none
למישהו יש נסיון עם כלי שנקרא FSAE עם שרת 2003 RRS feed

  • שאלה

  • שלום!

    יש לנו פייריול פורטינט והציעו לי להתקין את התוכנה FSAE כדי שכניסה ל-vpn תהי-ה דרך שרת הAD לפני שאני מתקין אני רוצה לשאול

    אם זה כלי מוכר ולא בעייתי שלא יתקע לי את השרת

    מדובר על שרת 2003 שכולל exchange 2003 וsql 2000

    תודה

    יום ראשון 12 יוני 2011 14:59

תשובות

  • שלום אפרים,

    א. תוכל לעבור על מדריך המוצר (בעיקר פרק 7 בשלב זה):

    http://docs.fortinet.com/fgt.html

    ב. מומלץ לדעתי להימנע מלעבוד עם יסמאות AD בלבד, כי אז פורץ יוכל לגשת לרשת שלך בקלות יחסית.

    לפיכך, מקובל לשלב פתרונות OTP.

    ג. אני ממליץ בחום שתשדרג את מערכת ההפעלה של ה FW.

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/
    • סומן כתשובה על-ידי אפרים יום שלישי 14 יוני 2011 05:19
    יום שני 13 יוני 2011 06:38
  • שלום.

     

    1. אני ממליץ לך להפריד בין רשימת המשתמשים והסיסמאות לחיבורי VPN מבחוץ, לבין רשימת החשבונות ב AD .

    זה עדיף לדעתי מבחינת אבטחה כי אתה דורש חיבור מבחוץ עם סיסמא אחרת,

    ובמקרה שיש סיסמא חלשה לאחד המשתמשים או אם הסיסמא נגנבה/נפרצה בשיטה כלשהי, זה עדיין לא מאפשר גישה מבחוץ ב VPN .

    אמנם פחות נח לניהול וגם דורש מהמשתמשים לזכור סיסמא נוספת, אבל בארגונים קטנים שבהם אין לך מאות משתמשים שצריכים להתחבר מבחוץ, זה עדיף לדעתי.

     

    2. אם אתה רוצה בכל זאת אימות דרך AD, אז השיטה המתאימה היא דרך RADIUS  (מתקינים NPS או IAS על שרת ה DC בארגון).

    אין צורך בתוכנת FSAE והיא לדעתי מתאימה בעיקר למקרים אחרים שבהם אתה רוצה לסנן את הגלישה של משתמשים ברשת המקומית, ופחות מתאים לצורך של אימות משתמשי VPN חיצוניים.

     

    להת

    יזהר

     

     

     


    Yizhar Hurwitz http://yizhar.mvps.org
    • סומן כתשובה על-ידי אפרים יום שלישי 14 יוני 2011 05:19
    יום שני 13 יוני 2011 22:43

כל התגובות

  • יש מספר שאלות שצריך לבדוק לפני:

    1. מי מתקין את המוצר? והאם יש לו ניסיון בנושא.

    2. האם שרתי ה DC שלך מספיק "חזקים"? ובמקרה שלך עדיף לשים GC נפרד.

    3. למה לאמת משתמשים עם חשבונות AD בלבד, ולא לשלב OTP?

    4 מדוע אתה צריך ה FSAE? השימוש בו נועד בד"כ כדי לאפשר אימות בעת גלישה לאינטרנט, ולא ל VPN...

    את ה VPN תוכל להגדיר מול רדיוס, LDAP וכדומה...

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/
    יום ראשון 12 יוני 2011 18:36
  • תודה רבה 

    ןלעינייננו הי-ה לנו מכשיר שנקרא watchguard שאחת אפשרויות האימות הי-ה דרך AD וזה הי-ה נוח מאד כי אם מישהו עוזב לא נשארת לו

    הסיסמא ובקשנו שגם בפורטיגט האימות יהי-ה בצורה כזו וזה מה שהציעו לנו נטויזן

    ולגבי מה ששאלת

    1.אני אמור להתקין את התוכנה ואין לי ניסיון בהתקנה הזו

    2. השרתים שלנו לא חזקים

    3 אני לא יכול סיסמא שמשתנה כל הזמן תהי-ה בעי-ה עם המשתמשים

    4. לא ידעתי ולכן אני שואל

    ואם תוכל בבקשה לשלוח לי לינק כדי שאני ילמד איך להגדיר את ldap טו radius או tacacs

    תודה

    יום שני 13 יוני 2011 05:40
  • שלום אפרים,

    א. תוכל לעבור על מדריך המוצר (בעיקר פרק 7 בשלב זה):

    http://docs.fortinet.com/fgt.html

    ב. מומלץ לדעתי להימנע מלעבוד עם יסמאות AD בלבד, כי אז פורץ יוכל לגשת לרשת שלך בקלות יחסית.

    לפיכך, מקובל לשלב פתרונות OTP.

    ג. אני ממליץ בחום שתשדרג את מערכת ההפעלה של ה FW.

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/
    • סומן כתשובה על-ידי אפרים יום שלישי 14 יוני 2011 05:19
    יום שני 13 יוני 2011 06:38
  • תודה

    יקח לי קצת זמן לקרוא בכל אופן למה לשדרג את המערכת המערכת שלנו זה mr2 והאחרון זה mr3

    מה היתרונות של ה-mr3

    תודה

    יום שני 13 יוני 2011 15:17
  • שלום אפרים,

    אתה יכול להסתכל ב Release Notes...

    בכל מקרה, אנחנו לא בפורום של Fortinet :)


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net Blog: http://blogs.microsoft.co.il/blogs/yuval14/
    • נערך על-ידי Yuval Sinay יום שלישי 14 יוני 2011 05:42
    יום שני 13 יוני 2011 20:52
  • שלום.

     

    1. אני ממליץ לך להפריד בין רשימת המשתמשים והסיסמאות לחיבורי VPN מבחוץ, לבין רשימת החשבונות ב AD .

    זה עדיף לדעתי מבחינת אבטחה כי אתה דורש חיבור מבחוץ עם סיסמא אחרת,

    ובמקרה שיש סיסמא חלשה לאחד המשתמשים או אם הסיסמא נגנבה/נפרצה בשיטה כלשהי, זה עדיין לא מאפשר גישה מבחוץ ב VPN .

    אמנם פחות נח לניהול וגם דורש מהמשתמשים לזכור סיסמא נוספת, אבל בארגונים קטנים שבהם אין לך מאות משתמשים שצריכים להתחבר מבחוץ, זה עדיף לדעתי.

     

    2. אם אתה רוצה בכל זאת אימות דרך AD, אז השיטה המתאימה היא דרך RADIUS  (מתקינים NPS או IAS על שרת ה DC בארגון).

    אין צורך בתוכנת FSAE והיא לדעתי מתאימה בעיקר למקרים אחרים שבהם אתה רוצה לסנן את הגלישה של משתמשים ברשת המקומית, ופחות מתאים לצורך של אימות משתמשי VPN חיצוניים.

     

    להת

    יזהר

     

     

     


    Yizhar Hurwitz http://yizhar.mvps.org
    • סומן כתשובה על-ידי אפרים יום שלישי 14 יוני 2011 05:19
    יום שני 13 יוני 2011 22:43
  • תודה לכולכם

    יום טוב

    יום שלישי 14 יוני 2011 05:19