FSAE Fortinet Server Authentication Extension (FortiGate)

FSAE Fortinet Server Authentication Extension je autentizační služba FortiGate appliance (firewallu), která je schopná ověřovat uživatele přímo z Microsoft Windows Active Directory nebo Novell eDirectory.

Proč FSAE?

Současné firewally identifikují jednotlivé spojení na základě IP adresy (portu). Pokud však řešíme situaci, kdy chceme určitého uživatele zablokovat, můžeme ho identifikovat pouze podle IP adresy jeho PC. V případě, že si blokovaný uživatel přinese vlastní notebook nebo si sedne k jinému PC, identifikace uživatele na základě IP adresy jeho počítače je nedostatečná a uživatel lehce obejde naše zabezpečení.

Z tohoto důvodu Fortinet vyvinul službu FSAE, která FortiGate zařízením (firewallu) říká, na kterých IP adresách "sedí" jaký uživatel. Vlivem toho, se mohou jednotlivé firewall politiky tvořit ve spojení s informací o přihlášeném uživateli a tím je tak zajištěna 100% identifikace uživatele a možnost vytvoření bezpečnostních opatření pro jednotlivé uživatele, které nejsou zavislé na používaném PC (IP adrese), ale uživateli!

Jak funguje FSAE

FSAE podporuje několik mechanizmů, jakým předává informaci o přihlášeném uživateli FortiGate appliance:

  • FSAE instalovaný na síti Novell sleduje uživatele a odesílá přihlašovací informace FortiGate zařízením. FSAE získává informace z Novell eDirectory pomocí Novell API nebo LDAP.
  • FSAE instalovaný v síti Windows AD monitoruje uživatele v reálném čase a posílá informace o jejich přihlášení a aktualím stavu FortiGate jednotce. FSAE získává informace z Active Directory pomocí instalovaných agentů na zvolených Active Directory serverech. FSAE je také schopné zařadit jednotlivé uživatele do organizačních jednotek nebo uživatelských skupin Active Directory.
  • V sítích Windows AD se může uživatel ověřit pomocí NTLM požadavků skrz internetový prohlížeč.

FSAE a Windows AD

FSAE nanistalované v prostředí Windows AD poskytuje dvě služby:

  • Monitoruje přihlašovací události uživatelů, jejich stav a posílá je FortiGate zařízení.
  • Řeší NTLM autentizační požadavky přicházející z FortiGate appliance.

FSAE monitorování uživatelů

FSAE instalované v prostředí Windows Active Directory může monitorovat, který uživatel je přihlášen na kterém počítači.

Když se uživatel přihlásí k pracovní stanici, FSAE:

  • detekuje událost přihlášení, zaznamená jméno počítače, domény a uživatele,
  • přeloží jméno počítače na IP adresu,
  • s použitím Active Directory zjistí do jakých skupin uživatel patří,
  • všechny informace pošle FotiGate zařízení.
  • Po definovatelných časových intervalech zjišťuje, zdali je uživatel stále přihlášen k určitému počítači. Tím je zajištěna aktuálnost předávaných informací.

FSAE používá 2 metody pro monitorování přihlašovacích aktivit uživatele:

DC Agent mode

V režimu DC Agent mode musí být naistalováni agenti na všechny doménové kontrolery, kteří komunikují s FSAE collector agentem, který přeposílá informace FortiGate jednotce.

 

Obr. FSAE DC Agent mode

DC Agent mode poskytuje spolehlivou identifikaci a lokalizaci uživatele. Pro správnou funčnost se však musí naistalovat DC agent na každý doménový kontroler v doméně. Po instalaci je vyžadovaný restart serveru.

Polling mode

V režimu Polling mode se FSAE collector agent pouze dotazuje každého doménového kontroleru zdali je uživatel přihlášen a přeposílá je FortiGate appliance.

Obr. FSAE Polling mode

Polling mode (dotazovací způsob) poskytuje méně spolehlivé informace o přihlášených uživatelích např. vlivem většího zatížení systému. Avšak není potřeba instalovat DC agenty na všechny doménové kontrolery.

FSAE NTLM autentizace

V síti Windows AD FSAE poskytuje také NTLM ověření uživatele. Když se uživatel zkusí přihlásit pomocí NTLM vytvoří se autentizační žádost skrz internetový prohlížeč. Tuto žádost převezme FortiGate a dotáže se FSAE služby na ověření uživatele.

Pokud NTLM autentikace vůči Windows Active Directory úspěšná a zároveň ověřený uživatel patří do skupiny, která má povolenou komunikaci ve firewall politikách FortiGate zařízení, FortiGate povolí spojení. NTLM ověření uživatele je podporováno pro prohlížeče Internet Explorer a Firefox.

Obr. FSAE NTLM

FSAE a Novell eDirectory

FSAE v prostředí Novell eDirectory pracuje podobně jako FSAE Polling mode v sítích Windows AD. FSAE eDirectory agenti se dotazují eDirectory serverů na informace o přihlášení uživatelů a přeposílají je FortiGate zařízení.

Když se uživatel přihlásí na své pracovní stanici, FSAE

  • detekuje přihlašovací událost dotázáním se eDirectory serveru a zaznamená jméno uživatele a jeho IP adresu,
  • v eDirectory vyhledá skupinu/y, do kterých uživatel patří,
  • pošle IP adresu, název uživatelské skupiny a jméno uživatele FortiGate appliance. 

Dokumenty ke stažení

Facebook

Aktuality

24.8.2011

Fortinet získal 5 ocenění Best Channel Product

Časopis Business Solutions ocenil produkty FortiClient, FortiGate-80C, FortiWeb-1000C, FortiAP-220B a FortiMail-3000C více »

12.8.2011

Online support a online chat

Klikněte vpravo dole a napište nám! více »

28.7.2011

FortiClient, FortiClient Connect, FortiClient AntiMalware

Nejnověší verze softwarových klientů ke stažení více »

25.3.2011

FortiToken

Token pro dvoufaktorovou autentizaci více »

Kontakt

Kde nás najdete

Brno, Praha, Pardubice, Plzeň,
Olomouc, Ostrava, Zlín více »

Obchodní oddělení &
Technická podpora

Ing. Pavel Hajn
mobil: +420-602-151241
e-mail: pavel.hajn(zavinac)fortigate.cz