Configuracin de FortiGate como Proxy Explcito

Anuncios Google
NUCO - Campus Puerto Rico
www.DestinoNuco.com - Completa Tu Carrera Universitaria. Estudiar En Lnea. Aprende Ms!
Configuracin de FortiGate como Proxy Explcito
FortiOS
V4.00 MR2
Modelo
Todos los modelos que soportan v4.00
Condicin
v4.00 MR2 o mas recientes
En esta gua intentaremos explicar la forma de configurar un FG con funcionalidad de Proxy explcito. Para lo cual
requerimos que la version de FortiOS sea v4.00 MR2 o superior. Se condiciona a esta versin y parche, debido a que en
la versin 4.00 y 4.00 MR1, s, se soporta la funcionalidad de Proxy explicito, pero era condicionado a utilizar otro VDOM
u otro FG para poder hacer el control (No se podia tener Proxy explicito y control en el mismo VDOM), lo cual implicaba
muchas algunas configuraciones adicionales, las cuales para el cliente eran un poco tediosas.
Toda la configuracin para esta funcionalidad la haremos en este caso va GUI.
Paso 1: Entramos al GUI del FortiGate con un usuario y password con permisos de administrador
Paso 2: Navegamos navegamos en: System >> Network >> Web Proxy tal como se muestra en la figura 1 en donde
habilitaremos la opcion de Enable Explicit Web Proxy para HTTP/HTTPS
Figura 1:
System Network Web Proxy
Es necesario tambin, analizar cada una de las diferentes opciones que podemos utilizar en esta seccin, para poder
hacer una buena configuracin del Proxy. En esta versin ya se soporta ademas habilitar Proxy para FTP y PAC (Proxy
Auto-Config), puede encontrar mayor informacin aqu.
Listen on Interfaces: Nos muestra qu interfaces estan configuradas para permitir peticiones de proxy. (Ver paso 3)
HTTP Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para http
HTTPS Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para https
FTP Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para ftp
PAC Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para PAC segn la configuracin que
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
1 of 6 1/22/2012 10:37 PM
PAC Port: Indicamos por que puerto queremos escuchar peticiones de Proxy para PAC segn la configuracin que
hayamos hecho de este archivo
PAC File Content: Nos permite ver y/o modificar el archivo PAC que luego distribuiremos a nuestros usuarios. (Solo si se
ha activado esta funcin)
Unknown HTTP version: Nos permite indicar qu hacer cuando el Proxy reciba Peticiones o Mensajes de un host con una
versin de HTTP desconocida.
Realm: Declaramos un nombre para el Reino del Proxy
Default Firewall Policy Action: Qu accin por default se quiere tomar.
* Accept: Permitir a todos los navegadores que apunten al proxy poder navegar de forma default.
* Deny: Negar el trfico que sea solicitado por cualquier navegador que apunte al proxy, y solo permitir a aquellos host
que esten permitidos por las polticas de Firewall.
Es importante ademas, comprender algunos aspectos sobre los mensajes de error de HTTP 1.1 para lo cual recomiendo
visitar este link Cdigos de errores HTTP , esto nos servir mucho al momento de hacer algun tipo de troubleshooting
necesario.
Paso 3: Configuracin de las interfaces a traves de las cuales se aceptar peticiones de Proxy. Para esto vamos a
System >> Network >> Interface y editamos la interface que nos interese, tal como se muestra en figura 2 y Habilitamos
la opcion de Enable Explicit Web Proxy
Figura 2:
System Network Interface
Paso 4: Determinar qu tipo de control se requiere para los host que esten haciendo proxy a traves de nuestro FG. Con
lo que sera necesario crear Perfiles de Proteccin, Grupos de Usuarios, Direcciones IP, Politicas de firewall etc.
En este caso, haremos auntenticacin de usuarios de forma Local, usando la base de datos local del FortiGate. Para
esto crearemos primero los usuarios y luego el grupo para ser asociado con la poltica de Forewall en el paso 5.
Creacion de usuarios.
Figura 3:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
2 of 6 1/22/2012 10:37 PM
Creacin de Grupos.
Figura 4:
Paso 5: Como se ve en la figura 3, ahora en la seccin de Firewall >> Policy >> Policy >> Create New, cuando
intentamos crear una nueva poltica aparece una nueva Interface la cual es llamada: Web-Proxy y es solo seleccionable
en la opcin de "Source Interface/Zone".
Figura 5:
Firewall Policy
En la figura de arriba se muestra una poltica en donde se indica que: Cualquier trfico de navegacin que venga por el
puerto 8080 (es el puerto por el que haceptamos peticiones de proxy) y sea del Host con IP 192.168.2.218
(Natanael-218) desde la Interface "Web-Proxy" y lleve como destino "Internet" sera permitido (Accept), pero; solo si el
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
3 of 6 1/22/2012 10:37 PM
(Natanael-218) desde la Interface "Web-Proxy" y lleve como destino "Internet" sera permitido (Accept), pero; solo si el
usuario es autenticado. Esto, debido a que hemos activado la opcin de " Enable Identity Based Policy", la cual forzar al
navegador para que sea autenticado.
Paso 6: Una vez hechas las configuraciones en el FG, nos toca configurar el el Navegador para declarar las
configuraciones de Proxy. Para una configuracin de un Firefox 3.5 para Linux, lo que se debe de hacer es: Click en Edit
>> Preferences. Vease figura 4.
Figura 6:
Edit Preferences Advanced Network Settings
Luego damos en Advanced >> Network >> Settings como se ve en la figura de abajo, para la configuracin del Proxy en
el navegador.
Figura 7:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
4 of 6 1/22/2012 10:37 PM
Network Settings816
Hecho esto, si navegamos en cualquier sitio, desde nuestro navegador, lo estaremos haciendo a traves del Proxy FG.
Debido a que en nuestro caso hemos habilitado Autenticacin por Usuarios, la primera peticion que hacemos a Internet a
travs del Proxy se nos solicita un usuario y Contrasea, como se ve en la figura 6, si el usuario y password es correcto,
hasta entonces podremos navegar a los sitios solicitados.
Figura 8:
Solititud de Usario y Contrasena
Para el caso que estemos haciendo proxy para un sistema Windos con IE, debemos tomar en cuenta que tambin, los
settings del IE pasan para el Windows Live Messenger, por lo tanto, si estamos usando autenticacin ser necesario
declararlo en las configuraciones del MSN dentro de Opciones >> Conexion >> Configuraciones Avanzadas, donde
debemos de declarar nuestro Usuario y Password de autenticacin al Proxy
Para el caso de MSN para Linux, existe una gran cantidad de programas, pero en esta ocacin lo hemos probado con el
programe "emesene" el cual est hecho para emular casi en su totalidad a un MSN para Windows. Para esto, basta con
abrir el programa "emesene" ver figura 7, luego damos en Options >> Preferences y configuramos los settings
necesarios para el proxy y la autenticacin.
Figura 9:
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
5 of 6 1/22/2012 10:37 PM
EMESENE
En la Figura 8, se muestra los settings para nuestro caso, en donde ademas se debe seleccionar la opcion de Use HTTP
Method
Figura 10:
Settings emesene
NOTAS: Al dia de este laboratorio, todaba no funciona las opciones de SafeSearch y Application Control para el trfico
va proxy.
Aun no se muestran los usarios autenticados y los logins de IM en la seccin de User >> Monitoring >> Firewall e IM
para trafico va
Proxy
Configuracin de FortiGate como Proxy Explcito - Taringa! http://www.taringa.net/posts/hazlo-tu-mismo/11571917/Configuracion-de...
6 of 6 1/22/2012 10:37 PM