Fortigate, utiliser FSSO en mode Polling via WMI (1/2)
Introduction
FSSO ?
Fortinet Single Sign-On (FSSO), anciennement connu sous le nom de FortiGate Server Authentication Extension (FSAE), est le protocole d’authentification par lequel les utilisateurs peuvent s’authentifier de manière transparente auprès des appareils FortiGate (notamment).
Pourquoi utiliser ce mode et cette méthode ?
Après, contrairement au mode FSSO « DC Agent mode », le mode FSSO « Polling » évite l’installation d’un agent sur chacun des contrôleurs de domaine. Cela peut être problématique dans certaines organisations.
Ensuite, la récupération des événements de connexion des utilisateurs via WMI apporte d’autres avantages : plus de fiabilité dans la récupération des événements, une charge réseau réduite entre l’agent collecteur et les contrôleurs de domaine et enfin la possibilité d’utiliser un compte de service avec des droits restreints.
Comme on peut le voir sur le schéma ci-dessous, l’agent collecteur interroge directement les contrôleurs de domaine et le Fortigate récupère régulièrement les mises à jour :
Ce premier article sera consacré à l’installation et la configuration de l’agent FSSO sur un serveur Windows. Un second article permettra de voir son utilisation sur un Fortigate.
Permissions WMI sur les DC
Un des pré-requis pour pouvoir utiliser ce mode est d’appliquer certains droits au compte de service ou utilisateur qui sera utilisé par le service « Fortinet Single Sign On Agent Service ».
Pour cela, lancez la console « Windows Management Instrumentation » (WMI) sur chacun de vos contrôleurs de domaine concerné (wmimgmt.msc) :
- Clic-droit sur « Contrôle WMI » puis « Propriétés »
- Sélectionnez l’onglet « Sécurité » et étendre « Root »
- Sélectionnez « CIMV2 » puis cliquez sur le bouton « Sécurité »
- Ajoutez ensuite l’utilisateur / compte de service qui sera utilisé, ici « fsso_agent »
- Puis donnez-lui les droits : « Appel à distance autorisé » et « Activer le compte »
- Dans la même fenêtre, cliquez-sur « Avancé »
- Sélectionnez l’utilisateur / compte de service dans l’onglet « Autorisations »
- Cliquez sur « Editer » et appliquez les droits « Cet espace de noms et les sous-espaces de noms »
- Enregistrez les changements en cliquant sur « OK »
Redémarrez ensuite le service WMI (services.msc) qui porte le nom « Windows Management Instrumentation », clic-droit puis « Redémarrer » :
Ouverture de flux réseaux à prévoir
Une matrice des flux sera faite plus tard, en attendant vous pouvez voir cet article de chez Fortinet :
Installation et configuration de l’agent collecteur
Pré-requis pour l’installation et fonctionnement
Rendez-vous sur le site de Fortinet pour télécharger la version la plus récente de l’agent collecteur en fonction de votre version la plus récente du FortiOS installé (OS Fortigate). Par Ex. ici la version correspondante, ici 5.0.0276 (version 64 bits) compatible avec les Fortigate FortiOS 6.0.5 (même démarche pour les versions 6.2.x ou 6.4.x) :
A noter que la version de l’agent collecteur reste (rétro) compatible avec les anciennes versions de FortiOS (5.6, 5.4 etc…). Pensez à vérifier que le fichier téléchargé n’est pas corrompu en comparant les checksum :
Astuce : J’utilise l’extension http://code.kliu.org/hashcheck/ qui est bien pratique au quotidien pour cela. Sinon en PowerShell :
PS C:\Users\username\Downloads> Get-FileHash -Algorithm MD5 .\[filename]
Assurez-vous ensuite que votre serveur collecteur accepte les connexions entrantes sur le port TCP 8000, dans le cas contraire, ajoutez une règle de filtrage sur le firewall local et/ou sur tout autre firewall qui serait entre le Fortigate (source) et l’agent collecteur (destination).
Il vous faudra bien-sûr un serveur Windows, j’ai choisi la version 2016 dans ce cas-ci (ne faites pas attention aux captures d’écran + haut prises sur 2008/2012, c’est le même principe quelle que soit la version de l’OS).
Dernier point, vous devez bien-sûr disposer des droits d’administrateur pour l’installation de l’agent collecteur.
Installation
- Lancez l’exécutable et cliquez sur « Next »
- Acceptez les conditions d’utilisation puis cliquez sur « Next » deux fois (on garde le répertoire par défaut « C:\Program Files (x86)\Fortinet\FSAE\ »
- Saisissez ensuite correctement l’utilisateur / compte de service qui lancera le service, ici « fsso_agent » :
- Cliquez sur « Next »
- Cochez les deux options et sélectionnez la méthode « Advanced » :
Contrairement au mode « Standard », ce mode permet d’utiliser directement les comptes utilisateurs AD au niveau des règles de filtrage du Fortigate, pas seulement les groupes donc. Cela apporte plus de souplesse et de finesse.
Il permet en outre d’appliquer une règle de filtrage sur une OU ou un groupe AD contenant des groupes imbriqués, cela ne se limite plus au groupe. Ce qui est impossible dans le mode « Standard ».
Enfin, on aura la possibilité de « pousser » les groupes que l’on souhaite filtrer/utiliser depuis le Fortigate vers l’agent collecteur.
- Procédez à l’installation en cliquant sur « Install » et patientez
- Enfin, décochez la case « Launch DC Agent Install Wizard » et cliquez sur « Finish » :
Nous voyons qu’un nouveau service a été créé :
Droits sur le répertoire d’installation
Nous devons maintenant attribuer les droits en lecture / écriture à notre utilisateur / compte de service afin, notamment, qu’il puisse écrire ses fichiers de logs.
- Ouvrez l’explorateur de fichiers et faites un clic-droit sur le répertoire « C:\Program Files (x86)\Fortinet\FSAE », choisir « Propriétés »
- Dans l’onglet « Sécurité », cliquez sur « Modifier » puis « Ajouter » afin d’ajouter l’utilisateur / compte de service
- Attribuez-lui les droits « Contrôle total » en cliquant sur « Autoriser »
- Puis « Appliquer » et « OK » deux fois :
Redémarrez ensuite le service « Fortinet Single Sign On Agent Service » pour que les changements soient pris en compte :
Une nouveau fichier de log fera son apparition :
Groupes AD et droits dans la base de registre
L’utilisateur / compte de service doit faire partie du groupe AD « Event Log Readers » :
Ensuite, ce dernier doit avoir les pleins droits sur les clés et sous-clés de registre de l’agent collecteur. Pour cela, lancer l’utilitaire « regedit.exe » et modifier celles-ci, choisir le chemin correspondant à votre système :
- 32bit :[HKEY_LOCAL_MACHINE\SOFTWARE\Fortinet\FSAE\collectoragent]
- 64bit :[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Fortinet\FSAE\collectoragent]
Vous devez ensuite donnez le contrôle d’accès total à l’utilisateur / compte de service via :
- Clic-droit sur le répertoire « collectoragent » puis choisir « Autorisations »
- Ajouter le utilisateur / compte de service via le bouton « Ajouter »
- Le sélectionner et cocher « Autoriser » devant « Contrôle total »
- Enregistrez les changements en cliquant sur « OK »
- Redémarrer le serveur collecteur pour prendre en compte les changements
Configurer l’agent collecteur
Lancez l’agent collecteur « FSAEConfig.exe » et cliquez sur « Run as administrator » pour accéder à toutes les fonctions :
En premier lieu, définissez un nouveau mot de passe qui sera utilisé par le ou les Fortigate. Pour cela, supprimez le contenu du champ « Password », insérer votre mot de passe et cliquez sur « Apply ». Pour chaque changement enregistré, une petite fenêtre s’ouvrira :
Note : en cas de problème lors de vos premiers tests, sachez que le mot de passe par défaut est « fortinetcanada ».
Ensuite, il est préférable d’avoir un fichier log pour les événements (connexions/déconnexions/mises à jours) utilisateurs, c’est plus facile pour le débogage. Pour cela, cliquez sur « Log logon events in separate logs » et cliquez sur « Apply » :
Aussitôt, un nouveau fichier de log sera créé dans le répertoire FSAE contenant toutes les logs :
Il vous suffira ensuite de cliquer sur « View Logon Events » pour ouvrir ce fichier et le visualiser.
Configurer les Event ID à récupérer
Nous devons indiquer à l’agent collecteur tous les Event ID que nous voulons « sonder » car par défaut, il ne prend pas en charge toutes les versions d’OS Windows, il en filtre pas mal.
- Cliquez sur « Advanced Settings et dans le champ « Event IDs to poll » (section « Windows Security Event Logs ») indiquez cette liste :
672;673;680;528;540;4768;4769;4776;4624;4770
Ainsi, toutes les versions de Windows depuis 2003 jusqu’à 2016 fonctionneront (je n’ai pas testé avec 2019) :
Assurez d’avoir également la case « Use WMI to check user logoff » de cochée dans la section « Workstation Check ». L’agent collecteur interrogera régulièrement les PC afin de vérifier si l’utilisateur est toujours connecté ou non (un batch sera lancé toutes les 5 minutes, comme indiqué sur l’écran principal).
Sélectionner les DC à « monitorer »
- Cliquez sur « Show Monitored DCs »
- Puis sur « Select DC to Monitor »
- Cochez la case « Polling Mode »
- Puis la case « Check Windows Security Event Logs using WMI » (c’est là que l’on active concrètement le mode WMI)
- Enfin, sélectionnez les DC que vous souhaitez interroger puis « OK »
Si tout fonctionne correctement, vous devriez de suite pouvoir visualiser et récupérer les premières connexions utilisateurs en cliquant sur « Show Logon Users » :
Dans le cas contraire, vérifiez à nouveau les permissions WMI sur les DC, les droits de l’utilisateur / compte de service et groupe AD.
Configurer les informations d’accès au répertoire
Nous allons configurer le mode « Advanced » pour l’accès au données qui permet plus de choses comme indiqué un peu plus haut lors de la phase d’installation.
A noter que dans ce mode, le nom des groupes sera au format LDAP (cn=group,ou=name,dc=domaine) et non Microsoft (domaine/groupe).
- Cliquez sur « Set Directory Access Information »
- Sélectionnez « Advanced » (doit l’être par défaut)
- Puis cliquez sur « Advanced Setting… »
- Cochez « Use secure connection (TLS) »
- Puis renseignez l’un de vos DC en laissant les champs « User name » et « Password » vident puis « OK »
Assurez que les flux sont bien ouverts au passage entre l’agent collecteur et vos contrôleurs de domaine sur le port TCP 3269.
Configurer le(s) domaine(s) à sonder
Sélectionner maintenant le ou les domaines que vous voulez « monitorer ».
- Cliquez sur « Select Domains To Monitor »
- Puis cochez les domaines à sonder
- Pour chacun des domaines, cliquez sur « Setting… »
- Cochez « Use secure connection (TLS) »
- Là renseignez à nouveau l’un de vos DC en laissant les champs « User name » et « Password » vident puis « OK » et « OK »
Là aussi, assurez que les flux sont bien ouverts au passage entre l’agent collecteur et vos contrôleurs de domaine sur le port TCP 636
Filtrage des groupes
Nous avons deux possibilités pour la configuration des groupes FSSO (basés sur ceux de l’AD) :
- Soit depuis ce serveur directement pour les pousser ensuite vers le Fortigate
- Soit les créer directement sur le Fortigate pour qu’ils soient visibles sur le serveur
J’utilise la seconde méthode, que nous verrons dans le prochain article.
Une fois les groupes configurés vous verrez ce message sur le serveur dans « Set Group Filters » :
Compte(s) utilisateur/de service à ignorer
Une dernière option permet d’exclure une liste de comptes à ne pas surveiller, comme par exemple notre compte de service « fsso_agent ».
Il suffit de cliquer sur « Set Ignore User List » puis d’ajouter les comptes, comme ici avec notre compte de service :
Une fois terminé, ne pas oublier d’appliquer les changements (Apply) et/ou de sauvegarder (Save&close).
Conclusion
Nous avons vu dans cette première partie comment configurer notre serveur avec notre agent FSSO afin de récupérer les activités des utilisateurs (logon/logoff) sur notre DC de manière fiable.
Dans un prochain article nous verrons comment configurer notre Fortigate :
- Pour se connecter à ce serveur afin de récupérer ses données
- La création des groupes FSSO (et/ou utilisateurs)
- L’utilisation de ces groupes dans nos règles de filtrage
- Et quelques commandes et astuces pour le débogage