Blog

Other languagesSlovenija Slovenija   Srbija Srbija   

Siguran udaljeni pristup do internih servisa uz SSL VPN tehnologiju iz Fortineta

Iako je to nekima svakodnevica morate priznati da većini nas rad od kuće nije česta opcija, ali korona virus je mislio drugačije. Ok, nije problem, uzmem laptop imam kod kuće stabilnu vezu na Internet i što mi više treba? Pa ništa sve dok se ne moram spojiti na interne resurse tvrtke koji su hostani u lokalnom data centru kojemu je do sada pristup bio omogućen isključivo iz lokalne mreže na koju sam spojen dok sjedim u uredu. Ok, nije udaljeni pristup kroz VPN nikakva novost, ali evo neke najbolje prakse kako to omogućiti kroz Fortinetov Fortigate NGFW.

VPN tehnologija omogućuje nam da se povežemo na privatnu mrežu unutar data centra ili na neki resurs lokalne mreže uz prethodnu autorizaciju, ali i određenu razinu enkripcije. Fortinet tu korisnicima nudi nekoliko opcija:

  • IPsec VPN za povezivanje više lokacija odnosno NGFW uređaja
  • SSL VPN – za sigurno udaljeno povezivanje krajnjih korisnika koristeći besplatni FortiClient VPN (tunnel mode) klijent ili bez VPN klijenta (web mode) za pristup do određenog resursa kroz Fortigate koji će poslužiti kao proxy.

SSL VPN

Propusnost i maksimalni broj SSL VPN konekcija ovisi o modelu Fortigate uređaja koji imate ili planirate nabaviti, a ti podaci i puno više dostupni su ovdje, a izdvajamo neke od njih:

Fortigate NGFW
SSL VPN propusnost
Istovremene SSL VPN konekcije
30E
35 Mbps
100
40F
490 Mbps
200
50E
100 Mbps
200
60E
150 Mbps
200
60F
900 Mbps
200
100E
250 Mbps
500
100F
1 Gbps
500
200E
900 Mbps
500
400E
4.5 Gbps
5000
600E
7 Gbps
10000
2200E
10 Gbps
30000
7040E
15 Gbps
48000

 

Tunnel mode

Kompletan promet između udaljenog računala i centralnog Fortigatea je kriptiran i uspostavlja se preko HTTPS protokola. Fortigate uspostavlja tunel s klijentskom VPN aplikacijom i dodjeljuje klijentu IP adresu iz raspona adresa koje odredimo za VPN korisnike. Iako su protokoli koji se koriste za ovakvu konekciju različiti od IPsec VPN tunela krajnji rezultat je dosta sličan. Sav promet, neovisno o aplikaciji ili protokolu je kriptiran.

Tunnel mode se koristi::

  • kada pristupate većem broju raznih aplikacija i drugih internih resursa
  • kada želite kontrolirati promet politikama na samom firewallu
  • kada želite krajnjem korisniku omogućiti jednako iskustvo korištenja aplikacija kojima pristupa do udaljenih resursa sjedio on u svom uredu, kod kuće, na putu…
  • kada više aplikacija na udaljenom računalu treba VPN konekciju prema centralnoj lokaciji

Za maksimalnu kontrolu može se koristiti full tunnel mode gdje udaljeni korisnik izlazi na Internet kroz VPN konekciju, ali ipak je češća praksa koristiti split tunnel mode (na slici gore) gdje pristup do internih resursa ide kroz VPN konekciju, a izlaz na Internet je lokalno s priključka na Internet udaljenog korisnika.

Nedostaci ovog pristupa su da korisnik mora imati instaliran i podešen VPN klijent.

Web mode

Na Fortigate SSL VPN web portalu kreira se pristup od željenih resursa koji mogu biti na HTTP/HTTPS, telnet, FTP, SMB/CIFS, RDP i SSH protokolima. Korisnik se HTTPS protokolom povezuje na Fortigate NGFW, a firewall otvara drugu konekciju prema željenom resursu i ujedno služi kao proxy.

Web mode se koristi:

  • kada udaljeni korisnik nije u mogućnosti instalirati i konfigurirati VPN klijent
  • kada imate manji broj resursa koje otvarate za udaljeni pristup

Nedostaci su:

  • sve konekcije prema internim resursima idu kroz web preglednik
  • RDP konekcija može biti limitirana s nekim funkcionalnostima
  • veće CPU opterećenje na NGFW
  • ostale aplikacije na udaljenom računalu ne mogu koristiti ostvarenu VPN konekciju

Dodatne preporuke za sigurnost kod otvaranja VPN pristupa:

  • Omogućite autentifikaciju korisnika kroz postojeće servise koristeći LDAP, RADIUS ili FortiAuthenticator
  • postavite trusted CA certifikat na VPN portal (web mode)
  • koristite 2FA autentikaciju s FortiTokenom  ili korisničkim certifikatom
  • postavite minimalno podržanu TLS verziju protokola
  • koristite grupe za definiranje razine pristupa pojedinim resursima

Za sve dodatne informacije, tu smo za vas!

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!