SSLVPN – Fortigate

הסבר:

SSLVPN – Secure Sockets Layer (SSL) VPN הוא למעשה שירות המאפשר לנו את היכולת לגשת מרחוק ולהתחבר לרשת הפנימית ומשאבי הרשת של החברה או הארגון, באופן בטוח ומאומת.
ההתחברות לרשת נעשית בצורה מוצפנת – SSL (הצפנה בשכבת ה- Presentation במודל ה-OSI).
בפתרון זה המידע בין משתמש (מקור הבקשה) לבין היעד מוצפן.

Fortigate מאפשר 2 אפשרויות עבודה של שירות SSLVPN:
1. SSLVPN בשיטת web-access :
מדובר בשיטה פשוטה וקלה, המאפשרת להתחבר לשירות ה-VPN באמצעות פורטל.
בשיטה זו המשתמש מתחבר לרשת הפנימית, ע"י כניסה באמצעות הדפדפן, ולאחר אימות המשתמש, הוא מקבל את הכלים הנדרשים עבורו, בהתאם להרשאות (לדוג': RDP לשרתים, TELNET לשרתים וכו').
בשיטה זו כל התעבורה בין המשתמש לדפדפן מוצפן.
בשיטה זו אין צורך בהתקנת תוכנה, וניתן לייצר פורטלים שונים עבור משתמשים שונים (לדוג': פורטל עם גישה לשרת ב-RDP למשתמש ה-IT, גישה לשרתי השכר לעובדי משאבי האנוש וכו').

2. SSLVPN בשיטת tunnel-access:
בשיטה זו נוצר חיבור מוצפן מלא בין המשתמש, לבין הרשת הפנימית.
המשתמש מקבל למעשה כתובת IP וירטואלית ב"רשת הפנימית".
כדי להתחבר בשיטת ה-Tunnel נדרש להתקין תוכנה (FortiClient).
קיימים 2 אופציות לחיבור. אחת עם Split-Tunnel ואחת ללא.
כאשר מוגדר Split-Tunnel , אנחנו למעשה מגדירים רשתות בהם נרצה שהתעבורה תצא דרך ה-Tunnel המוצפן. כל שאר התעבורה תצא דרך ה-Default Gateway הקיים של התחנה.
כאשר לא מוגדר Split-Tunnel , לאחר חיבור ל-SSLVPN , כל התעבורה של המשתמש (כולל לאינטרנט), תעבור דרך ה-Tunnel שהוקם ולא דרך ה-Default Gateway הקיים של התחנה.


במדריך זה לצורך ההמחשה ינתן הסבר כיצד להגדיר חיבור מרוחק באמצעות SSLVPN בשיטת
tunnel-access עם Split-Tunnel והרשאת גישה ב-RDP לשרתי החברה.

שלבי הגדרה:

שלבי ההגדרה כוללים – הגדרת משתמש לוקאלי (ניתן גם באמצעות משתמש מרוחק באמצעות שימוש ב-LDAP מול ה-AD), שיוכו לקבוצה, הגדרת ה-Tunnel-Access, הגדרת ה-SSLVPN ושיוך הקבוצה ל-Tunnel-Access והגדרת החוק.

א. יצירת המשתמש והקבוצה:

  • נווט ל-User & Device > User > User Groups, ולחץ Create New ליצירת קבוצה חדשה
  • הזן את שם הקבוצה, ולחץ על OK לאישור
  • נווט ל-User & Device > User > User Definition, ולחץ על Create New ליצירת משתמש חדש.
  • בחר ב-Local User ולחץ על NEXT
  • הגדר את שם המשתמש והסיסמא, ולחץ על NEXT
  • לחץ על NEXT להמשך (לא חובה להגדיר EMAIL ו-SMS)
  • בחר ב-Enable User Account וב-User Group את הקבוצה שיצרנו, ולחץ על NEXT
  • לחץ על Create ליצירת המשתמש

ב. הגדרת ה-Tunnel:

  • נווט ל-VPN > SSL > Portals ובחר ב-tunnel-access
  • וודא ש-Tunnel Mode מופעל, ובחר ב-Enable Split Tunneling
  • ב-Routing Address בחר בקבוצה של השרתים (נידרש ליצור אובייקט מסוג Address. יש להיכנס ל-Policy & Objects -> Address וליצור אוביקט חדש עם כתובת הרשת של השרתים)
  • לחץ על OK לשמירה

ג. הגדרת ה-SSLVPN:

  • נווט ל-VPN > SSL > Settings
  • ב-Listen Interface בחר בממשק ה-WAN שלך
  • ב-Listen on Port בחר את הפורט לחיבור ה-SSLVPN (ברירת מחדש 10443)
  • תחת Authentication/Portal Mapping לחץ על Create New ובחר בקבוצה שיצרנו בסעיף א', ובחר בפורטל מסוג Tunnel-Mode אותו הגדרנו בסעיף ב'.
  • לחץ על Apply לאישור

ד. הגדרת החוק

  • נווט ל-Policy & Objects > Policy > IPv4 ולחץ על Create New ליצירת חוק חדש
  • ב-Incoming Interface הזן את ממשק ה-SSLVPN (SSL-VPN tunnel interface (ssl.root)
  • בממשק ה-Outgoing הזן את שם הממשק של השרתים (במקרה שלנו LAN)
  • ב-Source הגדר בכתובות all, וב-Users את הקבוצה שהגדרנו בסעיף א'
  • ב-Destination Address הגדר את האובייקט שהוגדר עבור רשת השרתים
  • ב-Service הגדיר את השירות אותו תרצה לאפשר (במקרה שלנו RDP)
  • בחר ב-NAT
  • לחץ OK ליצירת החוק


למדריך ההתחברות באמצעות SSLVPN בשיטת Tunnel-Access לחץ על הקישור הבא:

https://cybersecil.com/2019/02/14/sslvpn-fortigate-%d7%94%d7%aa%d7%97%d7%91%d7%a8%d7%95%d7%aa-%d7%9e%d7%a9%d7%aa%d7%9e%d7%a9/

בהצלחה!

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

מבית WordPress.com. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: