Knowledge Base Explicit Proxy Authentication with NTLM/FSSO

Transkript

1 Datum Hersteller Fortinet Modell Type(n) Fortigate Firmware FortiOS v4.2 Copyright Boll Engineering AG, Wettingen Autor sy Dokument-Version 1.1 Situation: In vielen Unternehmen arbeiten die Mitarbeiter nicht direkt mit Ihren eigenen Workstations (und damit mit ihren eigenen IP Adressen), sondern über einen (oder mehrere) Terminalserver. Das hat zur Folge, dass mehrere Mitarbeiter aus Sicht der Firewall mit der gleichen IP-Adresse daher kommen. Ist nun fürs Surfen im Internet eine User Authentifizierung an der Firewall erwünscht, ist das nicht mehr möglich, da die Firewall den Mitarbeiter über eine IP-Adresse identifiziert. Kommen nun mehrere Mitarbeiter über die gleiche IP-Adresse, kann die Firewall das nicht mehr auseinander halten. Seite 1 von 9 BOLL Engineering bemüht sich um die Richtigkeit aller in diesem Artikel aufgeführten Informationen und Daten. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit dieser Informationen und Daten ist ausgeschlossen. BOLL Engineering behält sich vor, ohne Ankündigung Änderungen vorzunehmen. BOLL Engineering haftet weder für direkte noch indirekte Schäden, die durch die Nutzung der Informationen oder Daten dieses Artikels entstehen oder entstanden sind. Der Inhalt dieses Artikels ist urheberrechtlich geschützt. Die Vervielfältigung von Informationen oder Daten, insbesondere die Verwendung von Texten, Textteilen oder Bildmaterial bedarf der vorherigen Zustimmung von BOLL Engineering. Im Text vorkommende Produktenamen sowie Bezeichnungen von Technologien oder Konzepten sind meistens Warenzeichen oder eingetragene Warenzeichen der entsprechenden Firmen.

2 Lösung: Das Problem kann auf der Fortigate durch die Nutzung eines Proxyserver im Browser gelöst werden. Die Fortigate wird im Browser als Proxy angegeben und die Authentifizierung erfolgt nun über NTLM. Die Schnittstelle vom NTLM zur AD (zum User- und Passwordcheck) wird über das Fortinet Single-Sign On (FSSO, früher auch FSAE genannt) bereitgestellt. Konfiguration Folgende Konfigurationsschritte sind durchzuführen 1. Konfiguration des Proxyservers im Browser 2. Installation & Konfiguration des FSSO auf einem Rechner in der Domäne 3. Konfiguration der Fortigate a. Aktivieren des Explicit Proxy b. Anbindung des FSSO c. Generieren von Usergruppen d. Erstellen von Identity-based FW-Rules Seite 2 von 9

3 1. Konfiguration des Proxyservers im Browser Im jeweilig genutzten Browser muss die Fortigate als Webproxy angegeben werden. Diese Konfiguration ist natürlich Browser-abhängig. Als Beispiel sei der Internet Explorer 9 genannt. Die Einstellung wird hier unter Extras Internetoptionen Verbindungen LAN-Einstellungen vorgenommen. 2. Installation & Konfiguration des FSSO auf einem Rechner in der Domäne Die Kommunikation mit dem Active Directory wird vom FSSO-Agent erledigt. Dieser muss auf einem Rechner der Domäne installiert sein (für die reine NTLM Authentication muss es nicht zwingend der Domain Controller selber sein). Die Installationsdatei kann bei Fortinet downgeloaded werden und ist typischerweise im entsprechenden FortiOS-Verzeichnis mit Unterverzeichnis FSSO zu finden. Bsp: /FortiGate/v4.00/4.0MR3/MR3_Patch_1/FSSO. Seite 3 von 9

4 Ist die Installation erfolgt (muss mit Admin-Rechten geschehen und erzwingt einen Reboot), kann der FSSO Agent konfiguriert werden. Hierfür muss die Checkbox Support NTLM authentication aktiviert werden und ein Passwort für die Kommunikation mit der Fortigate gesetzt werden (dieses Passwort wird unter Schritt 3.b wieder benötigt). Weiterhin muss unter Select Domains To Monitor die verwendete Domäne ausgewählt werden. Um später auf der Fortigate das Memory ein wenig zu schonen, können mittels der Funktion Set Group Filters die Gruppen selektiert werden, die für die Authentication auf der Fortigate gebraucht werden. Werden hier keine Gruppen gesetzt, werden sämtliche Gruppen zur Fortigate synchronisiert egal ob diese gebraucht werden oder nicht. 3. Konfiguration der Fortigate a. Aktivieren des Explicit Proxy Zunächst muss auf der Fortigate der Web Proxy eingeschaltet werden. Dieses passiert unter System Network Web Proxy. Es werden die gewünschten Protokolle und die dazugehörigen Ports konfiguriert. Die angegebenen Ports finden Ihre Entsprechung in der Proxy-Konfiguration vom Browser (Schritt 1). Nun muss der Web Proxy der Fortigate noch auf dem Interface aktiviert werden, auf dem die Webanfragen eintreffen. Da die Clients in unserem Beispiel im LAN sitzen, wird im LAN Interface der Enable Explicit Web Proxy aktiviert. Seite 4 von 9

5 b. Anbindung des FSSO Nun muss auf der Fortigate die Verbindung zum FSSO hergestellt werden. Dieses geschieht unter User Directory Service Directory Service. Es wird die IP Adresse vom dem Rechner angegeben, auf dem der FSSO installiert wurde und das dort konfigurierte Passwort wiederholt. Nach Bestätigung dieser Eingaben kann nach einer gewissen Wartezeit (ca. 30 Sekunden) die Verbindung zum FSSO überprüft werden. Bei erfolgreicher Verbindung erscheint ein blaues Dreieck neben dem Collector, auf welchem per Mausklick die gewählte Domäne und deren Gruppen aufgelistet werden können. c. Generieren von Usergruppen Um in einer Firewall Regel eine Domänen Gruppe zu nutzen, muss diese in eine Fortigate User Gruppe integriert werden. Es können mehrere Domänengruppen pro Fortigate User Gruppe angegeben werden. Seite 5 von 9

6 d. Erstellen von Identity-based FW-Rules In einem letzten Schritt muss nun noch eine (oder mehrere) entsprechende Firewall Regeln erstellt werden, welche für das Surfen der Mitarbeiter verwendet wird. Zunächst muss darauf geachtet werden, dass als Source Interface nicht das LAN-Interface, sondern das Interface mit dem Namen web-proxy verwendet wird. Dieses Interface erscheint automatisch, sobald der Web Proxy bei Schritt 3.a aktiviert wird. Innerhalb dieser Firewall Regel kann nun die Identity based Policy verwendet werden, um jeder der konfigurierten Gruppen (Schritt 3.c) ein entsprechendes UTM Profile, sowie passende Schedule- und Logging-Einstellungen zuzuweisen. Seite 6 von 9

7 Troubleshooting Falls nach obiger Konfiguration beim Browsen doch ein explizites Authentifizierungsfenster angezeigt wird, bedeutet das, dass das NTLM nicht funktioniert. In diesem Fall können folgende Troubleshooting Schritte bei der Fehlersuche helfen. Die einzelnen Schritte überprüfen jeweils die obigen Konfigurationsschritte. Schritt 1: Ueberprüfen der richtigen Verbindung zwischen Client und Fortigate. Wird auf einem Client gesurft, sollte man im Netz eine Verbindung zwischen dem Client und der Fortigate auf dem im Browser konfigurierten Port (in unserem Fall Port 8080) sehen. Dieses kann mittels des Packetsniffer auf der Fortigate geprüft werden: diag sniffer packet <Name des LAN-Interfaces> port FG200B # diag sniffer packet port16 'port 8080' 4 interfaces=[port16] filters=[port 8080] port > : syn port > : syn ack port > : ack port > : psh ack port > : ack port > : psh ack port > : psh ack Wichtig ist, dass man hier eine aktive TCP-Verbindung sieht. Es müssen also der 3-way-tcp-handshake und nachfolgende Daten zu sehen sein. Alternativ kann auch der Wireshark (oder ein anderer Packetsniffer) auf dem Client verwendet werden, um die Proxy-Verbindung zwischen Client und Fortigate zu kontrollieren. Am besten nutzt man hier den Capture Filter port 8080 (oder den entsprechenden Proxy-Port), um uninteressanten Traffic auszublenden. In dem nachfolgenden Mitschnitt ist die NTLM-Authentication wunderschön zu verfolgen. Nach dem initialen GET vom Client (Packet #4) antwortet die Fortigate mit einem Proxy authentication required (#6). Der Client wiederholt nun den GET-Request mit einer NTLM-Negotiation (#7), der NTLM-Challenge wird von der Fortigate zurückgesendet (#8), worauf der Client seinen GET-Request mit der eigentlichen Authentifizierung wiederholt (#9). Nun erst wird die Webseite übertragen. Seite 7 von 9

8 Schritt 2: Ueberprüfen der FSSO Installation und dessen Kommunikation mit der Fortigate und dem AD Zunächst muss sichergestellt werden, dass die Fortigate mit dem FSSO-Agent kommunizieren kann. Dieses wird bereits bei der Konfiguration geprüft. Sobald das blaue Dreieck erscheint, ist die Kommunikation in Ordnung. Erscheint dieses Dreieck nicht, liegt ein Kommunikationsproblem vor. Prüfen Sie hier bitte noch mal die IP und das Passwort. Falls auf der Workstation, auf dem der FSSO installiert ist, eine Firewall läuft, stellen Sie bitte sicher, dass diese den Port 8000 (oder der Port, der für die Kommunikation konfiguriert wurde) auch zugelassen wird. Allenfalls muss wieder mit einem Packetsniffer geschaut werden, wo es hakt. Schritt 3: Ueberprüfen der NTLM Authentication der FG zum FSSO Auf der Fortigate kann mittels des debug application CLI-Kommandos die Kommunikation zwischen Fortigate und FSSO Client geprüft werden: FG200B # diag debug app wad 1024 FG200B # diag deb ena FG200B # wad_fsae_ntlm_req_send(252): req=0x9c564cc ntlm=0x9c52046/56 wad_fsae_proc_ntlm_resp(352): req=0x9c564cc code=0 len=240 wad_fsae_proc_ntlm_resp(364): nmsg=tlrmtvntuaaca AAAAAAAAAAA=BBER len=236 wad_fsae_ntlm_req_send(252): req=0x9c564cc ntlm=0x9c522e5/532 wad_fsae_proc_ntlm_result(404): uname=sy uname_len=2 grp= BOLL/DOMAIN USERS wad_fsae_group_parse(169): make membership=0x9c4e6c0 n_member=1 [member 1 len=17]: BOLL/DOMAIN USERS wad_fsae_ntlm_notify(188): uname=sy ms=0x9c4e6c0 uname_len=2 increased user count, quota:3000, n_user:1, n_shared_user:1, vd_used: 1, vd_max 0, vd_gurantee: 0 wad_auth_membership_match(272): grp->type=1 user->grp_type=1 ms=0x9c4e6c0 wad_auth_ldap_member_match(193): comparing grp_member=17/boll/domain USERS auth_member=17/boll/domain USERS wad_auth_ldap_member_match(199): auth_member used BOLL/DOMAIN USERS wad_hauth_req_authorize(391): authorized on policy=0x9c57940 group=ntlmtestgroup FG200B # diag deb dis FG200B # diag debug app wad 0 Und auf der Gegenseite, dem FSSO, kann das Log vom Collector Agent ausgelesen werden. Evtl. macht es Sinn, hier den LogLevel auf Information zu setzen. Collectorlog: 07/20/ :37:41 [ 4392] Bytes received from FortiGate: 78 07/20/ :37:41 [ 4792] process NTLM_AUTH_TYPE1MSG 07/20/ :37:41 [ 4792] packet seq: /20/ :37:41 [ 4792] seq: NTLM msg len:56 07/20/ :37:41 [ 4792] send NTLM_TYPE2_MSG, len:258 07/20/ :37:41 [ 4392] Bytes received from FortiGate: /20/ :37:41 [ 4032] process NTLM_AUTH_TYPE3MSG 07/20/ :37:41 [ 4032] packet seq: Seite 8 von 9

9 07/20/ :37:41 [ 4032] seq: NTLM msg len:532 07/20/ :37:41 [ 4032] NTLM auth passed 07/20/ :37:41 [ 4032] domain:boll 07/20/ :37:41 [ 4032] user:sy 07/20/ :37:41 [ 4032] workstation:sy-pc 07/20/ :37:41 [ 4032] ad_user_get_groups_str(): BOLL/Domain Users 07/20/ :37:41 [ 4032] all groups: BOLL/Domain Users 07/20/ :37:41 [ 4032] sent groups: BOLL/Domain Users 07/20/ :37:41 [ 4032] send NTLM_RESULT_MSG, len:130 count:51 Seite 9 von 9