Cómo solucionar la configuración de una política NAC basada en usuario utilizando SAML y la autenticación saliente con Microsoft Entra ID.

En este artículo, abordamos el uso de la autenticación SAML para políticas de NAC (Control de Acceso a la Red) basadas en usuarios en dispositivos de cliente conectados a un FortiGate que gestiona FortiSwitches. Este enfoque es crucial para garantizar un acceso seguro a la red y la correcta asignación de VLANs. Aquí, proporcionaremos una guía paso a paso para implementar esta configuración, asegurando que su red funcione de manera óptima.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

La autenticación SAML permite a las organizaciones integrar soluciones de identidad en la gestión de accesos a su red a través de políticas NAC. Sin embargo, configurarla adecuadamente puede ser un desafío y es esencial para garantizar que los dispositivos de los usuarios sean asignados correctamente a las VLANs correspondientes.

Alcance

Este artículo aplica para FortiOS 6.4 y versiones posteriores.

Diagnóstico paso a paso

A continuación se describen los pasos necesarios para realizar la configuración de autenticación SAML utilizando Microsoft Entra ID como proveedor de identidad (IDP).

Configurar la autenticación SSO y el certificado IDP utilizando los datos de Entra ID. Las URL del SP se crean utilizando la IP de la interfaz del nac_segment y el puerto 1003, que es el puerto del portal cautivo. A continuación, se presenta un ejemplo junto con imágenes de la interfaz VLAN del nac_segment:

config user saml
    edit "Test-SAML-NAC"
        set entity-id "http://10.255.13.1:1003/saml/metadata/"
        set single-sign-on-url "https://10.255.13.1:1003/saml/login"
        set single-logout-url "https://10.255.13.1:1003/saml/logout"
        set idp-entity-id "https://sts.windows.net/test-saml-id/"
        set idp-single-sign-on-url "https://login.microsoftonline.com/test-saml-id/saml2"
        set idp-single-logout-url "https://login.microsoftonline.com/test-saml-id/saml2"
        set idp-cert "ENTRA_IDP_CERT"
        set user-name "username"
        set group-name "group"
        set digest-method sha1
    next
end

Interfaz VLAN nac_segment

Configuración de interfaz VLAN

Crear un grupo de usuarios mapeado al objeto SSO creado en el paso 1. Este también puede estar mapeado a un grupo específico en Microsoft Entra utilizando el ID de objeto.

config user group
    edit "NAC_Access_SAML"
        set member "Test-SAML-NAC"
            config match
                edit 1
                    set server-name "Entra-ID-SAML-Onbrd-vlan"
                    set group-name "test-group-object-id"
                next
            end
        next
    end

Después de crear el grupo, es hora de crear la política NAC. La categoría de la política debe ser basada en usuarios y debe especificar a qué VLAN agregar a los usuarios si coinciden. En este caso, se utiliza la VLAN ‘Test-IT’, que requiere solo un servidor DHCP y la IP de interfaz.
A continuación, configurar las políticas del firewall para habilitar la autenticación saliente en la VLAN nac_segment. Se requieren tres políticas para completar la solución. En este caso específico, se ha añadido una segunda política para un servicio de Okta para la autenticación de dos factores (2FA).
Nota: La primera política (y la segunda, en este caso) deben estar exentas del portal cautivo, ya que son necesarias para completar el proceso de autenticación. Además, la VLAN nac_segment debe añadirse a la tercera política para completar la redirección a la solicitud original una vez realizada la autenticación. La exención del portal cautivo se puede realizar en CLI utilizando los siguientes comandos:
```
config firewall policy
    edit <policy-id>
        set captive-portal-exempt enable
    next
end
```

Solución recomendada

Si todos estos pasos se completan correctamente, los usuarios que se conecten a una interfaz de FortiSwitch con NAC habilitado se verán solicitados a autenticarse mediante SSO al intentar navegar. Si la autenticación se completa con éxito, serán reasignados a una VLAN de acuerdo con la política NAC.

Comandos CLI utilizados

Se han utilizado diversos comandos CLI a lo largo de esta guía, cada uno diseñado para configurar una parte específica del sistema. Asegúrese de entender la función de cada comando y cómo se relaciona con la seguridad y autenticación de su red.

Buenas prácticas y recomendaciones

Es fundamental seguir estas pautas para asegurar un entorno de red estable y seguro:

Revise regularmente los logs para identificar patrones de acceso no autorizado.
Actualice el software de FortiGate y FortiSwitch periódicamente para protegerse contra vulnerabilidades.
Realice pruebas de funcionalidad tras cada cambio de configuración para asegurar el correcto funcionamiento del sistema.

Notas adicionales

Considere integrar métodos de autenticación multifactor como best practice para mejorar aún más la seguridad de su red. Además, haga uso de las funcionalidades de monitorización y alerta que ofrece Fortinet para estar al tanto de cualquier actividad sospechosa.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo solucionar el problema de DLP activado por archivos de Microsoft Office debido a una firma de archivo inesperada
En este artículo, abordamos un problema común relacionado con la detección de firmas de tipos de archivos inesperados en los archivos de Microsoft Office en los perfiles de DLP (Prevención de Pérdida de Datos) de FortiGate. Esta cuestión es crucial, ya que puede afectar la eficacia de las políticas de seguridad y la gestión de Leer
Cómo resolver el error «FortiCare Support no registrado» en Fortinet
En este artículo, abordaremos un problema común que afecta a los dispositivos FortiGate: el mensaje de «Soporte de FortiCare no registrado» en el panel de la GUI, a pesar de que la inscripción se ha realizado. Este problema es crucial porque puede afectar el acceso a las funciones de soporte y actualización. A continuación, se Leer
Cómo solucionar el problema de aplicación de licencias UTM en un nuevo clúster HA de Fortinet
En este artículo, abordaremos un problema común que puede surgir al intentar agregar licencias UTM recién adquiridas en un entorno de clúster HA de FortiGate. Esta situación es importante porque puede afectar la funcionalidad de seguridad y la configuración de la red en su organización. Aquí, proporcionaremos un diagnóstico paso a paso y soluciones recomendadas Leer
Cómo resolver problemas con vTPM en FortiOS en Nutanix
En este artículo, abordaremos cómo habilitar el vTPM (Módulo de Plataforma de Confianza Virtual) en una Máquina Virtual FortiGate que se ejecuta en un entorno Nutanix. Este tema es crucial para garantizar la seguridad de los datos y la integridad de las operaciones, especialmente en entornos virtualizados. A través de una serie de pasos claros Leer
Cómo resolver el error ICMP_TIME_EXCEEDED en el traceroute de Fortinet
En el ámbito de la seguridad de red, los resultados erróneos en las pruebas de Traceroute pueden llevar a malentendidos sobre el comportamiento de la conectividad y la ruta del tráfico. Este artículo aborda un problema específico en las versiones anteriores de FortiOS, donde las respuestas a paquetes ICMP pueden originarse de interfaces incorrectas, afectando Leer