Fortinet Proxy con firmware 4.0 Dalla versione di firmware 4.0 è stata introdotta la possibilità di configurare l’appliance Fortinet come proxy con delle regole di webfilter. Per fare questo è necessario abilitare i vdom, in quanto su un’istanza di vdom abiliteremo la funzione proxy mentre sull’istanza principale abiliteremo le funzioni di filtro web ed eventuale autenticazione. Questo lo schema di rete
Secondo questa topologia installeremo il Fortigate con ip 10.200.1.238, poi lo partizioneremo in due vdom, di cui il primo “root” rimarrà con ip 10.200.1.238 e verrà utilizzato per il webfilter, mentre il secondo attiverà la nuova funzione di “Explicit Web Proxy” e sarà il proxy a cui tutti i browser della nostra rete punteranno. Le interfacce di rete che saranno utilizzate saranno la porta del vdom rootda collegare alla Lan e la porta del vdom proxy su cui abilitare il servizio “Explicit Web Proxy”. Quest’ultima potrà anche non essere connessa agli switch. Passiamo alla configurazione. Per prima cosa bisogna attivare i vdom, procedendo dall’interfaccia principale del menù status, andare su “Virtual Domain” e cliccare enable.
A questo punto comparirà il menù vdom sulla sinistra e si potrà procedere all creazione del vdom proxy tramite l’apposito tasto.
Una volta creato il nostro vdom “testproxy” osserviamo che non sono presenti interfacce di rete fisiche già assegnate ma solo quella dell’sslvpn.
Abbiamo scelto la porta5 come interfaccia da assegnare al nuovo vdom e su cui abiliteremo il servizio “Explicit Web Proxy”, quindi assegneremo un ip di una nuova classe su quella porta, nel nostro caso 10.222.1.238.
Per assegnare la porta5 al vdom “testproxy” aprire i settaggi della porta dal menù network>interface
Selezionare il vdom “testproxy” e applicare. Spuntare l’opzione “Explicit Web Proxy” per abilitare la funzione proxy sull’interfaccia. A questo punto l’interfaccia dovrebbe comparire nel vdom relativo.
Ora si devono connettere i due vdom. Per non sprecare le interfacce fisiche possiamo creare dei vdom link, da network -> interface -> create new
Per creare il link bisogna assegnare un nome e due ip, uno per ogni interfaccia che sarà connessa dal link e i vdom da collegare. Nel nostro esempio useremo l’ip 10.10.10.1 lato vdom root e l’ip 10.10.10.2 lato vdom testproxy
Fatto questo compariranno sotto le interfacce fisiche le due interfacce appertenti ai due capi del vdom link
Dopo aver creato il vdom link (noteremo la presenza della nuova interfaccia di rete in ogni vdom), possiamo procedere con la configurazione del vdom proxy cliccando sul bottone evidenziato
Per prima cosa bisogna definire nel vdom proxyun nuovo default gateway puntando all’interfaccia vdom link del vdom root. Infatti il vdom proxy dovrà passare dal vdom root per navigare su internet.
A questo punto si possono fare delle regole per permettere alle richieste dei browser di raggiungere il proxy e per permettere al proxy di navigare(ricordando che la port5 è la porta su cui è stato abilitato il servizio proxy e proxy-link1 l’interfaccia che comunica col vdom root e sui cui transita il traffico web in entrata e uscita).
Ora si passa ad abilitare la funzione proxy sul vdom sulla porta 3128 dal menù Network-> WebProxy
Poi si può passare a configurare il vdom root
Il vdom root avrà già un default gateway impostato precedentemente, che sarà quello della lan (nel nostro caso 10.200.1.1). Ora bisogna aggiungere una route statica in modo che quando i browsers dei client cercheranno di raggiungere il proxy all’indirizzo 10.222.1.238, il traffico venga instradato sul vdom link. Quindi aggiungere una route 10.222.1.0/24 verso l’ip 10.10.10.2 (interfaccia sul vdomlink del vdom proxy)
A questo punto aggiungiamo sul vdom root una regola generica da port1 a vdom link per permettere il traffico dai browers verso il vdom proxy, e una regola dal vdom link verso la port1 per permettere al proxy di navigare
Ora dobbiamo impostare i profili di web filter su un protection profile
Editiamo il profilo web Innanzittutto modifichiamo i settaggi del “protocol recognition” aggiungendo la porta 3128 alle porte ispezionate dal motore AV/Webfilter, dato che il nostro proxy sta in ascolto su questa porta. Se non abilitiamo tale opzione verrà solo ispezionato il traffico sulla porta 80 (default) e di conseguenza non avremmo possibilità di filtrare dato che i browsers fanno richiesta al proxy sulla porta 3128.
Poi continuiamo a configurare il protection profile o con il servizio Fortiguard Web Filter (se abbiamo la sottoscrizione)
Oppure con delle regole di filtraggio manuali che individuino delle URL o dei contenuti vietati, precedentement creati dal menù UTM-> Webfilter Si possono in quel caso selezionare i template manuali dai menù a tendina della sezione webfilter del protection profile
Ora assegniamo il profilo appena creato alla regola firewall port1->vdomlink in modo da intercettare tutte le richieste dirette al proxy quando vengono generate dal client. Se invece lo assegnassimo alla regola vdomlink->port1 filtreremmo le richieste dal proxy verso internet, così facendo filtreremmo il contenuto in modo uguale per tutti gli utenti che utilizzano il proxy. Assegnando alla regola indicata invece ci manteniamo la possibilità di disciminare gli ip sorgenti e autenticare permettendo nel caso politiche di filtraggio diverse per ip o utenti.
Una volta applicato il protection profile possiamo testare il tutto andando nel nostro browser e impostando come proxy l’ip del vdom proxy (nel nostro caso 10.222.1.238)
Da notare che questa subnet deve essere raggiungibile dal client, per cui se si configura il firewall come nel nostro disegno con un solo ramo attivo sulla lan, bisognerà andare sul default gateway della lan (nel nostro caso 10.200.1.1) e andare a inserire una route statica che indichi la subnet 10.222.1.0/24 raggiungibile tramite il 10.200.1.238 (il nostro vdom root) Per provare la nostra configurazione si potrà provare a navigare prima su siti leciti (ad es. www.google.it), poi su siti potenzialmente bloccati (ad es. www.playboy.com)
Autore: Fabrizio Rosina Sito: www.gzone.it