In questo tutorial vedremo come permettere ad un pc remoto di collegarsi in RDP ad un server aziendale tramite Forticlient ma senza utilizzare un tunnel SSL-VPN.<\/p>\n\n\n\n
Come funziona?<\/h3>\n\n\n\n- FortiClient contatta il FortiGate per creare una connessione sicura tramite HTTPS utilizzando un certificato ricevuto da EMS che include l’UID del FortiClient stesso. <\/li>
- EMS fornisce al FortiGate l’UID per identificare il dispositivo e altre informazioni riguardanti l’endpoint<\/li>
- Il FortiGate consente o nega l’accesso a seconda dei requisiti e delle regole configurate.<\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-24.png\")
<\/figure>\n\n\n\nPrerequisiti<\/strong><\/h3>\n\n\n\n- Disporre di Forticlient EMS (Endpoint Management Server) con relative licenze per gli endpoint<\/li>
- Collegamento di EMS al firewall Fortigate tramite Security Fabric<\/li>
- Forticlient gi\u00e0 installato sugli endpoint<\/li><\/ul>\n\n\n\n
CONFIGURAZIONE FORTICLIENT EMS<\/strong><\/h3>\n\n\n\nPer prima cosa andiamo a creare un nuovo tag tramite Forticlient EMS. I tag si basano su vari controlli e possono essere applicati agli endpoint qualora i requisiti impostati vengano rispettati dagli endpoint stessi. Nel nostro esempio andremo a creare un tag che identifichi i dispositivi che dispongono di un Software Antivirus installato e attivo. Vediamo come fare.<\/p>\n\n\n\n
- Rechiamoci sulla console di Forticlient EMS e dal menu laterale rechiamoci in Zero Trust Tags > Zero Trust Tagging Rules<\/em>.<\/li>
- Dalla barra superiore clicchiamo su + Add<\/strong> per aggiungere un nuovo Tag. Comparir\u00e0 la schermata per configurare la regola<\/li>
- Aggiungiamo un nome e il rispettivo tag che verr\u00e0 utilizzato es. ev-enabled<\/li>
- Clicchiamo in basso a destra su + Add Rule<\/strong><\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-23.png\")
<\/figure>\n\n\n\n- Si aprir\u00e0 una finestra, qui andremo a selezionare il sistema operativo dei dispositivi<\/strong> per il quale vogliamo creare la regola<\/li>
- Selezioniamo poi il tipo di regola<\/strong> dall\u2019elenco a disposizione, in questo caso AV Software is installed and running. Poi cliccare Save<\/strong> per salvare<\/li><\/ul>\n\n\n\n
Noi abbiamo creato due regole per lo stesso tag, una per i dispositivi Windows e una per Mac.<\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-25-1024x384.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Dopo aver salvato, il tag comparir\u00e0 nella lista. E’ possibile aggiungere tutti i tag che si desiderano selezionando le regole presenti in elenco, ad esempio si pu\u00f2 creare un tag che identifica i dispositivi che appartengono ad un determinato range di IP, oppure quelli con la telemetria connessa a EMS,…<\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-21.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
I tag creati verranno automaticamente applicati a tutti i dispositivi che rispettano i requisiti delle regole di tagging aggiunte.<\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-20.png\")
<\/figure>\n\n\n\nCONFIGURAZIONE SUL FORTIGATE<\/strong><\/h3>\n\n\n\nPer procedere con la configurazione vera e propria sul nostro firwall Fortigate, occorre innanzitutto abilitare ZTNA <\/strong>dall\u2019elenco delle funzionalit\u00e0 visibili. Dal menu laterale System > Feature Visibility > ZTNA.<\/strong><\/em><\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-19.png\")
<\/figure>\n\n\n\nUna volta abilitata, comparir\u00e0 la sezione dedicata in Policy & Objects > ZTNA<\/em><\/strong>. Saranno disponibili tre schede: ZTNA RULES<\/strong>, ZTNA SERVERS<\/strong>, ZTNA TAGS<\/strong>.<\/p>\n\n\n\nZTNA TAGS<\/strong><\/h6>\n\n\n\nI tag ZTNA sono generati dalle regole di tagging configurate su FortiClient EMS, dopo la loro creazione queste vengono automaticamente sincronizzate sul FortiGate. Vediamo che, oltre al tag che abbiamo creato in precedenza, nella lista compaiono anche ulteriori tag, creati autonomamente da EMS.<\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-18.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
ZTNA SERVERS<\/strong><\/h6>\n\n\n\n- Selezioniamo ora la scheda ZTNA Servers<\/strong> dove andremo a configurare il nostro firewall che funger\u00e0 da proxy.<\/li>
- Inseriamo un nome identificativo e configuriamo le impostazioni di rete selezionando l\u2019interfaccia esterna, wan1 <\/strong>nel nostro caso, e inserendo indirizzo ip<\/strong> e porta<\/strong> del nostro fortigate.
Nota<\/strong>: di default sar\u00e0 selezionata la porta 443, se la porta \u00e8 gi\u00e0 utilizzata per esporre il nostro fortigate pubblicamente \u00e8 consigliato cambiarla per evitare problemi; noi utilizzeremo la 20443<\/li><\/ul>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-17.png\")
<\/figure>\n\n\n\n- Selezioniamo il certificato SSL da utilizzare<\/li>
- clicchiamo su + Create New<\/strong> per andare a mappare il server che ci interessa rendere accessibile.<\/li>
- Nel nostro esempio renderemo accessibile tramite RDP la macchina che ospita il nostro server interno.<\/li>
- selezioniamo quindi la relativa scheda TCP Forwarding ed andiamo ad aggiungere l\u2019ip privato del server 192.168.154 e la porta 3389. Sar\u00e0 necessario salvare l\u2019indirizzo dandogli un nome.
<\/li><\/ul>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-16.png\")
<\/figure>\n\n\n\nCon lo stesso procedimento potremmo aggiungere tutte le applicazioni tcp che vogliamo rendere disponibili, una volta terminato clicchiamo su Ok<\/strong> e confermiamo la creazione del server cliccando nuovamente Ok<\/strong>.<\/p>\n\n\n\nZTNA RULES<\/strong><\/h6>\n\n\n\nTramite la scheda ZTNA RULES<\/strong>, andremo infine ad aggiungere la regola che permetter\u00e0 al traffico di essere correttamente indirizzato.<\/strong><\/p>\n\n\n\n- Clicchiamo su Add Rule<\/strong>, comparir\u00e0 la schermata di creazione della regola.<\/li>
- Selezioniamo l\u2019interfaccia esterna, la stessa selezionata in precedenza durante la creazione del server.<\/li>
- Impostiamo all<\/strong> come Source e Destination.<\/li>
- Aggiungiamo i tag che desideriamo, ad esempio il tag av-enabled<\/strong> creato in precedenza. In questo modo solo gli endpoint che rispettano i requisiti del tag selezionato potranno accedere alle risorse mappate sul server.<\/li>
- Aggiungiamo il server appena creato<\/li>
- Lasciamo Accept<\/strong> come azione<\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-13.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
- Uno volta cliccato ok la nostra policy comparir\u00e0 nella lista. <\/li><\/ul>\n\n\n\n
Nota:<\/strong> nel caso tra la lista di regole vengano create anche policy di divieto-Deny, queste devono sempre essere posizionate sopra quelle di permesso-Accept.<\/p>\n\n\n\nPASSAGGI FINALI<\/h3>\n\n\n\n
Come ultimo passaggio dovremo andare ad aggiungere le regole anche sui FortiClient dei nostri endpoint. \u00c8 possibile aggiungere singolarmente le regole direttamente sui singoli Forticlient oppure tramite EMS in modo da propagarle per pi\u00f9 utenti. <\/p>\n\n\n\n
Vediamo come fare tramite la console di Forticlient EMS.<\/p>\n\n\n\n
- Dal menu Endpoint Profile > ZTNA Connection Rules<\/em><\/strong> andiamo ad aggiungere un nuovo profilo cliccando su + Add<\/strong><\/li>
- Nel nostro esempio abbiamo creato un profilo chiamato TEST OFFNET<\/strong><\/li>
- Clicchiamo su + Add Rule <\/strong>e inseriamo i parametri configurati in precedenza sul Fortigate:
- Destination Host<\/strong> \u2013 il server che vogliamo raggiungere e la porta, nel nostro caso 192.168.1.154:3389<\/li><\/ul>
- Proxy Gateway<\/strong> \u2013 l\u2019indirizzo ip del nostro proxy con la porta configurata 84.248.227.168:20443<\/li><\/ul>
- Transparent mode<\/strong> per fare in modo che la connessione avvenga in background senza che gli utenti debbano intervenire<\/li><\/ul>
- Per impostazione predefinita, la crittografia \u00e8 disabilitata. Quando la crittografia \u00e8 abilitata, anche il traffico tra FortiClient e FortiGate verr\u00e0 crittografato.
NOTA<\/strong>: il traffico originale viene comunque crittografato anche con crittografia disabilitata.<\/li><\/ul><\/li><\/ul>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-26.png\")
<\/figure>\n\n\n\n- Cliccare su Save<\/strong> e, una volta aggiunte tutte le regole desiderate, cliccare nuovamente Save.<\/strong><\/li>
- Cliccando su XML <\/strong>\u00e8 possibile visualizzare la regola appena inserita e volendo aggiungerne di nuove pi\u00f9 rapidamente sfruttando il copia-incolla.<\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-11.png\")
<\/figure>\n\n\n\nL\u2019ultima cosa da fare \u00e8 assicurarsi che il nostro endpoint utilizzi il profilo appena creato quando si trova all\u2019esterno della rete aziendale. Per far questo prima creiamo una regola<\/strong> On-Fabric<\/strong>.<\/p>\n\n\n\n- Rechiamoci in Endpoint Policy & Components > On-fabric Detection Rules<\/em><\/strong><\/li>
- Clicchiamo + Add <\/strong><\/li>
- Inseriamo il nome e clicchiamo + Add Rule<\/strong> per aggiungere le regole. Nell\u2019esempio \u00e8 stata impostata solo la regola che identifica la subnet interna ma per essere sicuri \u00e8 possibile ad esempio aggiungere l\u2019ip pubblico che identifica la rete aziendale o il server DNS utilizzato o altro tra i tipi di regola proposti.<\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-10.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Infine rechiamoci in Manage Policies<\/strong> e modifichiamo la policy in uso dai nostri endpoint.<\/p>\n\n\n\n- Possiamo cliccare + Add<\/strong> per aggiungerne una nuova o modificare quella di default selezionandola e cliccando su Edit<\/strong><\/li><\/ul>\n\n\n\n
- Nel nostro caso vogliamo applicare il profilo a tutti gli endpoint appartenenti all\u2019OU Test del nostro dominio. Specificheremo quindi i gruppi da sincronizzare in Endpoint Groups<\/strong>.<\/li>
- In Users <\/strong>\u00e8 possibile specificare solo determinati utenti se si desidera filtrare ulteriormente il gruppo<\/li>
- Abilitiamo l\u2019opzione Profile (Off-Fabric) in modo da utilizzare profili diversi quando il dispositivo si trova all\u2019interno della rete oppure all\u2019esterno.<\/li>
- Andiamo quindi ad applicare il profilo applicato in precedenza solo nel caso in cui l\u2019endpoint sia Off-Fabric, ovviamente ogni profilo pu\u00f2 essere personalizzato in base alle proprie esigenze, per semplicit\u00e0 noi abbiamo impostato quello di default per tutti gli altri.<\/li>
- On-Fabric Detection Rules<\/strong> \u00e8 la regola che permette a EMS di stabilire quando un dispositivo si trova on-fabric e quando off-fabric. Andiamo a selezionare la regola aggiunta in precedenza e clicchiamo su Save<\/strong>.
<\/li><\/ul>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/05\/image-1.png\")
<\/figure>\n\n\n\nFORTICLIENT<\/strong><\/p>\n\n\n\nOra non ci resta che testare la configurazione sul nostro endpoint. Colleghiamo il pc ad una rete diversa da quella dove risiede il nostro server; il client ricever\u00e0 automaticamente la configurazione da parte di EMS relativa al profilo Off-fabric. La regola inserita quindi verr\u00e0 mostrata in ZTNA CONNECTION RULES <\/strong>e, se tutti i requisiti e i parametri che abbiamo impostato, tag compresi, vengono rispettati, saremo in grado di effettuare la connessione rdp sull\u2019host configurato.<\/p>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2022\/03\/image-9.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
link utili<\/h6>\n\n\n\n
<\/figure>\n\n\n\nPrerequisiti<\/strong><\/h3>\n\n\n\n- Disporre di Forticlient EMS (Endpoint Management Server) con relative licenze per gli endpoint<\/li>
- Collegamento di EMS al firewall Fortigate tramite Security Fabric<\/li>
- Forticlient gi\u00e0 installato sugli endpoint<\/li><\/ul>\n\n\n\n
CONFIGURAZIONE FORTICLIENT EMS<\/strong><\/h3>\n\n\n\nPer prima cosa andiamo a creare un nuovo tag tramite Forticlient EMS. I tag si basano su vari controlli e possono essere applicati agli endpoint qualora i requisiti impostati vengano rispettati dagli endpoint stessi. Nel nostro esempio andremo a creare un tag che identifichi i dispositivi che dispongono di un Software Antivirus installato e attivo. Vediamo come fare.<\/p>\n\n\n\n
- Rechiamoci sulla console di Forticlient EMS e dal menu laterale rechiamoci in Zero Trust Tags > Zero Trust Tagging Rules<\/em>.<\/li>
- Dalla barra superiore clicchiamo su + Add<\/strong> per aggiungere un nuovo Tag. Comparir\u00e0 la schermata per configurare la regola<\/li>
- Aggiungiamo un nome e il rispettivo tag che verr\u00e0 utilizzato es. ev-enabled<\/li>
- Clicchiamo in basso a destra su + Add Rule<\/strong><\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n- Si aprir\u00e0 una finestra, qui andremo a selezionare il sistema operativo dei dispositivi<\/strong> per il quale vogliamo creare la regola<\/li>
- Selezioniamo poi il tipo di regola<\/strong> dall\u2019elenco a disposizione, in questo caso AV Software is installed and running. Poi cliccare Save<\/strong> per salvare<\/li><\/ul>\n\n\n\n
Noi abbiamo creato due regole per lo stesso tag, una per i dispositivi Windows e una per Mac.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
Dopo aver salvato, il tag comparir\u00e0 nella lista. E’ possibile aggiungere tutti i tag che si desiderano selezionando le regole presenti in elenco, ad esempio si pu\u00f2 creare un tag che identifica i dispositivi che appartengono ad un determinato range di IP, oppure quelli con la telemetria connessa a EMS,…<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
I tag creati verranno automaticamente applicati a tutti i dispositivi che rispettano i requisiti delle regole di tagging aggiunte.<\/p>\n\n\n\n<\/figure>\n\n\n\nCONFIGURAZIONE SUL FORTIGATE<\/strong><\/h3>\n\n\n\nPer procedere con la configurazione vera e propria sul nostro firwall Fortigate, occorre innanzitutto abilitare ZTNA <\/strong>dall\u2019elenco delle funzionalit\u00e0 visibili. Dal menu laterale System > Feature Visibility > ZTNA.<\/strong><\/em><\/p>\n\n\n\n<\/figure>\n\n\n\nUna volta abilitata, comparir\u00e0 la sezione dedicata in Policy & Objects > ZTNA<\/em><\/strong>. Saranno disponibili tre schede: ZTNA RULES<\/strong>, ZTNA SERVERS<\/strong>, ZTNA TAGS<\/strong>.<\/p>\n\n\n\nZTNA TAGS<\/strong><\/h6>\n\n\n\nI tag ZTNA sono generati dalle regole di tagging configurate su FortiClient EMS, dopo la loro creazione queste vengono automaticamente sincronizzate sul FortiGate. Vediamo che, oltre al tag che abbiamo creato in precedenza, nella lista compaiono anche ulteriori tag, creati autonomamente da EMS.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
ZTNA SERVERS<\/strong><\/h6>\n\n\n\n- Selezioniamo ora la scheda ZTNA Servers<\/strong> dove andremo a configurare il nostro firewall che funger\u00e0 da proxy.<\/li>
- Inseriamo un nome identificativo e configuriamo le impostazioni di rete selezionando l\u2019interfaccia esterna, wan1 <\/strong>nel nostro caso, e inserendo indirizzo ip<\/strong> e porta<\/strong> del nostro fortigate.
Nota<\/strong>: di default sar\u00e0 selezionata la porta 443, se la porta \u00e8 gi\u00e0 utilizzata per esporre il nostro fortigate pubblicamente \u00e8 consigliato cambiarla per evitare problemi; noi utilizzeremo la 20443<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Selezioniamo il certificato SSL da utilizzare<\/li>
- clicchiamo su + Create New<\/strong> per andare a mappare il server che ci interessa rendere accessibile.<\/li>
- Nel nostro esempio renderemo accessibile tramite RDP la macchina che ospita il nostro server interno.<\/li>
- selezioniamo quindi la relativa scheda TCP Forwarding ed andiamo ad aggiungere l\u2019ip privato del server 192.168.154 e la porta 3389. Sar\u00e0 necessario salvare l\u2019indirizzo dandogli un nome.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nCon lo stesso procedimento potremmo aggiungere tutte le applicazioni tcp che vogliamo rendere disponibili, una volta terminato clicchiamo su Ok<\/strong> e confermiamo la creazione del server cliccando nuovamente Ok<\/strong>.<\/p>\n\n\n\nZTNA RULES<\/strong><\/h6>\n\n\n\nTramite la scheda ZTNA RULES<\/strong>, andremo infine ad aggiungere la regola che permetter\u00e0 al traffico di essere correttamente indirizzato.<\/strong><\/p>\n\n\n\n- Clicchiamo su Add Rule<\/strong>, comparir\u00e0 la schermata di creazione della regola.<\/li>
- Selezioniamo l\u2019interfaccia esterna, la stessa selezionata in precedenza durante la creazione del server.<\/li>
- Impostiamo all<\/strong> come Source e Destination.<\/li>
- Aggiungiamo i tag che desideriamo, ad esempio il tag av-enabled<\/strong> creato in precedenza. In questo modo solo gli endpoint che rispettano i requisiti del tag selezionato potranno accedere alle risorse mappate sul server.<\/li>
- Aggiungiamo il server appena creato<\/li>
- Lasciamo Accept<\/strong> come azione<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
- Uno volta cliccato ok la nostra policy comparir\u00e0 nella lista. <\/li><\/ul>\n\n\n\n
Nota:<\/strong> nel caso tra la lista di regole vengano create anche policy di divieto-Deny, queste devono sempre essere posizionate sopra quelle di permesso-Accept.<\/p>\n\n\n\nPASSAGGI FINALI<\/h3>\n\n\n\n
Come ultimo passaggio dovremo andare ad aggiungere le regole anche sui FortiClient dei nostri endpoint. \u00c8 possibile aggiungere singolarmente le regole direttamente sui singoli Forticlient oppure tramite EMS in modo da propagarle per pi\u00f9 utenti. <\/p>\n\n\n\n
Vediamo come fare tramite la console di Forticlient EMS.<\/p>\n\n\n\n
- Dal menu Endpoint Profile > ZTNA Connection Rules<\/em><\/strong> andiamo ad aggiungere un nuovo profilo cliccando su + Add<\/strong><\/li>
- Nel nostro esempio abbiamo creato un profilo chiamato TEST OFFNET<\/strong><\/li>
- Clicchiamo su + Add Rule <\/strong>e inseriamo i parametri configurati in precedenza sul Fortigate:
- Destination Host<\/strong> \u2013 il server che vogliamo raggiungere e la porta, nel nostro caso 192.168.1.154:3389<\/li><\/ul>
- Proxy Gateway<\/strong> \u2013 l\u2019indirizzo ip del nostro proxy con la porta configurata 84.248.227.168:20443<\/li><\/ul>
- Transparent mode<\/strong> per fare in modo che la connessione avvenga in background senza che gli utenti debbano intervenire<\/li><\/ul>
- Per impostazione predefinita, la crittografia \u00e8 disabilitata. Quando la crittografia \u00e8 abilitata, anche il traffico tra FortiClient e FortiGate verr\u00e0 crittografato.
NOTA<\/strong>: il traffico originale viene comunque crittografato anche con crittografia disabilitata.<\/li><\/ul><\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Cliccare su Save<\/strong> e, una volta aggiunte tutte le regole desiderate, cliccare nuovamente Save.<\/strong><\/li>
- Cliccando su XML <\/strong>\u00e8 possibile visualizzare la regola appena inserita e volendo aggiungerne di nuove pi\u00f9 rapidamente sfruttando il copia-incolla.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\nL\u2019ultima cosa da fare \u00e8 assicurarsi che il nostro endpoint utilizzi il profilo appena creato quando si trova all\u2019esterno della rete aziendale. Per far questo prima creiamo una regola<\/strong> On-Fabric<\/strong>.<\/p>\n\n\n\n- Rechiamoci in Endpoint Policy & Components > On-fabric Detection Rules<\/em><\/strong><\/li>
- Clicchiamo + Add <\/strong><\/li>
- Inseriamo il nome e clicchiamo + Add Rule<\/strong> per aggiungere le regole. Nell\u2019esempio \u00e8 stata impostata solo la regola che identifica la subnet interna ma per essere sicuri \u00e8 possibile ad esempio aggiungere l\u2019ip pubblico che identifica la rete aziendale o il server DNS utilizzato o altro tra i tipi di regola proposti.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Infine rechiamoci in Manage Policies<\/strong> e modifichiamo la policy in uso dai nostri endpoint.<\/p>\n\n\n\n- Possiamo cliccare + Add<\/strong> per aggiungerne una nuova o modificare quella di default selezionandola e cliccando su Edit<\/strong><\/li><\/ul>\n\n\n\n
- Nel nostro caso vogliamo applicare il profilo a tutti gli endpoint appartenenti all\u2019OU Test del nostro dominio. Specificheremo quindi i gruppi da sincronizzare in Endpoint Groups<\/strong>.<\/li>
- In Users <\/strong>\u00e8 possibile specificare solo determinati utenti se si desidera filtrare ulteriormente il gruppo<\/li>
- Abilitiamo l\u2019opzione Profile (Off-Fabric) in modo da utilizzare profili diversi quando il dispositivo si trova all\u2019interno della rete oppure all\u2019esterno.<\/li>
- Andiamo quindi ad applicare il profilo applicato in precedenza solo nel caso in cui l\u2019endpoint sia Off-Fabric, ovviamente ogni profilo pu\u00f2 essere personalizzato in base alle proprie esigenze, per semplicit\u00e0 noi abbiamo impostato quello di default per tutti gli altri.<\/li>
- On-Fabric Detection Rules<\/strong> \u00e8 la regola che permette a EMS di stabilire quando un dispositivo si trova on-fabric e quando off-fabric. Andiamo a selezionare la regola aggiunta in precedenza e clicchiamo su Save<\/strong>.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nFORTICLIENT<\/strong><\/p>\n\n\n\nOra non ci resta che testare la configurazione sul nostro endpoint. Colleghiamo il pc ad una rete diversa da quella dove risiede il nostro server; il client ricever\u00e0 automaticamente la configurazione da parte di EMS relativa al profilo Off-fabric. La regola inserita quindi verr\u00e0 mostrata in ZTNA CONNECTION RULES <\/strong>e, se tutti i requisiti e i parametri che abbiamo impostato, tag compresi, vengono rispettati, saremo in grado di effettuare la connessione rdp sull\u2019host configurato.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
link utili<\/h6>\n\n\n\n
CONFIGURAZIONE FORTICLIENT EMS<\/strong><\/h3>\n\n\n\nPer prima cosa andiamo a creare un nuovo tag tramite Forticlient EMS. I tag si basano su vari controlli e possono essere applicati agli endpoint qualora i requisiti impostati vengano rispettati dagli endpoint stessi. Nel nostro esempio andremo a creare un tag che identifichi i dispositivi che dispongono di un Software Antivirus installato e attivo. Vediamo come fare.<\/p>\n\n\n\n
- Rechiamoci sulla console di Forticlient EMS e dal menu laterale rechiamoci in Zero Trust Tags > Zero Trust Tagging Rules<\/em>.<\/li>
- Dalla barra superiore clicchiamo su + Add<\/strong> per aggiungere un nuovo Tag. Comparir\u00e0 la schermata per configurare la regola<\/li>
- Aggiungiamo un nome e il rispettivo tag che verr\u00e0 utilizzato es. ev-enabled<\/li>
- Clicchiamo in basso a destra su + Add Rule<\/strong><\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n- Si aprir\u00e0 una finestra, qui andremo a selezionare il sistema operativo dei dispositivi<\/strong> per il quale vogliamo creare la regola<\/li>
- Selezioniamo poi il tipo di regola<\/strong> dall\u2019elenco a disposizione, in questo caso AV Software is installed and running. Poi cliccare Save<\/strong> per salvare<\/li><\/ul>\n\n\n\n
Noi abbiamo creato due regole per lo stesso tag, una per i dispositivi Windows e una per Mac.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
Dopo aver salvato, il tag comparir\u00e0 nella lista. E’ possibile aggiungere tutti i tag che si desiderano selezionando le regole presenti in elenco, ad esempio si pu\u00f2 creare un tag che identifica i dispositivi che appartengono ad un determinato range di IP, oppure quelli con la telemetria connessa a EMS,…<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
I tag creati verranno automaticamente applicati a tutti i dispositivi che rispettano i requisiti delle regole di tagging aggiunte.<\/p>\n\n\n\n<\/figure>\n\n\n\nCONFIGURAZIONE SUL FORTIGATE<\/strong><\/h3>\n\n\n\nPer procedere con la configurazione vera e propria sul nostro firwall Fortigate, occorre innanzitutto abilitare ZTNA <\/strong>dall\u2019elenco delle funzionalit\u00e0 visibili. Dal menu laterale System > Feature Visibility > ZTNA.<\/strong><\/em><\/p>\n\n\n\n<\/figure>\n\n\n\nUna volta abilitata, comparir\u00e0 la sezione dedicata in Policy & Objects > ZTNA<\/em><\/strong>. Saranno disponibili tre schede: ZTNA RULES<\/strong>, ZTNA SERVERS<\/strong>, ZTNA TAGS<\/strong>.<\/p>\n\n\n\nZTNA TAGS<\/strong><\/h6>\n\n\n\nI tag ZTNA sono generati dalle regole di tagging configurate su FortiClient EMS, dopo la loro creazione queste vengono automaticamente sincronizzate sul FortiGate. Vediamo che, oltre al tag che abbiamo creato in precedenza, nella lista compaiono anche ulteriori tag, creati autonomamente da EMS.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
ZTNA SERVERS<\/strong><\/h6>\n\n\n\n- Selezioniamo ora la scheda ZTNA Servers<\/strong> dove andremo a configurare il nostro firewall che funger\u00e0 da proxy.<\/li>
- Inseriamo un nome identificativo e configuriamo le impostazioni di rete selezionando l\u2019interfaccia esterna, wan1 <\/strong>nel nostro caso, e inserendo indirizzo ip<\/strong> e porta<\/strong> del nostro fortigate.
Nota<\/strong>: di default sar\u00e0 selezionata la porta 443, se la porta \u00e8 gi\u00e0 utilizzata per esporre il nostro fortigate pubblicamente \u00e8 consigliato cambiarla per evitare problemi; noi utilizzeremo la 20443<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Selezioniamo il certificato SSL da utilizzare<\/li>
- clicchiamo su + Create New<\/strong> per andare a mappare il server che ci interessa rendere accessibile.<\/li>
- Nel nostro esempio renderemo accessibile tramite RDP la macchina che ospita il nostro server interno.<\/li>
- selezioniamo quindi la relativa scheda TCP Forwarding ed andiamo ad aggiungere l\u2019ip privato del server 192.168.154 e la porta 3389. Sar\u00e0 necessario salvare l\u2019indirizzo dandogli un nome.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nCon lo stesso procedimento potremmo aggiungere tutte le applicazioni tcp che vogliamo rendere disponibili, una volta terminato clicchiamo su Ok<\/strong> e confermiamo la creazione del server cliccando nuovamente Ok<\/strong>.<\/p>\n\n\n\nZTNA RULES<\/strong><\/h6>\n\n\n\nTramite la scheda ZTNA RULES<\/strong>, andremo infine ad aggiungere la regola che permetter\u00e0 al traffico di essere correttamente indirizzato.<\/strong><\/p>\n\n\n\n- Clicchiamo su Add Rule<\/strong>, comparir\u00e0 la schermata di creazione della regola.<\/li>
- Selezioniamo l\u2019interfaccia esterna, la stessa selezionata in precedenza durante la creazione del server.<\/li>
- Impostiamo all<\/strong> come Source e Destination.<\/li>
- Aggiungiamo i tag che desideriamo, ad esempio il tag av-enabled<\/strong> creato in precedenza. In questo modo solo gli endpoint che rispettano i requisiti del tag selezionato potranno accedere alle risorse mappate sul server.<\/li>
- Aggiungiamo il server appena creato<\/li>
- Lasciamo Accept<\/strong> come azione<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
- Uno volta cliccato ok la nostra policy comparir\u00e0 nella lista. <\/li><\/ul>\n\n\n\n
Nota:<\/strong> nel caso tra la lista di regole vengano create anche policy di divieto-Deny, queste devono sempre essere posizionate sopra quelle di permesso-Accept.<\/p>\n\n\n\nPASSAGGI FINALI<\/h3>\n\n\n\n
Come ultimo passaggio dovremo andare ad aggiungere le regole anche sui FortiClient dei nostri endpoint. \u00c8 possibile aggiungere singolarmente le regole direttamente sui singoli Forticlient oppure tramite EMS in modo da propagarle per pi\u00f9 utenti. <\/p>\n\n\n\n
Vediamo come fare tramite la console di Forticlient EMS.<\/p>\n\n\n\n
- Dal menu Endpoint Profile > ZTNA Connection Rules<\/em><\/strong> andiamo ad aggiungere un nuovo profilo cliccando su + Add<\/strong><\/li>
- Nel nostro esempio abbiamo creato un profilo chiamato TEST OFFNET<\/strong><\/li>
- Clicchiamo su + Add Rule <\/strong>e inseriamo i parametri configurati in precedenza sul Fortigate:
- Destination Host<\/strong> \u2013 il server che vogliamo raggiungere e la porta, nel nostro caso 192.168.1.154:3389<\/li><\/ul>
- Proxy Gateway<\/strong> \u2013 l\u2019indirizzo ip del nostro proxy con la porta configurata 84.248.227.168:20443<\/li><\/ul>
- Transparent mode<\/strong> per fare in modo che la connessione avvenga in background senza che gli utenti debbano intervenire<\/li><\/ul>
- Per impostazione predefinita, la crittografia \u00e8 disabilitata. Quando la crittografia \u00e8 abilitata, anche il traffico tra FortiClient e FortiGate verr\u00e0 crittografato.
NOTA<\/strong>: il traffico originale viene comunque crittografato anche con crittografia disabilitata.<\/li><\/ul><\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Cliccare su Save<\/strong> e, una volta aggiunte tutte le regole desiderate, cliccare nuovamente Save.<\/strong><\/li>
- Cliccando su XML <\/strong>\u00e8 possibile visualizzare la regola appena inserita e volendo aggiungerne di nuove pi\u00f9 rapidamente sfruttando il copia-incolla.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\nL\u2019ultima cosa da fare \u00e8 assicurarsi che il nostro endpoint utilizzi il profilo appena creato quando si trova all\u2019esterno della rete aziendale. Per far questo prima creiamo una regola<\/strong> On-Fabric<\/strong>.<\/p>\n\n\n\n- Rechiamoci in Endpoint Policy & Components > On-fabric Detection Rules<\/em><\/strong><\/li>
- Clicchiamo + Add <\/strong><\/li>
- Inseriamo il nome e clicchiamo + Add Rule<\/strong> per aggiungere le regole. Nell\u2019esempio \u00e8 stata impostata solo la regola che identifica la subnet interna ma per essere sicuri \u00e8 possibile ad esempio aggiungere l\u2019ip pubblico che identifica la rete aziendale o il server DNS utilizzato o altro tra i tipi di regola proposti.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Infine rechiamoci in Manage Policies<\/strong> e modifichiamo la policy in uso dai nostri endpoint.<\/p>\n\n\n\n- Possiamo cliccare + Add<\/strong> per aggiungerne una nuova o modificare quella di default selezionandola e cliccando su Edit<\/strong><\/li><\/ul>\n\n\n\n
- Nel nostro caso vogliamo applicare il profilo a tutti gli endpoint appartenenti all\u2019OU Test del nostro dominio. Specificheremo quindi i gruppi da sincronizzare in Endpoint Groups<\/strong>.<\/li>
- In Users <\/strong>\u00e8 possibile specificare solo determinati utenti se si desidera filtrare ulteriormente il gruppo<\/li>
- Abilitiamo l\u2019opzione Profile (Off-Fabric) in modo da utilizzare profili diversi quando il dispositivo si trova all\u2019interno della rete oppure all\u2019esterno.<\/li>
- Andiamo quindi ad applicare il profilo applicato in precedenza solo nel caso in cui l\u2019endpoint sia Off-Fabric, ovviamente ogni profilo pu\u00f2 essere personalizzato in base alle proprie esigenze, per semplicit\u00e0 noi abbiamo impostato quello di default per tutti gli altri.<\/li>
- On-Fabric Detection Rules<\/strong> \u00e8 la regola che permette a EMS di stabilire quando un dispositivo si trova on-fabric e quando off-fabric. Andiamo a selezionare la regola aggiunta in precedenza e clicchiamo su Save<\/strong>.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nFORTICLIENT<\/strong><\/p>\n\n\n\nOra non ci resta che testare la configurazione sul nostro endpoint. Colleghiamo il pc ad una rete diversa da quella dove risiede il nostro server; il client ricever\u00e0 automaticamente la configurazione da parte di EMS relativa al profilo Off-fabric. La regola inserita quindi verr\u00e0 mostrata in ZTNA CONNECTION RULES <\/strong>e, se tutti i requisiti e i parametri che abbiamo impostato, tag compresi, vengono rispettati, saremo in grado di effettuare la connessione rdp sull\u2019host configurato.<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/p>\n\n\n\n
link utili<\/h6>\n\n\n\n
<\/figure>\n\n\n\n- Si aprir\u00e0 una finestra, qui andremo a selezionare il sistema operativo dei dispositivi<\/strong> per il quale vogliamo creare la regola<\/li>
- Selezioniamo poi il tipo di regola<\/strong> dall\u2019elenco a disposizione, in questo caso AV Software is installed and running. Poi cliccare Save<\/strong> per salvare<\/li><\/ul>\n\n\n\n
Noi abbiamo creato due regole per lo stesso tag, una per i dispositivi Windows e una per Mac.<\/p>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Dopo aver salvato, il tag comparir\u00e0 nella lista. E’ possibile aggiungere tutti i tag che si desiderano selezionando le regole presenti in elenco, ad esempio si pu\u00f2 creare un tag che identifica i dispositivi che appartengono ad un determinato range di IP, oppure quelli con la telemetria connessa a EMS,…<\/p>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
I tag creati verranno automaticamente applicati a tutti i dispositivi che rispettano i requisiti delle regole di tagging aggiunte.<\/p>\n\n\n\n
<\/figure>\n\n\n\nCONFIGURAZIONE SUL FORTIGATE<\/strong><\/h3>\n\n\n\n
Per procedere con la configurazione vera e propria sul nostro firwall Fortigate, occorre innanzitutto abilitare ZTNA <\/strong>dall\u2019elenco delle funzionalit\u00e0 visibili. Dal menu laterale System > Feature Visibility > ZTNA.<\/strong><\/em><\/p>\n\n\n\n
<\/figure>\n\n\n\nUna volta abilitata, comparir\u00e0 la sezione dedicata in Policy & Objects > ZTNA<\/em><\/strong>. Saranno disponibili tre schede: ZTNA RULES<\/strong>, ZTNA SERVERS<\/strong>, ZTNA TAGS<\/strong>.<\/p>\n\n\n\n
ZTNA TAGS<\/strong><\/h6>\n\n\n\n
I tag ZTNA sono generati dalle regole di tagging configurate su FortiClient EMS, dopo la loro creazione queste vengono automaticamente sincronizzate sul FortiGate. Vediamo che, oltre al tag che abbiamo creato in precedenza, nella lista compaiono anche ulteriori tag, creati autonomamente da EMS.<\/p>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
ZTNA SERVERS<\/strong><\/h6>\n\n\n\n
- Selezioniamo ora la scheda ZTNA Servers<\/strong> dove andremo a configurare il nostro firewall che funger\u00e0 da proxy.<\/li>
- Inseriamo un nome identificativo e configuriamo le impostazioni di rete selezionando l\u2019interfaccia esterna, wan1 <\/strong>nel nostro caso, e inserendo indirizzo ip<\/strong> e porta<\/strong> del nostro fortigate.
Nota<\/strong>: di default sar\u00e0 selezionata la porta 443, se la porta \u00e8 gi\u00e0 utilizzata per esporre il nostro fortigate pubblicamente \u00e8 consigliato cambiarla per evitare problemi; noi utilizzeremo la 20443<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Selezioniamo il certificato SSL da utilizzare<\/li>
- clicchiamo su + Create New<\/strong> per andare a mappare il server che ci interessa rendere accessibile.<\/li>
- Nel nostro esempio renderemo accessibile tramite RDP la macchina che ospita il nostro server interno.<\/li>
- selezioniamo quindi la relativa scheda TCP Forwarding ed andiamo ad aggiungere l\u2019ip privato del server 192.168.154 e la porta 3389. Sar\u00e0 necessario salvare l\u2019indirizzo dandogli un nome.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nCon lo stesso procedimento potremmo aggiungere tutte le applicazioni tcp che vogliamo rendere disponibili, una volta terminato clicchiamo su Ok<\/strong> e confermiamo la creazione del server cliccando nuovamente Ok<\/strong>.<\/p>\n\n\n\n
ZTNA RULES<\/strong><\/h6>\n\n\n\n
Tramite la scheda ZTNA RULES<\/strong>, andremo infine ad aggiungere la regola che permetter\u00e0 al traffico di essere correttamente indirizzato.<\/strong><\/p>\n\n\n\n
- Clicchiamo su Add Rule<\/strong>, comparir\u00e0 la schermata di creazione della regola.<\/li>
- Selezioniamo l\u2019interfaccia esterna, la stessa selezionata in precedenza durante la creazione del server.<\/li>
- Impostiamo all<\/strong> come Source e Destination.<\/li>
- Aggiungiamo i tag che desideriamo, ad esempio il tag av-enabled<\/strong> creato in precedenza. In questo modo solo gli endpoint che rispettano i requisiti del tag selezionato potranno accedere alle risorse mappate sul server.<\/li>
- Aggiungiamo il server appena creato<\/li>
- Lasciamo Accept<\/strong> come azione<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
- Uno volta cliccato ok la nostra policy comparir\u00e0 nella lista. <\/li><\/ul>\n\n\n\n
Nota:<\/strong> nel caso tra la lista di regole vengano create anche policy di divieto-Deny, queste devono sempre essere posizionate sopra quelle di permesso-Accept.<\/p>\n\n\n\n
PASSAGGI FINALI<\/h3>\n\n\n\n
Come ultimo passaggio dovremo andare ad aggiungere le regole anche sui FortiClient dei nostri endpoint. \u00c8 possibile aggiungere singolarmente le regole direttamente sui singoli Forticlient oppure tramite EMS in modo da propagarle per pi\u00f9 utenti. <\/p>\n\n\n\n
Vediamo come fare tramite la console di Forticlient EMS.<\/p>\n\n\n\n
- Dal menu Endpoint Profile > ZTNA Connection Rules<\/em><\/strong> andiamo ad aggiungere un nuovo profilo cliccando su + Add<\/strong><\/li>
- Nel nostro esempio abbiamo creato un profilo chiamato TEST OFFNET<\/strong><\/li>
- Clicchiamo su + Add Rule <\/strong>e inseriamo i parametri configurati in precedenza sul Fortigate:
- Destination Host<\/strong> \u2013 il server che vogliamo raggiungere e la porta, nel nostro caso 192.168.1.154:3389<\/li><\/ul>
- Proxy Gateway<\/strong> \u2013 l\u2019indirizzo ip del nostro proxy con la porta configurata 84.248.227.168:20443<\/li><\/ul>
- Transparent mode<\/strong> per fare in modo che la connessione avvenga in background senza che gli utenti debbano intervenire<\/li><\/ul>
- Per impostazione predefinita, la crittografia \u00e8 disabilitata. Quando la crittografia \u00e8 abilitata, anche il traffico tra FortiClient e FortiGate verr\u00e0 crittografato.
NOTA<\/strong>: il traffico originale viene comunque crittografato anche con crittografia disabilitata.<\/li><\/ul><\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n- Cliccare su Save<\/strong> e, una volta aggiunte tutte le regole desiderate, cliccare nuovamente Save.<\/strong><\/li>
- Cliccando su XML <\/strong>\u00e8 possibile visualizzare la regola appena inserita e volendo aggiungerne di nuove pi\u00f9 rapidamente sfruttando il copia-incolla.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\nL\u2019ultima cosa da fare \u00e8 assicurarsi che il nostro endpoint utilizzi il profilo appena creato quando si trova all\u2019esterno della rete aziendale. Per far questo prima creiamo una regola<\/strong> On-Fabric<\/strong>.<\/p>\n\n\n\n
- Rechiamoci in Endpoint Policy & Components > On-fabric Detection Rules<\/em><\/strong><\/li>
- Clicchiamo + Add <\/strong><\/li>
- Inseriamo il nome e clicchiamo + Add Rule<\/strong> per aggiungere le regole. Nell\u2019esempio \u00e8 stata impostata solo la regola che identifica la subnet interna ma per essere sicuri \u00e8 possibile ad esempio aggiungere l\u2019ip pubblico che identifica la rete aziendale o il server DNS utilizzato o altro tra i tipi di regola proposti.<\/li><\/ul>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
Infine rechiamoci in Manage Policies<\/strong> e modifichiamo la policy in uso dai nostri endpoint.<\/p>\n\n\n\n
- Possiamo cliccare + Add<\/strong> per aggiungerne una nuova o modificare quella di default selezionandola e cliccando su Edit<\/strong><\/li><\/ul>\n\n\n\n
- Nel nostro caso vogliamo applicare il profilo a tutti gli endpoint appartenenti all\u2019OU Test del nostro dominio. Specificheremo quindi i gruppi da sincronizzare in Endpoint Groups<\/strong>.<\/li>
- In Users <\/strong>\u00e8 possibile specificare solo determinati utenti se si desidera filtrare ulteriormente il gruppo<\/li>
- Abilitiamo l\u2019opzione Profile (Off-Fabric) in modo da utilizzare profili diversi quando il dispositivo si trova all\u2019interno della rete oppure all\u2019esterno.<\/li>
- Andiamo quindi ad applicare il profilo applicato in precedenza solo nel caso in cui l\u2019endpoint sia Off-Fabric, ovviamente ogni profilo pu\u00f2 essere personalizzato in base alle proprie esigenze, per semplicit\u00e0 noi abbiamo impostato quello di default per tutti gli altri.<\/li>
- On-Fabric Detection Rules<\/strong> \u00e8 la regola che permette a EMS di stabilire quando un dispositivo si trova on-fabric e quando off-fabric. Andiamo a selezionare la regola aggiunta in precedenza e clicchiamo su Save<\/strong>.
<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\nFORTICLIENT<\/strong><\/p>\n\n\n\n
Ora non ci resta che testare la configurazione sul nostro endpoint. Colleghiamo il pc ad una rete diversa da quella dove risiede il nostro server; il client ricever\u00e0 automaticamente la configurazione da parte di EMS relativa al profilo Off-fabric. La regola inserita quindi verr\u00e0 mostrata in ZTNA CONNECTION RULES <\/strong>e, se tutti i requisiti e i parametri che abbiamo impostato, tag compresi, vengono rispettati, saremo in grado di effettuare la connessione rdp sull\u2019host configurato.<\/p>\n\n\n\n
<\/figure>\n\n\n\n<\/p>\n\n\n\n
link utili<\/h6>\n\n\n\n
- In Users <\/strong>\u00e8 possibile specificare solo determinati utenti se si desidera filtrare ulteriormente il gruppo<\/li>
- Nel nostro caso vogliamo applicare il profilo a tutti gli endpoint appartenenti all\u2019OU Test del nostro dominio. Specificheremo quindi i gruppi da sincronizzare in Endpoint Groups<\/strong>.<\/li>
- Clicchiamo + Add <\/strong><\/li>
- Cliccando su XML <\/strong>\u00e8 possibile visualizzare la regola appena inserita e volendo aggiungerne di nuove pi\u00f9 rapidamente sfruttando il copia-incolla.<\/li><\/ul>\n\n\n\n
- Cliccare su Save<\/strong> e, una volta aggiunte tutte le regole desiderate, cliccare nuovamente Save.<\/strong><\/li>
- Per impostazione predefinita, la crittografia \u00e8 disabilitata. Quando la crittografia \u00e8 abilitata, anche il traffico tra FortiClient e FortiGate verr\u00e0 crittografato.
- Transparent mode<\/strong> per fare in modo che la connessione avvenga in background senza che gli utenti debbano intervenire<\/li><\/ul>
- Proxy Gateway<\/strong> \u2013 l\u2019indirizzo ip del nostro proxy con la porta configurata 84.248.227.168:20443<\/li><\/ul>
- Nel nostro esempio abbiamo creato un profilo chiamato TEST OFFNET<\/strong><\/li>
- Dal menu Endpoint Profile > ZTNA Connection Rules<\/em><\/strong> andiamo ad aggiungere un nuovo profilo cliccando su + Add<\/strong><\/li>
- Inseriamo un nome identificativo e configuriamo le impostazioni di rete selezionando l\u2019interfaccia esterna, wan1 <\/strong>nel nostro caso, e inserendo indirizzo ip<\/strong> e porta<\/strong> del nostro fortigate.
- Selezioniamo poi il tipo di regola<\/strong> dall\u2019elenco a disposizione, in questo caso AV Software is installed and running. Poi cliccare Save<\/strong> per salvare<\/li><\/ul>\n\n\n\n