guzik » fsae http://guzik.net.pl/blog Mój blog Fri, 27 Jan 2012 22:13:05 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Fortinet – aktualizacje oprogramowania http://guzik.net.pl/blog/2010/01/fortinet-aktualizacje-oprogramowania/ http://guzik.net.pl/blog/2010/01/fortinet-aktualizacje-oprogramowania/#comments Sat, 09 Jan 2010 09:29:28 +0000 guzik http://guzik.net.pl/blog/?p=1480
  • FortiGate 4.0MR1 patch 2 (build 0192)
  • FSAE 3.5.051 – dostępny jest też sam agent (zarówno dla 32- jak i 64-bit oraz .exe i .msi)
  • Release notes
    • ]]>     http://guzik.net.pl/blog/2010/01/fortinet-aktualizacje-oprogramowania/feed/ 1     Po co mi FortiGate? http://guzik.net.pl/blog/2009/05/po-co-mi-fortigate/ http://guzik.net.pl/blog/2009/05/po-co-mi-fortigate/#comments Wed, 20 May 2009 10:22:17 +0000 guzik http://guzik.net.pl/blog/?p=796 W związku z moimi problemami z FortiGate zacząłem się zastanawiać po co go w ogóle używam i czy na pewno nie da się go zastąpić innym urządzeniem. I tak:

    • router / (S|D)NAT – można zastąpić czymkolwiek,
    • filtrowanie stron WWW – kiedyś przyglądałem się SquidGuard, myślę, że można wrócić do tematu i przyjrzeć się temu,
    • IDS  – Snort + SnortSam,
    • uwierzytelnianie użytkowników w Active Directory – nie znalazłem niczego takiego!

    I z racji ostatniego kryterium, postanowiłem zaprojektować sobie coś takiego samemu. Ze względu na uwielbienie pf wybrałem OpenBSD (i żeby noszenie koszulki miało uzasadnienie), który służył mi przed FortiGate. Wzorowałem się trochę na dokumentacji Fortinet (prezentacja MS Power Point), bo model, który oferują nie jest zły. Cały proces składa się z następujących kroków:

    1. Użytkownik uruchamia swój komputer i loguje się do domeny.
    2. Agent zdobywa informację z serwera o nazwie użytkownika (i przynależności do grup) i nazwie maszyny, z której nastąpiło logowanie (FQDN).
    3. Agent sprawdza IP maszyny i odpowiedź klienta (Fortinet proponuje testowanie portu TCP:139 lub TCP:445).
    4. Dane o użytkowniku przesyłane są do zapory – FortiGate dostaje nazwę użytkownika i grupy oraz adres IP. Wydaje mi się, że wystarczający jest sam adres sieciowy, natomiast pozostałe dane jedynie do prezentacji.
    5. Zapora buduje sobie odpowiednie reguły.
    6. Ruch od klienta jest przepuszczany.

    Oczywiście świadomie rezygnuję z ‘wyklikanego’ interfejsu, bo z autopsji wiem, że takich reguł nie ma wiele i nie zmienia się ich praktycznie w ogóle. Idea tego rozwiązania od początku polegała na tym, że ktoś robi zaporę raz, a zarządzanie dostępem zrzuca się na osobę administrującą kontrolerem domeny (lub mającą oddelegowane prawa).

    Pomocniczy schemat wygląda tak:

    fw + AD

    Elementami potrzebnymi będą:

    • agent wyciągający dane z kontrolera domeny i przesyłający je dalej,
    • demon działający na OpenBSD i modyfikujący odpowiednio reguły.

    Zabieram się za podsłuchiwanie ruchu pomiędzy FortiGate, a AD, żeby przyjrzeć się jak wygląda komunikacja pomiędzy tymi elementami. Może to pomoże przy własnym rozwiązaniu, ew. uda się skorzystać z FSAE i stworzyć rozwiązanie przejściowe.

    Co do programowania, to otwarcie szukam ludzi, którzy mogli by zająć się dowolnym elementem tego rozwiązania. Pomocą przy pisaniu demona pod OpenBSD mogą być źródła np. relayd (komunikacja z pf). Jeśli chodzi o Windows, to szukam sposobu na uzyskiwanie danych z AD.

    Każdy palec potrafiący przycisnąć coś na klawiaturze mile widziany!

    ]]>     http://guzik.net.pl/blog/2009/05/po-co-mi-fortigate/feed/ 2     MS-2199 + FSAE http://guzik.net.pl/blog/2009/03/ms-2199-fsae/ http://guzik.net.pl/blog/2009/03/ms-2199-fsae/#comments Tue, 31 Mar 2009 19:23:16 +0000 guzik http://guzik.net.pl/blog/?p=721 Pod koniec zeszłego tygodnia brałem udział w szkoleniu Fortinet Server Authentication Extensions (FSAE) + MS-2199 Active Directory Fundamentals. Jak większość technicznych szkoleń, w których ostatnio uczestniczę, organizowało je Compendium Centrum Edukacyjne Sp. z o. o.; prowadzenie: Daniel Guga.
    Zdecydowanie polecam tego człowieka, jeśli chodzi o szkolenia Microsoft. Wiedza teoretyczna poparta dużą praktyką – nie ma trudnych pytań, na wszystkie problemy, z którymi ja spotkałem się miał odpowiedź – gotowe rozwiązanie lub jakieś obejście.
    W temacie FSAE (Fortinet) był mniej biegły, co sprawiało wrażenie, że poznał FSAE dla potrzeb szkolenia, no ale w gruncie rzeczy zbyt wiele z tym się nie da zrobić i nawet po takim przedstawieniu sprawy każdy powinien dać radę tym zarządzać (ja męczę to od blisko pół roku, więc conieco już o tym wiem).

    Generalnie jadąc na jakiekolwiek szkolenie polecam zapoznać się z tematem dużo wcześniej, poklikać samemu, poszukać w sieci rozwiązań i dopiero wtedy spotkać się z praktykującym teoretykiem.

    A teraz o wszystkim co było dookoła. Miejsce: Kraków, czyli atrakcji moc. Czas trwania: 2 dni, więc niezbędny nocleg. Gdzie? Oczywiście w hostelu Kadetus. Na wejściu recepcjonistka przeprosiła mnie za remont ‘Jokera’ i dostałem (prawie) apartament. Nie mam nic przeciwko, by remontowali tam zawsze jak będę ich odwiedzał ;-) Po powrocie, przedstawiając delegację zostałem wezwany i słyszę z ust sekretarki: „Bartku, tutaj jest błąd. Wpisałeś 35 PLN :-D”. No cóż. Niektórzy muszą mieć trzy cyfry, by się wyspać…

    ]]>     http://guzik.net.pl/blog/2009/03/ms-2199-fsae/feed/ 0