Sincronización de etiquetas y configuraciones de EMS de FortiClient

Bienvenidos ​🙌, por si no me conocéis soy Mila Jiménez y hoy me apetecía escribir sobre: ⏬ sincronización de etiquetas y configuraciones de EMS de FortiClient

 

Descripción
Este artículo describe cómo sincronizar etiquetas y configuraciones de FortiClient EMS.

Alcance
Una nueva opción en la configuración de EMS de FortiClient consolida la configuración de los conectores EMS para admitir etiquetas EMS.
Las etiquetas EMS se extraen y se sincronizan automáticamente con el servidor EMS.

Ii se convierte en direcciones de firewall dinámicas de solo lectura que se pueden usar en políticas de firewall, enrutamiento, etc.

Solución
– Las etiquetas se han creado en Verificación de cumplimiento -> Reglas de verificación de cumplimiento página.

– Hay usuarios registrados que coinciden con las etiquetas definidas que son visibles en Verificación de cumplimiento -> Monitor de etiquetas de host página.

Para configurar FortiClient EMS con sincronización de etiquetas desde la GUI.

1) Configure el conector de tejido EMS:
– En la raíz FortiGate, vaya a Security Fabric -> Conectores Fabric
– Seleccione ‘Crear nuevo’ y seleccione ‘FortiClient EMS’.
– Habilite Sincronizar direcciones de firewall.

– Configure los demás ajustes según sea necesario y valide el certificado.
– Seleccione ‘Aceptar’.

2) Ir a Política y objetos -> Direcciones y coloque el cursor sobre la etiqueta EMS para ver a qué direcciones IP se resuelve.

3) Configure una política de firewall:
– Ir Política y objetos -> Política de cortafuegos y crear una nueva política.
– Para la Dirección de origen, agregue la dirección dinámica de la etiqueta EMS.

– Configure los otros ajustes según sea necesario.
– Seleccione ‘Aceptar’.

Artículos relacionados  la verificación del host SSL VPN MAC no funciona

Para configurar FortiClient EMS con sincronización de etiquetas desde CLI.

Configure el conector de tejido EMS.

 

# config endpoint-control fctems
    edit «ems137»
        set fortinetone-cloud-authentication disable
        set server «172.16.200.137»
        set https-port 443
        set source-ip 0.0.0.0
        set pull-sysinfo enable
        set pull-vulnerabilities enable
        set pull-avatars enable
        set pull-tags enable
        set call-timeout 5000
        set certificate «REMOTE_Cert_1»
next
end

Verifique en qué direcciones IP se resuelve la dirección del firewall dinámico.

# diagnose firewall dynamic list
List all dynamic addresses:
FCTEMS0580—–9_ems137_vuln_critical_tag: ID(118)
ADDR(10.1.100.120)
ADDR(10.1.100.198)
FCTEMS0580—–9_ems137_winscp_tag: ID(155)
ADDR(100.100.100.141)

FCTEMS0580—–9_ems137_win10_tag: ID(182)
        ADDR(10.1.100.120)
# diagnose firewall dynamic address FCTEMS0580226579_ems137_vuln_critical_tag
FCTEMS0580—–9_ems137_vuln_critical_tag: ID(118)
        ADDR(10.1.100.120)
        ADDR(10.1.100.198)

Total dynamic list entries: 1.
Total dynamic addresses: 2
Total dynamic ranges: 0

Configure una política de firewall que utilice la dirección de firewall dinámica de la etiqueta EMS como fuente.

 

​➡️​ Por último, agradecerte que hayas llegado hasta el final del post. Espero que haya sido de ayuda y que te veamos por aquí de nuevo.
Si no consigues llegar a la solución a tu dilema escribe en el buscador o déjanos tu pregunta en los comentarios.
¡Hasta luego!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *