Chcete umožniť vašim zamestnancom pracovať z domu? Alebo potrebujete pristupovať do vašej firemnej siete odkiaľkoľvek z internetu? Vzdialený prístup do siete je pomerne bežná požiadavka. Ukážeme si, čo to obnáša v praxi. Ako príklad použijeme firewall od spoločnosti Fortinet.
Predpokladajme, že máme jednoduchú topológiu, ako vidíme na obrázku vyššie. Môže ísť o malú firmu s niekoľkými zariadeniami (server, tlačiareň, kamery, PC…), alebo kľudne aj o firmu s viac pobočkami a s jedným centrálnym prístupom do internetu.
Ukážeme si, ako čo najjednoduchšie nakonfigurovať firewall od spoločnosti Fortinet pre tento scenár. Konfiguráciu je možné vykonať aj cez CLI, ale v tomto prípade použijeme GUI cez webový prehliadač.
Vytvorenie užívateľa
Ako prvé vytvoríme prihlasovacie údaje pre vzdialeného užívateľa. Preklikáme sa nasledovnou cestou:
User & Device -> User -> User Definition -> Create New
Ak máte veľké množstvo užívateľov a často sa menia (odchádzajúci/prichádzajúci zamestnanci), alebo máte na to iný dôvod, môže byť pre vás zaujímavejšie použiť autentizačný server, ako nap. RADIUS.
V tomto prípade vytvoríme pre jednoduchosť lokálneho užívateľa. To znamená, že databáza prihlasovacích údajov bude uložená priamo na firewalle.
Vyplníme samotné prihlasovacie údaje – Meno a Heslo .
Môžeme, ale nemusíme, vyplniť mailovú adresu.
Firewall Fortigate umožňuje prihlasovanie užívateľa cez dvojfaktorovú autentizáciu (napr. prostredníctvom SMS), pre zvýšenie bezpečnosti. Tiež je možné rozdeliť užívateľov do skupín a nastaviť im rôzne možnosti prístupu.
Ak ideme podľa tohto scenáru, stačí kliknúť na „Create“ a užívateľa máme vytvoreného.
Vytvorenie adresného objektu
Definujeme si subnet, do ktorého potrebujeme z VPN pristupovať. V tomto prípade ide o LAN firewallu. Pre vytvorenie adresného objektu sa preklikáme nasledovnou cestou:
Policy & Objects -> Objects -> Addresses -> Create New
Vyplníme potrebné údaje.
Klikneme OK a adresný objekt máme vytvorený.
Konfigurácia SSL VPN
Môžeme prejsť ku konfigurácii samotnej SSL VPN. Na obrázku nižšie vidíme, ako vyzerá okno pred vyplnením požadovaných parametrov.
Na obrázku nižšie môžeme vidieť, aké parametre sme zvolili pre náš scenár. Upravili sme port, z ktorého môžeme pristupovať, v našom prípade z internetu. Tiež sme zmenili defaultný port 443 na 444, nakoľko 443 používame pre manažment (https). V našom zjednodušenom prípade sme ponechali továrenský certifikát a použili predpripravený adresný rozsah. Tiež sme použili DNS servery od Google – 8.8.8.8 a 8.8.4.4 .
Na konci tejto časti je tabuľka mapovania SSL portálov a užívateľov/užívateľských skupín. Ak by sme mali scenár, kde by rôzni užívatelia mali mať rôzne práva, museli by sme si vytvoriť vlastný SSL portál a na tomto mieste by sme ich namapovali na konkrétnu skupinu užívateľov. V našom prípade postačuje, aby všetkým užívateľom bol namapovaný portál full access.
Konfigurácia firewall pravidiel
Posledná vec, ktorú je potrebné nastaviť na firewalle, sú pravidlá, kam sa môžeme z SSL VPN dostať. K pravidlám sa preklikáme nasledovne:
Policy & Objects -> Policy -> IPv4 -> Create New
Vyplníme potrebné parametre, podľa preferencií. Vyplnenie môže vyzerať napr. tak, ako je uvedené nižšie. Ide o prístup z SSL VPN do LAN siete.
Klikneme OK a pravidlo máme vytvorené
V tejto chvíli máme firewall pripravený.
Vzdialený prístup do siete cez Forticlienta na Iphone
Zostáva nám už len nakonfigurovať VPN klienta na zariadení, z ktorého chceme do VPN pristupovať. Aktuálne verzie Forticlienta, si môžete stiahnuť zdarma tu.
Konfigurácia Forticlienta na Iphone môže vyzerať nasledovne:
Connections -> Edit -> Add configuration -> (samotné vyplnenie konfigurácie) -> Save -> samotné pripojenie
Vzdialený prístup do siete môžeme otestovať pingom na nejakú živú IP adresu v LAN pomocou aplikácie IP tools, ktorú sme si popísali v článku o mobilných aplikáciach zdarma.
Keď ping zbehne, môžeme sa tešiť. Všetko funguje, ako má 🙂
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.
