatie van deze workflow staat gedocumenteerd en is onderdeel van trainingen, maar met combinaties van platforms en versies zit het venijn in de details. Zo gebeurt het synchroniseren van tags op andere wijze bij diverse platform versies.
Onderstaande configuratie is toepasbaar op FortiNAC (min v 9.2.2) en Security Fabric (min FOS v7):
Deze beschrijving is beknopt en gaat uit van bepaalde bestaande configuratie, raadpleeg voor complete aanwijzingen en aanvullingen de integration guide op docs.fortinet.com.
Creëer in FortiNAC een Security Fabric Connectie:
Autoriseer het FortiNAC Fabric connectie verzoek op de FortiGate:
Stel benodigde syslog settings en filters in op de FortiGate:
Configureer de Local Radius server op FortiNAC met de optionele Winbind configuratie.
Stel FortiNAC in als Radius (en accounting) server op de Fortigate:
Maak een Firewall group met bovenstaande authenticatie server:
Maak een IP range aan voor SSLVPN:
De firewall group en IP range worden gebruik in de SSL VPN settings
Stel de VPN portal en settings in op de FortiGate:
Configureer deze op de CLI om de benodigde DNS suffix mee te geven.
Users die in een van de andere firewall groepen vallen gaan naar de SSLVPN-Split portal.
User die niet op matchen op groepen voor andere portal vallen terug op de default SSLVPN-fnac portal.
Stel de VPN pool op de FortiGate gelijk aan de VPN Pool op de FortiNAC VPN Isolation Interface:
Stel ook de DNS suffix identiek in aan wat op de FortiGate is ingesteld.
Modelleer de FortiGate als device in de FortiNAC inventory:
Maak in FortiNAC een LDAP authenticatie aan en selecteer gewenste AD groepen:
LDAP Groepen worden gesynct naar FortiNAC:
Maak NAC policies aan in FortiNAC, gebruik de gesynchroniseerde LDAP groepen:
Pas de model configuratie aan van het gewenste VDOM in FortiNAC:
Maak Firewall Tags voor Logical Networks gebruikt in de NAC Policies
De Firewall Tags worden via Security Fabric aangemaakt op de FortiGate:
Maak firewall policies voor de op de CLI, gui zal een error geven:
Voer de policy in op de CLI, voor de overige policies kan de integration guide geraadpleegd worden:
Maak verbinding met een client:
Log entry FortiGate als client verbinding maakt:
Log entry FortiNAC User authentication Event:
FortiNAC host matched op policy en geeft tag waarde:
Log Entry: FortiGate Dynamic Address update:
FortiGate Dynamic Address Object wordt bijgewerkt:
FortiGate policy met Dynamic Address Object wordt bijgewerkt:
Bij disconnect wordt het Dynamic Address Object weer direct bijgewerkt.
