O Video filter é uma funcionalidade no Fortigate que permite ao administrador de rede filtrar vídeos do Youtube baseado em categorias do FortiGuard ou até mesmo pelo ID do canal, caso seja necessário um filtro mais restrito. Então se no seu ambiente de rede você não pode bloquear o Youtube totalmente porque existe a necessidade de acessar canais educativos ou específicos, aprenda como configurar o seu Fortigate a seguir. (Testado com a versão 7.2.4 do Fortigate)

Existem alguns requisitos para implantar este método de filtragem:

  1. Inspeção Web filter profile no modo “proxy-based”;
  2. Inspeção Application Controle profile para bloquear o protocolo QUIC;
  3. Inspeção SSL profile no modo “deep-inspection”;
  4. Inspeção de política ipv4 no modo “proxy-based”;
  5. Gerar e inserir a chave API do Youtube;



Criar Web Filter profile

 

  1. No canto esquerdo clique em “Security Profile” > “Web Filter” > “Create New”
  2. Escolha um nome para o nome do perfil e selecione o modo “Proxy-based” na opção “Feature set”
  3. Habilite a opção “FortiGuard Category Based Filter”
  4. Procure a categoria “Streaming Media and Download” e coloque a ação “Monitor”
  5. Mais abaixo na seção “Search Engines” habilite a opção “Restrict Youtube Access” e escolha o modo “Strict”
  6. Salve o web filter profile clicando em “OK”

Criação SSL profile

 

  1. No canto esquerdo clique em “Security Profile” > “SSL/SSH Inspection” 
  2. Faça um clone do perfil “deep-inspection” clicando sobre o perfil e depois “Clone”
  3. Escolha um nome e clique em “OK”
  4. Edite o novo perfil criado e em “Protocol Port Mapping” selecione “Inspect all ports”
  5. Em “Untrusted SSL certificates” selecione “Block”
  6. Em “Invalid SSL certificates” selecione “Block”
  7. Salve as alterações clicando em “OK”

Criação Application Control profile

 

  1. No canto esquerdo clique em “Security Profile” > “Application Control”
  2. Faça um clone do perfil “default” clicando sobre o perfil e depois “Clone”
  3. Escolha um nome e clique em “OK”
  4. Edite o novo perfil criado e escolha a ação “Monitor” para a categoria “Video/Audio”
  5. Embaixo na seção “Application and Filter Overrides” clique em “Create New”
    • Escolha a action “Block”
    • Pesquise por “QUIC” clique sobre o protocolo e clique em “Add Selected”
    • Clique em “OK”
  6. Clique em “OK” novamente para salvar o profile

Criar Video Filter profile

 

  1. No canto esquerdo clique em “Security Profile” > “Video Filter” > “Create New”
    • Você pode utilizar o perfil “default” que já existe pré-definido.
  2. Se essa opção não estiver aparecendo, acesse “System” > “Feature visibility” > Ative “Video Filter” > “Apply” e refaça o passo 1
  3. Clique para editar o perfil de Video Filter criado para configurá-lo

Existem dois métodos de filtragem, por categorias do FortiGuard ou por ID de canal, é possível combinar também os dois métodos em um único Video Filter profile, depende de como o administrador do Fortigate vai querer.

Configurando restrição por categorias de vídeos

  1. Se você desejar fazer as filtragens por categorias de vídeos do Youtube, habilite “FortiGuard Category Based Filter” e escolha a action de cada categoria
  2. Ao finalizar as alterações clique em “OK”

Configurando restrição por ID de canal

  1. Deixe a opção “FortiGuard Category Based Filter” desabilitada.
  2. Na seção “Channel override list” clique em “Create New”
  3. Insira o Channel ID do canal que você deseja liberar ou bloquear
    • Se não souber como encontrar, abra o canal do Youtube e pressione CTRL + U
    • Na página do código-fonte, pressione CTRL + F e pesquise por ?channel_id=
    • Visualize e copie então o ID do canal
  4. Adicione uma descrição para identificar o canal
  5. Clique em “OK”

Será necessário ainda fazer um ajuste via interface CLI com o seguinte comando:

config videofilter youtube-channel-filter
show (Pra visualizar as entradas que já existem)
edit X (O X representa o ID do Video Filter profile que você deseja editar)
set override-category enable
end

Ao fazer isso, foi habilitada a função de sobrescrever categorias dentro do Video Filter profile.



Adicionar a API Key do Youtube

 

  1. Veja como conseguir a API Key do Youtube
  2. Abra a interface CLI do Fortigate e insira os seguintes comandos:

config videofilter youtube-key
edit 1
set key <insira a key gerada>
end

Crie a policy firewall

 

Após preparar o Fortigate para fazer filtragem dos vídeos, será necessário criar a policy para permitir a inspeção.

  1. No canto esquerdo clique em “Policy & Objects” > “Firewall Policy”
  2. Clique em “Create new”
  3. Defina os parâmetros da policy relacionados à interface de origem/destino, redes de origem/destino e o serviço.
  4. Em “Inspection Mode” escolha “Proxy-based”
  5. Em “Security Profile” selecione todos os profiles criados anteriormente (Web Filter, Video Filter, Application Control e SSL)
  6. Ao finalizar clique em “OK”

Após finalizar a política, basta testar o acesso ao Youtube e verificar se de fato está sendo bloqueado e liberado apenas aquilo que for permitido

Considerações finais

 

1) É possível acompanhar os logs referente ao Youtube em “Logs & Report” > “Security Events” > “Web Filter” ou “Application Control”

2) No perfil Web Filter, selecionamos toda a categoria “Streaming Media and Download” para monitorar, bem como a categoria “Video/Audio” no perfil Application Control, a action “Monitor” é obrigatória, pois é através dela que o firewall irá conseguir analisar e identificar o conteúdo. Caso seja necessário bloquear algum conteúdo que também esteja dentro dessas categorias, é possível dentro do respectivo perfil criar uma “override” para o site ou aplicação desejado.

3) É possível ainda que alguns serviços do Google possam ser interrompidos por conta do bloqueio do protocolo QUIC no perfil Application Control, esse bloqueio também é obrigatório para que seja efetiva a restrição de vídeos do Youtube, caso contrário, o protocolo irá “burlar” o esquema de bloqueio do Fortigate. O QUIC (Conhecido também por HTTP3) é um protocolo proprietário do Google que permite as aplicações web serem mais rápidas que o HTTP convencional, e está presente em todos os serviços Google, por isso que ao bloqueá-lo, alguns serviços como Gmail, Drive, Maps, Pesquisa no Google podem ser interrompidos ao tentar fazer um acesso. Se isso acontecer, a solução é criar uma policy acima da regra de video filter, permitindo as urls dos serviços Google que estão sendo bloqueados e permitir o QUIC ou todos os serviços, conforme for necessário.

4) Prestar muita atenção ao fazer os passos, pois qualquer erro, pode não bloquear os vídeos da forma que deveria ser. Deve-se observar bem a questão do modo de inspeção que deve ser obrigatoriamente “proxy-mode”. A ferramenta de Video Filter é uma ajuda e tanto principalmente para quem precisa liberar apenas conteúdos específicos do Youtube e evitar que toda banda seja consumida.

Links de referência:
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/553495/video-filter