Other languagesHrvatska Hrvatska   Slovenija Slovenija   

Siguran udaljeni pristup do internih servisa uz SSL VPN tehnologiju iz Fortineta

Iako je to nekima svakodnevica morate priznati da većini nas rad od kuće nije česta opcija, ali korona virus je mislio drugačije. Ok, nije problem, uzmem laptop imam kod kuće stabilnu vezu na Internet i šta mi više treba? Pa ništa sve dok ne moram prisupiti internim resursima firme koji su hostovani u lokalnom data centru kojem je do sada pristup bio omogućen isključivo iz lokalne mreže na koju sam vezan dok sedim u kancelariji. Ok, nije udaljeni pristup kroz VPN nikakva novost, ali evo neke najbolje prakse kako to omogućiti kroz Fortinetov Fortigate NGFW.

VPN tehnologija omogućava nam da se povežemo na privatnu mrežu unutar data centra ili na neki resurs lokalne mreže uz prethodnu autorizaciju, ali i određenu vrstu enkripcije. Fortinet tu korisnicima nudi nekoliko opcija:

  • IPsec VPN za povezivanje više lokacija odnosno NGFW uređaja
  • SSL VPN – za sigurno udaljeno povezivanje krajnjih korisnika koristeći besplatni FortiClient VPN (tunnel mode) klijent ili bez VPN klijenta (web mode) za pristup do određenog resursa kroz Fortigate koji će poslužiti kao proxy.

SSL VPN

Propusnost i maksimalni broj SSL VPN konekcija zavisi od modela Fortigate uređaja koji imate ili planirate nabaviti, a ti podaci i puno više dostupni su ovde, a izdvajamo neke od njih:

Fortigate NGFW
SSL VPN propusnost
Istovremene SSL VPN konekcije
30E
35 Mbps
100
40F
490 Mbps
200
50E
100 Mbps
200
60E
150 Mbps
200
60F
900 Mbps
200
100E
250 Mbps
500
100F
1 Gbps
500
200E
900 Mbps
500
400E
4.5 Gbps
5000
600E
7 Gbps
10000
2200E
10 Gbps
30000
7040E
15 Gbps
48000

 

Tunnel mode

Kompletan saobraćaj između udaljenog računara i centralnog Fortigatea je kriptovan i uspostavlja se preko HTTPS protokola. Fortigate uspostavlja tunel sa klijentskom VPN aplikacijom i dodeljuje klijentu IP adresu iz opsega adresa koje odredimo za VPN korisnike. Iako se protokoli koji se koriste za ovakvu konekciju razlikuju u zavisnosti od tipa IPsec VPN tunela, krajnji rezultat je dosta sličan. Sav saobraćaj, nezavisno od aplikacije ili protokola je kriptovan.

Tunnel mode se koristi::

  • kada pristupate većem broju raznih aplikacija i drugih internih resursa
  • kada želite kontrolisati saobraćaj polisama na samom firewallu
  • kada želite krajnjem korisniku omogućiti identično iskustvo korišćenja aplikacija kojima pristupa sedeo on u svojoj kancelariji, kod kuće, na putu…
  • kada više aplikacija na udaljenom računaru koristi VPN konekciju prema centralnoj lokaciji

Za maksimalnu kontrolu može se koristiti full tunnel mode gde udaljeni korisnik izlazi na Internet kroz VPN konekciju, ali ipak je češća praksa koristiti split tunnel mode (na slici gore) gde pristup do internih resursa ide kroz VPN konekciju, a izlaz na Internet je sa lokalne Internet konekcije udaljenog korisnika.

Nedostaci ovog pristupa su da korisnik mora imati instaliran i podešen VPN klijent.

Web mode

Na Fortigate SSL VPN web portalu kreira se pristup od željenih resursa koji mogu biti na HTTP/HTTPS, telnet, FTP, SMB/CIFS, RDP i SSH protokolima. Korisnik se HTTPS protokolom povezuje na Fortigate NGFW, a firewall otvara drugu konekciju prema željenom resursu i ujedno služi kao proxy.

Web mode se koristi:

  • kada udaljeni korisnik nije u mogućnosti da instalira i konfiguriše VPN klijent
  • kada imate manji broj resursa koje otvarate za udaljeni pristup

Nedostaci su:

  • sve konekcije prema internim resursima idu kroz web pretraživač
  • RDP konekcija može biti funkcionalno limitirana
  • veće CPU opterećenje na NGFW
  • ostale aplikacije na udaljenom računaru ne mogu koristiti ostvarenu VPN konekciju

Dodatne preporuke za sigurnost kod otvaranja VPN pristupa:

  • Omogućite autentifikaciju korisnika kroz postojeće servise koristeći LDAP, RADIUS ili FortiAuthenticator
  • postavite trusted CA certifikat na VPN portal (web mode)
  • koristite 2FA autentikaciju s FortiTokenom  ili korisničkim sertifikatom
  • podesite minimalno podržanu TLS verziju protokola
  • koristite grupe za definisanje nivoa pristupa pojedinim resursima

Za sve dodatne informacije, tu smo za vas!

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!