Vzdialený prístup do siete – SSL VPN na Fortigate

Chcete umožniť vašim zamestnancom pracovať z domu? Alebo potrebujete pristupovať do vašej firemnej siete odkiaľkoľvek z internetu? Vzdialený prístup do siete je pomerne bežná požiadavka. Ukážeme si, čo to obnáša v praxi. Ako príklad použijeme firewall od spoločnosti Fortinet.

Vzdialený prístup do siete

Predpokladajme, že máme jednoduchú topológiu, ako vidíme na obrázku vyššie. Môže ísť o malú firmu s niekoľkými zariadeniami (server, tlačiareň, kamery, PC…), alebo kľudne aj o firmu s viac pobočkami a s jedným centrálnym prístupom do internetu.

Ukážeme si, ako čo najjednoduchšie nakonfigurovať firewall od spoločnosti Fortinet pre tento scenár. Konfiguráciu je možné vykonať aj cez CLI, ale v tomto prípade použijeme GUI cez webový prehliadač.

Vytvorenie užívateľa

Ako prvé vytvoríme prihlasovacie údaje pre vzdialeného užívateľa. Preklikáme sa nasledovnou cestou:

User & Device -> User -> User Definition -> Create New

Vzdialený prístup do siete fortigate user 1

Ak máte veľké množstvo užívateľov a často sa menia (odchádzajúci/prichádzajúci zamestnanci), alebo máte na to iný dôvod, môže byť pre vás zaujímavejšie použiť autentizačný server, ako nap. RADIUS.

V tomto prípade vytvoríme pre jednoduchosť lokálneho užívateľa. To znamená, že databáza prihlasovacích údajov bude uložená priamo na firewalle.

Vzdialený prístup do siete fortigate user ľ

Vyplníme samotné prihlasovacie údaje – Meno a Heslo .

Vzdialený prístup do siete fortigate user 3

Môžeme, ale nemusíme, vyplniť mailovú adresu.

Vzdialený prístup do siete fortigate user 4

Firewall Fortigate umožňuje prihlasovanie užívateľa cez dvojfaktorovú autentizáciu (napr. prostredníctvom SMS), pre zvýšenie bezpečnosti. Tiež je možné rozdeliť užívateľov do skupín a nastaviť im rôzne možnosti prístupu.

Vzdialený prístup do siete fortigate user 5

Ak ideme podľa tohto scenáru, stačí kliknúť na “Create” a užívateľa máme vytvoreného.

Vytvorenie adresného objektu

Definujeme si subnet, do ktorého potrebujeme z VPN pristupovať. V tomto prípade ide o LAN firewallu. Pre vytvorenie adresného objektu sa preklikáme nasledovnou cestou:

Policy & Objects -> Objects -> Addresses -> Create New

Vzdialený prístup do siete fortigate adresny objekt

Vyplníme potrebné údaje.

Vzdialený prístup do siete fortigate adresny objekt 2

Klikneme OK a adresný objekt máme vytvorený.

Konfigurácia SSL VPN

Môžeme prejsť ku konfigurácii samotnej SSL VPN. Na obrázku nižšie vidíme, ako vyzerá okno pred vyplnením požadovaných parametrov.

Vzdialený prístup do siete fortigate SSL VPN

Na obrázku nižšie môžeme vidieť, aké parametre sme zvolili pre náš scenár. Upravili sme port, z ktorého môžeme pristupovať, v našom prípade z internetu. Tiež sme zmenili defaultný port 443 na 444, nakoľko 443 používame pre manažment (https). V našom zjednodušenom prípade sme ponechali továrenský certifikát a použili predpripravený adresný rozsah. Tiež sme použili DNS servery od Google – 8.8.8.8 a 8.8.4.4 .

Na konci tejto časti je tabuľka mapovania SSL portálov a užívateľov/užívateľských skupín. Ak by sme mali scenár, kde by rôzni užívatelia mali mať rôzne práva, museli by sme si vytvoriť vlastný SSL portál a na tomto mieste by sme ich namapovali na konkrétnu skupinu užívateľov. V našom prípade postačuje, aby všetkým užívateľom bol namapovaný portál full access.

Vzdialený prístup do siete fortigate SSL VPN 2

Konfigurácia firewall pravidiel

Posledná vec, ktorú je potrebné nastaviť na firewalle, sú pravidlá, kam sa môžeme z SSL VPN dostať. K pravidlám sa preklikáme nasledovne:

Policy & Objects -> Policy -> IPv4 -> Create New

Vzdialený prístup do siete fortigate FW policy

Vyplníme potrebné parametre, podľa preferencií. Vyplnenie môže vyzerať napr. tak, ako je uvedené nižšie. Ide o prístup z SSL VPN do LAN siete.

Vzdialený prístup do siete fortigate FW policy 2

Klikneme OK a pravidlo máme vytvorené

Vzdialený prístup do siete fortigate FW policy 2

V tejto chvíli máme firewall pripravený.

Vzdialený prístup do siete cez Forticlienta na Iphone

Zostáva nám už len nakonfigurovať VPN klienta na zariadení, z ktorého chceme do VPN pristupovať. Aktuálne verzie Forticlienta, si môžete stiahnuť zdarma tu.

Konfigurácia Forticlienta na Iphone môže vyzerať nasledovne:

Connections -> Edit -> Add configuration -> (samotné vyplnenie konfigurácie) -> Save -> samotné pripojenie

 

Vzdialený prístup do siete  môžeme otestovať pingom na nejakú živú IP adresu v LAN pomocou aplikácie IP tools, ktorú sme si popísali v článku o mobilných aplikáciach zdarma.

Keď ping zbehne, môžeme sa tešiť. Všetko funguje, ako má 🙂

 

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

 

CHCEM ODOBERAŤ ČLÁNKY

 

1 thought on “Vzdialený prístup do siete – SSL VPN na Fortigate

  1. […] obranu aj voči Man in the middle útokom, ako napr. ARP Spoofing.  IPsec sa dá použiť aj na vzdialený prístup do siete, ale najčastejšia aplikácia je práve zabezpečenie LAN-to-LAN komunikácie, ako si ukážeme v […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.