En el presente artículo, abordaremos cómo configurar un portal cautivo para aplicar diferentes perfiles de filtrado web a diferentes grupos de usuarios en dispositivos FortiGate. Este procedimiento es esencial para asegurar el acceso adecuado a internet y la protección de la red, permitiendo al mismo tiempo que los usuarios obtengan las configuraciones adecuadas según sus grupos. A través de este artículo, aprenderá a diagnosticar y solucionar problemas de configuración relacionados con esta funcionalidad.
Índice
Descripción del problema
La gestión del acceso a internet mediante perfiles de filtrado web diferenciados para grupos de usuario en un entorno FortiGate puede ser compleja. La implementación de un portal cautivo facilita la autenticación de usuarios y la aplicación de políticas de firewall basadas en grupos, permitiendo así un control más efectivo del tráfico. Sin embargo, la configuración incorrecta o la falta de permisos adecuados pueden impedir que los usuarios accedan a los recursos necesarios.
Alcance
Este artículo se aplica a dispositivos FortiGate que utilizan perfiles de filtrado web y servicios de autenticación a través de un portal cautivo.
Diagnóstico paso a paso
Para asegurar que el portal cautivo funcione correctamente y que cada grupo de usuario reciba el perfil de filtrado adecuado, es fundamental seguir estos pasos:
- Verificar la configuración de las interfaces LAN desde las que proviene el tráfico.
- Crear dos grupos de usuario: ‘TESTGROUP1’ y ‘TESTGROUP2’.
- Configurar diferentes perfiles de filtrado web para cada grupo de usuario.
Solución recomendada
La principal ventaja de configurar un portal cautivo como método de autenticación de usuarios, en vez de simplemente aplicar una sobrescritura de grupo o habilitar la opción de ‘Autenticar’ para ciertas categorías, es la compatibilidad con la autenticación SAML. Esto permite utilizar la autenticación SSO SAML para validar a los usuarios y aplicar posteriormente el perfil de filtrado web correspondiente.
En esta demostración, se utilizarán usuarios locales ‘testuser’ en ‘TESTGROUP1’ y ‘testuser2’ en ‘TESTGROUP2’. ‘TESTGROUP2’ tendrá un filtro web más restrictivo donde se bloquearán sitios de redes sociales como Facebook, X (anteriormente Twitter) y YouTube.
Comandos CLI utilizados
config firewall policy
edit 1
set name "Permit Captive Portal"
set srcintf "internal"
set dstintf "wan"
set action accept
set schedule "always"
set service "ALL"
set captive-portal exempt
next
end
Buenas prácticas y recomendaciones
Al implementar un portal cautivo, considere las siguientes buenas prácticas:
- Use siempre autenticación SAML para mejorar la seguridad.
- Revise y ajuste los perfiles de filtrado web regularmente para adaptarse a los cambios en el entorno.
- Asegúrese de que los grupos de usuarios estén bien definidos y organizados.
Notas adicionales
Si el portal cautivo no aparece cuando un usuario intenta acceder a internet, asegúrese de que el tráfico DNS esté exento del portal cautivo. Esto garantizará que siempre se solicite la autenticación del usuario. Además, verifique que el certificado CA se haya cargado en el perfil de inspección SSL/SSH de la política y vuelva a intentarlo. En caso de problemas persistentes, consulte la comunidad de Fortinet para obtener más información sobre la solución de problemas relacionados con el portal cautivo.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!