+48 669 STORIO (786746)

Twoja firma pod

szczególną ochroną

DataDomain - rozwiązanie do deduplikacji danych
EMC UNITY najnowsze macierze
Isilon - przechowywanie danych przez długie lata
UTM – czyli nowoczesne rozwiązania bezpieczeństwa sieci

FortiGate SSL VPN

 

I. Opis zasady działania

1. Opis VPN

Wirtualna sieć prywatna (VPN) tworzy tunel, który zapewnia użytkownikom lub zdalnym sieciom LAN bezpieczny dostęp do sieci prywatnej, tak jakby byli oni połączeni z siecią lokalną. VPN jest często używany, gdy sieci LAN są oddzielone niezaufaną siecią publiczną, taką jak Internet. Oprócz zapewnienia użytkownikom bezpiecznego dostępu do sieci prywatnych podczas podróży, VPN może również łączyć sieci oddziałów zlokalizowane w Internecie, a nawet po drugiej stronie świata. Dane użytkownika w tunelu VPN są szyfrowane w celu zachowania prywatności. Nie można ich odczytać, nawet jeśli ruch zostanie przechwycony przez nieautoryzowanych użytkowników. Sieci VPN wykorzystują również metody zabezpieczeń, aby zapewnić, że tylko autoryzowani użytkownicy mogą ustanowić VPN i uzyskać dostęp do zasobów sieci prywatnej. Zazwyczaj zapewniają również zabezpieczenie przed manipulacją.

2. Opis SSL-VPN

SSL i TLS są powszechnie używane do enkapsulacji i bezpiecznego handlu elektronicznego i bankowości internetowej w Internecie. SSL-VPN używa podobnej techniki, ale często z enkapsulowanymi protokołami innymi niż HTTP. SSL znajduje się wyżej na stosie sieciowym niż IP i dlatego zwykle wymaga więcej bitów - większej przepustowości - dla nagłówków SSL-VPN. SSL-VPN można ustanowić tylko między komputerem a bramą dostawcy, np. FortiGate.

  1. W trybie tunelowym SSL VPN wymaga klienta SSL-VPN jakim jest FortiClient, do połączenia się z FortiGate. FortiClient dodaje wirtualną kartę sieciową oznaczoną jako fortissl do komputera użytkownika. Ten wirtualny adapter dynamicznie otrzymuje adres IP z FortiGate za każdym razem, gdy FortiGate ustanawia nowe połączenie VPN. Wewnątrz tunelu cały ruch jest enkapsulowany SSL/TLS. Po zalogowaniu SSL-VPN łączy komputer z siecią prywatną. Nie są wymagane ustawienia skonfigurowane przez użytkownika, a zapory są zazwyczaj skonfigurowane tak, aby zezwalały na wychodzący HTTP. Prostota sprawia, że SSL-VPN jest idealny dla użytkowników nietechnicznych lub użytkowników łączących się z komputerami publicznymi.
  2. Istnieje również drugi tryb wdrożenia inny niż tunelowany jest to tryb Web. Wymaga on tylko przeglądarki internetowej, ale obsługuje ograniczoną liczbę protokołów. Dostęp przez Web to najprostszy tryb SSL-VPN. Podobnie jak w przypadku każdej innej witryny HTTPS, wystarczy zalogować się na stronie internetowej portalu SSL-VPN wystawionej przez FortiGate. Działa jak odwrotne proxy po stronie serwera lub po prostu bezpieczna brama HTTP / HTTPS, która łączy Cię z aplikacjami w sieci prywatnej. Sekcja zakładki (Bookmarks) na stronie portalu SSL-VPN zawiera łącza do wszystkich lub wybranych zasobów dostępnych dla użytkownika. Widżet szybkie połączenie (Quick Connection) umożliwia użytkownikom wpisanie adresu URL lub adresu IP serwera, do którego chcą dotrzeć. Główną zaletą trybu internetowego jest to, że zwykle nie wymaga instalowania dodatkowego oprogramowania, a dostęp uzyskuje się przez przeglądarkę po HTTPS.

 

3. Jak działa tryb tunelowy i Web?

  1. Tryb tunelowy
    • Użytkownicy łączą się z FortiGate za pośrednictwem FortiClient (FortiClient jest agentem, którego należy pobierać ze strony producenta lub ze strony supportu, a następnie należy go rozdystrybuować wśród użytkowników).
    • Użytkownicy podają dane aby się poprawnie uwierzytelnić przy użyciu lokalnych kont na FortiGate lub np. poświadczeń z LDAP (W tym celu należy wcześniej skonfigurować FortiGate tak, aby mógł pobierać grupy użytkowników oraz użytkowników z LDAP).
    • FortiGate ustanawia tunel i przypisuje adres IP wirtualnej karcie sieciowej klienta (fortissl) z dedykowanej puli adresów IP. Jest to źródłowy adres IP klienta na czas połączenia.
    • Następnie użytkownicy/ grupy użytkowników mogą uzyskać dostęp do usług i zasobów sieciowych takich jak np. cała podsieć LAN, wybrany VLAN, wybrany host przez zaszyfrowany tunel (na podstawie utworzonych polityk).

FortiClient szyfruje cały ruch ze zdalnego komputera i wysyła go przez tunel SSL-VPN. FortiGate odbiera zaszyfrowany ruch, dekapsułkuje pakiety IP i przekazuje je do sieci prywatnej, tak jakby ruch pochodził z wewnątrz sieci.

Poniżej znajduje się schemat przedstawiający połączenie sieciowe:

 


 

    b. Tryb Web

Różni użytkownicy lub grupy użytkowników mogą mieć różne portale z różnymi zasobami i uprawnieniami dostępu. W tym trybie źródłowy adres IP widziany przez zdalne zasoby to wewnętrzny adres IP FortiGate, a nie adres IP użytkownika.

Poniżej znajduje się schemat przedstawiający połączenie sieciowe:

 

 

II. Konfiguracja dla administratora

Konfiguracja SSL VPN za pomocą GUI:

  1. Skonfiguruj użytkownika i grupę użytkowników.

Przejdź do User & Device > User Groups, aby utworzyć grupę np. SSLVPNUSERS w zależności od tego jak się mają autoryzować użytkownicy wybierz lokalnych użytkowników (dodając do pozycji Members) lub użytkowników zaciąganych np. z LDAP (Kliknij przycisk Add, a następnie wybierz z listy wcześniej utworzony serwer LDAPi wybierz interesujące Cię grupy i kliknij OK).

 

 

 

     b. Konfiguracja portalu SSL VPN.

 

 

     c. Konfiguracja ustawień SSL VPN.

 

 

 

 

 

     d. Konfiguracja polityk firewalla dla SSL VPN. W tym przykładzie stworzony zostanie pełny dostęp z tunelu sslvpn do sieci LAN.

 

 

 

Ustawienia po stronie użytkownika

1. Pobierz FortClient w wersji odpowiadającej Twojemu systemowi na FortiGate

FortiClient można pobrać ze strony: https://www.forticlient.com/downloads

2. Instalacja i konfiguracja po stronie użytkownika

Użytkownik musi mieć uprawnienia do zainstalowania aplikacji FortiClient.

  1. Po pobraniu pliku uruchom go i poczekaj, aż program pobierze wszystkie niezbędne komponenty, ponieważ jest to instalacja online.

 

 

       b. Po rozpoczęciu instalacji wybieraj opcję Next, dopóki nie pojawi się następujące okno. Tutaj musimy wybrać Secure Remote Access w przypadku, gdyby ta opcja nie była już wybrana. Następnie kliknij przycisk Next i zainstaluj aplikacje.

 

 

       c. Po uruchomieniu programu z lewej strony wybierz kartę Remote Access i kliknij Configure VPN.

 

        d. Następnie wyświetlona zostanie następująca strona, na której należy wprowadzić następujące dane: