Forum | French Network Engineer

Pour voir cela fonctionner, rendez-vous sur votre site en ligne.

Fortinet
Posts sur les produits Fortinet (FortiGate, FortiAnalyzer et FortiManager).
20
Aruba
Posts sur les produits Aruba (Switch, Borne WiFi et Airwave).
13
HP
Posts sur les produits HP (Switch).
3
Scripts
Posts sur différents scripts.
2
Outils
Posts sur différents outils trés utiles pour un ingénieur réseaux.
11
Posts libre
Posts libres sur différents équipements.
1
Supervision
Posts avec différents modèles de graphique pour tout type d'équipement.
7
Machine Virtuelle
Machine virtuelle prête à l'emploi.
3

Nouveaux posts

frenchnetworkengineer
28 juil.
Aruba Switch CX6000 - RADIUS Authentication
Aruba
Ci-dessous la procédure à suivre pour mettre en place une authentification radius sur votre Switch Aruba CX6000, afin de vous y connecter via des comptes AD (Active Directory) en mode Lecture ou Lecture/Écriture. Procédure réalisée sur un ArubaOS-CX6000 en PL.10.10.1000 et un Windows Server 2018. • Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server. • Créer un nouveau "RADIUS Client" : Entrer l'IP du Switch, Entrer une "Secret Key". • Créer deux nouvelles "Network Policies". • Network Policy "Lecture" : • "User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture" aux utilisateurs, • Service-Type : Administrative • Login-Service : SSH • Vendor-Specific : • Vendor Code : 14823 • Yes. it conforms • Attribute number : 4 • Format : String • Attribute value : operators • Network Policy "Lecture/Écriture" : • "User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture/Écriture" aux utilisateurs, • Service-Type : Administrative • Login-Service : SSH • Vendor-Specific : • Vendor Code : 14823 • Yes. it conforms • Attribute number : 4 • Format : String • Attribute value : administrators • Configuration du switch : configure terminal radius-server host @IP_SRV_RADIUS_1 key @Secret_Key radius-server host @IP_SRV_RADIUS_2 key @Secret_Key radius-server timeout 2 aaa group server radius GRP_ADM_SSH server @IP_SRV_RADIUS_1 server @IP_SRV_RADIUS_2 aaa authentication login console group GRP_ADM_SSH local aaa authentication login https-server group GRP_ADM_SSH local aaa authentication login ssh group GRP_ADM_SSH local aaa accounting all-mgmt ssh start-stop group GRP_ADM_SSH Pour plus d'informations : https://www.arubanetworks.com/techdocs/ArubaOS_8.11.0_Web_Help/Content/arubaos-solutions/manage-utilities/conf-radsec-vsa.htm#Configuring-radius-vsa https://www.arubanetworks.com/techdocs/AOS-CX/10.10/PDF/security_4100i-6000-6100.pdf
J'aime
0
frenchnetworkengineer
26 juil.
FortiGate - FSSO Agentless Polling mode
Fortinet
Ci-dessous la procédure à suivre afin de mettre en place la solution FSSO (Fortinet Single Sign-On) sans agent afin de poller un serveur AD (Active Directory) pour récupérer l'information IP/User pour d'effectuer du filtrage identitaire sur vos règles de firewall. Procédure réalisée sur un FortiGate 60F en 6.4.8. Bug connu #0633435 (FortiGate local FSSO agent replaces user login with same username and IP, which causes traffic sessions to be removed.) Procéder à un upgrade en 7.0.12 Schéma : • Aller sur le FortiGate dans User & Authentication > LDAP Servers. • Ajouter votre serveur LDAP comme ci-dessous et faite un test de connectivité en cliquant sur "Test Connectivity", une fois le test en succès cliquer sur "OK". • Retourner dans le LDAP serveur pour effectuer une recherche afin de vérifier que le FortiGate arrive bien à lire l'annuaire LDAP, cliquer sur "Browse". • Aller dans Security Fabric > External Connectors. • Cliquer sur "Poll Active Directory Server". • Indiquer l'ip du serveur AD et l'User/Password disposant à minimum des droits de lecture sur les logs (Groupe AD : Event Log Readers) et le serveur ldap créé ci-dessus. Cliquer ensuite sur "Edit". • Aller dans l'nglet "Groups" et sélectioner les groupes sur lesquels vous souhaitez effectuer du filtrage identitaire, faite un clique droit sur le groupe puis cliquer sur "Add Selected" puis cliquer sur "OK". • Le nombre de groupe sélectionné sera indiqué, cliquer ensuite sur "OK". • Vérifier l'état de la connexion. • Aller dans User & Authentication > User Groups. • Créer un nouveau groupe d'utilisateur. Indiquer le nom du groupe, le type FSSO et sélectioner le groupe correspondant dans l'annuaire LDAP, puis cliquer sur "OK". • Aller dans Policy & Objects > Firewall Policy. • Créer une nouvelle règle avec votre groupe d'utilisateur en source (il faut aussi indiquer une plage ip ou sinon mettre all). • Ouvrir une session windows sur un ordinateur avec un utilisateur qui se trouve dans le groupe (si la session est déja ouverte il faut la fermer pusi la réouvrir afin que le collecteur puisse récupérer les informations (IP et LOGIN)). • Générer du traffic sur l'ordinateur. • Aller dans Dashboard > Firewall User Monitor (l'ajouter si besoin). • Votre utilisateur sera visible et vous aurez du traffic sur votre règle firewall. Pour plus d'informations : https://community.fortinet.com/t5/FortiGate/Technical-Tip-FSSO-choose-between-DC-Agent-mode-or-Polling-mode/ta-p/252651 https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-FSSO-agentless-polling/ta-p/214349 https://community.fortinet.com/t5/Support-Forum/Fortigate-FSSO-Polling/m-p/243213 https://community.fortinet.com/t5/FortiAuthenticator/Technical-Tip-Windows-event-IDs-used-by-FSSO-in-WinSec-polling/ta-p/189910?externalID=FD36424 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparing-the-limitations-of-an-FSSO-local-poller/ta-p/197980?externalID=FD38897 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparison-between-DC-Agent-mode-and-polling-mode/ta-p/194621
J'aime
0
frenchnetworkengineer
20 juil.
FortiGate - Web Filter
Fortinet
Ci-dessous la procédure à suivre afin de mettre en place du filtrage web par catégorie. Procédure réalisée sur un FortiGate 60F en 7.0.12. Fonctionnalitée soumise à une licence Web Filtering. • Tout d'abord il faut activer la fonctionalitée "Web Filter" pour cela aller dans System > Feature Visibility et activer la. • Aller dans Security Profiles > Web Filter et cliquer sur "Create New" afin de créer un nouveau profile. • Indiquer le nom de votre profile puis sélectionner les catégories Web à bloquer pour cela 4 solutions possibles puis cliquer sur "OK" : 1. Custom - Personalisable, 2. G - Tout public : Rien qui offenserait les parents pour le visionnement par des enfants, 3. PG-13 - Parents fortement avertis : certains contenus peuvent être inappropriés pour des enfants de moins de 13 ans, 4. R - Restreint : les moins de 17 ans doivent être accompagnés d'un parent ou d'un tuteur adulte. • Pour modifier une action faite un clic droit et sélectionner l'action souhaitée. • Aller dans Policy & Objects > Firewall Policy et créer une nouvelle règle. Au niveau de la partie "Security Profiles" indiquer le profil créé ci-dessus dans la partie "Web Filter" et cliquer sur "OK". • Si vous naviguez sur un site présent dans une des catégories bloquées le message ci-dessous appraitra sur le poste du client. • Il y aura surement une erreur de certificat, pour corriger ce problème aller dans Security Profiles > SSL/SSH Inspection puis sélectionner le profile SSL mis sur la règle contenant le Web filter (dans notre cas "certificate-onspection"). Télécharger puis installer le certificat sur le poste client. • Pour consulter les logs lié au Web Filter aller dans Log & Report > Web Filter. Pour plus d'informations : https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/833698
J'aime
0

FORUM | French Network Engineer

Fortinet

Aruba

HP

Scripts

Outils

Posts libre

Supervision

Machine Virtuelle

french.network.engineer@gmail.com