SSL VPN para FortiGate com FortiOS 5.4.1

SSL VPN para FortiGate com FortiOS 5.4.1 tem como objetivo permitir o acesso aos recursos de redes de computadores de sua empresa de forma segura e confiável à partir de qualquer localidade, seja de casa em home office, em viagem, em trânsito, de qualquer lugar.

Entenda para que serve a SSL VPN e os conceitos deste poderoso recurso.

SSL VPN

Como as organizações têm crescido e se tornado mais complexas, o acesso remoto seguro aos recursos da rede tem-se tornado essencial para as operações do dia-a-dia. Além disso, espera-se que as empresas ofereçam aos clientes eficiente, serviços convenientes, incluindo bases de conhecimento e portais de clientes. Funcionários que viajam pelo país ou em todo o mundo exigem acesso oportuno e abrangente aos recursos da rede. Como resultado da necessidade crescente de fornecer clients remotos / móveis com acesso fácil, rentável e seguro a uma infinidade de recursos, os conceitos de uma Rede Privada Virtual (VPN) foram estabelecidos.

VPNs SSL estabelece conectividade usando SSL, que funciona nos Níveis 4 – 5 (camadas de transporte e de sessão).

A informação é encapsulada nos Níveis 6-7 (Apresentação e camadas de aplicação) e VPNs SSL comunicam-se nos mais altos níveis do modelo OSI. SSL não é estritamente uma tecnologia de rede privada virtual (VPN) que permite clients se conectarem a redes remotas de forma segura. Uma VPN é uma rede lógica segura criada fisicamente a partir redes separadas. VPNs usam criptografia e outros métodos de segurança para garantir que somente usuários autorizados possam acessar a rede. VPNs também garantem que os dados transmitidos entre os computadores não possam ser interceptados por usuários não autorizados. Quando os dados são codificados e transmitidos através da Internet, os dados são enviados através de um “Túnel VPN”. Um túnel VPN é um túnel non-application oriented ( não orientado a aplicativos ) que permite que os usuários e redes troquem uma vasta gama de tráfego independentemente da aplicação ou protocolo.

As vantagens de uma VPN sobre uma rede privada física real são duas vezes. Ao invés de utilizar circuitos alugados caros ou outras infra-estruturas, você usa a relativamente barato, Internet de banda larga. Talvez mais importante, porém, é a disponibilidade universal da Internet. Na maioria das áreas, o acesso à Internet é prontamente obtido sem quaisquer arranjos especiais ou longos tempos de espera.

SSL (Secure Sockets Layer) como HTTPS é suportado pela maioria dos navegadores da web para a troca de informações sensíveis de forma segura entre um servidor web e um client. SSL estabelece uma ligação encriptada, garantindo que todos os dados passados entre o servidor web e o navegador permaneçam privados e seguros. Proteção SSL é iniciada automaticamente quando um usuário (client) se conecta a um servidor Web que está habilitado para SSL. Uma vez que uma conexão bem-sucedida seja estabelecida, o navegador criptografa todas as informações antes de deixar o computador. Quando a informação chega ao seu destino, ela é descriptografada usando uma chave secreta (privada). Quaisquer dados enviados de volta são criptografados primeiro, e são descriptografados quando atingem o cliente.

 

FortiOS suporta as versões de SSL e TLS definidas abaixo:

Version RFC

SSL 2.0 RFC 6176

SSL 3.0 RFC 6101

TLS 1.0 RFC 2246

TLS 1.1 RFC 4346

TLS 1.2 RFC 5246

 

SSL VPN – modos de operação

Quando um client remoto se conecta ao FortiGate, o FortiGate autentica o usuário com base em nome de usuário, senha e domínio de autenticação. Um login bem-sucedido determina os direitos de acesso de usuários remotos de acordo com o grupo de usuários. As definições de grupos de usuários especificam se a conexão irá operar no modo web-only ou túnel.

Modo Web-only

O modo Web-Only oferece aos usuários remotos uma maneira rápida e eficiente para acessar aplicativos de servidor a partir de qualquer computador thin client equipado com um navegador web. O modo Web-Only oferece acesso à rede sem a necessidade de um client usando-se qualquer web browser que foi construído com criptografia SSL e o Sun Java Runtime Environment (note que não há requisito mínimo de versão do Java / JRE).

O suporte a SSL VPN modo Web-Only é nativo no FortiOS. O recurso compreende um SSL daemon rodando no FortiGate, e um portal na Internet, que fornece aos usuários acesso a serviços de rede e recursos incluindo HTTP / HTTPS, Telnet, FTP, SMB / CIFS, VNC, RDP e SSH.

No modo web-only, o FortiGate atua como um gateway seguro HTTP / HTTPS e autentica os usuários remotos como membros de um grupo de usuários. Após a autenticação bem- sucedida, o FortiGate redireciona o navegador web para a home page do portal web e o usuário pode acessar os aplicativos de servidor por trás do FortiGate.

Quando o FortiGate fornece serviços em modo web-only uma conexão segura entre o cliente remoto e o FortiGate é estabelecida através da segurança SSL VPN no FortiGate e a segurança SSL no web browser. Depois de a conexão ter sido estabelecida, o FortiGate permite o acesso a serviços selecionados e recursos de rede através de um portal web.

Portais web FortiGate SSL VPN tem um layout de página de 1 ou 2 colunas, e funcionalidades do portal são fornecidas através de pequenos applets chamados widgets. WINDOWS Widgets podem ser movidos ou minimizados. Os controles de cada widget dependem de sua função. Existem portais web predefinidos e o administrador pode criar portais adicionais.

A configuração do FortiGate envolve selecionar a configuração apropriada do portal web no grupo de usuários. Estas definições de configuração determinam quais aplicativos de servidor podem ser acessados. Criptografia SSL é utilizada para garantir a confidencialidade do tráfego.

A tabela a seguir lista os sistemas operacionais e navegadores da Web suportados pela SSL VPN no modo web only.

Microsoft Windows 7 32-bit SP1

  • Microsoft Internet Explorer versions 9, 10 and 11
  • Mozilla Firefox version 33

 

Microsoft Windows 7 64-bit SP1 • Microsoft Internet Explorer versions 9, 10 and 11

  • Mozilla Firefox version 33

 

Linux CentOS version 5.6 and Ubuntu version 12.0.4

  • Mozilla Firefox version 5.6

Outros sistemas operacionais e navegadores web podem funcionar corretamente, mas não são suportados pelo Fortigate.

Modo Túnel

No modo túnel, os clientes remotos se conectam a um FortiGate que atua como um HTTP / HTTPS gateway seguro e autentica os usuários remotos como membros de um grupo de usuários.

O client SSL VPN criptografa todo o tráfego do computador cliente remoto e envia para o FortiGate através um túnel SSL VPN sobre a conexão HTTPS entre o usuário e o FortiGate. Outra opção é split tunneling, que garante que apenas o tráfego para a rede privada seja enviado para a porta de entrada SSL VPN. O tráfego de internet é enviado através da via não criptografada habitual. Isso conserva a largura de banda e alivia gargalos.

Quando o usuário inicia uma conexão VPN com o FortiGate por meio do cliente SSL VPN, o FortiGate estabelece um túnel com o cliente e o cliente atribui um endereço de IP virtual a partir de uma gama de endereços reservados.

O cliente utiliza o endereço de IP atribuído como o seu endereço de origem, para a duração da conexão. Depois de o túnel ser estabelecido, o usuário pode acessar a rede por trás do FortiGate.

Modo Port forwarding

Enquanto o modo de túnel fornece um túnel de camada 3 que os usuários podem executar qualquer aplicação mais, o usuário precisa instalar o cliente de conexão ao túnel, e têm os direitos administrativos necessários para fazê-lo. Em algumas situações, pode não ser desejável, ainda que o modo web only não dê flexibilidade suficiente para suporte de aplicação (por exemplo, se desejar usar um client de e-mail que se comunique com um servidor POP3). O modo port forwarding, ou o modo de proxy, fornece este meio-termo entre o modo web only e o modo túnel.

SSL VPN port forwarding escuta nas portas locais do computador do usuário. Quando ele recebe dados de uma aplicação client, o módulo port forwarding encripta e envia os dados para o FortiGate, que, em seguida, encaminha o tráfego para o servidor de aplicativos.

O módulo port forwarding é implementado com um applet Java, que é baixado e executado no computador do usuário.

O applet fornece as informações de status up-to-date, como endereçamento e bytes enviados e recebidos.

Na extremidade do usuário, o usuário efetua login no portal FortiGate SSL VPN, e seleciona um port forwarding bookmark configurado para uma aplicação específica. O marcador define o endereço do servidor e da porta, bem como qual a porta deverá ouvir no computador do usuário.

O usuário deve configurar o aplicativo no PC para apontar para o proxy local, em vez do servidor de aplicativos. Para obter informações sobre essa alteração de configuração, consulte a documentação do aplicativo.

Este modo suporta apenas aplicações client / server que estão usando uma porta TCP estática. Também não irá suportar aplicações client / server usando portas dinâmicas ou tráfego sobre UDP.

Suporte a Aplicativos

Com servidores de aplicativos Citrix, o servidor efetua o download de um arquivo de configuração do ICA para o PC do usuário. O aplicativo client usa essas informações para se conectar ao servidor Citrix. O FortiGate lê este arquivo e anexa uma entrada SOCKS para definir o proxy SOCKS para ‘localhost’. O client Citrix então é capaz de se conectar à SSL VPN.

O módulo port forwarding fornece a conexão. Ao configurar o módulo port forwarding, uma seleção se torna disponível para servidores Citrix.

Para conexões de Windows Remote Desktop, ao selecionar a opção RDP, o túnel vai iniciar o client RDP e conectar no endereço de loopback local após o módulo port forwarding ser iniciado.

Nota-se que os portais RDP / VNC não são suportados para as seguintes plataformas:

FortiGate 80D, 92D, 200D, 200D-POE, 240D, 240D-POE, 600C, 800C, 1000C,

3240C, 3600C, and 5001C

FortiGate-Rugged 90D

FortiWiFi 92D

Compatibilidade com Antivirus e firewall host

As tabelas a seguir listam os pacotes de software cliente de antivírus e firewall que são suportados no FortiOS.

Supported Windows XP antivirus and firewall software

 

Product supported Antivirus Firewall
Symantec Endpoint Protection V11 X X
Kaspersky Antivirus 2009 X
McAfee Security Center v8.1 X X
Trend Micro Internet Security Pro X X
F-Secure Internet Security 2009 X X

 

Supported Windows 7 32-bit and 64-bit antivirus and firewall software

 

Product supported Antivirus Firewall
CA Internet Security 2011 X X
AVG Internet Security 2011
F-Secure Internet Security 2011 X X
Kaspersky Internet Security 2011 X X
McAfee Internet Security 2011 X X
Norton 360TM Version 4.0 X X
NortonTM Internet Security 2011 X X
Panda Internet Security 2011 X X
Sophos Security Suite X X
Trend Micro Titanium Internet Security X X
ZoneAlarm Security Suite X X
Symantec Endpoint Protection Small Business Edition 12.0 X X

Viagem e Segurança

Como a SSL VPN provê os meios de se conectar em uma rede corporativa a partir de qualquer lugar fora do escritório é necessário assegurar que esta conexão seja feita com segurança avançada a fim de não comprometer a segurança da rede corporativa.

 

Host check

Para reforçar a segurança, você pode ativar um verificador de integridade do host para verificar o cliente remoto. O verificador de integridade investiga o computador cliente remoto para verificar se é seguro antes que o acesso seja concedido. Atributos de segurança gravados no computador client (por exemplo, no registro do Windows, em arquivos específicos ou retido na memória enquanto são processados) são examinados e enviados para o FortiGate.

Host Check é aplicável tanto para o Modo Web SSL VPN e modo de túnel SSL VPN.

 

SSL VPN e IPv6

FortiOS suporte SSL VPN com endereços IPv6, e está disponível para todos os applets java (Telnet, VNC, RDP, and so on). Configurações IPv6 para policies de segurança ( security policies ) e endereçamentos ( addressing ) incluem:

  • Policy matching para endereços IPv6
  • Suporte para DNS resolving em SSL VPN
  • Support IPv6 para ping
  • FTP applications
  • SMB

Praticamente qualquer das seguintes instruções, permitem substituir o IPv4 pelo IPv6 alcançando os mesmos resultados desejados, porém para as configurações e endereçamentos IPv6.

Para mais informações sobre como se beneficiar dos recursos da VPN SSL com FortiGate no FortiOS 5.4.1 consulte os artigos relacionados neste site, ou entre em contato com um Consultor de Segurança de Redes da DANRESA através do telefone +55(11) 4452-6448 / +55 (11) 4452-6450, comercial@danresa.com.br ou através o site oficial http://www.danresa.com.br. 

Neste canal de comunicação também temos o chat online.

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Contato

A DANRESA Consultoria de Informática é Fortinet Gold Partner no Brasil e está certificada a ajudá-lo a tomar as melhores decisões para proteger a infraestrutura de TI de sua empresa com os melhores custos e benefícios do mercado.

Entre em contato com um de nossos consultores.

Atendimento para todo o Brasil: (11) 4452-6450

Solicite orçamento:
comercial@danresa.com.br

DANRESA Consultoria de Informática

“Transformando conhecimento e tecnologia em soluções de negócios.”

Consultoria de Informática há 15 anos no mercado de TI prestando consultoria de informática diferenciada focada nos negócios e particularidades de grande empresas como BASF, Suvinil, Pedágio SEM PARAR, Focus, Queiroz Galvão, Grupo Petrópolis,  dentre outras.

Especializada em Produtos e Serviços de Segurança de Infraestrutura de TI, contando com profissionais certificados pela Fortinet, capacitados nas áreas de conhecimentos necessárias para definir arquiteturas otimizadas de projetos de segurança, implantação, suporte pós-implantação e suporte mensal a toda a infraestrutura de sua empresa.

A DANRESA Consultoria de informática presta serviços de Outsourcing de Infraestrutura de TI, Service Desk, Desenvolvimento de Sistemas, Fábrica de Softwares, com capacidade para atender grande demandas de seus clientes.

Hoje são mais de 100 clientes atendidos pela DANRESA, que, com qualidade e eficiência de seu trabalho, desenvolve soluções completas, com serviços e produtos para importantes organizações empresariais de todo o Brasil.

O foco da DANRESA é transformar o conhecimento e a tecnologia da informação em soluções de negócios rentáveis e sustentáveis, o que permite aos clientes alcançar uma infraestrutura dinâmica e eficiente, colocando-os à frente de seus concorrentes.

Conheça mais sobre a DANRESA, seus serviços, qualificações, destaques na mídia e outros, através do site oficial: www.danresa.com.br.

Atendimento para todo o Brasil:
(11) 4452-6450

Linha de Produtos Fortinet:

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Social Widgets powered by AB-WebLog.com.