Fortinet Proxy con firmware 4.

Dalla versione di firmware 4.0 è stata introdotta la possibilità di configurare l’appliance Fortinet
come proxy con delle regole di webfilter. Per fare questo è necessario abilitare i vdom, in
quanto su un’istanza di vdom abiliteremo la funzione proxy mentre sull’istanza principale
abiliteremo le funzioni di filtro web ed eventuale autenticazione.

Questo lo schema di rete

Secondo questa topologia installeremo il Fortigate con ip 10.200.1.238, poi lo partizioneremo in

due vdom, di cui il primo “root” rimarrà con ip 10.200.1.238 e verrà utilizzato per il webfilter,
mentre il secondo attiverà la nuova funzione di “Explicit Web Proxy” e sarà il proxy a cui tutti i
browser della nostra rete punteranno.

Le interfacce di rete che saranno utilizzate saranno la porta del vdom rootda collegare alla Lan
e la porta del vdom proxy su cui abilitare il servizio “Explicit Web Proxy”. Quest’ultima potrà
anche non essere connessa agli switch.

Passiamo alla configurazione.

Per prima cosa bisogna attivare i vdom, procedendo dall’interfaccia principale del menù status,
andare su “Virtual Domain” e cliccare enable.
A questo punto comparirà il menù vdom sulla sinistra e si potrà procedere all creazione del
vdom proxy tramite l’apposito tasto.

Una volta creato il nostro vdom “testproxy” osserviamo che non sono presenti interfacce di rete
fisiche già assegnate ma solo quella dell’sslvpn.

Abbiamo scelto la porta5 come interfaccia da assegnare al nuovo vdom e su cui abiliteremo il
servizio “Explicit Web Proxy”, quindi assegneremo un ip di una nuova classe su quella porta,
nel nostro caso 10.222.1.238.

Per assegnare la porta5 al vdom “testproxy” aprire i settaggi della porta dal menù network-
>interface
Selezionare il vdom “testproxy” e applicare. Spuntare l’opzione “Explicit Web Proxy” per
abilitare la funzione proxy sull’interfaccia. A questo punto l’interfaccia dovrebbe comparire nel
vdom relativo.

Ora si devono connettere i due vdom. Per non sprecare le interfacce fisiche possiamo creare
dei vdom link, da network -> interface -> create new
Per creare il link bisogna assegnare un nome e due ip, uno per ogni interfaccia che sarà
connessa dal link e i vdom da collegare.

Nel nostro esempio useremo l’ip 10.10.10.1 lato vdom root e l’ip 10.10.10.2 lato vdom
testproxy

Fatto questo compariranno sotto le interfacce fisiche le due interfacce appertenti ai due capi
del vdom link

Dopo aver creato il vdom link (noteremo la presenza della nuova interfaccia di rete in ogni
vdom), possiamo procedere con la configurazione del vdom proxy cliccando sul bottone
evidenziato

Per prima cosa bisogna definire nel vdom proxyun nuovo default gateway puntando
all’interfaccia vdom link del vdom root. Infatti il vdom proxy dovrà passare dal vdom root per
navigare su internet.
A questo punto si possono fare delle regole per permettere alle richieste dei browser di
raggiungere il proxy e per permettere al proxy di navigare(ricordando che la port5 è la porta su
cui è stato abilitato il servizio proxy e proxy-link1 l’interfaccia che comunica col vdom root e
sui cui transita il traffico web in entrata e uscita).

Ora si passa ad abilitare la funzione proxy sul vdom sulla porta 3128 dal menù Network->
WebProxy
Poi si può passare a configurare il vdom root

Il vdom root avrà già un default gateway impostato precedentemente, che sarà quello della lan
(nel nostro caso 10.200.1.1). Ora bisogna aggiungere una route statica in modo che quando i
browsers dei client cercheranno di raggiungere il proxy all’indirizzo 10.222.1.238, il traffico
venga instradato sul vdom link.

Quindi aggiungere una route 10.222.1.0/24 verso l’ip 10.10.10.2 (interfaccia sul vdomlink del
vdom proxy)

A questo punto aggiungiamo sul vdom root una regola generica da port1 a vdom link per
permettere il traffico dai browers verso il vdom proxy, e una regola dal vdom link verso la port1
per permettere al proxy di navigare

Ora dobbiamo impostare i profili di web filter su un protection profile

Editiamo il profilo web

Innanzittutto modifichiamo i settaggi del “protocol recognition” aggiungendo la porta 3128 alle
porte ispezionate dal motore AV/Webfilter, dato che il nostro proxy sta in ascolto su questa
porta. Se non abilitiamo tale opzione verrà solo ispezionato il traffico sulla porta 80 (default) e
di conseguenza non avremmo possibilità di filtrare dato che i browsers fanno richiesta al proxy
sulla porta 3128.
Poi continuiamo a configurare il protection profile o con il servizio Fortiguard Web Filter (se
abbiamo la sottoscrizione)

Oppure con delle regole di filtraggio manuali che individuino delle URL o dei contenuti vietati,
precedentement creati dal menù UTM-> Webfilter

Si possono in quel caso selezionare i template manuali dai menù a tendina della sezione
webfilter del protection profile
Ora assegniamo il profilo appena creato alla regola firewall port1->vdomlink in modo da
intercettare tutte le richieste dirette al proxy quando vengono generate dal client. Se invece lo
assegnassimo alla regola vdomlink->port1 filtreremmo le richieste dal proxy verso internet,
così facendo filtreremmo il contenuto in modo uguale per tutti gli utenti che utilizzano il proxy.
Assegnando alla regola indicata invece ci manteniamo la possibilità di disciminare gli ip
sorgenti e autenticare permettendo nel caso politiche di filtraggio diverse per ip o utenti.

Una volta applicato il protection profile possiamo testare il tutto andando nel nostro browser e
impostando come proxy l’ip del vdom proxy (nel nostro caso 10.222.1.238)
Da notare che questa subnet deve essere raggiungibile dal client, per cui se si configura il
firewall come nel nostro disegno con un solo ramo attivo sulla lan, bisognerà andare sul default
gateway della lan (nel nostro caso 10.200.1.1) e andare a inserire una route statica che indichi
la subnet 10.222.1.0/24 raggiungibile tramite il 10.200.1.238 (il nostro vdom root)

Per provare la nostra configurazione si potrà provare a navigare prima su siti leciti (ad es.
www.google.it), poi su siti potenzialmente bloccati (ad es. www.playboy.com)

Autore: Fabrizio Rosina

Sito: www.gzone.it